1. Оператор
Оператор: [указать наименование оператора].
Реквизиты: [указать ИНН/ОГРН/ОГРНИП при наличии].
Адрес: [указать адрес оператора].
Email для обращений субъектов персональных данных: [указать email для обращений субъектов ПДн].
Место нахождения баз данных: [указать место нахождения баз данных].
2. Какие данные обрабатываются
Аккаунт: email, пароль в виде hash, имя профиля, настройки безопасности, даты создания и подтверждения.
Профиль: ник, bio, аватар, сайт, ссылки, публичные настройки и поисковая индексация.
Портфель: названия и описания портфелей, операции, активы, цены, комиссии, доходы, импортированные строки отчетов и расчетные метрики.
Сообщество: идеи, тезисы, источники, изображения, комментарии, жалобы и данные модерации.
Уведомления: Telegram ID, chat id, username, имя из Telegram, настройки алертов и статусы доставки.
Технические данные: IP-адрес, user-agent, cookie, request id, события безопасности, логи ошибок и rate-limit события.
3. Цели обработки
Создание и защита аккаунта, вход, подтверждение email, восстановление пароля и предотвращение злоупотреблений.
Ведение инвестиционного портфеля, расчет аналитики, импорт брокерских отчетов, отображение watchlist и уведомлений.
Публикация только тех профилей, портфелей, идей и комментариев, которые пользователь сам сделал публичными или отправил в публичный раздел.
Поддержка, диагностика, безопасность, выполнение требований закона и защита прав оператора и пользователей.
4. Правовые основания
Согласие субъекта персональных данных, договор/пользовательское соглашение, законные обязанности оператора и иные основания, предусмотренные применимым законодательством.
Согласие на распространение персональных данных оформляется отдельно для публичного профиля, публичных портфелей и публичного пользовательского контента.
Рекламные сообщения, если они появятся, должны отправляться только по отдельному согласию на marketing communications и не смешиваются с транзакционными уведомлениями.
5. Передача третьим лицам
Третьи лица и сервисы: [указать третьих лиц и сервисы: хостинг, email, аналитика, Telegram и др.].
Данные могут передаваться поставщикам хостинга, email-доставки, аналитики, Telegram API и иным подрядчикам только в объеме, необходимом для работы сервиса.
Публичные данные становятся доступными неопределенному кругу лиц только после включения соответствующей публичности или отправки публичного контента.
6. Cookies и аналитика
Сервис может использовать cookie и аналогичные технологии для авторизации, безопасности, настроек интерфейса и аналитики.
При подключенном идентификаторе Яндекс.Метрики на публичных страницах может работать аналитика, включая webvisor, clickmap, trackLinks и accurateTrackBounce.
Закрытые страницы портфеля, watchlist и настроек профиля не должны передаваться в публичную аналитику и поисковую индексацию.
7. Сроки хранения и отзыв
Данные хранятся пока существует аккаунт или пока они нужны для целей обработки, безопасности, учета согласий и исполнения закона.
Пользователь может выключить публичность профиля/портфелей; это прекращает дальнейшую публичную публикацию, но не удаляет исторический факт ранее данного согласия.
Для удаления аккаунта и обращений по персональным данным используйте email оператора. Оператор должен подтвердить порядок и сроки ответа.
8. Меры защиты
Сервис применяет разграничение доступа, проверку владения портфелями, CSP/security headers, hash паролей, rate limits и хранит IP/user-agent в согласиях в виде hash.
Приватные портфели, приватные профили и черновики не должны попадать в публичные API, SSR, sitemap или SEO-разметку.