Політика конфіденційності — EveryPenny
Останнє оновлення: 21 червня 2026 Контролер даних: ФОП Ольховатий Ігор Васильович, фізична особа-підприємець (індивідуальний підприємець), реєстраційний номер облікової картки платника податків (РНОКПП) 3786107375. Зареєстрована адреса: вулиця Максимовича Михайла, буд. 28е, під'їзд 3, кв. 375, м. Київ 01001, Україна. Контакт: [email protected]
Представник у ЄС (ст. 27 GDPR) Оскільки контролер заснований за межами ЄС/ЄЕЗ, відповідно до ст. 27 GDPR ми призначили представника в ЄС для осіб із ЄС/ЄЕЗ. Нашим представником є компанія Data Protection Representative Limited (що діє під торговельною назвою DataRep). З будь-яких питань, пов'язаних з обробкою ваших персональних даних і реалізацією ваших прав за GDPR, ви можете звертатися до DataRep — додатково або замість звернення до нас.
Зв'язатися з нашим представником можна:
- Електронною поштою: [email protected] — у темі листа зазначте <EveryPenny>.
- Через онлайн-форму: www.datarep.com/data-request
- Поштою: на адресу DataRep, наведену нижче для вашої країни. Адресуйте кореспонденцію на ім'я «DataRep» (а не EveryPenny) — інакше вона може не дійти до представника.
| Країна | Поштова адреса (завжди адресуйте на «DataRep») |
|---|---|
| Австрія | DataRep, City Tower, Brückenkopfgasse 1/6. Stock, Graz, 8020, Austria |
| Бельгія | DataRep, Rue des Colonies 11, Brussels, 1000 |
| Болгарія | DataRep, 132 Mimi Balkanska Str., Sofia, 1540, Bulgaria |
| Хорватія | DataRep, Ground & 9th Floor, Hoto Tower, Savska cesta 32, Zagreb, 10000, Croatia |
| Кіпр | DataRep, Victory House, 205 Archbishop Makarios Avenue, Limassol, 3030, Cyprus |
| Чехія | DataRep, Platan Office, 28. Října 205/45, Floor 3&4, Ostrava, 70200, Czech Republic |
| Данія | DataRep, Lautruphøj 1-3, Ballerup, 2750, Denmark |
| Естонія | DataRep, 2nd Floor, Tornimae 5, Tallinn, 10145, Estonia |
| Фінляндія | DataRep, Luna House, 5.krs, Mannerheimintie 12 B, Helsinki, 00100, Finland |
| Франція | DataRep, 72 rue de Lessard, Rouen, 76100, France |
| Німеччина | DataRep, 3rd and 4th floor, Altmarkt 10 B/D, Dresden, 01067, Germany |
| Греція | DataRep, Ippodamias Sq. 8, 4th floor, Piraeus, Attica, Greece |
| Угорщина | DataRep, President Centre, Kálmán Imre utca 1, Budapest, 1054, Hungary |
| Ісландія | DataRep, Laugavegur 13, 101 Reykjavik, Iceland |
| Ірландія | DataRep, The Cube, Monahan Road, Cork, T12 H1XY, Republic of Ireland |
| Італія | DataRep, Viale Giorgio Ribotta 11, Piano 1, Rome, Lazio, 00144, Italy |
| Латвія | DataRep, 4th & 5th floors, 14 Terbatas Street, Riga, LV-1011, Latvia |
| Ліхтенштейн | DataRep, City Tower, Brückenkopfgasse 1/6. Stock, Graz, 8020, Austria |
| Литва | DataRep, 44A Gedimino Avenue, 01110 Vilnius, Lithuania |
| Люксембург | DataRep, BPM 335368, Banzelt 4 A, 6921, Roodt-sur-Syre, Luxembourg |
| Мальта | DataRep, Tower Business Centre, 2nd floor, Tower Street, Swatar, BKR4013, Malta |
| Нідерланди | DataRep, Cuserstraat 93, Floor 2 and 3, Amsterdam, 1081 CN, Netherlands |
| Норвегія | DataRep, C.J. Hambros Plass 2c, Oslo, 0164, Norway |
| Польща | DataRep, Budynek Fronton ul Kamienna 21, Krakow, 31-403, Poland |
| Португалія | DataRep, Torre de Monsanto, Rua Afonso Praça 30, 7th floor, Algès, Lisbon, 1495-061, Portugal |
| Румунія | DataRep, 15 Piaţa Charles de Gaulle, nr. 1-T, Bucureşti, Sectorul 1, 011857, Romania |
| Словаччина | DataRep, Apollo Business Centre II, Block E / 9th floor, 4D Prievozska, Bratislava, 821 09, Slovakia |
| Словенія | DataRep, Trg. Republike 3, Floor 3, Ljubljana, 1000, Slovenia |
| Іспанія | DataRep, Calle de Manzanares 4, Madrid, 28005, Spain |
| Швеція | DataRep, S:t Johannesgatan 2, 4th floor, Malmo, SE - 211 46, Sweden |
Цього представника призначено виключно для ЄС/ЄЕЗ. DataRep не є нашим представником у Великій Британії чи у Швейцарії. DataRep обробляє ваші дані відповідно до власного повідомлення про конфіденційність за адресою www.datarep.com/privacy-policy.
