Политика конфиденциальности

1. Контролёр данных

Контролёром является Foundster Corporate Services FZCO, IFZA Business Park – DDP, Building A1, Dubai Silicon Oasis, ОАЭ. Лицензия № 41494, выданная Dubai Integrated Economic Zones Authority (DIEZ). Контакт: support@foundster.com.

2. Категории обрабатываемых данных

• Идентификация и контакты: имя, e-mail, телефон, гражданство, страна проживания.
• Onboarding и KYC: скан паспорта, Emirates ID, подтверждение адреса, образцы подписи, бенефициары — обязательно по правилам ОАЭ AML/KYC.
• Учётная запись и использование: логин (хешированный), метаданные устройства/браузера, IP-адрес, посещённые страницы, действия в CompanyCockpit.
• Платёжные данные: обрабатывает Stripe; Foundster не хранит полные номера карт.
• Affiliate/трекинг: click ID, cookies атрибуции, события конверсии.
• Добровольный контент: информация в чатах с Foundster AI, e-mail и контактных формах.

3. Цели и правовые основания

• Предоставление Сервисов — исполнение договора.
• Соблюдение законодательных обязанностей (AML/CFT, налоги, реестр) — правовая обязанность.
• Улучшение платформы, предотвращение мошенничества и безопасность — законный интерес.
• Транзакционные и (с согласия) маркетинговые сообщения — согласие.
• Партнёрская программа — исполнение договора и законный интерес.

3a. Инструмент Tax Check (foundster.com/tax-check)

Tax Check — бесплатный анонимный инструмент, который создаёт персонализированный предварительный анализ налогов при переезде в ОАЭ. Поток данных отличается от остальных сервисов:

• Ответы формы: обрабатываются в памяти для запуска правил и AI-нарратора. Не сохраняются в базе. Правовая основа: ст. 6(1)(b) GDPR / PDPL ст. 5(2) — исполнение запрошенной услуги.
• Опциональный текст контекста: фильтруется от prompt-injection, отправляется в Google Gemini AI (Бельгия/ЕС) на время генерации отчёта, затем удаляется вместе с остальными данными формы.
• Сгенерированный отчёт: хранится под HMAC-подписанным токеном до 30 минут, пока вы не разблокируете его e-mail-ом. Удаляется в течение 60 минут после разблокировки или истечения срока.
• E-mail и имя (только после явной отправки формы): сохраняются для доставки отчёта и — если вы поставили опциональную галочку маркетинга — для редких новостей Foundster. Правовая основа: согласие (ст. 6(1)(a) GDPR / PDPL ст. 4(1)).
• Анонимный IP-хеш: SHA-256 хеш IP хранится 24 часа в памяти для лимита (3 проверки на IP в день). Сырой IP не сохраняется.
• Маркетинговые follow-up: только при согласии. Максимум 3 письма. Одна кликом отписка в каждом.
• Право на удаление: пишите на support@foundster.com — удаляем Tax Check Lead в течение 30 дней.

4. Cookies, локальное хранилище и трекинг

Мы используем строго необходимые cookies для аутентификации, языковых настроек, партнёрской атрибуции и сессии мастера заказов. Они освобождены от требования согласия (Преамбула 30 GDPR / ст. 5(3) предложение 2 Директивы ePrivacy), поскольку сайт без них не работает.

С вашего явного согласия мы дополнительно загружаем Google Analytics 4 (управляется Google Ireland Ltd. как совместный контролёр / Google LLC), чтобы понимать агрегированное использование foundster.com. Аналитика работает в Google Consent Mode v2 с состоянием по умолчанию `denied` — ни один запрос Analytics не покидает ваш браузер, пока вы не нажмёте «Принять» в баннере. IP анонимизируется (`anonymize_ip`), Google Signals и рекламная персонализация отключены. Правовое основание: ваше согласие (ст. 6(1)(a) GDPR / ст. 4(1) PDPL). Вы можете отозвать согласие в любой момент через Настройки cookie в подвале или очистив cookies в браузере.

• `foundster_consent_v2` (необходимый, ставим мы) — хранит ваш выбор (`granted` / `denied`); 12 месяцев.
• `_ga` (аналитика, только после согласия) — различает пользователей для Google Analytics; 24 месяца.
• `_ga_<container-id>` (аналитика, только после согласия) — состояние сессии Google Analytics; 24 месяца.
• Локальное хранилище — язык, партнёрская атрибуция (365 дней), черновик мастера заказов. Третьи лица это хранилище не читают.

5. Получатели и обработчики

• Stripe — платёжная обработка (Ирландия/США).
• Google Cloud / Google AI (Gemini API) — AI-ассистент, нарратор Tax Check и инфраструктура (Бельгия/США).
• Google Ireland Ltd. / Google LLC — Google Analytics 4 (Ирландия/США), только после вашего согласия на аналитику.
• Mailgun (Sinch) — транзакционная доставка e-mail (Ирландия/США) для отчётов Tax Check и подтверждений заказов.
• Replit, Inc. — хостинг (США).
• Инструменты поддержки по договорам обработки.
• Мы не продаём ваши персональные данные.

6. Международная передача данных

Данные могут обрабатываться вне ОАЭ (особенно ЕС/США). При передачах опираемся на Стандартные договорные положения, решения об адекватности или — согласно ст. 22 PDPL — равноценные гарантии. Копия гарантий доступна по запросу.

7. Срок хранения

Мы храним данные только в течение срока, необходимого для целей и соблюдения требований ОАЭ (обычно до 5 лет после завершения деловых отношений).

8. Ваши права

По PDPL и (где применимо) GDPR у вас есть права: доступ, исправление, удаление, ограничение, возражение, отзыв согласия и переносимость. Вы можете обратиться в UAE Data Office или местный надзорный орган. Запросы: support@foundster.com.

9. Безопасность

Применяем технические и организационные меры: TLS 1.3, AES-256, ролевой доступ, аудит-логи, принцип наименьших привилегий.

10. Изменения политики

Мы обновляем политику при изменении практик обработки. Существенные изменения сообщаются по e-mail или внутри приложения.