Политика конфиденциальности
Последнее обновление: 2026-05-24 — версия 3 (ЧЕРНОВИК — ожидает одобрения юриста ОАЭ; отражает архитектурные изменения Specialist A от 2026-05-24).
Приоритетный язык. Английская версия этой Политики конфиденциальности является аутентичным юридическим текстом. Русская и арабская версии предоставлены для удобства чтения. В случае любых расхождений между языковыми версиями приоритет имеет английский текст.
1. Кто мы и как с нами связаться
AI Career Consultant («AI-CC», «мы») — оператор Telegram-бота @career_apply_bot и сайта careerconsultant.io. Для целей EU/UK GDPR, Федерального декрета-закона ОАЭ № 45 от 2021 года («UAE PDPL») и Закона Саудовской Аравии о защите персональных данных («Saudi PDPL») мы являемся оператором (контролёром) данных.
Общие вопросы — support@careerconsultant.io. Вопросы приватности, запросы субъекта данных и всё, что касается Чувствительных заметок о карьере — privacy@careerconsultant.io; это контакт нашего ответственного за приватность / DPO. Если в течение 30 дней ты не получил содержательного ответа, ты вправе обратиться в надзорный орган по своей юрисдикции (см. раздел 8).
2. Что мы собираем
Мы собираем следующие категории персональных данных. По каждой указываем правовое основание (GDPR Art. 6 / UAE PDPL Art. 4-5 [verify]).
- Идентификатор Telegram — user ID, username (если задан), имя, код языка. Передаётся Telegram при взаимодействии с ботом. Основание: исполнение договора (GDPR Art. 6(1)(b); UAE PDPL Art. 4(2) [verify]).
- Содержимое Master Resume — карьерная история, навыки, целевые роли, достижения. Основание: исполнение договора (GDPR Art. 6(1)(b)).
- Сгенерированные документы — CV, cover letter, ответы на вопросы по вакансиям. Основание: исполнение договора.
- Данные использования — какие функции применял, какие вакансии смотрел, какие документы генерировал. Основание: законный интерес в эксплуатации сервиса, защите от злоупотреблений и улучшении продукта (GDPR Art. 6(1)(f)); ты вправе возразить в любой момент по разделу 8.
- Метаданные платежей — тариф, даты, суммы, статус. Реквизиты карты обрабатывает платёжный провайдер, на наши серверы они не попадают. Основание: исполнение договора и юридическая обязанность (GDPR Art. 6(1)(b)-(c)) — налоговый и бухгалтерский учёт.
- Чувствительные заметки о карьере — только если ты явно согласился на сессию Recall Coach (см. раздел 4). Основание: твоё явное, конкретное, добровольное, информированное и отзывное согласие (GDPR Art. 6(1)(a) и Art. 9(2)(a); UAE PDPL Art. 6 [verify]; Saudi PDPL Art. 6 [verify]).
Замечание о защищённых признаках. Во время сессии Recall Coach ты можешь упомянуть детали, которые по GDPR Art. 9 или UAE PDPL Art. 15 [verify] квалифицируются как специальные категории / чувствительные данные — например, эпизод со здоровьем за уходом с роли или религиозный повод для переезда. Мы об этом не спрашиваем и просим тебя не делиться этим, если это не критично для карьерного нарратива. Если ты всё же поделился — мы относимся к этому как к части твоих Чувствительных заметок (раздел 4): шифруем, маскируем, аудируем, даём возможность удалить по одной. Юридическая опора — твоё явное согласие по GDPR Art. 9(2)(a) и эквивалентам в UAE PDPL [verify] и Saudi PDPL Art. 6 [verify].
3. Что мы НЕ собираем
- Не собираем номер карты — это делает платёжный провайдер.
- Не получаем доступ к твоим контактам Telegram или другим чатам.
- Не подаёмся на вакансии от твоего имени автоматически.
- Мы не принимаем в отношении тебя решений, которые порождают юридические последствия или сопоставимым образом значимо тебя затрагивают, за исключением классификации референсов категории «avoid», описанной в 4.8 ниже. Генерация документов — это инструмент в твоих руках; мы не оцениваем, не ранжируем тебя и не делимся тобой с работодателями без твоей инициативы.
4. Чувствительные заметки о карьере
Если ты запускаешь сессию Recall Coach — наш глубокий карьерный интервью-флоу — мы можем, только с твоего явного согласия в начале сессии, сохранить небольшое количество чувствительных заметок о твоей карьере. Юридическая опора в этом разделе — твоё явное согласие (GDPR Art. 6(1)(a) и Art. 9(2)(a); UAE PDPL Art. 6 [verify]; Saudi PDPL Art. 6 [verify]); ты можешь его отозвать в любой момент без влияния на правомерность предыдущей обработки.
4.1 Что мы храним
- Landmine-заметки (таблица
landmine_note) — короткие пометки про контекст, который нужно обрабатывать аккуратно. Например: «не указывать X как референс», «не упоминать реструктуризацию 2019 в cover letter», «эта роль закончилась плохо — подавать как переход в портфельный режим». - Reference roster — категория «avoid» (таблица
reference_candidate, строки сpredicted_tier='avoid') — записи в твоём списке референсов, которые ты пометил как людей, на которых рекрутеру лучше не выходить. Хранятся имя, роль и краткое обоснование. - Зоны роста (таблица
candidate_growth_area, строки сuser_confirmed=true) — слабые стороны / области развития в вежливой формулировке, которые ты сам подтвердил (флаг «подтверждено пользователем» обязателен, иначе мы не сохраняем). - Narrative facts с пометкой sensitive — эпизоды или факты из твоей рабочей истории, которые ты (или система с твоего согласия) пометил как «не для внешних документов».
Мы не храним: свободные «дневниковые» записи, ничего, что ты не подтвердил, и ничего, что система вывела сама без твоего согласия.
4.2 Зачем мы это храним
Чтобы при автоматической генерации CV, cover letter, ответов на анкеты вакансий и подготовке к интервью система знала, чего избегать. Цель — не разоблачить тебя, а наоборот: не дать системе случайно тебе навредить. Пример: без landmine-заметки автоматический cover letter может перечислить «отличного» референса, который на деле тебя утопит. С заметкой система обходит этот риск.
Эти заметки — рабочая память твоего агента. Они никогда не используются для обучения моделей, никогда не используются для скоринга или ранжирования и никогда не передаются работодателям, рекрутерам или любым третьим сторонам. Мы не используем их для маркетинга, маркетингового профилирования или иных вторичных целей.
4.3 Кто может их читать
- Ты — всегда, полностью, через
/exportили команду просмотра в боте. - Наши системы — только когда генерируют документы для тебя, по твоему запросу.
- Наши сотрудники — по умолчанию никто. Чувствительные строки маскируются по умолчанию во ВСЕХ админ-запросах через глобальный middleware. Это обеспечено архитектурно на уровне фреймворка — никакой админ-эндпоинт по ошибке или по забывчивости не вернёт незамаскированный контент. Снятие маски возможно только по валидному consent ticket, который ты выпускаешь из бота, и это логируется. Каждый consent ticket содержит явный список ID строк, которые он разблокирует. Тикет не может разблокировать ничего за пределами этого списка; тикет «сгорает» при первом совпадении. Тикеты ограничены по цели и по времени (по умолчанию 7 дней), отзывны до истечения, и каждое чтение фиксируется в таблице
sensitive_access_audit: кто читал, когда, какие именно строки, по какому consent ticket. Ты можешь запросить лог по своему аккаунту в любой момент на privacy@careerconsultant.io.
Важно: мы никогда не попросим тебя выпустить consent ticket по email, по телефону или в любом канале, кроме самого бота. Если кто-то, представляющийся AI-CC, просит у тебя consent ticket в другом канале — это попытка фишинга, сообщи нам на privacy@careerconsultant.io.
4.4 Сколько мы их храним
Чувствительные заметки автоматически удаляются через 24 месяца с момента твоей последней активности, и удаление охватывает:
- все строки
landmine_noteпо твоему аккаунту; - все строки
reference_candidateсpredicted_tier='avoid'; - все строки
candidate_growth_areaсuser_confirmed=true(подтверждённые тобой ярлыки слабых сторон).
Мы выбрали 24-месячное окно, потому что заметки Recall Coach — это рабочая память для текущей карьерной деятельности; у руководителей этот цикл обычно растягивается на несколько поисковых заходов с интервалом 12–24 месяца. Более короткое окно означало бы заново раскрывать чувствительный контекст при каждом возврате, что подрывает защитную функцию заметок. 24 месяца — это максимум; ты можешь сократить срок в любой момент: удалить отдельные заметки, выполнить /delete или включить эфемерный режим (4.5), чтобы новые сессии вообще ничего не сохраняли. Мы считаем это соразмерным по UAE PDPL Art. 4(2) [verify] и принципу ограничения хранения GDPR Art. 5(1)(e). «Последняя активность» — это последнее зафиксированное взаимодействие с ботом или сайтом по твоему аккаунту (значение колонки users.last_active_at).
Ежедневный фоновый воркер проверяет каждый аккаунт и применяет правило выше. Каждое чтение чувствительных строк сотрудником И каждый запуск воркера автоудаления логируется в sensitive_access_audit, включая запуски с нулём удалённых строк (то есть мы фиксируем сам факт проверки твоего аккаунта, даже если в этот день ничего удалять не пришлось).
Если ты удаляешь аккаунт через /delete — все Чувствительные заметки стираются мгновенно вместе с остальными данными (с поправкой на короткие окна хранения резервных копий, см. раздел 5).
4.5 Твои инструменты контроля
- Удаление по одной — стереть конкретную чувствительную заметку, не трогая остальной профиль. Через команду просмотра в боте или
DELETE /api/me/sensitive-notes/{kind}/{note_id}, гдеkind— один изlandmine_note,reference_candidate,candidate_growth_area. У каждого kind свои правила валидации. Команду просмотра в боте можно вызвать через/notes. - Полная видимость — каждая чувствительная запись, которую мы храним, появляется в твоём
/exportпростым текстом. Ничего не скрыто. - Полное стирание —
/deleteстирает всё, включая все чувствительные заметки, мгновенно. - Отзыв согласия — в любой момент ты можешь отозвать согласие на хранение Чувствительных заметок; будущие сессии Recall Coach будут идти в эфемерном режиме, а существующие заметки ты можешь либо удалить, либо оставить — они уйдут по таймеру 24 месяца. Отзыв не затрагивает правомерность обработки до отзыва (GDPR Art. 7(3); UAE PDPL Art. 6(4) [verify]).
- Эфемерный режим — доступен сейчас в
/api/me/settings(или через команду/settingsв боте). Если включён, чувствительные заметки из новых сессий Recall Coach живут только в памяти сессии и никогда не сохраняются в долгосрочное хранилище. Они используются для генерации твоих документов в этой сессии и стираются по её закрытии. В базу ничего чувствительного не пишется. Компромисс: при каждой следующей сессии релевантный контекст нужно сообщать заново.
4.6 Шифрование и защита доступа
Чувствительные заметки хранятся в зашифрованном виде с ключами под управлением AWS KMS на AWS RDS (тот же слой шифрования, что и остальные данные). При передаче трафик защищён TLS 1.2+ между Telegram, нашим сервисом и нижестоящими субпроцессорами. Внутренние админ-инструменты маскируют содержимое чувствительных строк по умолчанию на уровне фреймворка (см. 4.3); немаскированный просмотр требует валидного consent ticket и полностью аудируется (см. 4.3 и 4.4). Доступ к продакшен-данным ограничен именованным кругом сотрудников под договорной конфиденциальностью, с MFA и least-privilege, в соответствии с GDPR Art. 32 и UAE PDPL Art. 20 [verify].
4.7 Приобретение, слияние, продажа активов, банкротство или иная смена контроля
Если AI-CC приобретают, сливают с другой структурой, продают (полностью или частично, в том числе через продажу активов), реструктурируют, или мы переходим в банкротство/внешнее управление, Чувствительные заметки о карьере не передаются автоматически. До того, как любые чувствительные данные перейдут к новому оператору, мы (или администратор от нашего имени) свяжемся с тобой и запросим повторное явное согласие. Окно для согласия — не менее 30 дней с даты первого уведомления; мы можем его продлить, но не сократить. Если ты не подтверждаешь согласие в этом окне, твои Чувствительные заметки удаляются до передачи, и удаление логируется. Не-чувствительные данные могут перейти вместе с бизнесом в порядке, применимом к сделке; этот пункт касается именно категории повышенной защиты из раздела 4.
4.8 Автоматическая классификация (право на человеческий пересмотр)
Одна конкретная функция Recall Coach включает автоматическую классификацию, о которой мы обязаны рассказать тебе прозрачно. Когда ты описываешь людей, которые могли бы быть референсами, наша система может пометить некоторых из них классификатором predicted_tier='avoid' (то есть оценкой системы, что этого человека не стоит давать как референс рекрутеру). Эта классификация влияет на то, кого мы предлагаем при подготовке твоих документов, и поэтому вероятно квалифицируется как автоматизированное принятие решения в смысле GDPR Art. 22(1), которое может существенно тебя затрагивать в контексте найма.
Поэтому в отношении любой классификации predicted_tier='avoid' у тебя есть:
- право на пересмотр решения человеком со стороны нашей команды;
- право выразить свою позицию и оспорить классификацию;
- право получить короткое, понятное объяснение логики классификации, включая входные данные, повлиявшие на неё;
- право переопределить или удалить классификацию — ты можешь просто заново классифицировать референс или использовать per-row delete (4.5), и система будет уважать твоё переопределение во всех последующих генерациях.
Чтобы воспользоваться этими правами, напиши на privacy@careerconsultant.io или используй команду /notes в боте. Эквивалентные права действуют по UAE PDPL Art. 16 [verify] и Saudi PDPL [verify].
5. Где мы это храним и трансграничные передачи
Данные размещены в Amazon Web Services, регион Франкфурт (eu-central-1), зашифрованы на дисках ключами под управлением AWS KMS. Бэкапы реплицируются в AWS Ирландия (eu-west-1) на случай аварии и хранятся до 35 дней до перезаписи.
Трансграничные передачи. Часть обработки неизбежно идёт за пределы ОАЭ, EU/EEA и Саудовской Аравии. Конкретные субпроцессоры, которые могут получать персональные данные за пределами EU/EEA, и применяемые защитные меры:
- OpenAI, L.L.C. (США) — для генерации документов. Защита передачи: Data Processing Addendum от OpenAI с включёнными Standard Contractual Clauses Европейской Комиссии (Module 2: Controller-to-Processor, июнь 2021); договорное обязательство «no training» на корпоративном/API-тарифе.
- Anthropic, PBC (США) — для генерации документов. Защита передачи: Data Processing Addendum от Anthropic с SCCs Европейской Комиссии (Module 2); обязательство «no training» на корпоративном/API-тарифе.
- Google LLC / Google Cloud EMEA Ltd. (США; EU-субпроцессинг где доступно) — для генерации документов (Gemini API). Защита передачи: Google Cloud Data Processing and Security Terms с SCCs Европейской Комиссии; обязательство «no training» на платном API-тарифе.
- Telegram FZ-LLC (ОАЭ / глобально) — транспорт сообщений. К маршрутизации сообщений применяются собственные условия Telegram; квалификация отношений (оператор-оператор или процессор) находится на ревью у юриста.
Там, где принимающая юрисдикция не признана обеспечивающей адекватный уровень защиты, мы опираемся на Standard Contractual Clauses Европейской Комиссии или UK International Data Transfer Agreement, с дополнительными техническими и организационными мерами (шифрование при передаче, договорные ограничения по обучению и срокам хранения). Для передач, регулируемых Saudi PDPL, мы опираемся на SDAIA Regulation on Personal Data Transfer Outside the Kingdom (август 2024) и SDAIA Risk Assessment Guideline (февраль 2025), включая SDAIA-одобренные SCCs где требуются. Для передач, регулируемых UAE PDPL Art. 22-23 [verify], применяются эквивалентные защитные меры в ожидании исполнительных правил UAE PDPL. Юридическое основание передач — GDPR Art. 44-49.
6. С кем мы этим делимся
Мы делимся персональными данными только с указанными ниже субпроцессорами и только в той мере, в которой это необходимо для предоставления тебе сервиса. Мы не продаём, не сдаём в аренду и не передаём твои данные сторонним маркетологам.
- Telegram FZ-LLC (ОАЭ / глобально) — сообщения по необходимости проходят через инфраструктуру Telegram. К транспорту сообщений применяются условия Telegram.
- Amazon Web Services EMEA SARL (EU — Франкфурт, Дублин) — хостинг инфраструктуры (RDS, KMS, S3, вычисления). DPA подписан; данные зашифрованы на дисках ключами AWS KMS.
- Провайдеры языковых моделей — сейчас OpenAI, Anthropic и Google (список пересматривается ежеквартально; механизм трансграничной передачи см. §5). Фрагменты Master Resume отправляются этим провайдерам для генерации документов. Мы используем только enterprise / API-тарифы, на которых провайдер договорно обязуется не использовать твои входы и выходы для обучения моделей. Чувствительные заметки отправляются этим провайдерам только когда это действительно необходимо для запрошенного тобой документа, и никогда не используются как обучающие данные. Если провайдер существенно меняет позицию по «no training», мы убираем его из активного списка в течение 30 дней и уведомляем активных подписчиков через Telegram.
- Apify Technologies s.r.o. (Чехия — EU) — только для сбора публичных вакансий; твои персональные данные в Apify не уходят.
- Nomod (платёжный провайдер) (ОАЭ) — только данные платёжного потока (тариф, сумма, статус, токен карты); номер карты мы не получаем.
Мы ведём записи обработки и реестр субпроцессоров согласно GDPR Art. 30 и UAE PDPL Art. 7 [verify]. Текущий реестр можно запросить на privacy@careerconsultant.io.
7. Сколько мы это храним
- Пока подписка активна: полный Master Resume и рабочие данные.
- После окончания подписки: 2 уведомления, через 14 дней — полное удаление Master Resume и сгенерированных документов.
- Чувствительные заметки о карьере: 24 месяца с последней активности, затем автоматическое удаление (см. 4.4).
- Платёжные и налоговые записи: хранятся в сроки, требуемые применимым налоговым и бухгалтерским законодательством (обычно 5–10 лет в ОАЭ; сопоставимо в странах ЕС). Юридическая обязанность по GDPR Art. 6(1)(c).
- Остаётся после удаления аккаунта: хеш Telegram ID, история платежей, агрегированные счётчики использования. Никакого содержимого CV. Никаких чувствительных заметок.
- Резервные копии: перезаписываются по ротации AWS, обычно в течение 35 дней. Запросы на удаление исполняются в live-системах немедленно и распространяются на бэкапы по мере их ротации.
8. Твои права
- Экспорт — отправь
/exportботу, чтобы получить свои данные в структурированном машиночитаемом формате (JSON), включая каждую Чувствительную заметку, которую мы храним (GDPR Art. 15 / 20; UAE PDPL Art. 14 [verify]). - Удаление — отправь
/delete, чтобы мгновенно стереть всё, включая чувствительные заметки (GDPR Art. 17; UAE PDPL Art. 15 [verify]). - Удаление по одной — для чувствительных заметок ты можешь стереть отдельную запись, не трогая остальное (см. 4.5).
- Доступ, исправление, ограничение, возражение — пиши на privacy@careerconsultant.io. Отвечаем в течение 30 дней по GDPR Art. 12(3); срок может быть продлён ещё на 2 месяца для сложных запросов с объяснением причин.
- Отзыв согласия — для любой обработки на основании согласия (в первую очередь Чувствительные заметки) ты можешь отозвать согласие в любой момент без влияния на правомерность предыдущей обработки (GDPR Art. 7(3); UAE PDPL Art. 6(4) [verify]; Saudi PDPL Art. 6 [verify]).
- Человеческий пересмотр автоматической классификации — см. §4.8 выше про классификатор
predicted_tier='avoid'(GDPR Art. 22; UAE PDPL Art. 16 [verify]). - Пользователи в EU/EEA/UK — у тебя есть полные права по GDPR / UK GDPR: доступ, исправление, удаление, ограничение, переносимость, возражение, право подать жалобу в надзорный орган (в частности — Irish Data Protection Commission, учитывая наш Франкфурт/Дублин хостинг, или орган твоего постоянного проживания).
- Пользователи в ОАЭ — у тебя есть права по UAE PDPL (Федеральный декрет-закон №45 от 2021): доступ, исправление, удаление, ограничение обработки, переносимость, возражение, право не подвергаться исключительно автоматизированным решениям, и право на жалобу в UAE Data Office.
- Пользователи в Саудовской Аравии — у тебя есть права по Saudi PDPL: доступ, корректировка, уничтожение, передача, право отозвать согласие в любое время. Жалобы — в Saudi Data & AI Authority (SDAIA), компетентный орган переходного периода; функция надзора в дальнейшем может перейти к NDMO в рамках той же системы.
9. Дети
AI Career Consultant создан для работающих профессионалов и не предназначен для лиц младше 18 лет. Мы сознательно не собираем персональные данные несовершеннолетних. Если ты считаешь, что ребёнок предоставил нам персональные данные, напиши на privacy@careerconsultant.io, и мы их удалим.
10. Инциденты безопасности
Если утечка персональных данных может повлечь риск для твоих прав, мы уведомим компетентный надзорный орган в течение 72 часов с момента обнаружения (GDPR Art. 33; UAE PDPL Art. 9 [verify]) и при высоком риске уведомим затронутых пользователей без неоправданной задержки (GDPR Art. 34). Уведомление будет содержать характер инцидента, категории затронутых данных, вероятные последствия и предпринятые меры.
11. Cookies
Сайт использует одну cookie: aicc_ref (first-party, 30 дней), чтобы запомнить, какая кампания тебя привела — для учёта партнёрского трафика. Сторонних трекеров нет. Рекламных cookies нет.
12. Изменения
Если мы существенно меняем эту политику — включая любые изменения в том, как хранятся, доступны или удерживаются Чувствительные заметки, добавление нового субпроцессора, который их обрабатывает, или сужение твоих прав — мы предупреждаем активных подписчиков через Telegram до вступления изменений в силу: минимум за 14 дней для рутинных изменений и за 30 дней для изменений, затрагивающих Чувствительные заметки. Существенные изменения, требующие согласия (например, расширение категорий Чувствительных заметок), действуют только после нового opt-in; ты не связан ими, пока не принял.
Мы сохраняем предыдущие версии политики. Ты можешь запросить копию версии, действовавшей на момент, когда ты дал конкретное согласие.
13. Контакт
Общие вопросы: support@careerconsultant.io. Вопросы приватности, запросы субъекта данных и Чувствительные заметки: privacy@careerconsultant.io. По Чувствительным заметкам можно также использовать команды бота: /export, /delete, /notes (просмотр и удаление по одной), /settings (эфемерный режим).
Надзорные органы: UAE Data Office (ОАЭ); орган по защите данных твоей страны EU/EEA или UK Information Commissioner's Office (EU/UK); Saudi Data & AI Authority — SDAIA (Саудовская Аравия).