Privacy Policy – PhantomPay

Version dated 4 January 2026

1. General Provisions

1.1. This Privacy Policy (the "Policy") defines the procedure for the collection, use, storage, transfer, and protection of personal data of users ("User", "you") when using the PhantomPay services ("Services") through available interfaces, including the website and the Mini-App (collectively, the "Access Interfaces").

1.2. The personal data controller is PhantomPay and other companies of the PhantomPay Group (collectively, the "Group", "we", "us"), unless expressly stated otherwise.

1.3. This Policy forms an integral part of the PhantomPay Terms & Conditions and applies in conjunction with them.

1.4. Where the User is located in the European Economic Area (EEA) or the United Kingdom, processing is carried out in accordance with Regulation (EU) 2016/679 (GDPR) and the UK GDPR respectively.

2. Legal Grounds for Data Processing

We process the User's personal data on the following legal grounds:

(a) performance of a contract — provision of the Services in accordance with the Terms & Conditions;
(b) compliance with legal obligations, including AML/CTF requirements, sanctions legislation, and requirements of payment systems and issuing banks;
(c) legitimate interests of the Group, including ensuring security, fraud prevention, risk management, and improvement of the Services;
(d) the User's consent, where and when such consent is required by applicable law (for example, for marketing communications).

3. Categories of Personal Data Processed

Depending on the Services used, we may process, to the extent necessary and proportionate, the following categories of data:

a) identification data (full name, date of birth, citizenship);
b) contact data (email address, phone number);
c) identity document data;
d) data required for KYC / AML / sanctions checks;
e) information on source of funds and transactional activity;
f) technical data (IP address, device data, logs);
g) data on the use of the Services and Access Interfaces.

Such data are processed solely for the purposes specified in Section 4 and are not used beyond what is necessary. Where required by applicable law, cookies and similar technologies are used with the User's consent.

4. Purposes of Personal Data Processing

Personal data are processed for the following purposes:

a) registration, onboarding, and account maintenance;
b) provision of the Services (cards, wallets, exchanges, virtual accounts);
c) compliance with AML/CTF, sanctions, and regulatory requirements;
d) fraud prevention and risk management;
e) interaction with the User and customer support;
f) fulfillment of obligations to payment and card partners;
g) improvement, testing, and development of the Services;
h) delivery of service-related notifications;
i) delivery of marketing messages only where consent is provided, if required.

5. Transfer of Personal Data to Third Parties

5.1. We may transfer the User's personal data to: a) companies within the Group; b) card issuers and payment partners; c) custodial and payment service providers; d) KYC/AML, antifraud, and IT service providers; e) governmental and regulatory authorities — where lawful grounds exist.

5.2. Data transfers are carried out only to the extent necessary for the relevant purpose and subject to contractual confidentiality obligations.

5.3. Transfer of data to third parties for marketing purposes is permitted only with the User's separate consent, where required by applicable law.

5.4. Certain third parties, including card issuers, payment schemes and custodial service providers, may process personal data as independent data controllers in accordance with their own privacy policies and legal obligations.

6. Cross-Border Data Transfers

Due to the cross-border nature of the Services, personal data may be transferred to and processed outside the User's country of residence, including outside the EEA. In such cases, the Group ensures that appropriate safeguards are in place (such as Standard Contractual Clauses or adequacy decisions) in accordance with applicable law, including GDPR Chapter V.

7. User Rights

To the extent permitted by applicable law (including GDPR Articles 15–22 for EEA/UK users), the User has the right to:

a) request access to their personal data;
b) request correction or updating of personal data;
c) request deletion of personal data, unless retention is required by law;
d) restrict or object to processing;
e) data portability (where processing is based on consent or contract);
f) withdraw consent to data processing (where applicable);
g) lodge complaints with a competent supervisory authority (e.g. CNIL in France, ICO in the UK).

Requests may be submitted via the Service's support channels. We will respond within 30 days.

