ADDENDUM SUI TERMINI DI TRATTAMENTO E TRASFERIMENTO DEI DATI PERSONALI
Le Parti riconoscono e accettano che i Dati personali trasferiti tra FamilySearch International (o una sua affiliata) e uno o più Responsabili della conservazione dei registri siano soggetti (i) ai termini sottoscritti da entrambe le parti in cui sono incorporati per riferimento i presenti Termini di trattamento e trasferimento dei dati ("Accordo") e (ii) a tutte le leggi vigenti in materia di privacy e protezione dei dati.
Le Parti comprendono e accettano che (i) il Responsabile della conservazione dei registri sia il Titolare del trattamento e l'Esportatore dei Dati personali trasferiti e (ii) FamilySearch International (o la sua affiliata) sia il Responsabile del trattamento e l'Importatore.
Le Parti comprendono e accettano che l'Addendum applicabile sui termini di trattamento e trasferimento dei dati personali elencato di seguito sia determinato dall'ubicazione fisica del Responsabile della conservazione dei registri , a meno che un'altra ubicazione non sia designata per iscritto dal Responsabile della conservazione dei registri al momento della stipula dell'Accordo.
(1) Per i Responsabili della conservazione dei registrinelle seguenti località, si applicano le Clausole Contrattuali Standard dell’UE , Modulo 2: Da titolare a responsabile del trattamento ("SCC UE, Modulo 2") (disponibili qui):
Afghanistan, Algeria, Austria, Australia, Bahrein, Barbados, Belgio, Belize, Botswana, Isole Vergini britanniche, Bulgaria, Burkina Faso, Isole Cayman, Congo, REP, Isole Cook, Croazia, Cuba, Cipro, Repubblica Ceca, Danimarca, Ecuador, Egitto, Estonia, Eswatini, Etiopia, Figi, Finlandia, Francia, Guyana francese, Polinesia francese, Territori francesi meridionali, Gabon, Germania, Isole Glorioso, Grecia, Grenada, Guam, Guyana, Haiti, Ungheria, India, Indonesia, Iran, Iraq, Irlanda, Italia, Israele, Giamaica, Giappone, Giordania, Isola Juan de Nova, Kiribati, Kuwait, Lettonia, Libano, Libia, Liechtenstein, Lituania, Lussemburgo, Malta, Isole Marshall, Melanesia, Messico, Micronesia, Mongolia, Marocco, Nauru, Nepal, Paesi Bassi, Nuova Caledonia, Niger, Niue, Norvegia, Oman, Palau, Panama, Papua Nuova Guinea, Pakistan, Palestina, Isole Pitcairn, Polonia, Portogallo, Repubblica di Moldavia, Romania, Saint Kitts e Nevis, Samoa, Seychelles, Slovacchia, Slovenia, Isole Salomone, Somalia, Sudafrica, Corea del Sud, Spagna, Sri Lanka, Sudan, Svezia, Svizzera*, Tanzania, Thailandia, Togo, Tokelau, Tonga, Tunisia, Turchia, Tuvalu, Uganda, Emirati Arabi Uniti, Regno Unito**, Vanuatu, Wallis e Futuna, Zambia, Zimbabwe
* Sebbene l’Addendum sul trattamento e trasferimento dei dati nello SEE si applichi alla Svizzera, quest'ultima richiede anche una formulazione linguistica aggiuntiva, che è stata incorporata nell'Addendum e riportata di seguito.
** Sebbene l’Addendum sul trattamento e trasferimento dei dati nello SEE si applichi al Regno Unito, quest'ultimo richiede anche una formulazione linguistica aggiuntiva, che è stata incorporata nell'Addendum e riportata di seguito.
Quanto segue si applica alle SCC UE, Modulo 2, come concordato dalle parti sopra menzionate:
- la clausola 7 (Clausola di adesione) è stata cancellata;
- la clausola 9 (Utilizzo di sub-responsabili) incorpora l'OPZIONE 2: AUTORIZZAZIONE GENERALE SCRITTA);
- la clausola 11 (Mezzi di ricorso) non incorpora l'OPZIONE in (a);
- la clausola 13 (Supervisione) incorpora la lingua applicabile agli esportatori stabiliti in uno Stato membro dell'UE;
- la clausola 17 (Legge applicabile) incorpora l'OPZIONE 1 e la legge del paese dell'esportatore di dati;
- la clausola 18 (Scelta del foro competente e della giurisdizione) incorpora i tribunali del paese dell'esportatore di dati.
- ALLEGATO I: si veda sotto.
- ALLEGATO II: si veda sotto.
- ALLEGATO III: si veda sotto.
ALLEGATO I:
A. Elenco delle Parti
Esportatore di dati
- Nome: Responsabile della conservazione dei registri identificato nell'Accordo
- Indirizzo: indirizzo del Responsabile della conservazione dei registri identificato nell'Accordo
- Contatto: vedere le "Informazioni di contatto per le comunicazioni" specificate per il Responsabile della conservazione dei registri nell'Accordo
- Attività pertinenti ai dati trasferiti ai sensi delle Clausole: le attività pertinenti sono descritte nella Sezione B ("Descrizione del trasferimento") di seguito
- Ruolo: Titolare del trattamento
Importatore di dati
- Nome: FamilySearch International
- Indirizzo: 36 S State St., Ste 1900, Salt Lake City, UT 84111
- Contatto: Responsabile, Ufficio per la protezione dei dati - 50 East North Temple Street, Salt Lake City, Utah 84150
- Telefono: (801) 240-1187
- E-mail: Dataprivacyofficer@churchofjesuschrist.org
- Attività pertinenti ai dati trasferiti ai sensi delle Clausole: le attività pertinenti sono descritte nella Sezione B ("Descrizione del trasferimento") di seguito
- Ruolo: Responsabile del trattamento
B. Descrizione del trasferimento
Categorie di soggetti interessati i cui dati personali vengono trasferiti
Soggetti interessati trovati in documenti storici e genealogici i cui dati personali vengono conservati per scopi di ricerca, storici e statistici.
Categorie di dati personali trasferiti
Dati genealogici - Informazioni raccolte per preservare la storia personale e familiare delle persone:
- Nomi (nome dell'interessato, nome del padre e della madre, nomi dei figli, nomi dei fratelli, nomi del coniuge, ecc.)
- Relazioni familiari (nomi di individui, fratelli, genitori, figli, nonni, zie, zii).
- Informazioni biografiche (nome, data di nascita, data di morte, storie e dettagli sulla vita dell'individuo, occupazione, istruzione, luoghi degli eventi della vita, eventi religiosi personali, battesimo, cresima, ecc.)
- Data di nascita, luogo di nascita e dettagli correlati (sesso del bambino, nomi dei genitori, indirizzo dei genitori al momento della nascita o dei genitori adottivi a seconda del tipo di certificato di nascita in questione, data e luogo di nascita).
- Età
- Sesso
- Data, luogo e dettagli correlati del matrimonio (nome della persona, dei genitori, ecc.)
- Data, luogo e dettagli correlati del decesso (nome della persona, modalità del decesso)
- Nazionalità
- Caratteristiche personali, inclusa l'immagine fotografica
- Altre informazioni contenute nei documenti genealogici e storici acquisiti, inclusi i censimenti (nomi individuali, figli, occupazione, residenza), storie familiari (dati biografici, nomi, relazioni familiari), registri parrocchiali (nomi dei membri della congregazione, residenza, date di nascita, relazioni familiari), registri ecclesiastici (atti di nascita, matrimonio, battesimi, cresime), registrazioni civili (atti di nascita, matrimonio e morte), necrologi di giornali (atti di nascita, registri fondiari, raccolte di archivi statali) e registri di naturalizzazione (registri di cittadinanza, registri di immigrazione, registri di naturalizzazione inclusi nomi, date di nascita, paese di origine, paese di residenza e indirizzo, nomi dei membri della famiglia, occupazione, alcuni elementi specifici del paese a seconda del paese e della data di raccolta).
Dati sensibili – Informazioni che sono incidentalmente incluse in documenti storici e genealogici che possono essere definite sensibili ai sensi delle leggi sulla privacy:
- Identità e dati demografici (origine razziale o etnica, origine nazionale, origine tribale, stato sociale, identità specifica (identificatori univoci, ad esempio passaporto, codice fiscale, patente di guida, documento d'identità), stato civile, età, colore della pelle, cittadinanza o stato d'immigrazione, stato di vittima di reato o di aver subito danni a seguito di un reato).
- Credenze e associazioni (credenze o affiliazioni religiose, credenze filosofiche, credenze morali, convinzioni ideologiche, opinioni politiche, orientamento politico, ideologie politiche o affiliazione politica, appartenenza a sindacati, appartenenza a corporazioni, affiliazione a unioni, appartenenza ad associazioni professionali o sociali o organizzazioni per i diritti umani.
- Dati sanitari e genetici/biometrici (condizione di salute fisica o mentale attuale o futura, stato o diagnosi, anamnesi, cartelle cliniche, trattamento medico, fornitura di assistenza sanitaria, stato psicologico o fisiologico, dati genetici (caratteristiche ereditate o acquisite, profilo biologico umano), dati biometrici (utilizzati per l'identificazione univoca, la verifica automatizzata o la rivelazione di ulteriori caratteristiche sensibili), dati neurali (dati cerebrali/neuro-correlati, dati cognitivi/emotivi).
- Dati penali e legali (precedenti o storia penale, comportamento o atti criminali, commissione o presunta commissione di un reato, procedimenti, esiti, condanne o sanzioni relative a questioni penali).
- Dati di localizzazione e comunicazione (dati di geolocalizzazione (posizione precisa o specifica, comprese le coordinate GPS), dati di comunicazione, inclusi contenuti e metadati di chiamate, testi, e-mail o posta, contenuti di posta, e-mail o messaggi di testo (a meno che non siano indirizzati al destinatario)).
- Dati sui minori (qualsiasi dato personale associato a un minore).
- Altre categorie speciali
- Abitudini personali, stile di vita e circostanze intime/private.
- Caratteristiche morali o etiche.
- Questioni familiari o dati sulla vita emotiva/familiare.
- Documenti scolastici.
- Dati relativi all'occupazione legati a caratteristiche protette.
- Dati sulla salute dei consumatori (più ampi delle cartelle cliniche, inclusi benessere/fitness, gravidanza, ecc.).
- Dati relativi a ideologie o credenze non altrimenti acquisiti.
- Qualsiasi dato che possa minacciare in modo significativo la privacy, la dignità, la sicurezza o la proprietà se utilizzato in modo improprio.
- Dati con elevato rischio di discriminazione o danno a seconda del contesto (ad esempio, dati relativi alla visione televisiva classificati come sensibili dalla FTC).
- Stato civile (nomi, date, ecc.).
- Numero di identificazione governativo o dettagli simili (codice fiscale, ecc.).
- Numero di passaporto.
- Affiliazione religiosa (informazioni contenute nei registri ecclesiastici, inclusi numeri di iscrizione, nomi, date di nascita, date di battesimo, date di matrimonio, date di morte e dati relativi a una specifica religione).
- Dati relativi ai minori (nomi, date di nascita, genitori, fratelli e sorelle, documenti relativi alla tutela, informazioni sull'adozione, documenti giudiziari, documenti scolastici).
- Dati relativi alla salute (malattie, ricoveri ospedalieri, modalità di decesso).
- Precedenti penali (nomi, date di detenzione, sentenze riguardanti l'individuo).
- Iscrizione a sindacati (nomi dei membri, data di iscrizione, informazioni sulle quote di iscrizione, ecc.).
- Origine razziale o etnica (regione o paese di origine).
- Religione (nome e affiliazione religiosa).
- Affiliazione politica (nome e partito politico, informazioni sulle donazioni).
La frequenza del trasferimento (ad esempio, se si tratta di un trasferimento una tantum o continuativo).
Ad hoc
Natura del trattamento
I dati personali trasferiti possono essere soggetti a varie attività di trattamento, quando legalmente consentito, tra cui digitalizzazione, indicizzazione, hosting, archiviazione, trasmissione, redazione e visualizzazione. Queste attività sono supportate da data center basati sul cloud, inclusi quelli negli Stati Uniti, nella misura consentita dalle Leggi sulla privacy. Ad esempio, i dati possono essere trattati per supportare le seguenti attività:
- Conservazione dei registri storici: digitalizzazione, conservazione, indicizzazione, memorizzazione e/o archiviazione di registri storici, foto e manufatti per le generazioni future, come indicato dall'esportatore di dati.
- Genealogia: una volta ottenuta l'autorizzazione prevista dalle Leggi sulla privacy e dall'esportatore dei dati (ad esempio, quando i dati non sono più soggetti a restrizioni), i dati possono essere inclusi in applicazioni utilizzate da ricercatori e utenti di siti web per supportare la ricerca di documenti relativi alla discendenza o alla storia familiare o altre ricerche, programmi e attività genealogiche.
- Ricerca della storia familiare: raccolta e conservazione di informazioni sui propri antenati e sul proprio albero genealogico.
- Istruzioni genealogiche: fornire formazione e risorse per aiutare milioni di persone in tutto il mondo a scoprire il proprio retaggio e a creare legami con i propri familiari.
Finalità del trasferimento dei dati e dell'ulteriore trattamento
Il trasferimento dei dati all'importatore dei dati (presso la relativa sede centrale globale) e l'ulteriore trattamento da parte dell'importatore dei dati supportano la conservazione e l'archiviazione dei registri storici delle famiglie a beneficio di archivi pubblici, enti governativi, popolazioni indigene, archivi privati, altri enti privati e individui. Se consentito dalle Leggi sulla privacy e dall'esportatore dei dati (ad esempio, quando i dati non sono più soggetti a restrizioni), tali registri possono anche essere resi pubblicamente disponibili sul sito web dell'importatore di dati a titolo gratuito per scopi di ricerca.
Il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo.
I dati personali raccolti ai fini di conservazione storica saranno conservati secondo le istruzioni dell'esportatoredei dati per tutto il tempo richiesto. In molti casi, fintanto che i registri conservano un valore storico, possono essere conservati a tempo indeterminato ai fini di archiviazione e per documentare la genealogia, salvo che l'interessato non ne richieda la cancellazione.
Per i trasferimenti a (sub-) responsabili, specificare anche l'oggetto, la natura e la durata del trattamento.
L'importatore dei dati tratta i dati personali per conservare i registri storici e per scopi di ricerca genealogica, su istruzione dell'esportatore dei dati. L'importatore dei dati può incaricare un responsabile del trattamento o un sub-responsabile, in base a un accordo di trattamento o sub-trattamento, di assistere nel trattamento dei dati per le medesime finalità e di svolgere funzioni per conto dell'esportatore e/o dell'importatore dei dati (ad esempio, digitalizzazione e indicizzazione dei registri storici). L'accordo di trattamento o sub-trattamento fornirà ulteriori dettagli sull'oggetto, la natura e la durata del trattamento stesso.
C. Autorità competente
Identificare le autorità competenti in conformità con la clausola 13
L'autorità di vigilanza del paese dell'esportatore dei dati identificata nell'Allegato I.A.
ALLEGATO II:
MISURE TECNICHE E ORGANIZZATIVE PER FAMILY SEARCH INTERNATIONAL (IMPORTATORE)
Il presente documento descrive le misure tecniche e organizzative adottate da Family Search International (Importatore) ("FSI") per garantire la sicurezza delle informazioni.
Misure tecniche e organizzative di sicurezza. FSI mantiene un programma completo di sicurezza delle informazioni e implementa misure di sicurezza tecniche e organizzative ragionevoli, basate sugli standard del settore, sulle esigenze organizzative e sui rischi, al fine di ridurre al minimo e proteggere da trattamenti non autorizzati o illegali, perdite accidentali o intenzionali, accessi non autorizzati, distruzione o danni. Queste misure contribuiscono a garantire la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei dati di FSI. Sui sistemi non direttamente controllati da FSI, i partner di FSI collaborano con FSI per implementare controlli di sicurezza commisurati. Il programma di sicurezza di FSI comprende i seguenti elementi:
1. Politiche e procedure. FSI mantiene politiche e processi formali scritti per garantire la riservatezza, l'integrità e la disponibilità dei dati e per proteggerli da divulgazione, uso, alterazione o distruzione accidentali, non autorizzati o impropri. Queste politiche vengono riviste e aggiornate annualmente o più frequentemente quando appropriato. Le politiche e le procedure hanno lo scopo di garantire che le misure di sicurezza fisiche, tecniche e amministrative siano in atto e funzionino in modo efficace.
2. Controllo degli accessi.
Accesso fisico – FSI implementa misure ragionevoli per impedire a persone non autorizzate di accedere alle apparecchiature per il trattamento dei dati (server di database, server di applicazioni, switch di rete, firewall, controller e hardware correlato) in cui i dati personali vengono trattati o utilizzati.
Accesso logico – FSI implementa ragionevoli misure di sicurezza per impedire l'accesso non autorizzato ai propri sistemi di trattamento dei dati. FSI mantiene e controlla gli utenti FSI con accesso ai sistemi di trattamento dei dati. FSI concede l'accesso a un numero limitato di persone in base alle esigenze aziendali approvate.
3. Formazione e sensibilizzazione alla sicurezza. FSI mantiene un programma formale di sensibilizzazione e formazione sulla sicurezza per i membri della forza lavoro FSI e gli utenti della forza lavoro FSI. Il programma include moduli di apprendimento obbligatori che assicurano la consapevolezza degli utenti sui concetti e sulle politiche chiave di sicurezza delle informazioni, annualmente o con la frequenza necessaria. Gli argomenti della formazione annuale includono la classificazione e la gestione appropriate delle informazioni sensibili. Oltre alla formazione ufficiale, esercitazioni ricorrenti e senza preavviso di simulazione di phishing rafforzano la formazione su come identificare, segnalare ed evitare messaggi di posta elettronica dannosi.
4. Protezione dei dati. FSI implementa misure ragionevoli per impedire che i dati personali vengano utilizzati, letti, copiati, alterati o cancellati in modo inappropriato da parti non autorizzate sia in transito che a riposo. I controlli sulla protezione dei dati vengono implementati utilizzando una difesa approfondita.
5. Monitoraggio. FSI implementa misure ragionevoli per monitorare l'accesso ai sistemi sensibili e alle risorse di rete e per garantire che gli utenti agiscano in conformità alla politica. I registri vengono conservati in base alle esigenze aziendali e ai requisiti normativi e vengono archiviati in un archivio centrale o in un archivio nativo della piattaforma con la possibilità di migrare all'archivio centrale secondo necessità. I registri sono archiviati e protetti in modo da garantire accuratezza e immutabilità. FSI mantiene una serie di avvisi automatizzati per identificare attività potenzialmente dannose. FSI registra i dati che vengono regolarmente esaminati per identificare potenziali attacchi e per supportare l'impegno di FSI Incident Response.
6. Rilevamento e risposta degli endpoint. FSI implementa controlli ragionevoli sugli endpoint utente e server, compresi gli endpoint per FSI, che forniscono protezione contro la propagazione di malware, avvisi centralizzati, query sui processi host e sui file e funzionalità di isolamento del sistema.
7. Procedure di risposta agli incidenti di sicurezza (IR). FSI mantiene politiche e procedure IR scritte per rilevare, rispondere e affrontare in altro modo gli incidenti di sicurezza. FSI gestisce un Centro operativo di sicurezza (SOC) attivo 24 ore su 24, 7 giorni su 7, per classificare gli eventi di interesse, monitorare i sistemi alla ricerca di attacchi o intrusioni effettivi o tentati, mitigare gli effetti dannosi degli incidenti di sicurezza e documentare gli incidenti di sicurezza e i loro esiti. Sono in essere accordi con fornitori terzi di servizi di risposta agli incidenti per facilitare il rapido intervento di terzi in caso di incidenti gravi o che richiedono analisi forensi specializzate. FSI dispone inoltre di un team di sicurezza dedicato a tempo pieno per fornire supporto speciale e valutazione. Il SOC lavora a stretto contatto con l'Ufficio per la privacy dei dati (DPO) e l'Ufficio del Consulente legale (OGC) di FSI, nonché con esperti di sicurezza esterni, per garantire che gli incidenti siano gestiti in conformità con le leggi e le normative applicabili.
8. Sicurezza e valutazioni del rischio. FSI adotta politiche e procedure ragionevoli per valutare l'efficacia dei controlli di sicurezza, identificare eventuali falle nei controlli di sicurezza e individuare, valutare e analizzare le lacune nei controlli di sicurezza utilizzando un approccio basato sul rischio.
9. Configurazione e manutenzione del sistema. FSI adotta politiche e procedure ragionevoli per garantire che le apparecchiature per il trattamento dei dati (server, database, laptop, firewall, switch, router, controller, ecc.) siano configurate in modo appropriato per garantire che i dati personali siano adeguatamente protetti. FSI attua un programma di gestione delle vulnerabilità per aiutare a identificare le vulnerabilità all'interno dell'ambiente FSI e comunicare alle risorse appropriate per facilitare una tempestiva correzione.
10. Resilienza del sistema e delle informazioni. FSI adotta misure ragionevoli per garantire che i dati personali siano adeguatamente protetti da uso accidentale o doloso, alterazione o distruzione e che i dati che sono stati accidentalmente o dolosamente utilizzati, alterati o distrutti siano identificabili e ripristinabili. FSI implementa procedure di backup dei dati e dei sistemi che includono copie online, nearline e offline in base alla criticità dei dati e alle esigenze aziendali. FSI utilizza sistemi informativi altamente ridondanti per garantire applicazioni e sistemi ad alta disponibilità e prestazioni elevate.
11. Conformità. FSI dispone di un Ufficio per la privacy dei dati che gestisce la conformità alle leggi e alle normative in materia di protezione dei dati. FSI dispone inoltre di un programma interno di conformità IT incentrato sul test e sulla convalida dei controlli, dei processi e delle procedure di sicurezza attraverso valutazioni interne.
12. Responsabilizzazione. FSI dispone di un responsabile della sicurezza incaricato dello sviluppo, dell'implementazione e della manutenzione dei programmi di sicurezza delle informazioni presso FSI. Inoltre, la Politica del programma di sicurezza delle informazioni di FSI delinea i ruoli e le responsabilità di tutte le parti interessate nel Programma di sicurezza delle informazioni ed è pubblicata in un archivio accessibile a tutti gli utenti dell'organico.
13. Uso appropriato e conservazione dei registri. FSI implementa politiche e processi che regolano l'uso e la conservazione dei dati riservati, compresi i dati personali. Sono in atto procedure volte a garantire che i dati siano conformi ai requisiti di condivisione dei dati dei proprietari degli stessi e che includano la supervisione dell'uso accettabile delle tecnologie di intelligenza artificiale.
14. Aggiornamenti. FSI monitora, valuta e adegua il Programma di sicurezza delle informazioni annualmente o secondo necessità, considerando i cambiamenti rilevanti nella tecnologia, gli standard di sicurezza del settore, la sensibilità dei dati personali e le potenziali minacce interne o esterne ai dati personali.
ALLEGATO III:
ELENCO DEI SUB-RESPONSABILI DEL TRATTAMENTO
Il titolare del trattamento ha autorizzato l'utilizzo dei seguenti sub-responsabili:*
- ANCESTRY
- BART DEVELTER V.O.F.
- BRIGHAM YOUNG UNIVERSITY
- CENTURY VITAL RECORDS (CVR)
- CONTENT ARCHAEOLOGY
- DATADISC.IT S.R.L.
- DIE MOBILE SEKRETÄRIN E.U.
- DIGITAL 4 KIT
- DOUBLE DIGITAL
- EMPRESA DE ARQUIVO DE DOCUMENTAÇÃO S.A.
- FORMAX
- GENEALAB
- GENESIS
- GREYSCALE LTD.
- INFOSCRIBE SAS
- INTELLIGENT IMAGE MANAGEMENT (IIMI)
- IRON MOUNTAIN AUSTRALIA
- IRON MOUNTAIN CESKA REPUBLIKA S.R.O.
- LIFEWOOD
- MATERN
- MYHERITAGE
- NORMADAT S.A.
- OSG RECORDS MANAGEMENT
- PEDRO CRUZ MARTINEZ
- RASTERGEN – GESTÃO DOCUMENTAL UNIPESSOAL (LDA)
- SBL
- STASIS S.A.S.
- SVI
- TRACEABLE SOLUTIONS
- TRUEBPO INC (EX EQOD INC)
(1.1) Per i Responsabili della conservazione dei registri in Svizzera, oltre alle Clausole contrattuali tipo dell'UE, Modulo 2: Da titolare a responsabile del trattamento ("SCC UE, Modulo 2"), si applica quanto segue:
Addendum svizzero alle Clausole Contrattuali Standard dell’UE
Qualora il trasferimento di dati personali da un esportatore a un importatore di dati sia soggetto al GDPR dell'UE e alla FADP (come definita di seguito), si applicano anche le seguenti disposizioni aggiuntive affinché le Clausole Contrattuali Standard siano idonee a garantire un livello adeguato di protezione per tale trasferimento in conformità all'articolo 6, paragrafo 2, lettera della FADP:
(a) "FADP" indica la Legge federale sulla protezione dei dati del 19 giugno 1992 (SR 235.1).
(b) "FDPIC" indica l'Incaricato federale della protezione dei dati e dell'informazione.
(c) "FADP riveduta" indica la versione riveduta della FADP del 25 settembre 2020, la cui entrata in vigore è prevista per il 1° gennaio 2023.
(d) Il termine "Stato membro dell'UE" non deve essere interpretato in modo tale da escludere gli Interessati in Svizzera dalla possibilità di far valere i propri diritti nel luogo di residenza abituale (Svizzera) in conformità alla clausola 18(c) delle Clausole Contrattuali Standard.
(e) Le Clausole Contrattuali Standard proteggono anche i dati delle persone giuridiche fino all'entrata in vigore della FADP riveduta.
(f) L'FDPIC agisce in qualità di "autorità di controllo competente" nella misura in cui il trasferimento di dati in questione è disciplinato dalla LPD.
(1.2) Per i Responsabili della conservazione dei registri nel Regno Unito ("Regno Unito"), oltre alle Clausole Contrattuali Standard dell'UE, Modulo 2: Da titolare a responsabile del trattamento ("SCC UE, Modulo 2"), si applica quanto segue:
Addendum sul trasferimento internazionale dei dati alle Clausole Contrattuali Standard della Commissione europea
("IDTA del Regno Unito")
L'Addendum sul trasferimento internazionale dei dati alle Clausole Contrattuali Standard della Commissione europea (disponibile qui) è incorporato per riferimento e si applica quanto segue:
Parte 1: Tabelle
La tabella 1 è compilata esattamente come nelle SCC UE, Modulo 2, Allegato I.
Tabella 2 – Quanto segue si applica alle SCC UE, Modulo 2, come concordato dalle parti sopra menzionate:
- la clausola 7 (Clausola di adesione) è stata cancellata;
- la clausola 9 (Utilizzo di sub-responsabili) incorpora l'OPZIONE 2: AUTORIZZAZIONE GENERALE SCRITTA);
- la clausola 11 (Mezzi di ricorso) non incorpora l'OPZIONE in (a);
- la clausola 13 (Supervisione) incorpora la lingua applicabile agli esportatori stabiliti in uno Stato membro dell'UE;
- la clausola 17 (Legge applicabile) incorpora l'OPZIONE 1 e la legge del paese dell'esportatore di dati;
- la clausola 18 (Scelta del foro competente e della giurisdizione) incorpora i tribunali del paese dell'esportatore di dati.
Tabella 3 – È compilata con le SCC UE, Modulo 2 Allegati I, II e III.
Tabella 4 – L'IDTA del Regno Unito può essere risolto da entrambe le Parti (Importatore ed Esportatore).
Parte 2 – Clausole obbligatorie
Si applicano tutte le clausole obbligatorie; al contrario, non si applicano le Clausole obbligatorie alternative contenute nella Parte 2.
(2) Per i Responsabili della conservazione dei registri nelle seguenti località, si applicano le Clausole Contrattuali Standard dell'UE, Modulo 2: Da titolare a responsabile del trattamento ("SCC UE, Modulo 2") (disponibili qui):
Albania, Andorra, Armenia, Azerbaigian, Bielorussia, Bosnia-Erzegovina, Georgia, Guernsey, Isola di Man, Jersey, Kenya, Monaco, Kazakistan, Kosovo, Montenegro, Macedonia del Nord, San Marino, Serbia, Siria, Turchia, Ucraina, Vietnam, Yemen.
(3) Per i Responsabili della conservazione dei registri in Angola ("Angola"), oltre alle Clausole contrattuali dell'Angola nella Legge sulla protezione dei dati dell'Angola (Legge n. 22/11, 17 giugno 2011) ("CC dell'Angola") ( disponibili qui), si applica quanto segue:
Quanto segue si applica alle CC dell'Angola, come concordato dalle parti sopra menzionate:
Le sedi per il trattamento, il trasferimento e la conservazione dei dati personali includono il Ghana e gli Stati Uniti.
Tutte le altre informazioni fornite sopra per le SCC UE Modulo 2 si applicano alle CC dell'Angola.
(4) Per i Responsabili della conservazione dei registri in Nigeria ("Nigeria"), oltre alle Clausole contrattuali della Nigeria nella Legge sulla protezione dei dati della Nigeria (NDPA) 2023 ("CC della Nigeria") (disponibili qui), si applica quanto segue:
Quanto segue si applica alle CC della Nigeria, come concordato dalle parti sopra menzionate:
Le sedi per il trattamento, il trasferimento e la conservazione dei dati personali includono il Ghana e gli Stati Uniti.
Tutte le altre informazioni fornite sopra per le SCC UE Modulo 2 si applicano alle CC della Nigeria.
(5) Per i Responsabili della conservazione dei registri nelle seguenti località, si applicano le Clausole Contrattuali Standard dell'ASEAN, Modulo 1: Da titolare a responsabile del trattamento ("MCC, Modulo 1") (disponibili qui):
Brunei Darussalam, Cambogia, Indonesia, Laos, Malesia, Myanmar, Filippine, Singapore, Thailandia, Vietnam
Quanto segue si applica alle MCC, Modulo 1, come concordato dalle parti sopra menzionate:
- la clausola 2 (Obblighi dell'esportatore di dati) è stata cancellata;
- la clausola 3 (Obblighi dell'importatore di dati), le sotto-clausole facoltative 3.4, 3.6, 3.7 e la lingua facoltativa in 3.7 sono state cancellate. La sotto-clausola 3.10 è, "...entro un periodo di tempo ragionevole specificato dai Partner";
- la clausola 4 (Scelta delle controversie legali) incorpora lo Stato membro dell'ASEAN dell'esportatore in 4.1. La sotto-clausola operativa 4.3 è stata cancellata;
- la clausola 6 (Risoluzione del contratto) incorpora "30 giorni" nella sottosezione 6.1.1.
- Termini Aggiuntivi per i rimedi individuali (Rimedi individuali): tutti i rimedi individuali sono stati cancellati;
- APPENDICE A: si veda l'ALLEGATO I delle SCC UE, Modulo 2.
(6) Per i Responsabili della conservazione dei registri nelle seguenti località, si applica l'Accordo di trasferimento del modello della rete iberoamericana per la protezione dei dati ("MCC IADPN, Da titolare a responsabile del trattamento") (disponibile qui):
Perù, Uruguay, Argentina, Andorra
Quanto segue si applica alle MCC IADPN, da Titolare a Responsabili del trattamento, come concordato dalle parti sopra menzionate:
- l'ALLEGATO I delle SCC UE, Modulo 2, è incorporato per riferimento e compila tutte le informazioni richieste nelle MCC IADPN, Da titolare a responsabili del trattamento;
- clausola 9 (Riparazione): nella sotto-clausola 9(a) la lingua facoltativa è stata cancellata;
- l'ALLEGATO A è compilato con le informazioni pertinenti dell'ALLEGATO I delle SCC UE, Modulo 2;
- l'ALLEGATO B è compilato con le informazioni pertinenti dell'ALLEGATO I delle SCC UE, Modulo 2;
- l'ALLEGATO C è compilato con le informazioni pertinenti dell'ALLEGATO II delle SCC UE, Modulo 2;
- l'ALLEGATO D è compilato con le informazioni pertinenti dell'ALLEGATO III delle SCC UE, Modulo 2;
- l'ALLEGATO E è compilato con l'informativa sulla privacy disponibile qui: https://www.familysearch.org/legal/privacy.
(7) Per i Responsabili della conservazione dei registriin Cina si applica quanto segue (disponibile qui):
a. Per quelli di Hong Kong, si applica quanto segue (disponibile qui):
(8) Per i Responsabili della conservazione dei registriin Brasile, si applica quanto segue: (disponibile qui): (disponibile anche in PDF qui)
(9) Per i Responsabili della conservazione dei registri in Nuova Zelanda, si applica quanto segue (disponibile qui):
(10) Per i Responsabili della conservazione dei registri in Ruanda, si applica quanto segue (disponibile qui):
(11) Per i Responsabili della conservazione dei registri in Qatar, si applica quanto segue (disponibile qui):
(12) Per i Responsabili della conservazione dei registri in Arabia Saudita, si applica quanto segue (disponibile qui):