HR
HRGuru
Для компанійНовиниЦіни
УвійтиПочати безкоштовно
ENROUKRU
1. Визначення2. Ролі та сфера застосування3. Обов'язки Процесора (ст. 28(3) GDPR)4. Субпроцесори5. Сприяння в реалізації прав суб'єктів даних6. Порушення захисту персональних даних7. DPIA та попередня консультація8. Сприяння в аудиті упередженості (США / Local Law 144 м. Нью-Йорка)9. Аудит10. Зберігання, повернення та видалення11. Міжнародна передача12. Відповідальність13. СтрокДодаток 1 — Деталі обробкиДодаток 2 — Технічні та організаційні заходи безпеки (ст. 32)Додаток 3 — Затверджені субпроцесориПідписи
Чинний від [●] 2026 · Застосовується: ЄС/ЄЕЗ · Молдова · Україна · США

Угода про обробку даних

Англомовна версія є автентичним текстом і має переважну силу в разі будь-яких розбіжностей між перекладами.

Ця DPA є частиною Умов використання та застосовується, коли HRGuru обробляє Дані кандидатів від імені Клієнта. Вона відображає ст. 28 GDPR, Закон Молдови 133/2011 (та 195/2024 з 23 серпня 2026 року) і Закон України 2297-VI. Має бути укладена до того, як будь-який B2B-клієнт завантажить CV кандидатів або отримає заявки через HRGuru.

ПолеЗначення
Контролер[НАЗВА КОМПАНІЇ-КЛІЄНТА, АДРЕСА, РЕЄСТРАЦІЯ]
ПроцесорHRGuru SRL, [ADDRESS], Республіка Молдова, реєстрація [IDNO]
ПредметОбробка персональних даних кандидатів через платформу HRGuru
Характер обробкиАналіз ШІ, структуроване зберігання, керування доступом, видалення
МетаПідтримка рекрутингу — оцінювання кандидатів і керування воронкою найму
СтрокСтрок Сервісу + строк зберігання (див. §10)
Суб'єкти данихКандидати, що подають заявки на вакансії Контролера або залучені для них
Застосовне правоGDPR ЄС · Закон Молдови 195/2024 · Закон України 2297-VI · SCC, де застосовно
Дата набрання чинності[DATE] — одночасно або до першого завантаження даних

1. Визначення

  • Персональні дані, обробка, контролер, процесор, суб'єкт даних, порушення захисту персональних даних, наглядовий орган — мають значення, надані ст. 4 GDPR та еквівалентними положеннями законодавства Молдови й України про захист даних.
  • Законодавство про захист даних — GDPR, Закон Молдови № 133/2011 (та Закон № 195/2024 з 23 серпня 2026 року) і Закон України № 2297-VI, у застосовній частині.
  • Дані кандидатів — персональні дані кандидатів/претендентів, оброблювані Процесором від імені Контролера.
  • Субпроцесор — будь-яка третя сторона, залучена Процесором для обробки Даних кандидатів.
  • SCC — Стандартні договірні положення Європейської комісії та, для Молдови, стандартні договірні положення, затверджені CNPDCP.

2. Ролі та сфера застосування

Контролер визначає цілі та засоби обробки Даних кандидатів. Процесор обробляє Дані кандидатів лише для надання Сервісу та лише згідно з документованими інструкціями Контролера, які включають Угоду, цю DPA та конфігурацію Сервісу Контролером. Процесор інформує Контролера, якщо, на його думку, інструкція порушує Законодавство про захист даних.

3. Обов'язки Процесора (ст. 28(3) GDPR)

  • Обробляти Дані кандидатів лише згідно з документованими інструкціями Контролера, включно з передачею, крім випадків, що вимагаються законом (у цьому разі він інформує Контролера, якщо це не заборонено законом).
  • Забезпечувати, щоб особи, уповноважені на обробку, були зв'язані обов'язком конфіденційності.
  • Впроваджувати технічні та організаційні заходи з Додатка 2 (ст. 32).
  • Дотримуватися умов залучення Субпроцесорів (§4).
  • Сприяти Контролеру належними заходами у відповіді на запити суб'єктів даних (§5).
  • Сприяти Контролеру в питаннях безпеки, повідомлення про порушення, DPIA та попередніх консультацій (§§6–7).
  • За вибором Контролера видаляти або повертати Дані кандидатів після закінчення Сервісу (§10).
  • Надавати інформацію, необхідну для підтвердження відповідності, і допускати аудити (§9).

4. Субпроцесори

Контролер надає загальний письмовий дозвіл на залучення Процесором Субпроцесорів, перелічених у Додатку 3. Процесор покладає на кожного Субпроцесора обов'язки із захисту даних не менш суворі, ніж ця DPA, і залишається повністю відповідальним за їх виконання.

Механізм змін (ст. 28(2) GDPR / Закон Молдови). Процесор завчасно повідомляє Контролера про будь-який намір додати або замінити Субпроцесора (через список на hrguru.work/subprocessors та email зареєстрованим контактам). Контролер може заперечити з обґрунтованих причин захисту даних протягом 30 днів; якщо сторони не можуть врегулювати заперечення, Контролер може припинити відповідні Сервіси.

5. Сприяння в реалізації прав суб'єктів даних

Беручи до уваги характер обробки, Процесор сприяє Контролеру належними технічними та організаційними заходами, наскільки це можливо, у виконанні обов'язку Контролера відповідати на запити про реалізацію прав суб'єктів даних. Якщо суб'єкт даних звертається безпосередньо до Процесора, Процесор передає запит Контролеру без невиправданої затримки й не відповідає безпосередньо, крім підтвердження отримання.

6. Порушення захисту персональних даних

Процесор повідомляє Контролера без невиправданої затримки після того, як йому стало відомо про порушення захисту персональних даних, що зачіпає Дані кандидатів, і надає розумно доступну інформацію для виконання Контролером обов'язків із повідомлення про порушення (включно з повідомленням наглядового органу протягом 72 годин, де це вимагається).

7. DPIA та попередня консультація

Процесор надає розумне сприяння у проведенні оцінок впливу на захист даних і попередній консультації з наглядовим органом, беручи до уваги доступну йому інформацію.

8. Сприяння в аудиті упередженості (США / Local Law 144 м. Нью-Йорка)

Коли Контролер використовує Сервіс як AEDT, що підпадає під Local Law 144 м. Нью-Йорка, Процесор надає розумну інформацію та сприяння на підтримку щорічного незалежного аудиту упередженості й обов'язків із повідомлення кандидатів.

9. Аудит

Процесор надає інформацію, необхідну для підтвердження відповідності ст. 28, і допускає аудити, включно з інспекціями, що проводяться Контролером або вповноваженим аудитором, із дотриманням розумних умов конфіденційності, безпеки та повідомлення. Процесор може задовольняти запити про аудит шляхом надання сертифікацій або звітів третіх сторін, де вони доступні.

10. Зберігання, повернення та видалення

Узгодження строків зберігання. Протягом строку Сервісу Дані кандидатів зберігаються згідно з налаштованим Контролером строком зберігання (за замовчуванням 365 днів, налаштовується 30–730 днів). При припиненні або закінченні строку Процесор видаляє або повертає Дані кандидатів, за вибором Контролера, і видаляє наявні копії протягом 30 днів, крім випадків, коли зберігання вимагається законом.

11. Міжнародна передача

Процесор розміщує Дані кандидатів у ЄС (Франкфурт). Будь-яка передача за межі ЄЕЗ/Молдови/України спирається на рішення про адекватність або належні гарантії, включно зі SCC. Відповідні SCC включені через посилання й мають переважну силу в разі суперечності щодо передачі.

12. Відповідальність

Відповідальність кожної сторони за цією DPA підпорядковується обмеженням і виняткам, викладеним в Угоді.

13. Строк

Ця DPA набирає чинності з Дати набрання чинності й діє до припинення Процесором усякої обробки Даних кандидатів і виконання §10.

Додаток 1 — Деталі обробки

ПунктДеталі
ПредметПослуги рекрутингу та скринінгу CV на базі ШІ
СтрокСтрок Сервісу плюс строк зберігання
Характер і метаХостинг, зберігання, оцінювання/пояснення ШІ, керування воронкою
Типи персональних данихІдентифікаційні та контактні дані, зміст CV, досвід роботи, освіта, навички, нотатки співбесід, метадані заявок
Категорії суб'єктів данихКандидати та претенденти Контролера (що подали заявку або залучені)
Особливі категоріїНе передбачаються; Контролер не повинен завантажувати, крім випадків правомірності та необхідності

Додаток 2 — Технічні та організаційні заходи безпеки (ст. 32)

  • Розміщення даних у ЄС (Франкфурт); шифрування під час передачі (TLS) і в стані спокою, де підтримується.
  • Контроль доступу на основі ролей; принцип найменших привілеїв; доступ лише для працівників із діловою необхідністю.
  • Хешування паролів із сіллю; SSO (Google, Microsoft) та MFA для привілейованих облікових записів.
  • Безпека на рівні рядків (RLS) і розділення орендарів, що ізолює дані кожного клієнта.
  • Журналювання лише-на-додавання доступу до персональних даних та їх експорту.
  • Керування вразливостями, моніторинг і відстеження помилок без персональних даних у журналах.
  • Документовані процедури реагування на інциденти та повідомлення про порушення.
  • Перевірка персоналу та зобов'язання конфіденційності; угоди про обробку даних із Субпроцесорами.

Додаток 3 — Затверджені субпроцесори

СубпроцесорПризначенняМісцезнаходженняГарантія
SupabaseХостинг, база даних, автентифікаціяЄС (Франкфурт)Розміщення в ЄС
OpenAIОцінювання CV ШІ (лише API)СШАSCC; без навчання на переданому вмісті
VercelХостинг застосункуСША/ЄСЄС пріоритетно; SCC
ResendТранзакційна поштаСШАSCC; без CV
Upstash RedisЧерга (тимчасово)ЄС, ЗахідРегіон ЄС
SentryМоніторинг помилокСША/ЄСЗнеособлено; без CV
[Платіжний провайдер]Білінг підписки[●][●]

Актуальний список ведеться на hrguru.work/subprocessors.

Підписи

Контролер: Ім'я / посада / дата / підпис Процесор — HRGuru SRL: Ім'я / посада / дата / підпис

Потрібна юридична перевірка: заповніть усі елементи в [дужках], звірте список Субпроцесорів із чинним стеком і забезпечте перевірку юристом до підписання — особливо для регульованого клієнта, такого як банк.

To execute a signed DPA, create an account or contact sales@hrguru.work.

⬇ Download DPA as PDF
Останнє оновлення: [●] 2026 · Версія 3.0 · Питання: privacy@hrguru.work
HR
HRGuru

Найм на основі ШІ для ІТ-команд.

Продукт

  • Можливості
  • Ціни
  • Для компаній

Компанія

  • Про нас
  • Новини рекрутингу
  • Контакти

Юридична інформація

  • Юридична інформація

© 2026 HRGuru. Усі права захищено.

Створено з ♥ у Молдові