TILLÆG TIL VILKÅR OM BEHANDLING OG OVERFØRSEL AF PERSONOPLYSNINGER

Parterne anerkender og accepterer, at personoplysninger, der overføres mellem FamilySearch International (eller en tilknyttet organisation) og en eller flere arkivansvarlige, er underlagt (i) de vilkår, der er underskrevet af begge parter, og hvori disse vilkår om behandling og overførsel af personoplysninger er indarbejdet ved henvisning ("aftalen"), og (ii) al gældende lovgivning om beskyttelse af privatlivets fred og databeskyttelse.

Parterne forstår og accepterer, at (i) den arkivansvarlige er dataansvarlig og eksportør af de overførte personoplysninger, og (ii) FamilySearch International (eller en tilknyttet organisation) er databehandler og importør.

Parterne forstår og accepterer, at det gældende tillæg om behandling og overførsel af personoplysninger, der er anført nedenfor, fastlægges på baggrund af den arkivansvarliges fysiske lokation, medmindre den arkivansvarlige skriftligt har bestemt en anden lokation på tidspunktet for indgåelse af aftalen.

(1) For arkivansvarlige på følgende lokationer gælder EU's standardkontraktbestemmelser, modul 2: Dataansvarlig til databehandler ("EU SCC, modul 2") (tilgængelig her):

Afghanistan, Algeriet, Østrig, Australien, Bahrain, Barbados, Belgien, Belize, Botswana, De Britiske Jomfruøer, Bulgarien, Burkina Faso, Caymanøerne, Congo, REP, Cookøerne, Kroatien, Cuba, Cypern, Tjekkiet, Danmark, Ecuador, Egypten, Estland, Eswatini, Etiopien, Fiji, Finland, Frankrig, Fransk Guyana, Fransk Polynesien, Franske Sydterritorier, Gabon, Tyskland, Gloriosoøerne, Grækenland, Grenada, Guam, Guyana, Haiti, Ungarn, Indien, Indonesien, Iran, Irak, Irland, Italien, Israel, Jamaica, Japan, Jordan, Juan de Nova Island, Kiribati, Kuwait, Letland, Libanon, Libyen, Liechtenstein, Litauen, Luxembourg, Malta, Marshalløerne, Melanesien, Mexico, Mikronesien, Mongoliet, Marokko, Nauru, Nepal, Holland, Ny Kaledonien, Niger, Niue, Norge, Oman, Palau, Panama, Papua Ny Guinea, Pakistan, Palæstina, Pitcairnøerne, Polen, Portugal, Republikken Moldova, Rumænien, Saint Kitts og Nevis, Samoa, Seychellerne, Slovakiet, Slovenien, Salomonøerne, Somalia, Sydafrika, Sydkorea, Spanien, Sri Lanka, Sudan, Sverige, Schweiz*, Tanzania, Thailand, Togo, Tokelau, Tonga, Tunesien, Tyrkiet, Tuvalu, Uganda, De Forenede Arabiske Emirater, Storbritannien**, Vanuatu, Wallis og Futuna, Zambia, Zimbabwe

* Selvom EØS-tillægget om behandling og overførsel af personoplysninger gælder for Schweiz, kræver Schweiz også supplerende bestemmelser, som hermed er indarbejdet i tillægget og er angivet nedenfor.

** Selvom EØS-tillægget om behandling og overførsel af personoplysninger gælder for Storbritannien, kræver Storbritannien supplerende bestemmelser, som hermed er indarbejdet i tillægget og er angivet nedenfor.

Følgende gælder for EU SCC, modul 2 som aftalt mellem de ovennævnte parter:

  • Bestemmelse 7 (Docking-klausul) udgår.
  • Bestemmelse 9 (Brug af underdatabehandlere) indarbejder ALTERNATIV 2: GENEREL SKRIFTLIG TILLADELSE).
  • Bestemmelse 11 (Klageadgang) indarbejder ikke ALTERNATIVET i litra a).
  • Bestemmelse 13 (Tilsyn) indarbejder den ordlyd, der gælder for dataeksportører, der er etableret i en EU-medlemsstat.
  • Bestemmelse 17 (Gældende lovgivning) indarbejder ALTERNATIV 1 og gældende lovgivning i dataeksportørens land.
  • Bestemmelse 18 (Valg af værneting og kompetent domstol) indarbejder domstolene i dataeksportørens land.
  • BILAG I: Se nedenfor.
  • BILAG II: Se nedenfor.
  • BILAG III: Se nedenfor.

BILAG I:

A. Liste over parter

Dataeksportør

  1. Navn: Den arkivansvarlige som defineret i aftalen
  2. Adresse: Adresse på den arkivansvarlige som defineret i aftalen
  3. Kontakt: Se "Kontaktoplysninger til meddelelser" angivet for den arkivansvarlige som defineret i aftalen
  4. Aktiviteter, der er relevante for de data, der overføres i henhold til bestemmelserne: Relevante aktiviteter er beskrevet i afsnit B ("Beskrivelse af overførsel") nedenfor
  5. Rolle: Dataansvarlig

Dataimportør

  1. Navn: FamilySearch International
  2. Adresse: 36 S State St., Ste 1900, Salt Lake City, UT 84111
  3. Kontakt: Manager, Data Privacy Office - 50 East North Temple Street, Salt Lake City, Utah 84150
    1. Telefon: (801) 240-1187
    2. E-mail: Dataprivacyofficer@churchofjesuschrist.org
  4. Aktiviteter, der er relevante for de data, der overføres i henhold til bestemmelserne: Relevante aktiviteter er beskrevet i afsnit B ("Beskrivelse af overførsel") nedenfor
  5. Rolle: Databehandler

B. Beskrivelse af overførsel

Kategorier af registrerede, hvis personoplysninger overføres

Registrerede, der fremgår i historiske og genealogiske optegnelser, hvis personoplysninger opbevares til forskningsmæssige, historiske og statistiske formål.

Kategorier af overførte personoplysninger

Genealogiske data – oplysninger indsamlet for at bevare personers personlige og familiemæssige historie:

  • Navne (den registreredes navn, fars og mors navne, børnenes navne, søskendes navne, ægtefælles navne osv.)
  • Familieforhold (navne på enkeltpersoner, søskende, forældre, børn, bedsteforældre, tanter, onkler).
  • Biografiske oplysninger (navn, fødselsdato, dødsdato, historier og detaljer om individets liv, erhverv, uddannelse, sted for livsbegivenheder, personlige religiøse begivenheder – dåb, konfirmationer osv.)
  • Fødselsdato, fødested og relaterede oplysninger (barnets køn, navne på forældrene eller adoptivforældrene afhængigt af den pågældende fødselsregistrering, forældrenes adresse på fødselsdatoen, fødselsdato og fødested).
  • Alder
  • Køn
  • Dato og sted for ægteskab og relaterede oplysninger (navn på person, forældre osv.)
  • Dødsdato, dødslokation og relaterede oplysninger (navn på person, dødsårsag)
  • Nationalitet
  • Personlige karakteristika, herunder fotografisk billede
  • Andre oplysninger indeholdt i erhvervede genealogiske og historiske optegnelser, herunder fra folketællinger (personnavne, børn, erhverv, bopæl), familiehistorier (biografiske data, navne, familierelationer), sogneregistre (navne på menighedsmedlemmer, bopæl, fødselsdatoer, familierelationer), kirkeoptegnelser (fødsels-, ægteskabs-, dødsoptegnelser, dåb, konfirmationer), civile registreringer (fødsels-, ægteskabs- og dødsoptegnelser), dødsannoncer i aviser (fødsels-, landregistre, statsarkivsamlinger) og naturaliseringsoptegnelser (statsborgerskabsoptegnelser, indvandringsoptegnelser, naturaliseringsoptegnelser inklusive navne, fødselsdatoer, oprindelsesland, bopælsland og adresse, familiemedlemsnavne, erhverv, nogle landespecifikke elementer afhængigt af land og dato for indsamling).

Følsomme data – Oplysninger, der tilfældigt indgår i historiske og genealogiske optegnelser, der kan defineres som følsomme i henhold til databeskyttelseslovgivningen:

  • Identitets- og demografiske data (racemæssig eller etnisk oprindelse, national oprindelse, stammeoprindelse, social status, specifik identitet (unikke identifikatorer, f.eks. pas, personnummer, kørekort, statslig legitimation), civilstatus, alder, hudfarve, statsborgerskab eller indvandringsstatus, status som offer for en forbrydelse eller som skadelidt som følge af en forbrydelse)
  • Tro og foreninger (religiøse overbevisninger eller tilhørsforhold, filosofiske overbevisninger, moralske overbevisninger, ideologiske overbevisninger, politiske holdninger, politisk overbevisning, politiske ideologier eller politisk tilhørsforhold, fagforeningsmedlemskab, gildemedlemskab, fagforeningstilknytning, medlemskab af faglige eller sociale foreninger eller menneskerettighedsorganisationer)
  • Sundheds- og genetiske/biometriske data (nuværende eller fremtidig fysisk eller psykisk helbredstilstand, status eller diagnose, sygehistorie, medicinske journaler, medicinsk behandling, sundhedsydelser, psykologisk eller fysiologisk status, genetiske data (arvede eller erhvervede egenskaber, menneskelig biologisk profil), biometriske data (bruges til unik identifikation, automatiseret verifikation eller afsløring af yderligere følsomme egenskaber), neurale data (hjerne/neurorelaterede data, kognitive/emotionelle data).
  • Kriminelle og juridiske data (straffeattest eller -historik, kriminel adfærd eller handlinger, begået eller påstået begået lovovertrædelse, sager, afgørelser, domme eller sanktioner i forbindelse med straffesager)
  • Lokalitets- og kommunikationsdata (geolokaliseringsdata (præcis eller specifik lokalitet, herunder GPS-koordinater), kommunikationsdata, herunder indhold og metadata for opkald, sms'er, e-mails eller post, indhold af post, e-mail eller sms'er (medmindre de er adresseret til modtageren))
  • Oplysninger om mindreårige (alle personoplysninger, der vedrører en mindreårig)
  • Andre særlige kategorier
    • Personlige vaner, livsstil og intime/private forhold
    • Moralske eller etiske karakteristika
    • Familieforhold eller følelsesmæssige/familielivsdata
    • Uddannelsesoptegnelser
    • Beskæftigelsesrelaterede data knyttet til beskyttede karakteristika
    • Forbrugersundhedsdata (bredere end medicinske journaler, herunder wellness/fitnessaktivitet, graviditet osv.)
    • Data vedrørende ideologi eller tro, der ikke er registreret på anden måde
    • Alle data, der kan udgøre en væsentlig trussel mod privatlivets fred, værdighed, sikkerhed eller ejendom, hvis de misbruges
    • Data med øget risiko for diskrimination eller skade afhængigt af kontekst (f.eks. tv-seerdata klassificeret som følsomme af FTC)
    • Civilstatus (navne, datoer osv.)
    • Statsligt identifikationsnummer eller lignende oplysninger (personnummer osv.)
    • Pasnummer
    • Religiøst tilhørsforhold (oplysninger i kirkeoptegnelser, herunder medlemsnumre, navne, fødselsdatoer, dåbsdatoer, ægteskabsdatoer, dødsdatoer og data relateret til specifik religion).
    • Data vedrørende mindreårige (navne, fødselsdatoer, forældre, søskende, værgemålsoptegnelser, adoptionsoplysninger, retslige optegnelser, uddannelsesoptegnelser)
    • Sundhedsrelaterede data (sygdomme, hospitalsophold, dødsårsager)
    • Kriminel fortid (navne, datoer for afsoning, afgørelser vedrørende individet)
    • Fagforeningsmedlemskab (medlemmernes navne, dato for medlemskab, gebyroplysninger for medlemskab osv.)
    • Racemæssig eller etnisk oprindelse (region eller oprindelsesland)
    • Religion (navn og religiøst tilhørsforhold)
    • Politisk tilhørsforhold (navn og politisk parti, donationsoplysninger)

Hyppigheden af overførslen (f.eks. om det sker som éngangsoverførsel eller løbende).

Ad hoc

Behandlingens karakter

De overførte personoplysninger kan, i det omfang det er lovligt, være genstand for forskellige behandlingsaktiviteter, herunder digitalisering, indeksering, hosting, lagring, overførsel, redigering og visning. Disse aktiviteter understøttes af cloud-baserede datacentre, herunder datacentre i USA, i det omfang det er tilladt i henhold til databeskyttelseslovgivningen. For eksempel kan dataene behandles for at understøtte følgende aktiviteter:

  • Bevarelse af historiske optegnelser: Digitalisering, bevarelse, indeksering, lagring og/eller arkivering af historiske dokumenter, fotos og artefakter til fremtidige generationer efter dataeksportørens instruks.
  • Genealogi: Når det er tilladt i henhold til databeskyttelseslovgivningen og af dataeksportøren (f.eks. når dataene ikke længere er underlagt begrænsninger), kan dataene indgå i applikationer, der bruges af forskere og webstedsbrugere til at understøtte sporing af afstamnings- eller familiehistorikoptegnelser eller anden slægtsforskning, programmer og aktiviteter.
    • Familiehistorisk forskning: Indsamling og bevaring af oplysninger om ens forfædre og stamtræ.
    • Genealogisk undervisning: Tilbyde undervisning og ressourcer for at hjælpe millioner af mennesker rundt om i verden med at opdage deres arv og komme i kontakt med familiemedlemmer.

Formål med overførslen af personoplysninger og efterfølgende behandling

Overførslen af personoplysninger til dataimportøren (på dataimportørens globale hovedkontor) og dataimportørens efterfølgende behandling understøtter bevarelse og opbevaring af historiske familieoptegnelser til gavn for offentlige arkiver, offentlige organer, oprindelige folk, private arkiver, andre private organer og enkeltpersoner. Hvis det er tilladt i henhold til databeskyttelseslovgivningen og af dataeksportøren (f.eks. når dataene ikke længere er underlagt begrænsninger), kan disse optegnelser også gøres offentligt tilgængelige på dataimportørens websted gratis til forskningsformål.

Den periode, hvori personoplysningerne vil blive opbevaret, eller hvis det ikke er muligt, de kriterier, der anvendes til at fastsætte denne periode

Personoplysninger, der indsamles til historiske bevaringsformål, vil blive opbevaret i overensstemmelse med dataeksportørens instrukser og så længe, der anmodes herom. I mange tilfælde kan optegnelserne, så længe de har historisk værdi, opbevares på ubestemt tid til arkivformål og til dokumentation af genealogi, medmindre en registreret anmoder om sletning.

Ved overførsler til (under)databehandlere skal genstanden for, karakteren af og varigheden af behandlingen også angives

Dataimportøren behandler personoplysninger for at bevare historiske optegnelser og til genealogiske forskningsformål efter instruks fra dataeksportøren. Dataimportøren kan anvende en databehandler eller underdatabehandler i henhold til en databehandler- eller underdatabehandleraftale til at bistå med behandlingen af personoplysninger til de samme formål og for at udføre funktioner på vegne af dataeksportøren og/eller dataimportøren (for eksempel digitalisering og indeksering af historiske optegnelser). Databehandler- eller underdatabehandleraftalen vil indeholde yderligere oplysninger om genstanden for, karakteren af og varigheden af behandlingen.

C. Kompetent myndighed

Identificer den eller de kompetente myndigheder i overensstemmelse med bestemmelse 13

Tilsynsmyndigheden i dataeksportørens land, som defineret i bilag I.A.

BILAG II:

TEKNISKE OG ORGANISATORISKE FORANSTALTNINGER FOR FAMILY SEARCH INTERNATIONAL (IMPORTØR)

Dette dokument beskriver de tekniske og organisatoriske informationssikkerhedsforanstaltninger, der anvendes af Family Search International (importør) ("FSI").

Tekniske og organisatoriske sikkerhedsforanstaltninger. FSI opretholder et omfattende informationssikkerhedsprogram og implementerer passende tekniske og organisatoriske sikkerhedsforanstaltninger baseret på branchestandarder, organisatoriske behov og risiko for at minimere og beskytte mod uautoriseret eller ulovlig behandling, utilsigtet eller forsætligt tab, uautoriseret adgang, ødelæggelse eller skade. Disse foranstaltninger hjælper med at sikre fortroligheden, integriteten, tilgængeligheden og modstandsdygtigheden af FSI og FSI's systemer og data. På systemer, der ikke er direkte kontrolleret af FSI, samarbejder FSI-partnere med FSI om at implementere tilsvarende sikkerhedskontroller. FSI's sikkerhedsprogram omfatter følgende elementer:

1. Politikker og processer. FSI opretholder formelle skriftlige politikker og processer for at sikre fortroligheden, integriteten og tilgængeligheden af data og for at beskytte dem mod utilsigtet, uautoriseret eller ukorrekt videregivelse, brug, ændring eller ødelæggelse. Disse politikker gennemgås og opdateres årligt eller oftere, når det er relevant. Politikker og procedurer har til formål at sikre, at fysiske, tekniske og administrative sikkerhedsforanstaltninger er på plads og fungerer effektivt.

2. Adgangskontroller.

Fysisk adgang – FSI implementerer passende foranstaltninger for at forhindre uautoriserede personer i at få adgang til databehandlingsudstyr (databaseservere, applikationsservere, netværksswitche, firewalls, controllere og relateret hardware), hvor personoplysninger behandles eller bruges.

Logisk adgang – FSI implementerer passende sikkerhedsforanstaltninger for at forhindre uautoriseret adgang til deres databehandlingssystemer. FSI vedligeholder og gennemgår FSI-brugere med adgang til databehandlingssystemer. FSI giver adgang til et begrænset antal personer baseret på det forretningsgodkendte behov.

3. Sikkerhedstræning og -bevidsthed. FSI opretholder et formelt sikkerhedsbevidstheds- og træningsprogram for FSI’s medarbejdere og medarbejderbrugere. Programmet indeholder obligatoriske læringsmoduler, der sikrer brugernes kendskab til centrale informationssikkerhedskoncepter og -politikker, som gennemføres årligt, eller så ofte som det er praktisk muligt. Årlige uddannelsesemner omfatter korrekt klassificering og håndtering af følsomme oplysninger. Ud over formel træning styrker gentagne uanmeldte phishing-simuleringsøvelser træningen i, hvordan man identificerer, rapporterer og undgår ondsindede e-mails.

4. Databeskyttelse. FSI implementerer passende foranstaltninger for at forhindre, at personoplysninger bliver uberettiget brugt, læst, kopieret, ændret eller slettet af uautoriserede parter både under overførsel og under opbevaring. Databeskyttelseskontroller implementeres ved hjælp af en dybdegående forsvarsstrategi.

5. Overvågning. FSI implementerer passende foranstaltninger til at overvåge adgangen til følsomme systemer og netværksressourcer og for at sikre, at brugerne handler i overensstemmelse med politikken. Logfiler opbevares baseret på forretningsbehov og lovkrav og gemmes i et centralt arkiv eller i et platform-indbygget arkiv med mulighed for at migrere til det centrale arkiv efter behov. Logfiler gemmes og sikres på en måde, der hjælper med at sikre nøjagtighed og uforanderlighed. FSI opretholder et sæt automatiske advarsler for at identificere potentielt ondsindet aktivitet. FSI logger data, som løbende gennemgås for at identificere potentielle angreb og understøtte FSI's håndtering af sikkerhedshændelser.

6. Slutpunktsdetektion og -respons. FSI implementerer passende kontroller på bruger- og serverslutpunkter, herunder slutpunkter for FSI, der giver beskyttelse mod spredning af malware, centraliseret alarmering, hostproces og filforespørgsel og systemisoleringsfunktioner.

7. Procedurer for håndtering af sikkerhedshændelser (Incident Response/”IR”). FSI opretholder skriftlige IR-politikker og -procedurer til at opdage, reagere på og på anden måde adressere sikkerhedshændelser. FSI driver et Security Operations Center (SOC), der er åbent døgnet rundt, til at prioritere hændelser af interesse, overvåge systemer for faktiske og forsøgte angreb eller indtrængninger, afbøde skadelige virkninger af sikkerhedshændelser og dokumentere sikkerhedshændelser og deres udfald. Der indgås aftaler med tredjepartsudbydere, der tilbyder hjælp til håndtering af sikkerhedshændelser, for at muliggøre hurtig involvering af tredjeparter i tilfælde af en større hændelse, eller hvor en hændelse kræver specialiseret retsmedicinsk analyse. FSI opretholder også et fuldtids FSI-fokuseret sikkerhedsteam til særlig support og triage. SOC arbejder tæt sammen med FSI's Data Privacy Office (DPO) og Office of General Counsel (OGC) og eksterne sikkerhedseksperter for at sikre, at hændelser håndteres i overensstemmelse med gældende love og regler.

8. Sikkerheds- og risikovurderinger. FSI opretholder passende politikker og procedurer for at hjælpe med at vurdere effektiviteten af sikkerhedskontroller, identificere fejl i sikkerhedskontrollen og identificere, evaluere og vurdere mangler i sikkerhedskontrollen ved hjælp af en risikobaseret tilgang.

9. Systemkonfiguration og vedligeholdelse. FSI opretholder passende politikker og procedurer for at sikre, at databehandlingsudstyr (servere, databaser, bærbare computere, firewalls, switches, routere, controllere osv.) er korrekt konfigureret for at sikre, at personoplysninger er tilstrækkeligt beskyttet. FSI opretholder et sårbarhedsprogram for at hjælpe med at identificere sårbarheder inden for FSI-miljøet og kommunikere disse til de relevante ressourcer for at muliggøre rettidig afhjælpning.

10. System- og informationsmodstandsdygtighed. FSI implementerer passende foranstaltninger for at sikre, at personoplysninger er tilstrækkeligt beskyttet mod utilsigtet eller ondsindet brug, ændring eller ødelæggelse, og at data, der utilsigtet eller ondsindet er blevet brugt, ændret eller ødelagt, kan identificeres og gendannes. FSI implementerer procedurer for data- og systembackup, herunder online-, nearline- og offlinekopier, baseret på, hvor kritiske data er, og forretningsbehov. FSI bruger informationssystemer med høj redundans for at sikre høj tilgængelighed og ydeevne for applikationer og systemer.

11. Overholdelse. FSI opretholder et databeskyttelseskontor for FSI, der administrerer overholdelse af databeskyttelseslove og -regler. FSI opretholder også et internt IT-overholdelsesprogram for FSI med fokus på test og validering af sikkerhedskontroller, processer og procedurer gennem interne vurderinger.

12. Ansvar. FSI har en udpeget sikkerhedsansvarlig, der har ansvaret for udvikling, implementering og vedligeholdelse af informationssikkerhedsprogrammerne hos FSI. Derudover beskriver FSI's informationssikkerhedspolitik roller og ansvar for alle interessenter i informationssikkerhedsprogrammet og offentliggøres i et arkiv, der er tilgængeligt for alle organisationens brugere.

13. Passende brug og opbevaring af optegnelser. FSI implementerer politikker og processer, der regulerer brugen og opbevaringen af fortrolige data, herunder personoplysninger. Der er processer på plads for at sikre, at data overholder dataindehaveres krav til datadeling, og som omfatter tilsyn med acceptabel brug af kunstig intelligens-teknologier.

14. Opdateringer. FSI overvåger, evaluerer og justerer informationssikkerhedsprogrammet årligt eller efter behov under hensyntagen til relevante ændringer i teknologi, branchens sikkerhedsstandarder, følsomheden af personoplysninger og interne eller eksterne potentielle trusler mod personoplysninger.

BILAG III:

LISTE OVER UNDERBEHANDLERE

Den dataansvarlige har godkendt brugen af følgende underbehandlere:*

  • ANCESTRY
  • BART DEVELTER V.O.F.
  • BRIGHAM YOUNG UNIVERSITY
  • CENTURY VITAL RECORDS (CVR)
  • CONTENT ARCHAEOLOGY
  • DATADISC.IT S.R.L.
  • DIE MOBILE SEKRETÄRIN E.U.
  • DIGITAL 4 KIT
  • DOUBLE DIGITAL
  • EMPRESA DE ARQUIVO DE DOCUMENTAÇÃO S.A.
  • FORMAX
  • GENEALAB
  • GENESIS
  • GREYSCALE LTD.
  • INFOSCRIBE SAS
  • INTELLIGENT IMAGE MANAGEMENT (IIMI)
  • IRON MOUNTAIN AUSTRALIA
  • IRON MOUNTAIN CESKA REPUBLIKA S.R.O.
  • LIFEWOOD
  • MATERN
  • MYHERITAGE
  • NORMADAT S.A.
  • OSG RECORDS MANAGEMENT
  • PEDRO CRUZ MARTINEZ
  • RASTERGEN – GESTÃO DOCUMENTAL UNIPESSOAL (LDA)
  • SBL
  • STASIS S.A.S.
  • SVI
  • TRACEABLE SOLUTIONS
  • TRUEBPO INC (TIDLIGERE EQOD INC)

(1.1) For arkivansvarlige i Schweiz gælder følgende ud over EU's standardkontraktbestemmelser, modul 2: Dataansvarlig til databehandler ("EU SCC, modul 2"):

Schweizisk tillæg til EU's standardkontraktbestemmelser

Hvor en overførsel af personoplysninger fra en dataeksportør til en dataimportør er underlagt EU's databeskyttelsesforordning (GDPR) og FADP (som defineret nedenfor), gælder følgende supplerende bestemmelser også, for at standardkontraktbestemmelserne er egnede til at sikre et tilstrækkeligt beskyttelsesniveau for en sådan overførsel i overensstemmelse med artikel 6, stk. 2, i FADP:

(a) "FADP" betyder den føderale lov om databeskyttelse (”Federal Act on Data Protection”) af 19. juni 1992 (SR 235.1).

(b) "FDPIC" betyder den schweiziske føderale databeskyttelses- og informationskommissær (”Swiss Federal Data Protection and Information Commissioner”).

(c) "Revideret FADP" betyder den reviderede version af FADP af 25. september 2020, som forventes at træde i kraft den 1. januar 2023.

(d) Udtrykket "EU-medlemsstat" må ikke fortolkes på en sådan måde, at det udelukker registrerede i Schweiz fra muligheden for at håndhæve deres rettigheder på deres sædvanlige opholdssted (Schweiz) i overensstemmelse med bestemmelse 18(c) i standardkontraktbestemmelserne.

(e) Standardkontraktbestemmelserne beskytter også juridiske personers data, indtil den reviderede FADP træder i kraft.

(f) FDPIC fungerer som den "kompetente tilsynsmyndighed", for så vidt den relevante dataoverførsel er underlagt FADP.

(1.2) For arkivansvarlige i Storbritannien ("UK") gælder følgende ud over EU's standardkontraktbestemmelser, modul 2: Dataansvarlig til databehandler ("EU SCC, modul 2"):

Internationalt dataoverførselstillæg til EU-Kommissionens standardkontraktbestemmelser

("UK IDTA")

Det internationale dataoverførselstillæg til EU-Kommissionens standardkontraktbestemmelser (tilgængeligt her) er hermed indarbejdet ved henvisning, og følgende gælder:

Del 1: Tabeller

Tabel 1 er udfyldt nøjagtigt som i EU SCC, modul 2, bilag I.

Tabel 2 - Følgende gælder for EU SCC, modul 2 som aftalt mellem de ovennævnte parter:

  • Bestemmelse 7 (Docking-klausul) udgår.
  • Bestemmelse 9 (Brug af underbehandlere) indarbejder ALTERNATIV 2: GENEREL SKRIFTLIG TILLADELSE).
  • Bestemmelse 11 (Klageadgang) indarbejder ikke ALTERNATIVET i litra a).
  • Bestemmelse 13 (Tilsyn) indarbejder den ordlyd, der gælder for eksportører, der er etableret i en EU-medlemsstat.
  • Bestemmelse 17 (Gældende lovgivning) indarbejder ALTERNATIV 1 og gældende lovgivning i dataeksportørens land.
  • Bestemmelse 18 (Valg af værneting og kompetent domstol) omfatter domstolene i dataeksportørens land.

Tabel 3 – er udfyldt med EU SCC, modul 2 bilag I, II og III.

Tabel 4 – UK IDTA kan opsiges af begge parter (importør og eksportør).

Del 2 – Obligatoriske bestemmelser

Alle obligatoriske bestemmelser gælder; omvendt gælder de alternative obligatoriske bestemmelser i del 2 ikke.

(2) For arkivansvarlige på følgende lokationer gælder EU's standardkontraktbestemmelser, modul 2: Dataansvarlig til databehandler ("EU SCC, modul 2") (tilgængelig her):

Albanien, Andorra, Armenien, Aserbajdsjan, Belarus, Bosnien og Herzegovina, Georgien, Guernsey, Isle of Man, Jersey, Kenya, Monaco, Kasakhstan, Kosovo, Montenegro, Nordmakedonien, San Marino, Serbien, Syrien, Tyrkiet, Ukraine, Vietnam, Yemen.

(3) For arkivansvarlige i Angola ("Angola") gælder følgende ud over Angolas kontraktklausuler i Angolas databeskyttelseslov (lov nr. 22/11, 17. juni 2011) ("angolanske CC'er") (tilgængelig her):

Følgende gælder for angolanske CC'er som aftalt mellem de ovennævnte parter:

Lokationer for behandling, overførsel og opbevaring af personoplysninger omfatter Ghana og USA.

Alle andre oplysninger, der er angivet ovenfor for EU SCC'er modul 2, gælder for angolanske CC'er.

(4) For arkivansvarlige i Nigeria ("Nigeria") gælder følgende ud over de nigerianske kontraktklausuler i Nigeria Data Protection Act (NDPA) 2023 ("nigerianske CC'er") (tilgængelig her):

Følgende gælder for de nigerianske CC'er som aftalt mellem de ovennævnte parter:

Lokationer for behandling, overførsel og opbevaring af personoplysninger omfatter Ghana og USA.

Alle andre oplysninger, der er angivet herover for EU SCC'er modul 2, gælder for de nigerianske CC'er.

(5) For arkivansvarlige på følgende lokationer gælder ASEAN Model Contractual Clauses, modul 1: Dataansvarlig til databehandler ("MCC'er, modul 1") (tilgængelig her):

Brunei Darussalam, Cambodja, Indonesien, Laos, Malaysia, Myanmar, Filippinerne, Singapore, Thailand, Vietnam

Følgende gælder for MCC'er, modul 1 som aftalt mellem de ovennævnte parter:

  • Bestemmelse 2 (Dataeksportørens forpligtelser) udgår.
  • Bestemmelse 3 (Dataimportørens forpligtelser) de valgfrie underafsnit 3.4, 3.6, 3.7 og den valgfrie ordlyd i 3.7 udgår. Underafsnit 3.10 er, "... inden for en rimelig tidsperiode, der er angivet af partnere."
  • Bestemmelse 4 (Lovvalg) indarbejder ASEAN-medlemsstaten for eksportøren i afsnit 4.1. Operationelt underafsnit 4.3 udgår.
  • Bestemmelse 6 (Ophør af kontrakt) indarbejder "30 dage" i underafsnit 6.1.1.
  • Yderligere vilkår om individuelle retsmidler (Individuelle retsmidler): Alle individuelle retsmidler udgår.
  • TILLÆG A: Se BILAG I fra EU SCC'er, modul 2.

(6) For arkivansvarlige på følgende lokationer gælder Ibero-American Data Protection Network Model Transfer Agreement ("IADPN MCC'er, dataansvarlige til databehandlere") (tilgængelig her):

Peru, Uruguay, Argentina, Andorra

Følgende gælder for IADPN MCC'er, dataansvarlige til databehandlere, som aftalt mellem de ovennævnte parter:

  • BILAG I fra EU SCC, modul 2 er indarbejdet ved henvisning og udfylder alle nødvendige oplysninger i IADPN MCC'er, dataansvarlige til databehandlere.
  • Bestemmelse 9 (Klageadgang) den valgfrie ordlyd i underafsnit 9(a) udgår.
  • BILAG A er udfyldt med relevante oplysninger fra BILAG I fra EU SCC, modul 2.
  • BILAG B er udfyldt med relevante oplysninger fra BILAG I fra EU SCC, modul 2.
  • BILAG C er udfyldt med relevante oplysninger fra BILAG II fra EU SCC, modul 2.
  • BILAG D er udfyldt med relevante oplysninger fra BILAG III fra EU SCC, modul 2.
  • BILAG E er udfyldt med meddelelsen om beskyttelse af personlige oplysninger, der findes her: https://www.familysearch.org/legal/privacy.

(7) For arkivansvarlige i Kina gælder følgende (tilgængelig her):
a. For arkivansvarlige i Hongkong gælder følgende (tilgængelig her):

(8) For arkivansvarlige i Brasilien gælder følgende: (tilgængelig her): (Også PDF her)

(9) For arkivansvarlige i New Zealand gælder følgende (tilgængelig her):

(10) For arkivansvarlige i Kina gælder følgende (tilgængelig her):

(11) For arkivansvarlige i Qatar gælder følgende (tilgængelig her):

(12) For arkivansvarlige i Saudi-Arabien gælder følgende (tilgængelig her):