CONDIÇÕES DE TRATAMENTO E TRANSFERÊNCIA DE DADOS

As Partes reconhecem e concordam que os Dados Pessoais transferidos entre a FamilySearch International (ou sua afiliada) e um Depositário ou Depositários de Registo estão sujeitos (i) às condições assinadas por ambas as partes nas quais estas Condições de Tratamento e Transferência de Dados são incorporados por referência ("Contrato") e (ii) todas as leis de privacidade e proteção de dados aplicáveis.

As Partes entendem e concordam que, (i) o Depositário de Registos é o Responsável pelo Tratamento dos Dados e Exportador dos Dados Pessoais transferidos, e (ii) a FamilySearch International (ou uma sua afiliada) é a Subcontratante e Importadora.

As Partes entendem e concordam que a Adenda de Tratamento e Transferência de Dados aplicável abaixo é determinada pela localização física do Depositário de Registos, a menos que seja designada outra localização pelo Depositário de Registos por escrito no momento da celebração do Contrato.

(1) Para os Depositários de Registos nos seguintes locais, aplicam-se as Cláusulas Contratuais-tipo da UE, Módulo 2: Transferência de responsável pelo tratamento para subcontratante ("CCT UE, Módulo 2") (localizadas aqui):

Afeganistão, Argélia, Áustria, Austrália, Barém, Barbados, Bélgica, Belize, Botsuana, Ilhas Virgens Britânicas, Bulgária, Burkina Faso, Ilhas Caimão, Congo, REP, Ilhas Cook, Croácia, Cuba, Chipre, República Checa, Dinamarca, Equador, Egito, Estónia, Essuatíni, Etiópia, Fiji, Finlândia, França, Guiana Francesa, Polinésia Francesa, Territórios Franceses do Sul, Gabão, Alemanha, Ilhas Glorioso, Grécia, Granada, Guam, Guiana, Haiti, Hungria, Índia, Indonésia, Irão, Iraque, Irlanda, Itália, Israel, Jamaica, Japão, Jordânia, Ilha Juan de Nova, Quiribati, Kuwait, Letónia, Líbano, Líbia, Liechtenstein, Lituânia, Luxemburgo, Malta, Ilhas Marshall, Melanésia, México, Micronésia, Mongólia, Marrocos, Nauru, Nepal, Países Baixos, Nova Caledónia, Níger, Niue, Noruega, Omã, Palau, Panamá, Papua Nova Guiné, Paquistão, Palestina, Ilhas Pitcairn, Polónia, Portugal, República da Moldávia, Roménia, São Cristóvão e Nevis, Samoa, Seicheles, Eslováquia, Eslovénia, Ilhas Salomão, Somália, África do Sul, Coreia do Sul, Espanha, Sri Lanca, Sudão, Suécia, Suíça*, Tanzânia, Tailândia, Togo, Toquelau, Tonga, Tunísia, Turquia, Tuvalu, Uganda, Emirados Árabes Unidos, Reino Unido**, Vanuatu, Wallis e Futuna, Zâmbia, Zimbabué

* Embora a Adenda de Tratamento e Transferência de Dados do EEE se aplique à Suíça, a Suíça também exige um idioma adicional, que é incorporado na Adenda e é fornecido abaixo.

** Embora a Adenda de Tratamento e Transferência de Dados do EEE se aplique ao Reino Unido, o Reino Unido também exige um idioma adicional, que é incorporado na Adenda e é fornecido abaixo.

O seguinte aplica-se ao Módulo 2 das CCT UE, conforme acordado pelas partes supramencionadas:

  • A cláusula 7 (Cláusula de adição ao contrato) é eliminada.
  • A cláusula 9 (Uso de subcontratantes) incorpora a OPÇÃO 2: AUTORIZAÇÃO GERAL POR ESCRITO).
  • A cláusula 11 (Reparação) não incorpora a OPÇÃO em (a).
  • A cláusula 13 (Supervisão) incorpora a linguagem aplicável aos exportadores sediados num Estado-Membro da UE.
  • A cláusula 17 (Legislação aplicável) incorpora a OPÇÃO 1 e incorpora a lei do país do exportador de dados.
  • A cláusula 18 (Aforamento e jurisdição) incorpora os tribunais do país do exportador de dados.
  • ANEXO I: Ver abaixo.
  • ANEXO II: Ver abaixo.
  • ANEXO III: Ver abaixo.

ANNEXO I:

A. Lista de Partes

Exportador de Dados

  1. Nome: Depositário de Registos identificado no Contrato
  2. Morada: morada do Depositário de Registos identificado no Contrato
  3. Contacto: consulte as "Informações de contacto para notificações" indicadas para o Depositário de Registos no Contrato
  4. Atividades relevantes para os dados transferidos ao abrigo das Cláusulas: as atividades relevantes são descritas na Secção B ("Descrição da Transferência") abaixo
  5. Função: Responsável pelo tratamento de dados

Importador de Dados

  1. Nome: FamilySearch International
  2. Morada: 36 S State St., Ste 1900, Salt Lake City, UT 84111
  3. Contacto: Manger, Data Privacy Office - 50 East North Temple Street, Salt Lake City, Utah 84150
    1. Telefone: (801) 240-1187
    2. E-mail: privacy@familysearch.org
  4. Atividades relevantes para os dados transferidos ao abrigo das Cláusulas: as atividades relevantes são descritas na Secção B ("Descrição da Transferência") abaixo
  5. Função: Subcontratante

B. Descrição da Transferência

  • Categorias de titulares de dados cujos dados pessoais são transferidos
    • Titulares de dados encontrados em registos históricos e genealógicos cujos dados pessoais são conservados para fins de pesquisa, históricos e estatísticas.
  • Categorias de dados pessoais transferidos
    • Dados genealógicos - Informações recolhidas para preservar a história pessoal e familiar das pessoas:
      • Nomes (nome do titular dos dados, nomes do pai e da mãe, nomes dos filhos, nomes dos irmãos, nomes do cônjuge, etc.)
      • Relações familiares (nomes de pessoas, irmãos, pais, filhos, avós, tias, tios).
      • Informações biográficas (nome, data de nascimento, data de óbito, histórias e detalhes sobre a vida do indivíduo, ocupação, educação, localização de eventos da vida, eventos religiosos pessoais – batismo, confirmações, etc.)
      • Data de nascimento, local de nascimento e dados relacionados (sexo da criança, nomes dos pais, morada dos pais no momento do nascimento ou pais adotivos, dependendo do tipo de registo de nascimento em questão, data de nascimento e local de nascimento).
      • Idade
      • Género
      • Data de casamento, local e dados relacionados (nome da pessoa, pais, etc.)
      • Data de morte, local de morte e dados relacionados (nome da pessoa, forma de morte)
      • Nacionalidade
      • Características pessoais, incluindo imagem fotográfica
      • Outras informações contidas em registos genealógicos e históricos adquiridos, incluindo de censos (nomes de pessoas, filhos, ocupação, residência), históricos familiares (dados biográficos, nomes, relações familiares), registos paroquiais (nomes de membros da congregação, residência, datas de nascimento, relações familiares), registos da igreja (registos de nascimento, casamento e óbitos batismos, confirmações), registos civis (registos de nascimento, casamento e morte), obituários de jornais (nascimento, registos de terrenos, coleções de arquivos estaduais) e registos de naturalização (registos de cidadania, registos de imigração, registos de naturalização, incluindo nomes, datas de nascimento, país de origem, país de residência e morada, nomes de familiares, ocupação, alguns elementos específicos de países, dependendo do país e da data de recolha).
    • Dados sensíveis – Informações que são incidentalmente incluídas em registos históricos e genealógicos que podem ser definidas como sensíveis de acordo com as Leis de Privacidade:
      • Identidade e dados demográficos (origem racial ou étnica, origem nacional, origem tribal, estatuto social, identidade específica (identificadores únicos, por exemplo, passaportes, NSS, carta de condução, identificação estadual), estado civil, idade, cor, cidadania ou estatuto de imigração, estatuto de vítima de crime ou ser lesado(a) por um crime)
      • Crenças e associações (crenças ou afiliações religiosas, crenças filosóficas, crenças morais, convicções ideológicas, opiniões políticas, persuasão política, ideologias políticas ou afiliação política, filiação sindical, filiação a associações profissionais ou sociais ou organizações de direitos humanos)
      • Dados de saúde e genéticos/biométricos (doença, estado ou diagnóstico de saúde física ou mental atual ou futuro, historial médico, registos médicos, tratamento médico, prestação de cuidados de saúde, estado psicológico ou fisiológico, dados genéticos (características herdadas ou adquiridas, perfil biológico humano), dados biométricos (usados para identificação única, verificação automatizada ou revelação de características sensíveis adicionais), dados neurais (dados relacionados com o cérebro/neurológicos, dados cognitivos/emocionais).
      • Dados criminais e legais (registo ou histórico criminal, comportamento ou atos criminosos, prática ou alegada prática de um delito, processos, resultados, sentenças ou penalidades relacionadas com questões criminais)
      • Dados de localização e comunicação (dados de geolocalização (localização exata ou específica, incluindo coordenadas GPS), dados de comunicação, incluindo conteúdo e metadados de chamadas, textos, e-mails ou correio, conteúdo de correio, e-mail ou mensagens de texto (a menos que endereçados ao destinatário))
      • Dados de pessoas menores (quaisquer dados pessoais associados a um menor)
      • Outras categorias especiais
        • Hábitos pessoais, estilo de vida e circunstâncias da vida íntima/privada
        • Características morais ou éticas
        • Assuntos familiares ou dados de vida emocional/familiar
        • Registos escolares
        • Dados relacionados com o emprego associados a características protegidas
        • Dados de saúde do consumidor (mais amplos do que os registos médicos, incluindo bem-estar/forma física, gravidez, etc.)
        • Dados relacionados com ideologia ou crenças não incluídos
        • Quaisquer dados que possam ameaçar significativamente a privacidade, dignidade, segurança ou propriedade se forem mal utilizados
        • Dados com risco elevado de discriminação ou lesão, dependendo do contexto (por exemplo, dados de visualização de TV classificados como sensíveis pela FTC)
        • Estado civil (nomes, datas, etc.)
        • Número de identificação do estado ou dados semelhantes (NSS, etc.)
        • Número do passaporte
        • Afiliação religiosa (informações em registos da igreja, incluindo números de membros, nomes, datas de nascimento, datas de batismo, datas de casamento, datas de óbito e dados relacionados com uma religião específica).
        • Dados relativos a menores (nomes, datas de nascimento, pais, irmãos, registos de tutela, informações de adoção, registos judiciais, registos escolares)
        • Dados relacionados com a saúde (doenças, internamentos hospitalares, formas de óbito)
        • Histórico criminal (nomes, datas de prisão, decisões judiciais relativas à pessoa)
        • Filiação sindical (nomes dos membros, data de filiação, informações sobre taxas de filiação, etc.)
        • Origem racial ou étnica (região ou país de origem)
        • Religião (nome e afiliação religiosa)
        • