Последняя редакция: 27 апреля 2026
1. Кто мы (Контролёр данных)
ФОП Костинюк Игорь Валериевич — физическое лицо — предприниматель (Украина), упрощённая система налогообложения, 3 группа.
РНУКПН (ИНН): 3593802718
Адрес: Украина, г. Киев. Полный адрес — по письменному запросу на email.
Email: koss.flow@gmail.com (общий и DPO-контакт). Дополнительно: legal@kossflow.space (перенаправляется на основной).
Сайт: budget.kossflow.space
Статус DPO: как микро-предприятие (1 сотрудник) с обработкой данных вне core activity по ст. 37 GDPR, отдельный Data Protection Officer не назначается. Запросы по приватности обрабатываются непосредственно контролёром данных по контактам выше.
2. Какие данные мы собираем
- Аккаунт: email, пароль (хранится в виде bcrypt-хеша) или OAuth-идентификатор (Google/Telegram), имя и аватар (если предоставлены провайдером).
- Финансовые данные, которые вы вводите: транзакции, счета, категории, бюджеты, цели, заметки. Принадлежат вам.
- OAuth-токены интеграций (Google Drive, Telegram, биржи) — хранятся в зашифрованном виде (AES-256-GCM) и используются только для запрошенных вами операций.
- Биометрия / PIN — никогда не покидают ваше устройство. Хранятся локально (WebAuthn/Keychain браузера).
- Технические логи: IP-адрес, user-agent, время запроса — для безопасности и отладки. Хранятся 30 дней.
- Push-подписки: endpoint браузера и ваши настройки уведомлений (без содержимого).
- Сообщения в поддержку: email и текст обращения (Chatwoot и/или Telegram-бот).
- Платёжные записи: дата, сумма, тариф, идентификатор транзакции у платёжного провайдера. Реквизиты карт мы НЕ получаем и НЕ храним.
3. Правовые основания обработки (GDPR ст. 6)
| Создание и поддержка аккаунта | Договор (ст. 6.1.b) |
| Хранение и отображение ваших транзакций | Договор (ст. 6.1.b) |
| Обработка платежа | Договор + правовое обязательство (ст. 6.1.b, 6.1.c) |
| Хранение платёжных записей 3 года | Правовое обязательство — Налоговый кодекс Украины (ст. 6.1.c) |
| Логи безопасности и противодействие злоупотреблениям | Законный интерес (ст. 6.1.f) |
| Push-уведомления | Согласие (ст. 6.1.a) |
| AI-категоризация через OpenAI BYOK | Явное согласие (ст. 6.1.a + 9.2.a) |
| Маркетинговые рассылки | Согласие (ст. 6.1.a) — на текущий момент не используем |
4. Сторонние процессоры (sub-processors)
Мы пользуемся следующими сервисами для функционирования Сервиса. Для процессоров за пределами ЕЭЗ мы опираемся на стандартные договорные оговорки (Standard Contractual Clauses, ст. 46 GDPR) либо на адекватность защиты, признанную Еврокомиссией, либо на ваше явное согласие (ст. 49.1.a) — там, где этого требует закон.
| Сервис | Юрисдикция | Цель | Данные | Срок | Политика |
|---|---|---|---|---|---|
| Supabase (self-hosted) | Германия (на серверах Hetzner) | База данных, аутентификация, хранилище файлов | Все пользовательские данные | Срок жизни аккаунта | Политика |
| Hetzner Online GmbH | Германия (ЕС) | Хостинг серверов | Всё, что хранится в БД и файлах | Срок жизни аккаунта | Политика |
| WayForPay (ТОВ «ВейФорПей») | Украина | Обработка платежей по карте | Имя, email, сумма, реквизиты карты (нам не передаются) | Согласно требованиям финмониторинга | Политика |
| Universal Bank (MonoPay) | Украина | Обработка платежей | Имя, email, сумма платежа | Согласно требованиям банка/НБУ | Политика |
| Google LLC (OAuth/Drive) | США | Вход через Google и резервные копии в Google Drive (опционально) | Email, имя, аватар, токены Drive (только при вашем включении) | До отзыва доступа | Политика |
| Telegram Messenger Inc | ОАЭ / Великобритания | Вход через Telegram и поддержка через бота | Telegram ID, имя, username | Срок жизни аккаунта | Политика |
| OpenAI Inc | США | AI-категоризация транзакций (BYOK — только при вводе вашего ключа) | Текст транзакции (без email и идентификаторов) | Согласно политике OpenAI на вашем тарифе | Политика |
| CoinGecko (Gecko Labs Pte Ltd) | Сингапур | Курсы криптовалют | IP-адрес запроса (без других ПД) | Согласно политике CoinGecko | Политика |
| Chatwoot Inc | США | Поддержка клиентов (если вы пишете в чат поддержки) | Email, текст сообщений | До 2 лет с момента закрытия тикета | Политика |
| Web Push (VAPID) | США / ЕС / иные (Mozilla, Google, Apple) | Доставка push-уведомлений | Endpoint браузера | До отписки или удаления подписки | Политика |
5. Где и как хранятся данные
Основное хранилище: self-hosted Supabase на серверах Hetzner Online GmbH, дата-центр в Германии (ЕС).
Шифрование при передаче: TLS 1.2+.
Шифрование чувствительных данных в покое: AES-256-GCM (OAuth-токены, ключи интеграций).
Изоляция данных: Row Level Security (RLS) на уровне Postgres — каждая строка таблицы доступна только её владельцу по user_id.
Пароли — bcrypt-хеш, обратный подбор практически невозможен.
6. Срок хранения
Активный аккаунт — данные хранятся, пока вы пользуетесь Сервисом.
После удаления аккаунта (Настройки → Аккаунт): персональные данные стираются в течение 30 дней; то, что нельзя удалить по закону (платёжные записи), анонимизируется и хранится 3 года согласно Налоговому кодексу Украины.
Логи безопасности — 30 дней.
Сообщения в поддержку — до 2 лет после закрытия тикета.
7. Ваши права (GDPR ст. 15–22 + украинский закон)
- Право доступа — экспорт всех ваших данных в CSV/JSON в разделе «Настройки → Экспорт».
- Право на исправление — через интерфейс приложения.
- Право на удаление («право быть забытым») — кнопка в «Настройки → Аккаунт».
- Право на переносимость — экспорт в открытых форматах (CSV/JSON).
- Право на ограничение обработки и возражение — напишите на koss.flow@gmail.com.
- Право отозвать согласие в любой момент (это не влияет на законность ранее произведённой обработки).
- Право подать жалобу: для Украины — Уполномоченный Верховной Рады по правам человека (ombudsman.gov.ua); для пользователей ЕС — национальный надзорный орган (DPA).
8. Безопасность
- Соединение по TLS, HSTS включён.
- Чувствительные поля в БД зашифрованы AES-256-GCM.
- Postgres RLS — данные одного пользователя физически недоступны другому.
- Биометрия / PIN остаются на устройстве (WebAuthn / системный хранилище браузера) и нам никогда не передаются.
- Двухфакторная защита приложения: PIN и/или биометрия при разблокировке.
- Регулярные резервные копии шифруются и хранятся в той же юрисдикции (Германия).
- Доступ к базе данных имеет только владелец Сервиса (ФОП Костинюк И.В.); сторонние сотрудники к продакшен-БД не допускаются.
- Уведомление об инцидентах: в случае утечки персональных данных мы уведомим затронутых пользователей и надзорный орган в течение 72 часов с момента обнаружения (GDPR ст. 33).
9. Cookies и localStorage
Мы используем только технические cookies/localStorage, без сторонних трекеров и рекламной аналитики.
Что хранится локально: токен сессии (httpOnly cookie), выбранный язык, тема (светлая/тёмная), состояние блокировки экрана, кэш курсов валют, настройки UI.
Третьи стороны (Google/Telegram) могут установить свои cookies в момент OAuth-входа на их собственных страницах — это не наш домен.
10. Передача данных за пределы ЕЭЗ
Часть процессоров находится за пределами ЕЭЗ: OpenAI и Google (США), Telegram (ОАЭ/Великобритания), CoinGecko (Сингапур).
Передача осуществляется на основании стандартных договорных оговорок Еврокомиссии (SCCs, ст. 46.2.c GDPR) и/или вашего явного согласия (ст. 49.1.a) — для функций, которые требуют такой передачи (например, OpenAI BYOK активируется только при вводе вами API-ключа).
Минимизация: мы передаём только минимально необходимый объём данных для выполнения соответствующей функции.
11. Изменения политики
О существенных изменениях уведомляем минимум за 30 календарных дней через приложение или email.
В шапке политики всегда указана дата последней редакции. Архив предыдущих версий доступен по запросу.
12. Контакты по вопросам приватности
По любому вопросу, связанному с вашими данными, пишите: koss.flow@gmail.com или legal@kossflow.space.
Мы отвечаем не позднее 30 календарных дней (ст. 12.3 GDPR).
14. Дети
Сервис не предназначен для лиц младше 16 лет. Мы намеренно не собираем их данные. Если вы узнали, что ребёнок предоставил нам данные, напишите — мы их удалим.
13. Дата редакции
27 апреля 2026