ADATKEZELÉSI ÉS ADATTOVÁBBÍTÁSI FELTÉTELEK KIEGÉSZÍTÉSE
A Felek tudomásul veszik és elfogadják, hogy a FamilySearch International (vagy annak kapcsolt vállalkozása) és a Nyilvántartáskezelő(k) között továbbított személyes adatokra (i) azon mindkét fél által aláírt szerződés rendelkezései vonatkoznak, amelybe jelen Adatkezelési és adattovábbítási feltételek hivatkozásként beépülnek („Megállapodás”), valamint (ii) minden vonatkozó adatvédelmi jogszabály irányadó.
A Felek rögzítik és megállapodnak abban, hogy (i) a Nyilvántartáskezelő minősül a továbbított személyes adatok tekintetében adatkezelőnek és adatátadónak, (ii) a FamilySearch International (vagy annakkapcsolt vállalkozása) pedig adatfeldolgozónak és adatátvevőnek.
A Felek tudomásul veszik és egyetértenek abban, hogy az alkalmazandó Adatkezelési és adattovábbítási kiegészítést a Nyilvántartáskezelő földrajzi elhelyezkedése határozza meg, kivéve, ha a Nyilvántartáskezelő írásban más helyszínt jel��l meg a Megállapodás megkötésekor.
(1) Az alábbi országokban működő Nyilvántartáskezelők esetében az EU-s Általános Szerződési Feltételek (EU Standard Contractual Clauses) 2. modulja: „Adattovábbítás az adatkezelőtől az adatfeldolgozó részére” („EU ÁSZF, 2. modul”) (mely itt érhető el) az irányadó:
Afganisztán, Algéria, Ausztrália, Ausztria, Bahrein, Barbados, Belgium, Belize, Botswana, Brit Virgin-szigetek, Bulgária, Burkina Faso, Ciprus, Cook-szigetek, Csehország, Dánia, Dél-afrikai Köztársaság, Dél-Korea, Ecuador, Egyesült Arab Emírségek, Egyesült Királyság**, Egyiptom, Észtország, Eswatini, Etiópia, Fidzsi-szigetek, Finnország, Francia Guyana, Francia Polinézia, Franciaország, Francia déli és antarktiszi területek, Gabon, Glorioso-szigetek, Görögország, Grenada, Guam, Guyana, Haiti, Hollandia, Horvátország, India, Indonézia, Irán, Irak, Írország, Izrael, Jamaica, Japán, Jordánia, Juan de Nova-sziget, Kajmán-szigetek, Kiribati, Kongói Köztársaság, Kuba, Kuvait, Lengyelország, Lettország, Libanon, Líbia, Liechtenstein, Litvánia, Luxemburg, Magyarország, Málta, Marokkó, Marshall-szigetek, Melanézia, Mexikó, Mikronézia, Moldovai Köztársaság, Mongólia, Nauru, Nepál, Németország, Niger, Niue, Norvégia, Olaszország, Omán, Palau, Palesztina, Panama, Pakisztán, Pápua Új-Guinea, Pitcairn-szigetek, Portugália, Románia, Saint Kitts és Nevis, Salamon-szigetek, Seychelle-szigetek, Spanyolország, Srí Lanka, Svájc*, Svédország, Szamoa, Szlovákia, Szlovénia, Szomália, Szudán, Tanzánia, Thaiföld, Togo, Tokelau-szigetek, Tonga, Tunézia, Törökország, Tuvalu, Uganda, Új-Kaledónia, Vanuatu, Wallis és Futuna, Zambia, Zimbabwe.
* Bár az EGT-re vonatkozó Adatkezelési és adattovábbítási kiegészítés Svájcra is alkalmazandó, Svájc további rendelkezéseket ír elő, amelyek ezennel beépülnek a Kiegészítésbe, és az alábbiakban kerülnek részletezésre.
** Bár az EGT-re vonatkozó Adatkezelési és adattovábbítási kiegészítés az Egyesült Királyságra is alkalmazandó, az Egyesült Királyság szintén további rendelkezéseket ír elő, amelyek ezennel beépülnek a Kiegészítésbe, és az alábbiakban kerülnek részletezésre.
Az alábbi rendelkezések az EU ÁSZF, 2. modulra vonatkoznak, amelyben a fenti Felek megállapodtak:
- A 7. pont (Csatlakozási záradék) törlésre kerül.
- A 9. pont (Al-adatfeldolgozók igénybevétele) kiegészül a 2. OPCIÓ: ÁLTALÁNOS ÍRÁSBELI FELHATALMAZÁS résszel.
- A 11. pont (Jogorvoslat) nem tartalmazza az (a) alpontban szereplő opciót.
- A 13. pont (Felügyelet) kiegészül az EU tagállamban letelepedett adatátadókra vonatkozó rendelkezésekkel.
- A 17. pont (Irányadó jog) kiegészül az 1. opcióval, és erre az adatátadó országának törvényei az irányadók.
- A 18. pont (Joghatóság és illetékesség) kiegészül az adatátadó országának rendelkezéseivel.
