プライバシーポリシー

本ポリシーは、MoleculAIプラットフォーム（以下「会社」）の内部規制文書であり、個人データの処理を規定する適用されるデータ保護法および規制に従って策定されたものです。

本ポリシーは以下を定めます：

• 個人データの処理の目的、手順、および条件；
• 個人データが処理されるデータ主体のカテゴリー、処理される個人データのカテゴリー（リスト）、処理および保存の方法・期間、処理目的が達成された場合またはその他の合法的な根拠が生じた場合におけるデータ破棄の手順；
• 個人データの保護に関する規定、データ保護法違反の特定および防止を目的とした手順、ならびにかかる違反の結果の是正措置。

本ポリシーでは、適用されるデータ保護法により定められた意味に従って用語および定義を使用します。

本ポリシーは会社による承認をもって発効し、取り消されるか新たなポリシーに置き換えられるまで有効です。

本ポリシーの改正は会社の決定によって行われます。変更は対応する文書への署名をもって発効します。

2. データ主体のカテゴリー

2.1. 本ポリシーに基づき会社が個人データを処理するデータ主体には、以下が含まれます：

• 求職者；
• 現従業員；
• 元従業員；
• 従業員の家族 — 法律の要件に基づき従業員が情報を提供した場合；
• 雇用法およびその他の適用法令に従い会社が個人データを処理することが義務付けられているその他の個人；
• 会社の顧客、請負業者、およびパートナー。

3. 個人データ処理の目的および処理されるデータのカテゴリー

3.1. 本ポリシーに基づき、個人データは、雇用および直接関連する関係の範囲内での雇用法の適用および遵守、ならびに民事法上の関係において、また会社が見込みパートナー、顧客、その他の個人と交流する目的で処理されます。これには、以下を含む当該カテゴリーの個人の個人データ保護が含まれます：

• 採用支援；
• 人事・経理記録の維持；
• 従業員の教育および職業上の向上への支援；
• 表彰および受賞の処理；
• 法律で義務付けられた労働条件、給付、および補償の提供；
• 権限ある機関への必要な報告書の作成および提出；
• 従業員およびその他の者の人身の安全確保、ならびに財産の保護；
• 業務の量および質の監視；
• プライバシーの権利および個人・家族の秘密の権利を含む、個人データ処理における個人の権利および自由の保護；
• コミュニケーションチャネルを通じた見込み顧客への直接接触による、会社の製品・業務・サービスの市場プロモーション；
• 相互利益のある協力に関して会社と関与し、見込みパートナー、顧客、その他の個人と契約を締結すること。

3.2. 本ポリシーの第3.1条に規定する目的に従い、以下の個人データが処理されます：

• 姓、名、父称（該当する場合）、ならびに旧姓・旧名・旧父称（該当する場合）およびそれらの変更の日時・場所；
• 性別；
• 生年月日（日・月・年）および出生地；
• 写真；
• 国籍情報；
• 身分証明書の種類・通し番号・番号、発行機関名、および発行日；
• 個人保険口座番号；
• 納税者識別番号；
• 住民票の住所および登録日（居住地（滞在地））、ならびに実際の居住地住所；
• 連絡先電話番号、メールアドレス、および/またはその他の連絡先情報；
• 民事身分登録証明書の詳細およびそれに含まれる情報；
• 婚姻状況および家族構成に関する情報（続柄、姓・名・父称（該当する場合）、生年月日および出生地）；
• 学歴および/または資格または専門知識に関する情報；
• 外国語能力に関する情報；
• 兵役義務、兵籍登録、および兵籍登録書類の詳細に関する情報；
• 以前の勤務先、期間、および勤続年数を含む職歴に関する情報；
• ロシア連邦における滞在および就労権を付与する書類に含まれる情報（外国人市民の場合）；
• 収入および強制執行令状に基づく義務に関する情報；
• 銀行口座番号およびバンクカード番号；
• 健康状態に関する情報（特定のカテゴリーの従業員の場合）；
• 犯罪歴の有無および/または刑事訴追、または更生事由による刑事訴追の終了に関する情報（特定のカテゴリーの従業員の場合）；
• 法律により提出が義務付けられている書類に含まれるその他の個人データ（かかるデータの処理が本ポリシーの第3.1条に規定する処理目的に対応する場合）。

3.3. 個人事業主は、人種、民族、政治的見解、宗教的もしくは哲学的信条、または親密な生活に関する特別なカテゴリーの個人データを処理しません。ただし、ロシア連邦の法令により規定される場合を除きます。

4. 個人データの処理手順および条件

4.1. 個人データの処理を開始する前に、個人事業主はロスコムナゾルに対して個人データを処理する意図を通知することが義務付けられています。

4.2. 個人データ処理の法的根拠は、ロシア連邦労働法典、労働法規定を含むその他の規制法令、2006年7月27日付連邦法第152-FZ号「個人データについて」、2011年12月6日付連邦法第402-FZ号「会計について」、および2006年11月27日付ロシア政府令第719号「兵籍登録規則の承認について」です。

4.3. 個人事業主は、個人データ法令および本ポリシーに規定する原則および条件に従って個人データを処理します。

4.4. 個人事業主は、以下の方法により個人データを処理します：

• 個人データの非自動処理；
• 情報通信ネットワークを通じた取得情報の送信の有無にかかわらず、個人データの自動処理；
• 個人データの混合処理。

4.5. 個人事業主は、個人データ法令により別段の定めがある場合を除き、個人データ主体の同意を得て個人データを処理します。

4.5.1. 主体が配布を承認した個人データの処理は、個人データ法第10.1条に規定する禁止事項および条件に従って行われます。

4.5.2. 生体個人データの処理は、個人データ主体の書面による同意がある場合にのみ許可されます。ただし、個人データ法第11条第2部に規定する状況を除きます。

4.6. 個人事業主は個人データの越境移転を行いません。

4.7. 個人データの処理は、コンピューター機器の使用を含む、個人データの収集、記録、体系化、蓄積、保存、明確化（更新・修正）、取得、使用、匿名化、ブロック、削除、および破棄を通じて行われます。

4.7.1. 個人事業主は、以下の手段により個人データの収集、記録、体系化、蓄積、および明確化を行います：

• 原本書類またはその写しの取得；
• 原本書類の複写；
• 紙媒体および電子媒体の記録様式への情報の入力；
• 紙媒体および電子媒体で個人データを含む書類の作成；
• 個人データ情報システムへの個人データの入力。

4.7.2. 個人事業主は以下の情報システムを使用します：

• 社内メール；
• 電子文書管理システム；
• ユーザーワークステーションサポートシステム；
• 規制参照情報システム；
• 人事管理システム；
• リモートアクセス制御システム；
• 情報ポータル。

4.8. 個人データ主体の個人データの移転（配布、提供、アクセス）は、個人データ法令および本ポリシーに規定する場合および方法において行われます。

5. 個人データの処理および保存期間

5.1. 個人事業主は、以下の場合に個人データの処理を停止します：

• 個人データの不正処理が発見された場合（処理は発見日から3営業日以内に停止しなければならない）；
• 処理目的が達成された場合（一定の例外を除く）；
• 個人データ主体による個人データ処理の同意の期限切れまたは撤回の場合（一定の例外を除く）；
• 個人データ主体から個人事業主への個人データ処理停止の要求があった場合（処理は要求受領日から10営業日以内に停止しなければならない）。

5.2. 個人データは、処理目的に必要な期間を超えず、個人データ主体の識別が可能な形式で保存されます。ただし、個人データの保存期間が連邦法または個人データ主体が当事者となる契約により定められている場合を除きます。

5.3. 紙媒体の個人データは、ロシア連邦のアーカイブ法令により定められた文書保存期間、個人事業主により保存されます。

5.4. 個人データ情報システムで処理された個人データの保存期間は、紙媒体の個人データの保存期間と対応します。

6. 個人データのブロックおよび破棄の手順

6.1. 個人事業主は、個人データ法令に規定する方法および条件に従って個人データをブロックします。

6.2. 個人データ処理の目的が達成された場合、またはこれらの目的を達成する必要性が失われた場合、個人データは破棄または匿名化されます。

6.3. 不正に取得された、または処理目的に必要でない個人データは、個人データ主体が裏付け情報を提供した日から7営業日以内に破棄されます。

6.4. 不正性を理由に処理が終了し、かつ合法的な処理を確保できない個人データは、不正処理の事実が確認された日から10営業日以内に破棄されます。

6.5. 個人データは、処理目的が達成された日から30日以内に破棄されます。ただし、個人データ主体が当事者となる契約、個人データ主体と個人事業主との間の別の合意により別段の定めがある場合、または個人事業主が連邦法に規定する根拠に基づき個人データ主体の同意なしに個人データを処理する権利を有しない場合を除きます。

6.6. 個人データは、処理目的への保存が不要な場合、個人データ主体による処理同意の撤回を受領した日から30日以内に破棄されます。

6.7. 破棄の対象となる個人データを含む物理的媒体（書類、ハードドライブ、フラッシュドライブ等）および/または情報システム内の情報の選定は、個人データ処理を担当する個人事業主の責任者が行います。

6.7.2. 紙媒体の個人データはシュレッダーを使用して破棄されます。電子媒体の個人データは、個人データの読み取りまたは復元を不可能にする方法で媒体の物理的完全性を損傷させることにより、また残留情報の除去を保証する方法およびツールを使用して電子媒体からデータを削除することにより、破棄されます。

6.7.3. 責任者は、2022年10月28日付ロスコムナゾル令第179号により承認された個人データ破棄確認要件に従って個人データの破棄を確認します。

7. 個人データの保護

7.1. 個人データ主体の書面による同意なしに、個人事業主は個人データを第三者に開示せず、連邦法により別段の定めがある場合を除き、個人データを配布しません。

7.2. 個人データの保護のために、個人事業主は以下を任命（承認）します：

• 個人データの処理を組織化する責任を負う従業員；
• 個人データが処理される役職のリスト；
• 個人データの処理を含む役職に就く従業員がアクセス可能な個人データのリスト；
• 個人データが処理される施設へのアクセス手順；
• 個人事業主への個人データの移転手順；
• 個人データ処理の同意書式；
• 個人データ情報システムで処理される際の個人データ保護手順；
• 内部調査および監査の実施手順；
• 個人データ法令の要件に従って採択されたその他の内部規定。

7.3. 個人データの処理を含む役職に就く従業員は、守秘義務書への署名後にアクセスを付与されます。

7.4. 個人データを含む物理的媒体は、施錠可能なキャビネット（該当する場合）に保管されます。

7.5. 個人事業主の情報システムに含まれる個人情報へのアクセスは、個別パスワードを通じて付与されます。

7.6. 個人事業主は、定期的に更新されるデータベースを備えた認定済みウイルス対策ソフトウェアを使用します。

7.7. 個人データを処理する個人事業主の従業員は、個人データ法令の要件に関する研修を定期的に受けます。

7.9. 個人事業主は、以下の状況において内部調査を実施します：

• 個人データ主体の権利侵害をもたらした個人データの不正または偶発的な移転（提供、配布、アクセス）が発生した場合；
• 個人データ法令により規定されるその他の場合。

7.10. 個人データ処理の組織化を担当する従業員は、個人データ法令の要件への遵守に関する内部統制を行います。内部統制は内部監査の形式で実施されます。

7.11. 個人データ主体の権利侵害をもたらした個人データの不正または偶発的な移転の事実が確認された場合（以下「インシデント」）、内部調査が実施されます。

7.11.1. インシデントが発生した場合、個人事業主はロスコムナゾルに対して24時間以内に、インシデント、その推定原因、個人データ主体の権利に対して生じた損害、およびインシデントの結果を排除するために講じた措置について通知します。

7.11.2. 72時間以内に、個人事業主はロスコムナゾルに対して内部調査の結果を通知し、インシデントの原因となった人物（いる場合）に関する情報を提供することが義務付けられています。

7.12. 個人データが不完全、不正確、または時代遅れであるという確認された情報が提供された場合、変更は7営業日以内に行われます。

8. 個人データ処理規則違反に対する責任

8.1. 個人データの処理中にロシア連邦の個人データに関する法令の規定に違反した者は、ロシア連邦労働法典およびその他の連邦法により定められた方法で懲戒および物的責任を負います。また、連邦法により定められた方法で行政上、民事上、または刑事上の責任を負います。

8.2. 権利の侵害、個人データ処理規則の違反、またはデータ保護要件の不遵守の結果として個人データ主体に生じた精神的損害は、ロシア連邦の法令に従って補償されます。精神的損害の補償は、個人データ主体に生じた財産的損害および損失の補償とは独立して行われます。