Політика конфіденційності та використання cookie
Англомовна версія є автентичним текстом і має переважну силу в разі будь-яких розбіжностей між перекладами.
Ця Політика пояснює, як HRGuru обробляє персональні дані відвідувачів сайту, користувачів-компаній (рекрутерів/роботодавців) та кандидатів, які використовують наш Конструктор CV. Щодо даних кандидатів усередині процесу найму роботодавця HRGuru виступає процесором — див. DPA.
HRGuru («ми», «нас», «наш») — рекрутингова платформа на базі ШІ, оператором якої є HRGuru SRL, компанія, зареєстрована в Республіці Молдова, реєстраційний номер [IDNO NUMBER], юридична адреса: [ADDRESS], Кишинів, Республіка Молдова. Контакт із захисту даних: privacy@hrguru.work.
Ця Політика застосовується до відвідувачів hrguru.work, користувачів-компаній, кандидатів і до осіб, чиї дані обробляються від імені наших B2B-клієнтів. Терміни «персональні дані», «обробка», «контролер», «процесор» та «наглядовий орган» мають значення, надані їм GDPR, Законом Республіки Молдова № 133/2011 (та Законом № 195/2024 з 23 серпня 2026 року) і Законом України № 2297-VI, у застосовній частині.
Юрисдикція. Ми застосовуємо стандарт захисту даних, застосовний до вашої юрисдикції. Працюючи в кількох регіонах, ми прагнемо відповідати суворішим із застосовних до вас вимог ЄС, Молдови, України та штатів США.
1. Хто ми та наша роль
| Контекст | Роль HRGuru | Контролер |
|---|---|---|
| Відвідувачі сайту, маркетинг, cookie | Контролер | HRGuru SRL |
| Користувачі-компанії (рекрутери/працівники роботодавця) | Контролер | HRGuru SRL |
| Кандидат, що використовує Конструктор CV (B2C) | Контролер | HRGuru SRL |
| Дані кандидата в процесі найму роботодавця (B2B) | Процесор | Роботодавець (наш клієнт) |
Коли HRGuru виступає процесором, контролером є роботодавець, його власне повідомлення про конфіденційність регулює таку обробку, а наші обов'язки викладені в Угоді про обробку даних (DPA).
2. Які дані ми збираємо
2.1 Користувачі-компанії (HR / рекрутери)
- Ім'я, робочий email, телефон, посада — правова підстава: договір (ст. 6(1)(b)) — строк зберігання: договір + 2 роки.
- Операційні журнали входу, IP-адреса — законний інтерес (ст. 6(1)(f)) — 12 місяців.
- Платіжні дані — договір + правовий обов'язок — відповідно до законодавства про бухгалтерський облік.
- Звернення до підтримки — договір / законний інтерес — 3 роки.
2.2 Кандидати (прямі користувачі Конструктора CV)
- Ім'я, email, телефон, місцезнаходження — договір/згода — до видалення облікового запису.
- Зміст CV (досвід роботи, навички) — договір — до видалення + 30 днів.
- Заявки на вакансії, історія етапів — договір — 2 роки.
- Аналітика використання — згода (cookie) — 13 місяців.
2.3 Кандидати, що обробляються для B2B-клієнтів
Коли наші B2B-клієнти завантажують CV або отримують заявки, контролером є компанія-роботодавець, а HRGuru — процесором згідно зі ст. 28 GDPR. Ми обробляємо текст CV для оцінювання ШІ, згенеровані ШІ оцінки та аналіз, історію етапів і нотатки рекрутера, а також видобуті метадані. Ми не обробляємо біометричні дані, фотографії, відео чи захищені характеристики. Наш ШІ оцінює лише навички та досвід.
2.4 Кандидати із зовнішніх джерел (із сайтів вакансій і публічних профілів)
Коли клієнт залучає кандидатів зі сторонніх платформ (наприклад, rabota.md, delucru.md, work.ua, LinkedIn) через інтеграції або наше браузерне розширення, контролером є клієнт, і він несе відповідальність за правомірність такого залучення. Коли персональні дані отримані опосередковано, контролер зобов'язаний надати інформацію, що вимагається ст. 14 GDPR, у встановлений строк. HRGuru не гарантує точність або правомірність даних, отриманих зі сторонніх джерел.
3. Як працює наш ШІ — повідомлення про прозорість
ШІ — це підтримка рішень, а не особа, що ухвалює рішення. Наша система оцінювання CV класифікована як ВИСОКОГО РИЗИКУ згідно з Додатком III, пункт 2 Закону ЄС про ШІ (найм). Рішення про найм завжди ухвалює людина.
Що робить ШІ: аналізує текст CV; порівнює профіль кандидата з критеріями вакансії, заданими роботодавцем; формує оцінку 0–100, класифікацію рівня та пояснення; встановлює прапорець «Спірний» (коли розкид між оцінювачами перевищує 30 балів), що робить перевірку людиною обов'язковою.
Чого ШІ НЕ робить: не ухвалює остаточне рішення; не використовує демографічні чи захищені дані; не навчається на даних кандидатів і не зберігає їх для навчання сторонніх моделей. Оцінка ШІ — один із кількох вхідних чинників і ніколи не є єдиною підставою рішення. HRGuru не здійснює автоматизованого ухвалення рішень, що породжує правові або аналогічно значущі наслідки у значенні ст. 22 GDPR.
Ваші права щодо автоматизованої обробки: бути поінформованим, на перевірку людиною (через компанію-роботодавця), на пояснення та на заперечення (ЄС/ЄЕЗ, ст. 21). Кандидати з Нью-Йорка: HRGuru є AEDT згідно з Local Law 144 м. Нью-Йорка; компанії-роботодавці зобов'язані проводити щорічні аудити упередженості та надавати повідомлення.
4. Строк зберігання даних
| Тип даних | Строк за замовчуванням | Налаштовується? | Спосіб видалення |
|---|---|---|---|
| CV кандидатів (B2B) | 365 днів із моменту завантаження | Так (30–730 днів) | Автовидалення; оцінка знеособлюється |
| Оцінки та аналіз ШІ | Як у CV | Так | Знеособлюється; агрегат зберігається |
| Журнали аудиту / рішень | 3 роки | Ні | Безпечне видалення |
| Операційні журнали входу | 12 місяців | Ні | Безпечне видалення |
| Згоди | Строк згоди + строк позовної давності | Ні | Безпечне видалення |
| Облікові записи компаній | Договір + 2 роки | Ні | Видалення за запитом |
| Резервні копії | Ковзні 30 днів | Ні | Автоочищення |
Чому журнали аудиту/рішень зберігаються 3 роки. GDPR не встановлює фіксованого строку; ми обґрунтовуємо зберігання строком позовної давності за правовими вимогами. Оскільки найм із використанням ШІ може породжувати позови про дискримінацію чи несправедливе оцінювання, строк давності за якими перевищує один рік, ми зберігаємо журнали рішень 3 роки для встановлення, здійснення чи захисту правових вимог (ст. 17(3)(e) GDPR). Журнали мінімізовані до ідентифікаторів і позначок часу.
5. Міжнародна передача даних
Наша інфраструктура розташована в ЄС (Франкфурт, Німеччина). Субпроцесори за межами ЄС/ЄЕЗ використовують Стандартні договірні положення (SCC), а для Молдови — SCC, затверджені CNPDCP.
| Субпроцесор | Країна | Призначення | Гарантія |
|---|---|---|---|
| Supabase | ЄС, Франкфурт | База даних, зберігання, автентифікація | Розміщення в ЄС |
| OpenAI | США | Оцінювання CV ШІ (лише API) | SCC; без навчання на переданому вмісті |
| Vercel | США/ЄС | Хостинг застосунку | Регіон ЄС пріоритетно; SCC |
| Resend | США | Доставка email | SCC; без CV |
| Upstash Redis | ЄС, Захід | Черга | Регіон ЄС; тимчасові дані |
| Sentry | США/ЄС | Моніторинг помилок | Знеособлено; без CV |
Актуальний список — на hrguru.work/subprocessors. Ми завчасно повідомляємо про зміни, і клієнти можуть заперечувати з обґрунтованих причин захисту даних (див. DPA).
6. Cookie
| Категорія | Приклади | Можна відмовитися? |
|---|---|---|
| Необхідні | Сесія, CSRF, токени автентифікації | Ні |
| Функціональні | NEXT_LOCALE, вибір теми | Так |
| Аналітика (без відстеження) | Plausible Analytics | Так |
| Маркетингові | Наразі відсутні | Н/Д |
Ми не використовуємо Google Analytics, Facebook Pixel чи cookie поведінкової реклами. Ми враховуємо сигнал Global Privacy Control (GPC).
7. Ваші права
Для реалізації будь-якого права напишіть на privacy@hrguru.work. Ми відповідаємо протягом одного місяця (з продовженням до трьох для складних запитів). Перші запити безкоштовні.
| Право | ЄС/ЄЕЗ | Молдова | Україна | Каліфорнія |
|---|---|---|---|---|
| Доступ / знати | ✓ ст. 15 | ✓ | ✓ | ✓ |
| Виправлення | ✓ ст. 16 | ✓ | ✓ | ✓ |
| Видалення | ✓ ст. 17 | ✓ | ✓ | ✓ |
| Перенесення | ✓ ст. 20 | ✓ | — | ✓ |
| Заперечення проти обробки | ✓ ст. 21 | ✓ | ✓ | — |
| Заперечення проти автоматизованих рішень | ✓ ст. 22 | ✓ | ✓ | — |
| Обмеження обробки | ✓ ст. 18 | ✓ | ✓ | — |
| Відкликання згоди | ✓ ст. 7(3) | ✓ | ✓ | ✓ |
8. Резиденти Каліфорнії — CCPA / CPRA
Резиденти Каліфорнії мають права знати, видаляти, виправляти, відмовитися від продажу/передачі, обмежити використання чутливих персональних даних і на недискримінацію. HRGuru не продає персональні дані й не передає їх для міжконтекстної поведінкової реклами. Напишіть на privacy@hrguru.work з темою «CCPA Request»; ми перевіряємо особу та відповідаємо протягом 45 днів.
9. Наглядові органи
- ЄС/ЄЕЗ: ваш національний наглядовий орган (через EDPB) — edpb.europa.eu
- Молдова: CNPDCP — datepersonale.md · +373 22 820 801
- Україна: Уповноважений з прав людини (Омбудсмен) — ombudsman.gov.ua
- Каліфорнія: California Privacy Protection Agency — cppa.ca.gov
10. Контакти та оновлення
Контролер: HRGuru SRL, [ADDRESS], Кишинів, Республіка Молдова. Контакт із конфіденційності: privacy@hrguru.work. Уповноважений із захисту даних (DPO): [ім'я та email призначеного DPO, або «DPO не призначено; використовуйте privacy@hrguru.work»].
Ми повідомляємо зареєстрованих користувачів про істотні зміни електронною поштою та публікуємо оновлення на hrguru.work/privacy. Доступно EN, RO, UK та RU; у разі розбіжностей переважну силу має англійська версія.
Потрібна юридична перевірка: заповніть усі поля в [дужках] і забезпечте підтвердження підсумкового тексту кваліфікованим юристом (Молдова/ЄС/Україна) до публікації.