- I. melléklet: lásd alább.
- II. melléklet: lásd alább.
- III. melléklet: lásd alább.
I. MELLÉKLET:
A. A felek listája
Adatátadó
- Név: A Megállapodásban meghatározott Nyilvántartáskezelő
- Cím: A Megállapodásban szereplő Nyilvántartáskezelő címe
- Kapcsolattartó: A Nyilvántartáskezelőre vonatkozó „Értesítésekhez megadott elérhetőségek” a Megállapodásban találhatók
- A záradékok alapján továbbított adatokkal kapcsolatos tevékenységek: A releváns tevékenységeket az alábbi B. szakasz („Az adattovábbítás leírása”) tartalmazza
- Szerep: Adatkezelő
Adatátvevő
- Név: FamilySearch International
- Cím: 36 S State St., Ste 1900, Salt Lake City, UT 84111
- Kapcsolattartó: Manager, Data Privacy Office – 50 East North Temple Street, Salt Lake City, Utah 84150
- Telefonszám: (801) 240-1187
- E-mail: Dataprivacyofficer@churchofjesuschrist.org
- A záradékok alapján továbbított adatokkal kapcsolatos tevékenységek: A releváns tevékenységeket az alábbi B. szakasz („Az adattovábbítás leírása”) tartalmazza
- Szerep: Adatfeldolgozó
B. Az adattovábbítás leírása
Az érintettek kategóriái, akiknek személyes adatai továbbításra kerülnek
Az adattovábbítás olyan természetes személyek adataira vonatkozik, akik történelmi és családfakutatási iratokban szerepelnek, és akiknek személyes adatai kutatási, történelmi és statisztikai célból kerülnek megőrzésre.
A továbbított személyes adatok kategóriái
Genealógiai adatok – Az egyének személyes és családtörténetének megőrzése érdekében gyűjtött információk:
- Nevek (az érintett neve, édesapjának és édesanyjának neve, gyermekeinek nevei, testvéreinek nevei, házastársának neve stb.)
- Családi kapcsolatok (érintettek, testvérek, szülők, gyermekek, nagyszülők, nagynénik, nagybácsik nevei).
- Életrajzi adatok (név, születési dátum, halálozási dátum, történetek és részletek az illető életéről, foglalkozása, iskolai végzettsége, életesemények helyszíne, vallási események – például keresztelő, konfirmálás stb.)
- Születési dátum, hely és ehhez kapcsolódó részletek (a gyermek neme, a szülők neve, a szülők lakcíme a születés idején, vagy örökbefogadó szülők adatai – a születési anyakönyvi kivonat típusától függően –, a születés dátuma és helye)
- Életkor
- Nem
- Házasságkötés dátuma, helye és ehhez kapcsolódó részletek (az érintett neve, szülei stb.)
- Halálozás dátuma, helyszíne és ehhez kapcsolódó részletek (az érintett neve, halál oka)
- Állampolgárság
- Személyes jellemzők, beleértve a fényképet is
- Egyéb információk, amelyek genealógiai és történeti feljegyzésekben találhatók, beleértve például a következőket: népszámlálási adatok (személyek nevei, gyermekek, foglalkozás, lakóhely), családtörténeti dokumentumok (életrajzi adatok, nevek, családi kapcsolatok), plébániai anyakönyvek (a gyülekezet tagjainak nevei, lakóhely, születési dátumok, családi kapcsolatok), egyházi nyilvántartások (születési, házassági, halálozási adatok, keresztelők, konfirmálások), polgári anyakönyvi bejegyzések (születési, házassági és halálozási adatok), újságokban megjelent gyászjelentések (születési adatok, ingatlan- és földtulajdoni nyilvántartások, állami levéltári gyűjtemények) és honosítási iratok (állampolgársági dokumentumok, bevándorlási és honosítási iratok, amelyek tartalmazhatják a neveket, születési dátumokat, származási országot, lakóhely szerinti országot és címet, családtagok neveit, foglalkozást, valamint bizonyos országspecifikus adatokat az adatgyűjtés helyétől és idejétől függően)
Érzékeny adatok – Olyan információk, amelyek szerepelhetnek a történeti és genealógiai forrásokban, és amelyek az adatvédelmi jogszabályok szerint érzékeny adatnak minősülhetnek:
- Személyazonossággal kapcsolatos és demográfiai adatok (faji vagy etnikai származás, nemzetiségi vagy törzsi hovatartozás, társadalmi státusz, egyedi azonosítók (pl. útlevélszám, társadalombiztosítási szám, jogosítványszám, személyiigazolvány-szám), családi állapot, életkor, bőrszín, állampolgárság vagy bevándorlási státusz, bűncselekmény áldozataként vagy bűncselekmény következtében elszenvedett kár ténye)
- Hiedelmek és társadalmi kapcsolatok (vallási meggyőződés vagy hovatartozás, filozófiai, erkölcsi vagy ideológiai meggyőződés, politikai vélemény, politikai nézetek vagy párthovatartozás, szakszervezeti tagság, céhekhez való tartozás, hivatásos vagy társadalmi szervezeti tagság, emberi jogi szervezetekhez való kapcsolódás)
- Egészségügyi, genetikai és biometrikus adatok (fizikai vagy mentális egészségi állapot – jelenlegi vagy jövőbeli –, diagnózis, kórtörténet, orvosi dokumentáció, orvosi kezelés, egészségügyi ellátás igénybevétele, pszichológiai vagy fiziológiai állapot; genetikai adatok – örökölt vagy szerzett jellemzők, emberi biológiai profil; biometrikus adatok – egyedi azonosításra, automatizált ellenőrzésre vagy további bizalmas jellemzők feltárására alkalmas adatok; neurális adatok – agyműködéssel kapcsolatos, kognitív vagy érzelmi jellemzőkre vonatkozó adatok)
- Büntetőjogi és jogi vonatkozású adatok (bűnügyi nyilvántartás vagy előélet, bűnelkövetés vagy annak gyanúja, bűnügyi eljárások, azok eredményei, ítéletek, büntetések)
- Helymeghatározási és kommunikációs adatok (geolokációs adatok – pontos vagy konkrét helymeghatározás, pl. GPS-koordináták; kommunikációs adatok, beleértve a hívások, SMS-ek, e-mailek vagy postai küldemények tartalmát és metaadatait; levelek, e-mailek vagy szöveges üzenetek tartalma – kivéve, ha az közvetlenül a címzettnek szól)
- Kiskorúakkal kapcsolatos adatok (bármely olyan személyes adat, amely kiskorú személlyel kapcsolatos)
- Egyéb különleges kategóriák
- Személyes szokások, életvitel, valamint az intim vagy magánélet körülményei
- Erkölcsi vagy etikai jellemzők
- Családi ügyekkel kapcsolatos, illetve érzelmi vagy családi életre vonatkozó adatok
- Tanulmányi nyilvántartások
- Foglalkoztatással kapcsolatos adatok, amelyek védett jellemzőkhöz kapcsolódnak
- Egészségtudatos fogyasztói magatartással összefüggő adatok (tágabb értelemben, mint az orvosi nyilvántartások – ideértve a jóllétet, fittséget, terhességgel kapcsolatos információkat stb.)
- Olyan ideológiai vagy világnézeti adatok, amelyek más kategóriákban nem szerepelnek
- Bármely olyan adat, amely visszaélés esetén jelentős mértékben veszélyeztetheti az érintett magánéletét, méltóságát, biztonságát vagy vagyonát
- Olyan adatok, amelyek – a környezettől függően – különösen magas kockázatot hordoznak hátrányos megkülönböztetés vagy egyéb károkozás szempontjából (pl. tévénézési szokások, amelyeket az amerikai Szövetségi Kereskedelmi Bizottság érzékeny adatnak minősít)
- Családi állapot (nevek, dátumok stb.)
- Állami azonosítószám vagy azzal egyenértékű információ (pl. társadalombiztosítási szám)
- Útlevélszám
- Vallási hovatartozás (egyházak nyilvántartásában szereplő adatok, pl. tagsági számok, nevek, születési dátumok, keresztelés, házasságkötés, halálozás dátuma, vallási közösségre vonatkozó információk)
- Kiskorúakra vonatkozó adatok (nevek, születési dátumok, szülők, testvérek, gyámsági nyilvántartások, örökbefogadási információk, bírósági és oktatási iratok)
- Egészségügyi adatok (betegségek, kórházi tartózkodások, halál oka)
- Bűnügyi előélet (nevek, bebörtönzés dátuma, egyénre vonatkozó ítéletek)
- Szakszervezeti tagság (tagok nevei, tagság dátuma, tagsági díjra vonatkozó információk stb.)
- Faji vagy etnikai hovatartozás (származási régió vagy ország)
- Vallás (vallás neve, vallási közösséghez tartozás)
- Politikai hovatartozás (politikai párt neve, támogatási/hozzájárulási adatok)
Az adattovábbítás gyakorisága (pl. egyszeri vagy folyamatos).
Eseti
Az adatkezelés jellege
A továbbított személyes adatok különböző adatkezelési műveletek tárgyát képezhetik – amennyiben ezt jogszabályok lehetővé teszik –, beleértve a digitalizálást, indexelést, tárhelyszolgáltatást, tárolást, továbbítást, anonimizálást/kitakarást és megjelenítést. Ezeket a műveleteket felhőalapú adatközpontok támogatják – beleértve az Egyesült Államokban találhatóakat is –, az adatvédelmi szabályozás által megengedett mértékben. Az adatok kezelhetők például a következő tevékenységek támogatására:
- Történelmi feljegyzések megőrzése: Történelmi dokumentumok, fényképek és tárgyi emlékek digitalizálása, megőrzése, indexelése, tárolása és/vagy archiválása a jövő generációi számára, az adatátadó utasításai alapján.
- Genealógia: Amennyiben azt az adatvédelmi jogszabályok, valamint az adatátadó engedélyezi (pl. amikor az adatok már nem minősülnek korlátozottnak), az adatok beépíthetők olyan alkalmazásokba, amelyek kutatók vagy weboldalhasználók számára nyújtanak segítséget a családfák, származási vonalak és családtörténeti adatok feltárásához.
- Családtörténeti kutatás: Az ősökről és a családfáról szóló információk összegyűjtése és megőrzése.
- Genealógiai oktatás: Képzések és segédanyagok biztosítása annak érdekében, hogy emberek milliói világszerte felfedezhessék származásukat, és kapcsolatot teremthessenek családtagjaikkal.
Az adattovábbítás és a további adatkezelés célja(i)
Az adatoknak az adatátvevőhöz (annak globális központjába) történő továbbítása, valamint az adatátvevő általi további kezelése a történelmi családi iratok megőrzését és tárolását szolgálja – a közarchívumok, állami intézmények, őslakos közösségek, magánarchívumok, egyéb magánszervezetek és magánszemélyek javára. Amennyiben azt az alkalmazandó adatvédelmi jogszabályok, valamint az adatátadó lehetővé teszik (például amikor az adatok már nem minősülnek korlátozottnak), ezek az iratok a kutatás előmozdítása érdekében ingyenesen hozzáférhetővé válhatnak az adatátvevő weboldalán.
A személyes adatok megőrzésének időtartama, vagy – ha ez nem meghatározható – az időtartam meghatározásának szempontjai
A történelmi megőrzés céljából gyűjtött személyes adatok megőrzése az adatátadó utasításainak megfelelően történik, a kívánt ideig. Számos esetben, amíg az iratok történelmi értékkel bírnak, az adatokat határozatlan ideig is meg lehet őrizni archiválási célból, valamint a genealógiai dokumentálás érdekében, kivéve, ha az érintett személy az adatok törlését kéri.
Ha al-adatfeldolgozók részére is történik adattovábbítás, úgy az adatkezelés tárgyát, jellegét és időtartamát is meg kell határozni
Az adatátvevő az adatátadó utasítása alapján kezeli a személyes adatokat történeti feljegyzések megőrzése és genealógiai kutatás céljából. Az adatátvevő jogosult adatfeldolgozót vagy al-adatfeldolgozót megbízni adatfeldolgozási vagy al-adatfeldolgozási megállapodás keretében, amely a fenti célok érdekében nyújt támogatást az adatkezelésben, és feladatokat lát el az adatátadó és/vagy az adatátvevő nevében (például történeti feljegyzések digitalizálása és indexelése). Az adatfeldolgozási vagy al-adatfeldolgozási megállapodás további részleteket tartalmaz az adatkezelés tárgyáról, jellegéről és időtartamáról.
C. Illetékes hatóság
A 13. záradéknak megfelelően az illetékes hatóság
Annak az országnak az adatvédelmi felügyeleti hatósága, ahol az I.A. mellékletben meghatározott Adatátadó található.
II. MELLÉKLET:
A FAMILY SEARCH INTERNATIONAL (ÁTVEVŐ) TECHNIKAI ÉS SZERVEZETI INTÉZKEDÉSEI
Ez a dokumentum ismerteti a Family Search International (Átvevő) („FSI”) által alkalmazott technikai és szervezési információbiztonsági intézkedéseket.
Technikai és szervezési biztonsági intézkedések. Az FSI átfogó információbiztonsági programot működtet, és ésszerű technikai, valamint szervezési biztonsági intézkedéseket hajt végre az iparági szabványok, a szervezeti igények és a kockázatok figyelembevételével annak érdekében, hogy minimalizálja és megakadályozza az illetéktelen vagy jogellenes adatkezelést, valamint a véletlen vagy szándékos adatvesztést, jogosulatlan hozzáférést, megsemmisítést vagy károkozást. Ezek az intézkedések elősegítik az FSI rendszerei és adatai bizalmasságának, sértetlenségének, rendelkezésre állásának és ellenálló képességének biztosítását. Azokban az esetekben, amikor az FSI nem közvetlenül kezeli az adott rendszert, az FSI együttműködik partnereivel az azonos szintű biztonsági szabályozások megvalósítása érdekében. Az FSI információbiztonsági programja az alábbi elemeket tartalmazza:
1. Irányelvek és eljárások. Az FSI formálisan megfogalmazott, írásbeli irányelveket és eljárásokat alkalmaz annak érdekében, hogy biztosítsa az adatok bizalmasságát, sértetlenségét és rendelkezésre állását, valamint megvédje azokat a véletlen, jogosulatlan vagy nem megfelelő közzétételtől, felhasználástól, módosítástól vagy megsemmisítéstől. Ezeket az irányelveket évente, vagy szükség esetén gyakrabban felülvizsgálják és frissítik. Az irányelvek és eljárások célja, hogy biztosítsák a fizikai, technikai és adminisztratív védelmi intézkedések meglétét és hatékony működését.
2. Hozzáférés-ellenőrzések.
Fizikai hozzáférés – Az FSI ésszerű intézkedéseket alkalmaz annak érdekében, hogy illetéktelen személyek ne férhessenek hozzá az adatkezelést végző eszközökhöz (pl. adatbázis-szerverek, alkalmazásszerverek, hálózati kapcsolók, tűzfalak, vezérlőegységek és kapcsolódó hardverek), ahol személyes adatok kerülnek kezelésre vagy felhasználásra.
Logikai hozzáférés – Az FSI ésszerű biztonsági intézkedéseket alkalmaz annak megelőzésére, hogy illetéktelen hozzáférés történjen az adatkezelési rendszereikhez. Az FSI nyilvántartja és felülvizsgálja azon felhasználóinak körét, akik hozzáférnek az adatkezelési rendszerekhez. Az FSI kizárólag üzletileg indokolt alapon, korlátozott számú személynek biztosít hozzáférést.
3. Biztonsági oktatás és tudatosság. Az FSI hivatalos biztonságtudatossági és képzési programot tart az FSI munkatársai és az FSI rendszereit használó felhasználók számára. A program kötelező tananyagokat tartalmaz, amelyek célja, hogy évente – vagy a gyakorlatban megvalósítható gyakorisággal – ismertessék a legfontosabb információbiztonsági alapelveket és szabályzatokat a felhasználókkal. Az éves képzési témák közé tartozik az érzékeny információk megfelelő osztályozása és kezelése. A formális oktatáson túl az FSI rendszeresen, előre be nem jelentett adathalász szimulációkat végez annak érdekében, hogy meggyőződön róla, alkalmasak-e a felhasználók a rosszindulatú e-mailek felismerésére, jelentésére és elkerülésére.
4. Adatvédelem. Az FSI ésszerű intézkedéseket alkalmaz annak érdekében, hogy a személyes adatokat illetéktelen fél ne használja fel, olvassa el, másolja, módosítsa vagy törölje jogosulatlanul – sem az adatátvitel során, sem a tárolás alatt. Az adatvédelmi folyamat során több egymásra épített biztonsági réteg biztosítja a védelmet.
5. Ellenőrzés. Az FSI ésszerű intézkedéseket hajt végre annak érdekében, hogy ellenőrizze az érzékeny rendszerekhez és hálózati erőforrásokhoz történő hozzáféréseket, és biztosítsa, hogy a felhasználók a belső szabályzatoknak megfelelően járjanak el. A naplófájlokat üzleti igények és jogszabályi előírások alapján őrzi meg. Ezeket vagy központi naplótároló rendszerben, vagy natív (platformspecifikus) környezetben tárolja, de szükség esetén ezek áttelepíthetők a központi rendszerbe. A naplók tárolása és védelme oly módon történik, hogy biztosítsa azok pontosságát és megmásíthatatlanságát. Az FSI automatikus riasztási rendszert alkalmaz, amely képes azonosítani a potenciálisan rosszindulatú tevékenységeket. Az FSI rendszeresen felülvizsgálja a naplózott adatokat a potenciális támadások felismerése és az FSI incidenskezelési folyamatainak támogatása céljából.
6. Végpontvédelem és válaszintézkedések. Az FSI ésszerű védelmi intézkedéseket alkalmaz a felhasználói és szervervégpontokon – beleértve az FSI-hez kapcsolódó eszközöket is –, amelyek célja a rosszindulatú szoftverek terjedésének megakadályozása, központosított riasztáskezelés, gazdagép szintű folyamat- és fájlkeresés, valamint a rendszerek elszigetelésének lehetősége.
7. Biztonsági incidenskezelési eljárások. Az FSI írásban rögzített incidenskezelési szabályzatot és eljárásrendet tart fenn annak érdekében, hogy felismerje, kezelje és egyéb módon megfelelően adresszálja az információbiztonsági incidenseket. Az FSI 24 órás biztonsági műveleti központot (SOC) működtet, amely a következő feladatokat látja el: potenciális biztonsági események osztályozása, rendszerek ellenőrzése valós és kísérleti jellegű támadások és behatolások észlelésére, biztonsági incidensek káros hatásainak enyhítése, események és azok következményeinek dokumentálása. Az FSI együttműködési megállapodásokat tart fenn harmadik fél incidenskezelő szolgáltatókkal, hogy komolyabb incidensek esetén – vagy ha speciális igazságügyi elemzésre van szükség – gyors külső bevonás váljon lehetővé. Emellett az FSI saját, teljes munkaidős biztonsági csapatot is fenntart, amely kifejezetten az FSI működésére összpontosít, és támogatást nyújt. A SOC szoros együttműködésben dolgozik az FSI adatvédelmi irodájával (DPO), Jogtanácsosi Hivatalával (OGC), valamint külső biztonsági szakértőkkel annak érdekében, hogy minden esemény kezelése összhangban legyen az alkalmazandó jogszabályokkal és előírásokkal.
8. Biztonsági és kockázatértékelések. Az FSI ésszerű szabályzatokat és eljárásokat alkalmaz annak érdekében, hogy rendszeresen értékelje a meglévő biztonsági ellenőrzések hatékonyságát, azonosítsa az esetleges hibákat vagy gyengeségeket, valamint kockázatalapú megközelítéssel mérje fel, értékelje és kezelje a biztonsági ellenőrzések hiányosságait.
9. Rendszerkonfiguráció és karbantartás. Az FSI ésszerű szabályzatokat és eljárásokat alkalmaz annak érdekében, hogy az adatkezelést végző eszközök (szerverek, adatbázisok, laptopok, tűzfalak, kapcsolók, routerek, vezérlőegységek stb.) megfelelő módon legyenek konfigurálva, így biztosítva a személyes adatok megfelelő védelmét. Az FSI sérülékenységkezelési programot működtet, amely célja az FSI rendszerkörnyezetében található biztonsági sérülékenységek azonosítása és az illetékes technikai erőforrásokhoz történő haladéktalan továbbítása a gyors elhárítás elősegítése érdekében.
10. Rendszer- és információs ellenállóképesség. Az FSI ésszerű intézkedéseket hajt végre annak érdekében, hogy a személyes adatok védelme biztosított legyen véletlen vagy szándékos visszaélés, módosítás vagy megsemmisítés ellen, valamint hogy az ilyen jellegű események során érintett adatok azonosíthatók és visszaállíthatók legyenek. Az FSI adat- és rendszermentési eljárásokat alkalmaz, amelyek online, közeli elérésű és offline biztonsági mentéseket is tartalmaznak, az adatok kritikusságától és az üzleti igényektől függően. A magas szintű rendelkezésre állás és a teljesítmény biztosítása érdekében az FSI magas fokon redundáns informatikai rendszereket használ.
11. Megfelelés. Az FSI külön adatvédelmi irodát tart fenn, amely az FSI adatvédelmi jogszabályoknak és előírásoknak való megfelelését felügyeli és irányítja. Az FSI továbbá belső informatikai megfelelőségi programot működtet, amely a biztonsági kontrollok, folyamatok és eljárások tesztelésére és felmérésére irányul belső értékelések útján.
12. Elszámoltathatóság. Az FSI kijelölt biztonsági felelőssel rendelkezik, aki az FSI információbiztonsági programjainak kidolgozásáért, végrehajtásáért és fenntartásáért felel. Ezen túlmenően az FSI információbiztonsági programjára vonatkozó szabályzata egyértelműen meghatározza az információbiztonsági programban érintett valamennyi szereplő feladatait és felelősségi körét, és ez a dokumentum minden munkatárs számára elérhető, központi tárhelyen kerül közzétételre.
13. Az adatok megfelelő felhasználása és megőrzése. Az FSI szabályzatokat és eljárásokat alkalmaz a bizalmas – így különösen a személyes – adatok felhasználására és megőrzésére vonatkozóan. A folyamatok célja annak biztosítása, hogy az adatok megfeleljenek az adatgazdák megosztási feltételeinek, és felügyeletet biztosítanak a mesterségesintelligencia-technológiák elfogadható felhasználására is.
14. Frissítések. Az FSI évente, illetve szükség szerint felülvizsgálja, értékeli és módosítja információbiztonsági programját – figyelembe véve a technológiai fejlődést, az iparági biztonsági szabványok változásait, a kezelt személyes adatok érzékenységét, valamint a belső és külső fenyegetések jellegét és kockázatát.
III. MELLÉKLET:
AL-ADATFELDOLGOZÓK LISTÁJA
Az adatkezelő az alábbi al-adatfeldolgozók megbízását engedélyezte:*
- ANCESTRY
- BART DEVELTER V.O.F.
- BRIGHAM YOUNG UNIVERSITY
- CENTURY VITAL RECORDS (CVR)
- CONTENT ARCHAEOLOGY
- DATADISC.IT S.R.L.
- DIE MOBILE SEKRETÄRIN E.U.
- DIGITAL 4 KIT
- DOUBLE DIGITAL
- EMPRESA DE ARQUIVO DE DOCUMENTAÇÃO S.A.
- FORMAX
- GENEALAB
- GENESIS
- GREYSCALE LTD.
- INFOSCRIBE SAS
- INTELLIGENT IMAGE MANAGEMENT (IIMI)
- IRON MOUNTAIN AUSTRALIA
- IRON MOUNTAIN CESKA REPUBLIKA S.R.O.
- LIFEWOOD
- MATERN
- MYHERITAGE
- NORMADAT S.A.
- OSG RECORDS MANAGEMENT
- PEDRO CRUZ MARTINEZ
- RASTERGEN – GESTÃO DOCUMENTAL UNIPESSOAL (LDA)
- SBL
- STASIS S.A.S.
- SVI
- TRACEABLE SOLUTIONS
- TRUEBPO INC (ORÁBBI NEVÉN: EQOD INC)
(1.1) A svájci Nyilvántartáskezelők esetében az EU-s Általános Szerződési Feltételek 2. modulja: „Adattovábbítás az adatkezelőtől az adatfeldolgozó részére” („EU ÁSZF, 2. modul”) mellett a következők is alkalmazandók:
Az EU-s Általános Szerződési Feltételek svájci kiegészítése
Amennyiben a személyes adatok továbbítása az adatátadótól az adatátvevőhöz egyszerre tartozik az EU Általános Adatvédelmi Rendelet (GDPR) és a svájci adatvédelmi törvény (FADP) hatálya alá (a továbbiakban definiáltak szerint), akkor a következő kiegészítő rendelkezések is alkalmazandók annak érdekében, hogy az Általános Szerződési Feltételek (SCC) a FADP 6. cikk (2) bekezdésének megfelelően alkalmasak legyenek az adattovábbítás megfelelő szintű védelmének biztosítására:
(a) Az „FADP” a 1992. június 19-i Svájci Szövetségi Adatvédelmi Törvényt jelenti (SR 235.1).
(b) Az „FDPIC” a svájci szövetségi adatvédelmi és információs biztost jelenti.
(c) A „Módosított FADP” az FADP 2020. szeptember 25-én elfogadott módosított változatát jelenti, amely 2023. január 1-jén lépett hatályba.
(d) Az „EU tagállam” kifejezést nem szabad úgy értelmezni, hogy az kizárná a Svájcban élő érintettek azon lehetőségét, hogy jogaikat a szokásos tartózkodási helyükön (Svájcban) érvényesítsék, az Általános Szerződési Feltételek 18(c) záradékának megfelelően.
(e) Az Általános Szerződési Feltételek a jogi személyek adatait is védik a Módosított FADP hatálybalépéséig.
(f) Az FDPIC tekintendő az illetékes felügyeleti hatóságnak, amennyiben az adott adattovábbításra a FADP vonatkozik.
(1.2) Az egyesült királyságbeli Nyilvántartáskezelők esetében az EU-s Általános Szerződési Feltételek 2. modulja: „Adattovábbítás az adatkezelőtől az adatfeldolgozó részére” („EU ÁSZF, 2. modul”) mellett a következők is érvényesek:
Az Európai Bizottság Általános Szerződési Feltételeinek nemzetközi adattovábbítási kiegészítése
(„UK IDTA”)
Az EU Bizottság Általános Szerződési Feltételeinek nemzetközi adattovábbítási kiegészítése (amely itt érhető el) ezennel hivatkozásként beépül a jelen dokumentumba, az alábbiak szerint:
1. rész: Táblázatok
Az 1. táblázat pontosan úgy van kitöltve, mint az EU ÁSZF, 2. modul, I. mellékletében.
2. táblázat – Az alábbi rendelkezések az EU ÁSZF, 2. modulra vonatkoznak, amelyben a fenti Felek megállapodtak:
- A 7. pont (Csatlakozási záradék) törlésre kerül.
- A 9. pont (Al-adatfeldolgozók igénybevétele) kiegészül a 2. OPCIÓ: ÁLTALÁNOS ÍRÁSBELI FELHATALMAZÁS résszel.
- A 11. pont (Jogorvoslat) nem tartalmazza az (a) alpontban szereplő opciót.
- A 13. pont (Felügyelet) kiegészül a EU tagállamban letelepedett adatátadókra vonatkozó rendelkezésekkel.
- A 17. pont (Irányadó jog) kiegészül az 1. opcióval, és erre az adatátadó országának törvényei az irányadók.
- A 18. pont (Joghatóság és illetékesség) kiegészül az adatátadó országának rendelkezéseivel.
A 3. táblázat az EU ÁSZF, 2. modul I., II. és III. mellékleteinek megfelelően van kitöltve
4. táblázat – A UK IDTA-t bármelyik Fél (Átvevő vagy Átadó) megszüntetheti.
2. rész – Kötelező záradékok
Minden kötelező záradék alkalmazandó; ellenkező esetben a 2. rész alternatív kötelező záradékai nem alkalmazandók.
(2) Az alábbi országokban működő Nyilvántartáskezelők esetében az EU-s Általános Szerződési Feltételek 2. modulja: „Adattovábbítás az adatkezelőtől az adatfeldolgozó részére” („EU ÁSZF, 2. modul”) (mely itt érhető el) az irányadó:
Albánia, Andorra, Azerbajdzsán, Bosznia-Hercegovina, Észak-Macedónia, Fehéroroszország, Grúzia, Guernsey, Jemen, Jersey, Kazahsztán, Kenya, Koszovó, Man-sziget, Monaco, Montenegró, Örményország, San Marino, Szerbia, Szíria, Törökország, Ukrajna, Vietnám.
(3) Az angolai („Angola”) Nyilvántartáskezelőkre az angolai adatvédelmi törvény (22/11. sz. törvény, 2011. június 17.) szerinti szerződési feltételeken („Angolai ÁSZF”) (elérhető itt) túlmenően az alábbiak vonatkoznak:
A fent említett Felek megállapodása alapján az Angolai ÁSZF-re az alábbiak irányadók:
A személyes adatok kezelésének, továbbításának és tárolásának helyszínei közé tartozik Ghána és az Amerikai Egyesült Államok.
Minden egyéb, a fenti EU SCC 2. modulnál megadott információ az Angolai ÁSZF-re is vonatkozik.
(4) A nigériai („Nigéria”) Nyilvántartáskezelőkre a nigériai adatvédelmi törvény (NDPA, 2023) szerinti szerződési feltételeken („Nigériai ÁSZF”) (elérhető itt) túlmenően az alábbiak vonatkoznak:
A fent említett Felek megállapodása alapján a Nigériai ÁSZF-re az alábbiak irányadók:
A személyes adatok kezelésének, továbbításának és tárolásának helyszínei közé tartozik Ghána és az Amerikai Egyesült Államok.
Minden egyéb, a fenti EU SCC 2. modulnál megadott információ a Nigériai ÁSZF-re is vonatkozik.
(5) Az alábbi országokban működő Nyilvántartáskezelők esetében az ASEAN Model Contractual Clauses 1. modulja: „Adattovábbítás az adatkezelőtől az adatfeldolgozó részére” („MCC, 1. modul”) (amely itt érhető el) az irányadó:
Brunei Szultanátus, Fülöp-szigetek, Indonézia, Kambodzsa, Laosz, Malajzia, Mianmar, Szingapúr, Thaiföld, Vietnam
Az alábbi rendelkezések az MCC, 1. modulra vonatkoznak, amelyben a fenti Felek megállapodtak:
- A 2. záradék (Adatátadó kötelezettségei) törlésre kerül.
- A 3. záradék (Adatátvevő kötelezettségei) 3.4., 3.6. és 3.7. alpontjai, valamint 3.7. pontjában található opcionális szövegrész törlésre kerül. A 3.10. alpont az alábbi kiegészítéssel érvényes: „...a Partnerek által meghatározott észszerű időkereten belül”.
- A 4. pont (Jogviták) a 4.1. pontban kiegészül az átadó ASEAN-tagállamával. A 4.3. operatív alpont törlésre kerül.
- A 6. pont (A szerződés megszüntetése) 6.1.1. alpontja kiegészül a „30 nap” kifejezéssel.
- Egyéni jogorvoslatokra vonatkozó további feltételek (Egyéni jogorvoslatok): Minden egyéni jogorvoslat törlésre kerül.
- A. FÜGGELÉK: lásd az EU ÁSZF, 2. modul I. mellékletét.
(6) Az alábbi országokban működő Nyilvántartáskezelők esetében az Ibero-American Data Protection Network Model Transfer Agreement („IADPN MCC, Adattovábbítás az adatkezelőtől az adatfeldolgozó részére”) (amely itt érhető el) az irányadó:
Peru, Uruguay, Argentína, Andorra
Az IADPN MCC „Adattovábbítás az adatkezelőtől az adatfeldolgozó részére” szakaszára az alábbi rendelkezések vonatkoznak, amelyben a fenti Felek megállapodtak:
- Az EU ÁSZF, 2. modul I. melléklete hivatkozással beépül a dokumentumba, és az IADPN MCC, „Adattovábbítás az adatkezelőtől az adatfeldolgozó részére” dokumentumban szereplő összes szükséges információt tartalmazza.
- A 9. pont (Jogorvoslat) 9(a) alpontjában az opcionális szövegrész törlésre kerül.
- Az A. MELLÉKLET az EU ÁSZF, 2. modul I. mellékletének vonatkozó információival van kitöltve.
- A B. MELLÉKLET az EU ÁSZF, 2. modul I. mellékletének vonatkozó információival van kitöltve.
- A C. MELLÉKLET az EU ÁSZF, 2. modul II. mellékletének vonatkozó információival van kitöltve.
- A D. MELLÉKLET az EU ÁSZF, 2. modul III. mellékletének vonatkozó információival van kitöltve.
- Az E. MELLÉKLET az itt található adatvédelmi nyilatkozat alapján van kitöltve: https://www.familysearch.org/legal/privacy.
(7) A kínai Nyilvántartáskezelőkre az alábbiak (elérhető itt) vonatkoznak:
a. A hongkongiakra az alábbiak (elérhető itt) vonatkoznak:
(8) A brazíliai Nyilvántartáskezelőkre az alábbiak (elérhető itt, továbbá PDF formátumban itt található) vonatkoznak:
(9) Az új-zélandi Nyilvántartáskezelőkre az alábbiak (elérhető itt) vonatkoznak:
(10) A ruandai Nyilvántartáskezelőkre az alábbiak (elérhető itt) vonatkoznak:
(11) A katari Nyilvántartáskezelőkre az alábbiak (elérhető itt) vonatkoznak:
(12) A szaúd-arábiai Nyilvántartáskezelőkre az alábbiak (elérhető itt) vonatkoznak: