ADENDUM KETENTUAN PEMROSESAN DAN TRANSFER DATA
Para Pihak mengakui dan menyetujui Data Pribadi yang ditransfer antara FamilySearch International (atau afiliasinya) dan Pengelola Catatan tunduk pada, (i) ketentuan yang ditandatangani oleh kedua belah pihak di mana Ketentuan Pemrosesan dan Transfer Data ini digabungkan dengan referensi ("Perjanjian"), dan (ii) semua undang-undang privasi dan perlindungan data yang berlaku.
Para Pihak memahami dan menyetujui bahwa, (i) Pengelola Catatan adalah Pengontrol dan Pengekspor Data Pribadi yang ditransfer, dan (ii) FamilySearch International (atau afiliasinya) adalah Pemroses dan Pengimpor.
Para Pihak memahami dan menyetujui bahwa Adendum Pemrosesan dan Transfer Data yang berlaku yang tercantum di bawah ini ditentukan oleh lokasi fisik Pengelola Catatan, kecuali lokasi lain ditunjuk oleh Pengelola Catatan secara tertulis pada saat menandatangani Perjanjian.
(1) Untuk Pengelola Catatan di beberapa lokasi berikut, Klausul Kontrak Standar Uni Eropa, Modul 2: Pengontrol ke Pemroses ("EU SCC, Modul 2") (yang terletak di sini) berlaku:
Afganistan, Aljazair, Austria, Australia, Bahrain, Barbados, Belgia, Belize, Botswana, Kepulauan Virgin Inggris, Bulgaria, Burkina Faso, Kepulauan Cayman, Kongo, REP, Kepulauan Cook, Kroasia, Kuba, Siprus, Republik Ceko, Denmark, Ekuador, Mesir, Estonia, Eswatini, Ethiopia, Fiji, Finlandia, Prancis, Guyana Prancis, Polinesia Prancis, Wilayah Selatan Prancis, Gabon, Jerman, Kepulauan Glorioso, Yunani, Grenada, Guam, Guyana, Haiti, Hongaria, India, Indonesia, Iran, Irak, Irlandia, Italia, Israel, Jamaika, Jepang, Yordania, Pulau Juan de Nova, Kiribati, Kuwait, Latvia, Lebanon, Libya, Liechtenstein, Lituania, Luksemburg, Malta, Kepulauan Marshall, Melanesia, Meksiko, Mikronesia, Mongolia, Maroko, Nauru, Nepal, Belanda, Kaledonia Baru, Niger, Niue, Norwegia, Oman, Palau, Panama, Papua Nugini, Pakistan, Palestina, Kepulauan Pitcairn, Polandia, Portugal, Republik Moldova, Rumania, Saint Kitts dan Nevis, Samoa, Seychelles, Slowakia, Slovenia, Kepulauan Solomon, Somalia, Afrika Selatan, Korea Selatan, Spanyol, Sri Lanka, Sudan, Swedia, Swiss*, Tanzania, Thailand, Togo, Tokelau, Tonga, Tunisia, Turki, Tuvalu, Uganda, Uni Emirat Arab, Inggris**, Vanuatu, Wallis & Futuna, Zambia, Zimbabwe
* Meskipun Adendum Pemrosesan dan Transfer Data EEA berlaku untuk Swiss, Swiss juga memerlukan bahasa tambahan, yang dengan ini dimasukkan ke dalam Adendum dan disediakan di bawah ini.
** Meskipun Adendum Pemrosesan dan Transfer Data EEA berlaku untuk Britania Raya, Britania Raya juga memerlukan bahasa tambahan, yang dengan ini dimasukkan ke dalam Adendum dan disediakan di bawah ini.
Hal berikut berlaku untuk EU SCC, Modul 2 sebagaimana disepakati oleh para pihak yang dirujuk di atas:
- Klausul 7 (Klausul Docking) tidak lagi berlaku.
- Klausul 9 (Penggunaan sub-pemroses) menerapkan OPSI 2: OTORISASI TERTULIS UMUM).
- Klausul 11 (Ganti Rugi) tidak menerapkan OPSI tersebut dalam (a).
- Klausul 13 (Pengawasan) mengadopsi bahasa yang berlaku untuk pengekspor yang berbasis di Negara Anggota Uni Eropa.
- Klausul 17 (Hukum yang Mengatur) menerapkan OPSI 1 dan menyatakan bahwa hukum negara pengekspor data yang berlaku akan digunakan.
- Klausul 18 (Pilihan forum dan yurisdiksi) menyatakan bahwa pengadilan negara pengekspor data yang berlaku akan digunakan.
- LAMPIRAN I: Lihat di bawah.
- LAMPIRAN II: Lihat di bawah.
- LAMPIRAN III: Lihat di bawah.
LAMPIRAN I:
A. Daftar Para Pihak
Pengekspor Data
- Nama: Pengelola Catatan yang diidentifikasi dalam Perjanjian
- Alamat: Alamat Pengelola Catatan yang dicantumkan dalam Perjanjian
- Kontak: Lihat "Informasi Kontak untuk Pemberitahuan" yang ditentukan untuk Pengelola Catatan dalam Perjanjian
- Aktivitas yang relevan dengan data yang ditransfer berdasarkan Klausul: Aktivitas yang relevan dijelaskan dalam Bagian B ("Deskripsi Transfer") di bawah ini
- Peran: Pengontrol
Pengimpor Data
- Nama: FamilySearch International
- Alamat: 36 S State St., Ste 1900, Salt Lake City, UT 84111
- Kontak: Manager, Data Privacy Office - 50 East North Temple Street, Salt Lake City, Utah 84150
- Telepon: (801) 240-1187
- Email: Dataprivacyofficer@churchofjesuschrist.org
- Aktivitas yang relevan dengan data yang ditransfer berdasarkan Klausul: Aktivitas yang relevan dijelaskan dalam Bagian B ("Deskripsi Transfer") di bawah ini
- Peran: Pemroses
B. Deskripsi Transfer
Kategori subjek data yang data pribadinya ditransfer
Subjek data yang tercantum dalam catatan historis dan silsilah yang data pribadinya disimpan untuk tujuan penelitian, historis dan statistik.
Kategori data pribadi yang ditransfer
Data silsilah - Informasi yang dikumpulkan untuk melestarikan sejarah pribadi dan keluarga orang-orang:
- Nama (nama subjek data, nama ayah dan ibu, nama anak, nama saudara kandung, nama pasangan, dll.)
- Hubungan keluarga (nama individu, saudara kandung, orang tua, anak, kakek-nenek, bibi, paman).
- Informasi biografi (nama, tanggal lahir, tanggal kematian, cerita dan detail tentang kehidupan individu, pekerjaan, pendidikan, lokasi peristiwa kehidupan, peristiwa keagamaan pribadi – pembaptisan, pengukuhan, dll.)
- Tanggal lahir, tempat lahir, dan perincian terkait (jenis kelamin anak, nama orang tua, alamat orang tua pada saat lahir, atau orang tua angkat tergantung pada contoh catatan kelahiran yang dimaksud, tanggal lahir, dan lokasi kelahiran).
- Usia
- Gender
- Tanggal pernikahan, tempat, dan perincian terkait (nama individu, orang tua, dll.)
- Tanggal kematian, tempat kematian, dan perincian terkait (nama individu, sebab kematian)
- Kewarganegaraan
- Karakteristik pribadi, termasuk gambar fotografi
- Informasi lain yang terkandung dalam silsilah dan catatan bernilai historis yang diperoleh, termasuk dari sensus (nama individu, anak-anak, pekerjaan, tempat tinggal), sejarah keluarga (data biografi, nama, hubungan keluarga), daftar jemaat (nama anggota jemaat, tempat tinggal, tanggal lahir, hubungan keluarga), catatan gereja (kelahiran, catatan kematian perkawinan, pembaptisan, pengukuhan), pendaftaran sipil (catatan kelahiran, perkawinan, dan kematian), obituari surat kabar (kelahiran, catatan terkait kepemilikan/penggunaan tanah, koleksi arsip negara bagian), dan catatan naturalisasi (catatan kewarganegaraan, catatan imigrasi, catatan naturalisasi termasuk nama, tanggal lahir, negara asal, negara tempat tinggal & alamat, nama anggota keluarga, pekerjaan, beberapa item khusus negara tergantung pada negara dan tanggal pengumpulan).
Data sensitif – Informasi yang secara tidak sengaja termasuk dalam catatan bernilai historis dan silsilah yang dapat didefinisikan sebagai sensitif berdasarkan Undang-Undang Privasi:
- Identitas & Data Demografis (asal-usul ras atau etnis, asal-usul kebangsaan, asal-usul suku, status sosial, identitas khusus (pengidentifikasi unik, misalnya, paspor, SSN, SIM, ID negara bagian), status perkawinan, usia, warna kulit, kewarganegaraan atau status imigrasi, status sebagai korban kejahatan atau mengalami kerugian akibat kejahatan)
- Kepercayaan & Asosiasi (kepercayaan atau afiliasi keagamaan, kepercayaan filosofis, kepercayaan moral, kepercayaan ideologis, pendapat politik, persuasi politik, ideologi politik, atau afiliasi politik, keanggotaan serikat pekerja, keanggotaan serikat, afiliasi serikat, keanggotaan dalam asosiasi profesional atau sosial, atau organisasi hak asasi manusia
- Data Kesehatan & Genetik/Biometrik (kondisi kesehatan fisik atau mental saat ini atau masa mendatang, status, atau diagnosis, riwayat medis, rekam medis, perawatan medis, penyediaan layanan kesehatan, status psikologis atau fisiologis, data genetik (karakteristik yang diwariskan atau diperoleh, profil biologis manusia), data biometrik (digunakan untuk identifikasi unik, verifikasi otomatis, atau mengungkapkan karakteristik sensitif tambahan), data terkait sistem saraf (data terkait otak/saraf, data kognitif/emosional).
- Data Pidana & Hukum (catatan atau riwayat tindak pidana, perilaku atau perbuatan yang bersifat pidana, pelaksanaan atau dugaan pelaksanaan suatu tindak pidana, proses hukum, putusan, hukuman, atau sanksi yang berkaitan dengan perkara pidana)
- Data Lokasi & Komunikasi (data geolokasi (lokasi yang tepat atau spesifik, termasuk koordinat GPS), data komunikasi, termasuk konten dan metadata panggilan, teks, email, atau surat, isi surat, email, atau SMS (kecuali ditujukan kepada penerima))
- Data Remaja (setiap data pribadi yang terkait dengan anak di bawah umur)
- Kategori Khusus Lainnya
- Kebiasaan pribadi, gaya hidup, dan keadaan kehidupan intim/pribadi
- Karakteristik moral atau etika
- Masalah keluarga atau data kehidupan emosional/keluarga
- Catatan pendidikan
- Data terkait pekerjaan yang berhubungan dengan karakteristik yang dilindungi
- Data kesehatan konsumen (lebih luas dari rekam medis, mencakup kesehatan/kebugaran, kehamilan, dll.)
- Data yang berkaitan dengan ideologi atau kepercayaan yang tidak didokumentasikan dengan cara lain
- Setiap data yang dapat secara signifikan mengancam privasi, martabat, keselamatan, atau properti jika disalahgunakan
- Data dengan risiko diskriminasi atau dampak negatif yang lebih tinggi tergantung pada konteks (misalnya, data penayangan TV yang diklasifikasikan sebagai sensitif oleh FTC)
- Status perkawinan (nama, tanggal, dll.)
- Nomor induk kependudukan (NIK) atau perincian serupa (SSN, dll.)
- Nomor paspor
- Afiliasi Agama (Informasi dalam catatan gereja termasuk nomor keanggotaan, nama, tanggal lahir, tanggal pembaptisan, tanggal perkawinan, tanggal kematian, dan data yang terkait dengan agama tertentu).
- Data yang berkaitan dengan anak di bawah umur (nama, tanggal lahir, orang tua, saudara kandung, catatan perwalian, informasi adopsi, catatan peradilan, catatan pendidikan)
- Data terkait kesehatan (penyakit, rawat inap, sebab kematian)
- Riwayat pidana (nama, tanggal penahanan, putusan terkait individu)
- Keanggotaan serikat pekerja (nama anggota, tanggal keanggotaan, informasi biaya keanggotaan, dll.)
- Asal-usul ras atau etnis (wilayah atau negara asal)
- Agama (nama dan afiliasi agama)
- Afiliasi politik (nama dan partai politik, informasi donasi)
Frekuensi transfer (misalnya, apakah satu kali atau terus menerus).
Ad Hoc
Karakteristik pemrosesan
Data pribadi yang ditransfer dapat dikenakan berbagai aktivitas pemrosesan, jika diizinkan secara hukum, termasuk digitalisasi, pengindeksan, penyelenggaraan, penyimpanan, transmisi, redaksi, dan cara ditampilkan. Aktivitas ini didukung oleh pusat data berbasis cloud, termasuk yang ada di Amerika Serikat, sejauh diizinkan oleh Undang-Undang Privasi. Misalnya, data dapat diproses untuk mendukung aktivitas berikut:
- Pelestarian Catatan Bernilai Historis: Digitalisasi, pelestarian, pengindeksan, penyimpanan, dan/atau pengarsipan dokumen, foto, dan artefak bernilai historis untuk generasi mendatang, seperti yang diinstruksikan oleh pengekspor data.
- Silsilah: Setelah diizinkan oleh Undang-Undang Privasi dan oleh pengekspor data (misalnya, ketika data tidak lagi dibatasi), data dapat dimasukkan dalam aplikasi yang digunakan oleh peneliti dan pengguna situs web untuk mendukung pelacakan catatan garis keturunan atau sejarah keluarga atau penelitian silsilah, program, dan kegiatan lainnya.
- Penelitian Sejarah Keluarga: Mengumpulkan dan melestarikan informasi tentang leluhur dan silsilah keluarga seseorang.
- Petunjuk Silsilah: Memberikan pelatihan dan sumber daya untuk membantu jutaan orang di seluruh dunia menemukan warisan sejarah mereka dan terhubung dengan anggota keluarga.
Tujuan transfer data dan pemrosesan lebih lanjut
Transfer data ke pengimpor data (di kantor pusat pengimpor data global) dan pemrosesan lebih lanjut oleh pengimpor data mendukung pelestarian dan penyimpanan catatan keluarga yang memiliki nilai historis untuk kepentingan arsip publik, badan pemerintah, masyarakat adat, arsip pribadi, entitas swasta lainnya, dan individu. Jika diizinkan oleh Undang-Undang Privasi dan oleh pengekspor data (misalnya, ketika data tidak lagi dibatasi), catatan ini juga dapat tersedia untuk umum di situs web pengimpor data secara gratis untuk tujuan penelitian.
Periode ketika data pribadi akan disimpan, atau, jika itu tidak memungkinkan, kriteria yang digunakan untuk menentukan periode tersebut
Data pribadi yang dikumpulkan untuk tujuan pelestarian historis akan disimpan sesuai dengan petunjuk dari pengekspor data selama diminta. Dalam banyak kasus, selama catatan mempertahankan nilai historis, catatan dapat disimpan tanpa batas waktu untuk tujuan pengarsipan dan untuk mendokumentasikan silsilah, kecuali subjek data meminta penghapusan.
Untuk transfer kepada (sub-)pemroses, tentukan juga pokok bahasan, sifat, dan durasi pemrosesan
Pengimpor data memproses data pribadi untuk menyimpan catatan historis dan untuk tujuan penelitian silsilah, atas petunjuk dari pengekspor data. Pengimpor data dapat melibatkan pemroses atau sub-pemroses sesuai dengan perjanjian pemrosesan atau sub-pemrosesan untuk membantu pemrosesan data untuk tujuan yang sama dan untuk melakukan fungsi atas nama pengekspor data dan/atau pengimpor data (misalnya, digitalisasi dan pengindeksan catatan bernilai historis). Perjanjian pemrosesan atau sub-pemrosesan akan memberikan perincian tambahan mengenai pokok bahasan, karakteristik, dan durasi pemrosesan.
C. Otoritas yang Berwenang
Identifikasi otoritas yang kompeten sesuai dengan Klausul 13
Otoritas pengawas negara Pengekspor Data yang diidentifikasi dalam Lampiran I.A.
LAMPIRAN II:
LANGKAH-LANGKAH TEKNIS DAN ORGANISASI YANG DITERAPKAN FAMILY SEARCH INTERNATIONAL (PENGIMPOR)
Dokumen ini menguraikan langkah-langkah keamanan terkait informasi teknis dan organisasi yang digunakan Family Search International (Pengimpor) ("FSI").
Langkah-langkah Keamanan Teknis dan Organisasi. FSI memastikan berjalannya Program Keamanan Informasi yang komprehensif dan menerapkan langkah-langkah keamanan teknis dan organisasi yang wajar, berdasarkan standar industri, kebutuhan organisasi, dan risiko, untuk meminimalkan dan melindungi dari pemrosesan data yang tidak sah atau melanggar hukum, kehilangan yang tidak disengaja atau disengaja, akses yang tidak sah, kehancuran, atau kerusakan. Langkah-langkah ini membantu memastikan kerahasiaan, integritas, ketersediaan, dan ketahanan sistem dan data FSI. Pada sistem yang tidak dikendalikan langsung oleh FSI, FSI bermitra dengan FSI untuk menerapkan kontrol keamanan yang seimbang. Program Keamanan FSI mencakup elemen-elemen berikut:
1. Kebijakan dan Proses. FSI menjaga agar kebijakan dan proses tertulis formal berfungsi dengan baik untuk memastikan kerahasiaan, integritas, dan ketersediaan data dan untuk melindunginya dari pengungkapan, penggunaan, perubahan, atau penghancuran yang tidak disengaja, tidak sah, atau tidak semestinya. Kebijakan ini ditinjau dan diperbarui setiap tahun atau lebih sering bila diperlukan. Kebijakan dan prosedur dimaksudkan untuk memastikan bahwa perlindungan fisik, teknis, dan administratif diterapkan dan beroperasi secara efektif.
2. Kontrol Akses.
Akses Fisik - FSI menerapkan langkah-langkah yang wajar untuk mencegah orang yang tidak berwenang mendapatkan akses ke peralatan pemrosesan data (server basis data, server aplikasi, switch jaringan, firewall, pengontrol, dan perangkat keras terkait) tempat data pribadi diproses atau digunakan.
Akses Logis - FSI menerapkan langkah-langkah keamanan yang wajar untuk mencegah akses yang tidak sah ke sistem pemrosesan data mereka. FSI memelihara dan meninjau pengguna FSI yang memiliki akses ke sistem pemrosesan data. FSI memberikan akses kepada sejumlah orang yang terbatas berdasarkan kebutuhan yang disetujui bisnis.
3. Pelatihan dan Pemahaman akan Keamanan. FSI memastikan berjalannya program pemahaman dan pelatihan keamanan formal untuk tenaga kerja FSI dan pengguna tenaga kerja FSI. Program ini mencakup modul pembelajaran wajib yang memastikan pemahaman pengguna akan konsep dan kebijakan keamanan informasi utama, setiap tahun, atau sesering mungkin. Topik pelatihan tahunan mencakup klasifikasi dan penanganan informasi sensitif yang tepat. Selain pelatihan formal, latihan simulasi phishing yang tidak diumumkan secara berkala memperkuat pelatihan tentang cara mengidentifikasi, melaporkan, dan menghindari pesan email berbahaya.
4. Perlindungan Data. FSI menerapkan langkah-langkah yang wajar untuk mencegah data pribadi digunakan, dibaca, disalin, diubah, atau dihapus secara tidak semestinya oleh pihak yang tidak berwenang baik saat sedang ditransmisikan maupun saat tidak digunakan. Kontrol perlindungan data digunakan dengan pendekatan pertahanan yang mendalam.
5. Pemantauan. FSI menerapkan langkah-langkah yang wajar untuk memantau akses ke sistem sensitif dan sumber daya jaringan dan untuk memastikan bahwa pengguna bertindak sesuai dengan kebijakan. Log disimpan berdasarkan kebutuhan bisnis dan persyaratan peraturan dan disimpan di repositori pusat atau di repositori asli platform dengan kemampuan untuk bermigrasi ke repositori pusat sesuai kebutuhan. Log disimpan dan diamankan dengan cara yang membantu memastikan keakuratan dan kekekalan. FSI memastikan berjalannya serangkaian peringatan otomatis untuk mengidentifikasi aktivitas yang berpotensi membahayakan. Data log FSI yang ditinjau secara berkala untuk mengidentifikasi potensi serangan dan untuk mendukung upaya Respons Insiden FSI.
6. Deteksi & Respons Endpoint. FSI menerapkan kontrol yang wajar pada endpoint pengguna dan server, termasuk endpoint untuk FSI, yang memberikan perlindungan terhadap penyebaran malware, peringatan terpusat, proses hosting dan kueri file, serta kemampuan isolasi sistem.
7. Prosedur Respons Insiden Keamanan (IR). FSI memastikan berjalannya kebijakan dan prosedur IR tertulis untuk mendeteksi, merespons, dan mengatasi insiden keamanan. FSI mengoperasikan Pusat Operasi Keamanan (SOC) 24/7 untuk memilah-milah insiden yang dianggap penting, memantau sistem untuk mendeteksi serangan atau penyusupan baik yang aktual maupun percobaan, mengurangi efek berbahaya dari insiden keamanan, dan mendokumentasikan insiden keamanan serta hasilnya. Perjanjian diadakan dengan penyedia respons insiden pihak ketiga untuk memfasilitasi keterlibatan secara cepat dari pihak ketiga jika terjadi insiden besar atau jika suatu insiden memerlukan analisis forensik khusus. FSI juga memastikan berjalannya tim keamanan penuh waktu yang berfokus pada FSI untuk memberikan dukungan khusus dan pemilahan. SOC bekerja sama dengan Kantor Privasi Data (DPO) FSI dan Kantor Penasihat Umum (OGC) dan pakar keamanan siber eksternal untuk memastikan insiden ditangani sesuai dengan hukum dan peraturan yang berlaku.
8. Penilaian Keamanan dan Risiko. FSI memastikan penerapan kebijakan dan prosedur yang wajar untuk membantu menilai efektivitas kontrol keamanan, mengidentifikasi kegagalan kontrol keamanan, dan untuk mengidentifikasi, mengevaluasi, dan menilai kesenjangan kontrol keamanan menggunakan pendekatan berbasis risiko.
