HR
HRGuru
Для компанийНовостиЦены
ВойтиНачать бесплатно
ENROUKRU
1. Определения2. Роли и сфера применения3. Обязанности Обработчика (ст. 28(3) GDPR)4. Субобработчики5. Содействие в реализации прав субъектов данных6. Нарушение безопасности персональных данных7. DPIA и предварительная консультация8. Содействие в аудите предвзятости (США / Local Law 144 г. Нью-Йорка)9. Аудит10. Хранение, возврат и удаление11. Международная передача12. Ответственность13. СрокПриложение 1 — Детали обработкиПриложение 2 — Технические и организационные меры безопасности (ст. 32)Приложение 3 — Утверждённые субобработчикиПодписи
Действует с [●] 2026 · Применяется: ЕС/ЕЭЗ · Молдова · Украина · США

Соглашение об обработке данных

Англоязычная версия является аутентичным текстом и имеет преимущественную силу при любых расхождениях между переводами.

Настоящее DPA является частью Условий использования и применяется, когда HRGuru обрабатывает Данные кандидатов от имени Клиента. Оно отражает ст. 28 GDPR, Закон Молдовы 133/2011 (и 195/2024 с 23 августа 2026 года) и Закон Украины 2297-VI. Должно быть заключено до того, как любой B2B-клиент загрузит CV кандидатов или получит заявки через HRGuru.

ПолеЗначение
Оператор[НАЗВАНИЕ КОМПАНИИ-КЛИЕНТА, АДРЕС, РЕГИСТРАЦИЯ]
ОбработчикHRGuru SRL, [ADDRESS], Республика Молдова, регистрация [IDNO]
ПредметОбработка персональных данных кандидатов через платформу HRGuru
Характер обработкиАнализ ИИ, структурированное хранение, управление доступом, удаление
ЦельПоддержка рекрутинга — оценка кандидатов и управление воронкой найма
СрокСрок Сервиса + срок хранения (см. §10)
Субъекты данныхКандидаты, подающие заявки на вакансии Оператора или привлечённые для них
Применимое правоGDPR ЕС · Закон Молдовы 195/2024 · Закон Украины 2297-VI · SCC, где применимо
Дата вступления в силу[DATE] — одновременно или до первой загрузки данных

1. Определения

  • Персональные данные, обработка, оператор, обработчик, субъект данных, нарушение безопасности персональных данных, надзорный орган — имеют значения, придаваемые ст. 4 GDPR и эквивалентными положениями законодательства Молдовы и Украины о защите данных.
  • Законодательство о защите данных — GDPR, Закон Молдовы № 133/2011 (и Закон № 195/2024 с 23 августа 2026 года) и Закон Украины № 2297-VI, в применимой части.
  • Данные кандидатов — персональные данные кандидатов/соискателей, обрабатываемые Обработчиком от имени Оператора.
  • Субобработчик — любая третья сторона, привлекаемая Обработчиком для обработки Данных кандидатов.
  • SCC — Стандартные договорные положения Европейской комиссии и, для Молдовы, стандартные договорные положения, утверждённые CNPDCP.

2. Роли и сфера применения

Оператор определяет цели и средства обработки Данных кандидатов. Обработчик обрабатывает Данные кандидатов только для предоставления Сервиса и только согласно документированным инструкциям Оператора, которые включают Соглашение, настоящее DPA и конфигурацию Сервиса Оператором. Обработчик информирует Оператора, если, по его мнению, инструкция нарушает Законодательство о защите данных.

3. Обязанности Обработчика (ст. 28(3) GDPR)

  • Обрабатывать Данные кандидатов только согласно документированным инструкциям Оператора, включая передачу, кроме случаев, требуемых законом (в этом случае он информирует Оператора, если это не запрещено законом).
  • Обеспечивать, чтобы лица, уполномоченные на обработку, были связаны обязательством конфиденциальности.
  • Внедрять технические и организационные меры из Приложения 2 (ст. 32).
  • Соблюдать условия привлечения Субобработчиков (§4).
  • Содействовать Оператору надлежащими мерами в ответе на запросы субъектов данных (§5).
  • Содействовать Оператору в вопросах безопасности, уведомления о нарушениях, DPIA и предварительных консультаций (§§6–7).
  • По выбору Оператора удалять или возвращать Данные кандидатов по окончании Сервиса (§10).
  • Предоставлять информацию, необходимую для подтверждения соответствия, и допускать аудиты (§9).

4. Субобработчики

Оператор даёт общее письменное разрешение на привлечение Обработчиком Субобработчиков, перечисленных в Приложении 3. Обработчик возлагает на каждого Субобработчика обязательства по защите данных не менее строгие, чем настоящее DPA, и остаётся полностью ответственным за их исполнение.

Механизм изменений (ст. 28(2) GDPR / Закон Молдовы). Обработчик заранее уведомляет Оператора о любом намерении добавить или заменить Субобработчика (через список на hrguru.work/subprocessors и email зарегистрированным контактам). Оператор может возразить по обоснованным причинам защиты данных в течение 30 дней; если стороны не могут урегулировать возражение, Оператор может прекратить затронутые Сервисы.

5. Содействие в реализации прав субъектов данных

Принимая во внимание характер обработки, Обработчик содействует Оператору надлежащими техническими и организационными мерами, насколько это возможно, в исполнении обязанности Оператора отвечать на запросы о реализации прав субъектов данных. Если субъект данных обращается напрямую к Обработчику, Обработчик передаёт запрос Оператору без неоправданной задержки и не отвечает напрямую, кроме подтверждения получения.

6. Нарушение безопасности персональных данных

Обработчик уведомляет Оператора без неоправданной задержки после того, как ему стало известно о нарушении безопасности персональных данных, затрагивающем Данные кандидатов, и предоставляет разумно доступную информацию для исполнения Оператором обязанностей по уведомлению о нарушении (включая уведомление надзорного органа в течение 72 часов, где это требуется).

7. DPIA и предварительная консультация

Обработчик оказывает разумное содействие в проведении оценок воздействия на защиту данных и предварительной консультации с надзорным органом, принимая во внимание доступную ему информацию.

8. Содействие в аудите предвзятости (США / Local Law 144 г. Нью-Йорка)

Когда Оператор использует Сервис как AEDT, подпадающий под Local Law 144 г. Нью-Йорка, Обработчик предоставляет разумную информацию и содействие в поддержку ежегодного независимого аудита предвзятости и обязанностей по уведомлению кандидатов.

9. Аудит

Обработчик предоставляет информацию, необходимую для подтверждения соответствия ст. 28, и допускает аудиты, включая инспекции, проводимые Оператором или уполномоченным аудитором, с соблюдением разумных условий конфиденциальности, безопасности и уведомления. Обработчик может удовлетворять запросы об аудите путём предоставления сертификаций или отчётов третьих сторон, где они доступны.

10. Хранение, возврат и удаление

Согласование сроков хранения. В течение срока Сервиса Данные кандидатов хранятся согласно настроенному Оператором сроку хранения (по умолчанию 365 дней, настраивается 30–730 дней). При прекращении или истечении срока Обработчик удаляет или возвращает Данные кандидатов, по выбору Оператора, и удаляет существующие копии в течение 30 дней, кроме случаев, когда хранение требуется законом.

11. Международная передача

Обработчик размещает Данные кандидатов в ЕС (Франкфурт). Любая передача за пределы ЕЭЗ/Молдовы/Украины опирается на решение об адекватности или надлежащие гарантии, включая SCC. Соответствующие SCC включены посредством ссылки и имеют преимущественную силу в случае противоречия в части передачи.

12. Ответственность

Ответственность каждой стороны по настоящему DPA подчиняется ограничениям и исключениям, изложенным в Соглашении.

13. Срок

Настоящее DPA вступает в силу с Даты вступления в силу и действует до прекращения Обработчиком всякой обработки Данных кандидатов и исполнения §10.

Приложение 1 — Детали обработки

ПунктДетали
ПредметУслуги рекрутинга и скрининга CV на базе ИИ
СрокСрок Сервиса плюс срок хранения
Характер и цельХостинг, хранение, оценка/пояснение ИИ, управление воронкой
Типы персональных данныхИдентификационные и контактные данные, содержание CV, опыт работы, образование, навыки, заметки собеседований, метаданные заявок
Категории субъектов данныхКандидаты и соискатели Оператора (подавшие заявку или привлечённые)
Особые категорииНе предполагаются; Оператор не должен загружать, кроме случаев правомерности и необходимости

Приложение 2 — Технические и организационные меры безопасности (ст. 32)

  • Размещение данных в ЕС (Франкфурт); шифрование при передаче (TLS) и в покое, где поддерживается.
  • Контроль доступа на основе ролей; принцип наименьших привилегий; доступ только для сотрудников с деловой необходимостью.
  • Хеширование паролей с солью; SSO (Google, Microsoft) и MFA для привилегированных аккаунтов.
  • Безопасность на уровне строк (RLS) и разделение арендаторов, изолирующее данные каждого клиента.
  • Журналирование только-на-добавление доступа к персональным данным и их экспорта.
  • Управление уязвимостями, мониторинг и отслеживание ошибок без персональных данных в журналах.
  • Документированные процедуры реагирования на инциденты и уведомления о нарушениях.
  • Проверка персонала и обязательства конфиденциальности; соглашения об обработке данных с Субобработчиками.

Приложение 3 — Утверждённые субобработчики

СубобработчикНазначениеМестоположениеГарантия
SupabaseХостинг, база данных, аутентификацияЕС (Франкфурт)Размещение в ЕС
OpenAIОценка CV ИИ (только API)СШАSCC; без обучения на переданном содержимом
VercelХостинг приложенияСША/ЕСЕС приоритетно; SCC
ResendТранзакционная почтаСШАSCC; без CV
Upstash RedisОчередь (временно)ЕС, ЗападРегион ЕС
SentryМониторинг ошибокСША/ЕСОбезличено; без CV
[Платёжный провайдер]Биллинг подписки[●][●]

Актуальный список ведётся на hrguru.work/subprocessors.

Подписи

Оператор: Имя / должность / дата / подпись Обработчик — HRGuru SRL: Имя / должность / дата / подпись

Требуется юридическая проверка: заполните все элементы в [скобках], сверьте список Субобработчиков с действующим стеком и обеспечьте проверку юристом до подписания — особенно для регулируемого клиента, такого как банк.

To execute a signed DPA, create an account or contact sales@hrguru.work.

⬇ Download DPA as PDF
Последнее обновление: [●] 2026 · Версия 3.0 · Вопросы: privacy@hrguru.work
HR
HRGuru

Найм на основе ИИ для IT-команд.

Продукт

  • Возможности
  • Цены
  • Для компаний

Компания

  • О нас
  • Новости рекрутинга
  • Контакты

Юридическая информация

  • Юридическая информация

© 2026 HRGuru. Все права защищены.

Создано с ♥ в Молдове