ADDENDUM TIL VILKÅR FOR BEHANDLING OG OVERFØRING AV DATA
Partene erkjenner og godtar at personopplysninger som overføres mellom FamilySearch International (eller dets tilknyttede selskaper) og en eller flere registerforvaltere, er underlagt (i) vilkårene som er undertegnet av begge parter, der disse vilkårene for behandling og overføring av data er innlemmet ved referanse («avtalen»), og (ii) alle gjeldende personvern- og databeskyttelseslover.
Partene forstår og godtar at (i) registerforvalteren er behandlingsansvarlig og eksportør av de overførte personopplysningene, og at (ii) FamilySearch International (eller dets tilknyttede selskaper) er databehandler og importør.
Partene forstår og godtar at gjeldende addendum om behandling og overføring av data som er oppført nedenfor, fastsettes av registerforvalterens fysiske sted, med mindre et annet sted er utpekt skriftlig av registerforvalteren på avtalens inngåelsestidspunkt.
(1) For registerforvaltere på følgende steder gjelder EUs standard kontraktsvilkår, modul 2: Behandlingsansvarlig til databehandler («EU SCC, modul 2») (finnes her):
Afghanistan, Algerie, Østerrike, Australia, Bahrain, Barbados, Belgia, Belize, Botswana, De britiske Jomfruøyer, Bulgaria, Burkina Faso, Caymanøyene, Den demokratiske republikken Kongo, Cookøyene, Kroatia, Cuba, Kypros, Tsjekkia, Danmark, Ecuador, Egypt, Estland, Eswatini, Etiopia, Fiji, Finland, Frankrike, Fransk Guyana, Fransk Polynesia, De franske sørterritorier, Gabon, Tyskland, Glorieusesøyene, Hellas, Grenada, Guam, Guyana, Haiti, Ungarn, India, Indonesia, Iran, Irak, Irland, Italia, Israel, Jamaica, Japan, Jordan, Juan de Nova-øya, Kiribati, Kuwait, Latvia, Libanon, Libya, Liechtenstein, Litauen, Luxembourg, Malta, Marshalløyene, Melanesia, Mexico, Mikronesia, Mongolia, Marokko, Nauru, Nepal, Nederland, Ny-Caledonia, Niger, Niue, Norge, Oman, Palau, Panama, Papua Ny-Guinea, Pakistan, Palestina, Pitcairnøyene, Polen, Portugal, Moldova, Romania, Saint Kitts og Nevis, Samoa, Seychellene, Slovakia, Slovenia, Salomonøyene, Somalia, Sør-Afrika, Sør-Korea, Spania, Sri Lanka, Sudan, Sverige, Sveits*, Tanzania, Thailand, Togo, Tokelau, Tonga, Tunisia, Tyrkia, Tuvalu, Uganda, De forente arabiske emirater, Storbritannia**, Vanuatu, Wallis og Futuna, Zambia, Zimbabwe
* Selv om EØS-addendumet om behandling og overføring av data gjelder for Sveits, krever Sveits også ytterligere språk, som herved inkorporeres i addendumet og oppgis nedenfor.
** Selv om EØS-addendumet om behandling og overføring av data gjelder for Storbritannia, krever Storbritannia også ytterligere språk, som herved inkorporeres i addendumet og oppgis nedenfor.
Følgende gjelder for EU SCC, modul 2 som avtalt mellom partene nevnt ovenfor:
- Klausul 7 (Dokkingklausul) er strøket.
- Klausul 9 (Bruk av underbehandlere) inkorporerer ALTERNATIV 2: GENERELL SKRIFTLIG AUTORISASJON).
- Klausul 11 (Klageadgang) inkorporerer ikke ALTERNATIVET i (a).
- Klausul 13 (Tilsyn) inkorporerer språk som gjelder for eksportører etablert i en EU-medlemsstat.
- Klausul 17 (Lovvalg) inkorporerer ALTERNATIV 1, og inkorporerer loven i landet der dataeksportøren gjelder.
- Klausul 18 (Valg av verneting og jurisdiksjon) inkorporerer domstolene i landet der dataeksportøren gjelder.
- VEDLEGG I: Se nedenfor.
