TIETOJEN KÄSITTELYÄ JA SIIRTOA KOSKEVIEN EHTOJEN LIITE
Osapuolet tunnustavat ja hyväksyvät, että FamilySearch Internationalin (tai sen tytäryhtiön) ja tietojen säilyttäjien välillä siirrettyihin henkilötietoihin sovelletaan i) molempien osapuolten allekirjoittamia ehtoja, joihin nämä tietojen käsittelyä ja siirtoa koskevat ehdot sisältyvät viittauksen kautta ("sopimus"), ja ii) kaikkia sovellettavia tietosuoja- ja tietosuojalakeja.
Osapuolet ymmärtävät ja hyväksyvät, että i) tietojen haltija on siirrettyjen henkilötietojen rekisterinpitäjä ja viejä ja ii) FamilySearch International (tai sen tytäryhtiö) on tietojen käsittelijä ja tuoja.
Osapuolet ymmärtävät ja hyväksyvät, että jäljempänä lueteltu sovellettava tietojen käsittelyä ja siirtoa koskeva liite määräytyy tietojen haltijan fyysisen sijainnin mukaan, ellei tietojen haltija määritä kirjallisesti toista sijaintia sopimuksen tekemisen yhteydessä.
(1) Seuraavissa sijainneissa sijaitseviin tietojen haltijoihin sovelletaan EU:n vakiolausekkeita, Module 2: Controller to Processor ("EU:n vakiolausekkeet, moduuli 2") (jotka ovat täällä):
Afganistan, Algeria, Alankomaat, Australia, Bahrain, Barbados, Belgia, Belize, Botswana, Brittiläiset Neitsytsaaret, Bulgaria, Burkina Faso, Caymansaaret, Kongo, REP, Cookinsaaret, Espanja, Etelä-Afrikka, Etelä-Korea, Etelä-Suomen alueet, Etiopia, Fidži, Filippiinit, Guinea, Guinea-Bissau, Haiti, Honduras, Intia, Indonesia, Iran, Irak, Irlanti, Italia, Israel, Jamaika, Japani, Jemen, Jordania, Juan de Nova, Kamerun, Kanada, Kiribati, Kongo, Korsika, Kuwait, Lesotho, Libanon, Libya, Liechtenstein, Liettua, Luxemburg, Malta, Marshallinsaaret, Melanesia, Meksiko, Mikronesia, Mongolia, Marokko, Nauru, Nepal, Norja, Oman, Palau, Panama, Papua-Uusi-Guinea, Pakistan, Palestiina, Pitcairnsaaret, Puola, Portugali, Romania, Ruanda, Saint Kitts ja Nevis, Salomonsaaret, Samoa, Senegal, Seychellit, Slovakia, Slovenia, Somalia, Sri Lanka, Sudan, Suomi, Sveitsi*, Swazimaa, Tansania, Thaimaa, Togo, Tokelau, Tonga, Tunisia, Turkki, Tuvalu, Uganda, Yhdistyneet arabiemiirikunnat, Yhdistynyt kuningaskunta**, Vanuatu, Wallis ja Futuna, Zambia, Zimbabwe
* Vaikka ETA:n tietojen käsittelyä ja siirtoa koskevaa lisäystä sovelletaan Sveitsiin, Sveitsi vaatii myös ylimääräistä tekstiä, joka sisällytetään täten lisäykseen ja joka on alla.
** Vaikka ETA:n tietojen käsittelyä ja siirtoa koskevaa lisäystä sovelletaan Yhdistyneeseen kuningaskuntaan, Yhdistynyt kuningaskunta vaatii myös ylimääräistä tekstiä, joka sisällytetään täten lisäykseen ja joka on alla.
Seuraavaa sovelletaan EU:n mallisopimuslausekkeisiin, moduuliin 2, kuten edellä mainitut osapuolet ovat sopineet:
- Lauseke 7 (Docking clause) on poistettu.
- Lausekkeeseen 9 (Use of sub-processors) sisältyy OPTION 2: GENERAL WRITTEN AUTHORISATION.
- Lausekkeeseen 11 (Redress) ei sisälly OPTION kohdassa (a).
- Lausekkeeseen 13 (Supervision) sisältyy EU:n jäsenvaltioon sijoittautuneisiin tietojen viejiin sovellettavaa tekstiä.
- Lausekkeeseen 17 (Governing Law) sisältyy OPTION 1 ja tietojen viejän maan laki.
- Lausekkeeseen 18 (Choice of forum and jurisdiction) sisältyy tietojen viejän maan tuomioistuimia.
- LIITE I: katso alla.
- LIITE II: katso alla.
- LIITE III: katso alla.
