Политика обработки персональных данных (Политика конфиденциальности)
Сервис Брифео — маркетплейс фриланс-услуг для создания задач с помощью ИИ и поиска исполнителей
Последнее обновление: 28 марта 2026 г.
1. Общие положения
1.1. Настоящая Политика обработки персональных данных (далее — «Политика») разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — «Закон о персональных данных»), Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», иными нормативными правовыми актами Российской Федерации в области персональных данных и определяет порядок обработки и защиты персональных данных пользователей сервиса Брифео.
1.2. Оператором персональных данных является:
- Электронная почта: privacy@brifeo.ru
- Общая поддержка: hello@brifeo.ru
Реквизиты юридического лица (полное наименование, ИНН, ОГРН, юридический адрес, ответственный за организацию обработки персональных данных) будут опубликованы на данной странице до момента публичного запуска Сервиса.
(далее — «Оператор», «Мы»).
1.3. Политика распространяется на все персональные данные, которые Оператор получает от пользователей сайта brifeo.ru (далее — «Сайт») и мобильных приложений для iOS и Android (далее — «Приложение»), а также при любом ином взаимодействии с сервисом Брифео (далее совместно — «Сервис»).
1.4. Используя Сервис и/или предоставляя свои персональные данные, Пользователь выражает согласие с условиями настоящей Политики. В случае несогласия с условиями Политики Пользователь должен прекратить использование Сервиса.
1.5. Настоящая Политика размещается в открытом доступе в сети Интернет на Сайте по адресу: brifeo.ru/privacy в соответствии с требованиями ч. 2 ст. 18.1 Закона о персональных данных. Ссылка на Политику размещена в нижней части каждой страницы Сайта, а также доступна при регистрации в Приложении.
1.6. Использование Сервиса разрешается лицам, достигшим возраста 18 (восемнадцати) лет. Оператор не осуществляет целенаправленный сбор персональных данных несовершеннолетних. Если Оператору станет известно, что персональные данные были предоставлены лицом, не достигшим 18 лет, без согласия родителей (законных представителей), такие данные будут удалены в кратчайшие сроки.
2. Основные понятия
2.1. В настоящей Политике используются следующие основные понятия:
- Персональные данные — любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных).
- Обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
- Пользователь (субъект персональных данных) — физическое лицо, использующее Сервис в качестве заказчика (клиента), исполнителя (фрилансера) или в обоих ролях.
- Автоматизированная обработка персональных данных — обработка с помощью средств вычислительной техники.
- Предоставление персональных данных — действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц.
- Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределённому кругу лиц.
- Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
- Информационная система персональных данных (ИСПДн) — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
- Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
- Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
3. Перечень обрабатываемых персональных данных
3.1. Данные, предоставляемые Пользователем при регистрации
- Адрес электронной почты.
- Пароль (хранится исключительно в виде хеша, сгенерированного с помощью pgcrypto; исходный пароль не сохраняется).
3.2. Данные профиля
- Отображаемое имя (имя или псевдоним).
- Биография (описание «О себе»).
- Фотография профиля (аватар) — загружается по желанию Пользователя и хранится в объектном хранилище S3.
- Местоположение (город/регион).
- Предпочитаемый язык интерфейса.
- Часовой пояс.
- Сведения о профессиональных навыках, категориях услуг и уровне опыта (для исполнителей).
- Почасовая ставка (для исполнителей).
- Ссылка на внешнее портфолио (для исполнителей).
3.3. Данные, получаемые от третьих лиц (OAuth-провайдеров)
- При авторизации через Telegram: Telegram ID, имя, фотография профиля.
- При авторизации через Яндекс: имя, адрес электронной почты, фотография профиля.
3.4. Данные активности
- Содержание задач, технических заданий (брифов), статусы, сроки и бюджеты.
- Содержание откликов (предложения цены, сроков, сопроводительные сообщения), скоринг откликов.
- Содержание сообщений в чате между пользователями.
- Содержание диалогов с ИИ-ассистентом при генерации технических заданий (вопросы и ответы).
- Загруженные файлы (аватары, результаты работы, вложения к задачам и сообщениям).
- Отзывы (оценки и комментарии).
- История уведомлений.
- Результаты прохождения сертификационных тестов (ответы и баллы).
3.5. Финансовые данные
- Баланс кошелька (текущий баланс и замороженные средства эскроу).
- История транзакций (депозиты, эскроу, выплаты, возвраты, подписки, бонусы).
- Идентификатор платежа в системе YooKassa (для связи с платёжной системой).
Данные банковских карт обрабатываются исключительно платёжным провайдером YooKassa (сертификация PCI DSS) и не хранятся на серверах Оператора.
3.6. Статистика исполнителей
Автоматически рассчитывается и хранится на платформе:
- Количество задач (всего, завершённых, отменённых).
- Общий заработок.
- Средние оценки (скорость, соответствие ТЗ, удовлетворённость заказчика).
- Процент принятия откликов и завершения задач.
- Средний срок выполнения.
- Процент повторных заказов.
- Композитный рейтинг (итоговый балл 0–100).
3.7. Данные, собираемые автоматически
- IP-адрес (для определения геолокации на уровне города/региона; точная GPS-геолокация не собирается).
- Данные файлов cookie (cookies).
- Дата и время последнего входа в Сервис.
- Данные двухфакторной аутентификации (зашифрованный TOTP-секрет, хеши backup-кодов восстановления).
3.8. Данные, которые Оператор не обрабатывает
Оператор не осуществляет обработку:
- Специальных категорий персональных данных (расовая, национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, сведения об интимной жизни).
- Биометрических персональных данных.
- Данных о судимости.
4. Цели обработки персональных данных
4.1. Оператор обрабатывает персональные данные исключительно в следующих целях:
| № | Цель обработки | Обрабатываемые данные | Правовое основание |
|---|---|---|---|
| 1 | Регистрация и идентификация Пользователя в Сервисе | Email, пароль (хеш), данные OAuth-провайдеров | Согласие (ст. 6 ч. 1 п. 1) |
| 2 | Исполнение пользовательского соглашения (оферты) — предоставление функциональности Сервиса | Все данные из пп. 3.1–3.6 | Договор (ст. 6 ч. 1 п. 5) |
| 3 | Обеспечение работы маркетплейса: публикация задач, приём откликов, назначение исполнителей, доставка результатов | Имя, навыки, портфолио, содержание задач, откликов, сообщений | Договор (ст. 6 ч. 1 п. 5) |
| 4 | Формирование технических заданий (брифов) при помощи ИИ-ассистента | Содержание сообщений в диалоге с ИИ | Договор (ст. 6 ч. 1 п. 5) |
| 5 | Расчёт рейтингов, композитного скоринга, присвоение бейджей | Данные о выполненных задачах, оценках, скорости работы, результатах сертификаций | Договор (ст. 6 ч. 1 п. 5) |
| 6 | Проведение расчётов, приём и выплата денежных средств, управление подписками | Баланс кошелька, история транзакций, данные подписки | Договор (ст. 6 ч. 1 п. 5) |
| 7 | Направление уведомлений (WebSocket, push, email) о статусе задач, откликах, сообщениях и иных событиях | Договор (ст. 6 ч. 1 п. 5) | |
| 8 | Направление маркетинговых и рекламных сообщений | Согласие (ст. 6 ч. 1 п. 1) | |
| 9 | Оказание технической поддержки | Имя, email, содержание обращения | Договор (ст. 6 ч. 1 п. 5) |
| 10 | Улучшение качества Сервиса, аналитика использования | Данные из п. 3.7 (cookie, IP, действия) | Законный интерес (ст. 6 ч. 1 п. 7) |
| 11 | Обеспечение безопасности Сервиса, предотвращение мошенничества (антифрод-детекция) | IP, действия пользователя, логи, данные откликов | Законный интерес (ст. 6 ч. 1 п. 7) |
| 12 | Исполнение требований законодательства РФ (налоговое, бухгалтерское, AML) | Все данные в объёме, предусмотренном законом | Закон (ст. 6 ч. 1 п. 2) |
4.2. Оператор руководствуется принципом минимизации данных: собираются только те данные, которые необходимы для достижения заявленных целей обработки. Не допускается обработка персональных данных, несовместимая с целями их сбора (ст. 5 ч. 2 Закона).
4.3. Содержание и объём обрабатываемых персональных данных соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям (ст. 5 ч. 5 Закона).
5. Правовые основания обработки
5.1. Оператор обрабатывает персональные данные на следующих правовых основаниях:
- Согласие субъекта персональных данных (ст. 6 ч. 1 п. 1 Закона о персональных данных) — для регистрации, аналитики, маркетинговых рассылок, обработки данных при авторизации через сторонние сервисы (Telegram, Яндекс).
- Исполнение договора, стороной которого является субъект персональных данных (ст. 6 ч. 1 п. 5 Закона) — для выполнения обязательств по пользовательскому соглашению (оферте): предоставление функциональности Сервиса, проведение расчётов, уведомления о статусе задач, обмен сообщениями между пользователями, работа с эскроу-счётом.
- Исполнение обязанностей, возложенных на Оператора законодательством РФ (ст. 6 ч. 1 п. 2 Закона) — для выполнения требований налогового, бухгалтерского законодательства, законодательства о противодействии легализации (отмыванию) доходов (115-ФЗ), требований 54-ФЗ о применении контрольно-кассовой техники.
- Осуществление законных интересов Оператора (ст. 6 ч. 1 п. 7 Закона) — для предотвращения мошенничества (включая антифрод-детекцию), обеспечения безопасности Сервиса, улучшения качества услуг, при условии что это не нарушает прав и свобод субъекта персональных данных.
5.2. В соответствии с требованиями ст. 18.1 Закона, Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом. К таким мерам, в частности, относятся: назначение ответственного лица, издание внутренних документов, оценка вреда, осуществление внутреннего контроля.
6. Порядок и условия обработки
6.1. Обработка персональных данных осуществляется смешанным способом: с использованием средств автоматизации и без использования таких средств.
6.2. Основные действия с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
6.3. Сбор персональных данных осуществляется следующими способами:
- Заполнение Пользователем регистрационных и иных форм в Сервисе.
- Авторизация через сторонние сервисы (Telegram, Яндекс).
- Автоматический сбор данных при использовании Сервиса (cookie, серверные логи).
- Направление сообщений Пользователем через чат Сервиса или службу поддержки.
- Загрузка файлов Пользователем (аватары, результаты работ, вложения).
- Диалог с ИИ-ассистентом при формировании технического задания.
6.4. Оператор не осуществляет принятие решений, порождающих юридические последствия для субъекта персональных данных или иным образом затрагивающих его права и законные интересы, исключительно на основании автоматизированной обработки персональных данных. Алгоритмический рейтинг (композитный скоринг) носит рекомендательный характер; итоговое решение о выборе исполнителя принимается Пользователем-заказчиком самостоятельно.
6.5. При обработке персональных данных Оператор обеспечивает их точность, достаточность и актуальность для целей обработки. Оператор принимает меры по удалению или уточнению неполных или неточных данных (ст. 5 ч. 6 Закона).
7. Согласие на обработку персональных данных
7.1. Согласие на обработку персональных данных предоставляется Пользователем свободно, своей волей и в своём интересе.
7.2. Согласие оформляется в виде отдельного документа (формы), отличного от пользовательского соглашения, оферты и иных документов, в соответствии с требованиями ст. 9 Закона о персональных данных (в редакции, действующей с 1 сентября 2025 года).
7.3. Согласие Пользователя содержит следующие сведения (в соответствии со ст. 9 ч. 4 Закона):
- Фамилия, имя, отчество (при наличии), адрес субъекта персональных данных, реквизиты документа, удостоверяющего личность (заполняются Пользователем при необходимости или заменяются идентификатором учётной записи).
- Наименование или ФИО и адрес Оператора, получающего согласие.
- Цель обработки персональных данных.
- Перечень персональных данных, на обработку которых даётся согласие.
- Наименование или ФИО и адрес лица, осуществляющего обработку по поручению Оператора (при наличии).
- Перечень действий с персональными данными, на совершение которых даётся согласие, общее описание способов обработки.
- Срок, в течение которого действует согласие, а также способ его отзыва.
- Подпись субъекта персональных данных (в электронной форме — проставление отметки/чекбокса с использованием простой электронной подписи).
7.4. Для различных целей обработки получаются отдельные согласия:
- Согласие на обработку персональных данных для использования Сервиса (при регистрации).
- Согласие на получение маркетинговых и рекламных материалов (отдельный чекбокс).
- Согласие на использование файлов cookie (через баннер на Сайте).
7.5. Согласие может быть отозвано Пользователем в любой момент путём:
- Направления уведомления на адрес электронной почты Оператора: privacy@brifeo.ru.
- Использования функции в настройках профиля: «Настройки» → «Конфиденциальность и безопасность» → «Отозвать согласие».
Отзыв согласия не влияет на законность обработки, осуществлявшейся до момента отзыва.
7.6. В случае отзыва согласия Оператор прекращает обработку персональных данных и уничтожает их в срок не более 30 (тридцати) дней с даты получения отзыва, за исключением случаев, когда обработка может быть продолжена на ином правовом основании (п. 5.1 настоящей Политики — исполнение договора, требования закона, законный интерес).
8. Передача персональных данных третьим лицам
8.1. Оператор может передавать персональные данные следующим категориям получателей:
- Другим Пользователям Сервиса — в объёме, необходимом для функционирования маркетплейса (имя, рейтинг, бейджи, портфолио, статистика исполнителя отображаются заказчикам; имя и статистика заказчика отображаются исполнителям). Контактные данные (email) не передаются другим Пользователям напрямую; общение осуществляется через встроенную систему сообщений Сервиса.
- Платёжному провайдеру YooKassa (ЮKassa) — для проведения расчётов и выплат. Передаются: идентификатор пользователя, сумма, тип операции. YooKassa имеет сертификацию PCI DSS. Данные банковских карт обрабатываются исключительно YooKassa и не поступают на серверы Оператора.
- Операторам фискальных данных (ОФД) — для выполнения требований 54-ФЗ о применении контрольно-кассовой техники (наименование услуги, сумма, контакт покупателя для электронного чека).
- Провайдеру облачных сервисов и хостинга (Yandex Cloud) — для хранения и обработки данных. Все серверы расположены на территории Российской Федерации (регион ru-central1). Yandex Cloud входит в реестр Роскомнадзора.
- Провайдеру ИИ-сервисов (Yandex Cloud AI / YandexGPT) — для функционирования ИИ-ассистента: формирование технических заданий из разговорного описания, оценка качества откликов, расчёт референсных цен, генерация обучающих материалов. Передаётся содержание диалогов и задач; Оператор принимает меры к минимизации передачи идентифицирующих данных.
- Государственным органам — по основаниям и в порядке, установленным законодательством Российской Федерации (по мотивированному запросу суда, прокуратуры, следственных органов, ФНС, Роскомнадзора и иных уполномоченных органов).
8.2. При передаче персональных данных третьим лицам, осуществляющим обработку по поручению Оператора, Оператор заключает с ними договоры (поручения на обработку) в соответствии с ч. 3 ст. 6 Закона о персональных данных, с обязательным указанием:
- Перечня действий (операций) с персональными данными.
- Целей обработки.
- Обязанности обеспечивать конфиденциальность и безопасность персональных данных.
- Требований к защите обрабатываемых данных в соответствии со ст. 19 Закона.
8.3. Оператор не передаёт и не продаёт персональные данные в рекламных целях третьим лицам без отдельного явного согласия Пользователя.
9. Трансграничная передача персональных данных
9.1. Оператор не осуществляет трансграничную передачу персональных данных. При первичном сборе персональных данных граждан Российской Федерации запись, систематизация, накопление, хранение, уточнение и извлечение персональных данных осуществляются с использованием баз данных, находящихся на территории Российской Федерации (Yandex Cloud, регион ru-central1), в соответствии с требованиями ч. 5 ст. 18 Закона о персональных данных.
9.2. В случае если для функционирования отдельных сервисов потребуется трансграничная передача, она будет осуществляться исключительно при одновременном соблюдении следующих условий (в соответствии со ст. 12 Закона в редакции, действующей с 1 марта 2023 года):
- Передача осуществляется в государства, обеспечивающие адекватную защиту прав субъектов персональных данных (по перечню, утверждённому Роскомнадзором), или при наличии иных условий, указанных в ч. 4 ст. 12 Закона.
- Получено уведомление Роскомнадзора о намерении осуществлять трансграничную передачу в порядке, предусмотренном ч. 6 ст. 12 Закона.
- Получено отдельное согласие субъекта персональных данных на трансграничную передачу (в случаях, когда это требуется).
- Обеспечена защита прав субъектов персональных данных в соответствии с законодательством РФ.
9.3. Оператор уведомляет Пользователей о случаях трансграничной передачи их персональных данных и указывает наименования государств и получателей.
10. Сроки хранения персональных данных
10.1. Персональные данные хранятся в форме, позволяющей определить субъекта, не дольше, чем этого требуют цели обработки (ст. 5 ч. 7 Закона). Персональные данные подлежат уничтожению при достижении целей обработки, при отзыве согласия или по обоснованному требованию субъекта.
10.2. Сроки хранения:
| Категория данных | Срок хранения |
|---|---|
| Данные учётной записи (аккаунт и профиль) | В течение всего срока использования Сервиса и 1 (одного) года после удаления аккаунта |
| Данные о транзакциях и финансовых операциях | 5 (пять) лет с момента совершения операции (НК РФ, 402-ФЗ «О бухгалтерском учёте») |
| Переписка в чатах | 1 (один) год после завершения связанной задачи |
| Диалоги с ИИ-ассистентом (генерация ТЗ) | 1 (один) год |
| Загруженные файлы (результаты работ, вложения) | 1 (один) год после завершения связанной задачи |
| Логи доступа | 6 (шесть) месяцев |
| Данные, связанные с сертификациями и бейджами | В течение всего срока использования Сервиса |
| Данные для маркетинговых рассылок | До момента отзыва согласия или отписки |
| Данные обращений в службу поддержки | 3 (три) года с момента закрытия обращения |
10.3. По истечении срока хранения персональные данные уничтожаются в срок не более 30 (тридцати) дней. Факт уничтожения фиксируется в акте об уничтожении персональных данных.
10.4. Удаление данных по запросу Пользователя осуществляется в течение 30 (тридцати) дней с момента получения запроса, за исключением данных, хранение которых предусмотрено законодательством РФ.
10.5. В случае выявления неправомерной обработки персональных данных Оператор обязан прекратить неправомерную обработку в срок, не превышающий 3 (трёх) рабочих дней. Если обеспечить правомерность обработки невозможно — уничтожить данные в срок, не превышающий 10 (десяти) рабочих дней.
11. Меры по защите персональных данных
11.1. Оператор принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных (ст. 19 Закона).
11.2. Технические меры включают:
- Шифрование данных при передаче по сети (протокол TLS 1.2+/HTTPS) на всех уровнях: ALB, PostgreSQL (SSL verify-full), Redis (TLS).
- Шифрование данных при хранении: S3-хранилище с KMS-шифрованием (AES-256), хеширование паролей через pgcrypto, шифрование TOTP-секретов 2FA.
- Хранение секретов (ключей, паролей, API-токенов) в Yandex Lockbox с ротацией ключей каждые 90 дней. Секреты не хранятся в коде или переменных окружения.
- Разграничение прав доступа: приватные подсети для всех сервисов (без публичных IP-адресов), Security Groups с whitelist-подходом, ролевая модель IAM.
- Использование межсетевых экранов (UFW firewall, deny by default) и Security Groups.
- SSH-доступ только через выделенный Bastion-хост и только по ключам (Ed25519).
- Контейнеры приложений работают в режиме read-only с политикой no-new-privileges.
- Rate limiting (120 запросов в минуту) и Security Headers (HSTS, CSP, X-Frame-Options, CORS whitelist).
- Регулярное резервное копирование данных с хранением копий на территории РФ.
- Антифрод-детекция: автоматическая проверка откликов на признаки мошенничества (rapid bidding, ценовые манипуляции, подозрительные новые аккаунты).
- Автоматические обновления безопасности ОС (unattended-upgrades).
- Мониторинг и структурированное логирование.
11.3. Организационные меры включают:
- Назначение ответственного лица за организацию обработки персональных данных (ст. 22.1 Закона).
- Утверждение внутренних документов (приказов, инструкций, регламентов) по обработке и защите персональных данных.
- Ознакомление сотрудников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства и внутренними документами.
- Обеспечение физической безопасности помещений и оборудования, на которых осуществляется обработка.
- Проведение оценки вреда, который может быть причинён субъектам персональных данных в случае нарушения Закона (ст. 18.1 ч. 1 п. 5 Закона).
- Осуществление внутреннего контроля соответствия обработки персональных данных Закону и настоящей Политике.
11.4. Оператор определяет уровень защищённости персональных данных при их обработке в информационных системах в соответствии с Постановлением Правительства РФ от 01.11.2012 № 1119.
12. Файлы cookie и технологии отслеживания
12.1. Сервис использует файлы cookie — небольшие текстовые файлы, сохраняемые на устройстве Пользователя при посещении Сайта.
12.2. Типы используемых cookie:
- Строго необходимые — для обеспечения работоспособности Сервиса (авторизация, сохранение сессии, защита от CSRF-атак). Используются без отдельного согласия, так как необходимы для работы Сервиса.
- Аналитические — в настоящее время Сервис не использует аналитические cookie. В случае внедрения аналитических cookie настоящая Политика будет обновлена.
- Функциональные — для запоминания настроек и предпочтений Пользователя (язык интерфейса, тема оформления). Устанавливаются с согласия Пользователя.
12.3. Пользователь может управлять cookie:
- Через баннер управления cookie на Сайте (при первом посещении и в любой момент через раздел «Настройки cookie» в футере).
- Через настройки браузера (отключение, удаление cookie).
- Через настройки мобильного устройства (для Приложения).
Отключение строго необходимых cookie может привести к невозможности использования отдельных функций Сервиса.
12.4. Оператор не использует технологии отслеживания и аналитики от компаний, деятельность которых признана незаконной на территории Российской Федерации (в частности, Meta Platforms Inc.).
13. Права субъекта персональных данных
13.1. Пользователь как субъект персональных данных имеет право:
- Получить информацию об обработке своих персональных данных Оператором, включая: подтверждение факта обработки; правовые основания и цели обработки; применяемые способы обработки; наименование и место нахождения Оператора; перечень лиц, имеющих доступ к данным; перечень обрабатываемых данных и источник их получения; сроки хранения; порядок реализации прав (ст. 14 Закона).
- Требовать уточнения своих персональных данных, их блокирования или уничтожения, если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки (ст. 14 Закона).
- Отозвать согласие на обработку персональных данных (ст. 9 Закона).
- Требовать удаления учётной записи и всех связанных персональных данных.
- Обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных — Роскомнадзор (ст. 17 Закона) — или в судебном порядке.
- Запретить обработку персональных данных в целях продвижения товаров, работ, услуг (маркетинговых рассылок) — ст. 15 Закона.
- Получить данные, касающиеся их обработки третьими лицами по поручению Оператора.
13.2. Для реализации своих прав Пользователь может:
- Направить запрос на электронную почту: privacy@brifeo.ru.
- Воспользоваться разделом «Настройки» → «Конфиденциальность и безопасность» в Приложении или на Сайте.
13.3. Запрос должен содержать (ст. 14 ч. 3 Закона): номер основного документа, удостоверяющего личность субъекта, сведения о дате выдачи и выдавшем органе; сведения, подтверждающие участие Пользователя в отношениях с Оператором (например, номер учётной записи, email), либо иным способом подтверждающие факт обработки его персональных данных; подпись субъекта (для письменных обращений) или электронную подпись.
13.4. Оператор обязан предоставить запрашиваемую информацию или мотивированный отказ в течение 10 (десяти) рабочих дней с момента получения запроса. При необходимости срок может быть продлён, но не более чем на 5 (пять) рабочих дней, с мотивированным уведомлением Пользователя о продлении и его причинах.
14. Обязанности Оператора
14.1. Оператор обязан:
- Предоставлять субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных (ст. 14, 20 Закона).
- Организовывать обработку персональных данных в соответствии с требованиями законодательства РФ (ст. 18.1 Закона).
- Отвечать на обращения и запросы субъектов персональных данных и Роскомнадзора в установленные сроки.
- Направить уведомление в Роскомнадзор о начале обработки персональных данных, а также своевременно вносить изменения (ст. 22 Закона).
- В случае обнаружения инцидента (утечки персональных данных):
- Уведомить Роскомнадзор в течение 24 часов с момента обнаружения (ч. 3.1 ст. 21 Закона).
- Направить Роскомнадзору результаты внутреннего расследования в течение 72 часов.
- Уведомить субъектов персональных данных, чьи данные могли быть скомпрометированы, в кратчайшие сроки.
- Блокировать или уничтожить данные по обоснованному требованию субъекта или по предписанию Роскомнадзора.
- Обеспечить безопасность персональных данных при их обработке (ст. 19 Закона).
- Прекратить незаконную обработку в течение 3 рабочих дней.
- Уничтожить незаконно полученные данные в течение 10 рабочих дней.
- Вести учёт обращений субъектов, а также фактов неправомерной обработки и принятых мер.
15. Использование рекомендательных технологий
15.1. Сервис использует рекомендательные (алгоритмические) технологии в следующих целях:
- Ранжирование откликов исполнителей — по композитному скорингу, учитывающему цену, рейтинг исполнителя, бейджи, скорость выполнения и релевантность сообщения (для заказчиков).
- Рекомендация задач исполнителям — на основании совпадения категории задачи, навыков исполнителя и наличия бейджей.
- Подбор обучающих материалов (ИИ-гайдов) — на основании данных о прохождении сертификаций и выполненных задачах.
15.2. В соответствии с Федеральным законом от 31.07.2023 № 408-ФЗ (о внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» в части рекомендательных технологий), Оператор:
- Информирует Пользователей о применении рекомендательных технологий посредством настоящей Политики и отдельной страницы.
- Предоставляет Пользователям возможность отказа от применения рекомендательных технологий через настройки профиля («Настройки» → «Рекомендации»).
- Размещает описание принципов работы рекомендательной системы по адресу: brifeo.ru/recommendations.
15.3. Отказ от рекомендательных технологий может повлиять на удобство использования Сервиса (например, задачи в ленте будут отображаться в хронологическом порядке без персонализации, отклики не будут ранжироваться автоматически).
16. Ответственность
16.1. Оператор несёт ответственность за нарушение требований законодательства в области персональных данных в соответствии с действующим законодательством Российской Федерации (ст. 24 Закона о персональных данных, ст. 13.11 КоАП РФ, ст. 137 УК РФ).
16.2. В случае утраты или разглашения персональных данных Оператор информирует Пользователя и Роскомнадзор в порядке, установленном разделом 14 настоящей Политики.
16.3. Оператор не несёт ответственности за действия третьих лиц, получивших доступ к персональным данным по вине самого Пользователя (в том числе при использовании Пользователем небезопасных каналов связи, разглашении пароля третьим лицам).
16.4. Оператор принимает меры для защиты персональных данных и минимизации негативных последствий возможных инцидентов, включая, но не ограничиваясь: незамедлительное расследование обстоятельств инцидента, принятие мер по пресечению неправомерного доступа, устранение последствий.
17. Заключительные положения
17.1. Оператор вправе вносить изменения в настоящую Политику. Новая редакция вступает в силу с момента её размещения на Сайте по адресу brifeo.ru/privacy, если иное не предусмотрено новой редакцией.
17.2. В случае внесения существенных изменений Оператор уведомляет Пользователей путём размещения уведомления в Сервисе и/или направления сообщения на электронную почту не менее чем за 10 (десять) дней до вступления изменений в силу.
17.3. К настоящей Политике и отношениям между Пользователем и Оператором, возникающим в связи с применением Политики, подлежит применению право Российской Федерации.
17.4. Все возникающие споры разрешаются путём переговоров, а при недостижении согласия — в суде по месту нахождения Оператора, если иное не предусмотрено законодательством Российской Федерации.
17.5. Если какое-либо положение настоящей Политики будет признано судом недействительным, это не влияет на действительность остальных положений.
18. Контактная информация
По всем вопросам, связанным с обработкой персональных данных, Пользователь может обратиться:
- По вопросам персональных данных: privacy@brifeo.ru
- Общая поддержка: hello@brifeo.ru
Уполномоченный орган по защите прав субъектов персональных данных: Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) Адрес: 109992, г. Москва, Китайгородский проезд, д. 7, стр. 2 Сайт: rkn.gov.ru Портал персональных данных: pd.rkn.gov.ru