Политика конфиденциальности сервиса CV AI

1.1. Настоящая Политика конфиденциальности (далее — «Политика») определяет порядок обработки и защиты персональных данных пользователей веб-сервиса CV AI, размещённого в сети Интернет по адресу cvai.ru (далее — «Сервис»).

1.2. Политика разработана в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «152-ФЗ») и иных нормативных правовых актов Российской Федерации в области персональных данных.

1.3. Используя Сервис, Пользователь подтверждает, что ознакомлен с настоящей Политикой и согласен с её условиями. В случае несогласия с условиями Политики Пользователь обязан прекратить использование Сервиса.

1.4. Термины, используемые в настоящей Политике, применяются в значениях, определённых статьёй 3 Федерального закона № 152-ФЗ:

• «персональные данные» (далее — «ПД») — любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту ПД);
• «обработка ПД» — любое действие или совокупность действий с ПД, совершаемых с использованием средств автоматизации или без таковых;
• «оператор» — физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку ПД, а также определяющее цели и состав обрабатываемых ПД;
• «субъект ПД» — физическое лицо, которому относятся персональные данные.

2.1. Оператором персональных данных является физическое лицо, применяющее специальный налоговый режим «Налог на профессиональный доход» в соответствии с Федеральным законом от 27.11.2018 № 422-ФЗ:

• ФИО: [ФИО ОПЕРАТОРА]
• ИНН: [ИНН ОПЕРАТОРА]
• Статус: самозанятый (плательщик НПД)
• Адрес для корреспонденции: [АДРЕС]
• Контактный email: [EMAIL ОПЕРАТОРА]

2.2. Оператор включён в Реестр операторов, осуществляющих обработку персональных данных, в соответствии со статьёй 22 152-ФЗ. Регистрационный номер уведомления: [НОМЕР УВЕДОМЛЕНИЯ РКН] от [ДАТА].

2.3. По всем вопросам, связанным с обработкой ПД, Пользователь вправе обращаться к Оператору по адресу электронной почты, указанному в п. 2.1.

3.1. Оператор обрабатывает персональные данные следующих категорий субъектов:

• зарегистрированные пользователи Сервиса;
• посетители Сервиса (в части технических данных).

3.2. Состав обрабатываемых ПД при регистрации и использовании Сервиса:

3.2.1. Обязательные данные (предоставляются для создания учётной записи):

• адрес электронной почты — посредством Google OAuth или одноразовой ссылки (magic link) через сервис аутентификации Supabase Auth.

3.2.2. Дополнительные данные (предоставляются Пользователем добровольно в профиле):

• фамилия, имя, отчество;
• номер мобильного телефона;
• дата рождения;
• пол.

3.2.3. Данные, предоставляемые в составе загружаемых документов:

• содержимое файла резюме (PDF / DOCX), включая ФИО, контактные данные, сведения о трудовой деятельности, образовании, навыках, иные сведения, добровольно указанные Пользователем в резюме;
• текст описания вакансии, предоставляемый Пользователем для адаптации резюме.

3.2.4. Данные об использовании Сервиса:

• история операций (дата запроса, тип услуги, наименование вакансии, статус выполнения);
• содержимое сгенерированных Сервисом документов (адаптированное резюме, сопроводительное письмо, перечень ATS-ключевых слов).

3.2.5. Платёжные данные:

• факт совершения платежа, сумма, дата, идентификатор операции;
• данные банковских карт, реквизиты счетов и иная конфиденциальная платёжная информация Оператором не собираются и не хранятся. Обработка платежей осуществляется платёжным агрегатором ООО НКО «ЮMoney» (сервис ЮKassa) в соответствии с его собственной политикой конфиденциальности.

3.2.6. Технические данные, собираемые автоматически:

• IP-адрес;
• тип и версия браузера (user-agent);
• тип устройства, разрешение экрана, язык интерфейса;
• файлы cookie и аналогичные идентификаторы (см. раздел 11);
• сведения о действиях Пользователя на страницах Сервиса (агрегированная аналитика).

4.1. Оператор обрабатывает ПД исключительно в следующих целях:

4.1.1. Регистрация и аутентификация Пользователя в Сервисе.

4.1.2. Предоставление функциональности Сервиса:

• автоматизированная обработка резюме с использованием технологий искусственного интеллекта;
• подбор ATS-ключевых слов под описание вакансии;
• формирование сопроводительного письма;
• иные услуги по адаптации и оптимизации резюме (стоимость — от 299 рублей за услугу).

4.1.3. Учёт совершённых Пользователем операций и предоставление доступа к истории операций.

4.1.4. Обработка платежей за оказанные услуги.

4.1.5. Информационное взаимодействие с Пользователем по вопросам, связанным с использованием Сервиса (сервисные уведомления, ответы на обращения).

4.1.6. Обеспечение информационной безопасности Сервиса, выявление и предотвращение неправомерных действий.

4.1.7. Исполнение обязательств перед Пользователем по договору публичной оферты.

4.1.8. Соблюдение требований законодательства Российской Федерации.

4.2. Обработка ПД для иных целей, не указанных в пункте 4.1, не допускается без получения отдельного согласия субъекта ПД.

5.1. Правовыми основаниями обработки ПД являются:

• согласие субъекта ПД на обработку его персональных данных (п. 1 ч. 1 ст. 6 152-ФЗ), выражаемое путём совершения конклюдентных действий — регистрации в Сервисе, проставления соответствующей отметки при регистрации, загрузки файла резюме;
• необходимость исполнения договора, стороной которого является субъект ПД (п. 5 ч. 1 ст. 6 152-ФЗ);
• необходимость осуществления прав и законных интересов Оператора при условии, что не нарушаются права и свободы субъекта ПД (п. 7 ч. 1 ст. 6 152-ФЗ).

5.2. Согласие на трансграничную передачу персональных данных в государства, не обеспечивающие адекватную защиту прав субъектов ПД (раздел 8 настоящей Политики), оформляется отдельно в соответствии с требованиями статьи 12 152-ФЗ.

6.1. Обработка ПД осуществляется с использованием средств автоматизации.

6.2. Сбор персональных данных осуществляется в соответствии с требованиями ч. 5 ст. 18 152-ФЗ — запись, систематизация, накопление, хранение, уточнение и извлечение персональных данных граждан Российской Федерации производится с использованием баз данных, расположенных на территории Российской Федерации.

6.3. Оператор не осуществляет обработку специальных категорий персональных данных (раса, национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимная жизнь) и биометрических персональных данных. Если Пользователь самостоятельно включает такие сведения в загружаемое резюме, ответственность за их предоставление несёт Пользователь.

6.4. Обработка ПД, содержащихся в загруженных файлах резюме, осуществляется автоматизированно с применением технологий искусственного интеллекта (см. раздел 8). Содержимое файла резюме после обработки и предоставления результата Пользователю удаляется в сроки, указанные в разделе 7.

6.5. Оператор не принимает решений, порождающих юридические последствия в отношении Пользователя, исключительно на основании автоматизированной обработки ПД (ст. 16 152-ФЗ). Сгенерированные Сервисом результаты носят рекомендательный характер.

7.1. Оператор хранит ПД в течение сроков, необходимых для достижения целей их обработки, если иное не установлено законодательством Российской Федерации:

7.1.1. Учётные данные Пользователя (email, профиль, история операций) — до удаления учётной записи Пользователем или до направления Пользователем мотивированного запроса на удаление по адресу, указанному в п. 2.1.

7.1.2. Содержимое загруженных файлов резюме и описаний вакансий — удаляется в течение 30 (тридцати) календарных дней после завершения обработки и предоставления результата Пользователю, если иное не запрошено Пользователем явно (например, повторное использование).

7.1.3. Сгенерированные результаты (адаптированные резюме, сопроводительные письма) — хранятся в учётной записи Пользователя до её удаления.

7.1.4. Сведения о совершённых платёжных операциях — в течение сроков, установленных законодательством о бухгалтерском учёте и налоговом законодательстве (5 лет с момента совершения операции).

7.1.5. Технические логи и cookie — в течение 12 месяцев с момента сбора, если иное не установлено настройками браузера Пользователя.

7.2. По истечении сроков, указанных в пункте 7.1, ПД подлежат уничтожению или обезличиванию.

8.1. Оператор привлекает к обработке ПД следующих лиц на основании заключённых с ними соглашений (поручений на обработку в соответствии со ст. 6 152-ФЗ):

8.1.1. Supabase Inc. (США) — предоставление услуг хостинга баз данных и сервисов аутентификации. Обработка осуществляется на серверах, расположенных на территории Европейского союза (Ирландия).

8.1.2. Anthropic, PBC (США) — предоставление API доступа к большим языковым моделям семейства Claude для обработки содержимого резюме и генерации результатов. Обработка осуществляется на серверах, расположенных на территории США. Согласно публично заявленной политике Anthropic, передаваемые данные не используются для обучения моделей.

8.1.3. ООО НКО «ЮMoney» (сервис ЮKassa, Российская Федерация) — обработка платежей. ЮKassa является самостоятельным оператором ПД в части платёжной информации.

8.1.4. Vercel Inc. (США) — предоставление услуг веб-хостинга и CDN. Обработка может осуществляться на серверах, расположенных в США и Европейском союзе.

8.2. Передача ПД третьим лицам в иных случаях, не предусмотренных пунктом 8.1, осуществляется только с согласия субъекта ПД либо в случаях, прямо предусмотренных федеральными законами (ответ на запросы уполномоченных государственных органов, исполнение судебных актов).

8.3. Трансграничная передача персональных данных.

8.3.1. В рамках функционирования Сервиса осуществляется трансграничная передача ПД на территорию следующих иностранных государств:

• Соединённые Штаты Америки (Anthropic, PBC; Vercel Inc.);
• государства — члены Европейского союза, в частности Ирландия (Supabase Inc.).

8.3.2. Соединённые Штаты Америки не входят в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, утверждённый уполномоченным органом по защите прав субъектов ПД (Роскомнадзор).

8.3.3. В соответствии со ст. 12 152-ФЗ (в редакции Федерального закона от 14.07.2022 № 266-ФЗ) трансграничная передача ПД в государства, не обеспечивающие адекватной защиты, осуществляется при условии:

• получения от Пользователя отдельного согласия на трансграничную передачу персональных данных, оформляемого в письменной форме (включая электронную форму) до начала передачи;
• направления Оператором уведомления в Роскомнадзор о намерении осуществлять трансграничную передачу до начала такой передачи.

8.3.4. Согласие на трансграничную передачу ПД оформляется Пользователем при регистрации в Сервисе путём проставления отдельной отметки. Пользователь вправе в любой момент отозвать данное согласие, направив запрос на адрес электронной почты Оператора (п. 2.1). С момента отзыва согласия использование функциональности Сервиса, требующей передачи данных за рубеж (в частности, обработка резюме через Anthropic API), становится невозможным.

9.1. В соответствии со ст. 14 152-ФЗ Пользователь имеет право:

9.1.1. Получать информацию, касающуюся обработки его ПД, в том числе:

• подтверждение факта обработки;
• цели и правовые основания обработки;
• перечень обрабатываемых ПД;
• сроки обработки и хранения;
• сведения о лицах, имеющих доступ к ПД.

9.1.2. Требовать уточнения, блокирования или уничтожения своих ПД в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

9.1.3. Отозвать ранее данное согласие на обработку ПД (ч. 2 ст. 9 152-ФЗ).

9.1.4. Требовать прекращения обработки и уничтожения ПД при отсутствии правовых оснований для их дальнейшей обработки.

9.1.5. Обжаловать действия или бездействие Оператора в Роскомнадзор или в суд.

9.2. Для реализации прав, указанных в пункте 9.1, Пользователь направляет письменный запрос на адрес электронной почты Оператора (п. 2.1) с указанием:

• фамилии, имени, отчества;
• адреса электронной почты, использованного при регистрации;
• существа обращения;
• даты составления и подписи (включая электронную в форме скан-копии или электронной подписи).

9.3. Срок ответа на запрос — не более 10 (десяти) рабочих дней с момента его получения, в случаях, предусмотренных законодательством, — до 30 дней.

9.4. Удаление учётной записи и связанных с ней ПД осуществляется по запросу Пользователя в срок не более 10 (десяти) рабочих дней с момента получения запроса, за исключением сведений, обязательных к хранению в силу закона (п. 7.1.4).

10.1. В соответствии со ст. 19 152-ФЗ Оператор принимает необходимые правовые, организационные и технические меры для защиты ПД от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий, в том числе:

10.1.1. Шифрование передачи (in transit):

• весь трафик между устройством Пользователя и Сервисом передаётся исключительно по протоколу HTTPS с применением TLS 1.3;
• для защиты от downgrade-атак используется механизм HSTS (HTTP Strict Transport Security) с включением subdomains и сроком действия 12 месяцев;
• устаревшие версии TLS (1.0, 1.1) и небезопасные шифры на серверной стороне отключены.

10.1.2. Шифрование хранения (at rest):

• данные в реляционной БД хранятся с применением шифрования AES-256 на уровне дискового хранилища провайдера (Supabase managed encryption);
• файлы (резюме, аудиозаписи собеседований) хранятся в изолированных bucket'ах Object Storage с server-side encryption и доступом только через временные подписанные URL;
• резервные копии БД шифруются тем же ключом и хранятся в режиме point-in-time recovery (срок — 7 дней).

10.1.3. Принципы доступа Оператора к данным:

• Оператор НЕ осуществляет ручной просмотр содержимого загруженных Пользователем резюме, текстов вакансий и аудиозаписей. Обработка производится исключительно автоматизированной системой;
• исключения, при которых ручной доступ возможен: (а) явный запрос Пользователя в поддержку с просьбой проверить конкретный документ; (б) расследование критической технической ошибки, повлёкшей сбой обработки; (в) исполнение запроса уполномоченных государственных органов в порядке, установленном законом;
• любой ручной доступ фиксируется в журнале аудита с указанием даты, причины и идентификатора оператора;
• сотрудники подрядчиков (Supabase, Vercel, Anthropic) имеют доступ к инфраструктуре, но не к расшифрованному содержимому пользовательских документов в обычном режиме эксплуатации.

10.1.4. Защита от использования данных в обучении моделей:

• Anthropic, PBC согласно публично заявленной политике (см. Anthropic Commercial Terms) не использует API-запросы коммерческих клиентов для обучения базовых моделей Claude;
• Оператор не передаёт пользовательские документы в сторонние сервисы за пределами перечня, указанного в разделе 8;
• Оператор не использует пользовательские документы для разработки или обучения собственных моделей.

10.1.5. Иные меры:

• разграничение доступа к данным по принципу минимально необходимых привилегий (least privilege);
• аутентификация через OAuth-провайдеров (Google, Яндекс) и Telegram Login Widget (HMAC-SHA256-подпись запросов от Telegram-серверов) — пароли в Сервисе не хранятся;
• применение современных HTTP security headers: Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy;
• регулярное резервное копирование с возможностью восстановления;
• ограничение доступа третьих лиц на основании заключённых соглашений о конфиденциальности и поручений на обработку;
• ведение журналов учёта операций с ПД с возможностью аудита.

10.2. Оператор не гарантирует абсолютной защищённости передаваемой через сеть Интернет информации, однако обязуется принимать все разумные меры для предотвращения её утраты или несанкционированного доступа.

10.3. В случае выявления инцидента информационной безопасности (несанкционированный доступ, утечка ПД) Оператор уведомляет Роскомнадзор в порядке и сроки, установленные ст. 21 152-ФЗ, а также информирует затронутых субъектов ПД через адрес электронной почты, указанный при регистрации.

11.1. Сервис использует файлы cookie и аналогичные технологии для:

• обеспечения работоспособности Сервиса (сессионные cookie, обязательные);
• сохранения настроек Пользователя;
• сбора агрегированной статистики использования Сервиса.

11.2. Пользователь вправе самостоятельно настроить или отключить приём cookie через настройки браузера. Отключение обязательных (сессионных) cookie может привести к ограничению функциональности Сервиса.

12.1. Сервис предназначен для использования лицами, достигшими 18 (восемнадцати) лет.

12.2. Регистрируясь в Сервисе, Пользователь подтверждает, что ему исполнилось 18 лет. В случае выявления факта регистрации лица, не достигшего 18 лет, его учётная запись подлежит удалению, а связанные с ней ПД — уничтожению.

12.3. Оператор не осуществляет целенаправленный сбор и обработку ПД несовершеннолетних.

13.1. Оператор вправе вносить изменения в настоящую Политику. Актуальная редакция Политики размещается по адресу cvai.ru с указанием даты вступления в силу.

13.2. Существенные изменения, затрагивающие права субъектов ПД (в частности, расширение перечня третьих лиц или целей обработки), доводятся до Пользователей путём направления уведомления на адрес электронной почты, указанный при регистрации, не позднее чем за 10 (десять) календарных дней до вступления изменений в силу.

13.3. Продолжение использования Сервиса после вступления изменений в силу означает согласие Пользователя с новой редакцией Политики.

14.1. К отношениям, регулируемым настоящей Политикой, применяется законодательство Российской Федерации.

14.2. По вопросам, не урегулированным Политикой, применяются положения 152-ФЗ и иных нормативных правовых актов Российской Федерации.

14.3. Все споры, возникающие в связи с обработкой ПД, разрешаются путём переговоров. При недостижении согласия — в судебном порядке по месту нахождения Оператора.

14.4. По всем вопросам, связанным с настоящей Политикой и обработкой ПД, обращаться по адресу: [EMAIL ОПЕРАТОРА].

14.5. Жалобы на действия Оператора могут быть направлены в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор):

• почтовый адрес: 109074, г. Москва, Китайгородский пр., д. 7, стр. 2;
• официальный сайт: rkn.gov.ru.