Политика конфиденциальности и использования cookie
Англоязычная версия является аутентичным текстом и имеет преимущественную силу при любых расхождениях между переводами.
Настоящая Политика объясняет, как HRGuru обрабатывает персональные данные посетителей сайта, пользователей-компаний (рекрутеров/работодателей) и кандидатов, использующих наш Конструктор CV. В отношении данных кандидатов внутри процесса найма работодателя HRGuru выступает обработчиком — см. DPA.
HRGuru («мы», «нас», «наш») — рекрутинговая платформа на базе ИИ, оператором которой является HRGuru SRL, компания, зарегистрированная в Республике Молдова, регистрационный номер [IDNO NUMBER], юридический адрес: [ADDRESS], Кишинёв, Республика Молдова. Контакт по защите данных: privacy@hrguru.work.
Настоящая Политика применяется к посетителям hrguru.work, пользователям-компаниям, кандидатам и к лицам, чьи данные обрабатываются от имени наших B2B-клиентов. Термины «персональные данные», «обработка», «оператор», «обработчик» и «надзорный орган» имеют значения, придаваемые им GDPR, Законом Республики Молдова № 133/2011 (и Законом № 195/2024 с 23 августа 2026 года) и Законом Украины № 2297-VI, в применимой части.
Юрисдикция. Мы применяем стандарт защиты данных, применимый к вашей юрисдикции. При работе в нескольких регионах мы стремимся соответствовать более строгим из применимых к вам требований ЕС, Молдовы, Украины и штатов США.
1. Кто мы и наша роль
| Контекст | Роль HRGuru | Оператор |
|---|---|---|
| Посетители сайта, маркетинг, cookie | Оператор | HRGuru SRL |
| Пользователи-компании (рекрутеры/сотрудники работодателя) | Оператор | HRGuru SRL |
| Кандидат, использующий Конструктор CV (B2C) | Оператор | HRGuru SRL |
| Данные кандидата в процессе найма работодателя (B2B) | Обработчик | Работодатель (наш клиент) |
Когда HRGuru выступает обработчиком, оператором является работодатель, его собственное уведомление о конфиденциальности регулирует такую обработку, а наши обязанности изложены в Соглашении об обработке данных (DPA).
2. Какие данные мы собираем
2.1 Пользователи-компании (HR / рекрутеры)
- Имя, рабочий email, телефон, должность — правовое основание: договор (ст. 6(1)(b)) — срок хранения: договор + 2 года.
- Операционные журналы входа, IP-адрес — законный интерес (ст. 6(1)(f)) — 12 месяцев.
- Платёжные данные — договор + правовая обязанность — в соответствии с законодательством о бухгалтерском учёте.
- Обращения в поддержку — договор / законный интерес — 3 года.
2.2 Кандидаты (прямые пользователи Конструктора CV)
- Имя, email, телефон, местоположение — договор/согласие — до удаления аккаунта.
- Содержание CV (опыт работы, навыки) — договор — до удаления + 30 дней.
- Заявки на вакансии, история этапов — договор — 2 года.
- Аналитика использования — согласие (cookie) — 13 месяцев.
2.3 Кандидаты, обрабатываемые для B2B-клиентов
Когда наши B2B-клиенты загружают CV или получают заявки, оператором является компания-работодатель, а HRGuru — обработчиком согласно ст. 28 GDPR. Мы обрабатываем текст CV для оценки ИИ, сгенерированные ИИ оценки и анализ, историю этапов и заметки рекрутера, а также извлечённые метаданные. Мы не обрабатываем биометрические данные, фотографии, видео или защищённые характеристики. Наш ИИ оценивает только навыки и опыт.
2.4 Кандидаты из внешних источников (с сайтов вакансий и публичных профилей)
Когда клиент привлекает кандидатов со сторонних платформ (например, rabota.md, delucru.md, work.ua, LinkedIn) через интеграции или наше браузерное расширение, оператором является клиент, и он несёт ответственность за правомерность такого привлечения. Когда персональные данные получены косвенно, оператор обязан предоставить информацию, требуемую ст. 14 GDPR, в установленный срок. HRGuru не гарантирует точность или правомерность данных, полученных из сторонних источников.
3. Как работает наш ИИ — уведомление о прозрачности
ИИ — это поддержка решений, а не лицо, принимающее решение. Наша система оценки CV классифицирована как ВЫСОКОГО РИСКА согласно Приложению III, пункт 2 Закона ЕС об ИИ (наём). Решение о найме всегда принимает человек.
Что делает ИИ: анализирует текст CV; сравнивает профиль кандидата с критериями вакансии, заданными работодателем; формирует оценку 0–100, классификацию уровня и пояснение; устанавливает флаг «Спорный» (когда разброс между оценщиками превышает 30 баллов), что делает человеческую проверку обязательной.
Что ИИ НЕ делает: не принимает окончательное решение; не использует демографические или защищённые данные; не обучается на данных кандидатов и не хранит их для обучения сторонних моделей. Оценка ИИ — один из нескольких входных факторов и никогда не является единственным основанием решения. HRGuru не осуществляет автоматизированное принятие решений, порождающее правовые или аналогично значимые последствия в значении ст. 22 GDPR.
Ваши права в отношении автоматизированной обработки: быть информированным, на проверку человеком (через компанию-работодателя), на пояснение и на возражение (ЕС/ЕЭЗ, ст. 21). Кандидаты из Нью-Йорка: HRGuru является AEDT согласно Local Law 144 г. Нью-Йорка; компании-работодатели обязаны проводить ежегодные аудиты предвзятости и предоставлять уведомление.
4. Срок хранения данных
| Тип данных | Срок по умолчанию | Настраивается? | Способ удаления |
|---|---|---|---|
| CV кандидатов (B2B) | 365 дней с момента загрузки | Да (30–730 дней) | Автоудаление; оценка обезличивается |
| Оценки и анализ ИИ | Как у CV | Да | Обезличивается; агрегат сохраняется |
| Журналы аудита / решений | 3 года | Нет | Безопасное удаление |
| Операционные журналы входа | 12 месяцев | Нет | Безопасное удаление |
| Согласия | Срок согласия + срок исковой давности | Нет | Безопасное удаление |
| Аккаунты компаний | Договор + 2 года | Нет | Удаление по запросу |
| Резервные копии | Скользящие 30 дней | Нет | Автоочистка |
Почему журналы аудита/решений хранятся 3 года. GDPR не устанавливает фиксированный срок; мы обосновываем хранение сроком исковой давности по правовым требованиям. Поскольку наём с использованием ИИ может порождать иски о дискриминации или несправедливой оценке, срок давности по которым превышает один год, мы храним журналы решений 3 года для установления, осуществления или защиты правовых требований (ст. 17(3)(e) GDPR). Журналы минимизированы до идентификаторов и отметок времени.
5. Международная передача данных
Наша инфраструктура находится в ЕС (Франкфурт, Германия). Субобработчики за пределами ЕС/ЕЭЗ используют Стандартные договорные положения (SCC), а для Молдовы — SCC, утверждённые CNPDCP.
| Субобработчик | Страна | Назначение | Гарантия |
|---|---|---|---|
| Supabase | ЕС, Франкфурт | База данных, хранение, аутентификация | Размещение в ЕС |
| OpenAI | США | Оценка CV ИИ (только API) | SCC; без обучения на переданном содержимом |
| Vercel | США/ЕС | Хостинг приложения | Регион ЕС приоритетно; SCC |
| Resend | США | Доставка email | SCC; без CV |
| Upstash Redis | ЕС, Запад | Очередь | Регион ЕС; временные данные |
| Sentry | США/ЕС | Мониторинг ошибок | Обезличено; без CV |
Актуальный список — на hrguru.work/subprocessors. Мы заранее уведомляем об изменениях, и клиенты могут возражать по обоснованным причинам защиты данных (см. DPA).
6. Cookie
| Категория | Примеры | Можно отказаться? |
|---|---|---|
| Необходимые | Сессия, CSRF, токены аутентификации | Нет |
| Функциональные | NEXT_LOCALE, выбор темы | Да |
| Аналитика (без отслеживания) | Plausible Analytics | Да |
| Маркетинговые | В настоящее время отсутствуют | Н/Д |
Мы не используем Google Analytics, Facebook Pixel или cookie поведенческой рекламы. Мы учитываем сигнал Global Privacy Control (GPC).
7. Ваши права
Для реализации любого права напишите на privacy@hrguru.work. Мы отвечаем в течение одного месяца (с продлением до трёх для сложных запросов). Первые запросы бесплатны.
| Право | ЕС/ЕЭЗ | Молдова | Украина | Калифорния |
|---|---|---|---|---|
| Доступ / знать | ✓ ст. 15 | ✓ | ✓ | ✓ |
| Исправление | ✓ ст. 16 | ✓ | ✓ | ✓ |
| Удаление | ✓ ст. 17 | ✓ | ✓ | ✓ |
| Переносимость | ✓ ст. 20 | ✓ | — | ✓ |
| Возражение против обработки | ✓ ст. 21 | ✓ | ✓ | — |
| Возражение против автоматизированных решений | ✓ ст. 22 | ✓ | ✓ | — |
| Ограничение обработки | ✓ ст. 18 | ✓ | ✓ | — |
| Отзыв согласия | ✓ ст. 7(3) | ✓ | ✓ | ✓ |
8. Резиденты Калифорнии — CCPA / CPRA
Резиденты Калифорнии имеют права знать, удалять, исправлять, отказаться от продажи/передачи, ограничить использование чувствительных персональных данных и на недискриминацию. HRGuru не продаёт персональные данные и не передаёт их для межконтекстной поведенческой рекламы. Напишите на privacy@hrguru.work с темой «CCPA Request»; мы проверяем личность и отвечаем в течение 45 дней.
9. Надзорные органы
- ЕС/ЕЭЗ: ваш национальный надзорный орган (через EDPB) — edpb.europa.eu
- Молдова: CNPDCP — datepersonale.md · +373 22 820 801
- Украина: Уполномоченный по правам человека (Омбудсмен) — ombudsman.gov.ua
- Калифорния: California Privacy Protection Agency — cppa.ca.gov
10. Контакты и обновления
Оператор: HRGuru SRL, [ADDRESS], Кишинёв, Республика Молдова. Контакт по конфиденциальности: privacy@hrguru.work. Специалист по защите данных (DPO): [имя и email назначенного DPO, либо «DPO не назначен; используйте privacy@hrguru.work»].
Мы уведомляем зарегистрированных пользователей о существенных изменениях по email и публикуем обновления на hrguru.work/privacy. Доступно на EN, RO, UK и RU; в случае расхождений преимущественную силу имеет английская версия.
Требуется юридическая проверка: заполните все поля в [скобках] и обеспечьте подтверждение итогового текста квалифицированным юристом (Молдова/ЕС/Украина) до публикации.