ADDENDUM INZAKE GEGEVENSVERWERKING EN -DOORGIFTE
De Partijen erkennen en komen overeen dat Persoonsgegevens die worden doorgegeven tussen FamilySearch International (of haar gelieerde onderneming) en een Bewaarder van het Archief onderworpen zijn aan, (i) de door beide partijen ondertekende voorwaarden waarin deze Voorwaarden voor Gegevensverwerking en -Doorgifte door middel van verwijzing zijn opgenomen ("Overeenkomst"), en (ii) alle toepasselijke wetgeving inzake privacy en gegevensbescherming.
De Partijen begrijpen en gaan ermee akkoord dat (i) de Bewaarder van het Archief de Verwerkingsverantwoordelijke en Exporteur van de doorgegeven Persoonsgegevens is, en (ii) FamilySearch International (of haar gelieerde onderneming) de Verwerker en Importeur is.
De Partijen begrijpen en komen overeen dat het toepasselijke Addendum voor Gegevensverwerking en -Doorgifte dat hieronder wordt vermeld, wordt bepaald door de fysieke locatie van de Bewaarder van het Archief, tenzij een andere locatie schriftelijk door de Bewaarder van het Archief wordt aangewezen op het moment van het aangaan van de Overeenkomst.
(1) Voor Bewaarders van het Archief op de volgende locaties zijn de EU-Standaardcontractbepalingen, Module 2: Verwerkingsverantwoordelijke naar Verwerker ("EU SCC, Module 2") (hierte vinden) van toepassing:
Afghanistan, Algerije, Oostenrijk, Australië, Bahrein, Barbados, België, Belize, Botswana, Britse Maagdeneilanden, Bulgarije, Burkina Faso, Kaaimaneilanden, Congo, REP, Cookeilanden, Kroatië, Cuba, Cyprus, Tsjechië, Denemarken, Ecuador, Egypte, Estland, Eswatini, Ethiopië, Fiji, Finland, Frankrijk, Frans-Guyana, Frans-Polynesië, Franse Zuidelijke Gebieden, Gabon, Duitsland, Glorioso-eilanden, Griekenland, Grenada, Guam, Guyana, Haïti, Hongarije, India, Indonesië, Iran, Irak, Ierland, Italië, Israël, Jamaica, Japan, Jordanië, Juan de Nova-eiland, Kiribati, Koeweit, Letland, Libanon, Libi��, Liechtenstein, Litouwen, Luxemburg, Malta, Marshalleilanden, Melanesië, Mexico, Micronesië, Mongolië, Marokko, Nauru, Nepal, Nederland, Nieuw-Caledonië, Niger, Niue, Noorwegen, Oman, Palau, Panama, Papoea-Nieuw-Guinea, Pakistan, Palestina, Pitcairneilanden, Polen, Portugal, Republiek Moldavië, Roemenië, Saint Kitts en Nevis, Samoa, Seychellen, Slowakije, Slovenië, Salomonseilanden, Somalië, Zuid-Afrika, Zuid-Korea, Spanje, Sri Lanka, Soedan, Zweden, Zwitserland*, Tanzania, Thailand, Togo, Tokelau, Tonga, Tunesië, Turkije, Tuvalu, Oeganda, Verenigde Arabische Emiraten, Verenigd Koninkrijk**, Vanuatu, Wallis en Futuna, Zambia, Zimbabwe
* Hoewel het Addendum voor Gegevensverwerking en -Doorgifte van de EER van toepassing is op Zwitserland, vereist Zwitserland ook aanvullende bepalingen, die hierbij in het Addendum worden opgenomen en hieronder worden verstrekt.
** Hoewel het Addendum voor Gegevensverwerking en -Doorgifte van de EER van toepassing is op het Verenigd Koninkrijk, vereist het Verenigd Koninkrijk ook aanvullende bepalingen, die hierbij in het Addendum worden opgenomen en hieronder worden verstrekt.
Het volgende is van toepassing op de EU SCC, Module 2 zoals overeengekomen door de hierboven genoemde partijen:
- Clausule 7 (Docking-clausule) wordt geschrapt.
- Clausule 9 (Gebruik van subverwerkers) bevat OPTIE 2: ALGEMENE SCHRIFTELIJKE MACHTIGING).
- Clausule 11 (Verhaal) bevat niet de OPTIE in (a).
- Clausule 13 (Toezicht) bevat bepalingen die van toepassing zijn op exporteurs die in een EU-lidstaat zijn gevestigd.
- Clausule 17 (Toepasselijk Recht) bevat OPTIE 1 en bevat het recht van het land van de gegevensexporteur.
- Clausule 18 (Keuze van forum en jurisdictie) omvat de rechtbanken van het land van de gegevensexporteur.
- BIJLAGE I: Zie hieronder.
- BIJLAGE II: Zie hieronder.
- BIJLAGE III: Zie hieronder.
BIJLAGE I:
A. Lijst van Partijen
Gegevensexporteur
- Naam: Bewaarder van het Archief zoals geïdentificeerd in de Overeenkomst
- Adres: Adres van de Bewaarder van het Archief zoals vastgesteld in de Overeenkomst
- Contact: Zie de "Contactgegevens voor Kennisgevingen" zoals gespecificeerd voor de Bewaarder van het Archief in de Overeenkomst
- Activiteiten die relevant zijn voor de gegevens die worden doorgegeven onder de Clausules: Relevante activiteiten worden hieronder beschreven in Sectie B ("Beschrijving van de Doorgifte")
- Rol: Verwerkingsverantwoordelijke
Gegevensimporteur
- Naam: FamilySearch International
- Adres: 36 S State St., Ste 1900, Salt Lake City, UT 84111
- Contact: Manager, Data Privacy Office - 50 East North Temple Street, Salt Lake City, Utah 84150
- Telefoon: (801) 240-1187
- E-mail: Dataprivacyofficer@churchofjesuschrist.org
- Activiteiten die relevant zijn voor de gegevens die worden doorgegeven onder de Clausules: Relevante activiteiten worden hieronder beschreven in Sectie B ("Beschrijving van de Doorgifte")
- Rol: Verwerker
B. Beschrijving van de Doorgifte
Categorieën van betrokkenen van wie persoonsgegevens worden doorgegeven
Betrokkenen die voorkomen in historische en genealogische gegevens waarvan de persoonsgegevens worden bewaard voor onderzoeks-, historische en statistische doeleinden.
Categorieën van doorgegeven persoonsgegevens
Genealogische gegevens - Informatie verzameld om de persoonlijke en familiegeschiedenis van mensen te bewaren:
- Namen (naam van de betrokkene, naam van de vader en moeder, namen van kinderen, namen van broers en zussen, namen van echtgenoten, enz.)
- Familierelaties (namen van personen, broers en zussen, ouders, kinderen, grootouders, tantes, ooms).
- Biografische informatie (naam, geboortedatum, overlijdensdatum, verhalen en details over het leven van de persoon, beroep, opleiding, locatie van levensgebeurtenissen, persoonlijke religieuze gebeurtenissen - doop, bevestigingen, enz.)
- Geboortedatum, geboorteplaats en gerelateerde gegevens (geslacht van het kind, namen van ouders, adres van ouders op het moment van geboorte of adoptieouders, afhankelijk van het type geboorteakte in kwestie, geboortedatum en geboorteplaats).
- Leeftijd
- Geslacht
- Huwelijksdatum, plaats en gerelateerde gegevens (naam van de persoon, ouders, enz.)
- Overlijdensdatum, overlijdensplaats en gerelateerde gegevens (naam van de persoon, manier van overlijden)
- Nationaliteit
- Persoonlijke kenmerken, inclusief fotografische afbeelding
- Andere informatie in verworven genealogische en historische dossiers, waaronder uit volkstellingen (individuele namen, kinderen, beroep, woonplaats), familiegeschiedenissen (biografische gegevens, namen, familierelaties), parochieregisters (namen van parochieleden, woonplaats, geboortedata, familierelaties), kerkdocumenten (geboorte-, huwelijks-, overlijdens-, doop-, bevestigingsgegevens), burgerlijke registraties (geboorte-, huwelijks- en overlijdensgegevens), krantenoverlijdensberichten (geboortedata, kadastrale registers, staatsarchiefcollecties) en naturalisatiedossiers (burgerschapsdossiers, immigratiegegevens, naturalisatiedossiers inclusief namen, geboortedata, land van herkomst, land van verblijf en adres, namen van familieleden, beroep, sommige landspecifieke items afhankelijk van het land en de datum van verzameling).
Gevoelige gegevens – Informatie die incidenteel is opgenomen in historische en genealogische documenten die volgens de Privacywetgeving als gevoelig kunnen worden gedefinieerd:
- Identiteit en Demografische Gegevens (raciale of etnische afkomst, nationale afkomst, stamafkomst, sociale status, specifieke identiteit (unieke identificatiegegevens, bijv. paspoorten, burgerservicenummer, rijbewijs, identiteitsbewijs), burgerlijke staat, leeftijd, huidskleur, staatsburgerschap of immigratiestatus, status als slachtoffer van een misdrijf of schade geleden door een misdrijf)
- Overtuigingen en Verenigingen (religieuze overtuigingen of affiliaties, filosofische overtuigingen, morele overtuigingen, ideologische overtuigingen, politieke meningen, politieke overtuiging, politieke ideologieën of politieke ideologieën, lidmaatschap bij een vakbond, gildelidmaatschap, vakbondslidmaatschap, lidmaatschap van een beroeps- of sociale vereniging, of mensenrechtenorganisaties
- Gezondheids- en Genetische/Biometrische gegevens (huidige of toekomstige fysieke of mentale gezondheidstoestand, status of diagnose, medische geschiedenis, medische dossiers, medische behandeling, verlening van gezondheidszorg, psychologische of fysiologische status, genetische gegevens (geërfde of verworven kenmerken, menselijk biologisch profiel), biometrische gegevens (gebruikt voor unieke identificatie, geautomatiseerde verificatie of het onthullen van aanvullende gevoelige kenmerken), neurale gegevens (hersenen/neuro-gerelateerde gegevens, cognitieve/emotionele gegevens).
- Strafrechtelijke en Juridische Gegevens (strafblad of geschiedenis, crimineel gedrag of criminele handelingen, het plegen of vermeende plegen van een misdrijf, procedures, uitkomsten, vonnissen of straffen met betrekking tot strafzaken)
- Locatie- en Communicatiegegevens (geolocatiegegevens (nauwkeurige of specifieke locatie, inclusief GPS-coördinaten), communicatiegegevens, inclusief inhoud en metagegevens van telefoongesprekken, teksten, e-mails of post, inhoud van post, e-mail of sms-berichten (tenzij deze gericht zijn aan de ontvanger))
- Jeugdgegevens (alle persoonsgegevens die aan een minderjarige zijn gekoppeld)
- Andere Speciale Categorieën
- Persoonlijke gewoonten, levensstijl en intieme/privéleven
- Morele of ethische kenmerken
- Familiezaken of emotionele/gezinsgegevens
- Opleidingsdocumenten
- Werkgerelateerde gegevens gekoppeld aan beschermde kenmerken
- Gezondheidsgegevens van consumenten (breder dan medische dossiers, inclusief welzijn/fitness, zwangerschap, enz.)
- Gegevens met betrekking tot ideologie of overtuigingen die niet anderszins zijn vastgelegd
- Alle gegevens die de privacy, waardigheid, veiligheid of eigendommen aanzienlijk kunnen bedreigen als ze worden misbruikt
- Gegevens met een verhoogd risico op discriminatie of schade, afhankelijk van de context (bijv. tv-kijkgegevens die door de FTC als gevoelig zijn geclassificeerd)
- Burgerlijke staat (namen, data, enz.)
- Overheidsidentificatienummer of vergelijkbare gegevens (burgerservicenummers, enz.)
- Paspoortnummer
- Religieuze affiliatie (informatie in kerkdocumenten, waaronder lidmaatschapsnummers, namen, geboortedatums, doopdatums, huwelijksdatums, overlijdensdatums en gegevens met betrekking tot een specifieke religie).
- Gegevens met betrekking tot minderjarigen (namen, geboortedatums, ouders, broers en zussen, voogdijgegevens, adoptiegegevens, gerechtelijke dossiers, onderwijsgegevens)
- Gezondheidsgerelateerde gegevens (ziekten, ziekenhuisopnames, overlijdensmethoden)
- Strafrechtelijke geschiedenis (namen, datums van opsluiting, uitspraken over individuen)
- Vakbondslidmaatschap (namen van leden, datum van lidmaatschap, informatie over lidmaatschapskosten, enz.)
- Raciale of etnische afkomst (regio of land van herkomst)
- Religie (naam en religieuze overtuiging)
- Politieke voorkeur (naam en politieke partij, donatie-informatie)
De frequentie van de doorgifte (bijvoorbeeld eenmalig of doorlopend).
Ad Hoc
Aard van de verwerking
De doorgegeven persoonsgegevens kunnen onderhevig zijn aan verschillende verwerkingsactiviteiten, wanneer dit wettelijk is toegestaan, waaronder digitaliseren, indexeren, hosten, opslaan, verzenden, redigeren en weergeven. Deze activiteiten worden ondersteund door cloudgebaseerde datacenters, inclusief die in de Verenigde Staten, voor zover toegestaan door de Privacywetgeving. De gegevens kunnen bijvoorbeeld worden verwerkt om de volgende activiteiten te ondersteunen:
- Bewaring van Historische Gegevens: Het digitaliseren, bewaren, indexeren, opslaan en/of archiveren van historische documenten, foto's en artefacten voor toekomstige generaties, zoals geïnstrueerd door de gegevensexporteur.
- Genealogie: Zodra dit is toegestaan door de privacywetgeving en door de gegevensexporteur (bijvoorbeeld wanneer de gegevens niet langer beperkt zijn), kunnen de gegevens worden opgenomen in applicaties die door onderzoekers en websitegebruikers worden gebruikt om het traceren van afstammings- of familiegeschiedenisrecords of ander genealogieonderzoek, programma's en activiteiten te ondersteunen.
- Familiehistorisch Onderzoek: Het verzamelen en bewaren van informatie over iemands voorouders en stamboom.
- Genealogische Instructie: Bied training en middelen aan om miljoenen mensen over de hele wereld te helpen hun erfgoed te ontdekken en in contact te komen met familieleden.
Doel(en) van de gegevensdoorgifte en verdere verwerking
De gegevensdoorgifte naar de gegevensimporteur (op het wereldwijde hoofdkantoor van de gegevensimporteur) en verdere verwerking door de gegevensimporteur ondersteunt het bewaren en opslaan van historische familierecords ten behoeve van openbare archieven, overheidsinstanties, inheemse volkeren, privéarchieven, andere particuliere instanties en individuen. Indien toegestaan door de Privacywetgeving en door de gegevensexporteur (bijvoorbeeld wanneer de gegevens niet langer beperkt zijn), kunnen deze gegevens ook gratis voor onderzoeksdoeleinden openbaar worden gemaakt op de website van de gegevensimporteur.
De periode gedurende welke de persoonsgegevens worden bewaard, of, indien dat niet mogelijk is, de criteria die worden gebruikt om die termijn te bepalen
Persoonsgegevens die worden verzameld voor historische bewaringsdoeleinden, worden bewaard volgens de instructies van de gegevensexporteur zo lang als daarom wordt verzocht. In veel gevallen kunnen de gegevens, zolang ze historische waarde behouden, voor onbepaalde tijd worden bewaard voor archiveringsdoeleinden en om genealogie te documenteren, tenzij een betrokkene om verwijdering verzoekt.
Geef bij doorgiften aan (sub)verwerkers ook het onderwerp, de aard en de duur van de verwerking aan
De gegevensimporteur verwerkt persoonsgegevens om historische gegevens te bewaren en voor genealogische onderzoeksdoeleinden, in opdracht van de gegevensexporteur. De gegevensimporteur kan een verwerker of subverwerker inschakelen op grond van een verwerkings- of subverwerkingsovereenkomst om te helpen bij de gegevensverwerking voor dezelfde doeleinden en om functies uit te voeren namens de gegevensexporteur en/of gegevensimporteur (bijvoorbeeld het digitaliseren en indexeren van historische gegevens). De verwerkings- of subverwerkingsovereenkomst zal aanvullende details verstrekken met betrekking tot het onderwerp, de aard en de duur van de verwerking.
C. Bevoegde toezichthoudende autoriteit
Identificeer de bevoegde toezichthoudende autoriteit(en) in overeenstemming met Clausule 13
De toezichthoudende autoriteit van het land van de Gegevensexporteur zoals vermeld in Bijlage I.A.
BIJLAGE II:
TECHNISCHE EN ORGANISATORISCHE MAATREGELEN VOOR FAMILY SEARCH INTERNATIONAL (IMPORTEUR)
Dit document beschrijft de technische en organisatorische informatiebeveiligingsmaatregelen die Family Search International (Importeur) ("FSI") hanteert.
Technische en Organisatorische Beveiligingsmaatregelen. FSI heeft een uitgebreid Programma voor Informatiebeveiliging en doet wat nodig is op technisch en organisatorisch vlak, gebaseerd op industrienormen, organisatorische behoeften en risico's, om ongeoorloofde of onwettige verwerking, onopzettelijk of opzettelijk verlies, ongeoorloofde toegang, vernietiging of schade te minimaliseren en hiertegen te beschermen. Deze maatregelen helpen de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van FSI en FSI’s systemen en gegevens te waarborgen. Op systemen die niet rechtstreeks door FSI worden beheerd, werkt FSI samen met FSI om passende beveiligingscontroles te implementeren. Het Beveiligingsprogramma van FSI omvat de volgende elementen:
1. Beleid en Processen. FSI handhaaft formeel schriftelijk beleid en processen om de vertrouwelijkheid, integriteit en beschikbaarheid van gegevens te waarborgen en om deze te beschermen tegen onbedoelde, ongeoorloofde of ongepaste openbaarmaking, gebruik, wijziging of vernietiging. Dit beleid wordt jaarlijks of vaker herzien en bijgewerkt wanneer dat nodig is. Beleid en procedures zijn bedoeld om ervoor te zorgen dat fysieke, technische en administratieve waarborgen aanwezig zijn en effectief werken.
