ANEKS DOTYCZĄCY WARUNKÓW PRZETWARZANIA I PRZEKAZYWANIA DANYCH

Strony przyjmują do wiadomości i zgadzają się, że dane osobowe przekazywane między FamilySearch International (lub jej podmiotem stowarzyszonym) a Powiernikiem(-kami) danych podlegają (i) warunkom podpisanym przez obie strony, w których skład poprzez odwołanie wchodzą niniejsze Warunki przetwarzania i przekazywania danych („Umowa”) oraz (ii) wszystkim mającym zastosowanie przepisom dotyczącym prywatności i ochrony danych.

Strony rozumieją i zgadzają się, że (i) Powiernik danych jest administratorem i podmiotem przekazującym przekazywanych danych osobowych oraz że (ii) FamilySearch International (lub jej podmiot stowarzyszony) jest podmiotem przetwarzającym i odbierającym dane.

Strony rozumieją i zgadzają się, że poniższy mający zastosowanie Aneks dotyczący przetwarzania i przekazywania danych jest powiązany z fizyczną lokalizacją Powiernika danych, chyba że w momencie zawierania Umowy wyznaczy on inną lokalizację na piśmie.

(1) W przypadku Powierników danych w następujących miejscach zastosowanie mają standardowe klauzule umowne UE, moduł 2: przekazywanie przez administratora podmiotowi przetwarzającemu („SKU UE, moduł 2”) (znajdujące się tutaj):

Afganistan, Algieria, Austria, Australia, Bahrajn, Barbados, Belgia, Belize, Botswana, Brytyjskie Wyspy Dziewicze, Bułgaria, Burkina Faso, Kajmany, Kongo, Republika, Wyspy Cooka, Chorwacja, Kuba, Cypr, Czechy, Dania, Ekwador, Egipt, Estonia, Eswatini, Etiopia, Fidżi, Finlandia, Francja, Gujana Francuska, Polinezja Francuska, Francuskie Terytoria Południowe, Gabon, Niemcy, Wyspy Glorioso, Grecja, Grenada, Guam, Gujana, Haiti, Węgry, Indie, Indonezja, Iran, Irak, Irlandia, Włochy, Izrael, Jamajka, Japonia, Jordania, wyspa Juan de Nova, Kiribati, Kuwejt, Łotwa, Liban, Libia, Liechtenstein, Litwa, Luksemburg, Malta, Wyspy Marshalla, Melanezja, Meksyk, Mikronezja, Mongolia, Maroko, Nauru, Nepal, Holandia, Nowa Kaledonia, Niger, Niue, Norwegia, Oman, Palau, Panama, Papua-Nowa Gwinea, Pakistan, Palestyna, Wyspy Pitcairn, Polska, Portugalia, Mołdawia, Rumunia, Saint Kitts i Nevis, Samoa, Seszele, Słowacja, Słowenia, Wyspy Salomona, Somalia, Republika Południowej Afryki, Korea Południowa, Hiszpania, Sri Lanka, Sudan, Szwecja, Szwajcaria*, Tanzania, Tajlandia, Togo, Tokelau, Tonga, Tunezja, Turcja, Tuvalu, Uganda, Zjednoczone Emiraty Arabskie, Wielka Brytania**, Vanuatu, Wallis i Futuna, Zambia, Zimbabwe

* Chociaż Aneks dotyczący przetwarzania i przekazywania danych na terenie EOG ma zastosowanie do Szwajcarii, wymaga to również dodatkowych postanowień, które zostają niniejszym włączone do aneksu i są przedstawione poniżej.

** Chociaż Aneks dotyczący przetwarzania i przekazywania danych na terenie EOG ma zastosowanie do Wielkiej Brytanii, wymaga to również dodatkowych postanowień, które zostają niniejszym włączone do Aneksu i są przedstawione poniżej.

Poniższe postanowienia mają zastosowanie do modułu 2 SKU UE zgodnie z ustaleniami stron, o których mowa powyżej:

  • Klauzula 7 (klauzula przystąpienia) została usunięta.
  • Klauzula 9 (Korzystanie z podwykonawców przetwarzania danych) obejmuje OPCJĘ 2: OGÓLNE PISEMNE UPOWAŻNIENIE).
  • Klauzula 11 (Dochodzenie roszczeń) nie obejmuje OPCJI w podpunkcie (a).
  • Klauzula 13 (Nadzór) zawiera sformułowania mające zastosowanie do podmiotów przekazujących dane mających siedzibę w państwie członkowskim UE.
  • Klauzula 17 (Prawo właściwe) obejmuje OPCJĘ 1 i obejmuje prawo kraju, w którym ma siedzibę podmiot przekazujący dane.
  • Klauzula 18 (Wybór forum i jurysdykcji) obejmuje sądy kraju, w którym ma siedzibę podmiot przekazujący dane.
  • ZAŁĄCZNIK I: patrz poniżej.
  • ZAŁĄCZNIK II: patrz poniżej.
  • ZAŁĄCZNIK III: patrz poniżej.

ZAŁĄCZNIK I:

A. Wykaz stron

Podmiot przekazujący dane

  1. Nazwa: Powiernik danych wskazany w Umowie
  2. Adres: adres Powiernika danych wskazanego w Umowie
  3. Kontakt: zobacz „Dane kontaktowe do powiadomień” określone dla Powiernika danych w Umowie
  4. Działania mające znaczenie dla danych przekazywanych na podstawie klauzul: Odpowiednie działania opisano w sekcji B („Opis przekazywania danych”) poniżejRola: Administrator

Podmiot odbierający dane

  1. Nazwa: FamilySearch International
  2. Adres: 36 S State St., Ste 1900, Salt Lake City, UT 84111, USA
  3. Kontakt: Manager, Data Privacy Office - 50 East North Temple Street, Salt Lake City, Utah 84150, USA
    1. Telefon: (801) 240-1187
    2. E-mail: Dataprivacyofficer@churchofjesuschrist.org
  4. Działania mające znaczenie dla danych przekazywanych na podstawie klauzul: Odpowiednie działania opisano w sekcji B („Opis przekazywania danych”) poniżej
  5. Rola: Podmiot przetwarzający

B. Opis przekazywania danych

Kategorie osób, których dane dotyczą i których dane osobowe są przekazywane

Osoby, których dane dotyczą, które figurują w dokumentach historycznych i genealogicznych, a których dane osobowe są przechowywane do celów badawczych, historycznych i statystycznych.

Kategorie przekazywanych danych osobowych

Dane genealogiczne – informacje gromadzone w celu zachowania historii osobistej i rodzinnej osób:

  • Imiona i nazwiska (imię i nazwisko osoby, której dane dotyczą, imiona i nazwiska ojca i matki, imiona i nazwiska dzieci, imiona i nazwiska rodzeństwa, imiona i nazwiska małżonków itp.)
  • Relacje rodzinne (imiona i nazwiska osób, rodzeństwa, rodziców, dzieci, dziadków, ciotek, wujków).
  • Informacje biograficzne (imię i nazwisko, data urodzenia, data śmierci, historie i szczegóły dotyczące życia danej osoby, zawodu, wykształcenia, miejsc wydarzeń życiowych, osobistych wydarzeń religijnych – chrztu, bierzmowania itp.).
  • Data urodzenia, miejsce urodzenia i powiązane szczegóły (płeć dziecka, imiona rodziców, adres rodziców w momencie urodzenia lub rodziców adopcyjnych w zależności od rodzaju aktu urodzenia, data urodzenia i miejsce urodzenia).
  • Wiek
  • Płeć
  • Data, miejsce i powiązane szczegóły dotyczące małżeństwa (imię i nazwisko osoby, rodziców itp.).
  • Data i miejsce zgonu oraz powiązane szczegóły (imię i nazwisko osoby, sposób śmierci).
  • Narodowość.
  • Cechy osobiste, w tym zdjęcie.
  • Inne informacje zawarte w pozyskanych zapisach genealogicznych i historycznych, w tym ze spisów powszechnych (imiona i nazwiska, dzieci, zawód, miejsce zamieszkania), historie rodzinne (dane biograficzne, imiona i nazwiska, relacje rodzinne), rejestry parafialne (imiona i nazwiska członków kongregacji, miejsce zamieszkania, daty urodzenia, relacje rodzinne), akta kościelne (akta urodzenia, akta małżeństwa, akta zgonu, chrzty, konfirmacje), akta cywilne (akta urodzenia, akta małżeństwa i akta zgonu), nekrologi w gazetach (akta urodzenia, akta ziemskie, zbiory archiwów państwowych) oraz akta naturalizacji (akta obywatelskie, akta imigracyjne, akta naturalizacyjne, w tym imiona i nazwiska, daty urodzenia, kraj pochodzenia, kraj zamieszkania i adres, imiona i nazwiska członków rodziny, zawód, niektóre informacje specyficzne dla danego kraju w zależności od kraju i daty pobrania).

Dane wrażliwe – informacje, które są przypadkowo zawarte w dokumentach historycznych i genealogicznych, a które mogą być zdefiniowane jako wrażliwe zgodnie z przepisami dotyczącymi prywatności:

  • Tożsamość i dane demograficzne (pochodzenie rasowe lub etniczne, pochodzenie narodowe, pochodzenie plemienne, status społeczny, konkretna tożsamość (unikalne identyfikatory, np. paszporty, numer ubezpieczenia społecznego, prawo jazdy, dowód tożsamości), stan cywilny, wiek, kolor skóry, obywatelstwo lub status imigracyjny, status ofiary przestępstwa lub osoby, która doznała szkody w wyniku przestępstwa).
  • Przekonania i przynależność (przekonania lub przynależność religijna, przekonania światopoglądowe , przekonania moralne, przekonania ideologiczne, poglądy polityczne, przekonania polityczne, ideologie polityczne lub przynależność polityczna, członkostwo w związkach zawodowych, członkostwo w gildii, przynależność do związków zawodowych, członkostwo w stowarzyszeniach zawodowych lub społecznych lub organizacjach praw człowieka).
  • Dane dotyczące zdrowia i dane genetyczne/biometryczne (obecny lub przyszły stan zdrowia fizycznego lub psychicznego, status lub diagnoza, historia medyczna, dokumentacja medyczna, leczenie, świadczenie opieki zdrowotnej, stan psychiczny lub fizjologiczny, dane genetyczne (cechy dziedziczne lub nabyte, profil biologiczny człowieka), dane biometryczne (wykorzystywane do jednoznacznej identyfikacji, automatycznej weryfikacji lub ujawniania dodatkowych wrażliwych cech), dane neuronowe (dane dotyczące mózgu/neuronów, dane poznawcze/emocjonalne).
  • Dane o karalności i prawne (karny rejestr lub historia, zachowania lub czyny przestępcze, popełnienie lub domniemane popełnienie przestępstwa, postępowanie, wyniki, wyroki lub kary związane ze sprawami karnymi).
  • Dane dotyczące lokalizacji i komunikacji – dane geolokalizacyjne (dokładna lub konkretna lokalizacja, w tym współrzędne GPS), dane komunikacyjne, w tym treść i metadane połączeń, tekstów, wiadomości e-mail lub listów, treść poczty, wiadomości e-mail lub wiadomości SMS (chyba że są adresowane do odbiorcy).
  • Dane dotyczące młodzieży (wszelkie dane osobowe związane z osobą niepełnoletnią).
  • Inne szczególne kategorie danych:
    • osobiste nawyki, styl życia i okoliczności życia intymnego/prywatnego;
    • cechy moralne lub etyczne;
    • sprawy rodzinne lub dane dotyczące życia emocjonalnego/rodzinnego;
    • dokumenty dotyczące edukacji;
    • dane dotyczące zatrudnienia powiązane z cechami chronionymi;
    • dane dotyczące zdrowia konsumentów (szersze niż dokumentacja medyczna, obejmują dane dotyczące samopoczucia/kondycji, ciąży itp.);
    • dane dotyczące ideologii lub wierzeń, które nie zostały w inny sposób ujęte;
    • wszelkie dane, które mogą znacząco zagrozić prywatności, godności, bezpieczeństwu lub mieniu w przypadku niewłaściwego wykorzystania;
    • dane o podwyższonym ryzyku wywołania przejawów dyskryminacji lub spowodowania szkody w zależności od kontekstu (np. dane dotyczące oglądania telewizji sklasyfikowane jako wrażliwe przez FTC);
    • stan cywilny (imiona i nazwiska, daty itp.);
    • państwowy numer identyfikacyjny lub podobne dane (numer ubezpieczenia społecznego itp.);
    • numer paszportu;
    • przynależność religijna (informacje w rejestrach kościelnych, w tym numery członków, imiona i nazwiska, daty urodzenia, daty chrztu, daty małżeństwa, daty śmierci i dane związane z konkretną religią);
    • dane dotyczące małoletnich (imiona i nazwiska, daty urodzenia, rodzice, rodzeństwo, akta opieki, informacje o adopcji, akta sądowe, akta edukacyjne);
    • dane dotyczące zdrowia (choroby, pobyty w szpitalu, przyczyny śmierci);
    • historia kryminalna (imiona i nazwiska, daty pozbawienia wolności, orzeczenia dotyczące osoby);
    • przynależność do związków zawodowych (imiona i nazwiska członków, data członkostwa, informacje o opłatach za członkostwo itp.);
    • pochodzenie rasowe lub etniczne (region lub kraj pochodzenia);
    • religia (nazwa i przynależność religijna);
    • przynależność polityczna (nazwa i partia polityczna, informacje o darowiznach).

Częstotliwość przekazywania danych (np. jednorazowo lub w sposób ciągły).

Ad Hoc

Charakter przetwarzania

Przekazywane dane osobowe mogą podlegać różnym czynnościom przetwarzania, jeśli jest to prawnie dozwolone, w tym digitalizacji, indeksowaniu, hostowaniu, przechowywaniu, przesyłaniu, redagowaniu i wyświetlaniu. Działania te są wspierane przez centra danych w chmurze, w tym w Stanach Zjednoczonych, w zakresie dozwolonym przez przepisy dotyczące prywatności. Na przykład dane mogą być przetwarzane w celu wspierania następujących działań:

  • Zachowanie danych historycznych: digitalizacja, zachowywanie, indeksowanie, przechowywanie i/lub archiwizacja dokumentów historycznych, zdjęć i artefaktów dla przyszłych pokoleń, zgodnie z instrukcjami podmiotu przekazującego dane.
  • Genealogia: jeśli jest to dozwolone przez przepisy dotyczące prywatności i przez podmiot przekazujący dane (np. gdy przetwarzanie danych nie jest już ograniczone), dane mogą być włączone do aplikacji używanych przez badaczy i użytkowników stron internetowych w celu wspierania śledzenia danych dotyczących pochodzenia lub historii rodziny lub innych badań genealogicznych, programów i działań.
    • Badania historii rodziny: zbieranie i przechowywanie informacji o przodkach i drzewie genealogicznym.
    • Instrukcje genealogiczne: udostępnianie szkoleń i zasobów, które pomogą milionom ludzi na całym świecie odkryć swoje dziedzictwo i nawiązać kontakt z członkami rodziny.

Cele przekazywania danych i dalszego ich przetwarzania

Przekazywanie danych podmiotowi odbierającemu dane (w globalnej siedzibie głównej podmiotu) i dalsze przetwarzanie ich przez podmiot odbierający dane wspiera zachowanie i przechowywanie historycznych danych rodzinnych na rzecz archiwów publicznych, organów rządowych, ludności tubylczej, archiwów prywatnych, innych podmiotów prywatnych i osób fizycznych. Jeśli jest to dozwolone przez przepisy dotyczące prywatności i przez podmiot przekazujący dane (np. gdy przetwarzanie danych nie jest już objęte ograniczeniami), dane te mogą być również udostępniane publicznie na stronie internetowej podmiotu odbierającego dane bezpłatnie do celów badawczych.

Okres przechowywania danych osobowych lub, jeśli nie jest to możliwe, kryteria stosowane do wyznaczenia tego okresu

Dane osobowe gromadzone w celach historycznych będą przechowywane zgodnie z instrukcjami podmiotu przekazującego dane tak długo, jak będzie to wymagane. W wielu przypadkach, o ile dokumenty zachowują wartość historyczną, mogą być przechowywane przez czas nieokreślony do celów archiwalnych i do dokumentowania genealogii, chyba że osoba, której dane dotyczą, zażąda ich usunięcia.

W przypadku przekazywania danych podwykonawcom przetwarzania należy również określić przedmiot, charakter i czas trwania przetwarzania

Podmiot odbierający dane przetwarza dane osobowe w celu zachowania danych historycznych i do celów badań genealogicznych, na polecenie podmiotu przekazującego dane. Podmiot odbierający dane może zaangażować podmiot przetwarzający lub dalszy podmiot przetwarzający na podstawie umowy powierzenia lub podpowierzenia, aby pomóc w przetwarzaniu danych w tych samych celach i wykonywać funkcje w imieniu podmiotu przekazującego dane i/lub podmiotu odbierającego dane (na przykład digitalizacja lub indeksowanie danych historycznych). Umowa powierzenia lub podpowierzenia zawiera dodatkowe szczegóły dotyczące przedmiotu, charakteru i czasu trwania przetwarzania.

C. Właściwy organ nadzorczy

Należy wskazać właściwy organ lub właściwe organy zgodnie z klauzulą 13

Organ nadzorczy kraju podmiotu przekazującego dane określony w załączniku I.A.

ZAŁĄCZNIK II:

ŚRODKI TECHNICZNE I ORGANIZACYJNE DLA FAMILY SEARCH INTERNATIONAL (IMPORTER)

Niniejszy dokument przedstawia techniczne i organizacyjne środki bezpieczeństwa informacji stosowane przez Podmiot odbierający dane, Family Search International („FSI”).

Techniczne i organizacyjne środki bezpieczeństwa. FSI utrzymuje kompleksowy Program Bezpieczeństwa Informacji i wdraża uzasadnione techniczne oraz organizacyjne środki bezpieczeństwa, oparte na standardach branżowych, potrzebach organizacyjnych i ryzyku, w celu zminimalizowania i ochrony przed nieuprawnionym lub niezgodnym z prawem przetwarzaniem danych, przypadkową lub celową ich utratą, nieuprawnionym dostępem, zniszczeniem lub uszkodzeniem. Środki te pomagają zapewnić poufność, integralność, dostępność i odporność systemów i danych FSI. W przypadku systemów, które nie są bezpośrednio kontrolowane przez FSI, współpracujemy z FSI w celu wdrożenia odpowiednich środków kontroli bezpieczeństwa. Program Bezpieczeństwa Informacji FSI obejmuje następujące elementy:

1. Zasady i procesy FSI utrzymuje formalne pisemne zasady i procesy w celu zapewnienia poufności, integralności i dostępności danych oraz ich ochrony przed przypadkowym, nieuprawnionym lub niewłaściwym ujawnieniem, wykorzystaniem, zmianą bądź zniszczeniem. Zasady te są poddawane przeglądowi i aktualizowane co roku lub częściej, gdy jest to właściwe. Zasady i procedury mają na celu zapewnienie, że fizyczne, techniczne i administracyjne zabezpieczenia są wdrożone i działają skutecznie.

2. Kontrola dostępu

Dostęp fizyczny – FSI stosuje uzasadnione środki, aby uniemożliwić osobom nieupoważnionym uzyskanie dostępu do sprzętu do przetwarzania danych (serwerów baz danych, serwerów aplikacji, przełączników sieciowych, zapór sieciowych, kontrolerów i powiązanego sprzętu), który służy do przetwarzania lub wykorzystywania danych osobowych.

Dostęp logiczny – FSI stosuje uzasadnione środki bezpieczeństwa, aby zapobiec nieautoryzowanemu dostępowi do swoich systemów przetwarzania danych. FSI utrzymuje i weryfikuje konta użytkowników FSI z dostępem do systemów przetwarzania danych. FSI przyznaje dostęp ograniczonej liczbie osób na podstawie zatwierdzonych potrzeb biznesowych.

3. Szkolenia i podnoszenie świadomości w zakresie bezpieczeństwa FSI prowadzi formalny program szkolenia i podnoszenia świadomości w zakresie bezpieczeństwa dla pracowników i użytkowników FSI. Program obejmuje wymagane moduły szkoleniowe, które zapewniają użytkownikom wiedzę na temat kluczowych koncepcji i zasad bezpieczeństwa informacji, co roku lub tak często, jak jest to praktyczne. Tematyka corocznych szkoleń uwzględnia odpowiednią klasyfikację i postępowanie z informacjami poufnymi. Oprócz zorganizowanych szkoleń powtarzające się niezapowiedziane ćwiczenia z symulacją phishingu wzmacniają wiedzę w zakresie identyfikowania, zgłaszania i unikania złośliwych wiadomości e-mail.

4. Ochrona danych FSI stosuje uzasadnione środki, aby zapobiegać niewłaściwemu wykorzystywaniu, odczytywaniu, kopiowaniu, zmienianiu lub usuwaniu danych osobowych przez nieupoważnione strony zarówno w trakcie przesyłania, jak i w czasie przechowywania. Środki ochrony danych są wdrażane przy użyciu systemu zabezpieczeń wielostopniowych.

5. Monitorowanie FSI stosuje uzasadnione środki w celu monitorowania dostępu do wrażliwych systemów i zasobów sieciowych oraz w celu zapewnienia, że użytkownicy postępują zgodnie z zasadami. Dzienniki zdarzeń są przechowywane w oparciu o potrzeby biznesowe i wymogi regulacyjne oraz są przechowywane w centralnym repozytorium lub w repozytorium natywnym dla platformy z możliwością migracji do centralnego repozytorium w razie potrzeby. Dzienniki zdarzeń są przechowywane i zabezpieczane w sposób zapewniający dokładność i niezmienność. FSI utrzymuje zestaw zautomatyzowanych alertów w celu identyfikacji potencjalnie złośliwych działań. FSI rejestruje w dziennikach dane, które są regularnie weryfikowane w celu identyfikacji potencjalnych ataków i wspierania działań FSI w zakresie reagowania na incydenty.

6. Wykrywanie zagrożeń na punktach końcowych i reagowanie na nie FSI stosuje uzasadnione środki kontroli do punktach końcowych użytkowników i serwerów, w tym punktów końcowych FSI, które zapewniają ochronę przed rozprzestrzenianiem się złośliwego oprogramowania, scentralizowane alerty, zapytania dotyczące procesów i plików oraz możliwości izolacji systemu.

7. Procedury reagowania na incydenty bezpieczeństwa (IR). FSI utrzymuje pisemne zasady i procedury reagowania na incydenty bezpieczeństwa (IR) w celu wykrywania zdarzeń związanych z bezpieczeństwem, reagowania na nie i neutralizowania ich skutków. FSI prowadzi całodobowe Centrum Operacji Bezpieczeństwa (SOC), które zajmuje się określaniem priorytetów zdarzeń, monitorowaniem systemów pod kątem skutecznych i podejmowanych ataków lub włamań, łagodzeniem szkodliwych skutków incydentów związanych z bezpieczeństwem oraz dokumentowaniem ich skutków. Zawarte umowy z zewnętrznymi dostawcami usług reagowania na incydenty ułatwiają szybkie zaangażowanie osób trzecich w przypadku poważnego zdarzenia lub gdy sytuacja wymaga specjalistycznej analizy. FSI utrzymuje również pełnoetatowy zespół bezpieczeństwa skoncentrowany na FSI, który zapewnia specjalne wsparcie i segregację. SOC ściśle współpracuje z Biurem ds. Prywatności Danych (DPO) FSI i Biurem Radcy Prawnego (OGC) oraz zewnętrznymi ekspertami ds. bezpieczeństwa, aby zapewnić, że postępowanie w związku z incydentami jest zgodne z obowiązującymi przepisami i regulacjami.

8. Oceny bezpieczeństwa i ryzyka FSI utrzymuje zasady i procedury, które pomagają oceniać skuteczność kontroli bezpieczeństwa, identyfikować problemy z kontrolą oraz wykrywać, ocenić i analizować luki w kontroli bezpieczeństwa przy użyciu podejścia opartego na ryzyku.

9. Konfiguracja i konserwacja systemu FSI stosuje zasady i procedury, które pomagają zapewnić odpowiednią konfigurację sprzętu do przetwarzania danych (serwerów, baz danych, laptopów, zapór sieciowych, przełączników, routerów, kontrolerów itp.), aby zapewnić odpowiednią ochronę danych osobowych. FSI prowadzi program zarządzania lukami w zabezpieczeniach, aby pomóc w identyfikacji luk w środowisku FSI i komunikacji z odpowiednimi zasobami w celu szybkiego usuwania problemów.

10. Odporność systemu i informacji. FSI stosuje uzasadnione środki w celu zapewnienia odpowiedniej ochrony danych osobowych przed przypadkowym lub złośliwym wykorzystaniem, zmianą lub zniszczeniem oraz upewnienia się, że dane, które zostały przypadkowo lub złośliwie wykorzystane, zmienione lub zniszczone, można zidentyfikować i przywrócić. FSI stosuje procedury tworzenia kopii zapasowych danych i systemów, które obejmują kopie online, nearline i offline, zgodnie z poziomem istotności danych i potrzebami biznesowymi. FSI wykorzystuje systemy informatyczne o wysokim stopniu nadmiarowości, aby zapewnić wysoką dostępność oraz wydajność aplikacji i systemów.

11. Zgodność z przepisami FSI utrzymuje Biuro ds. Prywatności Danych dla FSI, które zarządza zgodnością z przepisami i regulacjami dotyczącymi ochrony danych. FSI utrzymuje również wewnętrzny program zgodności IT dla FSI, który koncentruje się na testowaniu i zatwierdzaniu środków bezpieczeństwa, procesów i procedur w ramach wewnętrznych ocen.

12. Odpowiedzialność FSI ma wyznaczonego przedstawiciela ds. bezpieczeństwa odpowiedzialnego za opracowywanie, wdrażanie i utrzymywanie programów bezpieczeństwa informacji w FSI. Ponadto zasady Programu Bezpieczeństwa Informacji FSI określają role i obowiązki wszystkich interesariuszy Programu. Zasady są opublikowane w repozytorium dostępnym dla wszystkich pracowników.

13. Właściwe wykorzystywanie i przechowywanie dokumentacji FSI stosuje zasady i procesy, które regulują wykorzystanie i przechowywanie danych poufnych, w tym danych osobowych. Wdrożono procesy zapewniające zgodność danych z wymogami ich właścicieli w zakresie udostępniania, które obejmują nadzór nad dopuszczalnym wykorzystaniem technologii sztucznej inteligencji.

14. Aktualizacje. FSI monitoruje, ocenia i dostosowuje Program Bezpieczeństwa Informacji co roku lub zgodnie z potrzebami, biorąc pod uwagę odpowiednie zmiany w technologii, standardy bezpieczeństwa w branży, wrażliwość danych osobowych oraz wewnętrzne lub zewnętrzne potencjalne zagrożenia dla danych osobowych.

ZAŁĄCZNIK III:

WYKAZ PODWYKONAWCÓW PRZETWARZANIA

Administrator zezwolił na korzystanie z usług następujących podwykonawców przetwarzania*:

  • ANCESTRY
  • BART DEVELTER V.O.F.
  • BRIGHAM YOUNG UNIVERSITY
  • CENTURY VITAL RECORDS (CVR)
  • CONTENT ARCHAEOLOGY
  • DATADISC.IT S.R.L.
  • DIE MOBILE SEKRETÄRIN E.U.
  • DIGITAL 4 KIT
  • DOUBLE DIGITAL
  • EMPRESA DE ARQUIVO DE DOCUMENTAÇÃO S.A.
  • FORMAX
  • GENEALAB
  • GENESIS
  • GREYSCALE LTD.
  • INFOSCRIBE SAS
  • INTELLIGENT IMAGE MANAGEMENT (IIMI)
  • IRON MOUNTAIN AUSTRALIA
  • IRON MOUNTAIN CESKA REPUBLIKA S.R.O.
  • LIFEWOOD
  • MATERN
  • MYHERITAGE
  • NORMADAT S.A.
  • OSG RECORDS MANAGEMENT
  • PEDRO CRUZ MARTINEZ
  • RASTERGEN – GESTÃO DOCUMENTAL UNIPESSOAL (LDA)
  • SBL
  • STASIS S.A.S.
  • SVI
  • TRACEABLE SOLUTIONS
  • TRUEBPO INC (DAWNIEJ EQOD INC)

(1.1) W przypadku Powierników danych w Szwajcarii oprócz standardowych klauzul umownych UE, moduł 2: przekazywanie przez administratora podmiotowi przetwarzającemu („SKU UE, moduł 2”), obowiązują następujące zasady:

Szwajcarski aneks do standardowych klauzul umownych UE

W przypadku gdy przekazywanie danych osobowych od podmiotu przekazującego dane do podmiotu odbierającego dane podlega unijnemu RODO i FADP (zgodnie z definicją poniżej), zastosowanie mają również następujące dodatkowe postanowienia, aby standardowe klauzule umowne były odpowiednie do zapewnienia odpowiedniego poziomu ochrony takiego przekazywania zgodnie z art. 6 ust. 2 lit. FADP:

(a) „FADP” oznacza federalną ustawę o ochronie danych z dnia 19 czerwca 1992 r. (SR 235.1).

(b) „FDPIC” oznacza szwajcarskiego federalnego komisarza ds. ochrony danych i informacji.

(c) „Zmieniona FADP” oznacza zmienioną wersję FADP z dnia 25 września 2020 r., która ma wejść w życie w dniu 1 stycznia 2023 r.

(d) Pojęcia „państwo członkowskie UE” nie należy interpretować w taki sposób, aby wykluczyć osoby, których dane dotyczą, w Szwajcarii z możliwości dochodzenia swoich praw w miejscu zwykłego pobytu (Szwajcaria) zgodnie z klauzulą 18(c) standardowych klauzul umownych.

(e) Standardowe klauzule umowne chronią również dane osób prawnych do czasu wejścia w życie zmienionej FADP.

(f) FDPIC działa jako „właściwy organ nadzorczy” w zakresie, w jakim odpowiednie przekazywanie danych jest regulowane przez FADP.

(1.2) W przypadku Powierników danych w Wielkiej Brytanii („UK”) oprócz standardowych klauzul umownych UE, moduł 2: przekazywanie przez administratora podmiotowi przetwarzającemu („SKU UE, moduł 2”), obowiązują następujące zasady:

Aneks do standardowych klauzul umownych Komisji Europejskiej dotyczący międzynarodowego przekazywania danych

(„UK IDTA”)

Aneks do standardowych klauzul umownych Komisji Europejskiej dotyczący międzynarodowego przekazywania danych (znajdujący się tutaj) zostaje niniejszym włączony przez odniesienie i zastosowanie mają następujące postanowienia:

Część 1: Tabele

Tabela 1 jest wypełniona dokładnie tak, jak w SKU UE, moduł 2, załącznik I.

Tabela 2 – poniższe postanowienia mają zastosowanie do modułu 2 SKU UE, zgodnie z ustaleniami stron, o których mowa powyżej:

  • Klauzula 7 (klauzula przystąpienia) została usunięta.
  • Klauzula 9 (Korzystanie z podwykonawców przetwarzania) obejmuje OPCJĘ 2: OGÓLNE PISEMNE UPOWAŻNIENIE).
  • Klauzula 11 (Dochodzenie roszczeń) nie obejmuje OPCJI w podpunkcie (a).
  • Klauzula 13 (Nadzór) zawiera sformułowania mające zastosowanie do podmiotów przekazujących dane mających siedzibę w państwie członkowskim UE.
  • Klauzula 17 (Prawo właściwe) obejmuje OPCJĘ 1 i obejmuje prawo kraju, w którym siedzibę ma podmiot przekazujący dane.
  • Klauzula 18 (Wybór forum i jurysdykcji) obejmuje sądy kraju, w którym ma siedzibę podmiot przekazujący dane.

Tabela 3 – zawiera SKU UE, moduł 2, załączniki I, II i III.

Tabela 4 – UK IDTA może zostać rozwiązana przez każdą ze Stron (Podmiot odbierający dane i Podmiot przekazujący dane).

Część 2 – Klauzule obowiązkowe

Zastosowanie mają wszystkie klauzule obowiązkowe, natomiast alternatywne klauzule obowiązkowe części 2 nie mają zastosowania.

(2) W przypadku Powierników danych w następujących miejscach zastosowanie mają standardowe klauzule umowne UE, moduł 2: Administrator do podmiotu przetwarzającego („SKU UE, moduł 2”) (znajdujące się tutaj):

Albania, Andora, Armenia, Azerbejdżan, Białoruś, Bośnia i Hercegowina, Czarnogóra, Gruzja, Guernsey, Jersey, Jemen, Kazachstan, Kenia, Kosowo, Macedonia Północna, Monako, San Marino, Serbia, Syria, Turcja, Ukraina, Wietnam, Wyspa Man.

(3) W przypadku Powierników danych w Angoli („Angola”) oprócz angolskich klauzul umownych w ustawie o ochronie danych (ustawa nr 22/11 z dnia 17 czerwca 2011 r.) („KK Angoli”) (znajdujących się tutaj), obowiązują następujące zasady:

Poniższe postanowienia mają zastosowanie do KK Angoli zgodnie z ustaleniami stron, o których mowa powyżej:

Miejsca przetwarzania, przekazywania i przechowywania danych osobowych obejmują Ghanę i Stany Zjednoczone.

Wszystkie inne informacje podane powyżej dla modułu 2 SKU UE mają zastosowanie do KK Angoli.

(4) W przypadku Powierników danych w Nigerii („Nigeria”) oprócz nigeryjskich klauzul umownych w ustawie o ochronie danych (NDPA) z 2023 r. („KK Nigerii”) (znajdujących się tutaj), obowiązują następujące zasady:

Poniższe postanowienia mają zastosowanie do KK Nigerii zgodnie z ustaleniami stron, o których mowa powyżej:

Miejsca przetwarzania, przekazywania i przechowywania danych osobowych obejmują Ghanę i Stany Zjednoczone.

Wszystkie inne informacje podane powyżej dla modułu 2 SKU UE mają zastosowanie do KK Nigerii.

(5) W przypadku Powierników danych w następujących lokalizacjach zastosowanie mają wzorcowe klauzule umowne ASEAN, moduł 1: Administrator do podmiotu przetwarzającego („WKU, moduł 1”) (znajdujące się tutaj):

Brunei Darussalam, Kambodża, Indonezja, Laos, Malezja, Mjanma, Filipiny, Singapur, Tajlandia, Wietnam

Poniższe postanowienia mają zastosowanie do modułu 1 WKU, zgodnie z ustaleniami stron, o których mowa powyżej:

  • Klauzula 2 (Obowiązki podmiotu przekazującego dane) została usunięta.
  • Klauzula 3 (Obowiązki podmiotu odbierającego dane) opcjonalne podpunkty 3.4, 3.6, 3.7 oraz opcjonalne sformułowania w punkcie 3.7 zostały usunięte. Podpunkt 3.10 brzmi: „…w rozsądnym terminie określonym przez Partnerów”.
  • Klauzula 4 (Wybór prawa właściwego dla sporów) obejmuje państwo członkowskie ASEAN podmiotu przekazującego dane w 4.1. Podpunkt operacyjny 4.3 został usunięty.
  • Klauzula 6 (Rozwiązanie umowy) obejmuje „30 dni” w podpunkcie 6.1.1.
  • Dodatkowe warunki dotyczące indywidualnych środków zaradczych (Indywidualne środki zaradcze) Wszystkie indywidualne środki zaradcze zostały usunięte.
  • ZAŁĄCZNIK A: patrz ZAŁĄCZNIK I z SKU UE, moduł 2.

(6) W przypadku powierników danych w następujących lokalizacjach zastosowanie ma wzorcowa umowa o przekazanie danych Iberoamerykańskiej Sieci Ochrony Danych („WKU IADPN, Administrator do podmiotu przetwarzającego”) (znajdująca się tutaj):

Peru, Urugwaj, Argentyna, Andora

Poniższe postanowienia mają zastosowanie do WKU IADPN (Administrator do Podmiotów przetwarzających) zgodnie z ustaleniami stron, o których mowa powyżej:

  • ZAŁĄCZNIK I z SKU UE, moduł 2 jest włączony przez odniesienie i zawiera wszystkie wymagane informacje w WKU IADPN , Administrator do podmiotów przetwarzających.
  • Klauzula 9 (Zadośćuczynienie) w podpunkcie 9(a) opcjonalne sformułowanie zostało usunięte.
  • ZAŁĄCZNIK A zawiera odpowiednie informacje z ZAŁĄCZNIKA I z SKU UE, moduł 2.
  • ZAŁĄCZNIK B zawiera odpowiednie informacje z ZAŁĄCZNIKA I z SKU UE, moduł 2.
  • ZAŁĄCZNIK C zawiera odpowiednie informacje z ZAŁĄCZNIKA II z SKU UE, moduł 2.
  • ZAŁĄCZNIK D zawiera odpowiednie informacje z ZAŁĄCZNIKA III z SKU UE, moduł 2.
  • ZAŁĄCZNIK E zawiera informację o ochronie prywatności znajdującą się tutaj: https://www.familysearch.org/legal/privacy.

(7) W przypadku Powierników danych w Chinach zastosowanie mają następujące zasady (znajdujące się tutaj):
a. W przypadku osób mieszkających w Hongkongu zastosowanie mają następujące zasady (znajdujące się tutaj):

(8) W przypadku powierników danych w Brazylii zastosowanie mają następujące zasady: (znajdujące się tutaj): (również plik PDF znajdujący się tutaj)

(9) W przypadku Powierników danych w Nowej Zelandii zastosowanie mają następujące zasady (znajdujące się tutaj):

(10) W przypadku Powierników danych w Rwandzie zastosowanie mają następujące zasady (znajdujące się tutaj):

(11) W przypadku Powierników danych w Katarze zastosowanie mają następujące zasady (znajdujące się tutaj):

(12) W przypadku Powierników danych w Arabii Saudyjskiej zastosowanie mają następujące zasady (znajdujące się tutaj):