VERI İŞLEME VE AKTARMA ŞARTLARINA EK
Taraflar, FamilySearch International (veya bağlı kuruluşu) ve bir Kayıt Gözetmeni arasında aktarılan Kişisel Verilerin, (i) bu Veri İşleme ve Aktarma Şartlarının referans olarak dâhil edildiği her iki tarafça imzalanan şartlara ("Sözleşme") ve (ii) geçerli tüm gizlilik ve veri koruma yasalarına tabi olduğunu kabul ve beyan eder.
Taraflar, (i) Kayıt Gözetmeninin aktarılan Kişisel Verilerin Denetiminden ve Dışa Aktarılmasından sorumlu olduğunu ve (ii) FamilySearch International'ın (veya bağlı kuruluşunun) Verilerin İşlenmesinden ve İçe Aktarılmasından sorumlu olduğunu anlar ve kabul eder.
Taraflar, aşağıda listesi verilen geçerli Veri İşleme ve Aktarma Ek Maddelerinin, Sözleşme imzalandığı sırada Kayıt Gözetmeni tarafından yazılı olarak başka bir yer belirtilmemiş olduğu müddetçe Kayıt Gözetmeninin fiziksel konumuna göre belirleneceğini anlar ve kabul eder.
(1) Aşağıdaki konumlarda bulunan Kayıt Gözetmenleri için AB Standart Sözleşme Maddeleri, Modül 2: Denetçiden İşlemciye (“AB SSM, Modül 2”) (burada bulunabilir) geçerlidir:
Afganistan, Almanya, Avustralya, Avusturya, Bahreyn, Barbados, Belçika, Belize, Birleşik Arap Emirlikleri, Birleşik Krallık**, Botsvana, Britanya Virjin Adaları, Bulgaristan, Burkina Faso, Cayman Adaları, Cezayir, Cook Adaları, Çek Cumhuriyeti, Danimarka, Ekvador, Endonezya, Estonya, Esvatini, Etiyopya, Fas, Fiji, Filistin, Finlandiya, Fransa, Fransız Guyanası, Fransız Güney Bölgeleri, Fransız Polinezyası, Gabon, Glorioso Adaları, Grenada, Guam, Guyana, Güney Afrika, Güney Kore, Haiti, Hırvatistan, Hindistan, Hollanda, Irak, İran, İrlanda, İspanya, İsrail, İsveç, İsviçre*, İtalya, Jamaika, Japonya, Juan de Nova Adası, Kıbrıs, Kiribati, Kongo Cumhuriyeti, Kuveyt, Küba, Letonya, Libya, Lihtenştayn, Litvanya, Lübnan, Lüksemburg, Macaristan, Malta, Marshall Adaları, Melanezya, Meksika, Mısır, Mikronezya, Moğolistan, Moldova Cumhuriyeti, Nauru, Nepal, Nijer, Niue, Norveç, Pakistan, Palau, Panama, Papua Yeni Gine, Pitcairn Adaları, Polonya, Portekiz, Romanya, Saint Kitts ve Nevis, Samoa, Seyşeller, Slovakya, Slovenya, Solomon Adaları, Somali, Sri Lanka, Sudan, Tanzanya, Tayland, Togo, Tokelau, Tonga, Tunus, Tuvalu, Türkiye, Uganda, Umman, Ürdün, Vanuatu, Wallis ve Futuna, Yeni Kaledonya, Yunanistan, Zambiya, Zimbabve
* AEA Veri İşleme ve Aktarma Ek maddeleri İsviçre için geçerli olmakla birlikte İsviçre ayrıca bu Ek’e dâhil edilen ve aşağıda belirtilen ek açıklamaları gerekli kılmıştır.
** AEA Veri İşleme ve Aktarma Ek maddeleri Birleşik Krallık için geçerli olmakla birlikte Birleşik Krallık ayrıca işbu Ek’e dâhil edilen ve aşağıda belirtilen ek açıklamaları gerekli kılmaktadır.
Yukarıda belirtilen tarafların üzerinde anlaşmaya vardığı şekilde AB SSM, Modül 2 için şu maddeler geçerlidir:
- Madde 7 (Birleştirme maddesi) kaldırılmıştır.
- Madde 9’a (Alt işlemcilerin kullanımı) SEÇENEK 2: GENEL YAZILI YETKİLENDİRME dâhil edilmiştir.
- Madde 11’in (Telafi) kapsamına (a) bölümündeki SEÇENEK girmez.
- Madde 13 (Gözetim), bir AB Üye Devletinde faaliyet göstermekte olup verileri dışa aktarmaktan sorumlu olan kuruluşlar için geçerli açıklama içerir.
- Madde 17’ye (Geçerli Kanunlar) SEÇENEK 1 dâhil edilmiştir ve verileri dışa aktaran kuruluşun bulunduğu ülkede yürürlükte olan kanunlar geçerlidir.
- Madde 18’e (Mahkeme ve yargı seçimi) verileri dışa aktaran kuruluşun bulunduğu ülkedeki mahkemeler dâhil edilmiştir.
- EK I: bkz. aşağıdaki bölüm.
- EK II: bkz. aşağıdaki bölüm.
- EK III: bkz. aşağıdaki bölüm.
EK I:
A. Tarafların Listesi
Verileri dışa aktaran
- Adı: Sözleşmede belirtilen Kayıt Gözetmeni
- Adres: Sözleşmede belirtilen Kayıt Gözetmeninin adresi
- İletişim: bkz. Kayıt Gözetmeninin “Bildirim Amacıyla Kullanılacak İletişim Bilgileri” başlıklı Sözleşme bölümü
- Sözleşme Maddeleri uyarınca aktarılan verilerle ilgili faaliyetler: İlgili faaliyetler aşağıda Bölüm B’de (“Aktarımın Tanımı”) tanımlanmıştır
- Rol: Denetçi
Verileri içe aktaran
- Adı: FamilySearch International
- Adres: 36 S State St., Ste 1900, Salt Lake City, UT 84111, ABD
- İletişim: Müdür, Veri Gizliliği Ofisi - 50 East North Temple Street, Salt Lake City, Utah 84150, ABD
- Telefon: (801) 240-1187
- E-posta: Dataprivacyofficer@churchofjesuschrist.org
- Sözleşme Maddeleri uyarınca aktarılan verilerle ilgili faaliyetler: İlgili faaliyetler aşağıda Bölüm B’de (“Aktarımın Tanımı”) tanımlanmıştır
- Rol: İşlemci
B. Aktarımın Tanımı
Kişisel verileri aktarılan veri sahiplerinin ayrıldığı kategoriler
Tarih ve soy kayıtlarında bulunmuş olup araştırma, tarih ve istatistik amaçlarıyla kişisel verileri saklanan veri sahipleri.
Aktarılan kişisel verilerin kategorileri
Soy bilgileri - Kişilerin ve ailelerin geçmişini muhafaza amacıyla toplanan bilgiler:
- Adlar (veri sahiplerinin adları, ana babaların adları, çocukların adları, kardeşlerin adları, eşlerin adları vb.)
- Akrabalık ilişkileri (kişilerin, kardeşlerin, ebeveynlerin, çocukların, büyükanne ve büyükbabaların, teyze/hala, amca/dayıların adları).
- Biyografik bilgiler (ad, doğum tarihi, ölüm tarihi, bireyin hayatıyla ilgili hikâyeler ve ayrıntılar, mesleği, eğitimi, yaşam olaylarının yeri, vaftiz ve konfirmasyon vb. gibi kişisel dinî olaylar)
- Doğum tarihi, doğum yeri ve ilgili ayrıntılar (çocuğun cinsiyeti, ebeveynlerin adları, söz konusu doğum kaydının türüne bağlı olarak ebeveynlerin veya evlat edinenlerin doğum zamanındaki adresi, doğum tarihi ve doğum yeri).
- Yaş
- Cinsiyet
- Evlilik tarihi, yeri ve ilgili ayrıntılar (kişinin adı, ebeveynleri vb.)
- Ölüm tarihi, ölüm yeri ve ilgili ayrıntılar (kişinin adı, ölüm şekli)
- Uyruk
- Fotografik görüntü dâhil olmak üzere kişisel özellikler
- Elde edilen soyağacı ve tarih kayıtlarında yer alan diğer bilgiler; nüfus sayımları dahil (kişinin adı, çocukları, mesleği, ikameti), aile geçmişleri (biyografik veriler, adlar, akrabalık ilişkileri), yerel dinî cemaat kayıtları (cemaat üyelerinin adları, ikametleri, doğum tarihleri, akrabalık ilişkileri), kilise kayıtları (doğum, evlilik, ölüm, vaftiz ve konfirmasyon kayıtları), nüfus kütükleri (doğum, evlilik ve ölüm kayıtları), gazetelerdeki ölüm ilanları (doğum, tapu kayıtları, devlet arşiv koleksiyonları) ve vatandaşlığa kabul kayıtları (vatandaşlık kayıtları ve göç kayıtları ile ad, doğum tarihi, kökeni olan ülke, ikamet ettiği ülke ve adres, aile üyelerinin adları, mesleği, ülkeye ve kaydın tutulduğu tarihe bağlı olarak ülkeye özgü bazı başka bilgiler dâhil olmak üzere vatandaşlığa kabul kayıtları).
Hassas veriler – Tarih ve soy kayıtlarında ayrıca yer almakta olup Kişisel Veri Yasaları uyarınca hassas olarak tanımlanabilecek bilgiler:
- Kimlik Verileri ve Demografik Veriler (ırksal veya etnik köken, ulusal köken, kabile kökeni, sosyal statü, spesifik kimlik (benzersiz tanımlayıcılar, örneğin pasaport, sosyal sigorta numarası, sürücü belgesi, eyalet kimliği), medeni durum, yaş, renk, vatandaşlık veya göçmenlik durumu, suç mağduru veya bir suçtan zarar görmüş olma durumu)
- İnançlar ve Bağlılıklar (dinî inançlar veya aidiyetler, felsefi inançlar, ahlaki inançlar, ideolojik bağlılıklar, siyasi görüşler, siyasi eğilim, siyasi ideolojiler veya siyasi aidiyet, sendika üyeliği, lonca üyeliği, dernek üyeliği, mesleki veya sosyal derneklere veya insan hakları örgütlerine üyelik)
- Sağlık ve Genetik/Biyometrik Veriler (mevcut veya ileride ortaya çıkabilecek fiziksel veya zihinsel rahatsızlık, statü veya teşhis, tıbbi geçmiş, tıbbi kayıtlar, tıbbi tedavi, sağlık hizmetinden yararlanma, psikolojik veya fizyolojik statü, genetik veriler (kalıtsal veya edinilmiş özellikler, insan biyolojik profili), biyometrik veriler (benzersiz tanımlama, otomatik doğrulama veya ek hassas özellikleri ortaya çıkarma amacıyla kullanılır), nöral veriler (beyin/sinir sistemi ile ilgili veriler, bilişsel/duygusal duruma ilişkin veriler).
- Kriminal ve Yasal Veriler (sabıka kaydı veya geçmişi, kriminal davranış veya eylemler, suç işleme veya suç işlediği iddiası, kriminal konularla ilgili kovuşturma, netice, hüküm veya cezalar)
- Konum ve İletişim Verileri (coğrafi konum verileri [GPS koordinatları dâhil olmak üzere kesin veya spesifik konum]; arama, kısa mesaj veya e-postaların içeriği ve meta verileri veya posta, postanın, e-postanın veya kısa mesajların içeriği dâhil olmak üzere [alıcıya hitap ediyor olmadıkça] iletişim verileri)
- Gençlik Verileri (reşit olmayan bir kişiyle ilgili her türlü kişisel veri)
- Diğer Özel Kategoriler
- Kişisel alışkanlıklar, yaşam tarzı ve mahrem/özel yaşam olayları
- Ahlaki veya etik özellikler
- Aile meseleleri veya duygusal/aile hayatına ilişkin veriler
- Eğitim kayıtları
- İstihdamla ilgili olup koruma altındaki özelliklere bağlı olan veriler
- Tüketici sağlığıyla ilgili veriler (tıbbi kayıtlardan daha geniş kapsamlıdır ve sağlık/fitness, hamilelik vb. konularındaki bilgileri içerir)
- İdeoloji veya inançlarla ilgili olup başka yoldan elde edilemeyen veriler
- Kötüye kullanılması durumunda mahremiyet, haysiyet, emniyet veya mülkiyet açısından önemli bir tehdit oluşturabilecek olan her türlü veri
- Bağlama göre ayrımcılık veya zararla sonuçlanma riski yüksek olan veriler (örneğin ABD’de Federal Ticaret Komisyonunun [FTC] hassas olarak sınıflandırdığı televizyon izleme verileri)
- Medeni durum (adlar, tarihler vb.)
- Resmî kimlik numarası veya benzeri bilgiler (sosyal sigorta no. vb.)
- Pasaport numarası
- Dinî Aidiyet (Kilise kayıtlarındaki bilgiler; bunlara üyelik numarası, ad, doğum tarihi, vaftiz tarihi, evlilik tarihi, ölüm tarihi ve söz konusu dine ait belirli veriler dâhildir).
- Reşit olmayanlara ait veriler (ad, doğum tarihi, ebeveynler, kardeşler, vesayet kayıtları, evlat edinme bilgileri, adli kayıtlar, eğitim kayıtları)
- Sağlıkla ilgili veriler (hastalıklar, hastanede yatma, ölüm şekli)
- Sabıka kaydı (ad, hapis yattığı tarihler, kişiyle ilgili kararlar)
- Sendika üyeliği (üyelerin adları, üyelik tarihi, üyelik aidatı vb. bilgiler)
- Irksal veya etnik köken (kişinin memleketi olan bölge veya ülke)
- Din (ad ve dinî aidiyet)
- Siyasi aidiyet (ad ve siyasi parti, bağış ile ilgili bilgiler)
Ödeme sıklığı (örneğin tek seferlik mi sürekli mi olduğu).
Duruma göre
İşlemenin niteliği
Aktarılan kişisel verilerle çeşitli işlemler yapılabilir ve yasal olarak izin verildiği ölçüde bunlara dijitalleştirme, dizinleme, web üzerinde barındırma, depolama, iletme, düzenleme ve görüntüleme dâhildir. Bu faaliyetler, Gizlilik Yasalarının izin verdiği ölçüde Amerika Birleşik Devletleri’ndekiler de dâhil olmak üzere bulut tabanlı veri merkezleri tarafından desteklenmektedir. Veriler, örneğin aşağıdaki faaliyetleri desteklemek için işlenebilir:
- Tarihî Kayıtların Korunması: Tarihsel belgeler, fotoğraflar ve yapıtların, verileri dışa aktaranın talimatları doğrultusunda gelecek nesiller için dijitalleştirilmesi, muhafaza edilmesi, dizinlenmesi, saklanması ve/veya arşivlenmesi.
- Soy araştırması: Gizlilik Yasaları ve verileri dışa aktaran tarafından izin verildiğinde (yani artık kısıtlamaya tabi olmadıklarında) veriler; araştırmacılar ve web sitesi kullanıcılarının, soy veya aile geçmişi kayıtlarının veya diğer soy araştırmalarının, programlarının ve faaliyetlerinin izlenmesini desteklemek için kullandıkları uygulamalara dâhil edilebilir.
- Aile Geçmişi Araştırması: Kişinin ataları ve soyağacı hakkında bilgi toplama ve saklama.
- Soyağacı Eğitimi: Dünyanın dört bir yanından milyonlarca insanın kökenlerini keşfetmelerine ve aile üyeleriyle bağlantı kurmalarına yardımcı olacak eğitim ve kaynaklar sağlama.
Veri aktarımının ve daha ileri işlemenin amaçları
Verilerin, verileri içe aktaracak kuruluşa (verileri içe aktaranın dünya çapındaki genel merkezinde) iletilmesi ve bu kuruluşça daha ileri işlemlere tabi tutulması, tarihî aile kayıtlarının halka açık arşivler, devlet kurumları, yerli halklar, özel arşivler, diğer özel kurumlar ve bireyler yararına muhafaza edilmesini ve saklanmasını destekler. Gizlilik Yasaları ve verileri dışa aktaran tarafından izin verildiğinde (yani artık kısıtlamaya tabi olmadıklarında) bu kayıtlar, araştırma amacıyla kullanılmak üzere verileri içe aktaranın web sitesinde ücretsiz olarak herkese açık hâle getirilebilir.
Kişisel verilerin saklanacağı süre veya bu mümkün değilse, bu süreyi belirlemek için kullanılan kriterler
Tarihî muhafaza amacıyla toplanan kişisel veriler, talep edildiği sürece, verileri dışa aktaran kuruluşun talimatlarına göre saklanacaktır. Birçok durumda kayıtlar, tarihî değerlerini korudukları ve veri sahiplerince silinmeleri talep edilmediği sürece arşivleme amacıyla ve soyağacı belgesi olarak süresiz saklanabilir.
(Alt) işleyiciye aktarım söz konusu olduğunda işlemenin konusunu, niteliğini ve süresini de belirtin
Verileri içe aktaran, tarihî kayıtları korumak ve soyağacı araştırması amacıyla verileri dışa aktaranın talimatı doğrultusunda kişisel verileri işler. Verileri içe aktaran, aynı amaçlarla verilerin işlenmesine yardımcı olması ve verileri dışa aktaran ve/veya içe aktaran adına görev yapması (örneğin tarihî kayıtların dijitalleştirilmesi ve dizinlenmesi) için bir veri işleme veya alt işleme sözleşmesi uyarınca bir işlemci veya alt işlemci görevlendirebilir. İşlemenin konusu, niteliği ve süresi ile ilgili ek ayrıntılar işleme veya alt işleme sözleşmesinde sağlanır.
C. Yetkili makam
Madde 13 uyarınca yetkili makam veya makamları belirtin
Ek I.A.’da tanımlandığı gibi Verileri Dışa Aktaran Kuruluşun bulunduğu ülkenin gözetim makamı.
EK II:
FAMILY SEARCH INTERNATIONAL (İÇE VERİ AKTARAN) İÇİN TEKNİK VE KURUMSAL ÖNLEMLER
Bu belge, Family Search International (içe veri aktaran) kuruluşunun (“FSI”) bilgi güvenliği amacıyla uyguladığı teknik ve kurumsal önlemleri özetler.
Teknik ve Kurumsal Güvenlik Önlemleri. FSI; verilerin yetkisiz veya yasa dışı yollardan işlenmesi, kazara veya kasıtlı olarak silinmesi, yetkisiz erişim, imha veya hasara maruz kalması gibi risklere karşı koruma sağlamak ve bu riskleri en alt düzeye indirmek amacıyla endüstri standartlarına, okurumsal ihtiyaçlara ve risk durumuna göre kapsamlı bir Bilgi Güvenliği Programı yürütür ve makul teknik ve kurumsal güvenlik önlemleri uygular. Bu önlemler, FSI’nin ve FSI sistemleri ile verilerinin gizliliğini, bütünlüğünü, kullanılabilirliğini ve esnekliğini güvence altına almamıza yardımcı olur. FSI tarafından doğrudan kontrol edilmeyen sistemlerde FSI, orantılı güvenlik kontrollerini uygulamak için FSI ile ortaklık yapar. FSI’nin Güvenlik Programı aşağıdaki unsurları içerir:
1. Politikalar ve Süreçler. FSI; verilerin gizliliğini, bütünlüğünü ve kullanılabilirliğini güvence altına almak ve verileri kazara, yetkisiz veya uygunsuz ifşa, kullanım, değişiklik veya imhadan korumak için yazılı resmî politikalar ve süreçler uygular. Bu politikalar her yıl veya gerektiğinde daha sık gözden geçirilir ve güncellenir. Politikalar ve prosedürlerle amaçlanan fiziksel, teknik ve idari önlemlerin uygulanmasını ve etkili bir şekilde işlemesini sağlamaktır.
2. Erişim Denetimleri.
Fiziksel Erişim - FSI, kişisel verilerin işlendiği veya kullanıldığı veri işleme ekipmanlarına (veri tabanı sunucuları, uygulama sunucuları, ağ anahtarları, güvenlik duvarları, kumanda mekanizmaları ve ilgili donanımlar) yetkisiz kişilerin erişmesini önlemek için makul önlemler alır.
Mantıksal Erişim - FSI, veri işleme sistemlerine yetkisiz erişimi önlemek için makul güvenlik önlemleri uygular. FSI, veri işleme sistemlerine erişimi olan FSI kullanıcılarını korur ve denetler. FSI, işletme tarafından onaylanan ihtiyaca göre sınırlı sayıda kişiye erişim izni verir.
3. Güvenlik Eğitimi ve Bilinci. FSI, gerek FSI iş gücünü oluşturanlar gerekse FSI iş gücünden yararlananlar için resmî bir güvenlik bilinci ve eğitimi programı yürütmektedir. Bu programda, temel bilgi güvenliği kavramları ile politikaları hakkında kullanıcıları bilinçlendirme amacıyla yılda bir veya uygulanabilir aralıklarla öğrenme modülleriyle zorunlu çalışma yapılır. Yıllık eğitim konuları, hassas bilgilerin uygun şekilde sınıflandırılmasını ve işlenmesini içerir. Resmî eğitime ek olarak, önceden duyurmadan tekrar tekrar yapılan kimlik avı simülasyonu alıştırmalarıyla kötü amaçlı e-posta mesajlarını saptama, bildirme ve bunlardan sakınma konusunda öğrenilenler pekiştirilir.
4. Veri Koruma. FSI, kişisel verilerin hem aktarım sırasında hem de bekleme durumundayken yetkisiz şahıslarca uygunsuz bir şekilde kullanılmasını, okunmasını, kopyalanmasını, değiştirilmesini veya silinmesini önlemek için makul önlemler alır. Veri koruma kontrolleri, derinlemesine bir savunma yaklaşımıyla uygulanır.
5. İzleme. FSI, hassas sistemlere ve ağ kaynaklarına erişimi izlemek ve kullanıcıların politika doğrultusunda hareket etmesini sağlamak için makul önlemler alır. İşletme ihtiyaçları ile yasa ve yönetmeliklerin gerekliliklerine göre tutulan günlükler merkezî bir depoda veya platforma özgü olmakla birlikte gerektiğinde merkezî depoya geçiş imkânı sunan bir depoda saklanır. Günlükler, doğruluklarının ve değişmezliklerinin korunmasına yardımcı olacak şekilde saklanır ve güvence altına alınır. FSI, kötü niyet potansiyeli gösteren faaliyetleri belirlemek için bir dizi otomatik uyarıdan yararlanır. FSI’nin günlük verileri, saldırı potansiyelini saptamak, ayrıca FSI Olay Müdahale çalışmalarını desteklemek üzere düzenli olarak gözden geçirilir.
6. Uç Nokta Algılama ve Müdahale. FSI, kullanıcı ve sunucu uç noktalarında makul denetimler gerçekleştirir ve kötü amaçlı yazılımların yayılmasına karşı koruma, merkezî uyarı sistemi, ana bilgisayar süreçleri ve dosya sorgusu ile sistem izolasyon yetenekleri sağlayan FSI uç noktaları da buna dâhildir.
7. Güvenlik Olaylarına Müdahale Prosedürleri. FSI, güvenlik olaylarını tespit etmek, bunlara karşılık vermek veya başka şekillerde müdahale etmek için yazılı politika ve prosedürler uygular. FSI; müdahale gerektirebilecek olayları tanımlayıp sınıflandırmak, fiilî ve teşebbüs hâlindeki saldırı veya izinsiz erişim olaylarına karşı sistemleri izlemek, güvenlik olaylarının zararlı etkilerini gidermek ve güvenlik olayları ile sonuçlarını belgelemek için 7/24 bir Güvenlik Operasyonları Merkezi (SOC) işletmektedir. Büyük bir olay meydana gelirse veya bir olayda uzmanlaşmış adli analiz gerekliyse üçüncü tarafların hızla devreye girmesini kolaylaştırmak için üçüncü taraf olay müdahale sağlayıcılarıyla anlaşmalar yapılır. FSI’nin ayrıca özel destek ve tanımlama için tam zamanlı çalışan FSI odaklı bir güvenlik ekibi vardır. SOC, FSI’nin Veri Gizliliği Bürosu (DPO) ve Genel Danışma Bürosunun (OGC) yanı sıra dışarıdan güvenlik uzmanlarıyla da yakın iş birliği içinde çalışarak olaylara müdahalenin yürürlükteki yasa ve yönetmeliklere uygunluğunu sağlar.
8. Güvenlik ve Risk Değerlendirmeleri. FSI; güvenlik denetimlerinin ne ölçüde etkili olduğunu değerlendirmeye, güvenlikte denetim hatalarını belirlemeye ve risk temelli bir yaklaşımla güvenlikteki denetim açıklarını saptama, değerlendirme ve ölçmeye yardımcı olacak makul politika ve prosedürler uygular.
9. Sistem Yapılandırması ve Bakımı. FSI, veri işleme ekipmanlarının (sunucular, veri tabanları, dizüstü bilgisayarlar, güvenlik duvarları, anahtarlar, yönlendiriciler, kumanda mekanizmaları vb.) kişisel verilere yeterli korumayı sağlayacak şekilde yapılandırılması için makul politika ve prosedürler uygular. FSI’nin uyguladığı güvenlik açığı yönetim programı FSI ortamındaki güvenlik açıklarını belirlemeye yarar ve bu açıkların zamanında giderilmesini kolaylaştırmak için uygun kaynaklarla iletişim kurulmasını kolaylaştırır.
10. Sistem ve Bilgi Dayanıklılığı. FSI, kişisel verilerin kazara veya kötü niyetli kullanım, değişiklik veya imhaya karşı yeterli koruma altında olmasını ve kazara veya kötü niyetle kullanılan, değiştirilen veya imha edilen verilerin tanımlanabilir ve geri yüklenebilir nitelikte kalmasını sağlamak için makul önlemler alır. FSI, verilerin kritik önem derecesine ve işletme ihtiyaçlarına göre çevrim içi, çevrim dışı ve orta kademede (nearline) saklanmış kopyaları içeren veri ve sistem yedekleme prosedürleri uygular. FSI, yüksek kullanılabilirlik ve performans uygulamaları ve sistemleri sağlamak için yüksek düzeyde yedekli bilgi sistemlerinden yararlanır.
11. Yasal Uyumluluk. FSI’nin, veri koruma yasa ve yönetmeliklerine uyumluluğu yöneten bir Veri Gizliliği Bürosu vardır. FSI ayrıca, güvenlik denetim, süreç ve prosedürlerinin dâhilî değerlendirmeler yoluyla test edilmesi ve doğrulanmasına odaklanan FSI içi bir BT uyumluluk programı uygulamaktadır.
12. Hesap Verebilirlik. FSI’nin, FSI’deki Bilgi Güvenliği Programlarının geliştirilmesi, uygulanması ve sürdürülmesinden sorumlu özel bir güvenlik görevlisi vardır. Ayrıca FSI’nin Bilgi Güvenliği Programı Politikası, Bilgi Güvenliği Programına dâhil tüm paydaşların görev ve sorumluluklarını ana hatlarıyla belirtir ve tüm iş gücü kullanıcılarının erişebileceği şekilde yayımlanır.
13. Kayıtları Amaca Uygun Kullanma ve Saklama. FSI, kişisel veriler dâhil olmak üzere gizli verilerin kullanımını ve saklanmasını düzenleyen politika ve süreçler uygular. Verilerin, veri sahiplerinin veri paylaşım gerekliliklerine uygunluğunu sağlayacak süreçler yürürlüktedir ve yapay zekâ teknolojilerinin kabul edilebilir biçimde kullanılmasını sağlayacak bir gözetim söz konusudur.
14. Güncellemeler. FSI; teknolojide meydana gelen ilgili değişiklikleri, endüstri güvenlik standartlarını, kişisel verilerin hassasiyetini ve kişisel verilere yönelik iç veya dış potansiyel tehditleri göz önünde bulundurarak Bilgi Güvenliği Programını yılda bir kez veya gerektikçe gözden geçirir, değerlendirir ve düzenler.
EK III:
ALT İŞLEYİCİLER LİSTESİ
Denetçi, aşağıdaki alt işleyicilerin kullanımına izin vermiştir:*
- ANCESTRY
- BART DEVELTER V.O.F.
- BRIGHAM YOUNG UNIVERSITY
- CENTURY VITAL RECORDS (CVR)
- CONTENT ARCHAEOLOGY
- DATADISC.IT S.R.L.
- DIE MOBILE SEKRETÄRIN E.U.
- DIGITAL 4 KIT
- DOUBLE DIGITAL
- EMPRESA DE ARQUIVO DE DOCUMENTAÇÃO S.A.
- FORMAX
- GENEALAB
- GENESIS
- GREYSCALE LTD.
- INFOSCRIBE SAS
- INTELLIGENT IMAGE MANAGEMENT (IIMI)
- IRON MOUNTAIN AUSTRALIA
- IRON MOUNTAIN CESKA REPUBLIKA S.R.O.
- LIFEWOOD
- MATERN
- MYHERITAGE
- NORMADAT S.A.
- OSG RECORDS MANAGEMENT
- PEDRO CRUZ MARTINEZ
- RASTERGEN – GESTÃO DOCUMENTAL UNIPESSOAL (LDA)
- SBL
- STASIS S.A.S.
- SVI
- TRACEABLE SOLUTIONS
- TRUEBPO INC (FORMERLY EQOD INC)
(1.1) İsviçre’deki Kayıt Gözetmenleri için AB Standart Sözleşme Maddeleri, Modül 2: Denetçiden İşleyiciye (“ AB SSM, Modül 2 ”) ilave olarak aşağıdakiler geçerlidir:
AB Standart Sözleşme Maddeleri İsviçre Eki
Kişisel verilerin, Verileri Dışa Aktaran Kuruluştan Verileri İçe Aktaran Kuruluşa aktarımının AB GVKY ve FADP’ye (aşağıda tanımlandığı gibi) tabi olduğu durumlarda Standart Sözleşme Maddelerinin FADP Madde 6(2) doğrultusunda bu tür bir aktarım için yeterli koruma sağlayabilmesi için aşağıdaki ek hükümler de geçerli olacaktır:
(a) “FADP”, 19 Haziran 1992 tarihli Federal Veri Koruma Yasasıdır (SR 235.1).
(b) “FDPIC”, İsviçre Federal Veri Koruma ve Bilgi Komiseri anlamına gelir.
(c) “Gözden geçirilmiş FADP”, 25 Eylül 2020 tarihli FADP’nin gözden geçirilmiş versiyonu olup 1 Ocak 2023 tarihinde yürürlüğe girmesi planlanmaktadır.
(d) “AB Üye Devleti” terimi, İsviçre’deki Veri Sahiplerini, 18(c) sayılı Standart Sözleşme Maddesi uyarınca mutat ikametlerinde (İsviçre) haklarını korumak için mahkemeye başvuru imkânından yoksun bırakacak şekilde yorumlanmamalıdır.
(e) Gözden geçirilmiş FADP yürürlüğe girene kadar Standart Sözleşme Maddeleri tüzel kişilerin verilerini de korur.
(f) FDPIC, ilgili veri aktarımı FADP’ye tabii olduğu sürece “yetkili gözetim makamı” olarak görev yapar.
(1.2) Birleşik Krallık’taki (“BK”) Kayıt Gözetmenleri için AB Standart Sözleşme Maddeleri, Modül 2: Denetçiden İşleyiciye (“AB SSM, Modül 2”) ilave olarak aşağıdakiler geçerlidir:
AB Komisyonu Standart Sözleşme Maddeleri Uluslararası Veri Aktarımı Eki
(“BK IDTA”)
AB Komisyonu Standart Sözleşme Maddelerine Uluslararası Veri Aktarımı Eki (burada bulunabilir) işbu belgeye referansla dâhil edilmiştir ve aşağıdakiler geçerlidir:
Bölüm 1: Tablolar
Tablo 1’in içeriği tam olarak AB SSM, Modül 2, Ek I’deki gibidir.
Tablo 2 - Aşağıdaki maddeler, yukarıda belirtilen tarafların üzerinde anlaşmaya vardığı AB SSM, Modül 2 için geçerlidir:
- Madde 7 (Birleştirme maddesi) kaldırılmıştır.
- Madde 9’a (Alt işleyicilerin kullanımı) SEÇENEK 2: GENEL YAZILI YETKİLENDİRME dâhil edilmiştir.
- Madde 11’in (Telafi) kapsamına (a) bölümündeki SEÇENEK girmez.
- Madde 13 (Gözetim), bir AB Üye Devletinde faaliyet göstermekte olup verileri dışa aktarmaktan sorumlu olan kuruluşlar için geçerli açıklama içerir.
- Madde 17’ye (Geçerli Kanunlar) SEÇENEK 1 dâhil edilmiştir ve verileri dışa aktaran kuruluşun bulunduğu ülkede yürürlükte olan kanunlar geçerlidir.
- Madde 18’e (Mahkeme ve yargı seçimi) verileri dışa aktaran kuruluşun bulunduğu ülkedeki mahkemeler dâhil edilmiştir.
Tablo 3’ün içeriği AB SSM, Modül 2 Ek I, II ve III’ten sağlanmıştır.
Tablo 4 – BK IDTA, Taraflardan (İçe aktaran ve Dışa aktaran) birinin iradesiyle sonlandırılabilir.
Bölüm 2 – Zorunlu Maddeler
Tüm zorunlu maddeler geçerlidir; tersine Alternatif Bölüm 2 Zorunlu Maddeleri geçerli değildir.
(2) Aşağıdaki konumlarda bulunan Kayıt Gözetmenleri için AB Standart Sözleşme Maddeleri, Modül 2: Denetçiden İşleyiciye (“AB SSM, Modül 2”) (burada bulunabilir) geçerlidir:
Andorra, Arnavutluk, Azerbaycan, Belarus, Bosna Hersek, Ermenistan, Guernsey, Gürcistan, Jersey, Karadağ, Kazakistan, Kenya, Kosova, Kuzey Makedonya, Man Adası, Monako, San Marino, Sırbistan, Suriye, Türkiye, Ukrayna, Vietnam, Yemen.
(3) Angola'daki Kayıt Gözetmenleri (“Angola”) için Angola Veri Koruma Yasası'ndaki Angola Sözleşme Maddelerine (Kanun no. 22/11, 17 Haziran 2011) (“Angola SM'leri”) (burada bulunabilir) ek olarak aşağıdakiler geçerlidir:
Aşağıdaki maddeler, yukarıda belirtilen tarafların üzerinde anlaşmaya vardığı Angola SM'leri için geçerlidir:
Kişisel verilerin işlendiği, aktarıldığı ve saklandığı yerler arasında Gana ve Amerika Birleşik Devletleri yer alır.
AB SSM'leri Modül 2 için yukarıda verilen diğer tüm bilgiler Angola SM'leri için geçerlidir.
(4) Nijerya'daki Kayıt Gözetmenleri (“Nijerya”) için Nijerya Veri Koruma Yasası (NVKY) 2023'teki Nijerya Sözleşme Maddelerine (“Nijerya SM'leri”) (burada bulunabilir) ek olarak aşağıdakiler geçerlidir:
Aşağıdaki maddeler, yukarıda belirtilen tarafların üzerinde anlaşmaya vardığı Nijerya SM'leri için geçerlidir:
Kişisel verilerin işlendiği, aktarıldığı ve saklandığı yerler arasında Gana ve Amerika Birleşik Devletleri yer alır.
AB SSM'leri Modül 2 için yukarıda verilen diğer tüm bilgiler Nijerya SM'leri için geçerlidir.
(5) Aşağıdaki konumlarda bulunan Kayıt Gözetmenleri için ASEAN Model Sözleşme Maddeleri, Modül 1: Denetçiden İşleyiciye (“MSM’ler, Modül 1”) (burada bulunabilir) geçerlidir:
Brunei Darüsselam, Endonezya, Filipinler, Kamboçya, Laos, Malezya, Myanmar, Singapur, Tayland, Vietnam
Aşağıdaki maddeler, yukarıda belirtilen tarafların üzerinde anlaşmaya vardığı MSM’ler, Modül 1 için geçerlidir:
- Madde 2 (Veri Aktaranın Yükümlülükleri) kaldırılmıştır.
- Madde 3 (Verileri İçe Aktaran Kuruluşun Yükümlülükleri) isteğe bağlı 3.4, 3.6, 3.7 alt maddeleri ve 3.7’deki isteğe bağlı metin kaldırılmıştır. Alt madde 3.10, “... Ortaklarca belirlenen makul bir süre içinde” şeklindedir.
- Madde 4’e (Uyuşmazlıklarda Kanun Seçimi) 4.1’de verileri dışa aktaran kuruluş olarak geçen ASEAN Üye Devleti dâhil edilmiştir. Operasyonel alt madde 4.3 kaldırılmıştır.
- Madde 6’nın (Sözleşmenin Feshi) 6.1.1 alt bölümüne “30 gün” dâhil edilmiştir.
- Bireysel Çözümlere İlişkin Ek Şartlar (Bireysel Çözümler) Tüm bireysel çözümler kaldırılmıştır.
- EK A: bkz. AB SSM’leri arasından EK I, Modül 2.
(6) Aşağıdaki konumlarda bulunan Kayıt Gözetmenleri için İber-Amerikan Veri Koruma Ağı Model Aktarım Sözleşmesi (“IADPN MSM’leri, Denetçiden İşleyiciye”) (burada bulunabilir) geçerlidir:
Andorra, Arjantin, Peru, Uruguay
Yukarıda belirtilen tarafların üzerinde anlaşmaya vardığı şekilde IADPN MSM’leri, Denetçiden İşlemciye süreçler için şu maddeler geçerlidir:
- AB SSM, Modül 2’deki EK I referansla dâhil edilmiştir ve IADPN MSM’ler, Denetçiden İşleyiciye gerekli tüm bilgileri sağlar.
- Madde 9 (Telafi) alt madde 9(a) kapsamındaki isteğe bağlı metin kaldırılmıştır.
- EK A’nın içeriği AB SSM, Modül 2 kapsamındaki EK I’den alınan ilgili bilgilerden sağlanmıştır.
- EK B’nin içeriği AB SSM, Modül 2 kapsamındaki EK I’den alınan ilgili bilgilerden sağlanmıştır.
- EK C’nin içeriği AB SSM, Modül 2 kapsamındaki EK II’den alınan ilgili bilgilerden sağlanmıştır.
- EK D’nin içeriği AB SSM, Modül 2 kapsamındaki EK III’ten alınan ilgili bilgilerden sağlanmıştır.
- EK E’nin içeriği şu adreste bulunan gizlilik bildiriminden sağlanmıştır: https://www.familysearch.org/legal/privacy.
(7) Çin'deki Kayıt Gözetmenleri için aşağıdakiler (burada bulunabilir) geçerlidir:
a. Hong Kong'dakiler için aşağıdakiler (burada bulunabilir) geçerlidir:
(8) Brezilya'daki Kayıt Gözetmenleri için aşağıdakiler geçerlidir: (burada bulunabilir) (Ayrıca PDF burada bulunabilir)
(9) Yeni Zelanda'daki Kayıt Gözetmenleri için aşağıdakiler (burada bulunabilir) geçerlidir:
(10) Ruanda'daki Kayıt Gözetmenleri için aşağıdakiler (burada bulunabilir) geçerlidir:
(11) Katar'daki Kayıt Gözetmenleri için aşağıdakiler (burada bulunabilir) geçerlidir:
(12) Suudi Arabistan'daki Kayıt Gözetmenleri için aşağıdakiler (burada bulunabilir) geçerlidir: