KARAGDAGANG MGA TUNTUNIN SA PAGPOPROSESO AT PAGLILIPAT NG DATA

Kinikilala at sinasang-ayunan ng mga Partido na ang Personal na Data na inililipat sa pagitan ng FamilySearch International (o affiliate nito) at ng (mga) Record Custodian ay napapailalim sa, (i) mga tuntuning nilagdaan ng parehong partido kung saan ang Mga Tuntunin ng Pagpoproseso at Paglilipat ng Data ay kasama sa pamamagitan ng pagbanggit (“Kasunduan”), at (ii) lahat ng angkop na batas sa privacy at proteksyon ng data.

Nauunawaan at sinasang-ayunan ng mga Partido na, (i) ang (mga) Record Custodian ang Tagapamahala at Taga-export ng inililipat na Personal na Data, at (ii) ang FamilySearch International (o affiliate nito) ang Tagaproseso at Taga-import.

Nauunawaan at sinasang-ayunan ng mga Partido na ang naaangkop na Karagdagan sa Pagpoproseso at Paglilipat ng Data na nakasaad sa ibaba ay nakadepende sa pisikal na lokasyon ng (mga) Record Custodian, maliban na lang kung may ibang lokasyon na itatalaga sa pamamagitan ng pagsulat ng (mga) Record Custodian sa pagpasok sa Kasunduan.

(1) Para sa (mga) Record Custodian sa mga sumusunod na lokasyon, tumutukoy ang Mga Batayang Probisyon ng Kontrata sa EU, Module 2: Tagapamahala papunta sa Tagaproseso (“EU SCC, Module 2”) (matatagpuan dito):
Afghanistan, Algeria, Austria, Australia, Bahrain, Barbados, Belgium, Belize, Botswana, British Virgin Islands, Bulgaria, Burkina Faso, Cayman Islands, Congo, REP, Cook Islands, Croatia, Cuba, Cyprus, Czechia, Denmark, Ecuador, Egypt, Estonia, Eswatini, Ethiopia, Fiji, Finland, France, French Guiana, French Polynesia, French Southern Territories, Gabon, Germany, Glorioso Islands, Greece, Grenada, Guam, Guyana, Haiti, Hungary, India, Indonesia, Iran, Iraq, Ireland, Italy, Israel, Jamaica, Japan, Jordan, Juan de Nova Island, Kiribati, Kuwait, Latvia, Lebanon, Libya, Liechtenstein, Lithuania, Luxembourg, Malta, Marshall Islands, Melanesia, Mexico, Micronesia, Mongolia, Morocco, Nauru, Nepal, Netherlands, New Caldonia, Niger, Niue, Norway, Oman, Palau, Panama, Papua New Guinea, Pakistan, Palestine, Pitcairn Islands, Poland, Portugal, Republika ng Moldova, Romania, Saint Kitts and Nevis, Samoa, Seychelles, Slovakia, Slovenia, Solomon Islands, Somalia, South Africa, South Korea, Spain, Sri Lanka, Sudan, Sweden, Switzerland*, Tanzania, Thailand, Togo, Tokelau, Tonga, Tunisia, Türkiye, Tuvalu, Uganda, United Arab Emirates, United Kingdom**, Vanuatu, Wallis & Futuna, Zambia, Zimbabwe

* Bagama't tumutukoy sa Switzerland ang Karagdagan sa Pagpoproseso at Paglilipat ng Data sa EEA, kailangan din ng Switzerland ng karagdagang pahayag na itinatakda rito sa Karagdagan at nakasaad sa ibaba.

** Bagaman tumutukoy ang pagproseso ng data ng EEA at paglilipat ng addendum sa United Kingdom, ang United Kingdom ay nangangailangan din ng karagdagang wika, na kung saan ay isinama sa addendum at ibinibigay sa ibaba.

Ang mga sumusunod ay tumutukoy sa EU SCC, Module 2 tulad ng napagkasunduan ng mga partido na isinangguni sa itaas:

  • Aalisin ang Probisyon 7 (Probisyon sa Pagsasama).
  • Itatakda ng Probisyon 9 (Paggamit ng mga Subprocessor) ang OPSYON 2: PANGKALAHATANG NAKASULAT NA PAHINTULOT.
  • Hindi itatakda ng Probisyon 11 (Pagwawasto) ang OPSYON sa (a).
  • Magtatakda ang Probisyon 13 (Pangangasiwa) ng pahayag na tumutukoy sa mga taga-export na may presensya sa isang Kasaping Estado ng EU.
  • Itatakda ng Probisyon 17 (Nalalapat na Batas) ang OPSYON 1 at itatakda nito na tumutukoy ang batas ng bansa ng taga-export ng data.
  • Itatakda ng Probisyon 18 (Pagpili ng Forum at Hurisdiksyon) na may awtoridad ang mga hukuman ng bansa ng taga-export ng data.
  • ANNEX I: Tingnan sa ibaba.
  • ANNEX II: Tingnan sa ibaba.
  • ANNEX III: Tingnan sa ibaba.

ANNEX I:

A. Listahan ng mga Partido

Taga-export ng Data

  1. Pangalan: (mga) Record Custodian na tinukoy sa Kasunduan
  2. Address: Address ng (mga) Record Custodian na tinukoy sa Kasunduan
  3. Contact: Sumangguni sa “Impormasyon sa Pakikipag-ugnayan para sa mga Paunawa” na nakasaad para sa mga Record Custodian sa Kasunduan
  4. Mga aktibidad na may kinalaman sa data na inililipat sa bisa ng mga Probisyon: Inilalarawan ang mga may kinalamang aktibidad sa Seksyon B (“Paglalarawan ng Paglilipat”) sa ibaba
  5. Tungkulin: Tagapamahala

Taga-import ng Data

  1. Pangalan: FamilySearch International
  2. Address: 36 S State St., Ste 1900, Salt Lake City, UT 84111
  3. Contact: Manager, Data Privacy Office - 50 East North Temple Street, Salt Lake City, Utah 84150
    1. Telepono: (801) 240-1187
    2. Email: Dataprivacyofficer@churchofjesuschrist.org
  4. Mga aktibidad na may kinalaman sa data na inililipat sa bisa ng mga Probisyon: Inilalarawan ang mga may kinalamang aktibidad sa Seksyon B (“Paglalarawan ng Paglilipat”) sa ibaba
  5. Tungkulin: Tagaproseso

B. Paglalarawan ng Paglilipat

Mga kategorya ng mga data subject na inililipat ang personal na data

Mga data subject na matatagpuan sa mga talaang pangkasaysayan at genealogical na iniingatan ang personal na data para sa pananaliksik, kasaysayan, at statistika.

Mga kategorya ng personal na data na inililipat

Genealogical data – Impormasyong kinokolekta para maingatan ang personal na kasaysayan at kasaysayan ng pamilya ng mga tao:

  • Mga pangalan (pangalan ng data subject, pangalan ng ama at ina, pangalan ng mga anak, pangalan ng mga kapatid, pangalan ng asawa, atbp.)
  • Mga kaugnayan sa pamilya (pangalan ng mga indibidwal, kapatid, magulang, anak, lolo, lola, tiyuhin, tiyahin).
  • Impormasyong pantalambuhay (pangalan, petsa ng kapanganakan, petsa ng kamatayan, mga kuwento at detalye tungkol sa buhay ng indibidwal, trabaho, edukasyon, lokasyon ng mga pangyayari sa buhay, mga personal na pangyayaring panrelihiyon—binyag, kumpil, atbp.)
  • Petsa ng kapanganakan, lugar ng kapanganakan, at mga nauugnay na detalye (sex ng bata, pangalan ng mga magulang, address ng mga magulang sa oras ng kapanganakan, o mga nag-ampon na magulang depende sa uri ng talaan ng kapanganakan na pinag-uusapan, petsa ng kapanganakan, at lokasyon ng kapanganakan).
  • Edad
  • Kasarian
  • Petsa ng kasal, lugar ng kasal, at mga nauugnay na detalye (pangalan ng indibidwal, pangalan ng mga magulang, atbp.)
  • Petsa ng kamatayan, lugar ng kamatayan, at mga nauugnay na detalye (pangalan ng indibidwal, paraan ng kamatayan)
  • Nasyonalidad
  • Mga personal na katangian, kabilang ang litrato
  • Iba pang impormasyong nakapaloob sa mga nakuhang talaang genealogical at pangkasaysayan, kabilang ang mga galing sa mga census (pangalan ng mga indibidwal, mga anak, trabaho, tirahan), kasaysayan ng pamilya (data na pantalambuhay, mga pangalan, mga kaugnayan sa pamilya), rehistro ng parokya (pangalan ng mga kasapi ng kongregasyon, tirahan, mga petsa ng kapanganakan, mga kaugnayan sa pamilya), talaan ng simbahan (talaan ng kapanganakan, kasal, kamatayan, binyag, kumpil), rehistrong sibil (talaan ng kapanganakan, kasal, kamatayan), obitwaryo sa diyaryo (talaan ng kapanganakan, talaan ng lupa, mga koleksyon sa archive ng estado), at talaan ng naturalisasyon (talaan ng pagkamamamayan, talaan ng imigrasyon, talaan ng naturalisasyon, kabilang ang mga pangalan, petsa ng kapanganakan, bansang pinagmulan, bansang tinitirhan, at address, pangalan ng mga kapamilya, trabaho, ilang bagay na partikular sa bansa depende sa bansa at petsa ng pangongolekta).

Sensitibong data – Impormasyong nagkataong kasama sa mga talaang pangkasaysayan at genealogical na posibleng ituring na sensitibo alinsunod sa mga Batas sa Privacy:

  • Data ukol sa pagkakakilanlan at demograpiko (pinagmulang lahi o etnisidad, pinagmulang bansa, pinagmulang pangkat, katayuan sa lipunan, partikular na pagkakakilanlan (mga natatanging pantukoy ng pagkakakilanlan, hal., pasaporte, SSN, lisensya sa pagmamaneho, pang-estadong ID), katayuan sa pag-aasawa, edad, kulay, katayuan sa pagkamamamayan o imigrasyon, katayuan bilang biktima ng krimen o nakatamo ng pinsala dahil sa krimen)
  • Mga paniniwala at asosasyon (mga paniniwala o kinaaanibang panrelihiyon, mga paniniwalang pilosopikal, mga paniniwalang moral, mga pinaninindigang ideolohiya, mga opinyong pampolitika, pinapanigan sa politika, mga ideolohiyang pampolitika, o kinaaanibang pampolitika, pagkakasapi ng unyon ng mga manggagawa, pagkakasapi ng samahan, kinaaanibang unyon, pagkakasapi sa mga asosasyong pampropesyon o panlipunan, o mga organisasyon para sa mga karapatang pantao)
  • Pangkalusugan at genetic/biometric data (kalagayan, katayuan, o diagnosis ng kalusugan ng pangangatawan o isipan, kasaysayang medikal, mga talaang medikal, pagpapagamot, pagbibigay ng pangangalagang pangkalusugan, katayuang sikolohikal o pisyolohikal, genetic na data (mga katangiang minana o nakuha, biyolohikal na profile ng tao), biometric na data (ginagamit para sa natatanging pagtukoy ng pagkakakilanlan, awtomatikong beripikasyon, o pagbubunyag ng mga karagdagang sensitibong katangian), neural na data (data na may kinalaman sa utak/nervous system, data na pangkaisipan/pandamdamin) sa kasalukuyan o sa hinaharap)
  • Data kaugnay ng krimen at legal na data (talaan o kasaysayan kaugnay ng mga naging krimen, pagkilos o paggawa ng mga bagay na labag sa batas, paggawa o ipinaparatang na paggawa ng pagkakasala, mga paglilitis, mga resulta, mga hatol, o mga parusa kaugnay ng mga usaping krimen)
  • Data ukol sa lokasyon at komunikasyon (datageolocation data (eksakto o partikular na lokasyon, kabilang ang mga coordinate sa GPS), data ng komunikasyon, kabilang ang nilalaman at metadata ng mga tawag, text, email, o sulat, mga nilalaman ng sulat, email, o text (maliban na lang kung naka-address sa dapat makatanggap))
  • Data ng mga kabataan (anumang personal na data na nauugnay sa menor de edad)
  • Iba pang espesyal na kategorya
    • Mga personal na gawi, paraan ng pamumuhay, at mga sitwasyon sa buhay na personal/pribado
    • Mga katangiang moral o etikal
    • Mga usaping pampamilya o data tungkol sa mga pinagdaraanang emosyonal/pampamilya
    • Mga talaang pang-edukasyon
    • Data kaugnay ng trabaho na may kinalaman sa mga protektadong katangian
    • Data tungkol sa kalusugan ng mamimili (mas malawak kaysa sa mga talaang medikal, kabilang ang wellness/fitness, pagbubuntis, atbp.)
    • Data na may kaugnayan sa ideolohiya o mga paniniwalang hindi naitala
    • Anumang data na posibleng maging malaking banta sa privacy, dignidad, kaligtasan, o ari-arian kung magamit sa maling paraan
    • Data na may mas mataas na posibilidad ng diskriminasyon o kapahamakan depende sa konteksto (hal., data sa panonood ng TV na itinuturing na sensitibo ng FTC)
    • Katayuan sa pag-aasawa (mga pangalan, petsa, atbp.)
    • Numero ng ID na inisyu ng gobyerno o mga katulad na detalye (mga SSN, atbp.)
    • Numero ng pasaporte
    • Kinaaanibang panrelihiyon (impormasyon sa mga talaan ng simbahan, kabilang ang mga numero ng miyembro, pangalan, petsa ng kapanganakan, petsa ng binyag, petsa ng kasal, petsa ng kamatayan, at data na may kaugnayan sa partikular na relihiyon).
    • Data na may kinalaman sa mga menor de edad (mga pangalan, petsa ng kapanganakan, magulang, kapatid, talaan tungkol sa tagapag-alaga, impormasyon tungkol sa pag-aampon, talaang panghukuman, talaang pang-edukasyon)
    • Data na may kaugnayan sa kalusugan (mga sakit, pagkakaospital, paraan ng kamatayan)
    • Kasaysayan kaugnay ng mga naging krimen (mga pangalan, petsa ng pagkakabilanggo, hatol kaugnay ng indibidwal)
    • Pagkakasapi ng unyon ng mga manggagawa (pangalan ng mga miyembro, petsa ng pagkakasapi, impormasyon ng bayarin para sa pagkakasapi, atbp.)
    • Pinagmulang lahi o etnisidad (pinagmulang rehiyon o bansa)
    • Relihiyon (pangalan at kinaaanibang relihiyon)
    • Kinaaanibang pampolitika (pangalan at partidong politikal, impormasyon tungkol sa donasyon)

Dalas ng pagpapadala (hal., kung isang beses lang o tuloy-tuloy)

Tuwing kinakailangan.

Uri ng pagpoproseso

Ang personal na data na inililipat ay puwedeng mapailalim sa iba't ibang aktibidad sa pagpoproseso, kapag pinahihintulutan ng batas, kabilang ang pagdi-digitize, pag-i-index, pagho-host, pag-iimbak, pagpapadala, pagre-redact, at pagpapakita. Sinusuportahan ang mga aktibidad na ito ng mga cloud-based na data center, kabilang ang mga matatagpuan sa United States, sa sukdulang pinahihintulutan ng mga Batas sa Privacy. Halimbawa, puwedeng iproseso ang data para masuportahan ang mga aktibidad na ito:

  • Pag-iingat sa mga talaang pangkasaysayan: Pagdi-digitize, pag-iingat, pag-i-index, pag-iimbak, at/o pag-a-archive ng mga makasaysayang dokumento, litrato, at artifact para sa mga susunod na henerasyon, ayon sa tagubilin ng taga-export ng data.
  • Palaangkanan: Kapag pinahihintulutan na ng mga Batas sa Privacy at ng taga-export ng data (hal., kapag hindi na pinaghihigpitan ang data), puwedeng isama ang data sa mga application na ginagamit ng mga mananaliksik at mga user ng website para masuportahan ang pagtalunton sa lipi o mga talaan ng kasaysayan ng pamilya o ang iba pang pananaliksik, programa, at aktibidad para sa palaangkanan.
    • Pagsasaliksik sa kasaysayan ng pamilya: Pangongolekta at pag-iingat ng impormasyon tungkol sa mga ninuno at talaangkanan ng isang tao.
    • Tagubilin sa palaangkanan: Magbigay ng pagsasanay at masasanggunian para matulungan ang milyon-milyong tao sa iba't ibang panig ng mundo na matuklasan ang kanilang pinagmulan at makaugnayan ang kanilang mga kapamilya.

(Mga) layunin ng paglilipat ng data at higit pang pagpoproseso

Sinusuportahan ng paglilipat ng data sa taga-import ng data (sa pandaigdigang headquarters ng taga-import ng data) at higit pang pagpoproseso ng taga-import ng data ang pag-iingat at pag-iimbak ng mga makasaysayang talaan ng pamilya para mapakinabangan ng mga pampublikong archive, ahensya ng pamahalaan, katutubong pangkat, pribadong archive, iba pang pribadong ahensya, at indibidwal. Kung pinahihintulutan ng mga Batas sa Privacy at ng taga-export ng data (hal., kapag hindi na pinaghihigpitan ang data), puwede ring isapubliko nang libre sa website ng taga-import ng data ang mga talaang ito para magamit sa pananaliksik.

Panahon kung gaano katagal itatago ang personal na data, o, kung hindi posible iyon, ang mga pamantayang ginamit para matukoy ang panahon na iyon

Itatago ang personal na data na kokolektahin para sa pag-iingat na pangkasaysayan ayon sa mga tagubilin ng taga-export ng data. kung hanggang kailan hinihiling na panatilihin. Sa maraming sitwasyon, hangga't may halaga sa kasaysayan ang impormasyon, puwedeng panatilihin ang mga iyon kung hanggang kailan man para sa pag-a-archive at para idokumento ang palaangkanan, maliban na lang kung may data subject na hihiling na burahin iyon.

Para sa mga paglilipat sa mga tagaproseso o subprocessor, tukuyin din ang paksa, uri, at tagal ng pagpoproseso

Pinoproseso ng taga-import ng data ang personal na data para maingatan ang mga talaang pangkasaysayan at para sa pananaliksik sa palaangkanan, ayon sa tagubilin ng taga-export ng data. Puwedeng kumuha ng tagaproseso o subprocessor ang taga-import ng data alinsunod sa isang kasunduan sa pagpoproseso o subprocessing para makatulong sa pagpoproseso ng data para sa mga layunin ding ito at para magsagawa ng mga tungkulin sa ngalan ng taga-export ng data at/o taga-import ng data (halimbawa, pagdi-digitize at pag-i-index ng mga talaang pangkasaysayan). Magtatakda ang kasunduan sa pagpoproseso o subprocessing ng mga karagdagang detalye ukol sa paksa, uri, at tagal ng pagpoproseso.

C. Karampatang awtoridad

Tukuyin ang (mga) karampatang awtoridad alinsunod sa Probisyon 13

Ang nangangasiwang awtoridad ng bansa ng Taga-export ng Data na tinukoy sa Annex I.A.

ANNEX II:

MGA PAMAMARAANG TEKNIKAL AT PANG-ORGANISASYON PARA SA FAMILYSEARCH INTERNATIONAL (TAGA-IMPORT)

Nakabalangkas sa dokumentong ito ang mga pamamaraang teknikal at pang-organisasyon para sa seguridad ng impormasyon na ipinapatupad ng FamilySearch International (Taga-import) (“FSI”).

Mga Pamamaraang Teknikal at Pang-organisasyon para sa Seguridad. Nagpapanatili ang FSI ng komprehensibong Programa sa Seguridad ng Impormasyon at nagpapatupad ito ng mga makatwirang pamamaraang teknikal at pang-organisasyon para sa seguridad, batay sa mga pamantayan ng industriya, mga pangangailangan ng organisasyon, at posibilidad ng peligro, para malimitahan at malabanan ang pagpoprosesong labag sa batas o hindi pinahintulutan, sinasadya o hindi sinasadyang pagkawala, hindi pinahintulutang access, pagkasira, o pinsala. Nakakatulong ang mga pamamaraang ito na masiguro ang pagiging kumpidensyal, integridad, pagiging available, at katatagan ng FSI at mga system at data ng FSI. Sa mga system na hindi direktang kontrolado ng FSI, nakikipagtulungan ang FSI sa FSI para magpatupad ng mga panseguridad na hakbang na naaakma sa pangangailangan. Kasama sa Programang Panseguridad ng FSI ang mga elementong ito:

1. Mga polisiya at proseso. Ang FSI ay nagpapanatili ng pormal na nakasulat na mga polisiya at proseso upang matiyak ang pagiging kompidensiyal, integridad, at pagkakaroon ng data at upang maprotektahan ito mula sa hindi sinasadya, hindi awtorisado, o hindi wastong pagsisiwalat, paggamit, pagbabago, o pagkawasak. Ang mga patakarang ito ay susuriin at na-update taun-taon o mas madalas tuwing naaangkop. Ginawa ang mga patakaran at proseso para masigurong may mga pisikal, teknikal, at administratibong proteksyon at gumagana nang maayos ang mga iyon.

2. Mga kontrol sa pag-access.

Pisikal na access - Ang FSI ay nagpapatupad ng mga makatuwirang hakbang upang maiwasan ang mga hindi awtorisadong tao mula sa pagkakaroon ng pag-access sa mga kagamitan sa pagproseso ng data (mga server ng database, mga server ng application, switch ng network, firewall, controller, at mga kaugnay na hardware) kung saan naproseso o ginamit ang personal na data.

Lohikal na access - Ang FSI ay nagpapatupad ng makatuwirang mga hakbang sa seguridad upang maiwasan ang hindi awtorisadong pag-access sa kanilang mga sistema ng pagproseso ng data. Pinapanatili at sinusuri ng FSI ang mga gumagamit ng FSI na may pag-access sa mga sistema ng pagproseso ng data. Nagbibigay ang FSI ng access sa limitadong bilang ng mga tao batay sa pangangailangang inaprubahan ng negosyo.

3. Pagsasanay at Pagbibigay-alam Kaugnay ng Seguridad. Nagpapanatili ang FSI ng pormal na programa sa pagbibigay-alam at pagsasanay kaugnay ng seguridad para sa mga miyembro ng workforce ng FSI at mga user ng workforce ng FSI. Kasama sa programa ang mga kinakailangang module sa pag-aaral na nagsisigurong alam ng mga user ang mga pangunahing konsepto at patakaran para sa seguridad ng impormasyon, at isinasagawa ito taon-taon o sa dalas na praktikal. Kasama sa mga paksa sa taunang pagsasanay ang naaangkop na pag-uuri at pangangasiwa ng sensitibong impormasyon. Bukod pa sa pormal na pagsasanay, sa pamamagitan ng mga paulit-ulit na biglaang exercise na nanggagaya ng phishing, napapatibay ang pagsasanay kung paano tukuyin, iulat, at iwasan ang mga mapaminsalang email.

4. Proteksyon ng data. Ang FSI ay nagpapatupad ng mga makatuwirang hakbang upang maiwasan ang personal na data na hindi naaangkop na ginagamit, basahin, kinopya, binago, o tinanggal ng mga hindi awtorisadong partido kapwa sa transit at sa pahinga. Ang mga kontrol sa proteksyon ng data ay na-deploy gamit ang isang pagtatanggol nang malalim diskarte

5. Pagsubaybay. Ang FSI ay nagpapatupad ng mga makatuwirang hakbang upang masubaybayan ang pag-access sa mga sensitibong sistema at mga mapagkukunan ng network at upang matiyak na kumikilos ang mga gumagamit alinsunod sa patakaran. Ang mga tala ay mananatili batay sa pangangailangan ng negosyo at mga kinakailangan sa regulasyon at naka-imbak sa isang gitnang imbakan o sa isang platform-native repositoryo na may kakayahang lumipat sa gitnang imbakan kung kinakailangan. Iniimbak at sine-secure ang mga log sa paraang puwedeng makasiguro sa katumpakan at hindi pagbabago. Nagpapanatili ang FSI ng hanay ng mga awtomatikong alerto para matukoy ang posibleng mapaminsalang aktibidad. Ang FSI ay nagla-log ng data na regular na sinusuri para matukoy ang mga potensyal na pag-atake at para suportahan ang mga pagsisikap ng FSI sa Pagtugon sa Insidente.

6. Pagtukoy at Pagtugon sa Endpoint. Nagpapatupad ang FSI ng mga makatwirang kontrol sa mga endpoint ng user at server, kabilang ang mga endpoint para sa FSI, na nagbibigay ng proteksyon laban sa pagpapalaganap ng malware at nagbibigay-daan sa sentralisadong pag-aalerto, pag-query ng host process at file, at pag-isolate ng system.

7. Mga proseso sa pagtugon sa insidenteng (IR) panseguridad. Nagpapanatili ang FSI ng mga nakasulat na patakaran at proseso sa IR para matukoy, matugunan, at maresolba ang mga insidenteng panseguridad. Nagpapatakbo ang FSI ng 24/7 na Panseguridad na Sentro ng Operasyon (SOC) para matasa ang mga pangyayaring dapat bigyang-pansin, masubaybayan ang mga system para malaman kung may mga aktuwal at tangkang pang-aatake o panghihimasok, mabawasan ang mga nakakapinsalang epekto ng mga insidenteng panseguridad, at maidokumento ang mga insidenteng panseguridad at ang mga resulta ng mga iyon. Nagpapanatili ng mga kasunduan sa mga third-party na provider sa pagtugon sa insidente para mapangasiwaan ang mabilisang pagkuha ng mga third party sakaling magkaroon ng malaking insidente o kapag kailangan ng espesyal na forensic analysis kaugnay ng insidente. Nagpapanatili rin ang FSI ng full-time na team ng seguridad na nakatuon sa FSI para sa espesyal na suporta at pagtatasa. Malapit na nakikipagtulungan ang SOC sa Tanggapan para sa Privacy ng Data (DPO) at Tanggapan ng Pangunahing Abogado (OGC) ng FSI at sa mga eksperto sa seguridad na hindi bahagi ng organisasyon para masigurong napapangasiwaan ang mga insidente nang naaayon sa mga naaangkop na batas at regulasyon.

8. Seguridad at posibilidad ng panganib. Ang FSI ay nagpapanatili ng makatuwirang mga patakaran at pamamaraan upang makatulong na masuri ang pagiging epektibo ng mga kontrol sa seguridad, kilalanin ang mga pagkabigo sa kontrol ng seguridad, at upang makilala, suriin, at masuri ang mga gaps ng kontrol sa seguridad gamit ang isang diskarte na batay sa peligro.

9. Pagkukumpigura at pagmementena ng system. Ang FSI ay nagpapanatili ng makatuwirang mga patakaran at pamamaraan upang makatulong na matiyak ang mga kagamitan sa pagproseso ng data (mga server, database, laptop, firewall, switch, router, controller, atbp.) Ay naaangkop na na-configure upang makatulong na matiyak na ang personal na data ay sapat na protektado. Ang FSI ay nagpapanatili ng isang programa ng pamamahala ng kahinaan upang makatulong na makilala ang mga kahinaan sa loob ng kapaligiran ng FSI at komunikasyon sa naaangkop na mga mapagkukunan upang mapadali ang napapanahong remediation.

10. Katatagan ng sistema at impormasyon. Ang FSI ay nagpapatupad ng mga makatuwirang hakbang upang matiyak na ang personal na data ay sapat na protektado mula sa hindi sinasadya o nakakahamak na paggamit, pagbabago, o pagkawasak at ang data na hindi sinasadya o malisyosong ginamit, binago, o nawasak ay makikilala at maibabalik. Ang FSI ay nagpapatupad ng mga pamamaraan ng pag-backup ng data at sistema na kasama ang online, nearline, at offline na mga kopya batay sa pagiging kritikal ng data at mga pangangailangan sa negosyo. Gumagamit ang FSI ng mga system ng impormasyon na maraming panghalili para masigurong laging magagamit at mahusay ang takbo ng mga application at system.

11. Pagsunod. Nagpapanatili ang FSI ng Tanggapan para sa Privacy ng Data para sa FSI na namamahala sa pagsunod sa mga batas at regulasyon sa proteksyon ng data. Nagpapanatili rin ang FSI ng internal na programa sa pagsunod ng IT para sa FSI na nakatuon sa pag-test at pag-validate ng mga panseguridad na kontrol, proseso, at pamamaraan sa pamamagitan ng mga internal na pagtatasa.

12. Pananagutan. Ang FSI ay may itinalagang opisyal ng seguridad na responsable para sa pag-unlad, pagpapatupad, at pagpapanatili ng mga Programa sa Seguridad ng Impormasyon sa FSI. Bukod pa rito, nakabalangkas sa Patakaran ng Programa sa Seguridad ng Impormasyon ng FSI ang mga papel at responsabilidad ng lahat ng partidong bahagi ng Programa sa Seguridad ng Impormasyon at nakalathala ito sa isang repositoryong maa-access ng lahat ng user ng workforce.

13. Naaangkop na paggamit at pagpapanatili ng mga talaan. Ang FSI ay nagpapatupad ng mga patakaran at proseso na namamahala sa paggamit at pagpapanatili ng kumpidensyal na data, kabilang ang personal na data. Ang mga proseso ay nasa lugar upang matiyak na sumusunod ang data sa mga kinakailangan sa pagbabahagi ng data ng mga may-ari ng data at may kasamang pangangasiwa sa katanggap-tanggap na paggamit ng mga artipisyal na teknolohiya ng katalinuhan.

14. Mga update. Sinusubaybayan, sinusuri, at isinasaayos ng FSI ang Programa sa Seguridad ng Impormasyon taon-taon o kung kinakailangan nang isinasaalang-alang ang mga nauugnay na pagbabago sa teknolohiya, mga pamantayan sa seguridad ng industriya, pagkasensitibo ng personal na data, at mga posibleng banta sa personal na data, mula man sa loob o labas ng organisasyon ang banta.

ANNEX III:

LISTAHAN NG MGA SUBPROCESSOR

Pinahintulutan ng tagapamahala ang paggamit ng mga subprocessor na ito:*

  • ANCESTRY
  • BART DEVELTER V.O.F.
  • BRIGHAM YOUNG UNIVERSITY
  • CENTURY VITAL RECORDS (CVR)
  • CONTENT ARCHAEOLOGY
  • DATADISC.IT S.R.L.
  • DIE MOBILE SEKRETÄRIN E.U.
  • DIGITAL 4 KIT
  • DOUBLE DIGITAL
  • EMPRESA DE ARQUIVO DE DOCUMENTAÇÃO S.A.
  • FORMAX
  • GENEALAB
  • GENESIS
  • GREYSCALE LTD.
  • INFOSCRIBE SAS
  • INTELLIGENT IMAGE MANAGEMENT (IIMI)
  • IRON MOUNTAIN AUSTRALIA
  • IRON MOUNTAIN CESKA REPUBLIKA S.R.O.
  • LIFEWOOD
  • MATERN
  • MYHERITAGE
  • NORMADAT S.A.
  • OSG RECORDS MANAGEMENT
  • PEDRO CRUZ MARTINEZ
  • RASTERGEN – GESTÃO DOCUMENTAL UNIPESSOAL (LDA)
  • SBL
  • STASIS S.A.S.
  • SVI
  • TRACEABLE SOLUTIONS
  • TRUEBPO INC (DATING EQOD INC)

(1.1) Para sa mga Record Custodian sa Switzerland, tumutukoy ang mga sumusunod bukod pa sa Mga Batayang Probisyon ng Kontrata sa EU, Module 2: Tagapamahala papunta sa Tagaproseso (“EU SCC, Module 2”):

Karagdagan sa Mga Batayang Probisyon ng Kontrata sa EU para sa Switzerland

Kapag saklaw ng GDPR ng EU at FADP (ayon sa kahulugan sa ibaba) ang paglilipat ng personal na data sa Taga-import ng Data mula sa Taga-export ng Data, tumutukoy din ang mga sumusunod na karagdagang probisyon upang maging naaangkop ang Mga Batayang Probisyon ng Kontrata para sa pagsisiguro ng sapat na antas ng proteksyon para sa ganoong paglilipat alinsunod sa Artikulo 6, talata 2 ng FADP:

(a) Tumutukoy ang “FADP” sa Pederal na Batas ukol sa Proteksyon ng Data ng Hunyo 19, 1992 (SR 235.1).

(b) Tumutukoy ang “FDPIC” sa Pederal na Komisyoner para sa Proteksyon ng Data at Impormasyon ng Switzerland.

(c) Tumutukoy ang “Binagong FADP” sa binagong bersyon ng FADP noong Setyembre 25, 2020 na nakatakdang magkabisa sa Enero 1, 2023.

(d) Hindi dapat bigyang-kahulugan ang terminong “Kasaping Estado ng EU” sa paraang magkakaila sa mga Paksa ng Data sa Switzerland ng pagkakataong ipaglaban ang kanilang mga karapatan sa lugar kung saan sila karaniwang naninirahan (Switzerland) alinsunod sa Probisyon 18(c) ng Mga Batayang Probisyon ng Kontrata.

(e) Pinoprotektahan din ng Mga Batayang Probisyon ng Kontrata ang data ng mga legal na entity hanggang sa magkabisa ang Binagong FADP.

(f) Magsisilbi ang FDPIC bilang “karampatang nangangasiwang awtoridad” hangga't nasasaklawan ng FADP ang nauugnay na paglilipat ng data.

(1.2) Para sa mga Record Custodian sa United Kingdom (“UK”), tumutukoy ang mga sumusunod bukod pa sa Mga Batayang Probisyon ng Kontrata sa EU, Module 2: Tagapamahala papunta sa Tagaproseso (“EU SCC, Module 2”):

Karagdagan sa Mga Batayang Probisyon ng Kontrata sa EU Commission para sa Paglilipat ng Data sa Ibang Bansa

(“IDTA ng UK”)

Isinasama rito sa pamamagitan ng pagbabanggit ang Karagdagan sa Mga Batayang Probisyon ng Kontrata sa EU Commission para sa Paglilipat ng Data sa Ibang Bansa (matatagpuan dito) at tumutukoy ang mga sumusunod:

Bahagi 1: Mga Talahanayan

Talahanayan 1 – Tulad mismo ng nakasaad sa EU SCC, Module 2, Annex I ang nilalaman.

Talahanayan 2 – Nalalapat sa EU SCC, Module 2 ang mga sumusunod ayon sa napagkasunduan ng mga partidong binanggit sa itaas:

  • Aalisin ang Probisyon 7 (Probisyon sa Pagsasama).
  • Itatakda ng Probisyon 9 (Paggamit ng mga Subprocessor) ang OPSYON 2: PANGKALAHATANG NAKASULAT NA PAHINTULOT.
  • Hindi itatakda ng Probisyon 11 (Pagwawasto) ang OPSYON sa (a).
  • Magtatakda ang Probisyon 13 (Pangangasiwa) ng pahayag na tumutukoy sa mga taga-export na may presensya sa isang Kasaping Estado ng EU.
  • Itatakda ng Probisyon 17 (Nalalapat na Batas) ang OPSYON 1 at itatakda nito na tumutukoyang batas ng bansa ng taga-export ng data.
  • Itatakda ng Probisyon 18 (Pagpili ng Forum at Hurisdiksyon) na may awtoridad ang mga hukuman ng bansa ng taga-export ng data.

Talahanayan 3 – Mula sa EU SCC, Module 2, Annex I, II, at III ang nilalaman.

Talahanayan 4 – Puwedeng wakasan ng sinumang Partido (Taga-import at Taga-export) ang IDTA ng UK.

Bahagi 2: Mga Mandatoryong Probisyon

Nalalapat ang lahat ng mandatoryong probisyon. Sa kabaligtaran, hindi tumutukoy ang Alternatibong Bahagi 2: Mga Mandatoryong Probisyon.

(2) Para sa mga Record Custodian sa mga sumusunod na lokasyon, tumutukoy ang Mga Batayang Probisyon ng Kontrata sa EU, Module 2: Tagapamahala papunta sa Tagaproseso (“EU SCC, Module 2”) (matatagpuan dito):

Albania, Andorra, Armenia, Azerbaijan, Belarus, Bosnia and Herzegovina, Georgia, Guernsey, Isle of Man, Jersey, Kenya, Monaco, Kazakhstan, Kosovo, Montenegro, North Macedonia, San Marino, Serbia, Syria, Turkey, Ukraine, Vietnam, Yemen.

(3) Para sa mga Record Custodian sa Angola (“Angola”), tumutukoy ang mga sumusunod bukod pa sa mga Probisyon ng Kontrata sa Angola sa Batas sa Proteksyon ng Data ng Angola (Batas blg. 22/11, 17 Hunyo 2011) (“Mga Angola CC”) (matatagpuan dito):

Nalalapat sa mga Angola CC ang mga sumusunod ayon sa napagkasunduan ng mga partidong binabanggit sa itaas:

Kasama sa mga lokasyon para sa pagpoproseso, paglilipat, at pag-iimbak ng personal na data ang Ghana at United States.

Ang lahat ng iba pang impormasyong ibinigay sa itaas para sa mga EU SCC Module 2 ay tumutukoy sa mga Angola CC.

(4) Para sa mga Record Custodian sa Nigeria (“Nigeria”), tumutukoy ang mga sumusunod bukod pa sa mga Probisyon ng Kontrata sa Nigeria sa Batas sa Proteksyon ng Data ng Nigeria (NDPA) 2023 (“Mga NigeriaCC”) (matatagpuan dito):

Nalalapat sa mga Nigeria CC ang mga sumusunod ayon sa napagkasunduan ng mga partidong binabanggit sa itaas:

Kasama sa mga lokasyon para sa pagpoproseso, paglilipat, at pag-iimbak ng personal na data ang Ghana at United States.

Ang lahat ng iba pang impormasyong ibinigay sa itaas para sa mga EU SCC Module 2 ay tumutukoy sa mga Nigeria CC.

(5) Para sa mga Record Custodian sa mga sumusunod na lokasyon, tumutukoy ang Mga Batayang Probisyon ng Kontrata sa ASEAN, Module 1: Tagapamahala papunta sa Tagaproseso (“Mga MCC, Module 1”) (matatagpuan dito):

Brunei Darussalam, Cambodia, Indonesia, Laos, Malaysia, Myanmar, Pilipinas, Singapore, Thailand, Vietnam

Tumutukoy sa MCC, Module 1 ang mga sumusunod ayon sa napagkasunduan ng mga partidong binanggit sa itaas:

  • Aalisin ang Probisyon 2 (Mga Obligasyon ng Taga-export ng Data).
  • Aalisin ang mga opsyonal na probisyong 3.4, 3.6, at 3.7 na napapailalim sa Probisyon 3 (Mga Obligasyon ng Taga-import ng Data), gayundin ang opsyonal na pahayag sa 3.7. Ang napapailalim na probisyong 3.10 ay magiging “…sa loob ng makatwirang yugto ng panahon na tutukuyin ng mga Partner.”
  • Itatakda ng Probisyon 4 (Pagresolba ng mga Pagtatalo sa Batas) ang Kasaping Estado ng ASEAN ng taga-export sa 4.1. Aalisin ang napapailalim na probisyong 4.3 na para sa pagpapatakbo.
  • Magtatakda ang Probisyon 6 (Pagwawakas ng Kontrata) ng “30 araw” sa napapailalim na seksyong 6.1.1.
  • Aalisin ang lahat ng indibidwal na remedyo sa Mga Karagdagang Tuntunin para sa mga Indibidwal na Remedyo (Mga Indibidwal na Remedyo).
  • APPENDIX A: Tingnan ang ANNEX I sa EU SCC, Module 2.

(6) Para sa mga Record Custodian sa mga sumusunod na lokasyon, tumutukoy ang Batayang Kasunduan sa Paglilipat ng Network para sa Proteksyon ng Data sa Ibero-America (“IADPN MCC, Tagapamahala papunta sa Tagaproseso”) (matatagpuan dito):

Peru, Uruguay, Argentina, Andorra

Ang mga sumusunod ay tumutukoy sa IADPN MCCS, magsusupil sa mga processors na napagkasunduan ng mga partido na isinangguni sa itaas:

  • Ang Annex I mula sa EU SCC, ang Module 2 ay isinama sa pamamagitan ng sanggunian at populasyon ang lahat ng kinakailangang impormasyon sa IADPN MCCS, magsusupil sa mga processors.
  • Aalisin ang opsyonal na pahayag sa napapailalim na probisyong 9(a) sa Probisyon 9 (Pagwawasto).
  • Pupunan ang ANNEX A ng may kaugnayang impormasyon mula sa ANNEX I sa EU SCC, Module 2.
  • Pupunan ang ANNEX B ng may kaugnayang impormasyon mula sa ANNEX I sa EU SCC, Module 2.
  • Pupunan ang ANNEX C ng may kaugnayang impormasyon mula sa ANNEX II sa EU SCC, Module 2.
  • Pupunan ang ANNEX D ng may kaugnayang impormasyon mula sa ANNEX III sa EU SCC, Module 2.
  • Pupunan ang ANNEX E ng paunawa tungkol sa privacy na matatagpuan dito: https://www.familysearch.org/legal/privacy.

(7) Para sa mga Record Custodian sa China, tumutukoy ang mga sumusunod (matatagpuan dito):
a. Para sa mga nasa Hong Kong, tumutukoy ang mga sumusunod (matatagpuan dito):

(8) Para sa mga Record Custodian sa Brazil, tumutukoy ang mga sumusunod: (matatagpuan dito) ang sumusunod: (Matatagpuan din ang PDF dito)

(9) Para sa mga Record Custodian sa New Zealand, tumutukoy ang mga sumusunod (matatagpuan dito):

(10) Para sa mga Record Custodian sa Rwanda, tumutukoy ang mga sumusunod (matatagpuan dito):

(11) Para sa mga Record Custodian sa Qatar, tumutukoy ang mga sumusunod (matatagpuan dito):

(12) Para sa mga Record Custodian sa Saudi Arabia, tumutukoy ang mga sumusunod (matatagpuan dito):