Kebijakan Pemrosesan dan Perlindungan Data Pribadi

Kebijakan ini merupakan peraturan normatif internal Platform Moleculs.ai (selanjutnya disebut - SP), yang ditetapkan dengan mempertimbangkan persyaratan, khususnya Bab 14 Kode Tenaga Kerja Federasi Rusia, Undang-Undang Federal tanggal 27.07.2006 N 152-FZ «Tentang Data Pribadi» (selanjutnya disebut - Undang-Undang Data Pribadi).

Kebijakan ini menetapkan:

• tujuan, tata cara, dan ketentuan pemrosesan data pribadi;
• kategori subjek yang data pribadinya diproses, kategori (daftar) data pribadi yang diproses, metode, jangka waktu pemrosesan dan penyimpanannya, tata cara penghapusan data tersebut setelah tujuan pemrosesan tercapai atau saat terdapat alasan hukum lainnya;
• ketentuan yang berkaitan dengan perlindungan data pribadi, prosedur yang ditujukan untuk mengidentifikasi dan mencegah pelanggaran peraturan perundang-undangan Federasi Rusia di bidang data pribadi, serta menghilangkan dampak dari pelanggaran tersebut.

Dalam Kebijakan ini digunakan istilah dan definisi sesuai dengan maknanya yang ditetapkan dalam Undang-Undang Data Pribadi.

Kebijakan ini mulai berlaku sejak disetujui oleh SP dan berlaku hingga dicabut oleh SP atau hingga diberlakukannya Kebijakan baru.

Perubahan pada Kebijakan dilakukan berdasarkan keputusan SP. Perubahan mulai berlaku sejak penandatanganan dokumen terkait.

2. Kategori Subjek Data Pribadi

2.1. Subjek yang data pribadinya diproses oleh SP sesuai dengan Kebijakan ini meliputi:

• kandidat untuk penerimaan kerja oleh SP;
• karyawan SP;
• mantan karyawan SP;
• anggota keluarga karyawan SP — dalam hal-hal di mana menurut peraturan perundang-undangan, informasi tentang mereka diberikan oleh karyawan;
• pihak-pihak lain yang data pribadinya wajib diproses oleh SP sesuai dengan peraturan ketenagakerjaan dan peraturan lain yang mengandung norma hukum ketenagakerjaan;
• klien, mitra usaha, dan mitra SP.

3. Tujuan Pemrosesan Data Pribadi, Kategori Data Pribadi yang Diproses

3.1. Sesuai dengan Kebijakan ini, data pribadi diproses untuk tujuan penerapan dan pelaksanaan peraturan ketenagakerjaan dalam kerangka hubungan kerja dan hubungan lain yang terkait langsung dengannya, serta dalam kerangka hubungan hukum perdata, interaksi SP dengan mitra potensial, klien, dan pihak lain untuk tujuan perlindungan data pribadi berbagai kategori orang, termasuk:

• dalam membantu penempatan kerja;
• pengelolaan administrasi kepegawaian dan akuntansi;
• membantu karyawan dalam memperoleh pendidikan dan pengembangan karir;
• pemrosesan penghargaan dan insentif;
• pemberian kondisi kerja, jaminan, dan kompensasi yang ditetapkan oleh peraturan perundang-undangan dari pihak SP;
• pengisian dan pengiriman formulir pelaporan yang diperlukan ke otoritas yang berwenang;
• memastikan keselamatan pribadi karyawan, pihak lain, dan keamanan properti;
• pengendalian jumlah dan kualitas pekerjaan yang dilakukan;
• memastikan perlindungan hak dan kebebasan seseorang dan warga negara dalam pemrosesan data pribadinya, termasuk perlindungan hak atas privasi, rahasia pribadi dan keluarga;
• promosi barang, pekerjaan, layanan SP di pasar melalui kontak langsung dengan calon konsumen menggunakan sarana komunikasi;
• interaksi SP terkait kerja sama yang saling menguntungkan, penyelesaian transaksi dengan mitra potensial, klien, dan pihak lain.

3.2. Sesuai dengan tujuan yang disebutkan dalam klausul 3.1 Kebijakan ini, data pribadi berikut diproses:

• nama keluarga, nama depan, patronimik (jika ada), serta nama keluarga, nama depan, patronimik sebelumnya (jika ada), tanggal dan tempat perubahannya;
• jenis kelamin;
• tanggal (hari, bulan, tahun) dan tempat lahir;
• foto;
• informasi kewarganegaraan;
• jenis, seri, nomor dokumen identitas, nama lembaga yang menerbitkannya, tanggal penerbitan;
• nomor asuransi akun pribadi (SNILS);
• nomor identifikasi wajib pajak (INN);
• alamat dan tanggal pendaftaran tempat tinggal (tempat tinggal sementara), alamat tempat tinggal aktual;
• nomor telepon kontak, alamat email dan/atau informasi tentang metode komunikasi lainnya;
• rincian akta pencatatan sipil negara dan informasi yang terkandung di dalamnya;
• informasi tentang status perkawinan, komposisi keluarga (tingkat kekerabatan, nama keluarga, nama depan, patronimik (jika ada), tanggal dan tempat lahir);
• informasi tentang pendidikan dan/atau kualifikasi atau kepemilikan pengetahuan khusus;
• informasi tentang penguasaan bahasa asing;
• informasi tentang kewajiban militer, pendaftaran militer, dan rincian dokumen pendaftaran militer;
• informasi tentang riwayat pekerjaan, serta informasi tentang tempat kerja sebelumnya, periode, dan masa kerja;
• informasi yang terdapat dalam dokumen yang memberikan hak tinggal dan bekerja di wilayah Federasi Rusia (untuk warga negara asing);
• informasi tentang pendapatan, kewajiban berdasarkan dokumen eksekusi;
• nomor rekening, kartu bank;
• informasi tentang kondisi kesehatan (untuk kategori karyawan tertentu);
• informasi tentang ada (tidak adanya) catatan kriminal dan/atau fakta penuntutan pidana atau penghentian penuntutan pidana atas dasar rehabilitasi (untuk kategori karyawan tertentu);
• data pribadi lainnya yang terdapat dalam dokumen yang penyerahannya ditentukan oleh peraturan perundang-undangan, jika pemrosesan data tersebut sesuai dengan tujuan pemrosesan yang diatur dalam klausul 3.1 Kebijakan ini.

3.3. SP tidak melakukan pemrosesan kategori khusus data pribadi yang berkaitan dengan ras, kebangsaan, pandangan politik, keyakinan agama atau filosofis, kehidupan intim, kecuali dalam kasus-kasus yang ditentukan oleh peraturan perundang-undangan Federasi Rusia.

4. Tata Cara dan Ketentuan Pemrosesan Data Pribadi

4.1. Sebelum memulai pemrosesan data pribadi, SP wajib memberitahukan kepada Roskomnadzor tentang niat untuk melakukan pemrosesan data pribadi.

4.2. Dasar hukum pemrosesan data pribadi adalah Kode Tenaga Kerja Federasi Rusia, peraturan hukum normatif lainnya yang mengandung norma hukum ketenagakerjaan, Undang-Undang Federal tanggal 27.07.2006 N 152-FZ «Tentang Data Pribadi», Undang-Undang Federal tanggal 06.12.2011 N 402-FZ «Tentang Akuntansi», Keputusan Pemerintah Federasi Rusia tanggal 27.11.2006 N 719 «Tentang Persetujuan Peraturan Pendaftaran Militer».

4.3. Pemrosesan data pribadi dilakukan oleh SP dengan mematuhi prinsip dan ketentuan yang diatur oleh peraturan perundang-undangan di bidang data pribadi dan Kebijakan ini.

4.4. Pemrosesan data pribadi oleh SP dilakukan dengan cara-cara berikut:

• pemrosesan data pribadi secara non-otomatis;
• pemrosesan data pribadi secara otomatis dengan atau tanpa transmisi informasi yang diperoleh melalui jaringan informasi dan telekomunikasi;
• pemrosesan data pribadi secara campuran.

4.5. Pemrosesan data pribadi oleh SP dilakukan atas persetujuan subjek data pribadi untuk pemrosesan data pribadinya, kecuali ditentukan lain oleh peraturan perundang-undangan di bidang data pribadi.

4.5.1. Pemrosesan data pribadi yang diizinkan oleh subjek data pribadi untuk disebarluaskan dilakukan dengan mematuhi larangan dan ketentuan yang diatur dalam Pasal 10.1 Undang-Undang Data Pribadi.

4.5.2. Pemrosesan data biometrik pribadi hanya diizinkan dengan adanya persetujuan tertulis dari subjek data pribadi. Pengecualian mencakup situasi yang diatur dalam Bagian 2 Pasal 11 Undang-Undang Data Pribadi.

4.6. SP tidak melakukan transfer data pribadi lintas batas.

4.7. Pemrosesan data pribadi dilakukan melalui pengumpulan, pencatatan, sistematisasi, akumulasi, penyimpanan, klarifikasi (pembaruan, perubahan), pengambilan, penggunaan, anonimisasi, pemblokiran, penghapusan, pemusnahan data pribadi, termasuk dengan bantuan sarana komputasi.

4.7.1. Pengumpulan, pencatatan, sistematisasi, akumulasi, dan klarifikasi data pribadi oleh SP dilakukan melalui:

• penerimaan dokumen asli atau salinannya;
• penyalinan dokumen asli;
• pemasukan informasi ke formulir pencatatan pada media kertas dan elektronik;
• pembuatan dokumen yang berisi data pribadi pada media kertas dan elektronik;
• pemasukan data pribadi ke dalam sistem informasi data pribadi.

4.7.2. SP menggunakan sistem informasi berikut:

• email korporat;
• sistem manajemen dokumen elektronik;
• sistem dukungan tempat kerja pengguna;
• sistem informasi referensi normatif;
• sistem manajemen sumber daya manusia;
• sistem kontrol akses jarak jauh;
• portal informasi.

4.8. Transfer (penyebaran, pemberian, akses) data pribadi subjek data pribadi dilakukan dalam kasus-kasus dan dengan cara yang diatur oleh peraturan perundang-undangan di bidang data pribadi dan Kebijakan ini.

5. Jangka Waktu Pemrosesan dan Penyimpanan Data Pribadi

5.1. Pemrosesan data pribadi oleh SP dihentikan dalam kasus-kasus berikut:

• ketika ditemukan fakta pemrosesan data pribadi yang tidak sah (jangka waktu penghentian pemrosesan — dalam tiga hari kerja sejak tanggal penemuan fakta tersebut);
• ketika tujuan pemrosesannya tercapai (dengan beberapa pengecualian);
• setelah habis masa berlaku atau ketika subjek data pribadi mencabut persetujuan untuk pemrosesan data pribadinya (dengan beberapa pengecualian);
• ketika subjek data pribadi mengajukan permintaan kepada SP untuk menghentikan pemrosesan data pribadi (jangka waktu penghentian pemrosesan — tidak lebih dari 10 hari kerja sejak tanggal penerimaan permintaan).

5.2. Data pribadi disimpan dalam bentuk yang memungkinkan identifikasi subjek data pribadi, tidak lebih lama dari yang diperlukan oleh tujuan pemrosesannya. Pengecualian — kasus di mana jangka waktu penyimpanan data pribadi ditetapkan oleh undang-undang federal, perjanjian yang menjadi pihaknya adalah subjek data pribadi.

5.3. Data pribadi pada media kertas disimpan oleh SP selama jangka waktu penyimpanan dokumen yang ditentukan oleh peraturan perundang-undangan tentang kearsipan di Federasi Rusia.

5.4. Jangka waktu penyimpanan data pribadi yang diproses dalam sistem informasi data pribadi sesuai dengan jangka waktu penyimpanan data pribadi pada media kertas.

6. Tata Cara Pemblokiran dan Pemusnahan Data Pribadi

6.1. SP memblokir data pribadi sesuai dengan tata cara dan ketentuan yang diatur oleh peraturan perundang-undangan di bidang data pribadi.

6.2. Setelah tujuan pemrosesan data pribadi tercapai atau jika kebutuhan untuk mencapai tujuan tersebut hilang, data pribadi dimusnahkan atau dianonimkan.

6.3. Data pribadi yang diperoleh secara tidak sah atau yang tidak diperlukan untuk tujuan pemrosesan, dimusnahkan dalam tujuh hari kerja sejak tanggal penyerahan informasi konfirmasi oleh subjek data pribadi.

6.4. Data pribadi yang pemrosesannya dihentikan karena ketidakabsahan dan yang keabsahan pemrosesannya tidak dapat dijamin, dimusnahkan dalam 10 hari kerja sejak tanggal penemuan fakta pemrosesan yang tidak sah.

6.5. Data pribadi dimusnahkan dalam 30 hari sejak tanggal pencapaian tujuan pemrosesan, kecuali ditentukan lain oleh perjanjian yang menjadi pihaknya adalah subjek data pribadi, perjanjian lain antara subjek dan SP, atau jika SP tidak berhak memproses data pribadi tanpa persetujuan subjek data pribadi atas dasar yang ditentukan oleh undang-undang federal.

6.6. Data pribadi dimusnahkan (jika penyimpanannya tidak diperlukan untuk tujuan pemrosesan data pribadi) dalam 30 hari sejak tanggal diterimanya pencabutan persetujuan oleh subjek data pribadi untuk pemrosesannya.

6.7. Seleksi media fisik (dokumen, hard disk, flash drive, dll.) dan/atau informasi dalam sistem informasi yang berisi data pribadi yang akan dimusnahkan dilakukan oleh penanggung jawab SP yang memproses data pribadi.

6.7.2. Data pribadi pada media kertas dimusnahkan menggunakan penghancur dokumen (shredder). Data pribadi pada media elektronik dimusnahkan melalui kerusakan mekanis integritas media sehingga data pribadi tidak dapat dibaca atau dipulihkan, serta melalui penghapusan data dari media elektronik dengan metode dan sarana penghapusan informasi residual yang terjamin.

6.7.3. Penanggung jawab mengkonfirmasi pemusnahan data pribadi sesuai dengan Persyaratan Konfirmasi Pemusnahan Data Pribadi yang disetujui oleh Perintah Roskomnadzor tanggal 28.10.2022 N 179.

7. Perlindungan Data Pribadi

7.1. Tanpa persetujuan tertulis dari subjek data pribadi, SP tidak mengungkapkan kepada pihak ketiga dan tidak menyebarluaskan data pribadi, kecuali ditentukan lain oleh undang-undang federal.

7.2. Untuk tujuan perlindungan data pribadi, SP menetapkan (menyetujui):

• karyawan yang bertanggung jawab atas pengorganisasian pemrosesan data pribadi;
• daftar jabatan yang dalam pelaksanaannya dilakukan pemrosesan data pribadi;
• daftar data pribadi yang dapat diakses oleh karyawan yang menduduki jabatan yang mencakup pemrosesan data pribadi;
• tata cara akses ke ruangan di mana pemrosesan data pribadi dilakukan;
• tata cara transfer data pribadi SP;
• formulir persetujuan pemrosesan data pribadi;
• tata cara perlindungan data pribadi saat pemrosesannya dalam sistem informasi data pribadi;
• tata cara pelaksanaan investigasi dan pemeriksaan internal;
• peraturan normatif internal lainnya yang ditetapkan sesuai dengan persyaratan peraturan perundang-undangan di bidang data pribadi.

7.3. Karyawan yang menduduki jabatan yang mencakup pemrosesan data pribadi diizinkan melakukannya setelah menandatangani surat komitmen kerahasiaan.

7.4. Media fisik data pribadi disimpan dalam lemari yang dikunci (jika berlaku).

7.5. Akses ke informasi pribadi yang terdapat dalam sistem informasi SP dilakukan dengan menggunakan kata sandi individual.

7.6. SP menggunakan perangkat lunak antivirus bersertifikat dengan basis data yang diperbarui secara berkala.

7.7. Karyawan SP yang memproses data pribadi secara berkala mengikuti pelatihan tentang persyaratan peraturan perundang-undangan di bidang data pribadi.

7.9. SP melakukan investigasi internal dalam situasi-situasi berikut:

• ketika terjadi transfer (pemberian, penyebaran, akses) data pribadi yang tidak sah atau tidak disengaja yang mengakibatkan pelanggaran hak subjek data pribadi;
• dalam kasus lain yang ditentukan oleh peraturan perundang-undangan di bidang data pribadi.

7.10. Karyawan yang bertanggung jawab atas pengorganisasian pemrosesan data pribadi melakukan kontrol internal atas kepatuhan terhadap persyaratan peraturan perundang-undangan di bidang data pribadi. Kontrol internal dilakukan dalam bentuk pemeriksaan internal.

7.11. Investigasi internal dilakukan jika ditemukan fakta transfer data pribadi yang tidak sah atau tidak disengaja yang mengakibatkan pelanggaran hak subjek data pribadi (selanjutnya disebut — insiden).

7.11.1. Dalam hal insiden, SP dalam waktu 24 jam memberitahukan kepada Roskomnadzor: tentang insiden tersebut, dugaan penyebab dan kerugian yang ditimbulkan terhadap hak subjek data pribadi, serta tindakan yang diambil untuk mengatasi dampak insiden.

7.11.2. Dalam waktu 72 jam, SP wajib memberitahukan kepada Roskomnadzor tentang hasil investigasi internal dan memberikan informasi tentang orang-orang yang tindakannya menyebabkan insiden (jika ada).

7.12. Jika diberikan informasi yang dikonfirmasi bahwa data pribadi tidak lengkap, tidak akurat, atau tidak relevan, perubahan dilakukan dalam tujuh hari kerja.

8. Tanggung Jawab atas Pelanggaran Norma yang Mengatur Pemrosesan Data Pribadi

8.1. Orang-orang yang bersalah karena melanggar ketentuan peraturan perundang-undangan Federasi Rusia di bidang data pribadi dalam pemrosesan data pribadi, dikenakan tanggung jawab disiplin dan materiil sesuai dengan tata cara yang ditetapkan oleh Kode Tenaga Kerja Federasi Rusia dan undang-undang federal lainnya. Selain itu, mereka dikenakan tanggung jawab administratif, perdata, atau pidana sesuai dengan tata cara yang ditetapkan oleh undang-undang federal.

8.2. Kerugian moral yang ditimbulkan kepada subjek data pribadi akibat pelanggaran haknya, pelanggaran aturan pemrosesan data pribadi, serta ketidakpatuhan terhadap persyaratan perlindungannya, harus diganti sesuai dengan peraturan perundang-undangan Federasi Rusia. Penggantian kerugian moral dilakukan terlepas dari penggantian kerugian materiil dan kerugian yang diderita oleh subjek data pribadi.