Политика обработки персональных данных Quantly

Версия 3.3. В силе с: 28 мая 2026 г.. ранний доступ

Документ составлен в соответствии со ст.18.1 ФЗ № 152-ФЗ. Определяет порядок обработки персональных данных в сервисе Quantly и меры по обеспечению их безопасности.

1. Распределение ролей

РольКтоНорма
Оператор ПДнПользовательст.3 п.2 152-ФЗ
Обработчик по поручениюQuantlyст.6 ч.3 152-ФЗ

Поручение оформляется акцептом Пользовательского соглашения. Quantly не определяет самостоятельно цели обработки, не подаёт уведомление в Роскомнадзор (ст.22) и не включается в реестр операторов ПДн.

2. Quantly

Физическое лицо, контакт hello@quantly.ru. Полные сведения — по запросу субъекта ПДн с пометкой «Сведения об исполнителе» (ст.14 ч.7 152-ФЗ).

3. Назначение Сервиса

Бесплатный справочно-аналитический онлайн-сервис, агрегирующий данные о брокерских счетах Пользователя у российских брокеров. Не является инвестиционным советником в смысле ст.6.1 ФЗ № 39-ФЗ, не предоставляет индивидуальные инвестиционные рекомендации, не управляет средствами Пользователя и не является налоговым агентом.

4. Состав обрабатываемых ПДн

Только иные персональные данные. Специальные и биометрические не обрабатываются.

  • Идентификация и контакт: username, email (опц.), идентификатор и псевдоним учётной записи в мессенджере уведомлений (опц.).
  • Финансовые: зашифрованные токены доступа к API брокеров, идентификаторы и названия счетов, сделки, дивиденды, купоны, комиссии, снимки портфеля, история стоимости, реализованный P&L.
  • Технические: IP, User-Agent, время входа/выхода, идентификаторы сессий, webhook-токены, пользовательские настройки.

4.1. Источники получения финансовых данных

  • API-подключение по токену (T-Invest, Финам, БКС, Алор) — Пользователь предоставляет read-only токен; Сервис периодически запрашивает операции и позиции через API брокера.
  • Загрузка файлов отчётов (Сбербанк, Газпромбанк) — Пользователь загружает HTML-отчёт из личного кабинета брокера; Сервис парсит и сохраняет операции локально. Токен не используется, обратная связь с брокером отсутствует.
  • Ручной ввод (Manual) — Пользователь самостоятельно вводит операции в Сервисе. Связь с какими-либо брокерами отсутствует.

5. Цели

Регистрация и аутентификация; синхронизация с подключёнными Пользователем брокерами; расчёт аналитики по портфелю; уведомления по выбранным Пользователем каналам; обеспечение безопасности; фиксация согласий и значимых действий.

6. Правовое основание

Основное основание — поручение Пользователя как оператора своих ПДн (ст.6 ч.3 152-ФЗ), оформленное акцептом Пользовательского соглашения. Дополнительные основания: ст.6 ч.1 п.5 (исполнение договора-оферты), п.1 (согласие). Принципы ст.5: законность, целевое назначение, минимизация, точность, ограничение срока хранения.

7. Передача третьим лицам

ПолучательДанныеЮрисдикцияОснование
Брокеры (T-Invest, Финам, БКС, Алор, Сбер, Газпромбанк)Токен / отчёт по операциям; запрос операций и снапшотов портфеляРФПользователь подключил брокера
Биржа MOEX (ПАО «Московская Биржа»)Тикеры инструментов, обезличенные запросы цен / истории / расписания торговРФПолучение публичных рыночных данных через ISS API
Центральный банк РФОбезличенные запросы курсов валютРФПолучение публичных данных
LLM-провайдеры РФ: GigaChat (ПАО «Сбербанк»), YandexGPT (ООО «Яндекс»)Тикеры держимых инструментов + текст новостей для дайджеста и тематических обзоров (без идентификаторов учётной записи)РФЦель «расчёт аналитики по портфелю» (ст.6 ч.3); по умолчанию включены, отключаются в настройках профиля
Провайдер мессенджера уведомлений: Telegram FZ-LLC (ОАЭ), Telegram Messenger Inc. (БВО)Идентификатор учётной записи, текст уведомленийвне РФОтдельное согласие (ст.12 ч.4)
Транзакционный email-провайдер: Yandex Cloud Postbox (ООО «Яндекс.Облако»)Email-адрес получателя, текст письма, метаданные доставкиРФПользователь указал email при регистрации
IMAP-провайдер: ООО «Бегет» (хостинг hello@quantly.ru)Входящие email поддержки + метаданныеРФПользователь обратился в поддержку
Хостинг ООО «Бегет»Хранение БДРФДоговор с провайдером

ПДн не передаются рекламодателям, маркетинговым агрегаторам и иным лицам, не указанным в таблице.

8. Трансграничная передача (ст.12)

Передача данных провайдеру мессенджера уведомлений (ОАЭ, БВО) является трансграничной. Эти юрисдикции не входят в перечень государств адекватной защиты (приказ Роскомнадзора от 05.08.2022 № 274), поэтому передача осуществляется только при наличии отдельного согласия Пользователя (ст.12 ч.4 152-ФЗ); согласие отзывается в настройках профиля в любой момент.

9. Срок хранения

ПДн хранятся до удаления учётной записи Пользователем. После удаления:

  • ПДн немедленно удаляются из активной базы данных и связанных с ней структур (журналы событий с username анонимизируются).
  • Полное уничтожение из резервных копий и иных производных хранилищ — в порядке их естественной ротации, не позднее 30 дней при штатной работе скрипта ротации (ст.21 ч.3 152-ФЗ). В случае сбоя автоматизированной ротации действует резервная политика жизненного цикла объектного хранилища со сроком до 90 дней, гарантирующая итоговое уничтожение.
  • Записи о согласиях (UserConsent) сохраняются 3 года для возможной защиты прав Сторон в споре (срок исковой давности по ст.196 ГК РФ).

10. Права субъекта (ст.14 152-ФЗ)

  1. Получать сведения об обработке.
  2. Получать копию ПДн — JSON-экспорт или по запросу.
  3. Требовать уточнения, блокирования, уничтожения.
  4. Отозвать согласие — в настройках профиля.
  5. Удалить учётную запись целиком — через профиль.
  6. Использовать предусмотренные законом способы защиты своих прав.

Срок ответа Quantly — 30 дней.

11. Меры безопасности (ст.19)

Уровень защищённости ИСПДн — УЗ-4 (ПП РФ № 1119).

  • Брокерские токены — Fernet (AES-128-CBC + HMAC-SHA256).
  • TLS 1.2+, HSTS preload, Secure/HttpOnly cookies, X-Frame-Options: DENY, CSP с per-request nonce.
  • IDOR-тесты в CI. Журнал событий AuditLog.
  • Резервное копирование БД средствами хостинга.

Серверы и резервные копии — на территории РФ (ч.5 ст.18).

12. Инциденты

При обнаружении утечки Quantly как обработчик незамедлительно уведомляет Пользователя и предоставляет техническую информацию о факте. Уведомление Роскомнадзора в установленные ст.18.1 ч.1.1 152-ФЗ сроки (24 ч и 72 ч) — обязанность оператора.

13. Изменение Политики

Новая редакция публикуется на /privacy/ за 30 дней до вступления в силу.

14. Контакты

hello@quantly.ru — единый адрес для всех вопросов.