DUOMENŲ TVARKYMO IR PERDAVIMO SĄLYGŲ PRIEDAS
Šalys pripažįsta ir sutinka, kad Asmens duomenims, perduodamiems tarp FamilySearch International (arba jos filialo) ir Įrašų saugotojo (-ų), galioja (i) abiejų šalių pasirašytos sąlygos, kuriose šios Duomenų tvarkymo ir perdavimo sąlygos yra įtrauktos nuoroda (toliau – Sutartis), ir (ii) visi aktualūs privatumo ir duomenų apsaugos teisės aktai.
Šalys supranta ir sutinka, kad (i) Įrašų saugotojas yra perduotų Asmens duomenų Valdytojas ir Eksportuotojas, o (ii) FamilySearch International (arba jos filialas) yra Tvarkytojas ir Importuotojas.
Šalys supranta ir sutinka, kad toliau pateiktas taikytinas Duomenų tvarkymo ir perdavimo priedas yra nustatomas pagal fizinę Įrašų saugotojo buvimo vietą, išskyrus atvejus, kai Įrašų saugotojas Sutarties sudarymo metu raštu nurodo kitą vietą.
(1) Įrašų saugotojams, esantiems toliau išvardytose vietose, taikomas ES standartinių sutarčių sąlygų 2 modulis „Duomenų perdavimas tarp duomenų valdytojo ir tvarkytojo“ (toliau – ES SSS 2 modulis) (pateiktas čia):
Afganistane, Airijoje, Alžyre, Australijoje, Austrijoje, Bahreine, Barbadose, Belgijoje, Belize, Botsvanoje, Bulgarijoje, Burkina Fase, Čekijoje, Danijoje, Egipte, Ekvadore, Estijoje, Esvatinyje, Etiopijoje, Fidžyje, Gabone, Gajanoje, Glorioso salose, Graikijoje, Grenadoje, Guame, Haityje, Indijoje, Indonezijoje, Ispanijoje, Irake, Irane, Italijoje, Izraelyje, Jamaikoje, Japonijoje, Jordanijoje, Jungtinėje Karalystėje**, Jungtiniuose Arabų Emyratuose, Kaimanų Salose, Kipre, Kiribatyje, Kongo Respublikoje, Kroatijoje, Kuboje, Kuko salose, Kuveite, Latvijoje, Lenkijoje, Libane, Libijoje, Lichtenšteine, Lietuvoje, Liuksemburge, Maltoje, Maroke, Maršalo Salose, Meksikoje, Melanezijoje, Mergelių Salose (Didžioji Britanija), Mikronezijoje, Moldovos Respublikoje, Mongolijoje, Naujojoje Kaledonijoje, Nauru, Nepale, Nigeryje, Niujė, Nyderlanduose, Norvegijoje, Omane, Pakistane, Palau, Palestinoje, Panamoje, Papua Naujojoje Gvinėjoje, Pitkerno salose, Portugalijoje, Rumunijoje, Saliamono Salose, Samoa, Seišeliuose, Sent Kitse ir Nevyje, Slovakijoje, Slovėnijoje, Somalyje, Suomijoje, Pietų Afrikos Respublikoje, Pietų Korėjoje, Prancūzijoje, Prancūzijos Gvianoje, Prancūzijos Pietų Srityse, Prancūzijos Polinezijoje, Sudane, Šri Lankoje, Švedijoje, Šveicarijoje*, Tailande, Tanzanijoje, Toge, Tokelau, Tongoje, Tunise, Turkijoje, Tuvalu, Ugandoje, Vanuatu, Vengrijoje, Vokietijoje, Volise ir Futūnoje, Zambijoje, Zimbabvėje, Žuan de Novos saloje.
* Nors EEE Duomenų tvarkymo ir perdavimo priedas taikomas Šveicarijai, Šveicarijai taip pat reikalinga papildoma kalba, kuri yra įtraukta į Priedą ir pateikiama toliau.
** Nors EEE Duomenų tvarkymo ir perdavimo priedas taikomas Jungtinei Karalystei, Jungtinei Karalystei taip pat reikalinga papildoma kalba, kuri yra įtraukta į Priedą ir pateikiama toliau.
ES SSS 2 moduliui taikomos šios nuostatos, kaip dėl to susitarė pirmiau nurodytos šalys:
- 7 punktas (Prisijungimo punktas) yra išbrauktas.
- 9 punktas (Pagalbinių duomenų tvarkytojų pasitelkimas) apima 2 VARIANTĄ „BENDRAS RAŠYTINIS ĮGALIOJIMAS“.
- 11 punktas (Teisių gynimas) neapima VARIANTO, nurodyto a papunktyje.
- 13 punktas (Priežiūra) apima formuluotę, taikomą ES valstybėje narėje įsisteigusiems eksportuotojams.
- 17 punktas (Taikytina teisė) apima 1 VARIANTĄ ir duomenų eksportuotojo taikomą šalies teisę.
- 18 punktas (Teismo vietos ir jurisdikcijos pasirinkimas) apima duomenų eksportuotojo taikomus šalies teismus.
- I PRIEDAS: žr. toliau.
- II PRIEDAS: žr. toliau.
- III PRIEDAS: žr. toliau.
I PRIEDAS:
A. Šalių sąrašas
Duomenų eksportuotojas
- Pavadinimas: Sutartyje nurodytas įrašų saugotojas
- Adresas: Sutartyje nurodytas įrašų saugotojo adresas
- Kontaktinis asmuo: žr. Sutartyje, skiltyje „Kontaktinė informacija pranešimams“ nurodytą įrašų saugotojo informaciją
- Veikla, susijusi su duomenimis, perduodamais pagal Sutarties sąlygas: susijusi veikla aprašyta toliau esančiame B skirsnyje („Perdavimo aprašymas“)
- Vaidmuo: duomenų valdytojas
Duomenų importuotojas
- Pavadinimas: „FamilySearch International“
- Adresas: 36 S State St., Ste 1900, Solt Leik Sitis UT 84111
- Kontaktinis asmuo: vadovas, Duomenų privatumo padalinys – 50 East North Temple Street, Solt Leik Sitis, Juta 84150
- Telefonas: (801) 240-1187
- El. paštas: Dataprivacyofficer@churchofjesuschrist.org
- Veikla, susijusi su duomenimis, perduodamais pagal Sutarties sąlygas: susijusi veikla aprašyta toliau esančiame B skirsnyje („Perdavimo aprašymas“)
- Vaidmuo: duomenų tvarkytojas
B. Perdavimo aprašymas
Duomenų subjektų, kurių asmens duomenys perduodami, kategorijos
Duomenų subjektai, kurie randami istoriniuose ir genealoginiuose įrašuose ir kurių asmens duomenys saugomi mokslinių tyrimų, istoriniais ir statistikos tikslais.
Perduodamų asmens duomenų kategorijos
Genealoginiai duomenys – informacija, surinkta siekiant išsaugoti žmonių asmeninę ir giminės istoriją:
- vardai ir pavardės (duomenų subjekto vardas ir pavardė, tėvo ir motinos vardai ir pavardės, vaikų vardai ir pavardės, brolių ir seserų vardai ir pavardės, sutuoktinių vardai ir pavardės ir kt.);
- giminystės ryšiai (asmenų, brolių ir seserų, tėvų, vaikų, senelių, tetų, dėdžių vardai ir pavardės);
- biografinė informacija (vardas ir pavardė, gimimo data, mirties data, istorijos ir informacija apie asmens gyvenimą, profesiją, išsilavinimą, gyvenimo įvykių vietą, asmeninius religinius įvykius – krikštą, sutvirtinimą ir kt.);
- gimimo data, gimimo vieta ir susijusi informacija (vaiko lytis, tėvų vardai ir pavardės, tėvų gimimo metu arba įtėvių informacija, atsižvelgiant į atitinkamo gimimo įrašo tipą, gimimo datą ir gimimo vietą);
- amžius;
- lytis;
- santuokos data, vieta ir susijusi informacija (asmens vardas ir pavardė, tėvai ir kt.);
- mirties data, mirties vieta ir susijusi informacija (asmens vardas ir pavardė, mirties aplinkybės);
- pilietybė;
- asmeninės savybės, įskaitant fotografijas;
- kita informacija, esanti gautuose genealoginiuose ir istoriniuose įrašuose, įskaitant surašymus (asmenų vardai ir pavardės, vaikai, profesija, gyvenamoji vieta), giminės istorijas (biografiniai duomenys, vardai ir pavardės, giminystės ryšiai), parapijų registrus (parapijos narių vardai ir pavardės, gyvenamoji vieta, gimimo datos, giminystės ryšiai), bažnyčios metraščius (gimimo, santuokos, mirties įrašai, krikštas, sutvirtinimas), civilinės metrikacijos įrašus (gimimo, santuokos ir mirties įrašai), laikraščių nekrologus (gimimo, žemės įrašai, valstybės archyvų rinkiniai) ir natūralizacijos įrašus (pilietybės įrašai, imigracijos įrašai, natūralizacijos įrašai, įskaitant vardus ir pavardes, gimimo datas, kilmės šalį, gyvenamąją šalį ir adresą, giminės narių vardus ir pavardes, profesiją, tam tikrus konkrečios šalies duomenis, atsižvelgiant į šalį ir rinkimo datą).
Neskelbtini duomenys – informacija, kuri atsitiktinai įtraukiama į istorinius ir genealoginius įrašus, kurie gali būti apibrėžiami kaip neskelbtini pagal privatumo įstatymus:
- tapatybės ir demografiniai duomenys (rasinė ar etninė kilmė, tautinė kilmė, gentinė kilmė, socialinė padėtis, konkreti tapatybė (unikalūs tapatybę nusakantys požymiai, pvz., pasai, socialinio draudimo numeris, vairuotojo pažymėjimas, oficialus asmens tapatybės dokumentas), santuokinė padėtis, amžius, odos spalva, pilietybės ar imigracijos statusas, nusikaltimo aukos arba žalą dėl nusikaltimo patyrusio asmens statusas);
- įsitikinimai ir priklausymas asociacijoms (religiniai įsitikinimai ar priklausymas religinei bendruomenei, filosofiniai įsitikinimai, moraliniai įsitikinimai, ideologiniai įsitikinimai, politinės pažiūros, politiniai įsitikinimai, politinės ideologijos ar politinės pažiūros, narystė profesinėse sąjungose, narystė gildijose, narystė sąjungose, narystė profesinėse ar socialinėse asociacijose arba žmogaus teisių organizacijose;
- sveikatos ir genetiniai arba biometriniai duomenys (dabartinė ar būsima fizinės ar psichikos sveikatos būklė ar diagnozė, sveikatos istorija, medicininiai įrašai, medicininis gydymas, sveikatos priežiūros paslaugų teikimas, psichologinė ar fiziologinė būklė, genetiniai duomenys (paveldėtos ar įgytos savybės, žmogaus biologinis profilis), biometriniai duomenys (naudojami unikaliojo identifikavimo, automatinio patvirtinimo ar papildomų jautrių savybių atskleidimo) tikslais, nerviniai duomenys (su smegenimis arba nervais susiję duomenys, kognityviniai arba emociniai duomenys);
- su nusikaltimais susiję ir teisiniai duomenys (informacija apie teistumą ar nusikalstamą praeitį, nusikalstamas elgesys ar veika, nusikaltimo padarymas ar tariamas padarymas, teismo procesai, rezultatai, nuosprendžiai ar bausmės, susijusios su baudžiamosiomis bylomis);
- vietos ir ryšių duomenys (geografinės vietos nustatymo duomenys (tiksli arba konkreti vieta, įskaitant GPS koordinates), ryšių duomenys, įskaitant skambučių, teksto žinučių, el. laiškų arba laiškų turinį ir metaduomenis, pašto, el. laiškų arba teksto žinučių turinį (nebent adresuojama gavėjui);
- nepilnamečių duomenys (bet kokie asmens duomenys, susiję su nepilnamečiu).
- Kitos ypatingos kategorijos
- Asmeniniai įpročiai, gyvenimo būdas ir intymaus arba privataus gyvenimo aplinkybės
- Moralinės ar etinės savybės
- Giminės / šeimos reikalai arba emocinio ar giminės / šeimos gyvenimo duomenys
- Išsilavinimo įrašai
- Su užimtumu susiję duomenys, susieti su saugomomis asmenų savybėmis
- Vartotojų sveikatos duomenys (platesni nei medicininiai įrašai, įskaitant sveikatingumą arba fizinę parengtį, nėštumą ir kt.)
- Duomenys, susiję su ideologija ar įsitikinimais, kurie kitaip nefiksuojami
- Bet kokie duomenys, kurie gali reikšmingai pakenkti privatumui, orumui, saugumui ar turtui, jei jie naudojami netinkamai
- Duomenys, pasižymintys didesne diskriminacijos ar žalos rizika, atsižvelgiant į kontekstą (pvz., TV žiūrėjimo duomenys, kuriuos FTC klasifikuoja kaip neskelbtinus)
- Santuokinė padėtis (vardai ir pavardės, datos ir kt.)
- Valstybinis identifikavimo numeris arba panaši informacija (socialinio draudimo numeris ir kt.)
- Paso numeris
- Priklausymas religinei bendruomenei (informacija bažnyčios metraščiuose, įskaitant narystės numerius, vardus ir pavardes, gimimo datas, krikšto datas, santuokos datas, mirties datas ir duomenis, susijusius su konkrečia religija)
- Duomenys, susiję su nepilnamečiais (vardai ir pavardės, gimimo datos, tėvai, broliai ir seserys, globos įrašai, įvaikinimo informacija, teismo įrašai, išsilavinimo įrašai)
- Su sveikata susiję duomenys (ligos, gydymas ligoninėje, mirties aplinkybės)
- Duomenys apie teistumą (vardai ir pavardės, įkalinimo datos, teismo sprendimai dėl asmens)
- Narystė profesinėse sąjungose (narių vardai ir pavardės, narystės data, informacija apie narystės mokestį ir kt.)
- Rasinė ar etninė kilmė (kilmės regionas ar šalis)
- Religija (pavadinimas ir priklausymas religinei bendruomenei)
- Priklausymas politinei organizacijai (pavadinimas ir politinė partija, informacija apie aukas)
Duomenų perdavimo dažnis (pvz., vienkartinis ar nuolatinis)
ad hoc
Tvarkymo pobūdis
Perduodami asmens duomenys gali būti tvarkomi įvairiais būdais, kai tai leidžiama pagal įstatymus, įskaitant skaitmeninimą, indeksavimą, prieglobą, saugojimą, perdavimą, redagavimą ir rodymą. Šią veiklą padeda vykdyti debesijos pagrindu veikiantys duomenų centrai, įskaitant esančius Jungtinėse Amerikos Valstijose, tiek, kiek leidžiama pagal privatumo įstatymus. Pavyzdžiui, duomenys gali būti tvarkomi siekiant padėti vykdyti toliau nurodytą veiklą.
- Istorinių įrašų saugojimas: istorinių dokumentų, nuotraukų ir artefaktų skaitmeninimas, saugojimas, indeksavimas, laikymas ir (arba) archyvavimas ateities kartoms pagal duomenų eksportuotojo nurodymus.
- Genealogija: kai tai leidžiama pagal privatumo įstatymus ir duomenų eksportuotojo (pvz., kai duomenys nebėra apriboti), duomenys gali būti įtraukti į programas, kurias naudoja tyrėjai ir svetainės naudotojai, kad padėtų atsekti giminystės linijos ar giminės istorijos įrašus arba vykdyti kitus genealoginius tyrimus, programas ir veiklą.
- Giminės istorijos tyrimai: informacijos apie asmens protėvius ir giminės medį rinkimas bei saugojimas.
- Genealogijos mokymai: mokymų ir išteklių, padedančių milijonams žmonių visame pasaulyje atrasti savo paveldą ir užmegzti ryšį su giminės nariais, teikimas.
Duomenų perdavimo ir tolesnio tvarkymo tikslas (-ai)
Duomenų perdavimas duomenų importuotojui (duomenų importuotojo pasaulinėje būstinėje) ir tolesnis duomenų importuotojo vykdomas tvarkymas padeda išsaugoti ir laikyti istorinius giminės įrašus viešųjų archyvų, valdžios institucijų, čiabuvių, privačių archyvų, kitų privačių institucijų ir asmenų naudai. Jei tai leidžiama pagal privatumo įstatymus ir duomenų eksportuotojo (pvz., kai duomenys nebėra apriboti), šie įrašai taip pat gali būti nemokamai viešai skelbiami duomenų importuotojo svetainėje mokslinių tyrimų tikslais.
Asmens duomenų saugojimo laikotarpis arba, jei tai neįmanoma, kriterijai, naudojami tam laikotarpiui nustatyti
Istorinio išsaugojimo tikslais surinkti asmens duomenys bus saugomi pagal duomenų eksportuotojo nurodymus tiek laiko, kiek prašoma. Daugeliu atvejų, kol išlieka įrašų istorinė vertė, jie gali būti saugomi neribotą laiką archyvavimo tikslais ir genealogijai dokumentuoti, nebent duomenų subjektas paprašo juos ištrinti.
Perdavimo (pagalbiniams) duomenų tvarkytojams atveju taip pat nurodomas duomenų tvarkymo dalykas, pobūdis ir trukmė
Duomenų importuotojas tvarko asmens duomenis, kad išsaugotų istorinius įrašus ir genealoginių tyrimų tikslais, duomenų eksportuotojo nurodymu. Duomenų importuotojas gali pasitelkti duomenų tvarkytoją arba pagalbinį duomenų tvarkytoją pagal duomenų tvarkymo arba pagalbinio duomenų tvarkymo sutartį, kad padėtų tvarkyti duomenis tais pačiais tikslais ir atliktų funkcijas duomenų eksportuotojo ir (arba) duomenų importuotojo vardu (pvz., skaitmenintų ir indeksuotų istorinius įrašus). Duomenų tvarkymo arba pagalbinio duomenų tvarkymo sutartyje bus pateikta papildoma informacija apie duomenų tvarkymo dalyką, pobūdį ir trukmę.
C. Kompetentinga institucija
Nurodykite kompetentingą (-as) instituciją (-as) pagal 13 punktą
Duomenų eksportuotojo šalies priežiūros institucija, nurodyta I.A priede.
II PRIEDAS:
TECHNINĖS IR ORGANIZACINĖS PRIEMONĖS, SKIRTOS „FAMILY SEARCH INTERNATIONAL“ (IMPORTUOTOJAS)
Šiame dokumente aprašomos techninės ir organizacinės informacijos saugumo priemonės, kurias naudoja „Family Search International“ (toliau – Importuotojas ir FSI).
Techninės ir organizacinės saugumo priemonės. FSI vykdo išsamią informacijos saugumo programą bei įgyvendina pagrįstas technines ir organizacines saugumo priemones, pagrįstas pramonės standartais, organizaciniais poreikiais ir rizika, siekdama sumažinti neleistino ar neteisėto duomenų tvarkymo, atsitiktinio ar tyčinį praradimo, neleistinos prieigos, sunaikinimo ar sugadinimo mastą ir apsaugoti nuo tokios veiklos. Šios priemonės padeda užtikrinti FSI ir FSI sistemų bei duomenų konfidencialumą, vientisumą, prieinamumą ir atsparumą. Sistemų, kurių FSI tiesiogiai nekontroliuoja, naudojimo atvejais FSI bendradarbiauja su FSI siekiant įdiegti atitinkamas saugumui skirtas kontrolės priemones. FSI saugumo programą sudaro toliau nurodyti elementai.
1. Tvarkos ir procesai. FSI taiko oficialias rašytines tvarkas ir procesus, kad užtikrintų duomenų konfidencialumą, vientisumą ir prieinamumą bei apsaugotų juos nuo atsitiktinio, neleistino ar netinkamo atskleidimo, naudojimo, pakeitimo ar sunaikinimo. Šios tvarkos peržiūrimos ir atnaujinamos kasmet, o prireikus ir dažniau. Tvarkos ir procedūros yra skirtos užtikrinti, kad būtų taikomos fizinės, techninės ir administracinės apsaugos priemonės ir kad jos būtų veiksmingos.
2. Prieigos kontrolės priemonės.
Fizinė prieiga – FSI įgyvendina pagrįstas priemones, kad neleistų neįgaliotiems asmenims gauti prieigos prie duomenų tvarkymo įrangos (duomenų bazių serverių, programų serverių, tinklo perjungiklių, užkardų, valdiklių ir susijusios aparatinės įrangos), kurioje tvarkomi ar naudojami asmens duomenys.
Loginė prieiga – FSI įgyvendina pagrįstas saugumo priemones, kad užkirstų kelią neleistinai prieigai prie jų duomenų tvarkymo sistemų. FSI turi ir tikrina FSI naudotojus, turinčius prieigą prie duomenų tvarkymo sistemų. FSI suteikia prieigą ribotam žmonių skaičiui, remdamasi verslo reikmėmis grindžiamu poreikiu.
3. Saugumo mokymai ir informuotumas. FSI vykdo oficialią informuotumo apie saugumą didinimo ir saugumo mokymo programą, skirtą FSI darbuotojams ir FSI darbuotojams naudotojams. Programa apima reikiamus mokymosi modulius, kuriais užtikrinamas naudotojų informuotumas apie pagrindines informacijos saugumo koncepcijas bei tvarkas. Ji vykdoma kasmet arba taip dažnai, kiek racionalu. Metinių mokymų temos apima tinkamą neskelbtinos informacijos klasifikavimą ir tvarkymą. Be oficialių mokymų, periodiškai rengiant duomenų viliojimo imitavimo pratybas sustiprinami mokymai apie tai, kaip atpažinti kenkėjiškus el. laiškus, apie juos pranešti ir jų išvengti.
4. Duomenų apsauga. FSI įgyvendina pagrįstas priemones, kad neleistų neįgaliotoms šalims netinkamai naudoti, skaityti, kopijuoti, keisti ar ištrinti asmens duomenis tiek jų perdavimo, tiek laikymo metu. Duomenų apsaugos kontrolės priemonės įgyvendinamos pasitelkiant visapusiškos apsaugos metodą.
5. Stebėjimas. FSI įgyvendina pagrįstas priemones, kad stebėtų prieigą prie neskelbtinų duomenų sistemų ir tinklo išteklių bei užtikrintų, kad naudotojai veiktų laikydamiesi nustatytų taisyklių. Žurnalai saugomi atsižvelgiant į verslo poreikius bei teisės aktų reikalavimus ir laikomi centrinėje saugykloje arba vietinėje platformos saugykloje, o prireikus juos galima perkelti į centrinę saugyklą. Žurnalai saugomi ir apsaugomi taip, kad būtų užtikrintas tikslumas ir nekintamumas. FSI naudoja automatinių įspėjimų rinkinį, kad nustatytų galimai kenkėjišką veiklą. FSI registruoja duomenis, jie yra periodiškai peržiūrimi siekiant nustatyti galimas atakas ir sudaryti sąlygas FSI reagavimui į incidentus.
6. Galinio įrenginio aptikimas ir reagavimas. FSI įgyvendina pagrįstas naudotojo ir serverio galinių įrenginių, įskaitant FSI galinius įrenginius, kontrolės priemones, kuriomis užtikrina apsaugą nuo kenkimo programinės įrangos platinimo, centralizuoto įspėjimo, pagrindinio proceso ir failų užklausų bei sistemos izoliavimo galimybių.
7. Reagavimo į saugumo incidentus (RSI) procedūros. FSI taiko rašytines RSI tvarkas ir procedūras, kad aptiktų saugumo incidentus, į juos reaguotų ir kitaip imtųsi veiksmų dėl jų. FSI turi ištisą parą be poilsio dienų veikiantį Saugumo operacijų centrą (SOC), kuris rūšiuoja aktualius įvykius, stebi sistemas tikrindamas, ar nėra faktinių atakų bei įsilaužimo atvejų ir bandymų tai padaryti, švelnina žalingą saugumo incidentų poveikį ir dokumentuoja saugumo incidentus bei jų pasekmes. Su trečiųjų šalių reagavimo į incidentus paslaugų teikėjais sudaromi susitarimai, siekiant palengvinti greitą trečiųjų šalių įsitraukimą įvykus dideliam incidentui arba kai įvykus incidentui reikalinga specializuota teismo ekspertizė. FSI taip pat turi visą darbo dieną dirbančią į FSI orientuotą saugumo komandą, kuri teikia specialios pagalbos ir rūšiavimo paslaugas. SOC glaudžiai bendradarbiauja su FSI duomenų privatumo padaliniu (DAP) ir vyriausiojo teisininko skyriumi (OGC) bei išorės saugumo ekspertais, kad užtikrintų, jog incidentai būtų valdomi pagal taikytinus įstatymus ir kitus teisės aktus.
8. Saugumo ir rizikos vertinimai. FSI taiko pagrįstas tvarkas ir procedūras, padedančias įvertinti saugumui skirtų kontrolės priemonių veiksmingumą, nustatyti saugumui skirtų kontrolės priemonių neveikimo atvejus, taip pat nustatyti bei įvertinti saugumui skirtų kontrolės priemonių spragas taikant rizika pagrįstą metodą.
9. Sistemos konfigūravimas ir priežiūra. FSI taiko pagrįstas tvarkas ir procedūras siekdama užtikrinti, kad duomenų tvarkymo įranga (serveriai, duomenų bazės, nešiojamieji kompiuteriai, užkardos, jungikliai, maršrutizatoriai, valdikliai ir kt.) būtų tinkamai sukonfigūruota siekiant sudaryti geresnes galimybes tinkamai apsaugoti asmens duomenis. FSI vykdo pažeidžiamumų valdymo programą, padedančią nustatyti pažeidžiamumus FSI aplinkoje ir palaikyti ryšį su atitinkamais ištekliais, kad būtų lengviau laiku imtis taisomųjų veiksmų.
10. Sistemos ir informacijos atsparumas. FSI įgyvendina pagrįstas priemones, kuriomis siekiama užtikrinti tinkamą asmens duomenų apsaugą nuo atsitiktinio ar piktavališko naudojimo, pakeitimo ar sunaikinimo ir kad duomenis, kurie buvo atsitiktinai ar piktavališkai panaudoti, pakeisti ar sunaikinti, būtų galima identifikuoti ir atkurti. FSI taiko duomenų ir sistemos atsarginių kopijų kūrimo procedūras, kurios apima internetines, beveik internetines ir neinternetines kopijas, parenkamas priklausomai nuo duomenų svarbos ir verslo poreikių. FSI naudoja labai perteklines informacines sistemas, kad užtikrintų didelį programų ir sistemų prieinamumą bei našumą.
11. Atitiktis. FSI turi Duomenų privatumo skyrių, kuris prižiūri duomenų apsaugos įstatymų ir kitų teisės aktų laikymąsi. FSI taip pat vykdo FSI skirtą vidinę IT atitikties programą, kurioje pagrindinis dėmesys skiriamas saugumui skirtų kontrolės priemonių, procesų ir procedūrų testavimui bei patvirtinimui atliekant vidinius vertinimus.
12. Atskaitomybė. FSI turi paskirtą saugumo pareigūną, atsakingą už informacijos saugumo programų kūrimą, įgyvendinimą ir priežiūrą FSI. Be to, FSI informacijos saugumo programos politikoje apibrėžiami visų informacijos saugumo programos suinteresuotųjų šalių vaidmenys bei pareigos ir ši politika skelbiama saugykloje, prieinamoje visiems darbuotojams naudotojams.
13. Tinkamas įrašų naudojimas ir saugojimas. FSI įgyvendina politikos priemones ir procesus, kuriais reglamentuojamas konfidencialių duomenų, įskaitant asmens duomenis, naudojimas bei saugojimas. Sukurti procesai, skirti užtikrinti, kad duomenys atitiktų duomenų savininkų dalijimosi duomenimis reikalavimus, ir apimantys priimtino dirbtinio intelekto technologijų naudojimo priežiūrą.
14. Atnaujinimai. FSI kasmet arba pagal poreikį stebi, vertina ir koreguoja Informacijos saugumo programą atsižvelgdama į atitinkamus technologijų pokyčius, sektoriuje nusistovėjusius saugumo standartus, asmens duomenų neskelbtinumą ir vidines ar išorines galimas grėsmes asmens duomenims.
III PRIEDAS:
PAGALBINIŲ DUOMENŲ TVARKYTOJŲ SĄRAŠAS
Duomenų valdytojas leidžia pasitekti toliau nurodytus pagalbinius duomenų tvarkytojus.*
- ANCESTRY
- BART DEVELTER V.O.F.
- BRIGHAM YOUNG UNIVERSITY
- CENTURY VITAL RECORDS (CVR)
- CONTENT ARCHAEOLOGY
- DATADISC.IT S.R.L.
- DIE MOBILE SEKRETÄRIN E.U.
- DIGITAL 4 KIT
- DOUBLE DIGITAL
- EMPRESA DE ARQUIVO DE DOCUMENTAÇÃO S.A.
- FORMAX
- GENEALAB
- GENESIS
- GREYSCALE LTD.
- INFOSCRIBE SAS
- INTELLIGENT IMAGE MANAGEMENT (IIMI)
- IRON MOUNTAIN AUSTRALIA
- IRON MOUNTAIN CESKA REPUBLIKA S.R.O.
- LIFEWOOD
- MATERN
- MYHERITAGE
- NORMADAT S.A.
- OSG RECORDS MANAGEMENT
- PEDRO CRUZ MARTINEZ
- RASTERGEN – GESTÃO DOCUMENTAL UNIPESSOAL (LDA)
- SBL
- STASIS S.A.S.
- SVI
- TRACEABLE SOLUTIONS
- TRUEBPO INC (ANKSTESNIS PAVADINIMAS – EQOD INC)
(1.1) Įrašų saugotojams Šveicarijoje, be ES standartinių sutarčių sąlygų 2 modulio „Duomenų perdavimas tarp duomenų valdytojo ir tvarkytojo“ (toliau – ES SSS 2 modulis), taikoma:
ES standartinių sutarčių sąlygų Šveicarijos priedas
Jei asmens duomenų perdavimui iš duomenų eksportuotojo duomenų importuotojui taikomas ES BDAR ir FADP (kaip apibrėžta toliau), taip pat taikomos toliau nurodytos papildomos nuostatos, kad standartinės sutarčių sąlygos būtų tinkamos užtikrinti tinkamą tokio perdavimo apsaugos lygį pagal FADP 6 straipsnio 2 dalies punktą.
a) FADP – 1992 m. birželio 19 d. Federalinis duomenų apsaugos įstatymas (SR 235.1).
b) FDPIC – Šveicarijos federalinis duomenų apsaugos ir informacijos komisaras.
c) Pataisytas FADP – 2020 m. rugsėjo 25 d. FADP pataisyta redakcija, kuri įsigaliojo 2023 m. sausio 1 d.
d) Sąvoka ES valstybė narė neturi būti aiškinama taip, kad Šveicarijoje esantys duomenų subjektai negalėtų pareikšti ieškinių dėl savo teisių savo įprastinėje gyvenamojoje vietoje (Šveicarijoje) pagal standartinių sutarčių sąlygų 18 punkto c papunktį.
e) Standartinėmis sutarčių sąlygomis taip pat saugomi juridinių asmenų duomenys iki pataisyto FADP įsigaliojimo.
f) FDPIC veikia kaip kompetentinga priežiūros institucija, jei atitinkamas duomenų perdavimas reglamentuojamas FADP.
(1.2) Įrašų saugotojams Jungtinėje Karalystėje (toliau – JK), be ES standartinių sutarčių sąlygų 2 modulio „Duomenų perdavimas tarp duomenų valdytojo ir tvarkytojo“ (toliau – ES SSS 2 modulis), taikoma:
ES Komisijos standartinių sutarčių sąlygų tarptautinio duomenų perdavimo priedas
(toliau – JK TDPP)
ES Komisijos standartinių sutarčių sąlygų tarptautinio duomenų perdavimo priedas (pateiktas čia) įtraukiamas kaip nuoroda ir taikomos toliau nurodytos nuostatos.
1 dalis. Lentelės
1 lentelė užpildoma tiksliai taip, kaip ES SSS 2 modulio I priede.
2 lentelė: ES SSS 2 moduliui, dėl kurio susitarė pirmiau nurodytos šalys, taikomos toliau nurodytos nuostatos.
- 7 punktas (Prisijungimo punktas) yra išbrauktas.
- 9 punktas (Pagalbinių duomenų tvarkytojų pasitelkimas) apima 2 VARIANTĄ „BENDRAS RAŠYTINIS ĮGALIOJIMAS“.
- 11 punktas (Teisių gynimas) neapima VARIANTO, nurodyto a papunktyje.
- 13 punktas (Priežiūra) apima formuluotę, taikomą ES valstybėje narėje įsisteigusiems eksportuotojams.
- 17 punktas (Taikytina teisė) apima 1 VARIANTĄ ir duomenų eksportuotojo taikomą šalies teisę.
- 18 punktas (Teismo vietos ir jurisdikcijos pasirinkimas) apima duomenų eksportuotojo taikomus šalies teismus.
3 lentelė užpildoma ES SSS 2 modulio I, II ir III priedais.
4 lentelė: JK TDPP gali nutraukti bet kuri Šalis (Importuotojas ir Eksportuotojas).
2 dalis. Imperatyvios sąlygos
Taikomos visos imperatyvios sąlygos; priešingu atveju, 2-os alternatyvios dalies imperatyvios sąlygos netaikomos.
(2) Įrašų saugotojams, esantiems toliau išvardytose vietose, taikomas ES standartinių sutarčių sąlygų 2-as modulis „Duomenų perdavimas tarp duomenų valdytojo ir tvarkytojo“ („ES SSS 2-as modulis“) (pateiktas čia):
Albanijoje, Andoroje, Armėnijoje, Azerbaidžane, Baltarusijoje, Bosnijoje ir Hercegovinoje, Džersyje, Gernsyje, Gruzijoje, Jemene, Juodkalnijoje, Kazachstane, Kenijoje, Kosove, Meno saloje, Monake, San Marine, Serbijoje, Sirijoje, Šiaurės Makedonijoje, Turkijoje, Ukrainoje, Vietname.
(3) Įrašų saugotojams Angoloje (toliau – Angola), be Angolos duomenų apsaugos įstatyme (2011 m. birželio 17 d. Įstatymas Nr. 22/11) nustatytų Angolos sutarčių sąlygų („Angolos SS“) (pateikta čia), taikoma:
Angolos SS, kaip susitarė pirmiau nurodytos šalys, taikomos šios nuostatos:
Asmens duomenų tvarkymo, perdavimo ir laikymo vietos yra Ganoje ir Jungtinėse Amerikos Valstijose.
Visa kita pirmiau pateikta informacija apie ES SSS 2 modulį taikoma Angolos SSS.
(4) Įrašų saugotojams Nigerijoje (toliau – Nigerija), be Nigerijos sutarčių sąlygų, nustatytų 2023 m. Nigerijos duomenų apsaugos įstatyme (NDPA), (toliau – „Nigerijos SS“) (pateikta čia), taikoma:
Nigerijos SS, kaip susitarė pirmiau nurodytos šalys, taikomos šios nuostatos:
Asmens duomenų tvarkymo, perdavimo ir laikymo vietos yra Ganoje ir Jungtinėse Amerikos Valstijose.
Visa kita pirmiau pateikta informacija apie ES SSS 2 modulį taikoma Angolos SS.
(5) Įrašų saugotojams toliau išvardytose vietose taikomas Pietryčių Azijos valstybių asociacijos (ASEAN) standartinių sutarčių sąlygų 1-as modulis „Duomenų perdavimas tarp duomenų valdytojo ir tvarkytojo“ (toliau – „MCC 1-as modulis“) (pateiktas čia):
Brunėjaus Darusalame, Filipinuose, Indonezijoje, Kambodžoje, Laose, Malaizijoje, Mianmare, Singapūre, Tailande, Vietname.
MCC 1 moduliui, dėl kurio susitarė pirmiau nurodytos šalys, taikomos toliau nurodytos sąlygos.
- 2 punktas (Duomenų eksportuotojo įsipareigojimai) yra išbrauktas.
- 3 punkto (Duomenų importuotojo įsipareigojimai) neprivalomi 3.4, 3.6, 3.7 papunkčiai ir neprivaloma 3.7 punkto formuluotė yra išbraukti. 3.10 papunktyje nurodyta: „[…] per pagrįstą partnerių nurodytą laikotarpį“.
- 4 punktas (Ginčai dėl taikytinos teisės pasirinkimo) apima eksportuotojo ASEAN valstybę narę, nurodytą 4.1 punkte. Veiklos 4.3 papunktis yra išbrauktas.
- 6 punktu (Sutarties nutraukimas) į 6.1.1 papunktį įtraukiama frazė „30 dienų“.
- Papildomos individualių teisių gynimo priemonių (toliau – Individualios teisių gynimo priemonės) sąlygos. Visos individualios teisių gynimo priemonės yra išbrauktos.
- A PRIEDAS: žr. ES SSS 2-o modulio I PRIEDĄ.
(6) Įrašų saugotojams toliau išvardytose vietose taikoma Iberijos pusiasalio ir Lotynų Amerikos šalių duomenų apsaugos tinklo standartinė perdavimo sutartis (toliau – IADPN MCC, „Duomenų perdavimas tarp duomenų valdytojų ir tvarkytojų“) (pateikta čia):
Andora, Argentina, Peru, Urugvajus.
IADPN MCC, „Duomenų perdavimas tarp duomenų valdytojų ir tvarkytojų“, dėl kurios susitarė pirmiau nurodytos šalys, taikomos toliau nurodytos nuostatos.
- ES SSS 2-o modulio I PRIEDAS įtraukiamas kaip nuoroda ir jame pateikiama visa reikalinga informacija, nurodyta IADPN MCC, „Duomenų perdavimas tarp duomenų valdytojo ir duomenų tvarkytojo“.
- 9 punkto (Teisių gynimas) 9a papunktyje neprivaloma formuluotė yra išbraukta.
- A PRIEDAS užpildomas atitinkama informacija iš ES SSS 2-o modulio I PRIEDO.
- B PRIEDAS užpildomas atitinkama informacija iš ES SSS 2-o modulio I PRIEDO.
- C PRIEDAS užpildomas atitinkama informacija iš ES SSS 2-o modulio II PRIEDO.
- D PRIEDAS užpildomas atitinkama informacija iš ES SSS 2-o modulio III PRIEDO.
- E PRIEDAS užpildomas privatumo pranešimu, kurį galima rasti čia: https://www.familysearch.org/legal/privacy.
(7) Įrašų saugotojams Kinijoje taikoma (pateikta čia):
a. Esantiems Honkonge taikoma (pateikta čia):
(8) Įrašų saugotojams Brazilijoje taikoma (pateikta čia) (be to, PDF turinys, kurį galima rasti čia):
(9) Įrašų saugotojams Naujojoje Zelandijoje taikoma (pateikta čia):
(10) Įrašų saugotojams Ruandoje taikoma (pateikta čia):
(11) Įrašų saugotojams Katare taikoma (pateikta čia):
(12) Įrašų saugotojams Saudo Arabijoje taikoma (pateikta čia):