Із загальних питань або питань щодо продукту (усього, що не є запитом у сфері захисту даних) пишіть безпосередньо до EveryPenny на адресу [email protected], а не до нашого представника.
Стисло (коротка версія)
EveryPenny — це застосунок для управління особистими фінансами. Він зберігає про вас якомога менше — лише те, що необхідно, аби показати вам ваші власні гроші. Ми ніколи не продаємо і не передаємо ваші дані рекламодавцям.
Зокрема, ми зберігаємо:
- Ідентифікатор від обраного вами постачальника входу (Apple, електронна пошта або Google), щоб ми могли впізнавати вас між сеансами входу. Якщо ви увійшли за допомогою функції Apple Hide My Email, ми бачимо лише ретрансляційну адресу — ваша справжня електронна пошта ніколи до нас не потрапляє.
- Вашу електронну адресу, якщо ви увійшли через Apple без Hide-My-Email, через нашу магічну посилання на електронну пошту (magic-link) або через Google. Ми ніколи не бачимо пароля — за це відповідають відповідно Apple, наш відправник magic-link (Resend) та Google.
- Рахунки, баланси та транзакції, які ви вводите вручну самостійно.
- Банківські рахунки та транзакції, які ми синхронізуємо від вашого імені, якщо ви підключаєте банк (ми лише читаємо дані; ми ніколи не переказуємо кошти).
- Зашифровані токени доступу до банку, щоб ми могли пізніше повторно синхронізувати ваші дані, не просячи вас входити знову. Токени кожного користувача зашифровано за допомогою індивідуального для користувача підключа, похідного від головного ключа та ідентифікатора вашого облікового запису, тож вони не можуть бути перехресно розшифровані між користувачами.
- Токени пристроїв, щоб ми могли надсилати вам push-сповіщення (наприклад, нагадування про те, що завтра настає термін списання за підпискою).
Усі дані зберігаються в Європейському економічному просторі (Франкфурт, Німеччина). Ви можете будь-коли видалити весь свій обліковий запис із самого застосунку. Ви також можете видалити окремий банківський рахунок або окремий субрахунок підключеного банку, не видаляючи решту своїх даних — див. розділ Ваші права нижче.
