เอกสารแนบท้ายข้อกำหนดการประมวลผลและถ่ายโอนข้อมูล

คู่สัญญาทั้งสองฝ่ายรับทราบและยอมรับว่าข้อมูลส่วนบุคคลที่ถ่ายโอนระหว่าง FamilySearch International (หรือบริษัทในเครือ) และ ผู้เก็บรักษาข้อมูล อยู่ภายใต้ (i) ข้อ��ำหนดที่ลงนามโดยคู่สัญญาทั้งสองฝ่ายซึ่งมีข้อกำหนดการประมวลผลและถ่ายโอนข้อมูลฉบับนี้รวมอยู่ด้วยโดยการอ้างอิง (“ สัญญา ”) และ (ii) กฎหมายคุ้มครองข้อมูลส่วนบุคคลที่มีผลบังคับใช้ทั้งหมด

คู่สัญญาทั้งสองฝ่ายเข้าใจและยอมรับว่า (i) ผู้เก็บรักษาข้อมูลเป็นผู้ควบคุมและส่งออก ข้อมูลส่วนบุคคลที่ถ่ายโอนและ (ii) FamilySearch International (หรือบริษัทในเครือ) เป็นผู้ประมวลผลและนำเข้าข้อมูล

คู่สัญญาทั้งสองฝ่ายเข้าใจและยอมรับว่า เอกสารแนบท้ายว่าด้วยการประมวลผลและถ่ายโอนข้อมูลที่เกี่ยวข้องที่ระบุไว้ด้านล่างนี้ กำหนดจากสถานที่ตั้งของผู้เก็บรักษาข้อมูล เว้นแต่ผู้เก็บรักษาข้อมูลจะระบุสถานที่อื่นเป็นลายลักษณ์อักษรไว้ ณ เวลาที่ทำสัญญา

(1) สำหรับผู้เก็บรักษาข้อมูลในพื้นที่ต่อไปนี้ ให้ใช้ข้อสัญญามาตรฐานของสหภาพยุโรป โมดูล 2: ผู้ควบคุมถึงผู้ประมวลผล (“EU SCC โมดูล 2”) (ตามที่ระบุไว้ ที่นี่) เป็นข้อกำหนดที่ใช้บังคับ:

อัฟกานิสถาน แอลจีเรีย ออสเตรีย ออสเตรเลีย บาห์เรน บาร์เบโดส เบลเยียม เบลีซ บอตสวานา หมู่เกาะบริติชเวอร์จิน บัลแกเรีย บูร์กินาฟาโซ หมู่เกาะเคย์แมน สาธารณรัฐคองโก หมู่เกาะคุก โครเอเชีย คิวบา ไซปรัส สาธารณรัฐเช็ก เดนมาร์ก เอกวาดอร์ อียิปต์ เอสโตเนีย เอสวาตินี เอธิโอเปีย ฟิจิ ฟินแลนด์ ฝรั่งเศส เฟรนช์เกียนา เฟรนช์พอลินีเชีย เฟรนช์เซาเทิร์นและแอนตาร์กติกแลนดส์ กาบอง เยอรมนี หมู่เกาะกลอริโอโซ กรีซ กรีเนดา กวม กายอานา เฮติ ฮังการี อินเดีย อินโดนีเซีย อิหร่าน อิรัก ไอร์แลนด์ อิตาลี อิสราเอล จาเมกา ญี่ปุ่น จอร์แดน เกาะฮวนเดโนวา คิริบาส คูเวต ลัตเวีย เลบานอน ลิเบีย ลิกเตนสไตน์ ลิทัวเนีย ลักเซมเบิร์ก มอลตา หมู่เกาะมาร์แชลล์ เมลาเนเซีย เม็กซิโก ไมโครนีเชีย มองโกเลีย โมร็อกโก นาอูรู เนปาล เนเธอร์แลนด์ นิวแคลโดเนีย ไนเจอร์ นีวเว นอร์เวย์ โอมาน ปาเลา ปานามา ปาปัวนิวกินี ปากีสถาน ปาเลสไตน์ หมู่เกาะพิตแคร์น โปแลนด์ โปรตุเกส สาธารณรัฐมอลโดวา โรมาเนีย เซนต์คิตส์และเนวิส ซามัว เซเชลส์ สโลวาเกีย สโลวีเนีย หมู่เกาะโซโลมอน โซมาเลีย แอฟริกาใต้ เกาหลีใต้ สเปน ศรีลังกา ซูดาน สวีเดน สวิตเซอร์แลนด์* แทนซาเนีย ไทย โตโก โตเกเลา ตองกา ตูนิเซีย ตุรกี ตูวาลู ยูกันดา สหรัฐอาหรับเอมิเรตส์ สหราชอาณาจักร** วานูอาตู วอลิสและฟูตูนา แซมเบีย ซิมบับเว

* แม้ว่าเอกสารแนบท้ายว่าด้วยการประมวลผลและถ่ายโอนข้อมูลสำหรับเขตเศรษฐกิจพิเศษยุโรปจะมีผลบังคับใช้กับประเทศสวิตเซอร์แลนด์ แต่ประเทศสวิตเซอร์แลนด์ยังกำหนดให้มีข้อความเพิ่มเติม ซึ่งรวมอยู่ในเอกสารแนบท้ายและระบุไว้ด้านล่าง

** แม้ว่าเอกสารแนบท้ายว่าด้วยการประมวลผลและถ่ายโอนข้อมูลสำหรับเขตเศรษฐกิจยุโรปจะมีผลบังคับใช้กับสหราชอาณาจักร แต่สหราชอาณาจักรก็ยังกำหนดให้มีข้อความเพิ่มเติม ซึ่งรวมอยู่ในเอกสารแนบท้ายและระบุไว้ด้านล่าง
ข้อกำหนดต่อไปนี้ใช้บังคับกับ EU SCC โมดูล 2 ตามที่คู่สัญญาข้างต้นได้ตกลงกันไว้:

  • ข้อ 7 (การเข้าร่วมภายหลัง หรือ Docking Clause) ให้ตัดออกทั้งหมด
  • ข้อ 9 (การใช้ผู้ประมวลผลย่อย หรือ Sub-processors) รวมตัวเลือกที่ 2: การอนุญาตเป็นลายลักษณ์อักษรทั่วไป
  • ข้อ 11 (การชดเชย) ไม่รวมตัวเลือกในข้อ (a)
  • ข้อ 13 (การกำกับดูแล) รวมข้อความที่ใช้บังคับกับผู้ส่งออกข้อมูลที่ตั้งอยู่ในรัฐสมาชิกสหภาพยุโรป
  • ข้อ 17 (กฎหมายที่ใช้บังคับ) รวมตัวเลือกที่ 1 และรวมกฎหมายของประเทศที่ผู้ส่งออกข้อมูลตั้งอยู่เป็นกฎหมายที่ใช้บังคับ
  • ข้อ 18 (การเลือกศาลและเขตอำนาจศาล) รวมศาลของประเทศที่ผู้ส่งออกข้อมูลตั้งอยู่เป็นศาลที่มีเขตอำนาจ
  • ภาคผนวก I: ดูด้านล่าง
  • ภาคผนวก II: ดูด้านล่าง
  • ภาคผนวก III: ดูด้านล่าง

ภาคผนวก I:

A. รายชื่อคู่สัญญา

ผู้ส่งออกข้อมูล

  1. ชื่อ: ผู้เก็บรักษาข้อมูลที่ระบุไว้ในสัญญา
  2. ที่อยู่: ที่อยู่ของผู้เก็บรักษาข้อมูลที่ระบุไว้ในสัญญา
  3. ข้อมูลติดต่อ : ดู “ข้อมูลติดต่อสำหรับการส่งหนังสือบอกกล่าว” ที่ระบุไว้สำหรับผู้เก็บรักษาข้อมูลในสัญญา
  4. กิจกรรมที่เกี่ยวข้องกับข้อมูลที่ถ่ายโอนภายใต้ข้อตกลง: ดูรายละเอียดของกิจกรรมที่เกี่ยวข้องในหมวด B (“คำอธิบายการถ่ายโอน”) ด้านล่าง
  5. บทบาท: ผู้ควบคุม

ผู้นำเข้าข้อมูล

  1. ชื่อ: FamilySearch International
  2. ที่อยู่: 36 S State St., Ste 1900, Salt Lake City, UT 84111
  3. ข้อมูลติดต่อ: ผู้จัดการ สำนักงานความเป็นส่วนตัวของข้อมูล - 50 East North Temple Street, Salt Lake City, Utah 84150
    1. โทรศัพท์: (801) 240-1187
    2. อีเมล: Dataprivacyofficer@churchofjesuschrist.org
  4. กิจกรรมที่เกี่ยวข้องกับข้อมูลที่ถ่ายโอนภายใต้ข้อตกลง: ดูรายละเอียดของกิจกรรมที่เกี่ยวข้องในหมวด B (“คำอธิบายการถ่ายโอน”) ด้านล่าง
  5. บทบาท: ผู้ประมวลผล

B. คำอธิบายการถ่ายโอน

ประเภทของเจ้าของข้อมูลส่วนบุคคลที่มีการถ่ายโอน

เจ้าของข้อมูลที่ปรากฎในบันทึกทางประวัติศาสตร์และลำดับวงศ์ตระกูลซึ่งข้อมูลส่วนบุคคลได้รับการเก็บรักษาไว้เพื่อวัตถุประสงค์ด้านการวิจัย ประวัติศาสตร์ และสถิติ

ประเภทของข้อมูลส่วนบุคคลที่มีการถ่ายโอน

ข้อมูลลำดับวงศ์ตระกูล - ข้อมูลที่เก็บรวบรวมเพื่อเก็บรักษาประวัติส่วนบุคคลและประวัติครอบครัวของบุคคล:

  • ชื่อ (ชื่อเจ้าของข้อมูล ชื่อบิดาและมารดา ชื่อบุตร ชื่อพี่น้อง ชื่อคู่สมรส เป็นต้น)
  • ความสัมพันธ์ในครอบครัว (ชื่อบุคคล พี่น้อง บิดา มารดา บุตร ปู่ ย่า ตา ยาย ลุง ป้า น้า อา)
  • ข้อมูลชีวประวัติ (ชื่อ วันเกิด วันที่เสียชีวิต เรื่องราวและรายละเอียดเกี่ยวกับชีวิตของบุคคล อาชีพ การศึกษา สถานที่เกิดเหตุการณ์ในชีวิต กิจกรรมทางศาสนา เช่น พิธีบัพติศมา การรับศีลกำลัง เป็นต้น)
  • วันเกิด สถานที่เกิด และรายละเอียดที่เกี่ยวข้อง (เพศของเด็ก ชื่อของบิดามารดา ที่อยู่ของบิดามารดา ณ เวลาที่เกิด หรือพ่อแม่บุญธรรม ขึ้นอยู่กับประเภทของบันทึกการเกิด วันเกิด และสถานที่เกิด)
  • อายุ
  • เพศ
  • วันแต่งงาน สถานที่แต่งงาน และรายละเอียดที่เกี่ยวข้อง (ชื่อบุคคล บิดามารดา เป็นต้น)
  • วันที่เสียชีวิต สถานที่เสียชีวิต และรายละเอียดที่เกี่ยวข้อง (ชื่อของบุคคล ลักษณะการเสียชีวิต)
  • สัญชาติ
  • ลักษณะส่วนบุคคล รวมถึงรูปถ่าย
  • ข้อมูลอื่นใดที่ปรากฏในบันทึกทางลำดับวงศ์ตระกูลและประวัติศาสตร์ รวมถึงข้อมูลสำมะโนประชากร (ชื่อบุคคล บุตร อาชีพ ที่อยู่) ประวัติครอบครัว (ข้อมูลชีวประวัติ ชื่อ ความสัมพันธ์ในครอบครัว) ทะเบียนเขต (ชื่อสมาชิกในคริสตจักร ที่อยู่ วันเกิด ความสัมพันธ์ในครอบครัว) บันทึกของศาสนจักร (บันทึกการเกิด การสมรส การเสียชีวิต การรับบัพติศมา การรับศีลกำลัง) ข้อมูลทะเบียนราษฎร (บันทึกการเกิด การสมรส และการเสียชีวิต) ข่าวมรณกรรมในหนังสือพิมพ์ (การเกิด บันทึกที่ดิน คอลเลกชันเอกสารในหอจดหมายเหตุแห่งรัฐ) และบันทึกการแปลงสัญชาติ (บันทึกสัญชาติ บันทึกการอพยพ บันทึกการแปลงสัญชาติ ซึ่งรวมถึงชื่อ วันเกิด ประเทศต้นกำเนิด ประเทศที่พำนักอาศัยและที่อยู่ ชื่อสมาชิกในครอบครัว อาชีพ รายการเฉพาะประเทศ ขึ้นอยู่กับประเทศและวันที่เก็บข้อมูล)

ข้อมูลอ่อนไหว – ข้อมูลที่อาจปรากฏอยู่โดยบังเอิญในบันทึกทางประวัติศาสตร์และลำดับวงศ์ตระกูล ซึ่งอาจถือเป็นข้อมูลอ่อนไหวตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล:

  • ข้อมูลระบุตัวตนและข้อมูลประชากร (เชื้อชาติหรือชาติพันธุ์ ชาติกำเนิด ชนเผ่า สถานะทางสังคม ข้อมูลประจำตัวเฉพาะ (ตัวบ่งชี้เฉพาะบุคคล เช่น หมายเลขหนังสือเดินทาง, SSN, ใบขับขี่, บัตรประจำตัวประชาชน) สถานภาพการสมรส อายุ สีผิว สถานะพลเมืองหรือสถานะผู้อพยพ สถานะเหยื่ออาชญากรรมหรือได้รับความเสียหายจากอาชญากรรม)
  • ความเชื่อและการเป็นสมาชิกในองค์กร (ความเชื่อหรือความเกี่ยวข้องทางศาสนา ความเชื่อทางปรัชญา ความเชื่อทางศีลธรรม อุดมการณ์ ความคิดเห็นทางการเมือง แนวโน้มน้าวทางการเมือง อุดมการณ์ทางการเมือง หรือความเกี่ยวข้องทางการเมือง การเป็นสมาชิกสหภาพแรงงาน การเป็นสมาชิกสมาคม การเป็นสมาชิกสหภาพ การเป็นสมาชิกในสมาคมวิชาชีพหรือสังคม หรือองค์กรสิทธิมนุษยชน
  • ข้อมูลด้านสุขภาพและพันธุกรรม/ไบโอเมตริก (สภาพ สถานะ หรือการวินิจฉัยด้านสุขภาพร่างกายหรือจิตใจในปัจจุบันหรืออนาคต ประวัติทางการแพทย์ เวชระเบียน การรักษาพยาบาล การให้บริการด้านสุขภาพ สถานะทางจิตวิทยาหรือสรีรวิทยา ข้อมูลทางพันธุกรรม (ลักษณะที่ได้รับถ่ายทอดหรือได้มา โปรไฟล์ทางชีวภาพของมนุษย์) ข้อมูลไบโอเมตริก (ใช้สำหรับการระบุตัวตนเฉพาะบุคคล การตรวจสอบอัตโนมัติ หรือการเปิดเผยลักษณะที่ละเอียดอ่อนเพิ่มเติม) ข้อมูลทางระบบประสาท (ข้อมูลที่เกี่ยวข้องกับสมอง/ประสาท ข้อมูลด้านการรับรู้/อารมณ์)
  • ข้อมูลทางอาญาและกฎหมาย (ประวัติอาชญากรรมหรือประวัติความเป็นมา พฤติกรรมหรือการกระทำทางอาญา การกระทำผิดหรือการกระทำที่ถูกกล่าวหาว่ากระทำความผิด การดำเนินคดี ผลการพิจารณา คำพิพากษา หรือบทลงโทษที่เกี่ยวข้องกับคดีอาญา)
  • ข้อมูลตำแหน่งและการสื่อสาร (ข้อมูลตำแหน่งทางภูมิศาสตร์ (ตำแหน่งที่แน่นอนหรือเฉพาะเจาะจง รวมถึงพิกัด GPS) ข้อมูลการสื่อสาร รวมถึงเนื้อหาและข้อมูลเมตาของการโทร ข้อความ อีเมล หรือจดหมาย เนื้อหาของจดหมาย อีเมล หรือข้อความ (เว้นแต่จะระบุผู้รับไว้))
  • ข้อมูลเยาวชน (ข้อมูลส่วนบุคคลใดๆ ที่เกี่ยวข้องกับผู้เยาว์)
  • ประเภทพิเศษอื่นๆ
    • นิสัยส่วนตัว วิถีชีวิต และสถานการณ์ส่วนตัว/ความสัมพันธ์ใกล้ชิด
    • ลักษณะทางศีลธรรมหรือจริยธรรม
    • เรื่องในครอบครัวหรือข้อมูลเกี่ยวกับชีวิตครอบครัวและอารมณ์ความรู้สึก
    • ประวัติการศึกษา
    • ข้อมูลที่เกี่ยวข้องกับการจ้างงานที่เชื่อมโยงกับลักษณะซึ่งได้รับการคุ้มครอง
    • ข้อมูลสุขภาพของผู้บริโภค (นอกเหนือจากเวชระเบียน รวมถึงสุขภาพ/ความฟิต การตั้งครรภ์ เป็นต้น)
    • ข้อมูลที่เกี่ยวข้องกับอุดมการณ์หรือความเชื่อซึ่งไม่ได้บันทึกไว้
    • ข้อมูลใดๆ ที่อาจก่อให้เกิดความเสี่ยงต่อความเป็นส่วนตัว ศักดิ์ศรี ความปลอดภัย หรือทรัพย์สินอย่างมีนัยสำคัญหากใช้ในทางที่ผิด
    • ข้อมูลที่มีความเสี่ยงสูงต่อการเลือกปฏิบัติหรืออันตราย ขึ้นอยู่กับบริบท (เช่น ข้อมูลการรับชมโทรทัศน์ที่คณะกรรมาธิการการค้าสหรัฐฯ (FTC) จัดให้เป็นข้อมูลอ่อนไหว)
    • สถานภาพการสมรส (ชื่อ วันที่ เป็นต้น)
    • หมายเลขประจำตัวที่รัฐบาลออกให้หรือรายละเอียดที่คล้ายกัน (หมายเลขประกันสังคม (SSN) เป็นต้น)
    • หมายเลขหนังสือเดินทาง
    • ความเกี่ยวข้องทางศาสนา (ข้อมูลในบันทึกของศาสนจักร รวมถึงหมายเลขสมาชิก ชื่อ วันเกิด วันที่รับบัพติศมา วันที่สมรส วันที่เสียชีวิต และข้อมูลที่เกี่ยวข้องกับศาสนาเฉพาะ)
    • ข้อมูลเกี่ยวกับผู้เยาว์ (ชื่อ วันเกิด บิดามารดา พี่น้อง บันทึกข้อมูลผู้ปกครอง ข้อมูลการรับบุตรบุญธรรม บันทึกของศาล ประวัติการศึกษา)
    • ข้อมูลที่เกี่ยวข้องกับสุขภาพ (ความเจ็บป่วย การเข้ารับรักษาตัวในโรงพยาบาล ลักษณะการเสียชีวิต)
    • ประวัติอาชญากรรม (ชื่อ วันที่ถูกคุมขัง คำพิพากษาที่เกี่ยวข้องกับบุคคล)
    • การเป็นสมาชิกสหภาพแรงงาน (ชื่อสมาชิก วันที่เป็นสมาชิก ข้อมูลค่าธรรมเนียมการเป็นสมาชิก เป็นต้น)
    • เชื้อชาติหรือชาติพันธุ์ (ภูมิภาคหรือประเทศต้นกำเนิด)
    • ศาสนา (ชื่อและความเกี่ยวข้องทางศาสนา)
    • ความเกี่ยวข้องทางการเมือง (ชื่อและพรรคการเมือง ข้อมูลการบริจาค)

ความถี่ในการถ่ายโอน (เช่น เป็นแบบครั้งเดียวหรือต่อเนื่อง)

เป็นกรณีเฉพาะ

ลักษณะของการประมวลผล

ข้อมูลส่วนบุคคลที่ถ่ายโอนอาจถูกนำไปใช้ในการประมวลผลในลักษณะต่างๆ ตามที่กฎหมายอนุญาต รวมถึงการแปลงข้อมูลให้อยู่ในรูปแบบดิจิทัล การจัดทำดัชนี การโฮสต์ การจัดเก็บ การส่ง การลบหรือปิดบังข้อมูลบางส่วน และการแสดงผล กิจกรรมเหล่านี้ดำเนินการผ่านศูนย์ข้อมูลบนระบบคลาวด์ รวมถึงศูนย์ข้อมูลในสหรัฐอเมริกา ตามขอบเขตที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลอนุญาต ตัวอย่างเช่น อาจมีการประมวลผลข้อมูลเพื่อสนับสนุนกิจกรรมต่อไปนี้:

  • การปกปักรักษาบันทึกทางประวัติศาสตร์: การแปลงเอกสาร รูปถ่าย และวัตถุทางประวัติศาสตร์ให้อยู่ในรูปแบบดิจิทัล รวมถึงการเก็บรักษา การจัดทำดัชนี การจัดเก็บ หรือการจัดเก็บถาวร เพื่อส่งต่อให้กับคนรุ่นหลัง ตามคำแนะนำของผู้ส่งออกข้อมูล
  • การสืบลำดับเชื้อสาย: เมื่อได้รับอนุญาตตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลและจากผู้ส่งออกข้อมูล (เช่น เมื่อข้อมูลไม่ได้ถูกจำกัดอีกต่อไป) ข้อมูลนั้นอาจถูกนำไปใช้ในแอปพลิเคชันที่นักวิจัยและผู้ใช้เว็บไซต์ใช้ในการสืบค้นลำดับวงศ์ตระกูลหรือประวัติครอบครัว หรือการวิจัย โครงการ และกิจกรรมที่เกี่ยวข้องกับการสืบลำดับเชื้อสายอื่นๆ
    • การศึกษาประวัติครอบครัว: การรวบรวมและเก็บรักษาข้อมูลเกี่ยวกับบรรพบุรุษและแผนผังครอบครัว
    • คำแนะนำด้านการสืบลำดับเชื้อสาย: จัดให้มีการฝึกอบรมและแหล่งข้อมูลเพื่อช่วยให้ผู้คนนับล้านทั่วโลกค้นพบรากเหง้าและเชื่อมโยงกับสมาชิกในครอบครัว

วัตถุประสงค์ของการถ่ายโอนข้อมูลและการประมวลข้อมูลเพิ่มเติม

การถ่ายโอนข้อมูลไปยังผู้นำเข้าข้อมูล (ที่สำนักงานใหญ่ส่วนกลางของผู้นำเข้าข้อมูล) และการประมวลผลเพิ่มเติมโดยผู้นำเข้าข้อมูลนั้นมีวัตถุประสงค์เพื่อสนับสนุนการอนุรักษ์และการจัดเก็บบันทึกทางประวัติศาสตร์ของครอบครัว เพื่อประโยชน์ของหอจดหมายเหตุสาธารณะ หน่วยงานของรัฐ ชนพื้นเมือง หอจดหมายเหตุเอกชน หน่วยงานเอกชนอื่นๆ และบุคคลทั่วไป หากได้รับอนุญาตตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลและจากผู้ส่งออกข้อมูล (เช่น เมื่อข้อมูลไม่ได้ถูกจำกัดอีกต่อไป) บันทึกเหล่านี้อาจถูกเผยแพร่ต่อสาธารณะบนเว็บไซต์ของผู้นำเข้าข้อมูลโดยไม่มีค่าใช้จ่ายเพื่อวัตถุประสงค์ในการวิจัย

ระยะเวลาการเก็บรักษาข้อมูลส่วนบุคคล หรือเกณฑ์ที่ใช้ในการกำหนดระยะเวลาดังกล่าว หากไม่สามารถทำได้

ข้อมูลส่วนบุคคลที่เก็บรวบรวมเพื่อวัตถุประสงค์ในการอนุรักษ์ทางประวัติศาสตร์จะถูกเก็บรักษาไว้ตามคำแนะนำของผู้ส่งออกข้อมูล ตราบเท่าที่ไ���้รับการร้องขอให้เก็บไว้ ในหลายกรณี หากบันทึกยังคงมีคุณค่าทางประวัติศาสตร์ บันทึกดังกล่าวอาจถูกเก็บรักษาไว้อย่างไม่มีกำหนดระยะเวลา เพื่อวัตถุประสงค์ในการจัดเก็บถาวรและบันทึกข้อมูลการสืบลำดับเชื้อสาย เว้นแต่เจ้าของข้อมูลจะขอให้ลบออก

สำหรับการถ่ายโอนไปยังผู้ประมวลผล (ย่อย) ให้ระบุประเด็นหลัก ลักษณะ และระยะเวลาของการประมวลผลด้วย

ผู้นำเข้าข้อมูลประมวลผลข้อมูลส่วนบุคคลเพื่อวัตถุประสงค์ในการอนุรักษ์บันทึกทางประวัติศาสตร์และศึกษาด้านการสืบลำดับเชื้อสายตามคำแนะนำของผู้ส่งออกข้อมูล ผู้นำเข้าข้อมูลอาจใช้ผู้ประมวลผลหรือผู้ประมวลผลย่อยตามสัญญาการประมวลผลหรือการประมวลผลย่อย เพื่อช่วยในการประมวลผลข้อมูลเพื่อวัตถุประสงค์เดียวกัน และเพื่อปฏิบัติหน้าที่ในนามของผู้ส่งออกข้อมูลและ/หรือผู้นำเข้าข้อมูล (เช่น การแปลงบันทึกทางประวัติศาสตร์ให้เป็นรูปแบบดิจิทัลและการจัดทำดัชนี) สัญญาการประมวลผลหรือการประมวลผลย่อยจะกำหนดรายละเอียดเพิ่มเติมเกี่ยวกับประเด็นหลัก ลักษณะ และระยะเวลาของการประมวลผล

C. หน่วยงานที่มีอำนาจ

ระบุหน่วยงานที่มีอำนาจตามข้อ 13

หน่วยงานกำกับดูแลของประเทศที่ผู้ส่งออกข้อมูลตั้งอยู่ตามที่ระบุไว้ในภาคผนวก I.A.

ภาคผนวก II:

มาตรการทางเทคนิคและบริหารจัดการสำหรับ FAMILY SEARCH INTERNATIONAL (ผู้นำเข้า)

เอกสารฉบับนี้สรุปมาตรการรักษาความปลอดภัยของข้อมูลทางเทคนิคและบริหารจัดการที่ Family Search International (ผู้นำเข้า) (“FSI”) ใช้

มาตรการรักษาความปลอดภัยทางเทคนิคและบริหารจัดการ FSI จัดให้มีโปรแกรมด้านความปลอดภัยของข้อมูลที่ครอบคลุม และใช้มาตรการรักษาความปลอดภัยทางเทคนิคและบริหารจัดการที่เหมาะสมตามมาตรฐานอุตสาหกรรม ความจำเป็นขององค์กร และความเสี่ยง เพื่อลดและป้องกันการประมวลผลข้อมูลโดยมิชอบด้วยกฎหมาย หรือโดยไม่ได้รับอนุญาต ตลอดจนการสูญหาย การเข้าถึงโดยไม่ได้รับอนุญาต การทำลาย หรือความเสียหาย ทั้งโดยเจตนาและโดยอุบัติเหตุ มาตรการเหล่านี้มีวัตถุประสงค์เพื่อให้มั่นใจในการรักษาความลับ ความถูกต้องครบถ้วนของข้อมูล ความพร้อมใช้งาน และ ความสามารถในการฟื้นตัวของระบบและข้อมูล ของระบบและข้อมูลของ FSI สำหรับระบบที่ไม่ได้อยู่ภายใต้การควบคุมโดยตรงของ FSI นั้น FSI จะดำเนินการร่วมกับ FSI เพื่อจัดให้มีการควบคุมด้านความปลอดภัยที่เหมาะสมและได้สัดส่วน โปรแกรมการรักษาความปลอดภัยของ FSI ประกอบด้วยองค์ประกอบต่อไปนี้:

1. นโยบายและกระบวนการ FSI มีนโยบายและกระบวนการที่เป็นลายลักษณ์อักษรอย่างเป็นทางการ เพื่อให้มั่นใจในการรักษาความลับ ความถูกต้องครบถ้วน และความพร้อมใช้งานของข้อมูล รวมทั้งเพื่อป้องกันไม่ให้ข้อมูลถูกเปิดเผย การใช้งาน การเปลี่ยนแปลง หรือการทำลายโดยไม่ได้ตั้งใจ โดยไม่ได้รับอนุญาต หรืออย่างไม่เหมาะสม มีการทบทวนและปรับปรุงนโยบายเหล่านี้เป็นประจำทุกปี หรือบ่อยกว่านั้นเมื่อเหมาะสม นโยบายและขั้นตอนต่างๆ มีวัตถุประสงค์เพื่อให้มั่นใจว่ามีการป้องกันทางกายภาพ ทางเทคนิค และการบริหารอย่างเหมาะสมและมีประสิทธิภาพ

2. การควบคุมการเข้าถึง

การเข้าถึงทางกายภาพ - FSI ใช้มาตรการที่เหมาะสมเพื่อป้องกันไม่ให้บุคคลที่ไม่ได้รับอนุญาตเข้าถึงอุปกรณ์ประมวลผลข้อมูล (เซิร์ฟเวอร์ฐานข้อมูล เซิร์ฟเวอร์แอปพลิเคชัน สวิตช์เครือข่าย ไฟร์วอลล์ คอนโทรลเลอร์ และฮาร์ดแวร์ที่เกี่ยวข้อง) ซึ่งมีการประมวลผลหรือใช้ข้อมูลส่วนบุคคล

การเข้าถึงระบบ - FSI ใช้มาตรการรักษาความปลอดภัยที่เหมาะสมเพื่อป้องกันการเข้าถึงระบบประมวลผลข้อมูลโดยไม่ได้รับอนุญาต รวมถึงการดูแลและตรวจสอบผู้ใช้ FSI ที่มีสิทธิ์เข้าถึงระบบประมวลผลข้อมูล FSI ให้สิทธิ์การเข้าถึงแก่บุคคลจำนวนจำกัดตามความจำเป็นที่ได้รับอนุมัติจากธุรกิจ

3. การฝึกอบรมและการสร้างความตระหนักด้านการรักษาความปลอดภัย FSI จัดให้มีโปรแกรมการฝึกอบรมและการสร้างความตระหนักด้านการรักษาความปลอดภัยอย่างเป็นทางการสำหรับพนักงาน FSI และผู้ใช้งานของพนักงาน FSI โปรแกรมนี้ประกอบด้วยหน่วยการเรียนรู้ที่จำเป็น เพื่อให้มั่นใจว่าผู้ใช้ตระหนักถึงแนวคิดและนโยบายด้านการรักษาความปลอดภัยของข้อมูลที่สำคัญ ซึ่งต้องเข้าร่วมเป็นประจำทุกปี หรือบ่อยเท่าที่เป็นไปได้ หัวข้อการฝึกอบรมประจำปีครอบคลุมถึงการจำแนกประเภทและการจัดการข้อมูลที่ละเอียดอ่อนอย่างเหมาะสม นอกจากการฝึกอบรมอย่างเป็นทางการแล้ว ยังมีการทดสอบจำลองการโจมตีแบบฟิชชิ่งโดยไม่แจ้งล่วงหน้าเป็นระยะ เพื่อเสริมการฝึกอบรมเกี่ยวกับวิธีการระบุ รายงาน และหลีกเลี่ยงอีเมลที่เป็นอันตราย

4. การคุ้มครองข้อมูล FSI ใช้มาตรการที่เหมาะสมเพื่อป้องกันไม่ให้ข้อมูลส่วนบุคคลถูกใช้ อ่าน คัดลอก เปลี่ยนแปลง หรือลบโดยไม่เหมาะสมโดยบุคคลที่ไม่ได้รับอนุญาต ทั้งในระหว่างการส่งและขณะจัดเก็บ FSI ควบคุมการคุ้มครองข้อมูลโดยใช้แนวทางการป้องกัน ในเชิงลึก (Defense in Depth)

5. การเฝ้าระวัง FSI ใช้มาตรการที่เหมาะสมในการเฝ้าระวังการเข้าถึงระบบที่ละเอียดอ่อนและทรัพยากรเครือข่าย เพื่อให้แน่ใจว่าผู้ใช้ปฏิบัติตามนโยบาย ระบบจะเก็บบันทึกการใช้งานตามความจำเป็นทางธุรกิจและข้อกำหนดทางกฎหมาย โดยจะจัดเก็บบันทึกเหล่านี้ไว้ในคลังข้อมูลกลางหรือระบบจัดเก็บเฉพาะของแต่ละแพลตฟอร์ม ซึ่งสามารถย้ายไปยังคลังข้อมูลกลางได้เมื่อจำเป็น บันทึกการใช้งานจะถูกจัดเก็บและรักษาไว้อย่างปลอดภัยในลักษณะที่ช่วยให้มั่นใจในความถูกต้องและการไม่เปลี่ยนแปลง (immutability) FSI มีชุดการแจ้งเตือนอัตโนมัติเพื่อระบุกิจกรรมที่อาจ เป็นอันตราย ทั้งนี้ จะมีการตรวจสอบข้อมูลบันทึกการใช้ของ FSI เป็นประจำ เพื่อระบุการโจมตีที่อาจเกิดขึ้น และสนับสนุนความพยายามในการตอบสนองต่อเหตุการณ์ของ FSI

6. การตรวจจับและการตอบสนองปลายทาง FSI ใช้การควบคุมที่เหมาะสมกับอุปกรณ์ปลายทางของผู้ใช้และเซิร์ฟเวอร์ รวมถึงอุปกรณ์ปลายทางสำหรับ FSI ซึ่งมอบการป้องกันการแพร่กระจายของมัลแวร์ การแจ้งเตือนแบบรวมศูนย์ การตรวจสอบกระบวนการทำงานและไฟล์ภายในเครื่อง และความสามารถในการแยกระบบ

7. ขั้นตอนการตอบสนองต่อเหตุการณ์ด้านความปลอดภัย (IR) FSI มีนโยบายและขั้นตอนการตอบสนองต่อเหตุการณ์ด้านความปลอดภัย (IR) เป็นลายลักษณ์อักษร เพื่อตรวจจับ ตอบสนอง และจัดการกับเหตุการณ์ด้านการรักษาความปลอดภัย FSI ดำเนินงานศูนย์ปฏิบัติการด้านความปลอดภัย (SOC) ตลอด 24 ชั่วโมงทุกวัน เพื่อคัดกรองเหตุการณ์ที่น่าสนใจ เฝ้าระวังระบบเพื่อป้องกันการโจมตีหรือการบุกรุก ทั้งที่เกิดขึ้นจริงและที่พยายาม ลดผลกระทบที่เป็นอันตรายจากเหตุการณ์ด้านความปลอดภัย และบันทึกเหตุการณ์ด้านการรักษาความปลอดภัยและผลลัพธ์ที่ตามมา นอกจากนี้ FSI ยังมีสัญญากับผู้ให้บริการภายนอก เพื่อให้สามารถระดมผู้เชี่ยวชาญภายนอกได้อย่างรวดเร็วในกรณีที่เกิดเหตุการณ์สำคัญ หรือเมื่อจำเป็นต้องมีการวิเคราะห์ทางนิติวิทยาศาสตร์เฉพาะทาง FSI ยังมีทีมรักษาความปลอด���ัยเต็มเวลาที่มุ่งเน้นการสนับสนุนเฉพาะด้านและการคัดกรองเหตุการณ์ SOC ทำงานอย่างใกล้ชิดกับสำนักงานคุ้มครองความเป็นส่วนตัวของข้อมูล (DPO) และสำนักงานที่ปรึกษาทั่วไป (OGC) ของ FSI และผู้เชี่ยวชาญด้านความปลอดภัยภายนอก เพื่อให้มั่นใจว่าเหตุการณ์ด้านความปลอดภัยทุกกรณีได้รับการจัดการตามกฎหมายและข้อบังคับที่เกี่ยวข้อง

8 . การประเมินความปลอดภัยและความเสี่ยง FSI มีนโยบายและขั้นตอนที่เหมาะสมเพื่อช่วยประเมินประสิทธิภาพการควบคุมความปลอดภัย ตรวจหาความล้มเหลวในการควบคุมความปลอดภัย รวมถึงระบุ ประเมิน และวิเคราะห์ช่องโหว่ในการควบคุมความปลอดภัย โดยใช้แนวทางการประเมินตามความเสี่ยง

9. การกำหนดค่าและการบำรุงรักษาระบบ FSI มีนโยบายและขั้นตอนที่เหมาะสมเพื่อช่วยให้มั่นใจว่าอุปกรณ์ประมวลผลข้อมูล (เซิร์ฟเวอร์ ฐานข้อมูล แล็ปท็อป ไฟร์วอลล์ สวิตช์ เราเตอร์ คอนโทรลเลอร์ ฯลฯ) ได้รับการกำหนดค่าอย่างเหมาะสม เพื่อให้มั่นใจว่ามีการปกป้องข้อมูลส่วนบุคคลอย่างเพียงพอ FSI ยังมีโปรแกรมการจัดการช่องโหว่ เพื่อช่วยระบุช่องโหว่ภายในสภาพแวดล้อมของ FSI และการสื่อสารกับหน่วยงานที่เหมาะสมเพื่อดำเนินการแก้ไขอย่างทันท่วงที

10. ความสามารถในการฟื้นตัวของระบบและข้อมูล FSI ใช้มาตรการที่เหมาะสมเพื่อให้มั่นใจว่ามีการคุ้มครองข้อมูลส่วนบุคคลอย่างเพียงพอจากการใช้งาน การเปลี่ยนแปลง หรือการทำลายโดยไม่ได้ตั้งใจหรือโดยประสงค์ร้าย รวมทั้งเพื่อให้สามารถระบุและกู้คืนข้อมูลที่ถูกใช้งาน เปลี่ยนแปลง หรือทำลายโดยไม่ได้ตั้งใจหรือโดยประสงค์ร้ายได้ FSI ใช้ขั้นตอนการสำรองข้อมูลและระบบ ซึ่งรวมถึงสำเนาออนไลน์ เนียร์ไลน์ และออฟไลน์ ตามความสำคัญของข้อมูลและความจำเป็นทางธุรกิจ FSI ใช้ระบบข้อมูลที่มีความซ้ำซ้อนสูงเพื่อให้มั่นใจได้ว่าแอปพลิเคชันและระบบจะพร้อมใช้งานและมีประสิทธิภาพเป็นเลิศ

11. การปฏิบัติตามกฎระเบียบ FSI มีสำนักงานคุ้มครองความเป็นส่วนตัวของข้อมูลสำหรับ FSI ซึ่งจัดการการปฏิบัติตามกฎหมายและข้อบังคับด้านการคุ้มครองข้อมูล FSI ยังมีโปรแกรมการปฏิบัติตามกฎระเบียบด้านเทคโนโลยีสารสนเทศภายในองค์กรสำหรับ FSI ซึ่งมุ่งเน้นการทดสอบและตรวจสอบการควบคุมความปลอดภัย กระบวนการ และขั้นตอนต่างๆ ผ่านการประเมินภายใน

12. ความรับผิดชอบ FSI มีเจ้าหน้าที่รักษาความปลอดภัยที่แต่งตั้งขึ้นเพื่อรับผิดชอบด้านการพัฒนา การใช้ และการบำรุงรักษาโปรแกรมการรักษาความปลอดภัยข้อมูลที่ FSI ไว้แล้ว นอกจากนี้ นโยบายด้านโปรแกรมการรักษาความปลอดภัยข้อมูลของ FSI ยังกำหนดบทบาทและ ความรับผิดชอบของผู้มีส่วนเกี่ยวข้องทุกฝ่ายในโปรแกรมการรักษาความปลอดภัยของข้อมูล และเผยแพร่ไว้ในคลังข้อมูลที่ผู้ใช้งานทุกคนสามารถเข้าถึงได้

13. การใช้และการเก็บบันทึกข้อมูลอย่างเหมาะสม FSI ใช้นโยบายและกระบวนการควบคุมการใช้และการเก็บรักษาข้อมูลที่เป็นความลับ รวมถึงข้อมูลส่วนบุคคล โดยมีกระบวนการเพื่อให้มั่นใจว่ามีการจัดการข้อมูลตามข้อกำหนดการแชร์ข้อมูลของเจ้าของข้อมูล ซึ่งรวมถึงการกำกับดูแลการใช้เทคโนโลยีปัญญาประดิษฐ์ที่ยอมรับได้

14. การอัปเดต FSI เฝ้าระวัง ประเมิน และปรับเปลี่ยนโปรแกรมการรักษาความปลอดภัยของข้อมูลเป็นประจำทุกปีหรือตามความจำเป็น โดยพิจารณาการเปลี่ยนแปลงที่เกี่ยวข้องในเทคโนโลยี มาตรฐานความปลอดภัยของอุตสาหกรรม ความอ่อนไหวของข้อมูลส่วนบุคคล และภัยคุกคามที่อาจเกิดขึ้นภายในหรือภายนอกต่อข้อมูลส่วนบุคคล

ภาคผนวก III:

รายชื่อผู้ประมวลผลย่อย

ผู้ควบคุมอนุญาตให้ใช้ผู้ประมวลผลย่อยต่อไปนี้:*

  • ANCESTRY
  • BART DEVELTER V.O.F.
  • BRIGHAM YOUNG UNIVERSITY
  • CENTURY VITAL RECORDS (CVR)
  • CONTENT ARCHAEOLOGY
  • DATADISC.IT S.R.L.
  • DIE MOBILE SEKRETÄRIN E.U.
  • DIGITAL 4 KIT
  • DOUBLE DIGITAL
  • EMPRESA DE ARQUIVO DE DOCUMENTAÇÃO S.A.
  • FORMAX
  • GENEALAB
  • GENESIS
  • GREYSCALE LTD.
  • INFOSCRIBE SAS
  • INTELLIGENT IMAGE MANAGEMENT (IIMI)
  • IRON MOUNTAIN AUSTRALIA
  • IRON MOUNTAIN CESKA REPUBLIKA S.R.O.
  • LIFEWOOD
  • MATERN
  • MYHERITAGE
  • NORMADAT S.A.
  • OSG RECORDS MANAGEMENT
  • PEDRO CRUZ MARTINEZ
  • RASTERGEN – GESTÃO DOCUMENTAL UNIPESSOAL (LDA)
  • SBL
  • STASIS S.A.S.
  • SVI
  • TRACEABLE SOLUTIONS
  • TRUEBPO INC (ชื่อเดิม EQOD INC)

(1.1) สำหรับผู้เก็บรักษาข้อมูลที่ตั้งอยู่ในสวิตเซอร์แลนด์ ให้ใช้ข้อกำหนดเพิ่มเติมดังต่อไปนี้ร่วมกับข้อสัญญามาตรฐานของสหภาพยุโรป โมดูล 2: ผู้ควบคุมถึงผู้ประมวลผล (“EU SCC โมดูล 2”):

ภาคผนวกของสวิตเซอร์แลนด์ต่อข้อสัญญามาตรฐานของสหภาพยุโรป

ในกรณีที่การถ่ายโอนข้อมูลส่วนบุคคลจากผู้ส่งออกข้อมูลไปยังผู้นำเข้าข้อมูลอยู่ภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (EU GDPR) และกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสวิตเซอร์แลนด์ FADP (ตามที่ระบุไว้ด้านล่าง) ให้ใช้ข้อกำหนดเพิ่มเติมต่อไปนี้ด้วย เพื่อให้ข้อสัญญามาตรฐานดังกล่าวเหมาะสมต่อการคุ้มครองในระดับที่เพียงพอต่อการถ่ายโอนดังกล่าวตามมาตรา 6 วรรค 2 ของ FADP:

(a) “FADP” หมายถึงกฎหมายคุ้มครองข้อมูลส่วนบุคคล ลงวันที่ 19 มิถุนายน 1992 (SR 235.1)

(b) “FDPIC” หมายถึงคณะกรรมาธิการคุ้มครองข้อมูลและข้อมูลของรัฐบาลกลางสวิสเซอร์แลนด์

(c) “FADP ฉบับแก้ไข” หมายถึง FADP ฉบับแก้ไขเมื่อวันที่ 25 กันยายน 2020 ซึ่งมีกำหนดใช้บังคับในวันที่ 1 มกราคม 2023

(d) คำว่า “รัฐสมาชิกสหภาพยุโรป” จะต้องไม่ถูกตีความในลักษณะที่ยกเว้นเจ้าของข้อมูลในสวิตเซอร์แลนด์จากการใช้สิทธิฟ้องร้องตามที่อยู่พำนักของตน (สวิตเซอร์แลนด์) ตามข้อ 18(c) ของข้อสัญญามาตรฐาน

(e) ข้อสัญญามาตรฐานนี้ยังคงคุ้มครองข้อมูลของนิติบุคคล จนกว่า FADP ฉบับแก้ไขจะใช้บังคับ

(f) FDPIC จะทำหน้าที่เป็น “หน่วยงานกำกับดูแลที่มีอำนาจ” ตราบเท่าที่การถ่ายโอนข้อมูลที่เกี่ยวข้องอยู่ภายใต้กฎหมาย FADP

(1.2) สำหรับผู้เก็บรักษาข้อมูลที่ตั้งอยู่ในสหราชอาณาจักร (“สหราชอาณาจักร”) ให้ใช้ข้อกำหนดเพิ่มเติมดังต่อไปนี้ร่วมกับข้อสัญญามาตรฐานของสหภาพยุโรป โมดูล 2: ผู้ควบคุมถึงผู้ประมวลผล (“EU SCC โมดูล 2”):

ภาคผนวกว่าด้วยการถ่ายโอนข้อมูลระหว่างประเทศต่อข้อสัญญามาตรฐานของคณะกรรมาธิการสหภาพยุโรป

(“UK IDTA”)

ภาคผนวกว่าด้วยการถ่ายโอนข้อมูลระหว่างประเทศซึ่งอ้างอิงถึงข้อสัญญามาตรฐานของคณะกรรมาธิการยุโรป (ตามที่ระบุไว้ที่นี่) ได้ถูกรวมเข้ามาเป็นส่วนหนึ่งของข้อกำหนดโดยการอ้างอิง และให้ใช้ข้อกำหนดดังต่อไปนี้:

ส่วนที่ 1: ตาราง

ตารางที่ 1 จะใช้ข้อมูลเช่นเดียวกับใน EU SCC โมดูล 2 ภาคผนวก I

ตารางที่ 2 - ข้อกำหนดต่อไปนี้ใช้บังคับกับ EU SCC โมดูล 2 ตามที่คู่สัญญาข้างต้นได้ตกลงกันไว้:

  • ข้อ 7 (การเข้าร่วมภายหลัง หรือ Docking Clause) ให้ตัดออกทั้งหมด
  • ข้อ 9 (การใช้ผู้ประมวลผลย่อย หรือ Sub-processors) รวมตัวเลือกที่ 2: การอนุญาตเป็นลายลักษณ์อักษรทั่วไป
  • ข้อ 11 (การชดเชย) ไม่รวมตัวเลือกในข้อ (a)
  • ข้อ 13 (การกำกับดูแล) รวมข้อความที่ใช้บังคับกับผู้ส่งออกข้อมูลที่ตั้งอยู่ในรัฐสมาชิกสหภาพยุโรป
  • ข้อ 17 (กฎหมายที่ใช้บังคับ) รวมตัวเลือกที่ 1 และรวมกฎหมายของประเทศที่ผู้ส่งออกข้อมูลตั้งอยู่เป็นกฎหมายที่ใช้บังคับ
  • ข้อ 18 (การเลือกศาลและเขตอำนาจศาล) รวมศาลของประเทศที่ผู้ส่งออกข้อมูลตั้งอยู่เป็นศาลที่มีเขตอำนาจ

ตารางที่ 3 – จะใช้ข้อมูลจาก EU SCC โมดูล 2 ภาคผนวก I, II และ III

ตารางที่ 4 – คู่สัญญาทั้งสองฝ่าย (ผู้นำเข้าข้อมูลและผู้ส่งออกข้อมูล) อาจยุติ UK IDTA ได้

ส่วนที่ 2 – ข้อบังคับ

ให้ใช้ข้อบังคับทั้งหมด แต่ในทางกลับกัน ข้อบังคับทางเลือกส่วนที่ 2 (Alternative Part 2 Mandatory Clauses) จะไม่ใช้บังคับ

(2) สำหรับผู้เก็บรักษาข้อมูลในพื้นที่ต่อไปนี้ ให้ใช้ข้อสัญญามาตรฐานของสหภาพยุโรป โมดูล 2: ผู้ควบคุมถึงผู้ประมวลผล (“EU SCC โมดูล 2”) (ตามที่ระบุไว้ ที่นี่) เป็นข้อกำหนดที่ใช้บังคับ:

แอลเบเนีย อันดอร์รา อาร์เมเนีย อาเซอร์ไบจาน เบลารุส บอสเนียแอนด์เฮอร์เซโกวีนา จอร์เจีย เกิร์นซีย์ ไอล์ออฟแมน เจอร์ซีย์ เคนยา โมนาโก คาซัคสถาน โคโซโว มอนเตเนโกร มาซิโดเนียเหนือ ซานมารีโน เซอร์เบีย ซีเรีย ตุรกี ยูเครน เวียดนาม เยเมน

(3) สำหรับผู้เก็บรักษาข้อมูลในแองโกลา (“แองโกลา”) ให้ใช้ข้อกำหนดต่อไปนี้เพิ่มเติมจากข้อสัญญาของแองโกลาในกฎหมายคุ้มครองข้อมูลส่วนบุคคลของแองโกลา (กฎหมายฉบับที่ 22/11, 17 มิถุนายน 2011) (“Angola CC”) (ตามที่ระบุไว้ ที่นี่) เป็นข้อกำหนดที่ใช้บังคับ:

ข้อกำหนดต่อไปนี้ใช้บังคับกับ Angola CC ตามที่คู่สัญญาที่ระบุไว้ข้างต้นได้ตกลงกันไว้:

สถานที่สำหรับประมวลผล ถ่ายโอน และจัดเก็บข้อมูลส่วนบุคคลได้แก่ กานาและสหรัฐอเมริกา

ข้อมูลอื่นๆ ทั้งหมดที่ระบุไว้ข้างต้นสำหรับ EU SCC โมดูล 2 จะบังคับใช้กับ Angola CC

(4) สำหรับผู้เก็บรักษาข้อมูลในไนจีเรีย (“ไนจีเรีย”) ให้ใช้ข้อกำหนดต่อไปนี้เพิ่มเติมจากข้อสัญญาของไนจีเรียในกฎหมายคุ้มครองข้อมูลส่วนบุคคลของไนจีเรีย (NDPA) 2023 (“Nigeria CC”) (ตามที่ระบุไว้ ที่นี่) เป็นข้อกำหนดที่ใช้บังคับ:

ข้อกำหนดต่อไปนี้ใช้บังคับกับ Nigeria CC ตามที่คู่สัญญาที่ระบุไว้ข้างต้นได้ตกลงกันไว้:

สถานที่สำหรับประมวลผล ถ่ายโอน และจัดเก็บข้อมูลส่วนบุคคลได้แก่ กานาและสหรัฐอเมริกา

ข้อมูลอื่นๆ ทั้งหมดที่ระบุไว้ข้างต้นสำหรับ EU SCC โมดูล 2 จะบังคับใช้กับ Nigeria CC

(5) สำหรับผู้เก็บรักษาข้อมูลในพื้นที่ต่อไปนี้ ให้ใช้ข้อสัญญาต้นแบบของอาเซียน โมดูล 1: ผู้ควบคุมถึงผู้ประมวลผล (“MCC โมดูล 1”) (ตามที่ระบุไว้ ที่นี่) เป็นข้อกำหนดที่ใช้บังคับ:

บรูไนดารุสซาลาม กัมพูชา อินโดนีเซีย ลาว มาเลเซีย เมียนมาร์ ฟิลิปปินส์ สิงคโปร์ ไทย เวียดนาม

ข้อกำหนดต่อไปนี้ใช้บังคับกับ MCC โมดูล 1 ตามที่คู่สัญญาข้างต้นได้ตกลงกันไว้:

  • ข้อ 2 (หน้าที่ของผู้ส่งออกข้อมูล) ให้ตัดออกทั้งหมด
  • ข้อ 3 (หน้าที่ของผู้นำเข้าข้อมูล) ให้ตัดข้อย่อย 3.4, 3.6, 3.7 และข้อความเสริมในข้อ 3.7 ออกทั้งหมด ข้อย่อย 3.10 คือ “…ภายในระยะเวลาที่เหมาะสมซึ่งกำหนดโดยคู่ค้า”
  • ข้อ 4 (การเลือกใช้กฎหมายในการระงับข้อพิพาท) รวมรัฐสมาชิกอาเซียนของผู้ส่งออกข้อมูลในข้อ 4.1 ให้ตัดข้อย่อยเชิงปฏิบัติ 4.3 ออกทั้งหมด
  • ข้อ 6 (การยกเลิกสัญญา) ให้ระบุระยะเวลา “30 วัน” ในข้อย่อยย่อย 6.1.1
  • ข้อกำหนดเพิ่มเติมสำหรับการเยียวยาส่วนบุคคล (การเยียวยาส่วนบุคคล) ให้ตัดการเยียวยาส่วนบุคคลทั้งหมดออก
  • ภาคผนวก A: ดูภาคผนวก I จาก EU SCC โมดูล 2

(6) สำหรับผู้เก็บรักษาข้อมูลในพื้นที่ต่อไปนี้ ให้ใช้สัญญาการถ่ายโอนข้อมูลต้นแบบของเครือข่ายคุ้มครองข้อมูลส่วนบุคคลไอบีโร-อเมริกา (“IADPN MCC, ผู้ควบคุมถึงผู้ประมวลผล”) (ตามที่ระบุไว้ที่นี่) เป็นข้อกำหนดที่ใช้บังคับ:

เปรู อุรุกวัย อาร์เจนตินา อันดอร์รา

ข้อกำหนดต่อไปนี้ใช้บังคับกับ IADPN MCC, ผู้ควบคุมไปยังผู้ประมวลผล ตามที่คู่สัญญาข้างต้นได้ตกลงกันไว้:

  • ภาคผนวก I จาก EU SCC โมดูล 2 มีรวมไว้ด้วยกันโดยการอ้างอิงและจะใช้เป็นข้อมูลที่จำเป็นทั้งหมดใน IADPN MCC, ผู้ควบคุมถึงผู้ประมวลผล
  • ข้อ 9 (การชดเชย) ในข้อย่อย 9(a) ให้ตัดข้อความเสริมออกทั้งหมด
  • ภาคผนวก A ให้ใช้ข้อมูลที่เกี่ยวข้องจากภาคผนวก I ของ EU SCC โมดูล 2
  • ภาคผนวก B ให้ใช้ข้อมูลที่เกี่ยวข้องจากภาคผนวก I ของ EU SCC โมดูล 2
  • ภาคผนวก C ให้ใช้ข้อมูลที่เกี่ยวข้องจากภาคผนวก II ของ EU SCC โมดูล 2
  • ภาคผนวก D ให้ใช้ข้อมูลที่เกี่ยวข้องจากภาคผนวก III ของ EU SCC โมดูล 2
  • ภาคผนวก E ให้ใช้ประกาศความเป็นส่วนตัวตามที่ระบุไว้ที่นี่: https://www.familysearch.org/legal/privacy

(7) สำหรับผู้เก็บรักษาข้อมูลในประเทศจีน ให้ใช้ข้อกำหนดต่อไปนี้ (ตามที่ระบุไว้ ที่นี่):
a. สำหรับผู้ที่อยู่ในฮ่องกง ให้ใช้ข้อกำหนดต่อไปนี้ (ตามที่ระบุไว้ ที่นี่):

(8) สำหรับผู้เก็บรักษาข้อมูลในประเทศบราซิล ให้ใช้ข้อกำหนดต่อไปนี้: (ตามที่ระบุไว้ ที่นี่): (มีไฟล์ PDF ที่นี่)

(9) สำหรับผู้เก็บรักษาข้อมูลในประเทศนิวซีแลนด์ ให้ใช้ข้อกำหนดต่อไปนี้ (ตามที่ระบุไว้ ที่นี่):

(10) สำหรับผู้เก็บรักษาข้อมูลในประเทศรวันดา ให้ใช้ข้อกำหนดต่อไปนี้ (ตามที่ระบุไว้ ที่นี่):

(11) สำหรับผู้เก็บรักษาข้อมูลในประเทศกาต้าร์ ให้ใช้ข้อกำหนดต่อไปนี้ (ตามที่ระบุไว้ ที่นี่):

(12) สำหรับผู้เก็บรักษาข้อมูลในประเทศซาอุดิอาระเบีย ให้ใช้ข้อกำหนดต่อไปนี้ (ตามที่ระบุไว้ ที่นี่):