Политика обработки персональных данных Quantly
Версия 3.3. В силе с: 28 мая 2026 г.. ранний доступ
Документ составлен в соответствии со ст.18.1 ФЗ № 152-ФЗ. Определяет порядок обработки персональных данных в сервисе Quantly и меры по обеспечению их безопасности.
1. Распределение ролей
| Роль | Кто | Норма |
|---|---|---|
| Оператор ПДн | Пользователь | ст.3 п.2 152-ФЗ |
| Обработчик по поручению | Quantly | ст.6 ч.3 152-ФЗ |
Поручение оформляется акцептом Пользовательского соглашения. Quantly не определяет самостоятельно цели обработки, не подаёт уведомление в Роскомнадзор (ст.22) и не включается в реестр операторов ПДн.
2. Quantly
Физическое лицо, контакт hello@quantly.ru. Полные сведения — по запросу субъекта ПДн с пометкой «Сведения об исполнителе» (ст.14 ч.7 152-ФЗ).
3. Назначение Сервиса
Бесплатный справочно-аналитический онлайн-сервис, агрегирующий данные о брокерских счетах Пользователя у российских брокеров. Не является инвестиционным советником в смысле ст.6.1 ФЗ № 39-ФЗ, не предоставляет индивидуальные инвестиционные рекомендации, не управляет средствами Пользователя и не является налоговым агентом.
4. Состав обрабатываемых ПДн
Только иные персональные данные. Специальные и биометрические не обрабатываются.
- Идентификация и контакт: username, email (опц.), идентификатор и псевдоним учётной записи в мессенджере уведомлений (опц.).
- Финансовые: зашифрованные токены доступа к API брокеров, идентификаторы и названия счетов, сделки, дивиденды, купоны, комиссии, снимки портфеля, история стоимости, реализованный P&L.
- Технические: IP, User-Agent, время входа/выхода, идентификаторы сессий, webhook-токены, пользовательские настройки.
4.1. Источники получения финансовых данных
- API-подключение по токену (T-Invest, Финам, БКС, Алор) — Пользователь предоставляет read-only токен; Сервис периодически запрашивает операции и позиции через API брокера.
- Загрузка файлов отчётов (Сбербанк, Газпромбанк) — Пользователь загружает HTML-отчёт из личного кабинета брокера; Сервис парсит и сохраняет операции локально. Токен не используется, обратная связь с брокером отсутствует.
- Ручной ввод (Manual) — Пользователь самостоятельно вводит операции в Сервисе. Связь с какими-либо брокерами отсутствует.
5. Цели
Регистрация и аутентификация; синхронизация с подключёнными Пользователем брокерами; расчёт аналитики по портфелю; уведомления по выбранным Пользователем каналам; обеспечение безопасности; фиксация согласий и значимых действий.
6. Правовое основание
Основное основание — поручение Пользователя как оператора своих ПДн (ст.6 ч.3 152-ФЗ), оформленное акцептом Пользовательского соглашения. Дополнительные основания: ст.6 ч.1 п.5 (исполнение договора-оферты), п.1 (согласие). Принципы ст.5: законность, целевое назначение, минимизация, точность, ограничение срока хранения.
7. Передача третьим лицам
| Получатель | Данные | Юрисдикция | Основание |
|---|---|---|---|
| Брокеры (T-Invest, Финам, БКС, Алор, Сбер, Газпромбанк) | Токен / отчёт по операциям; запрос операций и снапшотов портфеля | РФ | Пользователь подключил брокера |
| Биржа MOEX (ПАО «Московская Биржа») | Тикеры инструментов, обезличенные запросы цен / истории / расписания торгов | РФ | Получение публичных рыночных данных через ISS API |
| Центральный банк РФ | Обезличенные запросы курсов валют | РФ | Получение публичных данных |
| LLM-провайдеры РФ: GigaChat (ПАО «Сбербанк»), YandexGPT (ООО «Яндекс») | Тикеры держимых инструментов + текст новостей для дайджеста и тематических обзоров (без идентификаторов учётной записи) | РФ | Цель «расчёт аналитики по портфелю» (ст.6 ч.3); по умолчанию включены, отключаются в настройках профиля |
| Провайдер мессенджера уведомлений: Telegram FZ-LLC (ОАЭ), Telegram Messenger Inc. (БВО) | Идентификатор учётной записи, текст уведомлений | вне РФ | Отдельное согласие (ст.12 ч.4) |
| Транзакционный email-провайдер: Yandex Cloud Postbox (ООО «Яндекс.Облако») | Email-адрес получателя, текст письма, метаданные доставки | РФ | Пользователь указал email при регистрации |
| IMAP-провайдер: ООО «Бегет» (хостинг hello@quantly.ru) | Входящие email поддержки + метаданные | РФ | Пользователь обратился в поддержку |
| Хостинг ООО «Бегет» | Хранение БД | РФ | Договор с провайдером |
ПДн не передаются рекламодателям, маркетинговым агрегаторам и иным лицам, не указанным в таблице.
8. Трансграничная передача (ст.12)
Передача данных провайдеру мессенджера уведомлений (ОАЭ, БВО) является трансграничной. Эти юрисдикции не входят в перечень государств адекватной защиты (приказ Роскомнадзора от 05.08.2022 № 274), поэтому передача осуществляется только при наличии отдельного согласия Пользователя (ст.12 ч.4 152-ФЗ); согласие отзывается в настройках профиля в любой момент.
9. Срок хранения
ПДн хранятся до удаления учётной записи Пользователем. После удаления:
- ПДн немедленно удаляются из активной базы данных и связанных с ней структур (журналы событий с username анонимизируются).
- Полное уничтожение из резервных копий и иных производных хранилищ — в порядке их естественной ротации, не позднее 30 дней при штатной работе скрипта ротации (ст.21 ч.3 152-ФЗ). В случае сбоя автоматизированной ротации действует резервная политика жизненного цикла объектного хранилища со сроком до 90 дней, гарантирующая итоговое уничтожение.
- Записи о согласиях (
UserConsent) сохраняются 3 года для возможной защиты прав Сторон в споре (срок исковой давности по ст.196 ГК РФ).
10. Права субъекта (ст.14 152-ФЗ)
- Получать сведения об обработке.
- Получать копию ПДн — JSON-экспорт или по запросу.
- Требовать уточнения, блокирования, уничтожения.
- Отозвать согласие — в настройках профиля.
- Удалить учётную запись целиком — через профиль.
- Использовать предусмотренные законом способы защиты своих прав.
Срок ответа Quantly — 30 дней.
11. Меры безопасности (ст.19)
Уровень защищённости ИСПДн — УЗ-4 (ПП РФ № 1119).
- Брокерские токены — Fernet (AES-128-CBC + HMAC-SHA256).
- TLS 1.2+, HSTS preload, Secure/HttpOnly cookies, X-Frame-Options: DENY, CSP с per-request nonce.
- IDOR-тесты в CI. Журнал событий
AuditLog. - Резервное копирование БД средствами хостинга.
Серверы и резервные копии — на территории РФ (ч.5 ст.18).
12. Инциденты
При обнаружении утечки Quantly как обработчик незамедлительно уведомляет Пользователя и предоставляет техническую информацию о факте. Уведомление Роскомнадзора в установленные ст.18.1 ч.1.1 152-ФЗ сроки (24 ч и 72 ч) — обязанность оператора.
13. Изменение Политики
Новая редакция публикуется на /privacy/ за 30 дней до вступления в силу.
14. Контакты
hello@quantly.ru — единый адрес для всех вопросов.