1. Які дані ми збираємо
1.1 Дані, які ви надаєте нам безпосередньо
| Категорія | Приклади | Мета |
|---|---|---|
| Ідентифікація облікового запису | Ідентифікатор користувача, виданий постачальником (непрозорий рядок Apple, sub Google або наш внутрішній ідентифікатор для входу через електронну пошту), електронна адреса (або приватна ретрансляційна адреса Apple), відображуване ім'я (лише під час першого входу) |
Впізнавати вас під час входу; надсилати сповіщення з безпеки |
| Ідентифікація пристрою | Identifier-for-vendor (хешований), токен пристрою APNs, назва моделі пристрою | Push-сповіщення, відкликання сеансів |
| Фінансові дані, введені вручну | Назви рахунків, валюти, баланси, дати транзакцій, суми, продавці, категорії | Основна функція застосунку |
1.2 Дані, які ми отримуємо від третіх сторін від вашого імені
| Джерело | Дані | Що ініціює |
|---|---|---|
| Monobank | Список рахунків, баланси, виписки, події транзакцій майже в реальному часі | Ви обираєте Monobank у процесі підключення банку. Там, де нам надано доступ до Monobank Corporate API, ми отримуємо події транзакцій від вашого банку в міру їх виникнення через авторизований вебхук (без опитування). В іншому випадку ми використовуємо застаріле публічне API, де ви вставляєте персональний X-Token із api.monobank.ua. У будь-якому разі доступ є доступом лише для читання — ми не можемо ініціювати платежі. |
| Enable Banking | Список рахунків, баланси, виписки (лише для читання) | Ви підключаєте банк ЄЕП відповідно до PSD2; дані отримуються через агрегатор після проходження посиленої автентифікації клієнта (Strong Customer Authentication) вашого банку |
| Apple | Перевірка ідентифікаційного токена через JWKS Apple; сповіщення «сервер-до-сервера» про видалення облікового запису або зміни перемикача Hide-My-Email | Внутрішні події життєвого циклу Apple |
Підтверджена електронна пошта + ім'я з вашого облікового запису Google (повертаються в OAuth id_token і перевіряються за JWKS Google) |
Ви обираєте «Продовжити з Google» під час входу | |
| Resend | Доставка нашого листа для входу з magic-link до вашої поштової скриньки | Ви обираєте «Продовжити з електронною поштою» під час входу |
| fawazahmed0/exchange-api + Frankfurter | Дані про курси обміну валют (публічні, без передачі персональних даних) | Автоматично, кожні кілька годин |
1.3 Дані, які ми отримуємо автоматично
- Виявлення повторюваних патернів — ми групуємо ваші транзакції, щоб визначити підписки та регулярні рахунки. Це відбувається на наших серверах, а результат залишається у вашому обліковому записі.
- Хешована атрибуція — коли ви входите, ми зберігаємо хеш HMAC-SHA256 вашої IP-адреси та User-Agent, щоб ми могли розпізнавати підозрілі входи, не зберігаючи самих значень.
- Аналітика продукту із збереженням конфіденційності — щоб зрозуміти, чи є застосунок корисним (чи поверталися ті, хто зареєструвався? чи створили вони свій перший бюджет?), ми фіксуємо невеликий набір псевдонімізованих, наперед визначених подій: реєстрація, вхід, відкриття застосунку та «ключові дії» (створено бюджет/ціль, підключено банк, додано транзакцію, підтверджено повторювану підписку). Ці події містять лише назву події та грубий, жорстко заданий тип — ніколи не суми, назви продавців, назви рахунків, категорії чи будь-який вільний текст. Єдиним прикріпленим ідентифікатором є непрозорий ідентифікатор вашого облікового запису (той самий UUID, що використовується внутрішньо), який встановлюється лише після вашого входу й очищується після виходу. Оскільки цей ідентифікатор у принципі може бути пов'язаний із вами, ми розглядаємо ці події як псевдонімізовані (п. 26 преамбули GDPR), а не анонімні; події, що спрацьовують до вашого входу, не містять жодного ідентифікатора. Див. Додаток B, щоб дізнатися, що саме отримує наш процесор (обробник даних) з аналітики.
1.4 Дані, які ми НЕ збираємо
- Необроблені IP-адреси або рядки User-Agent (ми зберігаємо лише ключовані хеші для виявлення шахрайства/зловживань).
- Рекламні ідентифікатори.
- Дані про місцезнаходження. Ми ніколи не запитуємо доступ до GPS, Wi-Fi чи CoreLocation. Серверне визначення місцезнаходження за IP у PostHog вимкнено на рівні проєкту, а IP-адресу клієнта відкидається на етапі прийому даних (ingestion), тож жодні похідні від IP країна, місто, поштовий індекс чи координати не виводяться й не зберігаються.
- Доступ до контактів, фотографій, мікрофона чи камери.
- Біометричні дані. Face ID / Touch ID залишаються на вашому пристрої — вони ніколи не потрапляють на наші сервери.
- Облікові дані для входу до вашого банку. Ви генеруєте токен лише для читання на власному сайті Monobank і надаєте його нам безпосередньо; ми ніколи не бачимо вашого пароля Monobank.
2. Правова підстава (ст. 6 GDPR)
- Договір (ст. 6(1)(b) GDPR) — усе, що нам потрібно для надання продукту, на який ви підписалися. Ідентифікація облікового запису, введені вручну записи, синхронізація з банком, push-сповіщення.
- Законний інтерес (ст. 6(1)(f) GDPR) — хешована атрибуція для виявлення шахрайства/зловживань; звіти про помилки Sentry; журнал аудиту подій; аналітика продукту із збереженням конфіденційності (псевдонімізована, без прямо ідентифікуючих персональних даних, розміщена в ЄС) для покращення застосунку. Сигнал аналітики можна будь-коли вимкнути (opt-out) у розділі Налаштування → Конфіденційність → Ділитися аналітикою продукту; вимкнення відкидає будь-які події в процесі передачі та негайно припиняє подальший збір.
- Згода (ст. 6(1)(a) GDPR) — підключення банку є явною згодою. Ви можете будь-коли відкликати згоду, відключивши банк усередині EveryPenny.
3. Де зберігаються дані
| Категорія | Процесор (обробник даних) | Регіон | Шифрування під час зберігання |
|---|---|---|---|
| Postgres (користувачі, рахунки, транзакції, журнал аудиту) | Neon Inc. | eu-central-1 (Франкфурт) | AES-256 на рівні сховища, з додатковим шифруванням AES-256-GCM на рівні стовпців для банківських токенів із використанням індивідуального для користувача підключа, похідного за HKDF (тож рядок, вставлений зі стовпця одного користувача до стовпця іншого, не розшифровується) |
| Redis (сеанси, ідемпотентність, завдання BullMQ, лічильники обмеження частоти для magic-link) | Upstash, Inc. | eu-central-1 (Франкфурт) | TLS під час передачі; шифрування під час зберігання |
| Помилки + трасування | Sentry (Functional Software, Inc.) | Регіон ЄС, Франкфурт (компанія США; Рамкова угода ЄС-США про конфіденційність даних (EU-US Data Privacy Framework), зі стандартними договірними положеннями (SCC) ЄС як резервний механізм) | Шифрування на стороні Sentry; ми очищаємо персональні дані на стороні сервера, перш ніж щось залишить наш процес |
| Аналітика продукту (псевдонімізовані події) | PostHog (PostHog, Inc.) | EU Cloud (Франкфурт) | Шифрування на стороні PostHog; ми надсилаємо лише наперед визначені назви подій + непрозорий ідентифікатор облікового запису, ніколи не персональні дані чи фінансовий вміст. Визначення місцезнаходження за GeoIP вимкнено на рівні проєкту, а IP-адреси клієнта відкидаються на етапі прийому даних, тож не зберігається ані ваша IP-адреса, ані будь-яке похідне від IP місцезнаходження |
| Журнали | Fly.io (тег регіону Hashicorp fra) |
Франкфурт | Внутрішнє шифрування Fly |
| Push-сповіщення | Apple Push Notification Service | глобально | Кероване Apple |
| Транзакційна електронна пошта | Resend Inc. | Регіон ЄС (компанія США; Рамкова угода ЄС-США про конфіденційність даних (EU-US Data Privacy Framework), зі стандартними договірними положеннями (SCC) ЄС як резервний механізм) | Кероване Resend; ми надсилаємо лише адресу одержувача + єдине посилання для входу в стилі Penny або корисне навантаження звіту про помилку |
| Покупки в застосунку / права доступу | RevenueCat, Inc. | США (Стандартні договірні положення (SCC)) | Чек App Store + непрозорий ідентифікатор вашого облікового запису; без фінансового вмісту |
| Покупки на вебсайті (виставлення рахунків) | Paddle.com Market Ltd. (продавець-реєстратор) | ЄС/США (SCC / Data Privacy Framework) | Ваша електронна пошта + платіжні дані, що обробляються Paddle як продавцем |
Усі дані залишаються в Європейському економічному просторі, за винятком цих передач, для яких ми покладаємося на гарантії, передбачені главою V GDPR: служба Apple Push Notification (Apple, глобально, згідно з власним доповненням про обробку даних); Sentry (компанія США — ми використовуємо її регіон ЄС, згідно з Рамковою угодою ЄС-США про конфіденційність даних (EU-US Data Privacy Framework), зі стандартними договірними положеннями (SCC) ЄС як резервний механізм); Resend (компанія США — ми використовуємо її регіон ЄС, згідно з Рамковою угодою ЄС-США про конфіденційність даних (EU-US Data Privacy Framework), зі стандартними договірними положеннями (SCC) ЄС як резервний механізм); RevenueCat (США, згідно зі стандартними договірними положеннями (SCC)); та Paddle (наш продавець-реєстратор платежів на вебсайті, згідно зі SCC / Data Privacy Framework).
4. Як довго ми це зберігаємо
- Ваші активні дані — доти, доки ваш обліковий запис активний.
- Видалений обліковий запис — ваш рядок
usersі кожен запис, пов'язаний із ним (рахунки, транзакції, банківські підключення, токени пристроїв, сеанси), видаляються з нашої продакшн-бази даних негайно, щойно ви натискаєте Видалити обліковий запис (або коли Apple повідомляє нам, що ваш Apple ID було остаточно видалено). Каскадно видалені рядки зникають із робочого Postgres у межах запиту. Знімки резервних копій Neon на певний момент часу (point-in-time) продовжують зберігати стан до видалення протягом періоду зберігання нашого плану Neon (наразі 6 годин), після чого вони природно втрачають чинність. - Банківські та транзакційні дані — транзакції, баланси та похідні дані (категорії, регулярні платежі) зберігаються у 24-місячному рухомому вікні від дати кожної транзакції; старіші записи вибувають автоматично. Під час видалення облікового запису все негайно видаляється каскадно (див. вище).
- Події аудиту / безпеки — зберігаються до 24 місяців, а потім
видаляються або незворотно анонімізуються. Під час видалення облікового запису
userIdнегайно встановлюється наNULL, тож будь-який запис, що ще перебуває в межах цього періоду, більше не пов'язаний із вами особисто. - Продуктова аналітика (PostHog) — псевдонімізовані дані подій зберігаються 12 місяців, після чого видаляються. Жодних фінансових чи персональних даних не надсилається (див. §7 і Додаток B).
- Моніторинг помилок (Sentry) — очищені від персональних даних події помилок зберігаються 90 днів, після чого видаляються.
- Рядки сеансів — очищаються через 90 днів після закінчення терміну дії (лише анонімні дані — без персональних даних).
- Ключі ідемпотентності — очищаються через 30 днів після створення (хеші тіл запитів, без персональних даних).
- Кеш синхронізації (Redis) — 24 години; нічого постійного.
5. Ваші права (ст. 15-22 GDPR)
Ви маєте право:
- Отримати доступ до своїх даних — напишіть нам, і ми надішлемо вам JSON-експорт усього, що ми зберігаємо.
- Виправити неточні дані — відредагуйте в застосунку або напишіть на [email protected].
- Видалити свій обліковий запис — натисніть Видалити обліковий запис у Налаштуваннях. Ваші дані видаляються з нашої робочої продакшн-бази даних у момент завершення запиту. Два вузькі винятки, докладно описані в §4: зашифровані резервні копії бази даних зберігають стан до видалення протягом приблизно 6 годин, перш ніж природно втратити чинність, а записи журналу безпеки/аудиту зберігаються протягом періоду, зазначеного в §4, з видаленим вашим ідентифікатором, тож вони більше не ідентифікують вас.
- Видалити окремий банківський рахунок або субрахунок — утримуйте натискання на рахунку в EveryPenny й оберіть Відключити банк (видаляє все підключення та кожну пов'язану з ним транзакцію) або Видалити цей рахунок (видаляє один синхронізований із банком субрахунок та його транзакції, залишаючи решту підключення без змін). Обидві дії обмежені цим рахунком; нічого іншого не зачіпається.
- Перенести свої дані — наведений вище експорт є у переносимому форматі JSON.
- Заперечити проти обробки — відключіть банки; вимкніть push-сповіщення в Налаштуваннях iOS.
- Відкликати згоду — відключення банку негайно скасовує доступ EveryPenny.
- Подати скаргу — до органу із захисту даних вашої країни ЄС або до Уповноваженого Верховної Ради України з прав людини (омбудсмана) у сфері захисту персональних даних.
Ми відповідаємо на будь-який запит протягом одного місяця з моменту отримання. Для складних або численних запитів ми можемо продовжити цей строк ще до двох місяців і повідомимо вас протягом першого місяця, якщо це зробимо (ст. 12(3) GDPR).
6. Безпека
Ми дотримуємося найкращих галузевих практик для фінансового застосунку:
- TLS 1.3 повсюди. HSTS із preload.
- Усі банківські токени зашифровано за допомогою індивідуальних для користувача підключів AES-256-GCM, похідних за HKDF, із прив'язкою ідентифікатора користувача до тегу автентифікації, тож рядок не може бути перехресно розшифрований між користувачами.
- Ідентифікаційні токени від Apple та Google перевіряються за JWKS (JSON Web Key Set) відповідного постачальника під час кожного входу — ми ніколи не довіряємо неперевіреному токену.
- Одноразові коди (nonce) для входу через magic-link зберігаються як хеші SHA-256 (ніколи у відкритому вигляді), втрачають чинність через 15 хвилин після генерації, є одноразовими та обмежуються за частотою для кожної електронної пошти й кожної IP-адреси, щоб запобігти зловживанням.
- Токени оновлення (refresh tokens) зберігаються як хеші SHA-256, ніколи у відкритому вигляді; ротуються під час кожного використання; прив'язані до пристрою.
- Відкликання сеансу під час виходу, під час видалення облікового запису Apple, на запит.
- Обмеження частоти як на периферії (Cloudflare), так і на рівні застосунку.
- WAF + захист від DDoS через Cloudflare.
- Журнал аудиту лише для додавання (append-only) для кожної дії, що стосується грошей.
- Автоматизоване сканування CVE та оновлення залежностей під час кожного запуску CI.
Жодна система не є на 100% безпечною. Якщо ми виявимо порушення безпеки персональних даних, ми без невиправданої затримки і, де це можливо, протягом 72 годин повідомимо відповідний наглядовий орган, а також без невиправданої затримки повідомимо постраждалих користувачів там, де порушення ймовірно створює високий ризик для їхніх прав — як того вимагає GDPR.
7. Хто ще обробляє ваші дані
Це єдині компанії, які взагалі мають справу з вашими даними, у конкретних ролях, зазначених нижче. GDPR розрізняє два види одержувачів, тож ми перелічуємо їх окремо: процесори (обробники даних), які діють лише за нашими інструкціями згідно з угодою про обробку даних (DPA), та незалежні контролери, які визначають власні цілі й мають власні повідомлення про конфіденційність.
7.1 Процесори (обробники даних) (діють лише за нашими інструкціями, згідно з DPA)
| Процесор (обробник даних) | Роль | Регіон | DPA |
|---|---|---|---|
| Neon Inc. | Керований Postgres | ЄС (Франкфурт) | Neon DPA |
| Upstash, Inc. | Керований Redis | ЄС (Франкфурт) | Upstash DPA |
| Fly.io, Inc. | Хостинг застосунку + журнали | ЄС (Франкфурт) | Fly DPA |
| Cloudflare, Inc. | DNS + WAF + DDoS | Периферія ЄС | Cloudflare DPA |
| Functional Software, Inc. (Sentry) | Звіти про збої + помилки (персональні дані очищено) | Регіон ЄС (компанія США; Рамкова угода ЄС-США про конфіденційність даних (EU-US Data Privacy Framework), зі стандартними договірними положеннями (SCC) ЄС як резервний механізм) | Sentry DPA |
| PostHog, Inc. | Аналітика продукту із збереженням конфіденційності | EU Cloud (Франкфурт) | PostHog DPA |
| Resend Inc. | Транзакційна електронна пошта (посилання для входу, звіти про помилки) | Регіон ЄС (компанія США; Рамкова угода ЄС-США про конфіденційність даних (EU-US Data Privacy Framework), зі стандартними договірними положеннями (SCC) ЄС як резервний механізм) | Resend DPA |
| RevenueCat, Inc. | Управління підписками в застосунку — відстеження прав доступу Apple IAP (ідентифікатор користувача застосунку, статус підписки, події покупок; без даних платіжних карток — платежі обробляє Apple) | США (Стандартні договірні положення (SCC)) | RevenueCat DPA |
7.2 Незалежні контролери (вони встановлюють власні цілі; застосовуються їхні власні повідомлення)
| Контролер | Чому ваші дані до них потрапляють |
|---|---|
| Apple Inc. | Вхід через Apple, push-сповіщення та покупки в App Store — Apple є продавцем (продавцем-реєстратором) для покупок у застосунку |
| Google LLC | Ідентифікація, якщо ви обираєте «Продовжити з Google» |
| Paddle.com Market Ltd. | Продавець-реєстратор для покупок на вебсайті — Paddle є продавцем, із яким ви укладаєте договір, і обробляє виставлення рахунків, податки та повернення коштів (отримує вашу електронну пошту + платіжні дані) |
| Enable Banking Oy | Агрегатор банківських рахунків ЄЕП та ліцензований постачальник інформації про рахунки за PSD2 для підключень, які ви авторизуєте |
| Universal Bank (Monobank) | Український банк, який ви підключаєте — прямі відносини між вами та вашим банком |
Курси валют надходять із публічних джерел (Frankfurter та fawazahmed0/exchange-api, через jsDelivr / Cloudflare); надсилаються лише коди валют — без персональних даних, тож жодної DPA не потрібно.
Ми оновлюватимемо ці списки щоразу, коли додаватимемо або змінюватимемо одержувача. Суттєві зміни ініціюють сповіщення в застосунку.
8. Діти
EveryPenny не призначений для осіб віком до 16 років. Ми свідомо не збираємо дані від неповнолітніх. Якщо ви вважаєте, що зареєструвався неповнолітній, зв'яжіться з нами, і ми видалимо обліковий запис.
9. Зміни до цієї політики
Про суттєві зміни оголошується в застосунку до того, як вони набудуть чинності, і вас попросять надати згоду повторно. Історія змін доступна за запитом.
10. Контакт
З будь-якого питання чи запиту щодо конфіденційності: [email protected]
Додаток A — Що насправді отримує Sentry
Sentry ініціалізовано з sendDefaultPii: false та очисником (scrubber), який рекурсивно видаляє кожен ключ, ім'я якого збігається з email, phone, password, token, secret, iban, pan, dateOfBirth, address, firstName, lastName, fullName та багатьма іншими термінами, дотичними до фінансів, перш ніж будь-яка подія залишить процес.
Що бачить Sentry:
- Очищені трасування стека
- Назви HTTP-маршрутів (наприклад,
POST /auth/apple) — ніколи параметри шляху з ідентифікаторами - Клас помилки + повідомлення (з очищеними за regex персональними даними)
- Непрозорий userId (UUID) — ніколи ідентифікатор користувача Apple чи електронну пошту
Що Sentry ніколи не бачить:
- Будь-який номер банківського рахунку, баланс чи суму транзакції
- Будь-яку справжню або ретрансляційну електронну адресу
- Будь-який токен автентифікації в будь-якій формі
Додаток B — Що насправді отримує PostHog
PostHog налаштовано для EU Cloud (eu.i.posthog.com) з вимкненими autocapture, відтворенням сеансів (session replay), захопленням переглядів екранів та автозахопленням життєвого циклу застосунку. Серверне збагачення GeoIP у PostHog вимкнено на рівні проєкту, а IP-адресу клієнта відкидається на етапі прийому даних (ingestion) — тож ані країна, ані місто, ані широта/довгота, ані поштовий індекс ніколи не виводяться й не зберігаються з вашої IP-адреси. (Як додаткова гарантія, SDK також реєструє $geoip_disable: true для кожної події.) Профілі осіб створюються лише для ідентифікованих користувачів (personProfiles = .identifiedOnly), тож події, що спрацьовують до входу, не містять ідентифікатора (анонімні); події після входу є псевдонімізованими — пов'язаними з наведеним нижче непрозорим ідентифікатором облікового запису, а не з вашим іменем чи електронною поштою. Кожна подія в застосунку спрацьовує явно з коду — автоматичного збору даних немає.
Повний набір подій, які ми взагалі надсилаємо:
signup/signin— що обліковий запис було створено або що користувач, який повертається, увійшовapp_opened— застосунок перейшов на передній план (живить звітність про утримання)activated— користувач завершив свою першу значущу дію під час цієї інсталяціїkey_actionзtype, що дорівнює одному з:bank_connected,transaction_added,budget_created,goal_created,recurring_confirmed
Що бачить PostHog:
- Наведені вище назви подій та їхнє жорстко задане значення
type - Непрозорий ідентифікатор облікового запису (UUID), який прикріплюється лише після входу й очищується після виходу
- Стандартні метадані SDK (версія застосунку, версія ОС, модель пристрою, грубий контекст бібліотеки)
Що PostHog ніколи не бачить:
- Будь-яку суму, баланс, назву продавця, назву рахунку чи назву категорії
- Будь-який вміст транзакцій або вільний текст, який ви ввели
- Вашу електронну адресу, відображуване ім'я чи будь-які інші персональні дані
- Будь-який рекламний ідентифікатор (ми не збираємо жодного)
Ця функція захищена ключем: за відсутності налаштованого ключа проєкту PostHog SDK ніколи не ініціалізується, і нічого взагалі не надсилається.