8. Data Retention and Protection

8.1. Personal data are retained no longer than necessary for the purposes of processing or as required by applicable law. In accordance with AML/CTF legislation, certain personal data (including identity verification and transaction records) may be retained for up to 5–10 years after termination of the relationship, where required by applicable law.

8.2. We implement reasonable technical and organizational measures to protect data against loss, unauthorized access, alteration, or disclosure.

9. Automated Decision-Making

We may use automated systems, including risk-scoring and fraud-detection tools, to assess transactions and user activity. Such processing may result in temporary restrictions or additional verification requests. Users may contact support to request human review where applicable, in accordance with GDPR Article 22.

10. Marketing Communications

10.1. Service and operational notifications are an integral and mandatory part of the provision of the Services.

10.2. Marketing communications are sent only in cases and to the extent permitted by applicable law and subject to the User's consent, where required. The User may opt out of marketing communications at any time.

11. Cookies and Technical Data

We only use strictly necessary cookies unless additional consent is obtained. No marketing or tracking cookies are set without explicit user consent. The User may manage cookies through their device or browser settings.

12. Changes to the Policy

We reserve the right to update this Policy. The current version is made available through the Access Interfaces. Continued use of the Services constitutes acknowledgment of the updated version.

13. Contact Details

For questions related to the processing of personal data, the User may contact the Service's support team through the Access Interfaces or via email: —

Политика конфиденциальности – PhantomPay

Версия от 4 января 2026 г.

1. Общие положения

1.1. Настоящая Политика конфиденциальности («Политика») определяет порядок сбора, использования, хранения, передачи и защиты персональных данных пользователей («Пользователь», «вы») при использовании сервисов PhantomPay («Сервисы») через доступные интерфейсы, включая веб-сайт и мини-приложение (совместно — «Интерфейсы доступа»).

1.2. Оператором персональных данных является PhantomPay и иные компании группы PhantomPay (совместно — «Группа», «мы», «нас»), если иное прямо не указано.

1.3. Настоящая Политика является неотъемлемой частью Пользовательского соглашения PhantomPay и применяется совместно с ним.

1.4. Если Пользователь находится в Европейской экономической зоне (ЕЭЗ) или Великобритании, обработка данных осуществляется в соответствии с Регламентом (ЕС) 2016/679 (GDPR) и UK GDPR соответственно.

2. Правовые основания обработки данных

Мы обрабатываем персональные данные Пользователя на следующих правовых основаниях:

(а) исполнение договора — предоставление Сервисов в соответствии с Пользовательским соглашением;
(б) соблюдение правовых обязательств, включая требования ПОД/ФТ, санкционного законодательства, платёжных систем и банков-эмитентов;
(в) законные интересы Группы, включая обеспечение безопасности, предотвращение мошенничества, управление рисками и улучшение Сервисов;
(г) согласие Пользователя, когда оно требуется по применимому законодательству (например, для маркетинговых коммуникаций).

3. Категории обрабатываемых персональных данных

В зависимости от используемых Сервисов мы можем обрабатывать следующие категории данных:

а) идентификационные данные (ФИО, дата рождения, гражданство);
б) контактные данные (адрес электронной почты, номер телефона);
в) данные документов, удостоверяющих личность;
г) данные для проверок KYC / ПОД/ФТ / санкционных проверок;
д) сведения об источниках средств и транзакционной активности;
е) технические данные (IP-адрес, данные устройства, журналы);
ж) данные об использовании Сервисов и Интерфейсов доступа.

Данные обрабатываются исключительно в целях, указанных в разделе 4. Там, где это требуется по закону, файлы cookie применяются с согласия Пользователя.

4. Цели обработки персональных данных

Персональные данные обрабатываются в следующих целях:

а) регистрация, онбординг и ведение учётной записи;
б) предоставление Сервисов (карты, кошельки, обмен, виртуальные счета);
в) соблюдение требований ПОД/ФТ, санкционного и регуляторного законодательства;
г) предотвращение мошенничества и управление рисками;
д) взаимодействие с Пользователем и поддержка клиентов;
е) исполнение обязательств перед платёжными партнёрами и партнёрами по выпуску карт;
ж) улучшение, тестирование и развитие Сервисов;
з) направление сервисных уведомлений;
и) направление маркетинговых сообщений только при наличии согласия, если оно требуется.

5. Передача персональных данных третьим лицам

5.1. Мы можем передавать персональные данные Пользователя: а) компаниям внутри Группы; б) эмитентам карт и платёжным партнёрам; в) кастодиальным и платёжным провайдерам; г) провайдерам KYC/ПОД/ФТ, антифрода и IT-услуг; д) государственным и регуляторным органам — при наличии законных оснований.

5.2. Передача данных осуществляется только в объёме, необходимом для соответствующей цели, и при наличии договорных обязательств о конфиденциальности.

5.3. Передача данных третьим лицам в маркетинговых целях допускается только с отдельного согласия Пользователя, если оно требуется по применимому законодательству.

5.4. Некоторые третьи лица, включая эмитентов карт, платёжные системы и кастодиальных провайдеров, могут обрабатывать персональные данные в качестве самостоятельных операторов в соответствии со своими политиками конфиденциальности.

6. Трансграничная передача данных

В связи с трансграничным характером Сервисов персональные данные могут передаваться и обрабатываться за пределами страны проживания Пользователя, в том числе за пределами ЕЭЗ. В таких случаях Группа обеспечивает наличие надлежащих гарантий (таких как Стандартные договорные условия или решения об адекватности) в соответствии с применимым законодательством, включая Главу V GDPR.

7. Права пользователя

В объёме, допустимом применимым законодательством (включая статьи 15–22 GDPR для пользователей из ЕЭЗ/Великобритании), Пользователь вправе:

а) запросить доступ к своим персональным данным;
б) запросить исправление или обновление персональных данных;
в) запросить удаление персональных данных, если их хранение не требуется по закону;
г) ограничить обработку или возразить против неё;
д) получить данные в переносимом формате (если обработка основана на согласии или договоре);
е) отозвать согласие на обработку данных (при наличии);
ж) подать жалобу в компетентный надзорный орган (например, CNIL во Франции, ICO в Великобритании).

Запросы могут быть направлены через каналы поддержки Сервиса. Мы ответим в течение 30 дней.

8. Хранение и защита данных

8.1. Персональные данные хранятся не дольше, чем необходимо для целей обработки или как того требует применимое законодательство. В соответствии с требованиями ПОД/ФТ отдельные категории данных (включая записи о верификации личности и транзакциях) могут храниться до 5–10 лет после прекращения отношений.

8.2. Мы применяем разумные технические и организационные меры для защиты данных от утраты, несанкционированного доступа, изменения или раскрытия.

9. Автоматизированное принятие решений

Мы можем использовать автоматизированные системы, включая инструменты оценки рисков и обнаружения мошенничества, для анализа транзакций и активности пользователей. Такая обработка может привести к временным ограничениям или запросам на дополнительную верификацию. Пользователь вправе обратиться в службу поддержки для запроса проверки с участием человека, в соответствии со статьёй 22 GDPR.

10. Маркетинговые коммуникации

10.1. Сервисные и операционные уведомления являются неотъемлемой частью предоставления Сервисов.

10.2. Маркетинговые коммуникации направляются только в случаях и в объёме, допустимых применимым законодательством, и при наличии согласия Пользователя, если оно требуется. Пользователь вправе отказаться от маркетинговых коммуникаций в любое время.

11. Файлы cookie и технические данные

Мы используем только строго необходимые файлы cookie, если дополнительное согласие не получено. Маркетинговые и трекинговые cookie не устанавливаются без явного согласия пользователя. Пользователь может управлять файлами cookie через настройки своего устройства или браузера.

12. Изменения в Политике

Мы оставляем за собой право обновлять настоящую Политику. Актуальная версия размещается в Интерфейсах доступа. Продолжение использования Сервисов означает принятие обновлённой версии.

13. Контактные данные

По вопросам обработки персональных данных Пользователь может обратиться в службу поддержки через Интерфейсы доступа или по электронной почте: —