LIITE I:
A. Luettelo osapuolista
Tietojen viejä
- Nimi: sopimuksessa mainittu tietojen haltija
- Osoite: sopimuksessa mainittu tietojen haltijan osoite
- Yhteystiedot: katso sopimuksessa mainitut tietojen haltijan yhteystiedot ilmoituksia varten
- Lausekkeiden mukaisesti siirrettyihin tietoihin liittyvät toiminnot: asiaankuuluvat toiminnot on kuvattu jäljempänä olevassa osiossa B ("Siirron kuvaus")
- Tehtävä: rekisterinpitäjä
Tietojen tuoja
- Nimi: FamilySearch International
- Osoite: 36 S State St., Ste 1900, Salt Lake City, UT 84111
- Yhteystiedot: Manager, Data Privacy Office – 50 East North Temple Street, Salt Lake City, Utah 84150
- Puhelin: (801) 240-1187
- Sähköposti: Dataprivacyofficer@churchofjesuschrist.org
- Lausekkeiden mukaisesti siirrettyihin tietoihin liittyvät toiminnot: asiaankuuluvat toiminnot on kuvattu jäljempänä olevassa osiossa B ("Siirron kuvaus")
- Tehtävä: käsittelijä
B. Siirron kuvaus
Rekisteröityjen ryhmät, joiden henkilötietoja siirretään
Historiallisista ja sukututkimusrekistereistä löydetyt rekisteröidyt, joiden henkilötietoja säilytetään tutkimuksellisia, historiallisia ja tilastollisia tarkoituksia varten.
Siirrettävien henkilötietojen ryhmät
Sukututkimustiedot – tiedot, jotka on kerätty ihmisten henkilökohtaisen ja perheen historian säilyttämiseksi:
- Nimet (rekisteröidyn nimi, isän ja äidin nimet, lasten nimet, sisarusten nimet, puolisoiden nimet jne.)
- Perhesuhteet (yksilöiden, sisarusten, vanhempien, lasten, isovanhempien, tätien, setien/enojen nimet)
- Elämäkertatiedot (nimi, syntymäaika, kuolinpäivä, tarinat ja tiedot henkilön elämästä, ammatista, koulutuksesta, elämäntapahtumien sijainnista, henkilökohtaisista uskonnollisista tapahtumista – kaste, konfirmaatio jne.)
- Syntymäaika, syntymäpaikka ja niihin liittyvät tiedot (lapsen sukupuoli, vanhempien nimet, vanhempien osoite syntymähetkellä tai adoptiovanhempien osoite kyseessä olevasta syntymärekisteristä riippuen, syntymäaika ja syntymäpaikka)
- Ikä
- Sukupuoli
- Avioliiton päivämäärä, paikka ja niihin liittyvät tiedot (henkilön nimi, vanhemmat jne.)
- Kuolinpäivä, kuolinpaikka ja niihin liittyvät tiedot (henkilön nimi, kuolintapa)
- Kansalaisuus
- Henkilökohtaiset ominaisuudet, mukaan lukien valokuva
- Muut hankituissa sukututkimus- ja historiallisissa tietueissa olevat tiedot, mukaan lukien väestönlaskennat (yksittäiset nimet, lapset, ammatti, asuinpaikka), sukututkimukset (elämäkertatiedot, nimet, sukulaisuussuhteet), seurakuntarekisterit (seurakunnan jäsenten nimet, asuinpaikka, syntymäajat, sukulaisuussuhteet), kirkolliset asiakirjat (syntymä-, avioliitto- ja kuolintodistukset, kasteet, konfirmaatiot), väestörekisterit (syntymä-, avioliitto- ja kuolintodistukset), sanomalehtien muistokirjoitukset (syntymä-, kiinteistörekisterit, valtion arkistokokoelmat) ja kansalaisuuden myöntämistä koskevat asiakirjat (kansalaisuusasiakirjat, maahanmuuttoasiakirjat, kansalaisuuden myöntämistä koskevat asiakirjat, mukaan lukien nimet, syntymäajat, alkuperämaa, asuinmaa ja osoite, perheenjäsenten nimet, ammatti, jotkut maakohtaiset tiedot maasta ja keräyspäivästä riippuen).
Arkaluonteiset tiedot – tiedot, jotka sisältyvät satunnaisesti historiallisiin ja sukututkimusrekistereihin ja jotka voidaan määritellä arkaluonteisiksi tietosuojalakien mukaisesti:
- Henkilöllisyys- ja väestötiedot (etninen alkuperä, kansallinen alkuperä, heimoperäinen alkuperä, sosiaalinen asema, erityinen henkilöllisyys (yksilölliset tunnisteet, esim. passit, henkilötunnus, ajokortti, valtion myöntämä henkilötodistus), siviilisääty, ikä, ihonväri, kansalaisuus tai maahanmuuttajan asema, rikoksen uhriksi joutuminen tai rikoksesta aiheutunut vahinko)
- Uskonnot ja yhdistykset (uskonnolliset uskomukset tai vakaumukset, filosofiset vakaumukset, moraaliset vakaumukset, ideologiset vakaumukset, poliittiset mielipiteet, poliittinen vakaumus, poliittiset ideologiat tai poliittinen yhteys, ammattiliiton jäsenyys, ammattikunnan jäsenyys, ammattiliiton jäsenyys, jäsenyys ammattiyhdistyksissä tai yhteiskunnallisissa yhdistyksissä tai ihmisoikeusjärjestöissä)
- Terveydelliset ja geneettiset/biometriset tiedot (nykyinen tai tuleva fyysinen tai psyykkinen terveydentila, status tai diagnoosi, sairaushistoria, potilastiedot, sairaanhoito, terveydenhuollon tarjoaminen, psykologinen tai fysiologinen tila, geneettiset tiedot (perinnölliset tai hankitut ominaisuudet, ihmisen biologinen profiili), biometriset tiedot (käytetään yksilölliseen tunnistamiseen, automaattiseen todentamiseen tai muiden arkaluonteisten ominaisuuksien paljastamiseen), hermotiedot (aivoihin tai hermoihin liittyvät tiedot, kognitiiviset/emotionaaliset tiedot))
- Rikolliset ja oikeudelliset tiedot (rikosrekisteri tai -historia, rikollinen käyttäytyminen tai rikolliset teot, rikoksen tekeminen tai väitetty tekeminen, rikosasioihin liittyvät menettelyt, tulokset, tuomiot tai rangaistukset)
- Sijainti- ja viestintätiedot (sijaintitiedot (tarkka tai tietty sijainti, mukaan lukien GPS-koordinaatit), viestintätiedot, mukaan lukien puheluiden, tekstiviestien, sähköpostien tai postin sisältö ja metatiedot, postin, sähköpostin tai tekstiviestien sisältö (ellei se ole osoitettu vastaanottajalle)).
- Nuorten tiedot (kaikki alaikäiseen liittyvät henkilötiedot)
- Muut erityisryhmät
- Henkilökohtaiset tavat, elämäntapa ja intiimiin/yksityiseen elämään liittyvät olosuhteet
- Moraaliset tai eettiset ominaisuudet
- Perheasioita tai tunne- tai perhe-elämää koskevat tiedot
- Koulutusasiakirjat
- Suojattuihin ominaisuuksiin liittyvät työllisyyteen liittyvät tiedot
- Kuluttajien terveystiedot (laajemmat kuin potilaskertomukset, mukaan lukien hyvinvointi/kuntoilu, raskaus jne.)
- Ideologiaan tai uskomuksiin liittyvät tiedot, joita ei ole muulla tavoin tallennettu
- Kaikki tiedot, jotka voivat väärinkäytettynä uhata merkittävästi yksityisyyttä, ihmisarvoa, turvallisuutta tai omaisuutta
- Tiedot, joihin liittyy kohonnut syrjinnän tai haitan riski asiayhteydestä riippuen (esim. TV-katselutiedot, jotka FTC on luokitellut arkaluonteisiksi)
- Siviilisääty (nimet, päivämäärät jne.)
- Valtion myöntämä tunnistenumero tai vastaavat tiedot (SSN-numerot jne.)
- Passin numero
- Uskonnollinen vakaumus (kirkon asiakirjoissa olevat tiedot, mukaan lukien jäsenyysnumerot, nimet, syntymäajat, kastepäivät, avioliittopäivät, kuolinpäivät ja tiettyyn uskontoon liittyvät tiedot)
- Alaikäisiä koskevat tiedot (nimet, syntymäajat, vanhemmat, sisarukset, holhousta koskevat asiakirjat, adoptiota koskevat tiedot, oikeudelliset asiakirjat, koulutusta koskevat asiakirjat)
- Terveyteen liittyvät tiedot (sairaudet, sairaalahoidot, kuolinsyyt)
- Rikoshistoria (nimet, vangitsemispäivät, henkilöä koskevat päätökset)
- Ammattiliiton jäsenyys (jäsenten nimet, jäsenyyspäivämäärä, jäsenmaksutiedot jne.)
- Rotu tai etninen alkuperä (alkuperäalue tai -maa)
- Uskonto (nimi ja uskonnollinen vakaumus)
- Poliittinen vakaumus (nimi ja puolue, lahjoitustiedot)
Siirron tiheys (esim. kertaluonteinen tai jatkuva)
Tapauskohtainen
Käsittelyn luonne
Siirretyille henkilötiedoille voidaan suorittaa erilaisia käsittelytoimia, jos se on lain sallimaa, mukaan lukien digitalisointi, indeksointi, isännöinti, tallentaminen, lähettäminen, redaktointi ja näyttäminen. Näitä toimintoja tukevat pilvipohjaiset datakeskukset, mukaan lukien Yhdysvalloissa sijaitsevat datakeskukset, tietosuojalakien sallimissa rajoissa. Tietoja voidaan esimerkiksi käsitellä seuraavien toimintojen tukemiseksi:
- Historiallisten tietueiden säilyttäminen: historiallisten asiakirjojen, valokuvien ja esineiden digitalisointi, säilyttäminen, indeksointi, tallentaminen ja/tai arkistointi tuleville sukupolville tietojen viejän ohjeiden mukaisesti.
- Sukututkimus: kun tietosuojalait ja tietojen viejä sallivat sen (esim. kun tietoja ei enää rajoiteta), tiedot voidaan lisätä sovelluksiin, joita tutkijat ja verkkosivuston käyttäjät käyttävät sukulaisuussuhteiden tai sukututkimusasiakirjojen jäljittämisen tai muiden sukututkimuksen, ohjelmien ja toimintojen tukemiseen.
- Sukututkimus: esivanhempien ja sukupuun tietojen kerääminen ja säilyttäminen.
- Sukututkimusohjeet: koulutuksen ja resurssien tarjoaminen, jotta miljoonat ihmiset ympäri maailmaa voivat löytää juurensa ja olla yhteydessä perheenjäseniinsä.
Tiedonsiirron ja jatkokäsittelyn tarkoitus/tarkoitukset
Tietojen siirto tietojen tuojalle (tietojen tuojan maailmanlaajuisessa pääkonttorissa) ja tietojen tuojan suorittama jatkokäsittely tukee historiallisten perheasiakirjojen säilyttämistä ja tallentamista julkisten arkistojen, valtion elinten, alkuperäiskansojen, yksityisten arkistojen, muiden yksityisten elinten ja yksityishenkilöiden eduksi. Jos tietosuojalait ja tietojen viejä sallivat sen (esim. kun tietoja ei enää rajoiteta), nämä asiakirjat voidaan myös asettaa julkisesti saataville tietojen tuojan verkkosivustolla ilmaiseksi tutkimustarkoituksiin.
Ajanjakso, jonka ajan henkilötietoja säilytetään, tai jos se ei ole mahdollista, kyseisen ajanjakson määrittämiseen käytettävät kriteerit
Historiallisiin säilytystarkoituksiin kerättyjä henkilötietoja säilytetään tietojen viejän ohjeiden mukaisesti niin kauan kuin pyydetään. Monissa tapauksissa tietueita voidaan säilyttää arkistointitarkoituksiin ja sukututkimuksen dokumentointiin toistaiseksi niin kauan kuin niillä on historiallista arvoa, ellei rekisteröity pyydä tietojen poistamista.
Jos siirtoja tehdään (ali)käsittelijöille, määritä myös käsittelyn kohde, luonne ja kesto
Tietojen tuoja käsittelee henkilötietoja historiallisten tietueiden säilyttämiseksi ja sukututkimustarkoituksiin tietojen viejän ohjeiden mukaisesti. Tietojen tuoja voi käyttää käsittelijää tai alikäsittelijää käsittely- tai alikäsittelysopimuksen mukaisesti avustamaan tietojen käsittelyssä näihin samoihin tarkoituksiin ja suorittamaan toimintoja tietojen viejän ja/tai tietojen tuojan puolesta (esimerkiksi historiallisten tietueiden digitalisointi ja indeksointi). Käsittely- tai alikäsittelysopimus tarjoaa lisätietoja käsittelyn kohteesta, luonteesta ja kestosta.
C. Toimivaltainen viranomainen
Tunnista toimivaltainen viranomainen / toimivaltaiset viranomaiset lausekkeen 13 mukaisesti
Liitteessä I.A määritellyn tietojen viejän maan valvontaviranomainen.
LIITE II:
FAMILY SEARCH INTERNATIONALIN (TUOJA) TEKNISET JA ORGANISATORISET TOIMENPITEET
Tässä asiakirjassa kuvataan Family Search Internationalin (tuoja) ("FSI") käyttämät tekniset ja organisatoriset tietoturvatoimenpiteet.
Tekniset ja organisatoriset turvatoimet. FSI ylläpitää kattavaa tietoturvaohjelmaa ja toteuttaa kohtuullisia teknisiä ja organisatorisia turvatoimia, jotka perustuvat alan standardeihin, organisaation tarpeisiin ja riskeihin, minimoidakseen ja suojautuakseen luvattomalta tai laittomalta käsittelyltä, vahingossa tapahtuvalta tai tahalliselta menetykseltä, luvattomalta käytöltä, tuhoamiselta tai vahingoittamiselta. Nämä toimenpiteet auttavat varmistamaan FSI:n ja FSI:n järjestelmien ja tietojen luottamuksellisuuden, eheyden, saatavuuden ja kestävyyden. Järjestelmissä, joita FSI ei suoraan hallinnoi, FSI:n kumppanit toteuttavat FSI:n kanssa vastaavat turvallisuustarkastukset. FSI:n tietoturvaohjelma sisältää seuraavat elementit:
1. Käytännöt ja prosessit. FSI ylläpitää muodollisia kirjallisia käytäntöjä ja prosesseja varmistaakseen tietojen luottamuksellisuuden, eheyden ja saatavuuden ja suojatakseen niitä vahingossa tapahtuvalta, luvattomalta tai sopimattomalta paljastamiselta, käytöltä, muuttamiselta tai tuhoamiselta. Nämä käytännöt tarkistetaan ja päivitetään vuosittain tai tarvittaessa useammin. Käytäntöjen ja menettelyjen tarkoituksena on varmistaa, että fyysiset, tekniset ja hallinnolliset suojatoimet ovat käytössä ja toimivat tehokkaasti.
2. Pääsynvalvonta.
Fyysinen pääsy – FSI toteuttaa kohtuullisia toimenpiteitä estääkseen luvattomien henkilöiden pääsyn tietojenkäsittelylaitteisiin (tietokantapalvelimet, sovelluspalvelimet, verkkokytkimet, palomuurit, ohjaimet ja niihin liittyvät laitteistot), joissa henkilötietoja käsitellään tai käytetään.
Looginen pääsy – FSI toteuttaa kohtuulliset turvatoimet estääkseen luvattoman pääsyn tietojenkäsittelyjärjestelmiinsä. FSI ylläpitää ja tarkistaa FSI-käyttäjät, joilla on pääsy tietojenkäsittelyjärjestelmiin. FSI myöntää käyttöoikeuden rajoitetulle määrälle ihmisiä liiketoiminnan hyväksymän tarpeen perusteella.
3. Turvallisuuskoulutus ja tietoisuus. FSI ylläpitää virallista turvallisuustietoisuus- ja koulutusohjelmaa FSI:n työvoiman jäsenille ja FSI:n työvoiman käyttäjille. Ohjelma sisältää vaaditut oppimismoduulit, jotka varmistavat käyttäjien tietoisuuden keskeisistä tietoturvakäsitteistä ja -käytännöistä vuosittain tai niin usein kuin on käytännöllistä. Vuosittaiset koulutuksen aiheet sisältävät arkaluonteisten tietojen asianmukaisen luokittelun ja käsittelyn. Virallisen koulutuksen lisäksi toistuvat ilmoittamattomat tietojenkalastelun simulointiharjoitukset vahvistavat koulutusta siitä, miten haitalliset sähköpostiviestit tunnistetaan, niistä ilmoitetaan ja niitä vältetään.
4. Tietosuoja. FSI toteuttaa kohtuullisia toimenpiteitä estääkseen luvattomien osapuolten suorittaman henkilötietojen epäasianmukaisen käytön, lukemisen, kopioinnin, muuttamisen tai poistamisen sekä siirron aikana että tallennettuna. Tietosuojan valvonta toteutetaan monitasoisella lähestymistavalla.
5. Valvonta. FSI toteuttaa kohtuullisia toimenpiteitä valvoakseen pääsyä arkaluonteisiin järjestelmiin ja verkkoresursseihin ja varmistaakseen, että käyttäjät toimivat käytännön mukaisesti. Lokeja säilytetään liiketoiminnan tarpeiden ja sääntelyvaatimusten perusteella, ja ne tallennetaan keskusarkistoon tai alustakohtaiseen arkistoon, josta ne voidaan siirtää tarvittaessa keskusarkistoon. Lokit tallennetaan ja suojataan tavalla, joka auttaa varmistamaan tarkkuuden ja muuttumattomuuden. FSI ylläpitää automaattisia hälytyksiä mahdollisen haitallisen toiminnan tunnistamiseksi. FSI kirjaa tietoja, jotka tarkistetaan säännöllisesti mahdollisten hyökkäysten tunnistamiseksi ja FSI:n häiriöiden hallintatoimien tukemiseksi.
6. Päätepisteen havaitseminen ja reagointi. FSI toteuttaa kohtuullisia tarkastuksia käyttäjän ja palvelimen päätepisteissä, mukaan lukien FSI:n päätepisteissä, jotka tarjoavat suojan haittaohjelmien leviämistä vastaan, keskitetyn hälytyksen, isäntäprosessin ja tiedostokyselyn sekä järjestelmän eristämisen.
7. Turvallisuushäiriöiden hallintamenettelyt. FSI ylläpitää kirjallisia turvallisuushäiriökäytäntöjä ja -menettelyjä turvallisuuspoikkeamien havaitsemiseksi, niihin reagoimiseksi ja niiden käsittelemiseksi muulla tavalla. FSI:llä on ympäri vuorokauden toiminnassa oleva turvallisuustoimintakeskus (Security Operations Center, SOC), joka luokittelee merkittävät tapahtumat, valvoo järjestelmiä todellisten ja yritettyjen hyökkäysten tai tunkeutumisten varalta, lieventää turvallisuuspoikkeamien haitallisia vaikutuksia ja dokumentoi turvallisuuspoikkeamia ja niiden seurauksia. Sopimuksia ylläpidetään kolmansien osapuolten häiriöiden hallintapalveluiden tarjoajien kanssa, jotta kolmansien osapuolten nopea osallistuminen olisi mahdollista suurten häiriöiden sattuessa tai jos häiriö vaatii erikoistunutta rikosteknistä analyysiä. FSI:llä on myös kokopäiväinen FSI-keskeinen turvallisuustiimi erityistä tukea ja luokittelua varten. SOC toimii tiiviissä yhteistyössä FSI:n tietosuojatoimiston (Data Privacy Office, DPO) ja lakiosaston (Office of General Counsel, OGC) sekä ulkoisten turvallisuusasiantuntijoiden kanssa varmistaakseen, että tapahtumat käsitellään sovellettavien lakien ja määräysten mukaisesti.
8. Turvallisuus- ja riskinarvioinnit. FSI ylläpitää kohtuullisia käytäntöjä ja menettelyjä, joilla autetaan arvioimaan turvallisuustarkastusten tehokkuutta, tunnistamaan turvallisuustarkastusten epäonnistumiset ja tunnistamaan, arvioimaan ja analysoimaan turvallisuustarkastusten puutteita riskiperusteisella lähestymistavalla.
9. Järjestelmän kokoonpano ja ylläpito. FSI ylläpitää kohtuullisia käytäntöjä ja menettelyjä varmistaakseen, että tietojenkäsittelylaitteet (palvelimet, tietokannat, kannettavat tietokoneet, palomuurit, kytkimet, reitittimet, ohjaimet jne.) on määritetty asianmukaisesti henkilötietojen riittävän suojan varmistamiseksi. FSI ylläpitää haavoittuvuuksien hallintaohjelmaa, jonka avulla tunnistetaan FSI-ympäristön haavoittuvuudet ja viestitään niistä asianmukaisille tahoille, jotta ne voidaan korjata ajoissa.
10. Järjestelmän ja tietojen joustavuus. FSI toteuttaa kohtuullisia toimenpiteitä varmistaakseen, että henkilötiedot on suojattu asianmukaisesti vahingossa tapahtuvalta tai haitalliselta käytöltä, muuttamiselta tai tuhoamiselta ja että vahingossa tai haitallisesti käytetyt sekä muutetut tai tuhotut tiedot ovat tunnistettavissa ja palautettavissa. FSI toteuttaa tietojen ja järjestelmän varmuuskopiointimenettelyjä, jotka sisältävät online-, nearline- ja offline-kopiot tietojen kriittisyyden ja liiketoiminnan tarpeiden perusteella. FSI käyttää erittäin redundantteja tietojärjestelmiä varmistaakseen sovellusten ja järjestelmien korkean saatavuuden ja suorituskyvyn.
11. Vaatimustenmukaisuus. FSI ylläpitää FSI:n tietosuojatoimistoa, joka hallinnoi tietosuojalakien ja -määräysten noudattamista. FSI ylläpitää myös sisäistä IT-vaatimustenmukaisuusohjelmaa FSI:lle, joka keskittyy turvallisuustarkastusten, prosessien ja menettelyjen testaamiseen ja validointiin sisäisten arviointien avulla.
12. Vastuu. FSI:llä on nimetty turvallisuusvirkailija, joka vastaa FSI:n tietoturvaohjelmien kehittämisestä, toteuttamisesta ja ylläpidosta. Lisäksi FSI:n tietoturvaohjelman käytännössä eritellään roolit, vastuut, ja se on julkaistu kaikkien työntekijöiden saatavilla olevassa arkistossa.
13. Asiakirjojen asianmukainen käyttö ja säilyttäminen. FSI toteuttaa käytäntöjä ja prosesseja, jotka koskevat luottamuksellisten tietojen, mukaan lukien henkilötietojen, käyttöä ja säilyttämistä. Käytössä on prosesseja, joilla varmistetaan, että tiedot ovat tietojen omistajien tietojen jakamista koskevien vaatimusten mukaisia ja että niihin sisältyy tekoälyteknologioiden hyväksyttävän käytön valvonta.
14. Päivitykset. FSI seuraa, arvioi ja mukauttaa tietoturvaohjelmaa vuosittain tai tarpeen mukaan ottaen huomioon asiaankuuluvat teknologian muutokset, alan turvallisuusstandardit, henkilötietojen arkaluonteisuuden ja mahdolliset henkilötietoihin kohdistuvat sisäiset tai ulkoiset uhat.
LIITE III:
LUETTELO ALIKÄSITTELIJÖISTÄ
Rekisterinpitäjä on valtuuttanut seuraavien alikäsittelijöiden käytön:*
- ANCESTRY
- BART DEVELTER V.O.F.
- BRIGHAM YOUNG UNIVERSITY
- CENTURY VITAL RECORDS (CVR)
- CONTENT ARCHAEOLOGY
- DATADISC.IT S.R.L.
- DIE MOBILE SEKRETÄRIN E.U.
- DIGITAL 4 KIT
- DOUBLE DIGITAL
- EMPRESA DE ARQUIVO DE DOCUMENTAÇÃO S.A.
- FORMAX
- GENEALAB
- GENESIS
- GREYSCALE LTD.
- INFOSCRIBE SAS
- INTELLIGENT IMAGE MANAGEMENT (IIMI)
- IRON MOUNTAIN AUSTRALIA
- IRON MOUNTAIN CESKA REPUBLIKA S.R.O.
- LIFEWOOD
- MATERN
- MYHERITAGE
- NORMADAT S.A.
- OSG RECORDS MANAGEMENT
- PEDRO CRUZ MARTINEZ
- RASTERGEN – GESTÃO DOCUMENTAL UNIPESSOAL (LDA)
- SBL
- STASIS S.A.S.
- SVI
- TRACEABLE SOLUTIONS
- TRUEBPO INC (FORMERLY EQOD INC)
(1.1) Sveitsissä sijaitseviin tietojen haltijoihin sovelletaan seuraavia EU:n vakiolausekkeiden lisäksi, Module 2: Controller to Processor ("EU:n vakiolausekkeet, moduuli 2"):
Sveitsin lisäys EU:n vakiolausekkeisiin
Jos henkilötietojen siirtoon tietojen viejältä tietojen tuojalle sovelletaan EU:n yleistä tietosuoja-asetusta ja Sveitsin liittovaltion tietosuojalakia (kuten jäljempänä määritellään), sovelletaan myös seuraavia lisäsäännöksiä, jotta vakiolausekkeet soveltuvat riittävän tietosuojan tason varmistamiseen tällaiselle siirrolle Sveitsin liittovaltion tietosuojalain 6 artiklan 2 kohdan mukaisesti:
a) "FADP" tarkoittaa 19. kesäkuuta 1992 annettua liittovaltion tietosuojalakia (SR 235.1).
b) "FDPIC" tarkoittaa Sveitsin liittovaltion tietosuojavaltuutettua.
c) "Tarkistettu FADP" tarkoittaa Sveitsin liittovaltion tietosuojalain tarkistettua versiota, joka on päivätty 25. syyskuuta 2020 ja jonka on määrä tulla voimaan 1. tammikuuta 2023.
d) Ilmaisua "EU:n jäsenvaltio" ei saa tulkita siten, että se sulkee pois Sveitsissä olevat rekisteröidyt mahdollisuudesta nostaa kanne oikeuksiensa puolesta vakinaisen asuinpaikkansa (Sveitsi) mukaisesti vakiolausekkeiden 18 kohdan c alakohdan mukaisesti.
e) Vakiolausekkeet suojaavat myös oikeushenkilöiden tietoja, kunnes tarkistettu Sveitsin liittovaltion tietosuojalaki tulee voimaan.
f) FDPIC toimii "toimivaltaisena valvontaviranomaisena" siltä osin kuin asiaankuuluvaan tiedonsiirtoon sovelletaan FADP:tä.
(1.2) Yhdistyneessä kuningaskunnassa ("Yhdistynyt kuningaskunta") sijaitseviin tietojen haltijoihin sovelletaan seuraavia EU:n vakiolausekkeiden lisäksi, Module 2: Controller to Processor ("EU:n vakiolausekkeet, moduuli 2"):
Kansainvälinen tietojen siirtoa koskeva lisäys EU:n komission vakiolausekkeisiin
("Yhdistyneen kuningaskunnan IDTA")
EU:n komission vakiolausekkeiden kansainvälinen tiedonsiirtoon liittyvä lisäys (joka on täällä) sisällytetään tähän viittauksen kautta, ja seuraavaa sovelletaan:
Osa 1: Taulukot
Taulukko 1 täytetään täsmälleen kuten EU:n vakiolausekkeissa, moduulissa 2, liitteessä I.
Taulukko 2 – seuraavaa sovelletaan EU:n vakiolausekkeisiin, moduuliin 2, kuten edellä mainitut osapuolet ovat sopineet:
- Lauseke 7 (Docking clause) on poistettu.
- Lausekkeeseen 9 (Use of sub-processors) sisältyy OPTION 2: GENERAL WRITTEN AUTHORISATION.
- Lausekkeeseen 11 (Redress) ei sisälly OPTION kohdassa (a).
- Lausekkeeseen 13 (Supervision) sisältyy EU:n jäsenvaltioon sijoittautuneisiin tietojen viejiin sovellettavaa tekstiä.
- Lausekkeeseen 17 (Governing Law) sisältyy OPTION 1 ja tietojen viejän maan laki.
- Lausekkeeseen 18 (Choice of forum and jurisdiction) sisältyy tietojen viejän maan tuomioistuimia.
Taulukko 3 – täytetään EU:n vakiolausekkeiden, moduulin 2, liitteillä I, II ja III.
Taulukko 4 – Kumpikin osapuoli (tuoja ja viejä) voi päättää Yhdistyneen kuningaskunnan IDTA:n.
Osa 2 – Pakolliset lausekkeet
Kaikkia pakollisia lausekkeita sovelletaan; päinvastaisessa tilanteessa vaihtoehtoisen osan 2 pakollisia lausekkeita ei sovelleta.
(2) Seuraavissa sijainneissa sijaitseviin tietojen haltijoihin sovelletaan EU:n vakiolausekkeita, Module 2: Controller to Processor ("EU:n vakiolausekkeet, moduuli 2") (jotka ovat täällä):
Albania, Andorra, Armenia, Azerbaidžan, Bosnia ja Hertsegovina, Georgia, Guernsey, Jersey, Kenia, Monaco, Kazakstan, Kosovo, Montenegro, Pohjois-Makedonia, San Marino, Serbia, Syyria, Turkki, Ukraina, Vietnam ja Jemen.
(3) Angolassa ("Angola") sijaitseviin tietojen haltijoihin sovelletaan Angolan tietosuojalain Angolan sopimuslausekkeiden (laki nro 22/11, 17. kesäkuuta 2011) ("Angolan sopimuslausekkeet") (jotka sijaitsevat täällä) lisäksi seuraavia:
Seuraavaa sovelletaan Angolan sopimuslausekkeisiin, kuten edellä mainitut osapuolet ovat sopineet:
Henkilötietojen käsittely-, siirto- ja säilytyspaikkoihin kuuluvat Ghana ja Yhdysvallat.
Kaikki muut edellä annetut tiedot EU:n vakiolausekkeiden moduulista 2 koskevat Angolan vakiolausekkeita.
(4) Nigeriassa ("Nigeria") sijaitseviin tietojen haltijoihin sovelletaan seuraavia Nigerian tietosuojalain (NDPA) 2023 Nigerian sopimuslausekkeiden ("Nigerian sopimuslausekkeet") (jotka sijaitsevat täällä) lisäksi:
Seuraavaa sovelletaan Nigerian sopimuslausekkeisiin, kuten edellä mainitut osapuolet ovat sopineet:
Henkilötietojen käsittely-, siirto- ja säilytyspaikkoihin kuuluvat Ghana ja Yhdysvallat.
Kaikki muut edellä annetut tiedot EU:n vakiolausekkeiden moduulista 2 koskevat Nigerian vakiolausekkeita.
(5) Seuraavissa sijainneissa sijaitseviin tietojen haltijoihin sovelletaan ASEANin mallisopimuslausekkeita, Module 1: Controller to Processor ("mallisopimuslausekkeet, moduuli 1") (jotka ovat täällä):
Brunei Darussalam, Filippiinit, Indonesia, Kambodža, Laos, Malesia, Myanmar, Singapore, Thaimaa, Vietnam.
Seuraavaa sovelletaan ASEANin mallisopimuslausekkeisiin, moduuliin 1, kuten edellä mainitut osapuolet ovat sopineet:
- Lauseke 2 (Obligations of Data Exporter) on poistettu.
- Lausekkeen 3 (Obligations of Data Importer) valinnaiset alalausekkeet 3.4, 3.6, 3.7 ja valinnainen kieli kohdassa 3.7 on poistettu. Alakohta 3.10 on "…within a reasonable time period specified by Partners" ("... kumppanien määrittämässä kohtuullisessa ajassa").
- Lausekkeeseen 4 (Choice of Law Disputes) sisältyy viejän ASEAN-jäsenvaltio kohdassa 4.1. Toiminnallinen alalauseke 4.3 on poistettu.
- Lausekkeen 6 (Termination of Contract) alakohtaan 6.1.1 sisältyy "30 days" ("30 päivää").
- Yksittäisten oikeussuojakeinojen lisäehtojen (Individual Remedies) kaikki yksittäiset oikeussuojakeinot on poistettu.
- LISÄYS A: Katso LIITE I EU:n vakiolausekkeista, moduuli 2.
(6) Seuraavissa sijainneissa sijaitseviin tietojen haltijoihin sovelletaan Iberoamerikkalaisen tietosuojaverkoston mallisiirtosopimusta ("IADPN:n mallisopimuslausekkeet, rekisterinpitäjiltä käsittelijöille") (joka on täällä):
Peru, Uruguay, Argentiina, Andorra
Seuraavaa sovelletaan IADPN:n mallisopimuslausekkeisiin, rekisterinpitäjältä käsittelijöille, kuten edellä mainitut osapuolet ovat sopineet:
- LIITE I EU:n vakiolausekkeista, moduuli 2, sisällytetään viittauksen kautta ja täyttää kaikki vaaditut tiedot IADPN:n mallisopimuslausekkeihin, rekisterinpitäjästä käsittelijöille.
- Lausekkeen 9 (Redress) alalausekkeessa 9(a) valinnainen teksti on poistettu.
- LIITE A täytetään asiaankuuluvilla tiedoilla EU:n vakiolausekkeiden, moduuli 2, LIITTEESTÄ I.
- LIITE B täytetään asiaankuuluvilla tiedoilla EU:n vakiolausekkeiden, moduuli 2, LIITTEESTÄ I.
- LIITE C täytetään asiaankuuluvilla tiedoilla EU:n vakiolausekkeiden, moduuli 2, LIITTEESTÄ II.
- LIITE D täytetään asiaankuuluvilla tiedoilla EU:n vakiolausekkeiden, moduuli 2, LIITTEESTÄ III.
- LIITE E täytetään täällä olevalla tietosuojailmoituksella: https://www.familysearch.org/legal/privacy.
(7) Kiinassa sijaitseviin tietojen haltijoihin sovelletaan seuraavia (jotka ovat täällä):
a. Hongkongissa sijaitseviin henkilöihin sovelletaan seuraavia (jotka ovat täällä):
(8) Brasiliassa sijaitseviin tietojen haltijoihin sovelletaan seuraavia (jotka ovat täällä): (Myös PDF-tiedostot ovat täällä)
(9) Uudessa-Seelannissa sijaitseviin tietojen haltijoihin sovelletaan seuraavia (jotka ovat täällä):
(10) Ruandassa sijaitseviin tietojen haltijoihin sovelletaan seuraavia (jotka ovat täällä):
(11) Qatarissa sijaitseviin tietojen haltijoihin sovelletaan seuraavia (jotka ovat täällä):
(12) Saudi-Arabiassa sijaitseviin tietojen haltijoihin sovelletaan seuraavia (jotka ovat täällä):