PHỤ LỤC ĐIỀU KHOẢN XỬ LÝ VÀ CHUYỂN GIAO DỮ LIỆU

Các Bên xác nhận và đồng ý rằng Dữ liệu Cá nhân được chuyển giao giữa FamilySearch International (hoặc công ty liên kết của FamilySearch International) và (các) Bên Lưu giữ Hồ sơ sẽ chịu sự điều chỉnh bởi: (i) các điều khoản đã được cả hai bên ký kết, trong đó Điều khoản Xử lý và Chuyển giao Dữ liệu này được viện dẫn và cấu thành một phần của thỏa thuận (“Thỏa thuận”); và (ii) tất cả các luật về quyền riêng tư và bảo vệ dữ liệu áp dụng.

Các Bên hiểu và đồng ý rằng: (i) Bên Lưu giữ Hồ sơ là Bên kiểm soát dữ liệu và là Bên xuất khẩu dữ liệu đối với Dữ liệu Cá nhân được chuyển giao; và (ii) FamilySearch International (hoặc công ty liên kết) là Bên xử lý dữ liệu và là Bên nhập khẩu dữ liệu.

Các Bên hiểu và đồng ý rằng Phụ lục Xử lý và Chuyển giao Dữ liệu áp dụng nêu dưới đây sẽ được xác định dựa trên vị trí địa lý thực tế của Bên Lưu giữ Hồ sơ, trừ khi một địa điểm khác được Bên Lưu giữ Hồ sơ chỉ định bằng văn bản tại thời điểm ký kết Thỏa thuận.

(1) Đối với các Bên Lưu giữ Hồ sơ tại các địa điểm sau đây, Điều khoản Hợp đồng Tiêu chuẩn của EU, Mô-đun 2: Bên kiểm soát dữ liệu sang Bên xử lý dữ liệu (“EU SCC, Mô-đun 2”) (được đăng tải tại đây) sẽ được áp dụng:

Afghanistan, Algeria, Áo, Úc, Bahrain, Barbados, Bỉ, Belize, Botswana, Quần Đảo Virgin Thuộc Anh, Bulgaria, Burkina Faso, Quần Đảo Cayman, Congo, REP, Quần Đảo Cook, Croatia, Cuba, Síp, Cộng Hòa Séc, Đan Mạch, Ecuador, Ai Cập, Estonia, Eswatini, Ethiopia, Fiji, Phần Lan, Pháp, Guiana Thuộc Pháp, Polynesia Thuộc Pháp, Vùng Lãnh Thổ Phía Nam Thuộc Pháp, Gabon, Đức, Quần Đảo Glorioso, Hy Lạp, Grenada, Guam, Guyana, Haiti, Hungary, Ấn Độ, Indonesia, Iran, Iraq, Ireland, Ý, Israel, Jamaica, Nhật Bản, Jordan, Đảo Juan De Nova, Kiribati, Kuwait, Latvia, Lebanon, Libya, Liechtenstein, Lithuania, Luxembourg, Malta, Quần Đảo Marshall, Melanesia, Mexico, Micronesia, Mông Cổ, Morocco, Nauru, Nepal, Hà Lan, New Caldonia, Niger, Niue, Na Uy, Oman, Palau, Panama, Papua New Guinea, Pakistan, Palestine, Quần Đảo Pitcairn, Ba Lan, Bồ Đào Nha, Cộng Hòa Moldova, Romania, Saint Kitts Và Nevis, Samoa, Seychelles, Slovakia, Slovenia, Quần Đảo Solomon, Somalia, Nam Phi, Hàn Quốc, Tây Ban Nha, Sri Lanka, Sudan, Thụy Điển, Thụy Sĩ*, Tanzania, Thái Lan, Togo, Tokelau, Tonga, Tunisia, Thổ Nhĩ Kỳ, Tuvalu, Uganda, Các Tiểu Vương Quốc Ả Rập Thống Nhất, Vương Quốc Anh**, Vanuatu, Wallis & Futuna, Zambia, Zimbabwe

* Mặc dù Phụ Lục Xử Lý và Chuyển Giao Dữ Liệu EEA áp dụng cho Thụy Sĩ, Thụy Sĩ cũng yêu cầu bổ sung phần diễn đạt, mà theo đây được đưa vào Phụ Lục và được cung cấp dưới đây.

** Mặc dù Phụ lục Xử lý và Chuyển giao Dữ liệu của EEA áp dụng cho Vương quốc Anh, Vương quốc Anh cũng yêu cầu ngôn ngữ bổ sung; ngôn ngữ này theo đây được hợp nhất vào Phụ lục và được nêu dưới đây.

Các điều sau đây áp dụng cho EU SCC, Mô-đun 2 như đã được Các Bên tham chiếu ở trên đồng ý:

  • Điều khoản 7 (điều khoản điều chỉnh) bị loại bỏ.
  • Điều 9 (Sử dụng bên xử lý phụ) đưa LỰA CHỌN 2: ỦY QUYỀN CHUNG BẰNG VĂN BẢN) vào nội dung.
  • Điều 11 (Biện Pháp Khắc Phục) không đưa LỰA CHỌN vào mục (a).
  • Điều 13 (Giám Sát) đưa nội dung dành cho các bên xuất khẩu được thành lập tại một Quốc Gia Thành Viên EU vào nội dung.
  • Điều 17 (Luật Điều Chỉnh) đưa LỰA CHỌN 1 và luật của quốc gia của bên xuất khẩu dữ liệu vào nội dung.
  • Điều 18 (Lựa chọn tòa án và quyền tài phán) đưa thông tin tòa án của quốc gia của bên xuất khẩu dữ liệu.
  • PHỤ LỤC I: Xem bên dưới.
  • PHỤ LỤC II: Xem bên dưới.
  • PHỤ LỤC III: Xem bên dưới.

PHỤ LỤC I:

A. Danh Sách Các Bên

Bên Xuất Khẩu Dữ Liệu

  1. Tên: Bên Giữ Hồ Sơ được xác định trong Thỏa Thuận
  2. Địa Chỉ: Địa chỉ của Bên Giữ Hồ Sơ được xác định trong Thỏa Thuận
  3. Liên Hệ: Xem "Thông Tin Liên Hệ để Gửi Thông Báo" được chỉ định cho Bên Giữ Hồ Sơ trong Thỏa Thuận
  4. Các hoạt động liên quan đến dữ liệu được chuyển giao theo Các Điều Khoản: Các hoạt động liên quan được mô tả trong Phần B ("Mô Tả về Việc Chuyển Giao") dưới đây
  5. Vai Trò: Bên Kiểm Soát

Bên Nhập Khẩu Dữ Liệu

  1. Tên: FamilySearch International
  2. Địa Chỉ: 36 S State St., Ste 1900, Salt Lake City, UT 84111
  3. Liên hệ: Quản lý, Văn phòng Quyền riêng tư Dữ liệu – 50 East North Temple Street, Salt Lake City, Utah 84150
    1. Điện Thoại: (801) 240-1187
    2. Email: Dataprivacyofficer@churchofjesuschrist.org
  4. Các hoạt động liên quan đến dữ liệu được chuyển giao theo Các Điều Khoản: Các hoạt động liên quan được mô tả trong Phần B ("Mô Tả về Việc Chuyển Giao") dưới đây
  5. Vai Trò: Bên Xử Lý

B. Mô Tả Việc Chuyển Giao

Các hạng mục đối tượng dữ liệu có dữ liệu cá nhân được chuyển giao

Các đối tượng dữ liệu được tìm thấy trong các hồ sơ lịch sử và phả hệ có dữ liệu cá nhân đang được bảo tồn cho các mục đích nghiên cứu, lịch sử và thống kê.

Các hạng mục dữ liệu cá nhân được chuyển giao

Dữ liệu phả hệ - Thông tin được thu thập để bảo tồn lịch sử cá nhân và gia đình của mọi người:

  • Tên (tên đối tượng dữ liệu, tên cha và mẹ, tên con cái, tên anh chị em, tên vợ/chồng, v.v.)
  • Mối quan hệ gia đình (tên của các cá nhân, anh chị em, cha mẹ, con cái, ông bà, cô dì, chú bác).
  • Thông tin tiểu sử (tên, ngày sinh, ngày mất, các câu chuyện và chi tiết về cuộc đời, nghề nghiệp, học vấn, địa điểm diễn ra các sự kiện trong đời, các sự kiện tôn giáo cá nhân – phép báp têm, lễ xác nhận, v.v.)
  • Ngày sinh, nơi sinh và các chi tiết liên quan (giới tính của con, tên cha mẹ, địa chỉ của cha mẹ tại thời điểm sinh, hoặc cha mẹ nuôi tùy thuộc vào loại hồ sơ khai sinh, ngày sinh và nơi sinh).
  • Tuổi
  • Giới tính
  • Ngày kết hôn, nơi kết hôn và các chi tiết liên quan (tên cá nhân, cha mẹ, v.v.)
  • Ngày mất, nơi mất và các chi tiết liên quan (tên cá nhân, cách thức qua đời)
  • Quốc tịch
  • Đặc điểm cá nhân, bao gồm hình ảnh chụp
  • Thông tin khác chứa trong các hồ sơ phả hệ và lịch sử thu được, bao gồm từ các cuộc điều tra dân số (tên cá nhân, con cái, nghề nghiệp, nơi cư trú), lịch sử gia đình (dữ liệu tiểu sử, tên, mối quan hệ gia đình), sổ đăng ký giáo xứ (tên thành viên giáo đoàn, nơi cư trú, ngày sinh, quan hệ gia đình), hồ sơ nhà thờ (hồ sơ sinh, hôn nhân, tử vong, phép báp têm, lễ xác nhận), hồ sơ hộ tịch (hồ sơ sinh, hôn nhân và tử vong), cáo phó trên báo (sinh, hồ sơ đất đai, bộ sưu tập lưu trữ của tiểu bang), và hồ sơ nhập tịch (hồ sơ quốc tịch, hồ sơ di trú, hồ sơ nhập tịch bao gồm tên, ngày sinh, quốc gia xuất xứ, quốc gia cư trú & địa chỉ, tên thành viên gia đình, nghề nghiệp, một số mục cụ thể của quốc gia tùy thuộc vào quốc gia và ngày thu thập).

Dữ liệu nhạy cảm – Thông tin vô tình được bao gồm trong các hồ sơ lịch sử và phả hệ có thể được định nghĩa là nhạy cảm theo Các Luật Lệ về Quyền Riêng Tư:

  • Dữ Liệu Nhận Dạng & Nhân Khẩu Học (nguồn gốc chủng tộc hoặc dân tộc, nguồn gốc quốc gia, nguồn gốc bộ lạc, địa vị xã hội, nhận dạng cụ thể (giấy tờ định danh duy nhất, ví dụ: hộ chiếu, SSN, bằng lái xe, ID tiểu bang), tình trạng hôn nhân, tuổi tác, màu da, tình trạng quốc tịch hoặc di trú, tình trạng là nạn nhân của tội phạm hoặc đã chịu thiệt hại do tội phạm)
  • Niềm Tin & Hiệp Hội (niềm tin hoặc quan hệ tôn giáo, niềm tin triết học, niềm tin đạo đức, niềm tin ý thức hệ, quan điểm chính trị, thuyết phục chính trị, ý thức hệ chính trị hoặc liên kết chính trị, tư cách thành viên công đoàn, tư cách thành viên phường hội, liên kết công đoàn, tư cách thành viên trong các hiệp hội nghề nghiệp hoặc xã hội hoặc các tổ chức nhân quyền)
  • Dữ Liệu Sức Khỏe & Di Truyền/Sinh Trắc Học (tình trạng, trạng thái hoặc chẩn đoán sức khỏe thể chất hoặc tinh thần hiện tại hoặc tương lai, bệnh sử, hồ sơ y tế, điều trị y tế, cung cấp dịch vụ chăm sóc sức khỏe, trạng thái tâm lý hoặc sinh lý, dữ liệu di truyền (đặc điểm di truyền hoặc thu được, hồ sơ sinh học của con người), dữ liệu sinh trắc học (dùng để nhận dạng duy nhất, xác minh tự động, hoặc tiết lộ các đặc điểm nhạy cảm bổ sung), dữ liệu thần kinh (dữ liệu liên quan đến não/thần kinh, dữ liệu nhận thức/cảm xúc).
  • Dữ Liệu Hình Sự & Pháp Lý (hồ sơ hoặc lịch sử tội phạm, hành vi hoặc hành vi tội phạm, việc vi phạm hoặc bị cáo buộc vi phạm, các thủ tục tố tụng, kết quả, bản án, hoặc hình phạt liên quan đến các vấn đề hình sự)
  • Dữ Liệu Vị Trí & Liên Lạc (dữ liệu vị trí địa lý (vị trí chính xác hoặc cụ thể, bao gồm tọa độ GPS), dữ liệu liên lạc, bao gồm nội dung và siêu dữ liệu của các cuộc gọi, tin nhắn văn bản, email, hoặc thư, nội dung của thư, email hoặc tin nhắn văn bản (trừ khi gửi đến người nhận))
  • Dữ Liệu Thanh Thiếu Niên (bất kỳ dữ liệu cá nhân nào liên quan đến trẻ vị thành niên)
  • Các Hạng Mục Đặc Biệt Khác
    • Thói quen cá nhân, lối sống và hoàn cảnh cuộc sống riêng tư/tình cảm
    • Đặc điểm đạo đức
    • Các vấn đề gia đình hoặc dữ liệu về cuộc sống tình cảm/gia đình
    • Hồ sơ giáo dục
    • Dữ liệu liên quan đến việc làm gắn liền với các đặc điểm được bảo vệ
    • Dữ liệu sức khỏe người tiêu dùng (rộng hơn hồ sơ y tế, bao gồm sức khỏe/thể dục, mang thai, v.v.)
    • Dữ liệu liên quan đến ý thức hệ hoặc niềm tin không được ghi nhận
    • Bất kỳ dữ liệu nào có thể đe dọa đáng kể đến quyền riêng tư, nhân phẩm, sự an toàn, hoặc tài sản nếu bị lạm dụng
    • Dữ liệu có nguy cơ cao bị phân biệt đối xử hoặc gây hại tùy thuộc vào bối cảnh (ví dụ: dữ liệu xem TV được FTC phân loại là nhạy cảm)
    • Tình trạng hôn nhân (tên, ngày tháng, v.v.)
    • Số nhận dạng của chính phủ hoặc các chi tiết tương tự (SSN, v.v.)
    • Số hộ chiếu
    • Liên Kết Tôn Giáo (Thông tin trong hồ sơ nhà thờ bao gồm số thành viên, tên, ngày sinh, ngày báp têm, ngày kết hôn, ngày mất và dữ liệu liên quan đến tôn giáo cụ thể).
    • Dữ liệu liên quan đến trẻ vị thành niên (tên, ngày sinh, cha mẹ, anh chị em, hồ sơ giám hộ, thông tin nhận con nuôi, hồ sơ tư pháp, hồ sơ giáo dục)
    • Dữ liệu liên quan đến sức khỏe (bệnh tật, thời gian nằm viện, phương thức qua đời)
    • Lịch sử phạm tội (tên, ngày bị giam giữ, phán quyết liên quan đến cá nhân)
    • Tư cách thành viên công đoàn (tên thành viên, ngày gia nhập, thông tin lệ phí thành viên, v.v.)
    • Nguồn gốc chủng tộc hoặc dân tộc (khu vực hoặc quốc gia xuất xứ)
    • Tôn giáo (tên và liên kết tôn giáo)
    • Liên kết chính trị (tên và đảng phái chính trị, thông tin quyên góp)

Tần suất chuyển giao (ví dụ: một lần hay liên tục).

Theo Từng Trường Hợp Cụ Thể

Bản chất của việc xử lý

Dữ Liệu Cá Nhân được chuyển giao có thể phải tuân theo các hoạt động xử lý khác nhau, khi được pháp luật cho phép, bao gồm số hóa, lập chỉ mục, lưu trữ trên máy chủ, lưu giữ, truyền tải, biên tập lại và hiển thị. Các hoạt động này được hỗ trợ bởi các trung tâm dữ liệu dựa trên đám mây, bao gồm cả những trung tâm ở Hoa Kỳ, trong phạm vi cho phép của Các Luật Lệ về Quyền Riêng Tư. Ví dụ, dữ liệu có thể được xử lý để hỗ trợ các hoạt động sau:

  • Bảo Tồn Hồ Sơ Lịch Sử: Số hóa, bảo tồn, lập chỉ mục, lưu giữ, và/hoặc lưu trữ các tài liệu, hình ảnh, và hiện vật lịch sử cho các thế hệ tương lai, theo hướng dẫn của bên xuất khẩu dữ liệu.
  • Phả Hệ: Sau khi được Các Luật Lệ về Quyền Riêng Tư và bên xuất khẩu dữ liệu cho phép (ví dụ: khi dữ liệu không còn bị hạn chế), dữ liệu có thể được đưa vào các ứng dụng được các nhà nghiên cứu và người dùng trang mạng sử dụng để hỗ trợ việc truy tìm dòng dõi hoặc hồ sơ lịch sử gia đình hoặc các nghiên cứu, chương trình và hoạt động phả hệ khác.
    • Nghiên Cứu Lịch Sử Gia Đình: Thu thập và bảo tồn thông tin về tổ tiên và cây gia phả của một người.
    • Hướng Dẫn về Phả Hệ: Đào tạo và cung cấp tài nguyên để giúp hàng triệu người trên khắp thế giới khám phá di sản của họ và kết nối với các thành viên gia đình.

Mục đích của việc chuyển giao dữ liệu và xử lý thêm

Việc chuyển giao dữ liệu cho bên nhập khẩu dữ liệu (tại trụ sở toàn cầu của bên nhập khẩu dữ liệu) và việc xử lý thêm bởi bên nhập khẩu dữ liệu hỗ trợ việc bảo tồn và lưu giữ các hồ sơ gia đình lịch sử vì lợi ích của các cơ quan lưu trữ công cộng, cơ quan chính phủ, các dân tộc bản địa, cơ quan lưu trữ tư nhân, cơ quan tư nhân khác và cá nhân. Nếu được Các Luật Lệ về Quyền Riêng Tư và bên xuất khẩu dữ liệu cho phép (ví dụ: khi dữ liệu không còn bị hạn chế), các hồ sơ này cũng có thể được công bố rộng rãi trên trang web của bên nhập khẩu dữ liệu miễn phí cho các mục đích nghiên cứu.

Thời gian mà dữ liệu cá nhân sẽ được lưu giữ, hoặc, nếu không thể, các tiêu chí được sử dụng để xác định thời gian đó

Dữ liệu cá nhân được thu thập cho các mục đích bảo tồn lịch sử sẽ được lưu giữ theo hướng dẫn của bên xuất khẩu dữ liệu trong thời gian được yêu cầu. Trong nhiều trường hợp, miễn là các hồ sơ còn giữ giá trị lịch sử, chúng có thể được lưu giữ vô thời hạn cho các mục đích lưu trữ và để lập tài liệu phả hệ, trừ khi đối tượng dữ liệu yêu cầu xóa bỏ.

Đối với việc chuyển giao cho (các) bên xử lý phụ, cũng cần nêu rõ chủ đề, bản chất, và thời gian của việc xử lý

Bên nhập khẩu dữ liệu xử lý dữ liệu cá nhân để bảo tồn các hồ sơ lịch sử và cho các mục đích nghiên cứu phả hệ, theo hướng dẫn của bên xuất khẩu dữ liệu. Bên nhập khẩu dữ liệu có thể thuê một bên xử lý hoặc bên xử lý phụ theo một thỏa thuận xử lý hoặc xử lý phụ để hỗ trợ việc xử lý dữ liệu cho cùng các mục đích này và để thực hiện các chức năng thay mặt cho bên xuất khẩu dữ liệu và/hoặc bên nhập khẩu dữ liệu (ví dụ: số hóa và lập chỉ mục các hồ sơ lịch sử). Thỏa thuận xử lý hoặc xử lý phụ sẽ cung cấp thêm chi tiết về chủ đề, bản chất và thời gian của việc xử lý.

C. Cơ Quan Có Thẩm Quyền

Xác định (các) cơ quan có thẩm quyền theo Điều 13

Cơ quan giám sát của quốc gia của Bên Xuất Khẩu Dữ Liệu được xác định trong Phụ Lục I.A.

PHỤ LỤC II:

CÁC BIỆN PHÁP KỸ THUẬT VÀ TỔ CHỨC CHO FAMILY SEARCH INTERNATIONAL (BÊN NHẬP KHẨU)

Tài liệu này phác thảo các biện pháp an ninh thông tin kỹ thuật và tổ chức được Family Search International (Bên Nhập Khẩu) ("FSI") sử dụng.

Các Biện Pháp An Ninh Kỹ Thuật và Tổ Chức. FSI duy trì một Chương Trình Bảo Mật Thông Tin toàn diện và thực hiện các biện pháp an ninh kỹ thuật và tổ chức hợp lý, dựa trên các tiêu chuẩn ngành, nhu cầu của tổ chức và rủi ro, để giảm thiểu và bảo vệ chống lại việc xử lý trái phép hoặc bất hợp pháp, mất mát vô tình hoặc cố ý, truy cập trái phép, phá hủy hoặc hư hỏng. Các biện pháp này giúp đảm bảo tính bảo mật, toàn vẹn, sẵn có và khả năng phục hồi của FSI và các hệ thống cũng như dữ liệu của FSI. Trên các hệ thống không do FSI kiểm soát trực tiếp, FSI hợp tác với FSI để thực hiện các kiểm soát an ninh tương xứng. Chương Trình Bảo Mật của FSI bao gồm các yếu tố sau:

1. Chính Sách và Quy Trình. FSI duy trì các chính sách và quy trình bằng văn bản chính thức để đảm bảo tính bảo mật, toàn vẹn, và sẵn có của dữ liệu và để bảo vệ dữ liệu khỏi bị tiết lộ, sử dụng, thay đổi, hoặc phá hủy vô tình, trái phép hoặc không đúng cách. Các chính sách này được xem xét và cập nhật hàng năm hoặc thường xuyên hơn khi cần thiết. Các chính sách và thủ tục nhằm đảm bảo rằng các biện pháp bảo vệ vật lý, kỹ thuật, và hành chính được áp dụng và hoạt động hiệu quả.

2. Kiểm Soát Truy Cập.

Truy Cập Vật Lý - FSI thực hiện các biện pháp hợp lý để ngăn chặn những người không có thẩm quyền truy cập vào thiết bị xử lý dữ liệu (máy chủ cơ sở dữ liệu, máy chủ ứng dụng, thiết bị chuyển mạch mạng, tường lửa, bộ điều khiển và phần cứng liên quan) nơi dữ liệu cá nhân được xử lý hoặc sử dụng.

Truy Cập Hợp Lý - FSI thực hiện các biện pháp bảo mật hợp lý để ngăn chặn truy cập trái phép vào hệ thống xử lý dữ liệu của họ. FSI duy trì và xem xét danh sách người dùng FSI có quyền truy cập vào các hệ thống xử lý dữ liệu. FSI cấp quyền truy cập cho một số lượng người hạn chế dựa trên nhu cầu được doanh nghiệp phê duyệt.

3. Đào Tạo và Nhận Thức về Bảo Mật. FSI duy trì một chương trình đào tạo và nhận thức về an ninh chính thức cho nhân lực của FSI và người sử dụng nhân lực của FSI. Chương trình bao gồm các mô-đun học tập bắt buộc nhằm đảm bảo nhận thức của người dùng về các khái niệm và chính sách an ninh thông tin quan trọng, hàng năm, hoặc thường xuyên nếu thiết thực. Các chủ đề đào tạo hàng năm bao gồm việc phân loại và xử lý thích hợp thông tin nhạy cảm. Ngoài việc đào tạo chính thức, các bài tập mô phỏng lừa đảo không báo trước định kỳ sẽ củng cố việc đào tạo về cách xác định, báo cáo và tránh các tin nhắn email độc hại.

4. Bảo Vệ Dữ Liệu. FSI thực hiện các biện pháp hợp lý để ngăn chặn dữ liệu cá nhân bị sử dụng, đọc, sao chép, thay đổi, hoặc xóa bỏ không thích hợp bởi các bên không được phép cả khi đang được truyền tải và khi đang lưu trữ. Các biện pháp kiểm soát bảo vệ dữ liệu được triển khai theo mô hình phòng thủ nhiều lớp theo chiều sâu.

5. Giám Sát. FSI thực hiện các biện pháp hợp lý để giám sát việc truy cập vào các hệ thống nhạy cảm và tài nguyên mạng và để đảm bảo rằng người dùng hành động theo chính sách. Nhật ký được lưu giữ dựa trên nhu cầu kinh doanh và các yêu cầu pháp lý/quy định, và được lưu trữ trong một kho lưu trữ tập trung hoặc trong kho lưu trữ gốc của nền tảng với khả năng chuyển sang kho lưu trữ tập trung khi cần thiết. Các bản ghi được lưu trữ và bảo mật theo cách giúp đảm bảo tính chính xác và bất biến. FSI duy trì một bộ cảnh báo tự động để xác định hoạt động có khả năng độc hại. FSI ghi nhật ký dữ liệu và thường xuyên rà soát nhằm nhận diện các cuộc tấn công tiềm ẩn và hỗ trợ các nỗ lực Ứng phó Sự cố của FSI.

6. Phát Hiện & Ứng Phó Điểm Cuối. FSI thực hiện các biện pháp kiểm soát hợp lý trên các điểm cuối của người dùng và máy chủ, bao gồm các điểm cuối cho FSI, nhằm cung cấp sự bảo vệ chống lại sự lây lan của phần mềm độc hại, cảnh báo tập trung, truy vấn quy trình và tệp máy chủ, và khả năng cô lập hệ thống.

7. Quy Trình Ứng Phó Sự Cố An Ninh (IR). FSI duy trì các chính sách và quy trình IR bằng văn bản để phát hiện, ứng phó, và giải quyết các sự cố an ninh. FSI vận hành một Trung Tâm Điều Hành An Ninh (SOC) 24/7 để phân loại các sự kiện đáng quan tâm, giám sát các hệ thống để phát hiện các cuộc tấn công hoặc xâm nhập thực tế và cố gắng, giảm thiểu các tác động có hại của các sự cố an ninh, và lập tài liệu về các sự cố an ninh và kết quả của chúng. Các thỏa thuận được duy trì với các nhà cung cấp dịch vụ ứng phó sự cố bên thứ ba để tạo điều kiện thuận lợi cho sự tham gia nhanh chóng từ các bên thứ ba trong trường hợp xảy ra sự cố lớn hoặc khi sự cố đòi hỏi phân tích pháp y chuyên biệt. FSI cũng duy trì một nhóm an ninh tập trung toàn thời gian vào FSI để hỗ trợ đặc biệt và phân loại. SOC làm việc chặt chẽ với Văn Phòng Quyền Riêng Tư Dữ Liệu (DPO) của FSI và Văn Phòng Tổng Cố Vấn (OGC) cũng như các chuyên gia an ninh bên ngoài để đảm bảo các sự cố được xử lý theo các luật lệ và quy định hiện hành.

8. Đánh Giá Rủi Ro và Bảo Mật. FSI duy trì các chính sách và thủ tục hợp lý để giúp đánh giá hiệu quả của các biện pháp kiểm soát an ninh, xác định các lỗi kiểm soát an ninh, và để xác định, thẩm định và đánh giá các lỗ hổng kiểm soát an ninh bằng phương pháp tiếp cận dựa trên rủi ro.

9. Cấu Hình & Bảo Trì Hệ Thống. FSI duy trì các chính sách và thủ tục hợp lý để giúp đảm bảo thiết bị xử lý dữ liệu (máy chủ, cơ sở dữ liệu, máy tính xách tay, tường lửa, thiết bị chuyển mạch, bộ định tuyến, bộ điều khiển, v.v.) được cấu hình phù hợp để giúp đảm bảo dữ liệu cá nhân được bảo vệ đầy đủ. FSI duy trì một chương trình quản lý lỗ hổng nhằm hỗ trợ xác định các lỗ hổng trong môi trường của FSI và thông báo tới các nguồn lực phù hợp để tạo điều kiện khắc phục kịp thời.

10. Khả Năng Phục Hồi Hệ Thống và Thông Tin. FSI triển khai các biện pháp hợp lý để đảm bảo Dữ liệu Cá nhân được bảo vệ đầy đủ trước việc sử dụng, sửa đổi hoặc hủy hoại do vô ý hoặc ác ý, và để đảm bảo dữ liệu đã bị sử dụng, sửa đổi hoặc hủy hoại do vô ý hoặc ác ý có thể được nhận diện và khôi phục. FSI triển khai các quy trình sao lưu dữ liệu và hệ thống, bao gồm các bản sao trực tuyến, cận tuyến và ngoại tuyến dựa trên mức độ quan trọng của dữ liệu và nhu cầu kinh doanh. FSI sử dụng các hệ thống thông tin có mức độ dự phòng cao để đảm bảo tính sẵn sàng cao và hiệu năng của các ứng dụng và hệ thống.

11. Tuân Thủ. FSI duy trì một Văn Phòng Quyền Riêng Tư Dữ Liệu cho FSI để quản lý việc tuân thủ các luật lệ và quy định về bảo vệ dữ liệu. FSI cũng duy trì một chương trình tuân thủ CNTT nội bộ cho FSI tập trung vào việc kiểm tra và xác nhận các biện pháp kiểm soát, quy trình, và thủ tục an ninh thông qua các cuộc đánh giá nội bộ.

12. Trách Nhiệm Giải Trình. FSI có một cán bộ phụ trách an ninh được chỉ định, chịu trách nhiệm về việc xây dựng, triển khai và duy trì các Chương trình Bảo Mật Thông tin tại FSI. Ngoài ra, Chính sách Chương trình Bảo Mật Thông tin của FSI nêu rõ vai trò và trách nhiệm của tất cả các bên liên quan trong Chương Trình An Ninh Thông Tin và được công bố trong một kho lưu trữ mà tất cả người dùng lực lượng lao động đều có thể truy cập.

13. Sử Dụng và Lưu Trữ Hồ Sơ Hợp Lý. FSI thực hiện các chính sách và quy trình quản lý việc sử dụng và lưu giữ dữ liệu bí mật, bao gồm cả dữ liệu cá nhân. Các quy trình được áp dụng để đảm bảo dữ liệu tuân thủ các yêu cầu chia sẻ dữ liệu của chủ sở hữu dữ liệu và bao gồm việc giám sát việc sử dụng chấp nhận được của các công nghệ trí tuệ nhân tạo.

14. Cập Nhật. FSI giám sát, đánh giá, và điều chỉnh Chương Trình An Ninh Thông Tin hàng năm hoặc khi cần thiết, xem xét các thay đổi liên quan trong công nghệ, các tiêu chuẩn an ninh ngành, độ nhạy cảm của dữ liệu cá nhân và các mối đe dọa tiềm ẩn bên trong hoặc bên ngoài đối với dữ liệu cá nhân.

PHỤ LỤC III:

DANH SÁCH CÁC BÊN XỬ LÝ PHỤ

Bên kiểm soát đã ủy quyền sử dụng các bên xử lý phụ sau đây:*

  • ANCESTRY
  • BART DEVELTER V.O.F.
  • BRIGHAM YOUNG UNIVERSITY
  • CENTURY VITAL RECORDS (CVR)
  • CONTENT ARCHAEOLOGY
  • DATADISC.IT S.R.L.
  • DIE MOBILE SEKRETÄRIN E.U.
  • DIGITAL 4 KIT
  • DOUBLE DIGITAL
  • EMPRESA DE ARQUIVO DE DOCUMENTAÇÃO S.A.
  • FORMAX
  • GENEALAB
  • GENESIS
  • GREYSCALE LTD.
  • INFOSCRIBE SAS
  • INTELLIGENT IMAGE MANAGEMENT (IIMI)
  • IRON MOUNTAIN AUSTRALIA
  • IRON MOUNTAIN CESKA REPUBLIKA S.R.O.
  • LIFEWOOD
  • MATERN
  • MYHERITAGE
  • NORMADAT S.A.
  • OSG RECORDS MANAGEMENT
  • PEDRO CRUZ MARTINEZ
  • RASTERGEN – GESTÃO DOCUMENTAL UNIPESSOAL (LDA)
  • SBL
  • STASIS S.A.S.
  • SVI
  • TRACEABLE SOLUTIONS
  • TRUEBPO INC (FORMERLY EQOD INC)

(1.1) Đối với Các Bên Giữ Hồ Sơ tại Thụy Sĩ, các điều sau đây áp dụng bổ sung cho Các Điều Khoản Hợp Đồng Tiêu Chuẩn của EU, Mô-đun 2: Bên Kiểm Soát chuyển cho Bên Xử Lý ("EU SCC, Mô-đun 2"):

Phụ Lục Thụy Sĩ cho Các Điều Khoản Hợp Đồng Tiêu Chuẩn của EU

Khi việc chuyển giao dữ liệu cá nhân từ Bên Xuất Khẩu Dữ Liệu sang Bên Nhập Khẩu Dữ Liệu tuân theo EU GDPR và FADP (như được định nghĩa dưới đây), các điều khoản bổ sung sau đây cũng sẽ áp dụng để Các Điều Khoản Hợp Đồng Tiêu Chuẩn phù hợp để đảm bảo mức độ bảo vệ đầy đủ cho việc chuyển giao đó theo Điều 6 khoản 2 chữ của FADP:

(a) "FADP" có nghĩa là Đạo Luật Liên Bang về Bảo Vệ Dữ Liệu ngày 19 tháng 6 năm 1992 (SR 235.1).

(b) "FDPIC" có nghĩa là Ủy Viên Bảo Vệ Dữ Liệu và Thông Tin Liên Bang Thụy Sĩ.

(c) "FADP Sửa Đổi" có nghĩa là phiên bản sửa đổi của FADP ngày 25 tháng 9 năm 2020, dự kiến có hiệu lực vào ngày 1 tháng 1 năm 2023.

(d) Thuật ngữ "Quốc Gia Thành Viên EU" không được hiểu theo cách loại trừ Các Đối Tượng Dữ Liệu ở Thụy Sĩ khỏi khả năng kiện đòi quyền của họ tại nơi cư trú thường xuyên của họ (Thụy Sĩ) theo Điều 18(c) của Các Điều Khoản Hợp Đồng Tiêu Chuẩn.

(e) Các Điều Khoản Hợp Đồng Tiêu Chuẩn cũng bảo vệ dữ liệu của các pháp nhân cho đến khi FADP Sửa Đổi có hiệu lực.

(f) FDPIC sẽ hoạt động như "cơ quan giám sát có thẩm quyền" trong chừng mực việc chuyển giao dữ liệu liên quan được điều chỉnh bởi FADP.

(1.2) Đối với Các Bên Giữ Hồ Sơ tại Vương Quốc Anh ("UK"), các điều sau đây áp dụng bổ sung cho Các Điều Khoản Hợp Đồng Tiêu Chuẩn của EU, Mô-đun 2: Bên Kiểm Soát chuyển cho Bên Xử Lý ("EU SCC, Mô-đun 2"):

Phụ Lục Chuyển Giao Dữ Liệu Quốc Tế cho Các Điều Khoản Hợp Đồng Tiêu Chuẩn của Ủy Ban EU

("UK IDTA")

Phụ Lục Chuyển Giao Dữ Liệu Quốc Tế cho Các Điều Khoản Hợp Đồng Tiêu Chuẩn của Ủy Ban EU (đặt tại đây) nay được tích hợp bằng cách tham chiếu và các điều sau đây được áp dụng:

Phần 1: Bảng

Bảng 1 được điền chính xác như trong EU SCC, Mô-đun 2, Phụ Lục I.

Bảng 2 - Các điều sau đây áp dụng cho EU SCC, Mô-đun 2 như đã được Các Bên tham chiếu ở trên đồng ý:

  • Điều khoản 7 (điều khoản điều chỉnh) bị loại bỏ.
  • Điều 9 (Sử dụng bên xử lý phụ) đưa LỰA CHỌN 2: ỦY QUYỀN CHUNG BẰNG VĂN BẢN) vào nội dung.
  • Điều 11 (Biện Pháp Khắc Phục) không đưa LỰA CHỌN vào mục (a).
  • Điều 13 (Giám Sát) đưa nội dung dành cho các bên xuất khẩu được thành lập tại một Quốc Gia Thành Viên EU vào nội dung.
  • Điều 17 (Luật Điều Chỉnh) đưa LỰA CHỌN 1 và luật của quốc gia của bên xuất khẩu dữ liệu vào nội dung.
  • Điều 18 (Lựa chọn tòa án và thẩm quyền tài phán) áp dụng tòa án của quốc gia nơi Bên xuất khẩu dữ liệu đặt trụ sở.

Bảng 3 – được điền với EU SCC, Mô-đun 2 Phụ Lục I, II và III.

Bảng 4 – UK IDTA có thể bị chấm dứt bởi một trong Hai Bên (Bên Nhập Khẩu và Bên Xuất Khẩu).

Phần 2 – Điều Khoản Bắt Buộc

Tất cả các điều khoản bắt buộc đều áp dụng; ngược lại, Các Điều Khoản Bắt Buộc Thay Thế Phần 2 không áp dụng.

(2) Đối với các Bên Lưu giữ Hồ sơ tại các địa điểm sau đây, Điều khoản Hợp đồng Tiêu chuẩn của EU, Mô-đun 2: Bên kiểm soát dữ liệu sang Bên xử lý dữ liệu (“EU SCC, Mô-đun 2”) (được đăng tải tại đây) sẽ được áp dụng:

Albania, Andorra, Armenia, Azerbaijan, Belarus, Bosnia và Herzegovina, Georgia, Guernsey, Isle of Man, Jersey, Kenya, Monaco, Kazakhstan, Kosovo, Montenegro, Bắc Macedonia, San Marino, Serbia, Syria, Thổ Nhĩ Kỳ, Ukraine, Việt Nam, Yemen.

(3) Đối với Các Bên Lưu Giữ Hồ Sơ tại Angola (“Angola”), các điều sau đây được áp dụng bổ sung cho Các Điều Khoản Hợp Đồng của Angola trong Luật Bảo Vệ Dữ Liệu của Angola (Luật số 22/11, ngày 17 tháng 6 năm 2011) (“Angola CCs”) (có tại đây):

Các điều sau đây áp dụng cho Angola CC như đã được Các Bên tham chiếu ở trên đồng ý:

Các địa điểm xử lý, chuyển giao và lưu trữ dữ liệu cá nhân bao gồm Ghana và Hoa Kỳ.

Tất cả các thông tin khác được cung cấp ở trên cho EU SCCS Mô-đun 2 áp dụng cho Angola CCs.

(4) Đối với Các Bên Giữ Hồ Sơ tại Nigeria ("Nigeria"), các điều sau đây áp dụng bổ sung cho Các Điều Khoản Hợp Đồng của Nigeria trong Đạo Luật Bảo Vệ Dữ Liệu Nigeria (NDPA) 2023 ("Nigeria CCs") (có tại đây):

Các điều sau đây áp dụng cho Nigeria CC như đã được Các Bên tham chiếu ở trên đồng ý:

Các địa điểm xử lý, chuyển giao và lưu trữ dữ liệu cá nhân bao gồm Ghana và Hoa Kỳ.

Tất cả các thông tin khác được cung cấp ở trên cho EU SCCS Mô-đun 2 áp dụng cho Nigeria CCs.

(5) Đối với Các Bên Giữ Hồ Sơ tại các địa điểm sau đây, Các Điều Khoản Hợp Đồng Mẫu ASEAN, Mô-đun 1: Bên Kiểm Soát chuyển cho Bên Xử Lý ("MCC, Mô-đun 1") (đặt tại đây) sẽ được áp dụng:

Brunei Darussalam, Campuchia, Indonesia, Lào, Malaysia, Myanmar, Philippines, Singapore, Thái Lan, Việt Nam

Các điều sau đây áp dụng cho MCC, Mô-đun 1 như đã được Các Bên tham chiếu ở trên đồng ý:

  • Điều 2 (Nghĩa Vụ của Bên Xuất Khẩu Dữ Liệu) bị gạch bỏ.
  • Điều 3 (Nghĩa Vụ của Bên Nhập Khẩu Dữ Liệu) các tiểu khoản tùy chọn 3.4, 3.6, 3.7 và phần nội dung tùy chọn trong 3.7 bị gạch bỏ. Tiểu khoản 3.10 là, "...trong một khoảng thời gian hợp lý do Các Đối Tác quy định."
  • Điều 4 (Lựa Chọn Luật Giải Quyết Tranh Chấp) đưa Quốc Gia Thành Viên ASEAN của bên xuất khẩu vào 4.1. Tiểu khoản hoạt động 4.3 bị gạch bỏ.
  • Điều 6 (Chấm Dứt Hợp Đồng) đưa nội dung "30 ngày" vào tiểu mục 6.1.1.
  • Điều Khoản Bổ Sung cho Biện Pháp Khắc Phục Cá Nhân (Biện Pháp Khắc Phục Cá Nhân) Tất cả các biện pháp khắc phục cá nhân đều bị gạch bỏ.
  • PHỤ LỤC A: Xem PHỤ LỤC I từ EU SCC, Mô-đun 2.

(6) Đối với Các Bên Giữ Hồ Sơ tại các địa điểm sau đây, Thỏa Thuận Chuyển Giao Mẫu của Mạng Lưới Bảo Vệ Dữ Liệu Ibero-American ("IADPN MCC, Bên Kiểm Soát chuyển cho Bên Xử Lý") (có tại đây) sẽ được áp dụng:

Peru, Uruguay, Argentina, Andorra

Các điều sau đây áp dụng cho IADPN MCC, Bên Kiểm Soát chuyển cho Bên Xử Lý như đã được Các Bên tham chiếu ở trên đồng ý:

  • PHỤ LỤC I của EU SCC, Mô-đun 2 được viện dẫn và hợp nhất vào văn bản này, đồng thời cung cấp đầy đủ toàn bộ thông tin bắt buộc trong IADPN MCCs (Bên kiểm soát dữ liệu sang Bên xử lý dữ liệu).
  • Điều 9 (Biện Pháp Khắc Phục) trong tiểu khoản 9(a) phần nội dung tùy chọn bị gạch bỏ.
  • PHỤ LỤC A được điền thông tin liên quan từ PHỤ LỤC I từ EU SCC, Mô-đun 2.
  • PHỤ LỤC B được điền thông tin liên quan từ PHỤ LỤC I từ EU SCC, Mô-đun 2.
  • PHỤ LỤC C được điền thông tin liên quan từ PHỤ LỤC II từ EU SCC, Mô-đun 2.
  • PHỤ LỤC D được điền thông tin liên quan từ PHỤ LỤC III từ EU SCC, Mô-đun 2.
  • PHỤ LỤC E bao gồm thông báo về quyền riêng tư được đặt tại đây: https://www.familysearch.org/legal/privacy.

(7) Đối với Các Bên Lưu Giữ Hồ Sơ tại Trung Quốc, các điều sau đây (có tại đây) sẽ được áp dụng:
a. Đối với những người ở Hồng Kông, các điều sau đây (có tại đây) sẽ được áp dụng:

(8) Đối với Các Bên Lưu Giữ Hồ Sơ tại Brazil, các điều sau đây sẽ được áp dụng: (có tại đây) sẽ được áp dụng: (Cũng xem bản PDF tại đây)

(9) Đối với Các Bên Lưu Giữ Hồ Sơ tại New Zealand, các điều sau đây (có tại đây) sẽ được áp dụng:

(10) Đối với Các Bên Lưu Giữ Hồ Sơ tại Trung Quốc, các điều sau đây (có tại đây) sẽ được áp dụng:

(11) Đối với Các Bên Lưu Giữ Hồ Sơ tại Trung Quốc, các điều sau đây (có tại đây) sẽ được áp dụng:

(12) Đối với Các Bên Lưu Giữ Hồ Sơ tại Trung Quốc, các điều sau đây (có tại đây) sẽ được áp dụng: