Richtlinien zur Verarbeitung und zum Schutz personenbezogener Daten

Diese Richtlinien sind ein internes normatives Dokument von Platform Moleculs.ai (nachfolgend – IP), das unter Berücksichtigung der Anforderungen, insbesondere Kap. 14 des Arbeitsgesetzbuches der Russischen Föderation, des Bundesgesetzes vom 27.07.2006 N 152-FZ „Über personenbezogene Daten" (nachfolgend – Gesetz über personenbezogene Daten) erlassen wurde.

Die Richtlinien legen fest:

• Zweck, Verfahren und Bedingungen der Verarbeitung personenbezogener Daten;
• Kategorien von Betroffenen, deren personenbezogene Daten verarbeitet werden, Kategorien (Listen) der verarbeiteten personenbezogenen Daten, Methoden, Fristen ihrer Verarbeitung und Speicherung, Verfahren zur Vernichtung solcher Daten bei Erreichen der Verarbeitungsziele oder beim Eintreten anderer gesetzlicher Grundlagen;
• Bestimmungen zum Schutz personenbezogener Daten, Verfahren zur Erkennung und Verhinderung von Verstößen gegen das russische Datenschutzrecht sowie zur Beseitigung der Folgen solcher Verstöße.

In diesen Richtlinien werden Begriffe und Definitionen gemäß ihren im Gesetz über personenbezogene Daten festgelegten Bedeutungen verwendet.

Die Richtlinien treten mit dem Zeitpunkt ihrer Genehmigung durch das IP in Kraft und gelten bis zu ihrer Aufhebung durch das IP oder bis zur Einführung neuer Richtlinien.

Änderungen der Richtlinien erfolgen durch Beschluss des IP. Änderungen treten ab dem Zeitpunkt der Unterzeichnung des entsprechenden Dokuments in Kraft.

2. Kategorien von Betroffenen personenbezogener Daten

2.1. Zu den Betroffenen, deren personenbezogene Daten vom IP gemäß diesen Richtlinien verarbeitet werden, gehören:

• Bewerber für eine Beschäftigung beim IP;
• Mitarbeiter des IP;
• ehemalige Mitarbeiter des IP;
• Familienangehörige der Mitarbeiter des IP — in Fällen, in denen der Mitarbeiter gemäß den gesetzlichen Vorschriften Informationen über sie bereitstellt;
• andere Personen, deren personenbezogene Daten das IP gemäß dem Arbeitsrecht und anderen arbeitsrechtliche Normen enthaltenden Rechtsakten verarbeiten muss;
• Kunden, Auftragnehmer, Partner des IP.

3. Zwecke der Verarbeitung personenbezogener Daten, Kategorien der verarbeiteten personenbezogenen Daten

3.1. Gemäß diesen Richtlinien werden personenbezogene Daten zum Zweck der Anwendung und Einhaltung des Arbeitsrechts im Rahmen von Arbeits- und damit unmittelbar verbundenen Beziehungen sowie im Rahmen zivilrechtlicher Beziehungen, der Interaktion des IP mit potenziellen Partnern, Kunden und anderen Personen zum Schutz personenbezogener Daten bestimmter Personenkategorien verarbeitet, darunter:

• bei der Unterstützung bei der Beschäftigung;
• Führung der Personalakten und Buchführung;
• Unterstützung der Mitarbeiter bei der Ausbildung und beruflichen Förderung;
• Ausstellung von Auszeichnungen und Prämien;
• Bereitstellung gesetzlich festgelegter Arbeitsbedingungen, Garantien und Entschädigungen durch das IP;
• Ausfüllen und Übermitteln der erforderlichen Berichtsformulare an zuständige Behörden;
• Gewährleistung der persönlichen Sicherheit der Mitarbeiter, anderer Personen und der Sicherheit des Eigentums;
• Kontrolle der Menge und Qualität der geleisteten Arbeit;
• Gewährleistung des Schutzes der Rechte und Freiheiten der Person und des Bürgers bei der Verarbeitung ihrer personenbezogenen Daten, einschließlich des Schutzes des Rechts auf Privatsphäre sowie auf Schutz persönlicher und familiärer Geheimnisse;
• Vermarktung von Waren, Werken und Dienstleistungen des IP durch direkte Kontaktaufnahme mit potenziellen Verbrauchern über Kommunikationsmittel;
• Interaktion des IP in Fragen der gegenseitig vorteilhaften Zusammenarbeit und dem Abschluss von Transaktionen mit potenziellen Partnern, Kunden und anderen Personen.

3.2. Gemäß dem in Abschnitt 3.1 dieser Richtlinien genannten Zweck werden folgende personenbezogene Daten verarbeitet:

• Nachname, Vorname, Vatersname (sofern vorhanden), sowie frühere Nachnamen, Vornamen, Vatersnamen (sofern vorhanden), Datum und Ort ihrer Änderung;
• Geschlecht;
• Geburtsdatum (Tag, Monat, Jahr) und Geburtsort;
• Lichtbild;
• Angaben zur Staatsbürgerschaft;
• Art, Serie, Nummer des Ausweisdokuments, Name der ausstellenden Behörde, Ausstellungsdatum;
• Versicherungsnummer des individuellen persönlichen Kontos (SNILS);
• Steueridentifikationsnummer (INN);
• Adresse und Datum der Anmeldung am Wohnort (Aufenthaltsort), Adresse des tatsächlichen Wohnsitzes;
• Kontakttelefonnummer, E-Mail-Adresse und (oder) Angaben zu anderen Kommunikationsmitteln;
• Daten der Bescheinigungen über die staatliche Registrierung von Personenstandsurkunden und die darin enthaltenen Informationen;
• Angaben zum Familienstand, zur Zusammensetzung der Familie (Verwandtschaftsgrad, Nachnamen, Vornamen, Vatersnamen (sofern vorhanden), Geburtsdaten und -orte);
• Angaben zur Ausbildung und (oder) Qualifikation oder zum Vorhandensein von Spezialkenntnissen;
• Informationen über Fremdsprachenkenntnisse;
• Angaben zur Wehrpflicht, zur militärischen Erfassung und Daten der Wehrdokumente;
• Angaben zur Beschäftigung sowie Informationen zu früheren Arbeitsstellen, Beschäftigungszeiträumen und Berufserfahrung;
• Informationen aus Dokumenten, die das Recht auf Aufenthalt und Erwerbstätigkeit auf dem Gebiet der Russischen Föderation gewähren (für ausländische Staatsbürger);
• Angaben zu Einkommen und Verpflichtungen aus Vollstreckungsdokumenten;
• Kontonummern, Bankkartendetails;
• Angaben zum Gesundheitszustand (für bestimmte Mitarbeiterkategorien);
• Angaben über das Vorhandensein (Nichtvorhandensein) einer Vorstrafe und (oder) einer strafrechtlichen Verfolgung oder über die Einstellung der Strafverfolgung aus rehabilitierenden Gründen (für bestimmte Mitarbeiterkategorien);
• sonstige personenbezogene Daten, die in Dokumenten enthalten sind, deren Vorlage gesetzlich vorgeschrieben ist, sofern die Verarbeitung dieser Daten dem in Abschnitt 3.1 dieser Richtlinien vorgesehenen Verarbeitungszweck entspricht.

3.3. Das IP verarbeitet keine besonderen Kategorien personenbezogener Daten, die rassische oder nationale Zugehörigkeit, politische Ansichten, religiöse oder philosophische Überzeugungen oder das Intimleben betreffen, außer in den gesetzlich vorgesehenen Fällen.

4. Verfahren und Bedingungen der Verarbeitung personenbezogener Daten

4.1. Vor Beginn der Verarbeitung personenbezogener Daten ist das IP verpflichtet, Roskomnadzor über die Absicht zur Verarbeitung personenbezogener Daten zu benachrichtigen.

4.2. Die Rechtsgrundlagen für die Verarbeitung personenbezogener Daten sind das Arbeitsgesetzbuch der Russischen Föderation, andere normative Rechtsakte mit arbeitsrechtlichen Normen, das Bundesgesetz vom 27.07.2006 N 152-FZ „Über personenbezogene Daten", das Bundesgesetz vom 06.12.2011 N 402-FZ „Über die Buchführung", das Regierungsdekret der Russischen Föderation vom 27.11.2006 N 719 „Über die Genehmigung der Regelung zur militärischen Erfassung".

4.3. Die Verarbeitung personenbezogener Daten erfolgt durch das IP unter Einhaltung der im Datenschutzrecht und in diesen Richtlinien vorgesehenen Grundsätze und Bedingungen.

4.4. Die Verarbeitung personenbezogener Daten durch das IP erfolgt auf folgende Weisen:

• nicht automatisierte Verarbeitung personenbezogener Daten;
• automatisierte Verarbeitung personenbezogener Daten mit oder ohne Übermittlung der erhaltenen Informationen über Informations- und Telekommunikationsnetze;
• gemischte Verarbeitung personenbezogener Daten.

4.5. Die Verarbeitung personenbezogener Daten durch das IP erfolgt mit Einwilligung der betroffenen Person zur Verarbeitung ihrer personenbezogenen Daten, sofern das Datenschutzrecht nichts anderes vorsieht.

4.5.1. Die Verarbeitung personenbezogener Daten, die von der betroffenen Person zur Verbreitung freigegeben wurden, erfolgt unter Einhaltung der in Art. 10.1 des Gesetzes über personenbezogene Daten vorgesehenen Verbote und Bedingungen.

4.5.2. Die Verarbeitung biometrischer personenbezogener Daten ist nur mit schriftlicher Einwilligung der betroffenen Person zulässig. Ausgenommen sind Situationen, die in Teil 2 Art. 11 des Gesetzes über personenbezogene Daten vorgesehen sind.

4.6. Das IP führt keine grenzüberschreitende Übermittlung personenbezogener Daten durch.

4.7. Die Verarbeitung personenbezogener Daten erfolgt durch Erhebung, Aufzeichnung, Systematisierung, Akkumulation, Speicherung, Klärung (Aktualisierung, Änderung), Extraktion, Verwendung, Anonymisierung, Sperrung, Löschung und Vernichtung personenbezogener Daten, auch mithilfe von Computertechnik.

4.7.1. Die Erhebung, Aufzeichnung, Systematisierung, Akkumulation und Klärung personenbezogener Daten durch das IP erfolgt durch:

• Erhalt von Originaldokumenten oder deren Kopien;
• Kopieren von Originaldokumenten;
• Eingabe von Informationen in Erfassungsformulare auf Papier- und elektronischen Trägern;
• Erstellung von Dokumenten, die personenbezogene Daten enthalten, auf Papier- und elektronischen Trägern;
• Eingabe personenbezogener Daten in Informationssysteme für personenbezogene Daten.

4.7.2. Das IP verwendet folgende Informationssysteme:

• unternehmenseigene E-Mail;
• elektronisches Dokumentenmanagementsystem;
• Nutzerarbeitsplatz-Supportsystem;
• normativ-referenzielles Informationssystem;
• Personalverwaltungssystem;
• Fernzugriffskontrollsystem;
• Informationsportal.

4.8. Die Übermittlung (Verbreitung, Bereitstellung, Zugang) personenbezogener Daten der Betroffenen erfolgt in den Fällen und in dem im Datenschutzrecht und in diesen Richtlinien vorgesehenen Verfahren.

5. Fristen der Verarbeitung und Speicherung personenbezogener Daten

5.1. Die Verarbeitung personenbezogener Daten durch das IP wird in folgenden Fällen eingestellt:

• bei Feststellung einer unrechtmäßigen Verarbeitung personenbezogener Daten (Frist zur Einstellung der Verarbeitung — innerhalb von drei Werktagen ab dem Datum der Feststellung);
• bei Erreichen der Verarbeitungsziele (mit einigen Ausnahmen);
• nach Ablauf oder bei Widerruf der Einwilligung der betroffenen Person zur Verarbeitung ihrer personenbezogenen Daten (mit einigen Ausnahmen);
• bei Anforderung der betroffenen Person an das IP, die Verarbeitung personenbezogener Daten einzustellen (Frist zur Einstellung der Verarbeitung — nicht mehr als 10 Werktage ab dem Datum des Erhalts der Anforderung).

5.2. Personenbezogene Daten werden in einer Form, die die Identifizierung der betroffenen Person ermöglicht, nicht länger gespeichert, als es die Verarbeitungszwecke erfordern. Ausgenommen sind Fälle, in denen die Speicherfrist personenbezogener Daten durch Bundesgesetz oder Vertrag, dessen Partei die betroffene Person ist, festgelegt wurde.

5.3. Personenbezogene Daten auf Papierträgern werden vom IP für die Aufbewahrungsfristen von Dokumenten aufbewahrt, die durch das russische Archivrecht vorgesehen sind.

5.4. Die Speicherfrist personenbezogener Daten, die in Informationssystemen für personenbezogene Daten verarbeitet werden, entspricht der Aufbewahrungsfrist personenbezogener Daten auf Papierträgern.

6. Verfahren zur Sperrung und Vernichtung personenbezogener Daten

6.1. Das IP sperrt personenbezogene Daten in dem im Datenschutzrecht vorgesehenen Verfahren und unter den dort festgelegten Bedingungen.

6.2. Bei Erreichen der Verarbeitungsziele oder wenn die Notwendigkeit zur Erreichung dieser Ziele entfällt, werden die personenbezogenen Daten vernichtet oder anonymisiert.

6.3. Unrechtmäßig erlangte personenbezogene Daten oder solche, die für den Verarbeitungszweck nicht erforderlich sind, werden innerhalb von sieben Werktagen nach Vorlage der Bestätigungsinformationen durch die betroffene Person vernichtet.

6.4. Personenbezogene Daten, deren Verarbeitung aufgrund ihrer Unrechtmäßigkeit eingestellt wurde und deren Rechtmäßigkeit nicht gewährleistet werden kann, werden innerhalb von 10 Werktagen ab dem Datum der Feststellung der unrechtmäßigen Verarbeitung vernichtet.

6.5. Personenbezogene Daten werden innerhalb von 30 Tagen ab dem Datum des Erreichens des Verarbeitungsziels vernichtet, sofern nicht durch den Vertrag, dessen Partei die betroffene Person ist, eine andere Vereinbarung zwischen ihr und dem IP getroffen wurde oder sofern das IP nicht berechtigt ist, personenbezogene Daten ohne Einwilligung der betroffenen Person auf der Grundlage von Bundesgesetzen zu verarbeiten.

6.6. Personenbezogene Daten werden (sofern ihre Aufbewahrung nicht für Verarbeitungszwecke erforderlich ist) innerhalb von 30 Tagen ab dem Datum des Eingangs des Widerrufs der Einwilligung zur Verarbeitung durch die betroffene Person vernichtet.

6.7. Die Auswahl materieller Datenträger (Dokumente, Festplatten, USB-Sticks u.ä.) und (oder) Informationen in Informationssystemen, die personenbezogene Daten enthalten und zu vernichten sind, wird von der verantwortlichen Person des IP, die personenbezogene Daten verarbeitet, vorgenommen.

6.7.2. Personenbezogene Daten auf Papierträgern werden mit einem Aktenvernichter vernichtet. Personenbezogene Daten auf elektronischen Trägern werden durch mechanische Beschädigung der Unversehrtheit des Trägers vernichtet, die das Lesen oder Wiederherstellen der personenbezogenen Daten verhindert, sowie durch Löschen von Daten von elektronischen Trägern mittels Methoden und Mitteln der garantierten Löschung von Restinformationen.

6.7.3. Die verantwortliche Person bestätigt die Vernichtung personenbezogener Daten gemäß den Anforderungen an die Bestätigung der Vernichtung personenbezogener Daten, die durch den Erlass von Roskomnadzor vom 28.10.2022 N 179 genehmigt wurden.

7. Schutz personenbezogener Daten

7.1. Ohne schriftliche Einwilligung der betroffenen Person gibt das IP keine personenbezogenen Daten an Dritte weiter und verbreitet diese nicht, sofern Bundesgesetze nichts anderes vorsehen.

7.2. Zum Schutz personenbezogener Daten werden vom IP ernannt (genehmigt):

• ein Mitarbeiter, der für die Organisation der Verarbeitung personenbezogener Daten verantwortlich ist;
• eine Liste der Stellen, bei deren Besetzung personenbezogene Daten verarbeitet werden;
• eine Liste der personenbezogenen Daten, auf die Mitarbeiter in Positionen mit Verarbeitung personenbezogener Daten Zugang haben;
• das Verfahren für den Zutritt zu Räumlichkeiten, in denen die Verarbeitung personenbezogener Daten stattfindet;
• das Verfahren zur Übermittlung personenbezogener Daten an das IP;
• das Formular zur Einwilligung in die Verarbeitung personenbezogener Daten;
• das Verfahren zum Schutz personenbezogener Daten bei ihrer Verarbeitung in Informationssystemen für personenbezogene Daten;
• das Verfahren zur Durchführung interner Untersuchungen und Prüfungen;
• sonstige interne normative Akte, die gemäß den Anforderungen des Datenschutzrechts erlassen wurden.

7.3. Mitarbeiter, die Stellen mit Verarbeitung personenbezogener Daten besetzen, werden erst nach Unterzeichnung einer Verschwiegenheitsverpflichtung dazu zugelassen.

7.4. Materielle Träger personenbezogener Daten werden in abschließbaren Schränken aufbewahrt (sofern zutreffend).

7.5. Der Zugang zu personenbezogenen Informationen in den Informationssystemen des IP erfolgt über individuelle Passwörter.

7.6. Das IP verwendet zertifizierte Antivirensoftware mit regelmäßig aktualisierten Datenbanken.

7.7. Mitarbeiter des IP, die personenbezogene Daten verarbeiten, werden regelmäßig in den datenschutzrechtlichen Anforderungen geschult.

7.9. Das IP führt interne Untersuchungen in folgenden Situationen durch:

• bei unrechtmäßiger oder versehentlicher Übermittlung (Bereitstellung, Verbreitung, Zugang) personenbezogener Daten, die eine Verletzung der Rechte der betroffenen Personen zur Folge hatte;
• in anderen im Datenschutzrecht vorgesehenen Fällen.

7.10. Der für die Organisation der Verarbeitung personenbezogener Daten verantwortliche Mitarbeiter führt eine interne Kontrolle zur Einhaltung der datenschutzrechtlichen Anforderungen durch. Die interne Kontrolle erfolgt in Form interner Prüfungen.

7.11. Eine interne Untersuchung wird durchgeführt, wenn eine unrechtmäßige oder versehentliche Übermittlung personenbezogener Daten festgestellt wurde, die eine Verletzung der Rechte der betroffenen Personen zur Folge hatte (nachfolgend – Vorfall).

7.11.1. Im Falle eines Vorfalls benachrichtigt das IP Roskomnadzor innerhalb von 24 Stunden: über den Vorfall, seine vermutlichen Ursachen und den Schaden, der den Rechten der betroffenen Person entstanden ist, sowie über die zur Beseitigung der Vorfallsfolgen ergriffenen Maßnahmen.

7.11.2. Innerhalb von 72 Stunden ist das IP verpflichtet, Roskomnadzor über die Ergebnisse der internen Untersuchung zu benachrichtigen und Informationen über die Personen bereitzustellen, deren Handlungen den Vorfall verursacht haben (sofern vorhanden).

7.12. Werden bestätigte Informationen darüber bereitgestellt, dass personenbezogene Daten unvollständig, ungenau oder veraltet sind, werden innerhalb von sieben Werktagen Änderungen vorgenommen.

8. Haftung für Verstöße gegen Normen, die die Verarbeitung personenbezogener Daten regeln

8.1. Personen, die für Verstöße gegen das russische Datenschutzrecht bei der Verarbeitung personenbezogener Daten verantwortlich sind, werden gemäß dem Arbeitsgesetzbuch der Russischen Föderation und anderen Bundesgesetzen disziplinarisch und materiell zur Verantwortung gezogen. Darüber hinaus werden sie gemäß den Bundesgesetzen verwaltungsrechtlich, zivilrechtlich oder strafrechtlich zur Verantwortung gezogen.

8.2. Immaterielle Schäden, die der betroffenen Person durch Verletzung ihrer Rechte, Verletzung der Regeln zur Verarbeitung personenbezogener Daten sowie durch Nichteinhaltung der Anforderungen zu deren Schutz entstanden sind, sind gemäß dem russischen Recht zu ersetzen. Der Ersatz immaterieller Schäden erfolgt unabhängig vom Ersatz materieller Schäden und der von der betroffenen Person erlittenen Verluste.