Политика обработки персональных данных

Настоящая Политика обработки персональных данных (далее — «Политика») разработана в соответствии с Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных» (далее — «152-ФЗ»), Постановлением Правительства РФ от 15 сентября 2008 г. №687, Постановлением Правительства РФ от 1 ноября 2012 г. №1119 и иными нормативно-правовыми актами Российской Федерации в области персональных данных.

Политика определяет порядок обработки персональных данных (далее — «ПДн») и меры по обеспечению их безопасности, применяемые Оператором сервиса «PreApply» (preapply.ru) (далее — «Оператор») в отношении физических лиц (далее — «Субъекты ПДн») — пользователей сервиса.

Политика является публичным документом и подлежит неограниченному раскрытию (ст.18.1 ч.2 152-ФЗ). Она размещена в открытом доступе по адресу preapply.ru/personal-data-policy.

Оператор обрабатывает ПДн на основании следующих принципов (ст.5 152-ФЗ):

1. законности и справедливой основы;
2. ограничения обработки ПДн достижением конкретных, заранее определённых и законных целей;
3. недопущения обработки ПДн, несовместимой с целями их сбора;
4. недопущения объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
5. обработки только тех ПДн, которые отвечают целям их обработки;
6. соответствия содержания и объёма обрабатываемых ПДн заявленным целям;
7. обеспечения точности, достаточности и актуальности ПДн;
8. уничтожения или обезличивания ПДн по достижении целей обработки или в случае утраты необходимости в их достижении.

Оператор обрабатывает ПДн на следующих основаниях:

• Согласие Субъекта ПДн (ст.6 ч.1 п.1 152-ФЗ), оформляемое отдельным документом — см. «Согласие на обработку персональных данных», — Субъект подтверждает его при регистрации в сервисе.
• Исполнение договора, стороной которого является Субъект ПДн (ст.6 ч.1 п.5 152-ФЗ) — публичной оферты, размещённой по адресу /terms.
• Законные интересы Оператора (ст.6 ч.1 п.7 152- ФЗ) — для целей обеспечения безопасности сервиса, расследования инцидентов, противодействия мошенничеству, при условии что эти интересы не нарушают прав и свобод Субъекта ПДн.
• Исполнение обязанностей, возложенных законодательством РФ (ст.6 ч.1 п.2 152-ФЗ) — например, хранение бухгалтерских документов в течение установленных сроков.

Оператор обрабатывает ПДн исключительно в следующих целях:

1. регистрация и идентификация Субъекта ПДн в сервисе, проверка подлинности учётной записи;
2. оказание услуг сервиса «PreApply» — автоматизированный анализ резюме Субъекта, генерация адаптированных версий резюме и сопроводительных писем под конкретные вакансии, аудит соответствия, помощь в поиске работы;
3. направление Субъекту информационных и служебных сообщений, связанных с работой сервиса;
4. обработка платежей за платные тарифы, учёт операций, выдача кассовых чеков;
5. направление маркетинговых и информационных рассылок — только при наличии отдельного согласия Субъекта;
6. формирование обезличенной аналитики использования сервиса для улучшения функциональности;
7. обеспечение технической поддержки, расследование жалоб, предотвращение злоупотреблений;
8. исполнение требований законодательства РФ.

Оператор обрабатывает ПДн следующих категорий лиц:

• Зарегистрированные пользователи сервиса — физические лица, достигшие возраста 18 лет, прошедшие регистрацию и принявшие условия Пользовательского соглашения и настоящую Политику;
• Посетители сайта preapply.ru — в части обработки технических данных (IP-адрес, cookies, user-agent), необходимых для обеспечения работы сайта и сбора обезличенной аналитики;
• Лица, направившие обращения по электронной почте Оператору — в объёме, необходимом для ответа на обращение.

Оператор не обрабатывает ПДн несовершеннолетних (лиц до 18 лет), биометрические и специальные категории ПДн (ст.10, 11 152-ФЗ).

Оператор обрабатывает следующие категории ПДн в объёме, необходимом для достижения заявленных целей:

1. Учётные данные:

• адрес электронной почты;
• Telegram-идентификатор и публичный username (при входе через Telegram-бот);
• хэш пароля (при использовании парольной авторизации);
• дата регистрации, дата последнего входа.

2. Профиль пользователя:

• фамилия, имя, отчество;
• город;
• контактный телефон;
• Telegram-контакт для отображения в резюме;
• желаемая должность, опыт в годах, желаемая заработная плата;
• сведения об опыте работы (наименования организаций, должности, периоды, описание обязанностей и достижений);
• сведения об образовании (учебные заведения, специальности, периоды);
• навыки, владение языками;
• файл резюме в форматах PDF/DOCX, загруженный Субъектом.

3. Данные использования сервиса:

• тексты и ссылки вакансий, добавленные Субъектом для адаптации;
• результаты генерации резюме и сопроводительных писем;
• история откликов в трекере (статусы, даты, заметки Субъекта);
• история подписок и платежей.

4. Технические данные:

• IP-адрес (хранится в обезличенной форме — без последнего октета);
• user-agent браузера, тип устройства, операционная система;
• предполагаемая геолокация по IP-адресу (страна, регион);
• cookies (см. Политика конфиденциальности, раздел 8);
• логи запросов к API (без чувствительного содержимого).

Оператор осуществляет следующие действия с ПДн (ст.3 п.3 152-ФЗ):

• сбор;
• запись;
• систематизация;
• накопление;
• хранение;
• уточнение (обновление, изменение);
• извлечение;
• использование;
• передача (предоставление, доступ), включая трансграничную передачу — см. раздел 9;
• обезличивание;
• блокирование;
• удаление, уничтожение.

Обработка осуществляется как с использованием средств автоматизации (информационные системы Оператора, серверная инфраструктура), так и без таковых (при работе с обращениями по электронной почте).

Оператор поручает обработку ПДн следующим лицам на основании договоров, содержащих условия конфиденциальности (ст.6 ч.3 152- ФЗ):

• Хостинг-провайдер (Россия) — для размещения серверной инфраструктуры. ПДн физически хранятся на серверах, расположенных на территории Российской Федерации.
• ООО «Яндекс» (Россия) — обработка обезличенной статистики посещения сайта через сервис «Яндекс.Метрика» (счётчик №109412252).
• Поставщики платёжных сервисов (Россия) — обработка платежей за платные тарифы. Сведения о банковских картах вводятся непосредственно на стороне платёжной системы и Оператору не передаются.
• LLM-провайдеры (DeepSeek, Китай; OpenAI и Anthropic, США) — обработка обезличенных текстовых данных для генерации адаптированного резюме и сопроводительных писем (см. раздел 9 о трансграничной передаче).

Оператор не передаёт ПДн третьим лицам в иных целях, включая маркетинговые рассылки от третьих лиц, продажу ПДн, передачу в рекламные сети.

В целях оказания услуг сервиса Оператор осуществляет трансграничную передачу ПДн в следующих странах:

• Китайская Народная Республика — оператор: DeepSeek (deepseek.com), для использования LLM-модели в задачах анализа и генерации текста;
• Соединённые Штаты Америки — операторы: OpenAI (openai.com), Anthropic (anthropic.com), для использования LLM-моделей в задачах генерации текста.

Передача осуществляется после обезличивания: фамилия, имя, отчество, электронная почта, телефон и Telegram-контакт Субъекта заменяются техническими токенами до отправки. Восстановление реальных значений производится на стороне Оператора, в России. Передаются сведения, минимально необходимые для решения текущей задачи (анализируемое резюме, текст вакансии).

Трансграничная передача осуществляется на основании отдельного согласия Субъекта ПДн (ст. 12 152-ФЗ).

Оператор уведомил уполномоченный орган по защите прав субъектов ПДн (Роскомнадзор) о намерении осуществлять трансграничную передачу до её начала (ст.12 ч.3-12 152-ФЗ).

В соответствии с ч.5 ст.18 152-ФЗ Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение и извлечение ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

Сроки хранения ПДн:

• ПДн учётной записи и профиля — в течение всего срока существования учётной записи и в течение 30 (тридцати) календарных дней после её удаления;
• файлы резюме, тексты вакансий, результаты генерации, история откликов — в течение всего срока существования учётной записи Субъекта;
• технические журналы и обезличенная аналитика — в течение 12 (двенадцати) месяцев с момента сбора;
• бухгалтерские документы и информация о платежах — в течение 5 (пяти) лет в соответствии со ст.23 Налогового кодекса РФ;
• резервные копии баз данных — в течение не более 30 (тридцати) календарных дней с автоматической ротацией.

В соответствии со ст.18.1 и 19 152-ФЗ, Постановлением Правительства РФ №1119 от 01.11.2012, Оператор применяет организационные и технические меры по защите ПДн:

Организационные меры:

• назначение лица, ответственного за организацию обработки ПДн;
• принятие настоящей Политики и иных локальных актов по обработке ПДн;
• ознакомление лиц, имеющих доступ к ПДн, с положениями законодательства и внутренних документов Оператора;
• ограничение круга лиц, имеющих доступ к ПДн, минимально необходимым составом;
• осуществление внутреннего контроля соответствия обработки ПДн требованиям 152-ФЗ.

Технические меры:

• шифрование канала передачи данных (TLS/HTTPS) для всех соединений с серверами Оператора;
• хранение паролей в виде криптографических хэшей с применением алгоритма bcrypt;
• аутентификация пользователей с использованием токенов (JWT), имеющих ограниченный срок действия;
• регулярное резервное копирование баз данных;
• обезличивание ПДн при передаче в LLM-сервисы (см. раздел 9);
• ведение журналов действий с ПДн для расследования инцидентов;
• антивирусная защита и контроль целостности серверных конфигураций;
• обновление программного обеспечения и применение патчей безопасности.

В соответствии с главой 3 152-ФЗ Субъект ПДн имеет право:

• получать информацию о наличии у Оператора своих ПДн, об источнике, целях, сроках, способах обработки;
• требовать уточнения, блокирования или уничтожения своих ПДн в случае их неполноты, неактуальности, незаконной обработки;
• отозвать согласие на обработку ПДн (ст.9 ч.2 152-ФЗ);
• обжаловать действия или бездействие Оператора в уполномоченный орган (Роскомнадзор) либо в судебном порядке.

Для реализации перечисленных прав Субъект ПДн направляет обращение по адресу электронной почты support@preapply.ru. Обращение должно содержать:

• фамилию, имя, отчество Субъекта ПДн;
• адрес электронной почты учётной записи в сервисе;
• суть запроса;
• подпись Субъекта (для письменных обращений).

Срок ответа на обращение — 30 (тридцать) дней (ст.20 ч.4 152-ФЗ).

Часть прав может быть реализована Субъектом самостоятельно: в разделе Профиль можно изменить любые поля профиля и резюме; в разделе Настройки доступна функция удаления учётной записи (что эквивалентно отзыву согласия на обработку).

При выявлении инцидентов, связанных с неправомерной обработкой, распространением, доступом к ПДн, утечкой или иным нарушением конфиденциальности, Оператор:

1. в течение 24 часов с момента обнаружения уведомляет Роскомнадзор о произошедшем инциденте (ст.21 ч.3.1 152-ФЗ);
2. в течение 72 часов проводит внутреннее расследование и направляет в Роскомнадзор результаты расследования с указанием принятых мер;
3. уведомляет затронутых Субъектов ПДн при наличии существенного риска нарушения их прав и интересов;
4. принимает меры по устранению причин и последствий инцидента, предотвращению повторных случаев.

Лицо, ответственное за организацию обработки ПДн у Оператора (ст. 22.1 152-ФЗ):

• ФИО: Ульянов Егор Борисович
• Контакт: support@preapply.ru

Оператор оставляет за собой право вносить изменения в настоящую Политику. Актуальная редакция размещена в открытом доступе по адресу preapply.ru/personal-data-policy. Существенные изменения вступают в силу с даты, указанной в новой редакции в графе «Действует с».

Архив предыдущих редакций предоставляется по запросу Субъекта по адресу support@preapply.ru.