Дата вступления в силу: 19 октября 2025 г. | Соответствует ФЗ-152 "О персональных данных"
Важно: Используя сервис Rabota.online, вы соглашаетесь с условиями настоящей Политики конфиденциальности. Мы применяем современные технологии шифрования для защиты ваших персональных данных в соответствии с требованиями Федерального закона № 152-ФЗ "О персональных данных" (УЗ-2).
1. Оператор персональных данных
Оператором персональных данных является сервис Rabota.online. Обработка персональных данных осуществляется в соответствии с:
- Федеральным законом № 152-ФЗ "О персональных данных"
- Постановлением Правительства РФ № 1119 (требования к защите ПД)
- General Data Protection Regulation (GDPR)
2. Какие персональные данные мы собираем
2.1. Данные при регистрации
- ФИО — для идентификации и отображения в профиле
- Email — для входа, уведомлений и связи
- Телефон (опционально) — для верификации и связи
- Username — уникальное имя пользователя
- Пароль — хешируется с использованием bcrypt (не хранится в открытом виде)
2.2. Профильные данные
- Специальность, навыки, портфолио
- Биография и описание услуг
- График работы, страна, город
- Аватар и обложка профиля
- Telegram username для связи
2.3. Финансовые данные (шифруются AES-256)
- ИНН — для самозанятых и юридических лиц (зашифрован)
- Банковские реквизиты — расчетные счета, БИК, корр.счета (зашифрованы)
- Платежные реквизиты — СБП, номера карт (зашифрованы)
- Юридический адрес — для компаний (зашифрован)
2.4. Данные верификации личности (шифруются AES-256)
При прохождении верификации через OIDC провайдеры (SberID, VK ID, T-Bank, MAX) мы получаем:
- ФИО (полное имя из государственных систем)
- Номер телефона (верифицированный)
- Email (верифицированный)
- Идентификаторы провайдеров (subject ID)
⚠️ Все данные верификации зашифрованы с использованием AES-256-CBC и хранятся в соответствии с требованиями ФЗ-152 УЗ-3.
2.5. Технические данные
- IP-адрес — для безопасности и аналитики (автоматически удаляется через 180 дней)
- User-Agent — браузер и операционная система
- Cookies — для авторизации и персонализации
- Геолокация — страна и город (определяется по IP)
- Данные сессий — для поддержания авторизации
2.6. Поведенческие данные
- Просмотры услуг и профилей
- Поисковые запросы
- История сделок и платежей
- Избранное и интересы
- История сообщений в диалогах
3. Цели обработки персональных данных
Мы обрабатываем персональные данные для следующих целей:
- Предоставление сервиса — создание и управление аккаунтом, публикация услуг
- Исполнение договоров — проведение сделок между заказчиками и исполнителями
- Обработка платежей — выплаты исполнителям, комиссии сервиса
- Верификация личности — повышение доверия и безопасности
- Безопасность — предотвращение мошенничества и злоупотреблений
- Персонализация — рекомендации релевантных услуг и исполнителей
- Аналитика — улучшение качества сервиса
- Уведомления — информирование о статусе сделок, сообщениях
- Техподдержка — решение вопросов пользователей
4. Правовые основания обработки (ФЗ-152)
- Согласие субъекта — при регистрации вы даете согласие на обработку ПД
- Исполнение договора — для работы сервиса необходима обработка ваших данных
- Законные интересы — обеспечение безопасности и предотвращение злоупотреблений
- Законодательные требования — налоговая отчетность (НПД), финансовый мониторинг
5. Меры защиты персональных данных
Мы применяем уровень защищенности УЗ-2 (повышенный) в соответствии с Постановлением Правительства РФ № 1119:
5.1. Шифрование данных (AES-256-CBC)
Следующие категории данных зашифрованы в базе данных:
- ИНН самозанятых и компаний
- Банковские реквизиты (счета, БИК, корр.счета)
- Платежные реквизиты для выплат
- Данные верификации от OIDC провайдеров
- Результаты KYC проверок
- Юридические адреса компаний
При утечке базы данных хакер получит только зашифрованные данные, которые невозможно расшифровать без ключа шифрования.
5.2. Защита паролей
- Хеширование bcrypt (cost factor 10+)
- История паролей (предотвращение повторного использования)
- Требования к сложности (минимум 12 символов, заглавные и строчные буквы, цифры, спецсимволы)
- Проверка утечек паролей через Have I Been Pwned API
- Двухфакторная аутентификация (2FA)
- OTP коды для восстановления доступа
5.3. Защита передачи данных
- TLS 1.2+ для всех соединений (HTTPS)
- Защищенные WebSocket (WSS) для чатов
- HTTP Strict Transport Security (HSTS)
5.4. Контроль доступа
- Role-Based Access Control (RBAC)
- Санкционированный доступ через API токены
- Доверенные устройства для 2FA
- Автоматическая блокировка подозрительных IP
5.5. Защита от атак
- Защита от SQL Injection (Prepared Statements)
- Защита от XSS (Output Escaping)
- CSRF токены для форм
- Rate Limiting (ограничение частоты запросов)
- IP banning после 5 нарушений безопасности
5.6. Аудит и мониторинг
- Логирование всех операций с персональными данными
- Мониторинг подозрительной активности
- Регулярные проверки безопасности
- Резервное копирование данных
6. Сроки хранения персональных данных
| Категория данных | Срок хранения |
|---|
| Профильные данные | До удаления аккаунта |
| Финансовые данные | До удаления аккаунта + 5 лет (налоговое законодательство) |
| История сделок | 5 лет (бухгалтерское законодательство) |
| IP-адреса | 180 дней (автоматическое удаление) |
| Логи безопасности | 1 год |
| Cookies авторизации | 30 дней или до выхода |
7. Автоматическое удаление IP-адресов
В соответствии с GDPR и политикой минимизации данных, мы автоматически удаляем IP-адреса старше 180 дней:
- IP из логов безопасности (security_events)
- IP из истории просмотров услуг
- IP из сессий и аналитики
- IP из реферальной системы
Удаление происходит автоматически 1-го числа каждого месяца. IP-адреса в активных банах сохраняются до окончания срока блокировки.
8. Передача персональных данных третьим лицам
Мы можем передавать ваши данные следующим категориям получателей:
8.1. Платежные системы
- ЮKassa — обработка платежей заказчиков
- Банки — выплаты исполнителям
- СБП (Система быстрых платежей) — переводы по номеру телефона
8.2. Провайдеры верификации
- SberID — верификация через Сбер
- VK ID — верификация через VK
- T-Bank — верификация через Тинькофф
- MAX — единый вход через Максимум
8.3. Технические провайдеры
- Хостинг — размещение серверов и баз данных
- CDN — доставка статических файлов
- Email-сервисы — отправка уведомлений
- Push-уведомления — мобильные уведомления
8.4. Государственные органы
По запросу уполномоченных органов (ФНС, полиция, суд) в случаях, предусмотренных законодательством РФ.
Все третьи лица обязаны соблюдать конфиденциальность и обеспечивать защиту персональных данных.
9. Ваши права (Статья 14 ФЗ-152)
Вы имеете следующие права в отношении ваших персональных данных:
9.1. Право на доступ
Вы можете в любой момент посмотреть все свои персональные данные в разделе Профиль → Настройкиили запросить полную выгрузку через API.
9.2. Право на исправление
Вы можете изменить свои данные в настройках профиля. Некоторые данные (например, ИНН) могут требовать повторной верификации.
9.3. Право на удаление ("Право быть забытым")
Вы можете удалить аккаунт в разделе Настройки → Удалить аккаунт. После удаления:
- Профиль станет недоступен для просмотра
- Персональные данные будут удалены в течение 30 дней
- Финансовые данные сохраняются 5 лет (законодательное требование)
- История сделок обезличивается (удаляется привязка к вашему профилю)
9.4. Право на ограничение обработки
Вы можете заблокировать свой аккаунт временно, при этом данные сохранятся, но обработка будет приостановлена.
9.5. Право на портативность данных
Вы можете запросить выгрузку всех ваших данных в машиночитаемом формате (JSON) по запросу на dpo@rabota.online.
9.6. Право на отзыв согласия
Вы можете в любой момент отозвать согласие на обработку персональных данных, удалив аккаунт. Обратите внимание, что без обработки ПД использование сервиса невозможно.
9.7. Право на возражение
Вы можете возразить против обработки ваших данных для маркетинговых целей, отключив уведомления в настройках профиля.
10. Cookies и аналогичные технологии
10.1. Что такое cookies
Cookies — это небольшие текстовые файлы, которые сохраняются на вашем устройстве при посещении сайта.
10.2. Какие cookies мы используем
| Тип cookie | Назначение | Срок хранения |
|---|
| Необходимые | Авторизация, сессии, CSRF защита | 30 дней или до выхода |
| Функциональные | Язык интерфейса, тема (светлая/темная) | 1 год |
| Аналитические | Статистика посещений, популярные разделы | 2 года |
| Рекламные | Персонализированные рекомендации | 90 дней |
10.3. Управление cookies
Вы можете настроить или отключить cookies в настройках вашего браузера. Обратите внимание, что отключение необходимых cookies сделает невозможным использование некоторых функций сервиса.
11. Международная передача данных
Ваши персональные данные обрабатываются на территории Российской Федерации. В случае использования сервисов, расположенных за пределами РФ (например, CDN), мы обеспечиваем адекватную защиту данных в соответствии с требованиями ФЗ-152.
12. Дети и несовершеннолетние
Сервис предназначен для лиц старше 18 лет. Мы не осуществляем намеренный сбор персональных данных детей до 18 лет. Если вы считаете, что мы собрали данные несовершеннолетнего, сообщите нам на dpo@rabota.online.
13. Уведомление об утечках данных
В случае инцидента безопасности, который может привести к утечке персональных данных, мы обязуемся:
- Уведомить Роскомнадзор в течение 24 часов
- Уведомить затронутых пользователей в течение 72 часов
- Принять меры по устранению последствий
- Опубликовать отчет о произошедшем инциденте
14. Изменения Политики конфиденциальности
Мы можем обновлять настоящую Политику для отражения изменений в нашей практике обработки данных или по иным операционным, юридическим или регуляторным причинам. О существенных изменениях мы уведомим вас по email или через уведомления в сервисе.
Рекомендуем периодически просматривать данную страницу для ознакомления с актуальной версией Политики.
15. Контактная информация
По вопросам обработки персональных данных, реализации ваших прав или жалоб обращайтесь:
16. Соответствие законодательству
✅ Уровень защищенности: УЗ-2 (повышенный)
Настоящая Политика и технические меры защиты соответствуют:
- Федеральному закону № 152-ФЗ "О персональных данных"
- Постановлению Правительства РФ № 1119 от 01.11.2012
- Приказу ФСТЭК России № 21 от 18.02.2013
- General Data Protection Regulation (GDPR)
- PCI DSS Level 3 (для обработки платежных данных)
Дата последнего обновления: 19 октября 2025 г.
Версия документа: 2.0 (добавлено описание шифрования и мер защиты по ФЗ-152)