- VEDLEGG II: Se nedenfor.
- VEDLEGG III: Se nedenfor.
VEDLEGG I:
A. Liste over parter
Dataeksportør
- Navn: registerforvalter identifisert i avtalen
- Adresse: adresse til registerforvalter identifisert i avtalen
- Kontakt: Se «Kontaktinformasjon for kunngjøringer» spesifisert for registerforvalter i avtalen
- Aktiviteter som er relevante for dataene som overføres i henhold til klausulene: Relevante aktiviteter er beskrevet i avsnitt B («Beskrivelse av overføring») nedenfor
- Rolle: behandlingsansvarlig
Dataimportør
- Navn: FamilySearch International
- Adresse: 36 S State St., Ste 1900, Salt Lake City, UT 84111
- Kontakt: Manager, Data Privacy Office – 50 East North Temple Street, Salt Lake City, Utah 84150
- Telefon: (801) 240-1187
- E-post: Dataprivacyofficer@churchofjesuschrist.org
- Aktiviteter som er relevante for dataene som overføres i henhold til klausulene: Relevante aktiviteter er beskrevet i avsnitt B («Beskrivelse av overføring») nedenfor
- Rolle: databehandler
B. Beskrivelse av overføring
Kategorier av registrerte hvis personopplysninger overføres
Registrerte funnet i historiske og genealogiske opptegnelser hvis personopplysninger bevares med henblikk på forskning, historiske og statistiske formål.
Kategorier av overførte personopplysninger
Genealogiske data – informasjon som innhentes for å bevare folks personlige historie og familiehistorie:
- Navn (den registrertes navn, farens og morens navn, barnas navn, søsknenes navn, ektefellens navn osv.)
- Familieforhold (navn på enkeltpersoner, søsken, foreldre, barn, besteforeldre, tanter, onkler).
- Biografisk informasjon (navn, fødselsdato, dødsdato, historier og opplysninger om individets liv, yrke, utdanning, sted for livshendelser, personlige religiøse hendelser – dåp, konfirmasjoner osv.)
- Fødselsdato, fødested og relaterte detaljer (barnets kjønn, navn på foreldre, adresse til foreldre på fødselstidspunktet, eller adoptivforeldre avhengig av type fødselsregister, fødselsdato og fødested).
- Alder
- Kjønn
- Vielsesdato, -sted og relaterte opplysninger (navn på person, foreldre osv.)
- Dødsdato, dødssted og relaterte opplysninger (navn på individ, dødsårsak)
- Nasjonalitet
- Personlige kjennetegn, inkludert fotografisk bilde
- Annen informasjon i ervervede genealogiske og historiske opptegnelser, inkludert fra folketellinger (individuelle navn, barn, yrke, bosted), familiehistorier (biografiske data, navn, familieforhold), sognebøker (navn på forsamlingens medlemmer, bosted, fødselsdatoer, familieforhold), kirkebøker (fødsels-, ekteskaps-, og dødsregistre, dåp, konfirmasjoner), folkeregistre (fødsels-, ekteskaps- og dødsregistre), dødsannonser i aviser (fødsels-, landregistre, statsarkivsamlinger) og naturaliseringsregistre (statsborgerskapsregistre, innvandringsregistre, naturaliseringsregistre inkludert navn, fødselsdatoer, opprinnelsesland, bostedsland og adresse, navn på familiemedlemmer, yrke, noen landsspesifikke elementer avhengig av land og dato for innhenting).
Sensitive data – informasjon som tilfeldigvis er inkludert i historiske og genealogiske opptegnelser, som kan defineres som sensitive i henhold til personvernlover:
- Identitetsdata og demografiske data (rase eller etnisk opprinnelse, nasjonal opprinnelse, stammeopprinnelse, sosial status, spesifikk identitet (unike identifikatorer, f.eks. pass, personnummer, førerkort, delstats-ID), sivilstand, alder, farge, statsborgerskaps- eller innvandringsstatus, status som offer for kriminalitet eller skadelidende som følge av en forbrytelse)
- Overbevisninger og tilknytninger (religiøs overbevisning eller tilknytning, filosofiske overbevisninger, moralske overbevisninger, ideologiske overbevisninger, politiske meninger, politisk overbevisning, politiske ideologier eller politisk tilknytning, fagforeningsmedlemskap, laugmedlemskap, fagforeningstilknytning, medlemskap i faglige eller sosiale foreninger, eller menneskerettighetsorganisasjoner
- Helsedata og genetiske/biometriske data (nåværende eller fremtidig fysisk eller psykisk helsetilstand, status eller diagnose, medisinsk historie, medisinske journaler, medisinsk behandling, helsetjenester, psykologisk eller fysiologisk status, genetiske data (arvede eller ervervede egenskaper, menneskelig biologisk profil), biometriske data (brukes til unik identifikasjon, automatisert verifisering eller avsløring av ytterligere sensitive kjennetegn), nevrale data (hjerne-/nevrorelaterte data, kognitive/emosjonelle data).
- Kriminelle og juridiske data (svertet rulleblad eller kriminell historikk, kriminell adferd eller kriminelle handlinger, begått eller påstått begått lovbrudd, rettergang, utfall, dommer eller straffer knyttet til straffesaker)
- Steds- og kommunikasjonsdata (geolokaliseringsdata (presis eller spesifikk plassering, inkludert GPS-koordinater), kommunikasjonsdata, inkludert innhold og metadata for samtaler, tekstmeldinger, e-poster eller post, innhold i post, e-post eller tekstmeldinger (med mindre dette er adressert til mottakeren))
- Ungdomsdata (eventuelle personopplysninger knyttet til en mindreårig)
- Andre spesielle kategorier
- Personlige vaner, livsstil og intime/private livsforhold
- Moralske eller etiske kjennetegn
- Familiesaker eller emosjonelle data / familielivsdata
- Utdanningsopptegnelser
- Ansettelsesrelaterte data knyttet til beskyttede karakteristika
- Forbrukerhelsedata (bredere enn medisinske journaler, inkludert velvære/helse, graviditet osv.)
- Data knyttet til ideologi eller tro som ikke er fanget opp på annen måte
- Alle data som kan true personvern, verdighet, sikkerhet eller eiendom betydelig dersom de misbrukes
- Data med økt risiko for diskriminering eller skade avhengig av kontekst (f.eks. TV-visningsdata klassifisert som sensitive av FTC)
- Sivilstand (navn, datoer osv.)
- Offentlig identifikasjonsnummer eller lignende opplysninger (fødsels- og personnumre osv.)
- Passnummer
- Religiøs tilknytning (informasjon i kirkebøker inkludert medlemsnumre, navn, fødselsdatoer, dåpsdatoer, ekteskapsdatoer, dødsdatoer og data relatert til spesifikk religion).
- Data knyttet til mindreårige (navn, fødselsdatoer, foreldre, søsken, vergeopplysninger, adopsjonsinformasjon, rettslige opptegnelser, utdanningsdokumenter)
- Helserelaterte data (sykdommer, sykehusopphold, dødsårsaker)
- Kriminell historikk (navn, datoer for fengsling, kjennelser vedrørende individet)
- Fagforeningsmedlemskap (navn på medlemmer, dato for medlemskap, gebyrinformasjon for medlemskap osv.)
- Rase eller etnisk opprinnelse (opprinnelsesregion eller -land)
- Religion (navn og religiøs tilknytning)
- Politisk tilhørighet (navn og politisk parti, donasjonsinformasjon)
Overføringens frekvens (f.eks. om det er på engangsbasis eller kontinuerlig basis).
Ad hoc
Behandlingens art
De overførte personopplysningene kan være underlagt ulike behandlingsaktiviteter, når det er tillatt ved lov, inkludert digitalisering, indeksering, hosting, lagring, overføring, redigering og visning. Disse aktivitetene støttes av skybaserte datasentre, inkludert de i USA, i den grad personvernlovene tillater det. For eksempel kan dataene behandles for å støtte følgende aktiviteter:
- Bevaring av historiske dokumenter: digitalisering, bevaring, indeksering, lagring og/eller arkivering av historiske dokumenter, bilder og artefakter for fremtidige generasjoner, som instruert av dataeksportøren.
- Slektsforskning: Når det tillates i henhold til personvernlovgivning og av dataeksportøren (f.eks. når dataene ikke lenger er begrensede), kan dataene inkluderes i applikasjoner som brukes av forskere og nettstedsbrukere for å støtte sporing av slekts- eller familiehistoriske oppføringer eller andre typer slektsforskning, programmer og aktiviteter.
- Slektsforskning: innhenting og bevaring av informasjon om en persons aner og slektstre.
- Slektsforskning: Tilby opplæring og ressurser for å hjelpe flere millioner mennesker rundt om i verden med å oppdage arven sin og komme i kontakt med familiemedlemmer.
Formål med dataoverføringen og videre behandling
Dataoverføringen til dataimportøren (i dataimportørens globale hovedkvarter) og videre behandling av dataimportøren støtter bevaring og lagring av historiske familieoppføringer til fordel for offentlige arkiver, offentlige organer, urbefolkninger, private arkiver, andre private organer og enkeltpersoner. Dersom det tillates i henhold til personvernlovgivning og av dataeksportøren (f.eks. når dataene ikke lenger er begrensede), kan disse oppføringene også gjøres offentlig tilgjengelige på dataimportørens nettsted kostnadsfritt for forskningsformål.
Perioden personopplysningene skal oppbevares, eller dersom det ikke er mulig, kriteriene som brukes for å fastsette den perioden
Personopplysninger som innhentes for historiske bevaringsformål, oppbevares i henhold til instruksene fra dataeksportøren så lenge dette bes om. I mange tilfeller, så lenge registrene beholder historisk verdi, kan de oppbevares på ubestemt tid for arkivformål og for å dokumentere slektsforskning, med mindre en registrert ber om sletting.
For overføringer til (under)behandlere, må man også spesifisere behandlingens emne, art og varighet
Dataimportøren behandler personopplysninger for å bevare historiske dokumenter og for slektsforskningsformål, etter instruks fra dataeksportøren. Dataimportøren kan engasjere en databehandler eller underdatabehandler i henhold til en databehandlings- eller underdatabehandlingsavtale for å bistå med databehandling for de samme formålene, og for å utføre funksjoner på vegne av dataeksportøren og/eller dataimportøren (for eksempel digitalisering og indeksering av historiske oppføringer). Behandlings- eller underbehandlingsavtalen kommer til å gi ytterligere detaljer om behandlingens emne, art og varighet.
C. Ansvarlig tilsynsmyndighet
Identifiser ansvarlig(e) tilsynsmyndighet(er) i samsvar med klausul 13
Tilsynsmyndigheten i landet til dataeksportøren er identifisert i vedlegg I.A.
VEDLEGG II:
TEKNISKE OG ORGANISATORISKE TILTAK FOR FAMILY SEARCH INTERNATIONAL (IMPORTØR)
Dette dokumentet skisserer de tekniske og organisatoriske informasjonssikkerhetstiltakene som brukes av Family Search International (importør) («FSI»).
Tekniske og organisatoriske sikkerhetstiltak. FSI opprettholder et omfattende informasjonssikkerhetsprogram og implementerer rimelige tekniske og organisatoriske sikkerhetstiltak, basert på bransjestandarder, organisatoriske behov og risiko, for å minimere og beskytte mot uautorisert eller ulovlig behandling, utilsiktet eller forsettlig tap, uautorisert tilgang, destruering eller skade. Disse tiltakene bidrar til å sikre konfidensialitet, integritet, tilgjengelighet og robusthet for FSI samt FSIs systemer og data. På systemer som ikke kontrolleres direkte av FSI, samarbeider FSI-partnere med FSI for å implementere sammenlignbare sikkerhetskontroller. FSIs sikkerhetsprogram inkluderer følgende elementer:
1. Policyer og prosesser. FSI opprettholder formelle skriftlige policyer og prosesser for å sikre dataenes konfidensialitet, integritet og tilgjengelighet, og for å beskytte dem mot utilsiktet, uautorisert eller upassende offentliggjøring, bruk, endring eller destruksjon. Disse policyene gjennomgås og oppdateres årlig eller oftere når det er hensiktsmessig. Policyer og prosedyrer har til hensikt å sikre at fysiske, tekniske og administrative sikkerhetstiltak er på plass og fungerer effektivt.
2. Tilgangskontroller.
Fysisk tilgang – FSI iverksetter rimelige tiltak for å hindre at uautoriserte personer får tilgang til databehandlingsutstyr (databaseservere, applikasjonsservere, nettverkssvitsjer, brannmurer, kontroller og tilhørende maskinvare) der personopplysninger behandles eller brukes.
Logisk tilgang – FSI implementerer rimelige sikkerhetstiltak for å forhindre uautorisert tilgang til egne databehandlingssystemer. FSI vedlikeholder og vurderer FSI-brukere med tilgang til databehandlingssystemer. FSI gir et begrenset antall personer tilgang basert på forretningsgodkjent behov.
3. Sikkerhetsopplæring og bevissthet. FSI opprettholder et formelt sikkerhetsbevissthets- og opplæringsprogram for medlemmer av FSIs arbeidsstyrke og brukere av FSIs arbeidsstyrke. Programmet inkluderer nødvendige læringsmoduler som sikrer brukernes bevissthet om viktige informasjonssikkerhetskonsepter og policyer, årlig eller så ofte som det er praktisk. Årlige opplæringsemner inkluderer riktig klassifisering og håndtering av sensitiv informasjon. I tillegg til formell opplæring, forsterker gjentatte, uanmeldte phishing-simulasjonsøvelser opplæringen i hvordan man identifiserer, rapporterer og unngår ondsinnede e-postmeldinger.
4. Databeskyttelse. FSI iverksetter rimelige tiltak for å forhindre at personopplysninger blir brukt, lest, kopiert eller endret på upassende måter eller slettet av uautoriserte parter, enten under transitt eller i hvile. Databeskyttelseskontroller distribueres ved hjelp av flere overlappende sikkerhetsnivåer tilnærming.
5. Overvåking. FSI iverksetter rimelige tiltak for å overvåke tilgangen til sensitive systemer og nettverksressurser og for å sikre at brukere handler i samsvar med policy. Logger beholdes basert på forretningsbehov og regulatoriske krav, og lagres i et sentralt arkiv eller i et arkiv som er innebygget i plattformen med mulighet til å overføre til det sentrale arkivet etter behov. Logger lagres og sikres på en måte som bidrar til å sikre nøyaktighet og uforanderlighet. FSI opprettholder et sett med automatiske varsler for å identifisere potensielt ondsinnet aktivitet. FSI logger data som regelmessig gjennomgås for å identifisere potensielle angrep, og for å støtte FSIs respons på hendelser.
6. Endepunktsdeteksjon og respons. FSI implementerer rimelige kontroller på bruker- og serverendepunkter, inkludert endepunkter for FSI, som gir beskyttelse mot spredning av skadevare, sentralisert varsling, vertsprosess og filspørring, og systemisolasjonskapabiliteter.
7. Prosedyrer for respons på sikkerhetshendelser (IR-prosesser). FSI opprettholder skriftlige IR-policyer og -prosedyrer for å oppdage, svare på og på annet vis håndtere sikkerhetshendelser. FSI driver et sikkerhetssenter (SOC) som er åpent 24-7 for triage av hendelser av interesse, for å overvåke systemer for faktiske og forsøkte angrep eller inntrengninger, redusere skadelige effekter av sikkerhetshendelser, samt dokumentere sikkerhetshendelser og resultatene av dem. Avtaler opprettholdes med tredjepartsleverandører av hendelsesrespons for å legge til rette for raskt engasjement fra tredjeparter ved en større hendelse, eller der en hendelse krever spesialisert kriminalteknisk analyse. FSI opprettholder også et heltids, FSI-fokusert sikkerhetsteam for spesiell støtte og triage. SOC samarbeider tett med FSIs datavernkontor (DPO) og Office of General Counsel (OGC), samt eksterne sikkerhetseksperter for å sikre at hendelser håndteres i samsvar med gjeldende lover og forskrifter.
8. Sikkerhets- og risikovurderinger. FSI opprettholder rimelige policyer og prosedyrer for å bidra til å vurdere sikkerhetskontrollenes effektivitet, identifisere feil i sikkerhetskontroller, samt for å identifisere, evaluere og vurdere hull i sikkerhetskontroller ved hjelp av en risikobasert tilnærming.
9. Systemkonfigurasjon og -vedlikehold. FSI opprettholder rimelige retningslinjer og prosedyrer for å sikre at databehandlingsutstyr (servere, databaser, laptoper, brannmurer, svitsjer, rutere, kontroller osv.) er riktig konfigurert for å sikre at personopplysninger er tilstrekkelig beskyttet. FSI opprettholder et program for håndtering av sårbarhet for å identifisere sårbarheter i FSI-miljøet og kommunikasjon til de aktuelle ressursene for å muliggjøre rettidig utbedring.
10. System- og informasjonsrobusthet. FSI iverksetter rimelige tiltak for å sikre at personopplysninger er tilstrekkelig beskyttet mot utilsiktet eller ondsinnet bruk, endring eller ødeleggelse, og at data som har blitt brukt, endret eller ødelagt på en utilsiktet eller ondsinnet måte, kan identifiseres og gjenopprettes. FSI implementerer sikkerhetskopieringsprosedyrer for data og systemer som inkluderer online-, nearline- og offline-kopier basert på datakritikalitet og forretningsbehov. FSI bruker svært redundante informasjonssystemer for å sikre applikasjoner og systemer med høy tilgjengelighet og ytelse.
11. Overholdelse. FSI opprettholder et datavernkontor for FSI som administrerer overholdelse av databeskyttelseslover og -forskrifter. FSI opprettholder også et internt IT-samsvarsprogram for FSI, med fokus på testing og validering av sikkerhetskontroller, prosesser og prosedyrer gjennom interne evalueringer.
12. Ansvarlighet. FSI har en utpekt sikkerhetsansvarlig som er ansvarlig for utvikling, implementering og vedlikehold av informasjonssikkerhetsprogrammene hos FSI. I tillegg skisserer FSI-policyen for informasjonssikkerhetsprogrammet rollene og ansvarsområdene til samtlige interessenter i informasjonssikkerhetsprogrammet, og publiseres i et arkiv som er tilgjengelig for alle brukere av arbeidsstyrken.
13. Hensiktsmessig bruk og oppbevaring av opptegnelser. FSI implementerer policyer og prosesser som styrer bruk og oppbevaring av konfidensielle data, inkludert personopplysninger. Det er iverksatt prosesser for å sikre at dataene overholder dataeiernes datadelingskrav. Det inkluderer tilsyn med akseptabel bruk av teknologier med kunstig intelligens.
14. Oppdateringer. FSI overvåker, evaluerer og justerer programmet for informasjonssikkerhet årlig eller etter behov, med tanke på relevante endringer i teknologi, bransjens sikkerhetsstandarder, personopplysningers sensitivitet og potensielle interne eller eksterne trusler mot personopplysninger.
VEDLEGG III:
LISTE OVER UNDERBEHANDLERE
Behandlingsansvarlig har godkjent bruk av følgende underbehandlere:*
- ANCESTRY
- BART DEVELTER V.O.F.
- BRIGHAM YOUNG UNIVERSITY
- CENTURY VITAL RECORDS (CVR)
- CONTENT ARCHAEOLOGY
- DATADISC.IT S.R.L.
- DIE MOBILE SEKRETÄRIN E.U.
- DIGITAL 4 KIT
- DOUBLE DIGITAL
- EMPRESA DE ARQUIVO DE DOCUMENTAÇÃO S.A.
- FORMAX
- GENEALAB
- GENESIS
- GREYSCALE LTD.
- INFOSCRIBE SAS
- INTELLIGENT IMAGE MANAGEMENT (IIMI)
- IRON MOUNTAIN AUSTRALIA
- IRON MOUNTAIN CESKA REPUBLIKA S.R.O.
- LIFEWOOD
- MATERN
- MYHERITAGE
- NORMADAT S.A.
- OSG RECORDS MANAGEMENT
- PEDRO CRUZ MARTINEZ
- RASTERGEN – GESTÃO DOCUMENTAL UNIPESSOAL (LDA)
- SBL
- STASIS S.A.S.
- SVI
- TRACEABLE SOLUTIONS
- TRUEBPO INC (FORMERLY EQOD INC)
(1.1) For registerforvaltere i Sveits gjelder følgende i tillegg til EUs standard kontraktsvilkår, modul 2: Behandlingsansvarlig til databehandler («EU SCC, modul 2»):
Sveitsisk tillegg til EUs standard kontraktsvilkår
Når en overføring av personopplysninger fra en dataeksportør til en dataimportør er underlagt EUs personvernforordning og FADP (som definert nedenfor), skal følgende tilleggsbestemmelser også gjelde for at standard kontraktsvilkår skal være egnet til å sikre et tilstrekkelig beskyttelsesnivå for slik overføring i samsvar med artikkel 6 nr. 2 bokstav i FADP:
(a) «FADP» betyr den føderale loven om databeskyttelse av 19. juni 1992 (SR 235.1).
(b) «FDPIC» betyr den sveitsiske føderale kommisjonæren for databeskyttelse og informasjon.
(c) «Revidert FADP» betyr den reviderte versjonen av FADP av 25. september 2020, som er planlagt å tre i kraft 1. januar 2023.
(d) Begrepet «EU-medlemsstat» må ikke tolkes på en slik måte at det ekskluderer registrerte i Sveits fra muligheten til å saksøke rettighetene sine på deres vanlige bosted (Sveits) i samsvar med klausul 18(c) i standard kontraktsvilkår.
(e) Standard kontraktsvilkår beskytter også dataene til juridiske enheter inntil den reviderte FADP trer i kraft.
(f) FDPIC skal fungere som «kompetent tilsynsmyndighet» i den grad den relevante dataoverføringen er underlagt FADP.
(1.2) For registerforvaltere i Storbritannia («UK») gjelder følgende i tillegg til EUs standard kontraktsvilkår, modul 2: Behandlingsansvarlig til databehandler («EU SCC, modul 2»):
Internasjonalt dataoverføringstillegg til EUs standard kontraktsvilkår
(«UK IDTA»)
Det internasjonale dataoverføringstillegget til EUs standard kontraktsvilkår (som finnes her) innlemmes herved som referanse, og følgende gjelder:
Del 1: Tabeller
Tabell 1 er utfylt nøyaktig som i EU SCC, modul 2, vedlegg I.
Tabell 2 – Følgende gjelder for EU SCC, modul 2 som avtalt av partene nevnt ovenfor:
- Klausul 7 (Dokkingklausul) er strøket.
- Klausul 9 (Bruk av underbehandlere) inkorporerer ALTERNATIV 2: GENERELL SKRIFTLIG AUTORISASJON).
- Klausul 11 (Avhjelp) inkorporerer ikke ALTERNATIVET i (a).
- Klausul 13 (Tilsyn) inkorporerer språk som gjelder for eksportører etablert i en EU-medlemsstat.
- Klausul 17 (Lovvalg) inkorporerer ALTERNATIV 1, og inkorporerer loven i landet der dataeksportøren gjelder.
- Klausul 18 (Valg av verneting og jurisdiksjon) inkorporerer domstolene i landet der dataeksportøren gjelder.
Tabell 3 – er utfylt med EU SCC, modul 2 vedlegg I, II og III.
Tabell 4 – UK IDTA kan avsluttes av begge parter (importør og eksportør).
Del 2 – Obligatoriske klausuler
Alle obligatoriske klausuler gjelder. Omvendt gjelder ikke de alternative obligatoriske klausulene i del 2.
(2) For registerforvaltere på følgende steder gjelder EUs standard kontraktsvilkår, modul 2: Behandlingsansvarlig til databehandler («EU SCC, modul 2») (finnes her):
Albania, Andorra, Armenia, Aserbajdsjan, Hviterussland, Bosnia-Hercegovina, Georgia, Guernsey, Isle of Man, Jersey, Kenya, Monaco, Kasakhstan, Kosovo, Montenegro, Nord-Makedonia, San Marino, Serbia, Syria, Tyrkia, Ukraina, Vietnam, Jemen.
(3) For registerforvaltere i Angola («Angola») gjelder følgende i tillegg til Angolas kontraktsvilkår i Angolas databeskyttelseslov (lov nr. 22/11, 17. juni 2011) («Angolas kontraktsvilkår») (finnes her):
Følgende gjelder for Angolas kontraktsvilkår som avtalt av partene nevnt ovenfor:
Steder for behandling, overføring og lagring av personopplysninger inkluderer Ghana og USA.
All annen informasjon gitt ovenfor for EU SCC modul 2, gjelder for Angolas kontraktsvilkår.
(4) For registerforvaltere i Nigeria («Nigeria») gjelder følgende i tillegg til Nigerias kontraktsvilkår i Nigerias databeskyttelseslov (NDPA) 2023 («Nigerias kontraktsvilkår») (finnes her):
Følgende gjelder for Nigerias kontraktsvilkår som avtalt av partene nevnt ovenfor:
Steder for behandling, overføring og lagring av personopplysninger inkluderer Ghana og USA.
All annen informasjon gitt ovenfor for EU SCC modul 2, gjelder for Nigerias kontraktsvilkår.
(5) For registerforvaltere på følgende steder gjelder ASEANs standard kontraktsvilkår, modul 1: Behandlingsansvarlig til databehandler («MCC-er, modul 1») (finnes her):
Brunei Darussalam, Kambodsja, Indonesia, Laos, Malaysia, Myanmar, Filippinene, Singapore, Thailand, Vietnam
Følgende gjelder for MCC-ene, modul 1 som avtalt av partene nevnt ovenfor:
- Klausul 2 (Dataeksportørens forpliktelser) er strøket.
- Klausul 3 (Dataimportørens forpliktelser) valgfrie underklausuler 3.4, 3.6, 3.7 og det valgfrie språket i 3.7 er strøket. Underklausul 3.10 er «… innenfor en rimelig tidsperiode spesifisert av partnere.»
- Klausul 4 (Lovvalg og tvisteløsning) inkorporerer eksportørens ASEAN-medlemsstat i 4.1. Operasjonell underklausul 4.3 er strøket.
- Klausul 6 (Oppsigelse av kontrakt) inkorporerer «30 dager» i under-underavsnitt 6.1.1.
- Tilleggsvilkår for individuelle rettsmidler (Individuelle rettsmidler) Alle individuelle rettsmidler er strøket.
- VEDLEGG A: Se VEDLEGG I fra EU SCC, modul 2.
(6) For registerforvaltere på følgende steder gjelder Ibero-American Data Protection Network Model Transfer Agreement («IADPN MCC-er, behandlingsansvarlige til databehandlere») (finnes her):
Peru, Uruguay, Argentina og Andorra
Følgende gjelder for IADPN MCC-ene, behandlingsansvarlig til databehandlere som avtalt av partene nevnt ovenfor:
- VEDLEGG I fra EU SCC, modul 2 innlemmes som referanse og fyller ut all nødvendig informasjon i IADPN MCC-er, behandlingsansvarlig til databehandlere.
- Klausul 9 (Avhjelp) i underklausul 9(a) det valgfrie språket er strøket.
- VEDLEGG A er utfylt med relevant informasjon fra VEDLEGG I fra EU SCC, modul 2.
- VEDLEGG B er utfylt med relevant informasjon fra VEDLEGG I fra EU SCC, modul 2.
- VEDLEGG C er utfylt med relevant informasjon fra VEDLEGG II fra EU SCC, modul 2.
- VEDLEGG D er utfylt med relevant informasjon fra VEDLEGG III fra EU SCC, modul 2.
- VEDLEGG E er utfylt med personvernerklæringen som finnes her: https://www.familysearch.org/legal/privacy.
(7) For registerforvaltere i Kina gjelder følgende (finnes her):
a. For dem i Hongkong gjelder følgende (finnes her):
(8) For registerforvaltere i Brasil gjelder følgende: (finnes her) gjelder: (finnes også som PDF her)
(9) For registerforvaltere i New Zealand gjelder følgende (finnes her):
(10) For registerforvaltere i Rwanda gjelder følgende (finnes her):
(11) For registerforvaltere i Qatar gjelder følgende (finnes her):
(12) For registerforvaltere i Saudi-Arabia gjelder følgende (finnes her):