2. Toegangscontroles.
Fysieke Toegang - FSI implementeert redelijke maatregelen om te voorkomen dat onbevoegde personen toegang krijgen tot gegevensverwerkingsapparatuur (databaseservers, applicatieservers, netwerkswitches, firewalls, controllers en gerelateerde hardware) waar persoonsgegevens worden verwerkt of gebruikt.
Logische Toegang - FSI implementeert redelijke beveiligingsmaatregelen om ongeoorloofde toegang tot hun gegevensverwerkingssystemen te voorkomen. FSI onderhoudt en beoordeelt FSI-gebruikers met toegang tot gegevensverwerkingssystemen. FSI verleent toegang tot een beperkt aantal mensen op basis van de door het bedrijf goedgekeurde behoefte.
3. Beveiligingstraining en -bewustwording. FSI heeft een officieel programma voor beveiligingsbewustwording en -training voor leden van het FSI-personeel en mensen die gebruikmaken van FSI. Het programma omvat vereiste leermodules die ervoor zorgen dat gebruikers zich bewust zijn van de belangrijkste concepten en beleidsregels voor informatiebeveiliging, jaarlijks of zo vaak als praktisch is. Jaarlijkse opleidingsonderwerpen omvatten de juiste classificatie en behandeling van gevoelige informatie. Naast formele training versterken terugkerende onaangekondigde phishing-simulatieoefeningen de training over het herkennen, rapporteren en vermijden van kwaadaardige e-mailberichten.
4. Gegevensbescherming. FSI implementeert redelijke maatregelen om te voorkomen dat persoonsgegevens op ongepaste wijze worden gebruikt, gelezen, gekopieerd, gewijzigd of verwijderd door onbevoegde partijen, zowel tijdens het transport als in rust. Gegevensbeschermingscontroles worden uitgevoerd met behulp van een diepgaande verdedigingsaanpak.
5. Bewaking. FSI implementeert redelijke maatregelen om de toegang tot gevoelige systemen en netwerkbronnen te bewaken en om ervoor te zorgen dat gebruikers handelen in overeenstemming met het beleid. Logboeken worden bewaard op basis van zakelijke behoeften en wettelijke vereisten en worden opgeslagen in een centrale opslagplaats of in een platform-native opslagplaats met de mogelijkheid om naar de centrale opslagplaats te migreren indien nodig. Logboeken worden opgeslagen en beveiligd op een manier die de nauwkeurigheid en onveranderlijkheid helpt waarborgen. FSI onderhoudt een reeks geautomatiseerde waarschuwingen om mogelijk kwaadaardige activiteit te signaleren. FSI registreert gegevens die regelmatig worden gecontroleerd om mogelijke aanvallen te signaleren en om de inspanningen van FSI Incident Response te ondersteunen.
6. Eindpuntdetectie en -respons. FSI implementeert redelijke controles op eindpunten van gebruikers en servers, inclusief eindpunten voor FSI, die bescherming bieden tegen de verspreiding van malware, gecentraliseerde waarschuwingen, hostproces- en bestandsquery's en systeemisolatiemogelijkheden.
7. Procedures voor Beveiligingsincidentenrespons (IR). FSI handhaaft schriftelijk IR-beleid en -procedures om beveiligingsincidenten te detecteren, erop te reageren en anderszins aan te pakken. FSI heeft een 24/7 Security Operations Center (SOC) om relevante gebeurtenissen te triëren, systemen te bewaken op daadwerkelijke en pogingen tot aanvallen of inbraken, schadelijke effecten van beveiligingsincidenten te beperken en beveiligingsincidenten en hun resultaten te documenteren. Er worden overeenkomsten onderhouden met externe aanbieders van incidentrespons om een snelle betrokkenheid van derden te vergemakkelijken in het geval van een groot incident of wanneer een incident gespecialiseerde forensische analyse vereist. FSI heeft ook een fulltime FSI-gericht beveiligingsteam voor speciale ondersteuning en triage. Het SOC werkt nauw samen met het Data Privacy Office (DPO) en het Office of General Counsel (OGC) van FSI en externe beveiligingsexperts om ervoor te zorgen dat incidenten worden behandeld in overeenstemming met de toepasselijke wet- en regelgeving.
8. Beveiligings- en Risicobeoordelingen. FSI handhaaft redelijk beleid en procedures om de effectiviteit van beveiligingscontroles te helpen beoordelen, fouten in de beveiligingscontrole te signaleren en om hiaten in de beveiligingscontrole te signaleren, evalueren en beoordelen met behulp van een op risico gebaseerde aanpak.
9. Systeemconfiguratie en -onderhoud. FSI handhaaft redelijk beleid en procedures om ervoor te zorgen dat gegevensverwerkingsapparatuur (servers, databases, laptops, firewalls, switches, routers, controllers, enz.) op de juiste manier is geconfigureerd om ervoor te zorgen dat persoonsgegevens adequaat worden beschermd. FSI onderhoudt een kwetsbaarheidsbeheerprogramma om kwetsbaarheden binnen de FSI-omgeving te helpen signaleren en om de juiste middelen te communiceren om tijdige herstelmaatregelen te vergemakkelijken.
10. Systeem- en Informatiebestendigheid. FSI implementeert redelijke maatregelen om ervoor te zorgen dat persoonsgegevens adequaat worden beschermd tegen onbedoeld of kwaadwillig gebruik, wijziging of vernietiging en dat gegevens die per ongeluk of kwaadwillig zijn gebruikt, gewijzigd of vernietigd, identificeerbaar en herstelbaar zijn. FSI implementeert procedures voor het maken van back-ups van gegevens en systemen, waaronder online, nearline en offline kopieën op basis van de criticaliteit van de gegevens en de zakelijke behoeften. FSI maakt gebruik van zeer redundante informatiesystemen om een hoge beschikbaarheid en prestaties van applicaties en systemen te garanderen.
11. Naleving. FSI onderhoudt een Data Privacy Office voor FSI dat de naleving van de wet- en regelgeving inzake gegevensbescherming beheert. FSI onderhoudt ook een intern IT-nalevingsprogramma voor FSI dat gericht is op het testen en valideren van beveiligingscontroles, processen en procedures door middel van interne beoordelingen.
12. Verantwoordelijkheid. FSI heeft een aangewezen beveiligingsfunctionaris die verantwoordelijk is voor de ontwikkeling, implementatie en het onderhoud van de Informatiebeveiligingsprogramma's bij FSI. Bovendien beschrijft het beleid van het Informatiebeveiligingsprogramma van FSI de rollen en verantwoordelijkheden van alle belanghebbenden in het Informatiebeveiligingsprogramma en wordt gepubliceerd in een opslagplaats die toegankelijk is voor alle gebruikers van het personeel.
13. Juist Gebruik en Bewaring van Gegevens. FSI implementeert beleid en processen die het gebruik en de bewaring van vertrouwelijke gegevens, inclusief persoonsgegevens, regelen. Er zijn processen ingesteld om ervoor te zorgen dat gegevens voldoen aan de vereisten voor het delen van gegevens van gegevenseigenaren en toezicht te houden op het acceptabele gebruik van kunstmatige intelligentietechnologieën.
14. Updates. FSI bewaakt, evalueert en past het Informatiebeveiligingsprogramma jaarlijks of wanneer nodig aan, rekening houdend met relevante veranderingen in technologie, industriële beveiligingsnormen, de gevoeligheid van persoonsgegevens en interne of externe potentiële bedreigingen voor persoonsgegevens.
BIJLAGE III:
LIJST VAN SUBVERWERKERS
De verwerkingsverantwoordelijke heeft toestemming gegeven voor het gebruik van de volgende subverwerkers:*
- ANCESTRY
- BART DEVELTER V.O.F.
- BRIGHAM YOUNG UNIVERSITY
- CENTURY VITAL RECORDS (CVR)
- CONTENT ARCHAEOLOGY
- DATADISC.IT S.R.L.
- DIE MOBILE SEKRETÄRIN E.U.
- DIGITAL 4 KIT
- DOUBLE DIGITAL
- EMPRESA DE ARQUIVO DE DOCUMENTAÇÃO S.A.
- FORMAX
- GENEALAB
- GENESIS
- GREYSCALE LTD.
- INFOSCRIBE SAS
- INTELLIGENT IMAGE MANAGEMENT (IIMI)
- IRON MOUNTAIN AUSTRALIA
- IRON MOUNTAIN CESKA REPUBLIKA S.R.O.
- LIFEWOOD
- MATERN
- MYHERITAGE
- NORMADAT S.A.
- OSG RECORDS MANAGEMENT
- PEDRO CRUZ MARTINEZ
- RASTERGEN – GESTÃO DOCUMENTAL UNIPESSOAL (LDA)
- SBL
- STASIS S.A.S.
- SVI
- TRACEABLE SOLUTIONS
- TRUEBPO INC (VOORMALIG EQOD INC)
(1.1) Voor Bewaarders van het Archief in Zwitserland is het volgende van toepassing in aanvulling op de EU-Standaardcontractbepalingen, Module 2: Verwerkingsverantwoordelijke naar Verwerker ("EU SCC, Module 2"):
Zwitsers Addendum bij de EU-Standaardcontractbepalingen
Wanneer een doorgifte van persoonsgegevens van een Gegevensexporteur naar een Gegevensimporteur onderworpen is aan de EU AVG en de FADP (zoals hieronder gedefinieerd), zijn de volgende aanvullende bepalingen ook van toepassing om ervoor te zorgen dat de Standaardcontractbepalingen geschikt zijn om een adequaat beschermingsniveau voor een dergelijke doorgifte te waarborgen in overeenstemming met artikel 6, lid 2, letter van de FADP:
(a) 'FADP' betekent de Federale Wet inzake Gegevensbescherming van 19 juni 1992 (SR 235.1).
(b) 'FDPIC' betekent de Zwitserse Federale Commissaris voor Gegevensbescherming en Informatie.
(c) 'Herziene FADP' betekent de herziene versie van de FADP van 25 september 2020, die volgens de planning op 1 januari 2023 in werking treedt.
(d) De term 'EU-lidstaat' mag niet zodanig worden geïnterpreteerd dat Betrokkenen in Zwitserland worden uitgesloten van de mogelijkheid om hun rechten in hun gewone verblijfplaats (Zwitserland) aan te klagen in overeenstemming met Clausule 18(c) van de Standaardcontractbepalingen.
(e) De Standaardcontractbepalingen beschermen ook de gegevens van rechtspersonen tot de inwerkingtreding van de Herziene FADP.
(f) De FDPIC treedt op als de 'bevoegde toezichthoudende autoriteit' voor zover de relevante gegevensdoorgifte wordt beheerst door de FADP.
(1.2) Voor Bewaarders van het Archief in het Verenigd Koninkrijk ("VK") is het volgende van toepassing in aanvulling op de EU-Standaardcontractbepalingen, Module 2: Verwerkingsverantwoordelijke naar Verwerker ("EU SCC, Module 2"):
Addendum inzake Internationale Gegevensdoorgifte bij de Standaardcontractbepalingen van de Europese Commissie
("UK IDTA")
Het Addendum inzake Internationale gegevensdoorgifte bij de Standaardcontractbepalingen van de Europese Commissie (hierte vinden) wordt hierbij door verwijzing opgenomen en het volgende is van toepassing:
Deel 1: Tabellen
Tabel 1 wordt precies ingevuld zoals in EU SCC, Module 2, Bijlage I.
Tabel 2 - Het volgende is van toepassing op de EU SCC, Module 2 zoals overeengekomen door de hierboven genoemde partijen:
- Clausule 7 (Docking-clausule) wordt geschrapt.
- Clausule 9 (Gebruik van subverwerkers) bevat OPTIE 2: ALGEMENE SCHRIFTELIJKE MACHTIGING).
- Clausule 11 (Verhaal) bevat niet de OPTIE in (a).
- Clausule 13 (Toezicht) bevat bepalingen die van toepassing zijn op exporteurs die in een EU-lidstaat zijn gevestigd.
- Clausule 17 (Toepasselijk Recht) bevat OPTIE 1 en bevat het recht van het land van de gegevensexporteur.
- Clausule 18 (Keuze van forum en jurisdictie) omvat de rechtbanken van het land van de gegevensexporteur.
Tabel 3 – wordt ingevuld met de EU SCC, Module 2 Bijlage I, II en III.
Tabel 4 – De UK IDTA kan door beide Partijen (Importeur en Exporteur) worden beëindigd.
Deel 2 – Verplichte Clausules
Alle verplichte clausules zijn van toepassing; in het omgekeerde geval zijn de Verplichte Clausules van het Alternatieve Deel 2 niet van toepassing.
(2) Voor Bewaarders van het Archief op de volgende locaties zijn de EU-Standaardcontractbepalingen, Module 2: Verwerkingsverantwoordelijke naar Verwerker ("EU SCC, Module 2") (hierte vinden) van toepassing:
Albanië, Andorra, Armenië, Azerbeidzjan, Wit-Rusland, Bosnië en Herzegovina, Georgië, Guernsey, Isle of Man, Jersey, Kenia, Monaco, Kazachstan, Kosovo, Montenegro, Noord-Macedonië, San Marino, Servië, Syrië, Turkije, Oekraïne, Vietnam, Jemen.
(3) Voor Bewaarders van het Archief in Angola ("Angola") is het volgende van toepassing in aanvulling op de Angolese Contractbepalingen in de Angolese Wet inzake Gegevensbescherming (wet nr. 22/11 van 17 juni 2011) ("CC's van Angola") (hierte vinden):
Het volgende is van toepassing op de CC's van Angola zoals overeengekomen door de hierboven genoemde partijen:
Locaties voor het verwerken, doorgeven en opslaan van persoonsgegevens zijn onder andere Ghana en de Verenigde Staten.
Alle andere hierboven verstrekte informatie voor de EU SCC's Module 2 is van toepassing op de CC's van Angola.
(4) Voor Bewaarders van het Archief in Nigeria ("Nigeria") is het volgende van toepassing naast de Nigeriaanse Contractuele Bepalingen in de Nigeria Data Protection Act (NDPA) 2023 ("CC's van Nigeria") (hierte vinden):
Het volgende is van toepassing op de CC's van Nigeria zoals overeengekomen door de hierboven genoemde partijen:
Locaties voor het verwerken, doorgeven en opslaan van persoonsgegevens zijn onder andere Ghana en de Verenigde Staten.
Alle andere hierboven verstrekte informatie voor de EU SCC's Module 2 is van toepassing op de CC's van Nigeria.
(5) Voor Bewaarders van het Archief op de volgende locaties zijn de ASEAN-Modelcontractbepalingen, Module 1: Verwerkingsverantwoordelijke naar Verwerker ("MCC's, Module 1") (hier te vinden) van toepassing:
Brunei Darussalam, Cambodja, Indonesië, Laos, Maleisië, Myanmar, de Filippijnen, Singapore, Thailand, Vietnam
Het volgende is van toepassing op de MCC's, Module 1 zoals overeengekomen door de hierboven genoemde partijen:
- Clausule 2 (Verplichtingen van de Gegevensexporteur) wordt geschrapt.
- Clausule 3 (Verplichtingen van de Gegevensimporteur) optionele subclausules 3.4, 3.6, 3.7 en de optionele bepalingen in 3.7 worden geschrapt. Subclausule 3.10 is, "...binnen een redelijke termijn die door Partners wordt gespecificeerd."
- In Clausule 4 (Geschillen over de Rechtskeuze) wordt de ASEAN-lidstaat van de exporteur in 4.1 genoemd. Operationele subclausule 4.3 wordt geschrapt.
- Clausule 6 (Beëindiging van het Contract) neemt "30 dagen" op in sub-subsectie 6.1.1.
- Aanvullende voorwaarden voor individuele rechtsmiddelen (Individuele Rechtsmiddelen) Alle individuele rechtsmiddelen worden geschrapt.
- BIJLAGE A: Zie BIJLAGE I van de EU SCC's, Module 2.
(6) Voor Bewaarders van het Archief op de volgende locaties is de Modelovereenkomst voor doorgifte van het Ibero-Amerikaanse Gegevensbeschermingsnetwerk ("IADPN MCC's, Verwerkingsverantwoordelijken naar Verwerkers") (hier te vinden) van toepassing:
Peru, Uruguay, Argentinië, Andorra
Het volgende is van toepassing op de IADPN MCC's, Verwerkingsverantwoordelijken naar Verwerkers zoals overeengekomen door de hierboven genoemde partijen:
- BIJLAGE I van de EU SCC, Module 2 wordt door verwijzing opgenomen en vult alle vereiste informatie in de IADPN MCC's, Verwerkingsverantwoordelijke naar Verwerkers.
- Clausule 9 (Verhaal) in subclausule 9(a) de optionele bepalingen worden geschrapt.
- BIJLAGE A wordt ingevuld met relevante informatie uit BIJLAGE I van de EU SCC, Module 2.
- BIJLAGE B wordt ingevuld met relevante informatie uit BIJLAGE I van de EU SCC, Module 2.
- BIJLAGE C wordt ingevuld met relevante informatie uit BIJLAGE II van de EU SCC, Module 2.
- BIJLAGE D wordt ingevuld met relevante informatie uit BIJLAGE III van de EU SCC, Module 2.
- BIJLAGE E wordt ingevuld met de privacyverklaring die hier te vinden is: https://www.familysearch.org/legal/privacy.
(7) Voor Bewaarders van het Archief in China is het volgende (hier te vinden) van toepassing:
a. Voor mensen in Hong Kong is het volgende (hier te vinden) van toepassing:
(8) Voor Bewaarders van het Archief in Brazilië is het volgende van toepassing: (hier te vinden) van toepassing: (Pdf ook hier te vinden)
(9) Voor Bewaarders van het Archief in Nieuw-Zeeland is het volgende (hier te vinden) van toepassing:
(10) Voor Bewaarders van het Archief in Rwanda is het volgende (hier te vinden) van toepassing:
(11) Voor Bewaarders van het Archief in Qatar is het volgende (hier te vinden) van toepassing:
(12) Voor Bewaarders van het Archief in Saoedi-Arabië is het volgende (hier te vinden) van toepassing: