데이터 처리 및 전송 약관 부록
당사자들은 FamilySearch International(또는 그 계열사)과 기록 관리인(들) 간에 전송된 개인 데이터가 (i) 양 당사자가 서명하였으며 본 데이터 처리 및 전송 약관이 인용에 의해 포함된 약관(이하 "계약서") 및 (ii) 모든 관련 개인정보 및 데이터 보호법을 적용받는다는 것을 인정하고 이에 동의합니다.
당사자들은 (i) 전송된 개인 데이터의 관리자 및 제공자는 기록 관리인이며, (ii) 처리자 및 수령자는 FamilySearch International(또는 그 계열사)임을 이해하고 이에 동의합니다.
당사자들은 계약 체결 시 기록 관리인이 서면으로 다른 장소를 지정하지 않는 한 아래에 열거된 적용 가능한 데이터 처리 및 전송 부록이 기록 관리인의 물리적 위치에 따라 결정됨을 이해하고 이에 동의합니다.
(1) 다음 지역의 기록 관리인에게는 EU 표준계약조항의 "모듈 2: 관리자에게서 처리자에게로"(이하 “EU SCC, 모듈 2”)(이곳에 위치)가 적용됩니다.
아프가니스탄, 알제리, 오스트리아, 오스트레일리아, 바레인, 바베이도스, 벨기에, 벨리즈, 보츠와나, 영국령 버진아일랜드, 불가리아, 부르키나파소, 케이맨 제도, 콩고공화국, 쿡 제도, 크로아티아, 쿠바, 키프로스, 체코공화국, 덴마크, 에콰도르, 이집트, 에스토니아, 에스와티니, 에티오피아, 피지, 핀란드, 프랑스, 프랑스령 기아나, 프랑스령 폴리네시아, 프랑스령 남방 영토, 가봉, 독일, 글로리오소 제도, 그리스, 그레나다, 괌, 가이아나, 아이티, 헝가리, 인도, 인도네시아, 이란, 이라크, 아일랜드, 이탈리아, 이스라엘, 자메이카, 일본, 요르단, 쥐앙드노바 섬, 키리바시, 쿠웨이트, 라트비아, 레바논, 리비아, 리히텐슈타인, 리투아니아, 룩셈부르크, 몰타, 마셜 제도, 멜라네시아, 멕시코, 마이크로네시아, 몽골, 모로코, 나우루, 네팔, 네덜란드, 뉴칼레도니아, 니제르, 니우에, 노르웨이, 오만, 팔라우, 파나마, 파푸아뉴기니, 파키스탄, 팔레스타인, 핏케언 제도, 폴란드, 포르투갈, 몰도바공화국, 루마니아, 세인트키츠네비스, 사모아, 세이셸, 슬로바키아, 슬로베니아, 솔로몬 제도, 소말리아, 남아프리카공화국, 대한민국, 스페인, 스리랑카, 수단, 스웨덴, 스위스*, 탄자니아, 태국, 토고, 토켈라우, 통가, 튀니지, 튀르키예, 투발루, 우간다, 아랍에미리트, 영국**, 바누아투, 왈리스 푸투나, 잠비아, 짐바브웨
* 유럽 경제 지역 데이터 처리 및 전송 부록이 스위스에 적용되기는 하지만, 스위스는 추가 조항도 필요한 관계로 이를 부록에 포함하여 아래에 제공합니다.
** 유럽 경제(EEA) 데이터 처리 및 전송 추가조항이 영국에도 적용되나, 영국은 별도의 추가 문구를 요구하므로, 해당 문구를 본 추가조항에 포함하여 아래와 같이 제공합니다.
다음 내용은 위에서 언급한 당사자들이 합의한 EU SCC, 모듈 2에 적용됩니다.
- 제7조(도킹 조항)는 삭제됩니다.
- 제9조(보조 처리자 사용)는 "옵션 2: 일반 서면 승인"을 포함합니다.
- 제11조(구제)는 (a)에 옵션을 포함하지 않습니다.
- 제13조(감독)는 EU 회원국에 설립된 제공자에게 적용되는 조항을 포함합니다.
- 제17조(준거법)는 옵션 1을 포함하며 관련된 데이터 제공자의 국가의 법률을 포함합니다.
- 제18조(법정지 및 관할권 선택)는 관련된 데이터 제공자의 국가의 법원을 포함합니다.
- 별첨 I: 아래 참조.
- 별첨 II: 아래 참조.
- 별첨 III: 아래 참조.
별첨 I:
A. 당사자 명단
데이터 제공자
- 이름: 계약서에 명시된 기록 관리인
- 주소: 계약서에 명시된 기록 관리인의 주소
- 연락처: 계약서에 명시된 기록 관리인의 “통지용 연락처 정보” 참조
- 조항에 따라 전송된 데이터와 관련된 활동: 관련 활동은 아래 B절(“전송에 대한 설명”)에 설명되어 있습니다.
- 역할: 관리자
데이터 수령자
- 이름: FamilySearch International
- 주소: 36 S State St., Ste 1900, Salt Lake City, UT 84111
- 연락처: Manager, Data Privacy Office - 50 East North Temple Street, Salt Lake City, Utah 84150
- 전화번호: (801) 240-1187
- 이메일: Dataprivacyofficer@churchofjesuschrist.org
- 조항에 따라 전송된 데이터와 관련된 활동: 관련 활동은 아래 B절(“전송에 대한 설명”)에 설명되어 있습니다.
- 역할: 처리자
B. 전송에 대한 설명
개인정보가 전송되는 데이터 주체의 범주
역사 및 계보 기록에서 발견되었으며 개인 데이터가 연구, 역사, 통계 목적으로 보존되고 있는 데이터 주체.
전송되는 개인 데이터의 범주
계보 데이터 - 사람들의 개인 및 가족 역사를 보존하기 위해 수집된 정보
- 이름(데이터 주체의 이름, 아버지와 어머니의 이름, 자녀의 이름, 형제자매의 이름, 배우자의 이름 등)
- 가족 관계(개인, 형제자매, 부모, 자녀, 조부모, 이모/고모, 삼촌의 이름)
- 생애 정보(이름, 생년월일, 졸년월일, 개인의 삶에 대한 이야기 및 세부 정보, 직업, 학력, 인생의 중요한 사건이 발생했던 장소, 개인적인 종교 의식 – 침례, 확인 등)
- 생년월일과 출생지, 관련 세부 정보(자녀의 성별, 부모의 이름, 출생 시 부모 또는 출생 기록 유형에 따라 양부모의 주소, 출생 일자 및 출생 장소).
- 연령
- Gender(성별)
- 결혼 일자와 장소, 관련 세부 정보(개인의 이름, 부모 등)
- 사망 일자, 사망 장소 및 관련 세부 정보(개인의 이름, 사망 종류)
- 국적
- 사진 이미지를 포함한 개인적 특성
- 인구 조사(개개인의 이름, 자녀, 직업, 거주지), 가족 역사(생애 데이터, 이름, 가족 관계), 교구 등록부(교인의 이름, 거주지, 출생일, 가족 관계), 교회 기록(출생, 결혼, 사망 기록, 침례, 확인), 신분 등록(출생, 결혼, 사망 기록), 신문 부고(출생, 토지 기록, 주 기록 보관소 소장 자료), 귀화 기록(이름, 출생일, 출신 국가, 거주 국가 및 주소, 가족 구성원의 이름, 직업, 수집 국가 및 날짜에 따른 국가별 특정 항목 등을 포함한 시민권 기록, 이민 기록, 귀화 기록) 등 취득된 계보 및 역사 기록에 포함된 기타 정보.
민감한 데이터 – 역사 및 계보 기록에 부수적으로 포함되어 있으며 개인정보 보호법에 의해 민감한 것으로 정의될 수 있는 정보.
- 정체성 및 인구통계학적 데이터 (출신 인종 또는 민족, 출신 국가, 출신 부족, 사회적 지위, 특정 정체성(여권, 사회보장번호, 운전면허증, 주 ID 등의 고유 식별자), 결혼 여부, 나이, 피부색, 시민권 또는 이민 신분, 범죄 피해자 또는 범죄로 인한 피해를 입은 사람으로서의 신분)
- 믿음 및 단체 (종교적 믿음 또는 소속, 철학적 믿음, 도덕적 믿음, 이데올로기적 믿음, 정치적 의견, 정치적 신념, 정치적 이데올로기 또는 정치적 소속, 노동조합 가입 여부, 동업조합 가입 여부, 조합 소속, 전문직이나 사회 단체, 인권 조직 가입 여부)
- 건강 및 유전/생체 인식 데이터 (현재 또는 미래의 신체적 또는 정신적 건강 상태, 상황 또는 진단, 병력, 의료 기록, 의학적 치료, 의료 서비스 제공, 심리적 또는 생리적 상태, 유전자 데이터(선천적 또는 후천적 특성, 인간의 생물학적 프로필), 생체 인식 데이터(고유 식별, 자동 인증 또는 민감한 특성을 추가적으로 공개하는 데에 사용), 신경 데이터(뇌/신경 관련 데이터, 인지/감정 데이터).
- 범죄 및 법적 데이터 (범죄 기록 또는 이력, 범죄 행태 또는 행위, 범죄행위 실행 또는 범죄행위 실행 혐의, 법적 절차, 결과, 선고 또는 형사(刑事)와 관련된 처벌)
- 위치 및 통신 데이터 (지리적 위치 데이터(정확한 또는 구체적인 위치, GPS 좌표 포함), 통화나 문자, 이메일, 우편물의 내용 및 메타데이터, 우편물이나 이메일, 문자 메시지의 내용(수신인에게 보낸 것이 아닌 경우)을 포함한 통신 데이터)
- 청소년 데이터 (미성년자와 관련된 모든 개인 데이터)
- 기타 특별 범주
- 개인의 습관, 라이프스타일, 내밀한/사적인 삶의 조건
- 도덕적 또는 윤리적 특성
- 가족 문제 또는 정서/가족 생활 데이터
- 기록
- 보호되는 특성과 연관된 고용 관련 데이터
- 소비자 건강 데이터(심리적/육체적 건강, 임신 등 의료 기록보다 광범위한 정보)
- 기타 포착되지 않은 이데올로기 또는 믿음 관련 데이터
- 오용될 경우 개인정보 보호나 존엄성, 안전, 재산에 심각한 위협이 될 수 있는 모든 데이터
- 맥락에 따라 차별 또는 위해 위험이 높은 데이터(예: FTC에서 민감한 것으로 분류한 TV 시청 데이터)
- 결혼 여부(이름, 날짜 등)
- 정부 발급 신분증 번호 또는 이와 유사한 세부 정보(사회보장번호 등)
- 여권 번호
- 종교적 소속(교인 번호, 이름, 출생일, 침례일, 결혼일, 사망일 및 특정 종교와 관련된 데이터를 포함한 교회 기록에 포함되어 있는 정보)
- 미성년자와 관련된 데이터(이름, 생년월일, 부모, 형제자매, 후견 기록, 입양 정보, 사법 기록, 교육 기록)
- 건강 관련 데이터(질병, 입원, 사망 방법)
- 범죄 이력(이름, 수감 날짜, 개인이 받은 판결)
- 노동조합 가입 여부(회원명, 가입일, 회비 정보 등)
- 출신 인종 또는 민족(출신 지역 또는 국가)
- 종교(이름 및 종교적 소속)
- 정치적 소속(이름 및 정당, 기부 정보)
전송 빈도 (예: 일회성인지 지속적인지)
특정 목적을 수행하기 위한
속성을 가진 처리
전송되는 개인정보는 법적으로 허용되는 경우 디지털화, 색인 작업, 호스팅, 저장, 전송, 표시 제한 및 표시를 비롯한 다양한 처리 활동의 대상이 될 수 있습니다. 이러한 활동은 개인정보 보호법이 허용하는 범위 내에서 미국�� 있는 것을 포함한 클라우드 기반 데이터 센터에서 지원합니다. 예를 들어, 데이터는 다음과 같은 활동을 지원하기 위해 처리될 수 있습니다.
- 역사 기록 보존: 데이터 제공자가 지시하는 바에 따라 미래 세대를 위한 역사적 문서, 사진, 유물을 디지털화, 보존, 색인 작업, 저장 및/또는 보관합니다.
- 계보: 개인정보 보호법 및 데이터 제공자가 허용하는 경우(예: 데이터가 더 이상 제한되지 않는 경우), 데이터는 혈통, 가족 역사 기록 추적 또는 기타 계보 연구, 프로그램 및 활동 지원을 위해 연구자 및 웹사이트 이용자가 사용하는 애플리케이션들에 포함될 수 있습니다.
- 가족 역사 연구: 개인의 조상 및 가계도에 대한 정보를 수집하고 보존합니다.
- 계보 안내: 교육과 자원을 제공하여 전 세계 수백만 명의 사람들이 자신의 유산을 발견하고 가족 구성원들과 연결하는 일을 돕습니다.
데이터 전송 및 추가 처리의 목적(들)
데이터 수령자에 의한 (데이터 수령자의 글로벌 본점에 있는) 데이터 수령자로의 데이터 전송 및 추가 처리는 공공 기록 보관소, 정부 기관, 원주민, 개인 기록 보관소, 기타 민간 기관 및 개인의 이익을 위해 역사적인 가족 기록의 보존 및 보관을 지원합니다. 개인정보 보호법 및 데이터 제공자가 허용하는 경우(예: 데이터가 더 이상 제한되지 않는 경우), 이러한 기록은 연구 목적으로 데이터 수령자의 웹사이트에서 대중에게 무료로 공개될 수 있습니다.
개인 데이터 보유 기간 혹은 보유가 불가능할 경우 해당 기간을 결정하는 데 사용되는 기준
역사적 보존 목적으로 수집된 개인 데이터는 요청된 기간 동안 데이터 제공자의 지시에 따라 보유됩니다. 대부분의 경우, 기록이 역사적 가치를 갖는다면 데이터 주체가 삭제를 요청하지 않는 한 기록 보관 목적과 계보 문서화를 위해 무기한 보유할 수 있습니다.
(보조) 처리자에게 전송하는 경우, 처리 소재와 성격, 기간도 명시합니다.
데이터 수령자는 데이터 제공자의 지시에 따라 역사적 기록 보존 및 계보 연구 목적으로 개인 데이터를 처리합니다. 데이터 수령자는 이러한 목적을 위한 데이터 처리를 돕고 데이터 제공자 및/또는 데이터 수령자를 대신하여 기능을 수행하게 하기 위해(예: 역사적 기록의 디지털화 및 색인 작업) 처리 또는 보조 처리 계약에 따라 처리자 또는 보조 처리자를 고용할 수 있습니다. 처리 또는 보조 처리 계약은 처리 소재, 성격, 기간에 대한 추가 세부 정보를 제공합니다.
C. 관할 당국
제13조에 따라 관할 당국(들)을 명시합니다.
별첨 I의 A.에 명시된 데이터 제공자의 국가의 감독 기관
별첨 II:
Family Search International(수령자)의기술적 및 조직적 조치
본 문서는 Family Search International(수령자)(이하 “FSI”)이 사용한 기술적 및 조직적 정보 보안 조치를 설명합니다.
기술적 및 조직적 보안 조치. FSI는 통합적인 정보 보안 프로그램을 운영하고 업계 표준, 조직의 필요성 및 위험에 따라 합리적인 기술 및 조직 보안 조치를 실행하여 무단 또는 불법 처리, 우발적 또는 의도적 손실, 무단 접근, 파괴 또는 손상을 최소화하고 미연에 방지합니다. 이러한 조치는 FSI 및 FSI의 시스템과 데이터의 기밀성, 무결성, 가용성 및 복원력을 보장하는 데 도움이 됩니다. FSI가 직접 통제하지 않는 시스템의 경우, FSI는 FSI와 협력하여 상응하는 보안 통제를 실행합니다. FSI의 보안 프로그램에는 다음과 같은 요소가 포함되어 있습니다.
1. 정책 및 프로세스 FSI는 데이터의 기밀성, 무결성 및 가용성을 보장하고, 우발적, 무단 또는 부적절한 유출, 사용, 변경 또는 파기로부터 보호하기 위해 정식으로 문서화된 정책 및 프로세스를 유지 운영합니다. 이러한 정책은 매년 정기적으로 검토 및 갱신되며, 필요 시 더 짧은 주기로 갱신될 수 있습니다. 정책과 프로세스는 물리적, 기술적, 행정적 안전 장치를 마련하여 효과적으로 운영할 수 있도록 하기 위한 것입니다.
2. 접근 통제
물리적 접근 - FSI는 권한이 없는 사람이 개인 데이터가 처리 또는 사용되는 데이터 처리 장비(데이터베이스 서버, 애플리케이션 서버, 네트워크 스위치, 방화벽, 컨트롤러 및 관련 하드웨어)에 접근하지 못하도록 합리적인 조치를 취합니다.
논리적 접근 - FSI는 데이터 처리 시스템에 대한 무단 접근을 방지하기 위해 합리적인 보안 조치를 시행합니다. FSI는 데이터 처리 시스템 접근 권한을 가진 FSI 사용자의 목록을 유지 및 검토합니다. FSI는 사업상 승인된 필요에 따라 제한된 수의 사람들에게 접근 권한을 부여합니다.
3. 보안 교육 및 인식 FSI는 FSI 직원 및 FSI 직원 사용자를 위한 공식적인 보안 인식 및 교육 프로그램을 운영합니다. 이 프로그램에는 연 단위로 또는 가능한 한 자주 실시하는 필수 학습 모듈이 포함되어 있어 사용자가 주요 정보 보안 개념 및 정책을 숙지할 수 있도록 합니다. 연례 교육 주제에는 민감한 정보의 적절한 분류 및 취급이 포함됩니다. 공식적인 교육 외에도, 피싱 시뮬레이션 훈련을 예고 없이 반복적으로 실시하여 악성 이메일 메시지를 식별, 신고, 회피하는 방법에 대한 교육을 보강합니다.
4. 데이터 보호 FSI는 개인 데이터가 전송 및 보관 중 권한이 없는 자에 의하여 부적절하게 사용, 열람, 복사, 변경 또는 삭제되는 것을 방지하기 위하여 합리적인 조치를 시행합니다. 데이터 보호 통제는 심층 방어 방식을 사용하여 실시됩니다.
5. 모니터링 FSI는 민감한 시스템 및 네트워크 자원에 대한 접근을 모니터링하고 사용자가 정책에 따라 행동하도록 합리적인 조치를 시행합니다. 로그는 사업상 필요 사항 및 규제 요건에 따라 보관되며, 중앙 저장소 또는 필요에 따라 중앙 저장소로 이전할 수 있는 플랫폼 기본 저장소에 저장됩니다. 로그는 정확성과 불변성을 보장하는 방식으로 저장 및 보호됩니다. FSI는 악의적일 수 있는 활동을 식별하기 위해 일련의 자동화된 경고를 합니다. FSI는 잠재적인 ���격을 식별하고 FSI 사고 대응을 지원하기 위해 데이터를 정기적으로 검토하고 로그를 작성합니다.
6. 엔드포인트 탐지 및 대응 FSI는 FSI 엔드포인트를 포함한 사용자 및 서버 엔드포인트에 합리적인 제어를 구현하며, 이는 악성 소프트웨어 전파 예방, 중앙 집중식 경고, 호스트 프로세스 및 파일 쿼리, 시스템 격리 기능을 제공합니다.
7. 보안 사고 대응 절차 FSI는 보안 사고를 탐지, 대응하고 해결하기 위해 서면 사고 대응 정책 및 절차를 운영합니다. FSI는 24시간 연중무휴 보안 운영 센터(이하 SOC)를 운영하여 요주의 사건을 우선 순위에 따라 분류하고, 공격 또는 침입 사건이 실제로 발생하거나 그러한 시도가 있었는지 시스템을 모니터링하며, 보안 사고의 부정적 영향을 완화하고, 보안 사고 및 그 결과를 문서화합니다. 중대한 사고가 발생하거나 전문적인 포렌식 분석을 필요로 하는 사고의 경우, 제삼자인 사고 대응 제공업체와의 계약을 유지하여 제삼자의 신속한 개입을 원활하게 합니다. FSI는 특별 지원 및 분류를 위해 상시 근무하는 FSI 전담 보안 팀을 운영하기도 합니다. SOC는 FSI의 데이터 개인정보 보호실, 법무실, 외부 보안 전문가와 긴밀히 협력하여 관련 법률 및 규정에 따라 사고가 처리되도록 합니다.
8. 보안 및 위험 평가 FSI는 보안 통제의 효과를 평가하고, 보안 통제 실패를 식별하며, 위험 기반 접근 방식을 사용하여 보안 통제 공백을 식별, 평가, 심사하기 위해 합리적인 정책과 절차를 운영합니다.
9. 시스템 구성 및 유지 보수 FSI는 데이터 처리 장비(서버, 데이터베이스, 노트북, 방화벽, 스위치, 라우터, 컨트롤러 등)가 적절하게 구성되어 개인 데이터를 충분히 보호할 수 있도록 하는 합리적인 정책과 절차를 운영합니다. FSI는 FSI 환경 내 취약점을 식별하고 적절한 자원으로 전달하여 적시에 문제를 해결할 수 있도록 돕는 취약점 관리 프로그램을 운영합니다.
10. 시스템 및 정보 복원력 FSI는 합리적인 조치를 시행하여 개인 데이터가 우발적 또는 악의적으로 사용, 변경 또는 파기되는 일로부터 적절히 보호하고, 우발적 또는 악의적으로 사용, 변경 또는 파기된 데이터가 식별 및 복구될 수 있도록 합니다. FSI는 데이터의 중요도 및 사업상 필요에 따라 온라인, 니어라인, 오프라인 사본을 포함하는 데이터 및 시스템 백업 절차를 시행합니다. FSI는 고도의 중복 정보 시스템을 활용하여 고도의 가용성, 고성능 애플리케이션 및 시스템을 보장합니다.
11. 법규 준수 FSI는 데이터 보호 법률 및 규정 준수를 관리하는 FSI 데이터 개인정보 보호실을 운영합니다. FSI는 내부 평가를 통한 보안 통제, 프로세스, 절차의 테스트 및 검증에 중점을 두는 FSI의 IT 내부통제 프로그램을 운영하기도 합니다.
12. 책임 FSI에는 FSI의 정보 보안 프로그램 개발, 구현, 유지보수를 담당하는 전담 보안 책임자가 있습니다. 또한, FSI의 정보 보안 프로그램 정책은 정보 보안 프로그램과 관련된 모든 이해관계자의 역할과 책임을 설명하며, 모든 직원 사용자가 접근할 수 있는 저장소에 공개됩니다.
13. 기록물의 적절한 사용 및 보존 FSI는 개인 데이터를 포함한 기밀 데이터의 사용 및 보존을 관리하는 정책 및 절차를 시행합니다. 데이터는 데이터 소유자의 데이터 공유 요건을 준수하도록 관리되며, 인공지능(AI) 기술의 허용 가능한 사용에 대한 감독 절차 또한 마련되어 있습니다.
14. 업데이트 FSI는 기술 관련 변화, 업계 보안 표준, 개인 데이터의 민감도 및 개인 데이터에 대한 내부 또는 외부의 잠재적 위협을 고려하여 매년 또는 필요할 때마다 정보 보안 프로그램을 모니터링, 평가, 조정합니다.
별첨 III:
보조 프로세서 목록
정보 관리자는 다음 보조 처리자의 사용을 허가했습니다.*
- ANCESTRY
- BART DEVELTER V.O.F.
- BRIGHAM YOUNG UNIVERSITY
- CENTURY VITAL RECORDS (CVR)
- CONTENT ARCHAEOLOGY
- DATADISC.IT S.R.L.
- DIE MOBILE SEKRETÄRIN E.U.
- DIGITAL 4 KIT
- DOUBLE DIGITAL
- EMPRESA DE ARQUIVO DE DOCUMENTAÇÃO S.A.
- FORMAX
- GENEALAB
- GENESIS
- GREYSCALE LTD.
- INFOSCRIBE SAS
- INTELLIGENT IMAGE MANAGEMENT (IIMI)
- IRON MOUNTAIN AUSTRALIA
- IRON MOUNTAIN CESKA REPUBLIKA S.R.O.
- LIFEWOOD
- MATERN
- MYHERITAGE
- NORMADAT S.A.
- OSG RECORDS MANAGEMENT
- PEDRO CRUZ MARTINEZ
- RASTERGEN – GESTÃO DOCUMENTAL UNIPESSOAL (LDA)
- SBL
- STASIS S.A.S.
- SVI
- TRACEABLE SOLUTIONS
- TRUEBPO INC(구 EQOD INC)
(1.1) 스위스의 기록 관리인에게는 EU 표준계약조항의 "모듈 2: 관리자에게서 처리자에게로"(이하 “EU SCC, 모듈 2”)와 더불어 다음과 같은 내용이 적용됩니다.
EU 표준계약조항에 대한 스위스 부록
데이터 제공자로부터 데이터 수령자로의 개인정보 전송이 EU GDPR 및 (아래에 정의된 바와 같은) FADP의 적용을 받는 경우, FADP의 제6조 2항에 기재된 바에 따라 표준계약조항이 해당 전송에 대한 적절한 수준의 보호를 보장하기에 적합하도록 다음과 같은 추가 조항이 적용됩니다.
(a) "FADP"는 1992년 6월 19일 연방 데이터 보호법(SR 235.1)을 의미합니다.
(b) "FDPIC"는 스위스 연방 데이터 보호 및 정보 감독관을 의미합니다.
(c) "개정 FADP"는 2020년 9월 25일 FADP의 개정판을 의미하며, 2023년 1월 1일에 발효될 예정입니다.
(d) "EU 회원국"이라는 용어는 스위스의 데이터 주체가 표준계약조항의 제18조(c)에 따라 일상거소지(스위스)에서 자신의 권리를 소송의 방법으로 행사할 가능성을 배제하는 방식으로 해석되어서는 안 됩니다.
(e) 표준계약조항은 개정 FADP가 발효될 때까지 법인의 데이터도 보호합니다.
(f) FDPIC는 관련 데이터 전송이 FADP에 의해 관리되는 한 "관할 감독 기관" 역할을 합니다.
(1.2) 영국의 기록 관리인에게는 EU 표준계약조항의 "모듈 2: 관리자에게서 처리자에게로"(이하 “EU SCC, 모듈 2”)와 더불어 다음과 같은 내용이 적용됩니다.
유럽연합 집행위원회 표준계약조항에 대한 국제 데이터 전송 부록
(이하 “UK IDTA”)
유럽연합 집행위원회 표준계약조항(이곳에 위치)은 이로써 참조로 통합되며 다음과 같은 내용이 적용됩니다.
제1부: 표
표 1은 EU SCC, 모듈 2의 별첨 I에 있던 것을 그대로 수록한 것입니다.
표 2 - 다음 내용은 위에서 언급한 당사자들이 합의한 EU SCC, 모듈 2에 적용됩니다.
- 제7조(도킹 조항)는 삭제됩니다.
- 제9조(보조 처리자 사용)는 "옵션 2: 일반 서면 승인"을 포함합니다.
- 제11조(구제)는 (a)에 옵션을 포함하지 않습니다.
- 제13조(감독)는 EU 회원국에 설립된 제공자에게 적용되는 조항을 포함합니다.
- 제17조(준거법)는 옵션 1을 포함하며 관련된 데이터 제공자의 국가의 법률을 포함합니다.
- 제18조(법정지 및 관할권 선택)는 관련된 데이터 제공자의 국가의 법원을 포함합니다.
표 3 – EU SCC, 모듈 2의 별첨 I, II, III에 있던 것을 수록한 것입니다.
표 4 – UK IDTA는 어느 한쪽 당사자(수령자 및 제공자)가 끝낼 수 있습니다.
제2부 – 의무 조항
모든 의무 조항이 적용되며, 반대로 대안적 제2부 의무 조항은 적용되지 않습니다.
(2) 다음 지역의 기록 관리인에게는 EU 표준계약조항의 "모듈 2: 관리자에게서 처리자에게로"(이하 “EU SCC, 모듈 2”)(이곳에 위치)가 적용됩니다.
알���니아, 안도라, 아르메니아, 아제르바이잔, 벨라루스, 보스니아헤르체고비나, 조지아, 건지, 맨섬, 저지, 케냐, 모나코, 카자흐스탄, 코소보, 몬테네그로, 북마케도니아, 산마리노, 세르비아, 시리아, 튀르키예, 우크라이나, 베트남, 예멘.
(3) 앙골라의 기록 관리인(이하 “앙골라”)에게는 앙골라 데이터 보호법(법률번호 22/11, 2011년 6월 17일)의 앙골라 계약조항(이하 “앙골라 CC”)(이곳에 위치)과 더불어 다음이 적용됩니다.
다음 내용은 위에서 언급한 당사자들이 합의한 앙골라 CC에 적용됩니다.
개인 데이터의 처리, 전송 및 저장 장소에는 가나와 미국이 포함됩니다.
EU SCC 모듈 2에 대하여 위에서 제공된 기타 모든 정보는 앙골라 CC에 적용됩니다.
(4) 나이지리아의 기록 관리인(이하 “나이지리아”)에게는 나이지리아 데이터 보호법(NDPA) 2023의 나이지리아 계약조항(이하 "나이지리아 CC")(이곳에 위치)과 더불어 다음이 적용됩니다.
다음 내용은 위에서 언급한 당사자들이 합의한 나이지리아 CC에 적용됩니다.
개인 데이터의 처리, 전송 및 저장 장소에는 가나와 미국이 포함됩니다.
EU SCC 모듈 2에 대하여 위에서 제공된 기타 모든 정보는 나이지리아 CC에 적용됩니다.
(5) 다음 지역의 기록 관리인에게는 ASEAN 모델계약조항의 "모듈 1: 관리자에게서 처리자에게로"(이하 “MCC, 모듈 1”)(이곳에 위치)가 적용됩니다.
브루나이 다루살람, 캄보디아, 인도네시아, 라오스, 말레이시아, 미얀마, 필리핀, 싱가포르, 태국, 베트남
다음 내용은 위에서 언급한 당사자들이 합의한 MCC, 모듈 1에 적용됩니다.
- 제2조(데이터 제공자의 의무)는 삭제됩니다.
- 제3조(데이터 수령자의 의무) 선택적 하위 조항 3.4, 3.6, 3.7 및 3.7의 선택적 조항이 삭제됩니다. 하위 조항 3.10은 “…파트너가 지정한 합리적인 기간 내에”입니다.
- 제4조(법률 분쟁 선택)는 4.1에 있는 제공자의 ASEAN 회원국을 포함합니다. 운영 하위 조항 4.3은 삭제됩니다.
- 제6조(계약 해지)는 6.1.1에 "30일"을 포함합니다.
- 개별 구제책에 대한 추가 약관(개별 구제책) 모든 개별 구제책은 삭제됩니다.
- 붙임 A: EU SCC, 모듈 2의 별첨 I 참조.
(6) 다음 지역의 기록 관리인에게는 이베로아메리카 데이터 보호 네트워크 모델 전송 계약(이하 “IADPN MCC, 관리자에게서 처리자에게로”)( 이곳에 위치)이 적용됩니다.
페루, 우루과이, 아르헨티나, 안도라
다음 내용은 위에서 언급한 당사자들이 합의한 "IADPN MCC, 관리자에게서 처리자에게로"에 적용됩니다.
- EU SCC, 모듈 2의 별첨 I은 참조로 통합되며 "IADPN MCC, 관리자에게서 처리자에게로"의 모든 필수 정보를 수록합니다.
- 하위 조항 9(a)의 제9조(구제) 에 포함된 선택적 문구는 삭제됩니다.
- 별첨 A는 EU SCC, 모듈 2의 별첨 I에 있는 관련 정보를 수록합니다.
- 별첨 B는 EU SCC, 모듈 2의 별첨 I에 있는 관련 정보를 수록합니다.
- 별첨 C는 EU SCC, 모듈 2의 별첨 II에 있는 관련 정보를 수록합니다.
- 별첨 D는 EU SCC, 모듈 2의 별첨 III에 있는 관련 정보를 수록합니다.
- 별첨 E는 https://www.familysearch.org/legal/privacy에 있는 개인 정보 보호 알림을 수록합니다.
(7) 중국의 기록 관리인에게는 다음(이곳에 위치)이 적용됩니다.
a. 홍콩의 기록 관리인에게는 다음(이곳에 위치)이 적용됩니다.
(8) 브라질의 기록 관리인에게는 다음(이곳에 위치)이 적용됩니다. (PDF도 이곳에서 확인)
(9) 뉴질랜드의 기록 관리인에게는 다음(이곳에 위치)이 적용됩니다.
(10) 르완다의 기록 관리인에게는 다음(이곳에 위치)이 적용됩니다.
(11) 카타르의 기록 관리인에게는 다음(이곳에 위치)이 적용됩니다.
(12) 사우디아라비아의 기록 관리인에게는 다음(이곳에 위치)이 적용됩니다.