Войти Попробовать
Главная / Документы / Конфиденциальность

Политика конфиденциальности

Дата вступления в силу: 2 мая 2026 г. Версия: privacy_v4.

1. Общие положения

Настоящая Политика конфиденциальности и обработки персональных данных (далее — Политика) определяет порядок обработки, хранения, использования и защиты персональных данных пользователей сервиса Champly (далее — Сервис).

Оператор персональных данных: Салахов Эльдар Русланович, ИНН 330510569514, плательщик налога на профессиональный доход (самозанятый) (далее — Оператор, мы).

Политика применяется ко всем основным точкам взаимодействия с Champly: сайту champly.ru, веб-приложению и Mini App по адресу /app, Telegram-боту @Champlybot, Chrome-расширению Champly HH Autopilot, а также связанным API, платёжным и инфраструктурным компонентам Сервиса.

При обработке персональных данных мы руководствуемся, в частности, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральным законом от 13.03.2006 № 38-ФЗ «О рекламе», иными применимыми нормами российского законодательства, а также учитываем требования к публикации политики оператора в отношении обработки персональных данных.

2. Какие персональные данные мы обрабатываем

Состав данных зависит от того, какими функциями вы пользуетесь.

  • Данные идентификации и авторизации: Telegram user ID; в зависимости от сценария — имя, username и иные данные, которые поступают от Telegram или которые вы сами используете в интерфейсах Сервиса; данные веб-авторизации через Telegram; служебные токены сессии; данные о согласиях.
  • Контактные и резюмейные данные: ФИО, телефон, email, ссылки на профили и портфолио, город, желаемая должность, зарплатные ожидания, опыт работы, образование, навыки, сертификаты, проекты, достижения, сопроводительные письма, загруженные файлы резюме и сформированные версии резюме.
  • Данные профиля и предпочтений: желаемые роли, формат работы, график, специализация, желаемые компании, нежелательные условия, ответы в мастере создания резюме, пользовательские правки и выбранные настройки.
  • Данные использования Сервиса: просмотры вакансий, лайки, дизлайки, скрытия, переходы, генерации документов, взаимодействие с разделами Сервиса, события аналитики внутри продукта, история откликов и изменения их статусов.
  • Данные о работе автопилота и расширения: хеш device token, имя устройства, привязка резюме Champly к резюме/слотам на HH.ru, результаты откликов, статусы откликов, данные о ручных анкетах работодателей, вопросы работодателей и подготовленные ответы, технические коды ошибок и диагностические данные.
  • Платёжные и подписочные данные: выбранный тариф, идентификатор заказа/счёта/транзакции, статус оплаты, даты активации и окончания доступа. Данные банковских карт и аналогичные платёжные реквизиты на нашей стороне не хранятся.
  • Данные отзывов о компаниях: оценка компании, текст отзыва, выбранные теги, связка с вакансией или откликом, дата создания отзыва.
  • Технические и сетевые данные: IP-адрес, User-Agent, служебные сведения о веб-сессии, cookie champly_sid, время входа/выхода, сведения об ошибках и защите от злоупотреблений.
  • Производные и технические представления: векторные представления (эмбеддинги), технические хеши, скоринги, рекомендации, аналитические оценки и иные производные данные, формируемые системой для подбора вакансий и персонализации.

3. Откуда мы получаем данные

  • напрямую от вас — при регистрации, авторизации, загрузке резюме, заполнении профиля, оплате, обращении в поддержку, использовании генераций и автопилота;
  • от платформы Telegram — в рамках авторизации и работы Telegram Mini App / Telegram-бота;
  • из вашего браузера и устройства — в рамках работы сайта, веб-сессии, cookie, Mini App и Chrome-расширения;
  • из hh.ru и иных внешних платформ — только в том объёме, который необходим для выполнения ваших действий, синхронизации откликов и работы расширения от вашего имени;
  • от платёжного провайдера — в части подтверждения оплаты, статуса транзакции и иных служебных параметров платежа.

4. Цели обработки и правовые основания

Мы обрабатываем персональные данные только для конкретных и заранее определённых целей. Основные цели и правовые основания:

  • Регистрация, вход и доступ к Сервису: создание и обслуживание вашей учётной записи, авторизация через Telegram, веб-сессию и Mini App. Основание: исполнение договора с пользователем, а также ваши конклюдентные действия по использованию Сервиса.
  • Создание, хранение, редактирование и экспорт резюме: обработка загруженных файлов, извлечение текста, структурирование резюме, сохранение версий, подготовка PDF/DOCX. Основание: исполнение договора и ваши действия по загрузке/редактированию данных.
  • Подбор вакансий и персонализация: формирование рекомендательной ленты, анализ совместимости, расчёт рыночной стоимости, обучение рекомендаций на ваших действиях. Основание: исполнение договора и предоставление функционала, который вы запрашиваете.
  • AI-генерации и аналитика: генерация и улучшение резюме, сопроводительных писем, ответов на анкеты работодателей, рекомендаций и иных текстов. Основание: исполнение договора и ваши явные команды на запуск соответствующей функции.
  • Автопилот и Chrome-расширение: привязка устройства, подбор вакансий, подготовка отклика, взаимодействие с hh.ru через браузер пользователя, синхронизация результатов и статусов. Основание: исполнение договора и ваше прямое поручение на использование автопилота/расширения.
  • Платежи, подписка и бухгалтерский учёт: приём оплаты, активация тарифа, ведение учёта обязательств и подтверждающих документов. Основание: исполнение договора, требования налогового и иного обязательного законодательства.
  • Поддержка, безопасность и предотвращение злоупотреблений: обработка обращений, логирование инцидентов, защита сессий, защита от мошенничества и неправомерного использования. Основание: исполнение договора, законные интересы Оператора по защите Сервиса и пользователей в пределах, допустимых законом, а также исполнение требований законодательства.
  • Публикация и отображение отзывов о компаниях: хранение, модерирование и показ отзывов внутри Сервиса другим пользователям, а также расчёт агрегированных статистик. Основание: исполнение договора и ваше действие по созданию отзыва.
  • Маркетинговые и рекламные сообщения о самом сервисе Champly: новости продукта, предложения по тарифам, акции, специальные предложения и партнёрские предложения, если такие будут запущены. Основание: только ваше отдельное предварительное согласие, когда оно требуется законом.
  • Открытие профиля/резюме работодателям через Champly: если такая функция будет доступна, раскрытие ваших данных работодателю будет осуществляться только по вашему явному действию, настройке публикации, отдельному согласию либо иному правовому основанию, прямо предусмотренному функционалом и законом.

5. Как именно мы обрабатываем данные

Мы можем совершать с персональными данными следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление и уничтожение.

Обработка осуществляется преимущественно автоматизированным способом, а в отдельных случаях — с участием человека, например при поддержке пользователей, рассмотрении запросов субъектов персональных данных, обработке возвратов и отдельных инцидентов.

Часть данных, относящихся к Chrome-расширению, дополнительно хранится локально в браузере пользователя средствами chrome.storage.local. Это требуется для работы устройства, локальных настроек, счётчиков, логов расширения и синхронизации с backend Champly.

6. AI-обработка и меры по обезличиванию

Для ряда функций Champly использует российскую инфраструктуру Оператора и, при необходимости, российский relay-сервис Champly для маршрутизации запросов к внешним AI-провайдерам, а также языковые модели, модели эмбеддингов и иные AI-инструменты через OpenAI-compatible API и/или маршрутизатор моделей (OpenRouter). Такие функции включают разбор резюме из PDF, нормализацию черновика, генерацию резюме под вакансию, генерацию сопроводительных писем, ответы на вопросы работодателей, рекомендации по улучшению резюме и расчёт рыночной стоимости.

Перед передачей текста внешним AI-провайдерам Сервис применяет автоматическое замещение прямых идентификаторов плейсхолдерами: адрес электронной почты на EMAIL_1, номер телефона на PHONE_1, URL на URL_1, Telegram-хендл на TG_1, фамилию, имя и отчество на NAME_1, серии/номера документов (паспорт, СНИЛС, ИНН) на DOC_1. После замещения Сервис повторно проверяет текст на остаточные признаки утечки идентификаторов (leak scan) и маркирует материал как needs_review при обнаружении остатков. Обезличивание не признаётся полным обезличиванием в смысле статьи 3 152-ФЗ и Приказа Роскомнадзора от 19.06.2025 № 140; это мера минимизации передаваемого набора.

Для запросов, уходящих к AI-провайдерам, Оператор настраивает режим работы так, чтобы переданный текст не использовался провайдером для обучения или дообучения моделей. Кратковременное сохранение запросов у провайдера возможно в объёме и в сроки, установленные документами соответствующего провайдера, и исключительно для целей обеспечения работоспособности сервиса (противодействие злоупотреблениям, защита от атак, расчёт квот, отладка инцидентов). Оператор также не использует персональные данные пользователей для обучения собственных моделей.

AI-результаты носят вспомогательный характер и могут содержать фактические ошибки, включая «галлюцинации». Пользователь обязан самостоятельно проверять итоговые тексты перед их отправкой работодателю или использованием вне Сервиса. Оператор не гарантирует фактическую точность AI-сгенерированного контента, трудоустройство или приглашение на собеседование в результате использования AI-функций.

7. Кому и в каких случаях мы передаём данные

Мы не продаём персональные данные пользователей и не передаём их третьим лицам в рекламных целях без отдельного надлежащего основания.

Передача возможна следующим категориям получателей:

  • Платформа Telegram — для работы бота, Mini App и авторизации через Telegram.
  • Платёжный провайдер Robokassa — для выставления и обработки платежей, подтверждения статуса оплаты и связанных расчётных операций.
  • Провайдеры инфраструктуры и хостинга в Российской Федерации — для размещения сайта, API, базы данных, файлов и резервных копий.
  • Поставщики AI и смежных API — российская инфраструктура Оператора и, при необходимости, российский relay-сервис Champly, а также конечные AI-провайдеры OpenRouter (США), OpenAI (США), DeepSeek (Китай) и иные провайдеры OpenAI-compatible сервисов, если это необходимо для работы запрошенной вами функции. Передаются только псевдонимизированные фрагменты (см. раздел 6); у провайдеров отключено использование переданного текста для обучения моделей.
  • hh.ru и иные job-платформы — когда вы откликаетесь на вакансию, публикуете/поднимаете резюме, отвечаете на анкету работодателя или используете Chrome-расширение для действий на таких платформах.
  • Работодатели и потенциальные работодатели — в объёме тех данных, которые вы решили использовать при отклике, публикации профиля, отправке резюме, сопроводительного письма или при включении будущей функции открытия доступа к профилю.
  • Подрядчики и исполнители Оператора — только в объёме, необходимом для работы Сервиса, поддержки, хостинга, оплаты, информационной безопасности и при соблюдении договорных обязательств по конфиденциальности и защите данных.

8. Трансграничная передача данных

Трансграничная передача осуществляется с учетом статьи 12 152-ФЗ, Приказа РКН № 128 и Постановления Правительства РФ № 24. Часть запросов может сначала обрабатываться на российской инфраструктуре Оператора и, при необходимости, на российском relay-сервисе Champly, а затем передаваться иностранным AI-провайдерам.

Передача в страны, включенные в перечень РКН, осуществляется после направления уведомления в Роскомнадзор и при наличии надлежащего правового основания. Передача в страны, не включенные в перечень РКН, осуществляется только при соблюдении требований статьи 12 152-ФЗ; если Оператор использует отдельное согласие как дополнительную комплаенс-меру, оно оформляется в самостоятельном интерфейсе и не смешивается с акцептом Оферты.

9. Cookies, веб-сессии и технические данные сайта

На сайте и в веб-приложении Champly в текущей реализации используется технический cookie champly_sid для авторизации и поддержания веб-сессии. Этот cookie используется только для корректной работы входа в Сервис через Telegram и не предназначен для рекламного профилирования пользователя.

Параметры cookie в рабочей конфигурации Сервиса: HttpOnly, SameSite=Lax, в production-режиме — Secure. Максимальный срок действия веб-сессии в текущей конфигурации составляет до 30 дней либо до выхода пользователя из аккаунта.

В текущей версии сайта мы не используем сторонние рекламные пиксели, сторонние cookie для таргетинга, Google Analytics, Yandex Metrica и аналогичные внешние счётчики. Если это изменится, соответствующая информация будет предварительно отражена в документах Сервиса.

При открытии лендинга и Mini App может использоваться JavaScript SDK платформы Telegram, необходимый для корректного открытия веб-приложения внутри Telegram и работы Telegram-функций. Политика обработки данных платформы Telegram регулируется документами самой платформы.

10. Сроки хранения данных

Мы храним персональные данные не дольше, чем это требуется для целей обработки, если более длительный срок не нужен по закону или для защиты наших прав в споре.

  • Учётная запись, профиль, резюме, генерации, история взаимодействия: в течение срока использования Сервиса и далее в пределах срока, разумно необходимого для завершения операций, обработки запросов на удаление, резервного цикла и защиты прав Оператора.
  • Cookie и веб-сессии: до истечения срока сессии, выхода из аккаунта или удаления соответствующей записи.
  • Данные consent records: в течение срока, необходимого для подтверждения факта и объёма согласия, а также в пределах применимых сроков исковой давности и иных обязательных сроков хранения.
  • Платёжные и подписочные данные: в течение срока, требуемого законодательством о бухгалтерском, налоговом и ином обязательном учёте.
  • Данные Chrome-расширения и устройства: в течение срока привязки устройства и далее в пределах срока, необходимого для технической истории, безопасности и разбора инцидентов.
  • Отзывы о компаниях: до удаления по вашему запросу, прекращения цели обработки или преобразования данных в обезличенную агрегированную статистику.

11. Безопасность персональных данных

Мы принимаем правовые, организационные и технические меры защиты персональных данных, соразмерные характеру обрабатываемой информации и рискам для пользователя, в соответствии со статьями 18.1, 19 152-ФЗ и Постановлением Правительства РФ № 1119 от 01.11.2012. В частности, применяются:

  • шифрование канала связи TLS 1.2 и выше, политика HSTS для production-домена;
  • заголовки безопасности на уровне веб-приложения (Content-Security-Policy frame-ancestors, X-Content-Type-Options, Referrer-Policy, X-Permitted-Cross-Domain-Policies) и защита от CSRF-атак по заголовкам Origin/Referer;
  • разграничение доступа к данным по принципу минимально необходимых прав и по необходимости знать;
  • хеширование сессионных и device-токенов: сессии хранятся как SHA-256, токены браузерного расширения — как Argon2id с дополнительным HMAC-индексом для быстрого поиска, с постепенной миграцией старых записей;
  • ограничения частоты обращений (rate limiting) на чувствительные эндпоинты: авторизация, парные коды, генерация AI-контента, трекинг событий, удаление аккаунта;
  • учёт веб-сессий, согласий и критичных операций в журналах;
  • ограничение состава хранимых платёжных данных (полные реквизиты банковских карт на стороне Оператора не хранятся);
  • регулярное обновление программного обеспечения и компонентов Сервиса;
  • меры по минимизации и обезличиванию данных в AI-сценариях, описанные в разделе 6;
  • PID-lock для однопроцессных воркеров и бэкенд-watchdog для бота — исключают запуск дубликатов и спуфинг.

Ни одна система не может гарантировать абсолютную безопасность. Однако мы предпринимаем разумные и необходимые меры для предотвращения несанкционированного доступа, утраты, изменения, блокирования, копирования и распространения персональных данных.

12. Доступ работодателей к данным кандидата

По умолчанию данные вашего резюме и профиля внутри Champly предназначены только для вашего использования и не открываются работодателям через интерфейс Champly автоматически.

Работодатель может получить доступ к вашим данным в следующих случаях:

  • если вы сами откликнулись на вакансию и отправили резюме, сопроводительное письмо или ответы на анкету работодателю;
  • если вы явно выбрали функцию публикации/открытия профиля или резюме работодателям;
  • если в будущем будет запущена функция открытия доступа к профилю в Champly и вы отдельно подтвердите такое раскрытие.

Если вы решите открыть доступ к резюме работодателям, объём раскрываемых данных будет определяться выбранной вами конфигурацией, функционалом Сервиса и требованиями конкретной площадки или работодателя.

13. Маркетинговые сообщения и реклама

Сервисные сообщения, связанные с использованием Champly, например уведомления об авторизации, статусе оплаты, состоянии автопилота, обновлении откликов, ошибках или готовности документов, не являются рекламой и могут направляться без отдельного рекламного согласия в рамках оказания услуги.

Маркетинговые и рекламные сообщения направляются только при наличии отдельного предварительного согласия Пользователя. Отсутствие такого согласия не ограничивает доступ к основному функционалу Сервиса. Пользователь вправе в любой момент отозвать согласие на маркетинговые сообщения способом, указанным в сообщении, через Telegram-бот или по адресу champly-official@yandex.com.

14. Права субъекта персональных данных

В соответствии со статьями 14–17, 20, 21 152-ФЗ Пользователь вправе:

  • получить информацию о факте, целях, способах и правовых основаниях обработки ваших персональных данных, о сроках хранения и лицах, имеющих доступ, о трансграничной передаче;
  • запросить перечень обрабатываемых данных и сведения о лицах, которым они раскрываются;
  • требовать уточнения, обновления, блокирования или удаления неточных, устаревших, избыточных либо незаконно обрабатываемых данных;
  • отозвать согласие в той части обработки, которая основана именно на согласии, в том числе согласие на трансграничную передачу;
  • возразить против применения рекомендательных технологий и автоматизированных решений, против обработки данных для маркетинговых целей;
  • потребовать рассмотрения вопроса, связанного с автоматизированной обработкой, с участием сотрудника Оператора;
  • экспортировать свои данные в машиночитаемом формате;
  • обратиться в Роскомнадзор (pd.rkn.gov.ru) или в суд за защитой своих прав, по месту жительства Пользователя или по месту нахождения Оператора, по выбору Пользователя.

Полное удаление учётной записи и всех связанных данных доступно тремя способами:

  • командой /delete_my_data в Telegram-боте @Champlybot — запускает двухшаговое подтверждение и необратимо удаляет профиль, резюме, сгенерированные документы, историю откликов, настройки автопилота, сопряжения расширения и все web-сессии;
  • кнопкой «Удалить мой аккаунт» в разделе «Подписка» Mini App — с вводом подтверждающего слова «УДАЛИТЬ» и последующей немедленной очисткой серверной сессии;
  • письмом на champly-official@yandex.com с указанием ваших Telegram user ID либо email, использованного при регистрации, — ответ в пределах 10 рабочих дней (часть 1 статьи 20 152-ФЗ), удаление — не более 30 дней (часть 4 статьи 21 152-ФЗ).

Отдельные категории данных сохраняются после удаления в силу требований закона: платёжные транзакции и фискальные чеки — 5 лет (налоговое законодательство); журнал согласий и уведомлений об инцидентах — в пределах сроков исковой давности. Эти записи не используются для иных целей, кроме исполнения обязательных требований.

15. Что пользователь не должен передавать через сервис

Пожалуйста, не передавайте через Champly избыточные персональные данные, которые не нужны для подбора работы и использования Сервиса, а также персональные данные третьих лиц без законного основания. В частности, не следует включать в отзывы о компаниях, открытые поля и иные пользовательские тексты паспортные данные, номера карт, СНИЛС, адрес проживания, чужие контактные данные и иную чувствительную информацию, если это не требуется функционалом сервиса.

16. Инциденты и утечки

При обнаружении неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлёкшей нарушение прав субъектов, Оператор исполняет обязанности, установленные частью 3.1 статьи 21 152-ФЗ:

  • в течение 24 часов с момента обнаружения — уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, предполагаемом вреде и принятых мерах;
  • в течение 72 часов с момента обнаружения — направляет в Роскомнадзор сведения о результатах внутреннего расследования и о лицах, чьи действия стали причиной инцидента;
  • уведомляет затронутых Пользователей доступными способами (Telegram-бот, email) и информирует о рекомендуемых мерах защиты;
  • принимает меры по пресечению инцидента и минимизации последствий.

Журнал инцидентов ведётся и хранится не менее 5 лет.

17. Изменение Политики

Мы вправе обновлять настоящую Политику при изменении законодательства, бизнес-процессов, инфраструктуры или функциональности Сервиса. Актуальная редакция всегда доступна по адресу champly.ru/landing/privacy.html. Существенные изменения (изменение целей обработки, состава передаваемых данных, получателей трансграничной передачи) доводятся до Пользователя дополнительно — через сервисное уведомление в боте, Mini App или на адрес электронной почты не менее чем за 14 календарных дней до вступления в силу. Продолжение использования Сервиса после вступления в силу новой редакции означает согласие с ней; несогласный Пользователь вправе удалить учётную запись способами, указанными в разделе 14.

Архив предыдущих редакций (в том числе привязанных к журналу согласий: privacy_v1, privacy_v2 и т. д.) поддерживается Оператором и предоставляется по запросу.

18. Контакты Оператора

  • Оператор: Салахов Эльдар Русланович
  • ИНН: 330510569514
  • Статус: плательщик налога на профессиональный доход (самозанятый) в соответствии с Федеральным законом от 27.11.2018 № 422-ФЗ
  • Лицо, ответственное за организацию обработки персональных данных (статья 22.1 152-ФЗ): Салахов Э. Р.
  • Telegram: @Champlybot
  • Email для всех обращений (права субъектов ПДн, жалобы на контент, поддержка, запросы notice-and-takedown): champly-official@yandex.com

Жалобы также могут быть направлены в уполномоченный орган по защите прав субъектов персональных данных — Роскомнадзор (pd.rkn.gov.ru).