Соглашение об обработке данных
Англоязычная версия является аутентичным текстом и имеет преимущественную силу при любых расхождениях между переводами.
Настоящее DPA является частью Условий использования и применяется, когда HRGuru обрабатывает Данные кандидатов от имени Клиента. Оно отражает ст. 28 GDPR, Закон Молдовы 133/2011 (и 195/2024 с 23 августа 2026 года) и Закон Украины 2297-VI. Должно быть заключено до того, как любой B2B-клиент загрузит CV кандидатов или получит заявки через HRGuru.
| Поле | Значение |
|---|---|
| Оператор | [НАЗВАНИЕ КОМПАНИИ-КЛИЕНТА, АДРЕС, РЕГИСТРАЦИЯ] |
| Обработчик | HRGuru SRL, [ADDRESS], Республика Молдова, регистрация [IDNO] |
| Предмет | Обработка персональных данных кандидатов через платформу HRGuru |
| Характер обработки | Анализ ИИ, структурированное хранение, управление доступом, удаление |
| Цель | Поддержка рекрутинга — оценка кандидатов и управление воронкой найма |
| Срок | Срок Сервиса + срок хранения (см. §10) |
| Субъекты данных | Кандидаты, подающие заявки на вакансии Оператора или привлечённые для них |
| Применимое право | GDPR ЕС · Закон Молдовы 195/2024 · Закон Украины 2297-VI · SCC, где применимо |
| Дата вступления в силу | [DATE] — одновременно или до первой загрузки данных |
1. Определения
- Персональные данные, обработка, оператор, обработчик, субъект данных, нарушение безопасности персональных данных, надзорный орган — имеют значения, придаваемые ст. 4 GDPR и эквивалентными положениями законодательства Молдовы и Украины о защите данных.
- Законодательство о защите данных — GDPR, Закон Молдовы № 133/2011 (и Закон № 195/2024 с 23 августа 2026 года) и Закон Украины № 2297-VI, в применимой части.
- Данные кандидатов — персональные данные кандидатов/соискателей, обрабатываемые Обработчиком от имени Оператора.
- Субобработчик — любая третья сторона, привлекаемая Обработчиком для обработки Данных кандидатов.
- SCC — Стандартные договорные положения Европейской комиссии и, для Молдовы, стандартные договорные положения, утверждённые CNPDCP.
2. Роли и сфера применения
Оператор определяет цели и средства обработки Данных кандидатов. Обработчик обрабатывает Данные кандидатов только для предоставления Сервиса и только согласно документированным инструкциям Оператора, которые включают Соглашение, настоящее DPA и конфигурацию Сервиса Оператором. Обработчик информирует Оператора, если, по его мнению, инструкция нарушает Законодательство о защите данных.
3. Обязанности Обработчика (ст. 28(3) GDPR)
- Обрабатывать Данные кандидатов только согласно документированным инструкциям Оператора, включая передачу, кроме случаев, требуемых законом (в этом случае он информирует Оператора, если это не запрещено законом).
- Обеспечивать, чтобы лица, уполномоченные на обработку, были связаны обязательством конфиденциальности.
- Внедрять технические и организационные меры из Приложения 2 (ст. 32).
- Соблюдать условия привлечения Субобработчиков (§4).
- Содействовать Оператору надлежащими мерами в ответе на запросы субъектов данных (§5).
- Содействовать Оператору в вопросах безопасности, уведомления о нарушениях, DPIA и предварительных консультаций (§§6–7).
- По выбору Оператора удалять или возвращать Данные кандидатов по окончании Сервиса (§10).
- Предоставлять информацию, необходимую для подтверждения соответствия, и допускать аудиты (§9).
4. Субобработчики
Оператор даёт общее письменное разрешение на привлечение Обработчиком Субобработчиков, перечисленных в Приложении 3. Обработчик возлагает на каждого Субобработчика обязательства по защите данных не менее строгие, чем настоящее DPA, и остаётся полностью ответственным за их исполнение.
Механизм изменений (ст. 28(2) GDPR / Закон Молдовы). Обработчик заранее уведомляет Оператора о любом намерении добавить или заменить Субобработчика (через список на hrguru.work/subprocessors и email зарегистрированным контактам). Оператор может возразить по обоснованным причинам защиты данных в течение 30 дней; если стороны не могут урегулировать возражение, Оператор может прекратить затронутые Сервисы.
5. Содействие в реализации прав субъектов данных
Принимая во внимание характер обработки, Обработчик содействует Оператору надлежащими техническими и организационными мерами, насколько это возможно, в исполнении обязанности Оператора отвечать на запросы о реализации прав субъектов данных. Если субъект данных обращается напрямую к Обработчику, Обработчик передаёт запрос Оператору без неоправданной задержки и не отвечает напрямую, кроме подтверждения получения.
6. Нарушение безопасности персональных данных
Обработчик уведомляет Оператора без неоправданной задержки после того, как ему стало известно о нарушении безопасности персональных данных, затрагивающем Данные кандидатов, и предоставляет разумно доступную информацию для исполнения Оператором обязанностей по уведомлению о нарушении (включая уведомление надзорного органа в течение 72 часов, где это требуется).
7. DPIA и предварительная консультация
Обработчик оказывает разумное содействие в проведении оценок воздействия на защиту данных и предварительной консультации с надзорным органом, принимая во внимание доступную ему информацию.
8. Содействие в аудите предвзятости (США / Local Law 144 г. Нью-Йорка)
Когда Оператор использует Сервис как AEDT, подпадающий под Local Law 144 г. Нью-Йорка, Обработчик предоставляет разумную информацию и содействие в поддержку ежегодного независимого аудита предвзятости и обязанностей по уведомлению кандидатов.
9. Аудит
Обработчик предоставляет информацию, необходимую для подтверждения соответствия ст. 28, и допускает аудиты, включая инспекции, проводимые Оператором или уполномоченным аудитором, с соблюдением разумных условий конфиденциальности, безопасности и уведомления. Обработчик может удовлетворять запросы об аудите путём предоставления сертификаций или отчётов третьих сторон, где они доступны.
10. Хранение, возврат и удаление
Согласование сроков хранения. В течение срока Сервиса Данные кандидатов хранятся согласно настроенному Оператором сроку хранения (по умолчанию 365 дней, настраивается 30–730 дней). При прекращении или истечении срока Обработчик удаляет или возвращает Данные кандидатов, по выбору Оператора, и удаляет существующие копии в течение 30 дней, кроме случаев, когда хранение требуется законом.
11. Международная передача
Обработчик размещает Данные кандидатов в ЕС (Франкфурт). Любая передача за пределы ЕЭЗ/Молдовы/Украины опирается на решение об адекватности или надлежащие гарантии, включая SCC. Соответствующие SCC включены посредством ссылки и имеют преимущественную силу в случае противоречия в части передачи.
12. Ответственность
Ответственность каждой стороны по настоящему DPA подчиняется ограничениям и исключениям, изложенным в Соглашении.
13. Срок
Настоящее DPA вступает в силу с Даты вступления в силу и действует до прекращения Обработчиком всякой обработки Данных кандидатов и исполнения §10.
Приложение 1 — Детали обработки
| Пункт | Детали |
|---|---|
| Предмет | Услуги рекрутинга и скрининга CV на базе ИИ |
| Срок | Срок Сервиса плюс срок хранения |
| Характер и цель | Хостинг, хранение, оценка/пояснение ИИ, управление воронкой |
| Типы персональных данных | Идентификационные и контактные данные, содержание CV, опыт работы, образование, навыки, заметки собеседований, метаданные заявок |
| Категории субъектов данных | Кандидаты и соискатели Оператора (подавшие заявку или привлечённые) |
| Особые категории | Не предполагаются; Оператор не должен загружать, кроме случаев правомерности и необходимости |
Приложение 2 — Технические и организационные меры безопасности (ст. 32)
- Размещение данных в ЕС (Франкфурт); шифрование при передаче (TLS) и в покое, где поддерживается.
- Контроль доступа на основе ролей; принцип наименьших привилегий; доступ только для сотрудников с деловой необходимостью.
- Хеширование паролей с солью; SSO (Google, Microsoft) и MFA для привилегированных аккаунтов.
- Безопасность на уровне строк (RLS) и разделение арендаторов, изолирующее данные каждого клиента.
- Журналирование только-на-добавление доступа к персональным данным и их экспорта.
- Управление уязвимостями, мониторинг и отслеживание ошибок без персональных данных в журналах.
- Документированные процедуры реагирования на инциденты и уведомления о нарушениях.
- Проверка персонала и обязательства конфиденциальности; соглашения об обработке данных с Субобработчиками.
Приложение 3 — Утверждённые субобработчики
| Субобработчик | Назначение | Местоположение | Гарантия |
|---|---|---|---|
| Supabase | Хостинг, база данных, аутентификация | ЕС (Франкфурт) | Размещение в ЕС |
| OpenAI | Оценка CV ИИ (только API) | США | SCC; без обучения на переданном содержимом |
| Vercel | Хостинг приложения | США/ЕС | ЕС приоритетно; SCC |
| Resend | Транзакционная почта | США | SCC; без CV |
| Upstash Redis | Очередь (временно) | ЕС, Запад | Регион ЕС |
| Sentry | Мониторинг ошибок | США/ЕС | Обезличено; без CV |
| [Платёжный провайдер] | Биллинг подписки | [●] | [●] |
Актуальный список ведётся на hrguru.work/subprocessors.
Подписи
Оператор: Имя / должность / дата / подпись Обработчик — HRGuru SRL: Имя / должность / дата / подпись
Требуется юридическая проверка: заполните все элементы в [скобках], сверьте список Субобработчиков с действующим стеком и обеспечьте проверку юристом до подписания — особенно для регулируемого клиента, такого как банк.
To execute a signed DPA, create an account or contact sales@hrguru.work.
⬇ Download DPA as PDF