TILLÄGG I VILLKOR FÖR DATABEHANDLING OCH ÖVERFÖRING
Parterna bekräftar och godkänner att Personuppgifter som överförs mellan FamilySearch International (eller dess dotterbolag) och en Registerförvaltare är föremål för, (i) de villkor som undertecknats av båda parter där dessa Villkor för Databehandling och Överföring är införlivade genom hänvisning (”Avtal”), och (ii) alla tillämpliga lagar om integritet och dataskydd.
Parterna förstår och godkänner att (i) Registerförvaltaren är Personuppgiftsansvarig och uppgiftsutförare av de överförda Personuppgifterna, och (ii) FamilySearch International (eller dess dotterbolag) är Personuppgiftsbiträde och uppgiftsinförare.
Parterna förstår och godkänner att det tillämpliga tillägget för databehandling och dataöverföring som anges nedan bestäms av Registerförvaltarens fysiska plats, såvida inte en annan plats anges av Registerförvaltaren skriftligen vid tidpunkten för ingåendet av Avtalet.
(1) För Registerförvaltare på följande platser gäller EU:s standardavtalsklausuler, modul 2: Personuppgiftsansvarig till Personuppgiftsbiträde (”EU SCC, modul 2”) (finns här):
Afghanistan, Algeriet, Österrike, Australien, Bahrain, Barbados, Belgien, Belize, Botswana, Brittiska Jungfruöarna, Bulgarien, Burkina Faso, Caymanöarna, Kongo, REP, Cooköarna, Kroatien, Kuba, Cypern, Tjeckien, Danmark, Ecuador, Egypten, Estland, Eswatini, Etiopien, Fiji, Finland, Frankrike, Franska Guyana, Franska Polynesien, Franska södra territorierna, Gabon, Tyskland, Gloriosoöarna, Grekland, Grenada, Guam, Guyana, Haiti, Ungern, Indien, Indonesien, Iran, Irak, Irland, Italien, Israel, Jamaica, Japan, Jordanien, Juan de Nova Island, Kiribati, Kuwait, Lettland, Libanon, Libyen, Liechtenstein, Litauen, Luxemburg, Malta, Marshallöarna, Melanesien, Mexiko, Mikronesien, Mongoliet, Marocko, Nauru, Nepal, Nederländerna, Nya Kaledonien, Niger, Niue, Norge, Oman, Palau, Panama, Papua Nya Guinea, Pakistan, Palestina, Pitcairnöarna, Polen, Portugal, Moldavien, Rumänien, Saint Kitts och Nevis, Samoa, Seychellerna, Slovakien, Slovenien, Salomonöarna, Somalia, Sydafrika, Sydkorea, Spanien, Sri Lanka, Sudan, Sverige, Schweiz*, Tanzania, Thailand, Togo, Tokelau, Tonga, Tunisien, Turkiet, Tuvalu, Uganda, Förenade Arabemiraten, Storbritannien**, Vanuatu, Wallis och Futuna, Zambia, Zimbabwe
* Även om EES-tillägget för databehandling och överföring gäller för Schweiz, kräver Schweiz även ytterligare språk, vilka härmed införlivas i tillägget och anges nedan.
** Även om EES-tillägget för databehandling och överföring gäller för Storbritannien, kräver Storbritannien även ytterligare språk, vilka härmed införlivas i tillägget och anges nedan.
Följande gäller för EU SCC, modul 2 enligt överenskommelse mellan de parter som nämns ovan:
- Klausul 7 (Dockningsklausul) har strukits.
- Klausul 9 (Användning av underentreprenörer) inkluderar ALTERNATIV 2: ALLMÄNT SKRIFTLIGT TILLSTÅND).
- Klausul 11 (Tillgång till prövning) innehåller inte ALTERNATIVET i (a).
- Klausul 13 (Tillsyn) innehåller språk som gäller för exportörer som är etablerade i en EU-medlemsstat.
- Klausul 17 (Tillämplig lag) inkluderar ALTERNATIV 1 och inkluderar lagstiftningen i det land där uppgiftsutföraren verkar.
- Klausul 18 (Val av forum och jurisdiktion) inkluderar domstolarna i det land där uppgiftsutföraren verkar.
- BILAGA I: Se nedan.
- BILAGA II: Se nedan.
- BILAGA III: Se nedan.
BILAGA I:
A. Lista över Parter
Uppgiftsutförare
- Namn: Registerförvaltare som identifieras i Avtalet
- Adress: Adress till Registerförvaltare som identifieras i Avtalet
- Kontakt: Se ”Kontaktuppgifter för meddelanden” som anges för Registerförvaltare i Avtalet
- Aktiviteter som är relevanta för de uppgifter som överförs enligt klausulerna: Relevanta aktiviteter beskrivs i avsnitt B (”Beskrivning av överföringen”) nedan
- Roll: Personuppgiftsansvarig
Uppgiftsinförare
- Namn: FamilySearch International
- Adress: 36 S State St., Ste 1900, Salt Lake City, UT 84111
- Kontakt: Manager, Data Privacy Office – 50 East North Temple Street, Salt Lake City, Utah 84150
- Telefon: (801) 240-1187
- E-post: Dataprivacyofficer@churchofjesuschrist.org
- Aktiviteter som är relevanta för de uppgifter som överförs enligt klausulerna: Relevanta aktiviteter beskrivs i avsnitt B (”Beskrivning av överföringen”) nedan
- Roll: Personuppgiftsbiträde
B. Beskrivning av överföring
Kategorier av registrerade vars personuppgifter överförs
Registrerade som återfinns i historiska och genealogiska register och vars personuppgifter bevaras för forskning samt historiska och statistiska ändamål.
Kategorier av personuppgifter som överförs
Genealogiska data – Information insamlad för att bevara människors personliga historia och släkthistoria:
- Namn (den registrerades namn, faderns och moderns namn, barnens namn, syskonens namn, makens namn, etc.)
- Familjerelationer (namn på enskilda personer, syskon, föräldrar, barn, mor- och farföräldrar, mostrar, farbröder).
- Biografisk information (namn, födelsedatum, dödsdatum, berättelser och detaljer om personens liv, yrke, utbildning, plats för livshändelser, personliga religiösa händelser – dop, konfirmation o.s.v.)
- Födelsedatum, födelseort och relaterade detaljer (barnets kön, föräldrarnas namn (eller adoptivföräldrarnas), beroende på vilken typ av födelsebok som det gäller, föräldrarnas adress vid födseln, födelsedatum och födelseort).
- Ålder
- Kön
- Vigseldatum, vigselort och relaterade uppgifter (namn på personen, föräldrar o.s.v.)
- Dödsdatum, dödsplats och relaterade uppgifter (namn på personen, dödsorsak)
- Nationalitet
- Personliga kännetecken, inklusive fotografi
- Annan information som finns i inhämtade genealogiska och historiska register, inklusive från folkräkningar (namn, barn, yrke, bostadsort), familjehistorier (biografiska uppgifter, namn, familjerelationer), församlingsregister (namn på församlingsmedlemmar, bostadsort, födelsedatum, familjerelationer), kyrkoböcker (födelse-, vigsel-, döds-, dop- och konfirmationsregister), folkbokföringsarkiv (födelse-, vigsel- och dödsregister), dödsannonser i tidningar (födelseregister, fastighetsregister, statliga arkivsamlingar) och naturaliseringsregister (medborgarskaps- och immigrationshandlingar, naturaliseringsregister inklusive namn, födelsedatum, ursprungsland, bosättningsland och adress, familjemedlemmars namn, yrke, vissa landsspecifika uppgifter beroende på land och datum för datainsamling).
Känsliga uppgifter – Information som är tillägg till historiska och genealogiska handlingar och som kan definieras som känslig enligt dataskyddslagarna:
- Identitet och demografiska data (ras eller etniskt ursprung, nationellt ursprung, stamursprung, social status, specifik identitet (unika identifierare, t.ex. pass, SSN, körkort, statligt ID), civilstånd, ålder, hudfärg, medborgarskap eller invandringsstatus, status som brottsoffer eller har lidit skada av ett brott)
- Trosuppfattningar och tillhörigheter (religiösa övertygelser eller tillhörigheter, filosofiska övertygelser, moraliska övertygelser, ideologiska övertygelser, politiska åsikter, politisk övertygelse, politiska ideologier eller politisk tillhörighet, fackföreningsmedlemskap, gillemedlemskap, fackföreningstillhörighet, medlemskap i yrkes- eller sociala föreningar eller människorättsorganisationer)
- Hälsoinformation och genetiska/biometriska data (befintligt eller framtida fysiskt eller psykiskt hälsotillstånd, status eller diagnos, medicinsk historik, medicinska journaler, medicinsk behandling, tillhandahållande av hälsovård, psykologisk eller fysiologisk status, genetiska data (ärvda eller förvärvade egenskaper, mänsklig biologisk profil), biometriska data (används för unik identifiering, automatiserad verifiering eller avslöjande av ytterligare känsliga egenskaper), neurala data (hjärn-/neurorelaterade data, kognitiva/emotionella data).
- Uppgifter om lagöverträdelser (brottsregister eller -historik, kriminellt beteende eller handlingar, begått eller påstått brott, rättsprocesser, utfall, domar eller påföljder i samband med brottmål)
- Plats- och kommunikationsdata (geolokaliseringsdata (exakt eller specifik plats, inklusive GPS-koordinater), kommunikationsdata, inklusive innehåll och metadata för samtal, texter, e-post eller post, innehåll i post, e-post eller textmeddelanden (om de inte adresseras till mottagaren))
- Data om minderåriga (alla personuppgifter som är associerade med en minderårig)
- Andra särskilda kategorier
- Personliga vanor, livsstil och intima/privata livsomständigheter
- Moraliska eller etiska egenskaper
- Familjeförhållanden och data om känsloliv/familjeliv
- Utbildningsregister
- Anställningsrelaterade uppgifter kopplade till diskrimineringsgrunder
- Konsumenthälsodata (som omfattar mer än medicinska journaler, inklusive välbefinnande/träning, graviditet, etc.)
- Uppgifter om ideologi eller trosuppfattningar som inte redan nämnts
- Data som, om de missbrukas, kan utgöra ett betydande hot mot integritet, värdighet, säkerhet eller egendom
- Data med förhöjd risk för diskriminering eller skada beroende på sammanhang (t.ex. insamling av TV-visningsdata som FTC klassificerar som känsliga)
- Civilstånd (namn, datum etc.)
- Statligt identifikationsnummer eller liknande uppgifter (t.ex. personnummer)
- Passnummer
- Religiös tillhörighet (information i kyrkoböcker inklusive medlemsnummer, namn, födelsedatum, dopdatum, vigseldatum, dödsdatum och uppgifter relaterade till specifik religion).
- Uppgifter om minderåriga (inklusive namn, födelsedatum, föräldrar, syskon, vårdnadsregister, adoptionsinformation, rättsliga handlingar och utbildningsregister)
- Hälsorelaterade uppgifter (sjukdomar, sjukhusvistelser, dödsorsaker)
- Brottshistorik (namn, datum för fängelse, domar om individen)
- Fackligt medlemskap (medlemmarnas namn, datum för medlemskap, avgiftsinformation för medlemskap o.s.v.)
- Ras eller etniskt ursprung (region eller ursprungsland)
- Religion (namn och religiös tillhörighet)
- Politisk tillhörighet (namn och politiskt parti, donationsinformation)
Överföringsfrekvensen (t.ex. om det är en engångsföreteelse eller kontinuerligt).
Ad hoc
Ändamål med behandlingen
De överförda personuppgifterna kan, i den mån det är lagligt tillåtet, bli föremål för olika behandlingsaktiviteter, däribland digitalisering, indexering, lagring, värdtjänster, överföring, maskering och visning. Dessa aktiviteter stöds av molnbaserade datacenter, inklusive de i USA, i den utsträckning som tillåts enligt dataskyddslagarna. Data kan exempelvis behandlas i syfte att stödja följande aktiviteter:
- Bevarande av historiska register: Digitalisering, bevarande, indexering, lagring och/eller arkivering av historiska dokument, foton och artefakter för framtida generationer, i enlighet med anvisningarna från uppgiftsutföraren.
- Släktforskning: När det är tillåtet enligt integritetslagar och av uppgiftsutföraren (t.ex. när data inte längre är begränsade) kan dessa data inkluderas i applikationer som används av forskare och webbplatsanvändare för att stödja kartläggning av släktlinjer eller familjehistorisk dokumentation eller annan genealogirelaterad forskning och verksamhet.
- Släktforskning: Insamling och bevarande av information om ens förfäder och släktträd.
- Släktforskningsutbildning: Tillhandahåll utbildning och resurser som hjälper miljontals människor runt om i världen att upptäcka sitt ursprung och återknyta kontakten med familjemedlemmar.
Ändamålet/ändamålen med dataöverföringen och den fortsatta behandlingen
Dataöverföringen till uppgiftsinföraren (vid uppgiftsinförarens globala huvudkontor) och vidare behandling av uppgiftsinföraren stöder bevarande och lagring av historiska släktregister till förmån för offentliga arkiv, statliga organ, ursprungsbefolkningar, privata arkiv, andra privata organ och individer. Om det tillåts enligt personuppgiftslagarna och av den uppgiftsutförande parten (t.ex. när uppgifterna inte längre omfattas av restriktioner) kan dessa uppgifter också göras allmänt tillgängliga kostnadsfritt på uppgiftsinförarens webbplats i forskningssyfte.
Den period under vilken personuppgifterna kommer att sparas, eller, om det inte är möjligt, de kriterier som används för att fastställa denna period
Personuppgifter som insamlats för ändamål rörande historiskt bevarande kommer att behållas i enlighet med uppgiftsutförarens anvisningar under den tidsperiod som begärs. Så länge uppgifterna behåller sitt historiska värde får de i många fall lagras utan tidsgräns i arkivsyfte och för dokumentation av släktforskning, om inte den registrerade begär att de raderas.
Vid överföringar till personuppgiftsbiträden/underentreprenörer, ange även ämne, typ och varaktighet för behandlingen
På den uppgiftsutförande partens anvisning behandlar uppgiftsinföraren personuppgifter i syfte att bevara historiska handlingar och underlätta genealogisk forskning. Uppgiftsinföraren kan anlita ett personuppgiftsbiträde eller underbiträde (enligt ett biträdes- eller underbiträdesavtal) för att bistå med databehandlingen för dessa samma ändamål och för att utföra funktioner på uppdrag av uppgiftsutföraren och/eller uppgiftsinföraren (till exempel digitalisering och indexering av historiska handlingar). Behandlings- eller underbehandlingsavtalet kommer att tillhandahålla ytterligare information om ämnet, typen och varaktigheten av behandlingen.
C. Behörig myndighet
Identifiera den eller de behöriga myndigheterna i enlighet med klausul 13
Tillsynsmyndigheten i det land där Uppgiftsutföraren verkar, identifierad i bilaga I.A.
BILAGA II:
TEKNISKA OCH ORGANISATORISKA ÅTGÄRDER FÖR FAMILY SEARCH INTERNATIONAL (UPPGIFTSINFÖRARE)
Detta dokument beskriver de tekniska och organisatoriska informationssäkerhetsåtgärder som används av Family Search International (uppgiftsinförare) (”FSI”).
Tekniska och organisatoriska säkerhetsåtgärder. FSI upprätthåller ett omfattande informationssäkerhetsprogram och implementerar rimliga tekniska och organisatoriska säkerhetsåtgärder, baserat på branschstandarder, organisatoriska behov och risker, för att minimera och skydda mot obehörig eller olaglig behandling, oavsiktlig eller avsiktlig förlust, obehörig åtkomst, förstörelse eller skada. Dessa åtgärder hjälper till att säkerställa sekretess, integritet, tillgänglighet och motståndskraft för FSI:s system och data. På system som inte kontrolleras direkt av FSI upprättar FSI ett samarbete med den som kontrollerar systemet för implementering av likvärdiga säkerhetskontroller. FSI:s säkerhetsprogram innehåller följande element:
1. Policyer och processer. FSI upprätthåller formella skriftliga riktlinjer och processer för att säkerställa konfidentialiteten, integriteten och tillgängligheten för data samt för att skydda dessa data så att de inte oavsiktligt, obehörigt eller felaktigt kan röjas, användas, ändras eller förstöras. Dessa policyer granskas och uppdateras årligen, eller oftare om det bedöms vara tillämpligt. Policyer och förfaranden är avsedda att säkerställa att fysiska, tekniska och administrativa skyddsåtgärder finns på plats och fungerar effektivt.
2. Åtkomstkontroller. Fysisk åtkomst – FSI vidtar rimliga åtgärder för att förhindra att obehöriga personer får åtkomst till databehandlingsutrustning (databasservrar, applikationsservrar, nätverksswitchar, brandväggar, styrenheter och relaterad hårdvara) där personuppgifter behandlas eller används.
Logisk åtkomst – FSI implementerar rimliga säkerhetsåtgärder för att förhindra obehörig åtkomst till sina databehandlingssystem. FSI upprätthåller och granskar de FSI-användare som har åtkomst till databehandlingssystem. FSI beviljar åtkomst till ett begränsat antal personer baserat på det affärsgodkända behovet.
3. Säkerhetsutbildning och medvetenhet. FSI upprätthåller ett formellt säkerhetsmedvetenhets- och utbildningsprogram för medlemmar av FSI:s personal och användare av FSI:s personal. Programmet innehåller obligatoriska inlärningsmoduler som säkerställer användarnas medvetenhet om viktiga informationssäkerhetskoncept och -policyer årligen eller så ofta som det är praktiskt möjligt. Årliga utbildningsämnen inkluderar lämplig klassificering och hantering av känslig information. Utöver formell utbildning förstärker återkommande oanmälda phishing-simuleringsövningar kunskaperna om hur man identifierar, rapporterar och undviker skadliga e-postmeddelanden.
4. Dataskydd. FSI vidtar rimliga åtgärder för att förhindra att obehöriga parter skulle kunna använda, läsa, kopiera, ändra eller radera data både under överföring och lagring. Åtgärder för dataskydd har införts med flera säkerhetslager.
5. Övervakning. FSI vidtar rimliga åtgärder för att övervaka åtkomst till känsliga system och nätverksresurser och för att säkerställa att användarna agerar i enlighet med gällande policy. Loggar sparas baserat på verksamhetens behov och i enlighet med lagstadgade krav. Dessa loggar sparas i ett centralt arkiv eller i ett lokalt arkiv på plattformen. Om de sparas lokalt på plattformen kan loggarna överföras till det centrala arkivet om det skulle behövas. Loggarna lagras och skyddas på ett sätt som bidrar till att säkerställa korrekthet och oföränderlighet. FSI har implementerat ett system av automatiserade varningar för att identifiera potentiellt skadlig aktivitet. FSI loggar data som regelbundet granskas för att identifiera potentiella attacker och för att stödja FSI:s incidentresponsinsatser.
6. Slutpunktsdetektering och svar. FSI implementerar adekvata kontroller på användar- och servernoder, inklusive noder för FSI, vilka ger skydd mot spridning av skadlig kod, centraliserad larmhantering, värdprocess- och filfrågor samt förmåga till systemisolering.
7. Procedurer för säkerhetsincidentrespons (IR). FSI har etablerade skriftliga riktlinjer och processer för incidentrespons (IR) inriktade på att upptäcka, åtgärda och hantera säkerhetsincidenter. FSI driver ett Security Operations Center (SOC) som dygnet runt sorterar och prioriterar händelser baserat på allvarlighetsgraden, övervakar system för faktiska och misstänkta attacker eller intrång, mildra skadliga effekter av säkerhetsincidenter och dokumentera dessa incidenter och deras resultat. Avtal upprätthålls med externa incidenthanteringsleverantörer för att underlätta omedelbar assistans från tredje part vid en allvarlig incident, eller när en incident kräver specialiserad forensisk analys. FSI har även ett heltidsanställt säkerhetsteam som är fokuserat på FSI och som tillhandahåller särskilt stöd och sortering och prioritering av händelser baserat på allvarlighetsgraden. SOC för ett nära samarbete med FSI:s dataskyddsombud (DSO) och chefsjurist (OGC) och externa säkerhetsexperter för att säkerställa att incidenter hanteras i enlighet med alla tillämpliga lagar och förordningar.
8. Säkerhets- och riskbedömningar. FSI har etablerat rimliga riktlinjer och processer för att bedöma säkerhetskontrollernas effektivitet, identifiera fel i säkerhetskontrollerna samt för att identifiera, utvärdera och bedöma brister i säkerhetskontrollerna med hjälp av ett riskbaserat förhållningssätt.
9. Systemkonfiguration och underhåll. FSI har etablerat rimliga riktlinjer och processer för att säkerställa att all databehandlingsutrustning (servrar, databaser, bärbara datorer, brandväggar, switchar, routrar, styrenheter osv.) är korrekt konfigurerad för att säkerställa att personuppgifter skyddas på ett adekvat sätt. FSI har etablerat ett sårbarhetshanteringsprogram för att hjälpa till att identifiera sårbarheter inom FSI-miljön och kommunikation till lämpliga resurser för att underlätta snabba motåtgärder.
10. System- och informationsresiliens. FSI vidtar rimliga åtgärder för att säkerställa att personuppgifter skyddas på ett adekvat sätt från oavsiktlig eller skadlig användning, ändring eller förstörelse och att data som har använts, ändrats eller förstörts oavsiktligt eller i skadligt syfte kan identifieras och återställas. FSI implementerar säkerhetskopieringsprocedurer för data och system som inkluderar online-, nearline- och offlinekopior, baserat på datakritikalitet och verksamhetens behov. FSI använder mycket redundanta informationssystem för att säkerställa hög tillgänglighet och prestanda för applikationer och system.
11. Efterlevnad. FSI har ett dataskyddsombud för FSI som hanterar efterlevnad av dataskyddslagar och förordningar. FSI har även etablerat ett internt IT-efterlevnadsprogram för FSI som fokuserar på testning och validering av säkerhetskontroller, processer och förfaranden genom interna bedömningar.
12. Ansvar. FSI har en utsedd säkerhetsansvarig som ansvarar för utveckling, implementering och underhåll av informationssäkerhetsprogrammen hos FSI. Dessutom beskriver FSI:s policy för informationssäkerhetsprogram de roller och ansvar för alla intressenter i informationssäkerhetsprogrammet och publiceras i ett arkiv som är tillgängligt för alla användare bland personalen.
13. Lämplig användning och lagring av register. FSI implementerar riktlinjer och processer som reglerar användningen och lagringen av konfidentiella data, inklusive personuppgifter. Processer har implementerats för att säkerställa att data uppfyller de krav på datadelning som ställs på dataägare och inkluderar tillsyn för acceptabel användning av artificiell intelligens.
14. Uppdateringar. FSI övervakar, utvärderar och justerar informationssäkerhetsprogrammet årligen eller vid behov, med hänsyn till relevanta förändringar i teknik, branschsäkerhetsstandarder, känsligheten hos personuppgifter och interna eller externa potentiella hot mot personuppgifter.
BILAGA III:
FÖRTECKNING ÖVER UNDERENTREPRENÖRER
Den registeransvarige har godkänt användningen av följande underordnade personuppgiftsbiträden:*
- ANCESTRY
- BART DEVELTER V.O.F.
- BRIGHAM YOUNG UNIVERSITY
- CENTURY VITAL RECORDS (CVR)
- CONTENT ARCHAEOLOGY
- DATADISC.IT S.R.L.
- DIE MOBILE SEKRETÄRIN E.U.
- DIGITAL 4 KIT
- DOUBLE DIGITAL
- EMPRESA DE ARQUIVO DE DOCUMENTAÇÃO S.A.
- FORMAX
- GENEALAB
- GENESIS
- GREYSCALE LTD.
- INFOSCRIBE SAS
- INTELLIGENT IMAGE MANAGEMENT (IIMI)
- IRON MOUNTAIN AUSTRALIA
- IRON MOUNTAIN CESKA REPUBLIKA S.R.O.
- LIFEWOOD
- MATERN
- MYHERITAGE
- NORMADAT S.A.
- OSG RECORDS MANAGEMENT
- PEDRO CRUZ MARTINEZ
- RASTERGEN – GESTÃO DOCUMENTAL UNIPESSOAL (LDA)
- SBL
- STASIS S.A.S.
- SVI
- TRACEABLE SOLUTIONS
- TRUEBPO INC (TIDIGARE EQOD INC)
(1.1) För registerförvaltare i Schweiz gäller följande utöver EU:s standardavtalsklausuler, modul 2: Personuppgiftsansvarig till Personuppgiftsbiträde (”EU SCC, modul 2”):
Schweiziskt tillägg till EU:s standardavtalsklausuler
Om en överföring av personuppgifter från en Uppgiftsutförare till en Uppgiftsinförare omfattas av EU:s GDPR och FADP (enligt definitionen nedan) ska följande ytterligare bestämmelser också gälla för att standardavtalsklausulerna ska vara tillämpliga för att säkerställa en adekvat skyddsnivå för sådan överföring i enlighet med artikel 6.2 i FADP:
(a) ”FADP” avser den federala lagen om dataskydd från den 19 juni 1992 (SR 235.1).
(b) ”FDPIC” avser den Schweiziska federala dataskydds- och informationstillsynsmyndigheten.
(c) ”Reviderad FADP” avser den reviderade versionen av FADP från den 25 september 2020, som trädde i kraft den 1 januari 2023.
(d) Termen ”EU-medlemsstat” får inte tolkas på ett sådant sätt att den utesluter registrerade i Schweiz från möjligheten att utöva sina rättigheter på deras vanliga vistelseort (Schweiz) i enlighet med klausul 18(c) i standardavtalsklausulerna.
(e) Standardavtalsklausulerna skyddar även juridiska personers uppgifter tills den reviderade versionen av FADP träder i kraft.
(f) FDPIC ska agera som den ”behöriga tillsynsmyndigheten” i den mån den relevanta dataöverföringen regleras av den Schweiziska federala dataskyddslagen (FADP).
(1.2) För Registerförvaltare i Storbritannien (”UK”) gäller följande utöver EU:s standardavtalsklausuler, modul 2: Personuppgiftsansvarig till Personuppgiftsbiträde (”EU SCC, modul 2”):
Tillägg om internationell dataöverföring till EU-kommissionens standardavtalsklausuler
(”UK IDTA”)
Tillägg om internationell dataöverföring till EU-kommissionens standardavtalsklausuler (som finns här) införlivas härmed genom hänvisning och följande gäller:
Del 1: Tabeller
Tabell 1 är ifylld exakt som i EU SCC, modul 2, bilaga I.
Tabell 2 – Följande gäller för EU SCC, modul 2 enligt överenskommelse mellan de parter som nämns ovan:
- Klausul 7 (dDockningsklausul) har strukits.
- Klausul 9 (Användning av underentreprenörer) inkluderar ALTERNATIV 2: ALLMÄNT SKRIFTLIGT GODKÄNNANDE).
- Klausul 11 (Tillgång till prövning) innehåller inte ALTERNATIVET i (a).
- Klausul 13 (Tillsyn) innehåller språk som gäller för exportörer som är etablerade i en EU-medlemsstat.
- Klausul 17 (Tillämplig lag) inkluderar ALTERNATIV 1 och inkluderar lagstiftningen i det land där uppgiftsutföraren verkar.
- Klausul 18 (Val av forum och jurisdiktion) inkluderar domstolarna i det land där uppgiftsutföraren verkar.
Tabell 3 – är ifylld med EU SCC, modul 2 bilaga I, II och III.
Tabell 4 – Storbritanniens IDTA kan avslutas av endera parten (uppgiftsinförare och uppgiftsutförare).
Del 2 – Obligatoriska klausuler
Alla tvingande bestämmelser är tillämpliga; däremot är de obligatoriska bestämmelserna i alternativ del 2 inte tillämpliga.
(2) För Registerförvaltare på följande platser gäller EU:s standardavtalsklausuler, modul 2: Personuppgiftsansvarig till Personuppgiftsbiträde (”EU SCC, modul 2”) (finns här):
Albanien, Andorra, Armenien, Azerbajdzjan, Belarus, Bosnien och Hercegovina, Georgien, Guernsey, Isle of Man, Jersey, Kenya, Monaco, Kazakstan, Kosovo, Montenegro, Nordmakedonien, San Marino, Serbien, Syrien, Turkiet, Ukraina, Vietnam, Yemen.
(3) För registerförvaltare i Angola (”Angola”) gäller följande utöver Angolas avtalsklausuler i Angolas dataskyddslag (lag nr. 22/11, 17 juni 2011) (”Angola CC”) (finns här):
Följande gäller för Angola CC enligt överenskommelse mellan de parter som nämns ovan:
Platser för behandling, överföring och lagring av personuppgifter inkluderar Ghana och USA.
All annan information som anges ovan för EU:s SCC-modul 2 gäller för Angolas CC.
(4) För Registerförvaltare i Nigeria (”Nigeria”) gäller följande utöver Nigerias avtalsklausuler i Nigeria Data Protection Act (NDPA) 2023 (”Nigeria CC”) (finns här):
Följande gäller för Nigeria CC enligt överenskommelse mellan de parter som nämns ovan:
Platser för behandling, överföring och lagring av personuppgifter inkluderar Ghana och USA.
All annan information som anges ovan för EU:s SCC-modul 2 gäller för Nigeria CC.
(5) För Registerförvaltare på följande platser gäller ASEAN:s standardavtalsklausuler, modul 1: Personuppgiftsansvarig till Personuppgiftsbiträde (”MCC, modul 1”) (finns här):
Brunei Darussalam, Filippinerna, Indonesien, Kambodja, Laos, Malaysia, Myanmar, Singapore, Thailand, Vietnam
Följande gäller för MCC, modul 1 enligt överenskommelse mellan de parter som nämns ovan:
- Klausul 2 (Dataexportörens skyldigheter) har strukits.
- Klausul 3 (Dataimportörens skyldigheter) valfria underklausulerna 3.4, 3.6, 3.7 och det valfria språket i 3.7 har strukits. Underklausulen 3.10 är ”… inom en rimlig tidsperiod som anges av Partners.”
- Klausul 4 (Val av jurisdiktion vid tvister) inkluderar exportörens medlemsstat i ASEAN i punkt 4.1. Operativ underklausul 4.3 har strukits.
- Klausul 6 (Uppsägning av avtal) inkluderar ”30 dagar” i underavsnitt 6.1.1.
- Ytterligare villkor för individuella rättsmedel (Individuella rättsmedel) Alla individuella rättsmedel har strukits.
- BILAGA A: Se BILAGA I från EU:s standardavtalsklausuler (SCC), modul 2.
(6) För Registerförvaltare på följande platser gäller det iberoamerikanska dataskyddsnätverkets standardöverföringsavtal (”IADPN MCC, Personuppgiftsansvariga till Personuppgiftsbiträden”) (finns här):
Peru, Uruguay, Argentina, Andorra
Följande gäller för IADPN MCC, Personuppgiftsansvarig till Personuppgiftsbiträden enligt överenskommelse mellan de parter som nämns ovan:
- BILAGA I från EU SCC, modul 2 införlivas genom hänvisning och fyller i all nödvändig information i IADPN MCC, Personuppgiftsansvarig till Personuppgiftsbiträden.
- Klausul 9 (Gottgörelse) i underklausul 9(a) det valfria språket har strukits.
- BILAGA A är ifylld med relevant information från BILAGA I från EU SCC, modul 2.
- BILAGA B är ifylld med relevant information från BILAGA I från EU SCC, modul 2.
- BILAGA C är ifylld med relevant information från BILAGA II från EU SCC, modul 2.
- BILAGA D är ifylld med relevant information från BILAGA III från EU SCC, modul 2.
- BILAGA E är ifylld med integritetsmeddelandet som finns här: https://www.familysearch.org/legal/privacy.
(7) För Registerförvaltare i Kina gäller följande (finns här):
a. För de i Hongkong gäller följande (finns här):
(8) För Registerförvaltare i Brasilien gäller följande: (finns här) gäller: (Finns även PDF här)
(9) För Registerförvaltare i Nya Zeeland gäller följande (finns här):
(10) För Registerförvaltare i Rwanda gäller följande (finns här):
(11) För Registerförvaltare i Qatar gäller följande (finns här):
(12) För Registerförvaltare i Saudiarabien gäller följande (finns här):