9. Konfigurasi & Pemeliharaan Sistem. FSI menjaga agar kebijakan dan prosedur diterapkan secara wajar untuk membantu memastikan peralatan pemrosesan data (server, basis data, laptop, firewall, switch, router, pengontrol, dll.) dikonfigurasi dengan tepat untuk membantu memastikan data pribadi dilindungi secara memadai. FSI memastikan berjalannya program manajemen kerentanan untuk membantu mengidentifikasi kerentanan dalam lingkungan FSI dan berkomunikasi dengan sumber daya yang tepat untuk memfasilitasi remediasi yang tepat waktu.
10. Ketahanan Sistem dan Informasi. FSI menerapkan langkah-langkah yang wajar untuk memastikan data pribadi dilindungi secara memadai dari penggunaan, perubahan, atau penghancuran yang tidak disengaja atau berniat buruk, serta untuk memastikan bahwa data yang telah digunakan, diubah, atau dihancurkan secara tidak disengaja maupun disengaja dapat diidentifikasi dan dipulihkan. FSI menerapkan prosedur pencadangan data dan sistem yang mencakup salinan online, nearline, dan offline berdasarkan kekritisan data dan kebutuhan bisnis. FSI menggunakan sistem informasi yang berulang untuk memastikan aplikasi dan sistem ketersediaan serta kinerjanya tetap berjalan lancar dan konsisten.
11. Kepatuhan. FSI menjaga agar Kantor Privasi Data untuk FSI yang mengelola kepatuhan terhadap hukum dan peraturan perlindungan data berfungsi dengan baik. FSI juga memastikan berjalannya program kepatuhan TI internal untuk FSI yang berfokus pada pengujian dan validasi kontrol, proses, dan prosedur keamanan melalui penilaian internal.
12. Akuntabilitas. FSI menunjuk seorang pejabat keamanan yang bertanggung jawab atas pengembangan, implementasi, dan pemeliharaan Program Keamanan Informasi di FSI. Selain itu, Kebijakan Program Keamanan Informasi FSI menguraikan peran dan tanggung jawab semua pemangku kepentingan dalam Program Keamanan Informasi dan dipublikasikan dalam repositori yang dapat diakses oleh semua pengguna tenaga kerja.
13. Penggunaan dan Retensi Catatan yang Tepat. FSI menerapkan berbagai kebijakan dan proses yang mengatur penggunaan dan penyimpanan data rahasia, termasuk data pribadi. Proses tersebut diterapkan untuk memastikan data mematuhi persyaratan berbagi data dari pemilik data dan menyertakan pengawasan untuk penggunaan teknologi kecerdasan buatan yang dapat diterima.
14. Pembaruan. FSI memantau, mengevaluasi, dan menyesuaikan Program Keamanan Informasi setiap tahun atau sesuai kebutuhan, dengan mempertimbangkan perubahan teknologi yang relevan, standar keamanan industri, sensitivitas data pribadi, dan potensi ancaman internal atau eksternal terhadap data pribadi.
LAMPIRAN III:
DAFTAR SUB-PEMROSES
Pengontrol telah mengizinkan penggunaan sub-pemroses berikut:*
- ANCESTRY
- BART DEVELTER V.O.F.
- BRIGHAM YOUNG UNIVERSITY
- CENTURY VITAL RECORDS (CVR)
- CONTENT ARCHAEOLOGY
- DATADISC.IT S.R.L.
- DIE MOBILE SEKRETÄRIN E.U.
- DIGITAL 4 KIT
- DOUBLE DIGITAL
- EMPRESA DE ARQUIVO DE DOCUMENTAÇÃO S.A.
- FORMAX
- GENEALAB
- GENESIS
- GREYSCALE LTD.
- INFOSCRIBE SAS
- INTELLIGENT IMAGE MANAGEMENT (IIMI)
- IRON MOUNTAIN AUSTRALIA
- IRON MOUNTAIN CESKA REPUBLIKA S.R.O.
- LIFEWOOD
- MATERN
- MYHERITAGE
- NORMADAT S.A.
- OSG RECORDS MANAGEMENT
- PEDRO CRUZ MARTINEZ
- RASTERGEN – GESTÃO DOCUMENTAL UNIPESSOAL (LDA)
- SBL
- STASIS S.A.S.
- SVI
- TRACEABLE SOLUTIONS
- TRUEBPO INC (SEBELUMNYA EQOD INC)
(1.1) Untuk Pengelola Catatan di Swiss, hal berikut berlaku selain Klausul Kontrak Standar Uni Eropa, Modul 2: Pengontrol ke Pemroses ("EU SCC, Modul 2"):
Adendum Swiss untuk Klausul Kontrak Standar Uni Eropa
Jika transfer data pribadi dari Pengekspor Data ke Pengimpor Data tunduk pada GDPR Uni Eropa dan FADP (sebagaimana didefinisikan di bawah), ketentuan tambahan berikut juga akan berlaku agar Klausul Kontrak Standar sesuai untuk memastikan tingkat perlindungan yang memadai untuk transfer tersebut sesuai dengan Pasal 6 ayat 2 huruf FADP:
(a) “FADP” berarti Undang-Undang Federal tentang Perlindungan Data tanggal 19 Juni 1992 (SR 235.1).
(b) “FDPIC” berarti Komisaris Perlindungan Data dan Informasi Federal Swiss.
(c) “FADP yang Direvisi” berarti versi revisi dari FADP tanggal 25 September 2020, yang dijadwalkan mulai berlaku pada 1 Januari 2023.
(d) Istilah "Negara Anggota Uni Eropa" tidak boleh ditafsirkan sedemikian rupa untuk mengecualikan Subjek Data di Swiss dari kemungkinan untuk menuntut hak mereka di tempat tinggal reguler mereka (Swiss) sesuai dengan Klausul 18(c) dari Klausul Kontrak Standar.
(e) Klausul Kontrak Standar juga melindungi data badan hukum sampai berlakunya FADP yang Direvisi.
(f) FDPIC akan bertindak sebagai "otoritas pengawas yang kompeten" sejauh transfer data yang relevan diatur oleh FADP.
(1.2) Untuk Pengelola Catatan di Inggris ("UK"), hal berikut berlaku selain Klausul Kontrak Standar Uni Eropa, Modul 2: Pengontrol ke Pemroses ("EU SCC, Modul 2"):
Adendum Transfer Data Internasional untuk Klausul Kontrak Standar Komisi Uni Eropa
("UK IDTA")
Adendum Transfer Data Internasional untuk Klausul Kontrak Standar Komisi Uni Eropa (yang terletak di sini) dengan ini digabungkan sebagai referensi dan hal berikut berlaku:
Bagian 1: Tabel
Tabel 1 - diisi persis seperti dalam EU SCC, Modul 2, Lampiran I.
Tabel 2 - Hal berikut berlaku untuk EU SCC, Modul 2 sebagaimana disepakati oleh para pihak yang dirujuk di atas:
- Klausul 7 (Klausul Docking) tidak lagi berlaku.
- Klausul 9 (Penggunaan sub-pemroses) menerapkan OPSI 2: OTORISASI TERTULIS UMUM).
- Klausul 11 (Ganti Rugi) tidak menerapkan OPSI tersebut dalam (a).
- Klausul 13 (Pengawasan) mengadopsi bahasa yang berlaku untuk pengekspor yang berbasis di Negara Anggota Uni Eropa.
- Klausul 17 (Hukum yang Mengatur) menerapkan OPSI 1 dan menyatakan bahwa hukum negara pengekspor data yang berlaku akan digunakan.
- Klausul 18 (Pilihan forum dan yurisdiksi) menyatakan bahwa pengadilan negara pengekspor data yang berlaku akan digunakan.
Tabel 3 – diisi dengan EU SCC, Modul 2 Lampiran I, II, dan III.
Tabel 4 – UK IDTA dapat diakhiri oleh salah satu Pihak (Pengimpor dan Pengekspor).
Bagian 2 – Klausul Wajib
Semua klausul wajib berlaku; sebaliknya, Klausul Wajib Alternatif Bagian 2 tidak berlaku.
(2) Untuk Pengelola Catatan di beberapa lokasi berikut, Klausul Kontrak Standar Uni Eropa, Modul 2: Pengontrol ke Pemroses ("EU SCC, Modul 2") (yang terletak di sini) berlaku:
Albania, Andorra, Armenia, Azerbaijan, Belarus, Bosnia dan Herzegovina, Georgia, Guernsey, Isle of Man, Jersey, Kenya, Monako, Kosovo, Montenegro, Nigeria, Makedonia Utara, San Marino, Rusia, Serbia, Aram, Turki, Ukraina, Vietnam, Yaman.
(3) Untuk Pengelola Catatan di Angola ("Angola"), hal berikut berlaku selain Klausul Kontrak Angola dalam Undang-Undang Perlindungan Data Angola (Undang-Undang no. 22/11, 17 Juni 2011) ("Angola CCS") (yang terletak di sini):
Hal berikut berlaku untuk Angola CCS sebagaimana disepakati oleh para pihak yang dirujuk di atas:
Lokasi untuk memproses, mentransfer, dan menyimpan data pribadi termasuk Ghana dan Amerika Serikat.
Semua informasi lain yang diberikan di atas untuk EU SCCS Modul 2 berlaku untuk Angola CCS.
(4) Untuk Pengelola Catatan di Nigeria ("Nigeria"), hal berikut berlaku selain Klausul Kontrak Nigeria dalam Undang-Undang Perlindungan Data Nigeria (NDPA) 2023 ("Nigeria CCS") (yang terletak di sini):
Hal berikut berlaku untuk Nigeria CCS sebagaimana disepakati oleh para pihak yang dirujuk di atas:
Lokasi untuk memproses, mentransfer, dan menyimpan data pribadi termasuk Ghana dan Amerika Serikat.
Semua informasi lain yang diberikan di atas untuk EU SCCS Modul 2 berlaku untuk Nigeria CCS.
(5) Untuk Pengelola Catatan di beberapa lokasi berikut, Klausul Kontrak Model ASEAN, Modul 1: Pengontrol ke Pemroses ("MCC, Modul 1") (yang terletak di sini) berlaku:
Brunei Darussalam, Kamboja, Indonesia, Laos, Malaysia, Myanmar, Filipina, Singapura, Thailand, Vietnam
Hal berikut berlaku untuk MCC, Modul 1 sebagaimana disepakati oleh para pihak yang dirujuk di atas:
- Klausul 2 (Kewajiban Pengekspor Data) tidak lagi berlaku.
- Klausul 3 (Kewajiban Pengimpor Data) sub-klausul opsional 3.4, 3.6, 3.7, dan bahasa opsional dalam 3.7 tidak lagi berlaku. Sub-klausul 3.10 adalah, "...dalam jangka waktu yang wajar yang ditentukan oleh Mitra."
- Klausul 4 (Pilihan Sengketa Hukum) memasukkan Negara Anggota ASEAN dari pihak pengekspor di 4.1. Sub-klausul operasional 4.3 tidak lagi berlaku.
- Klausul 6 (Pengakhiran Kontrak) memasukkan "30 hari" ke dalam sub-sub-bagian 6.1.1.
- Ketentuan Tambahan untuk Pemulihan Individual (Pemulihan Individual) Semua pemulihan individual tidak lagi berlaku.
- LAMPIRAN A: Lihat LAMPIRAN I dari EU SCC, Modul 2.
(6) Untuk Pengelola Catatan di beberapa lokasi berikut, Perjanjian Transfer Model Jaringan Perlindungan Data Ibero-Amerika ("IADPN MCC, Pengontrol ke Pemroses") (yang terletak di sini) berlaku:
Peru, Uruguay, Argentina, Andorra
Hal berikut berlaku untuk IADPN MCC, Pengontrol ke Pemroses sebagaimana disepakati oleh para pihak yang dirujuk di atas:
- LAMPIRAN I dari EU SCC, Modul 2 dimasukkan sebagai referensi dan melengkapi semua informasi yang diperlukan dalam IADPN MCC, Pengontrol ke Pemroses.
- Klausul 9 (Ganti Rugi) dalam sub-klausul 9(a) bahasa opsional tidak lagi berlaku.
- LAMPIRAN A dilengkapi dengan informasi yang relevan dari LAMPIRAN I dari EU SCC, Modul 2.
- LAMPIRAN B dilengkapi dengan informasi yang relevan dari LAMPIRAN I dari EU SCC, Modul 2.
- LAMPIRAN C dilengkapi dengan informasi yang relevan dari LAMPIRAN II dari EU SCC, Modul 2.
- LAMPIRAN D dilengkapi dengan informasi yang relevan dari LAMPIRAN III dari EU SCC, Modul 2.
- LAMPIRAN E dilengkapi dengan pemberitahuan privasi yang terletak di sini: https://www.familysearch.org/legal/privacy.
(7) Untuk Pengelola Catatan di Tiongkok, hal berikut (yang terletak di sini) berlaku:
a. Bagi mereka yang berada di Hong Kong, hal berikut (yang terletak di sini) berlaku:
(8) Untuk Pengelola Catatan di Brasil, hal berikut berlaku: (yang terletak di sini) berlaku: (Juga PDF yang ditemukan di sini)
(9) Untuk Pengelola Catatan di Selandia Baru, hal berikut (yang terletak di sini) berlaku:
(10) Untuk Pengelola Catatan di Rwanda, hal berikut (yang terletak di sini) berlaku:
(11) Untuk Pengelola Catatan di Qatar, hal berikut (yang terletak di sini) berlaku:
(12) Untuk Pengelola Catatan di Arab, hal berikut (yang terletak di sini) berlaku: