Угода про обробку даних
Англомовна версія є автентичним текстом і має переважну силу в разі будь-яких розбіжностей між перекладами.
Ця DPA є частиною Умов використання та застосовується, коли HRGuru обробляє Дані кандидатів від імені Клієнта. Вона відображає ст. 28 GDPR, Закон Молдови 133/2011 (та 195/2024 з 23 серпня 2026 року) і Закон України 2297-VI. Має бути укладена до того, як будь-який B2B-клієнт завантажить CV кандидатів або отримає заявки через HRGuru.
| Поле | Значення |
|---|---|
| Контролер | [НАЗВА КОМПАНІЇ-КЛІЄНТА, АДРЕСА, РЕЄСТРАЦІЯ] |
| Процесор | HRGuru SRL, [ADDRESS], Республіка Молдова, реєстрація [IDNO] |
| Предмет | Обробка персональних даних кандидатів через платформу HRGuru |
| Характер обробки | Аналіз ШІ, структуроване зберігання, керування доступом, видалення |
| Мета | Підтримка рекрутингу — оцінювання кандидатів і керування воронкою найму |
| Строк | Строк Сервісу + строк зберігання (див. §10) |
| Суб'єкти даних | Кандидати, що подають заявки на вакансії Контролера або залучені для них |
| Застосовне право | GDPR ЄС · Закон Молдови 195/2024 · Закон України 2297-VI · SCC, де застосовно |
| Дата набрання чинності | [DATE] — одночасно або до першого завантаження даних |
1. Визначення
- Персональні дані, обробка, контролер, процесор, суб'єкт даних, порушення захисту персональних даних, наглядовий орган — мають значення, надані ст. 4 GDPR та еквівалентними положеннями законодавства Молдови й України про захист даних.
- Законодавство про захист даних — GDPR, Закон Молдови № 133/2011 (та Закон № 195/2024 з 23 серпня 2026 року) і Закон України № 2297-VI, у застосовній частині.
- Дані кандидатів — персональні дані кандидатів/претендентів, оброблювані Процесором від імені Контролера.
- Субпроцесор — будь-яка третя сторона, залучена Процесором для обробки Даних кандидатів.
- SCC — Стандартні договірні положення Європейської комісії та, для Молдови, стандартні договірні положення, затверджені CNPDCP.
2. Ролі та сфера застосування
Контролер визначає цілі та засоби обробки Даних кандидатів. Процесор обробляє Дані кандидатів лише для надання Сервісу та лише згідно з документованими інструкціями Контролера, які включають Угоду, цю DPA та конфігурацію Сервісу Контролером. Процесор інформує Контролера, якщо, на його думку, інструкція порушує Законодавство про захист даних.
3. Обов'язки Процесора (ст. 28(3) GDPR)
- Обробляти Дані кандидатів лише згідно з документованими інструкціями Контролера, включно з передачею, крім випадків, що вимагаються законом (у цьому разі він інформує Контролера, якщо це не заборонено законом).
- Забезпечувати, щоб особи, уповноважені на обробку, були зв'язані обов'язком конфіденційності.
- Впроваджувати технічні та організаційні заходи з Додатка 2 (ст. 32).
- Дотримуватися умов залучення Субпроцесорів (§4).
- Сприяти Контролеру належними заходами у відповіді на запити суб'єктів даних (§5).
- Сприяти Контролеру в питаннях безпеки, повідомлення про порушення, DPIA та попередніх консультацій (§§6–7).
- За вибором Контролера видаляти або повертати Дані кандидатів після закінчення Сервісу (§10).
- Надавати інформацію, необхідну для підтвердження відповідності, і допускати аудити (§9).
4. Субпроцесори
Контролер надає загальний письмовий дозвіл на залучення Процесором Субпроцесорів, перелічених у Додатку 3. Процесор покладає на кожного Субпроцесора обов'язки із захисту даних не менш суворі, ніж ця DPA, і залишається повністю відповідальним за їх виконання.
Механізм змін (ст. 28(2) GDPR / Закон Молдови). Процесор завчасно повідомляє Контролера про будь-який намір додати або замінити Субпроцесора (через список на hrguru.work/subprocessors та email зареєстрованим контактам). Контролер може заперечити з обґрунтованих причин захисту даних протягом 30 днів; якщо сторони не можуть врегулювати заперечення, Контролер може припинити відповідні Сервіси.
5. Сприяння в реалізації прав суб'єктів даних
Беручи до уваги характер обробки, Процесор сприяє Контролеру належними технічними та організаційними заходами, наскільки це можливо, у виконанні обов'язку Контролера відповідати на запити про реалізацію прав суб'єктів даних. Якщо суб'єкт даних звертається безпосередньо до Процесора, Процесор передає запит Контролеру без невиправданої затримки й не відповідає безпосередньо, крім підтвердження отримання.
6. Порушення захисту персональних даних
Процесор повідомляє Контролера без невиправданої затримки після того, як йому стало відомо про порушення захисту персональних даних, що зачіпає Дані кандидатів, і надає розумно доступну інформацію для виконання Контролером обов'язків із повідомлення про порушення (включно з повідомленням наглядового органу протягом 72 годин, де це вимагається).
7. DPIA та попередня консультація
Процесор надає розумне сприяння у проведенні оцінок впливу на захист даних і попередній консультації з наглядовим органом, беручи до уваги доступну йому інформацію.
8. Сприяння в аудиті упередженості (США / Local Law 144 м. Нью-Йорка)
Коли Контролер використовує Сервіс як AEDT, що підпадає під Local Law 144 м. Нью-Йорка, Процесор надає розумну інформацію та сприяння на підтримку щорічного незалежного аудиту упередженості й обов'язків із повідомлення кандидатів.
9. Аудит
Процесор надає інформацію, необхідну для підтвердження відповідності ст. 28, і допускає аудити, включно з інспекціями, що проводяться Контролером або вповноваженим аудитором, із дотриманням розумних умов конфіденційності, безпеки та повідомлення. Процесор може задовольняти запити про аудит шляхом надання сертифікацій або звітів третіх сторін, де вони доступні.
10. Зберігання, повернення та видалення
Узгодження строків зберігання. Протягом строку Сервісу Дані кандидатів зберігаються згідно з налаштованим Контролером строком зберігання (за замовчуванням 365 днів, налаштовується 30–730 днів). При припиненні або закінченні строку Процесор видаляє або повертає Дані кандидатів, за вибором Контролера, і видаляє наявні копії протягом 30 днів, крім випадків, коли зберігання вимагається законом.
11. Міжнародна передача
Процесор розміщує Дані кандидатів у ЄС (Франкфурт). Будь-яка передача за межі ЄЕЗ/Молдови/України спирається на рішення про адекватність або належні гарантії, включно зі SCC. Відповідні SCC включені через посилання й мають переважну силу в разі суперечності щодо передачі.
12. Відповідальність
Відповідальність кожної сторони за цією DPA підпорядковується обмеженням і виняткам, викладеним в Угоді.
13. Строк
Ця DPA набирає чинності з Дати набрання чинності й діє до припинення Процесором усякої обробки Даних кандидатів і виконання §10.
Додаток 1 — Деталі обробки
| Пункт | Деталі |
|---|---|
| Предмет | Послуги рекрутингу та скринінгу CV на базі ШІ |
| Строк | Строк Сервісу плюс строк зберігання |
| Характер і мета | Хостинг, зберігання, оцінювання/пояснення ШІ, керування воронкою |
| Типи персональних даних | Ідентифікаційні та контактні дані, зміст CV, досвід роботи, освіта, навички, нотатки співбесід, метадані заявок |
| Категорії суб'єктів даних | Кандидати та претенденти Контролера (що подали заявку або залучені) |
| Особливі категорії | Не передбачаються; Контролер не повинен завантажувати, крім випадків правомірності та необхідності |
Додаток 2 — Технічні та організаційні заходи безпеки (ст. 32)
- Розміщення даних у ЄС (Франкфурт); шифрування під час передачі (TLS) і в стані спокою, де підтримується.
- Контроль доступу на основі ролей; принцип найменших привілеїв; доступ лише для працівників із діловою необхідністю.
- Хешування паролів із сіллю; SSO (Google, Microsoft) та MFA для привілейованих облікових записів.
- Безпека на рівні рядків (RLS) і розділення орендарів, що ізолює дані кожного клієнта.
- Журналювання лише-на-додавання доступу до персональних даних та їх експорту.
- Керування вразливостями, моніторинг і відстеження помилок без персональних даних у журналах.
- Документовані процедури реагування на інциденти та повідомлення про порушення.
- Перевірка персоналу та зобов'язання конфіденційності; угоди про обробку даних із Субпроцесорами.
Додаток 3 — Затверджені субпроцесори
| Субпроцесор | Призначення | Місцезнаходження | Гарантія |
|---|---|---|---|
| Supabase | Хостинг, база даних, автентифікація | ЄС (Франкфурт) | Розміщення в ЄС |
| OpenAI | Оцінювання CV ШІ (лише API) | США | SCC; без навчання на переданому вмісті |
| Vercel | Хостинг застосунку | США/ЄС | ЄС пріоритетно; SCC |
| Resend | Транзакційна пошта | США | SCC; без CV |
| Upstash Redis | Черга (тимчасово) | ЄС, Захід | Регіон ЄС |
| Sentry | Моніторинг помилок | США/ЄС | Знеособлено; без CV |
| [Платіжний провайдер] | Білінг підписки | [●] | [●] |
Актуальний список ведеться на hrguru.work/subprocessors.
Підписи
Контролер: Ім'я / посада / дата / підпис Процесор — HRGuru SRL: Ім'я / посада / дата / підпис
Потрібна юридична перевірка: заповніть усі елементи в [дужках], звірте список Субпроцесорів із чинним стеком і забезпечте перевірку юристом до підписання — особливо для регульованого клієнта, такого як банк.
To execute a signed DPA, create an account or contact sales@hrguru.work.
⬇ Download DPA as PDF