Политика конфиденциальности

1. Кто обрабатывает данные

Оператором персональных данных является ИП Бирюкова Яна Владимировна (ИНН 010510099667, ОГРНИП 326774600321772, далее — «Оператор»). Полные реквизиты — в публичной оферте. Связь: hello@vibeoffer.today.

Политика разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

2. Какие данные собираем

При регистрации и использовании Сервиса Оператор собирает следующие категории данных:

• Идентификаторы: имя, email, IP-адрес, user-agent браузера.
• Профессиональные данные: текст CV, целевые роли, ожидания по зарплате, география поиска, опыт работы.
• Платёжные: только маскированный номер карты (последние 4 цифры) и идентификатор транзакции у CloudPayments. Полный номер карты и CVV никогда не передаются Оператору — обрабатываются на стороне CloudPayments в соответствии со стандартом PCI DSS Level 1.
• Учётные записи сторонних сервисов: при подключении hh.ru-аккаунта — cookies HH в зашифрованном виде (AES-256). Пароль HH никогда не сохраняется в открытом виде.
• Поведенческие: история сканирований, оценки вакансий, взаимодействия с AI-чатом.

3. Цели обработки

• Оказание услуг согласно публичной оферте;
• Биллинг и фискализация платежей;
• Персонализация рекомендаций (AI-анализ CV против вакансий);
• Уведомления о новых вакансиях, важных событиях аккаунта (на email);
• Безопасность (предотвращение fraud, abuse, rate-limiting);
• Соблюдение требований законодательства РФ.

4. Передача третьим лицам

Оператор не продаёт и не передаёт персональные данные третьим лицам, за исключением следующих случаев:

• Anthropic, PBC (США): для работы AI-функций (анализ CV, оценка вакансий, AI-чат). Передаётся текст CV и тексты вакансий без идентификаторов пользователя. Anthropic заявляет о невозможности использования данных для обучения моделей в режиме API (zero data retention).
• ООО «КЛАУДПЭЙМЕНТС» (CloudPayments): для проведения платежа — email, сумма, идентификатор подписки.
• Supabase Inc. (США/ЕС): провайдер базы данных (хостинг). Данные хранятся в зашифрованном виде в регионе ЕС.
• Vercel Inc. (США): хостинг приложения.
• HH.ru: только при использовании авто-отклика — отправляется сгенерированное CV и сопроводительное письмо.
• По требованию органов власти РФ — в рамках, установленных законом.

Трансграничная передача данных: в США (Anthropic, Vercel). Пользователь даёт согласие на такую передачу при регистрации.

5. Сроки хранения

• Активный аккаунт: данные хранятся до удаления аккаунта пользователем.
• После удаления аккаунта: 30 дней soft-delete (на случай восстановления), затем полное удаление, за исключением финансовой отчётности (хранится 4 года в соответствии с НК РФ).
• Логи операций: 90 дней, затем анонимизируются.

6. Права пользователя

В соответствии со ст. 14 152-ФЗ Пользователь вправе:

• Получить копию всех данных о себе;
• Требовать исправления неточных данных;
• Требовать удаления своих данных (право быть забытым) — в течение 10 рабочих дней;
• Отозвать согласие на обработку в любой момент;
• Обжаловать действия Оператора в Роскомнадзоре.

Для реализации этих прав — письмо на hello@vibeoffer.today с темой «Запрос по 152-ФЗ».

7. Cookies и аналитика

Сервис использует cookies строго для следующих целей:

• Sessions: поддержание входа в аккаунт (httpOnly, secure, SameSite=Lax).
• CSRF-токены: защита от межсайтовой подделки запросов.

Маркетинговые cookies, рекламные пиксели, сторонние трекеры — НЕ используются.

8. Защита данных

• TLS 1.3 для всех соединений;
• Пароли хешируются bcrypt (стандарт Supabase Auth);
• HH-cookies шифруются AES-256 с уникальным IV на запись;
• Row-Level Security в БД — пользователь видит только свои данные;
• Rate-limiting на чувствительные эндпоинты.

9. Изменения политики

Оператор уведомляет об изменениях политики на этой странице минимум за 7 календарных дней до вступления в силу. Дата последнего обновления указана в шапке.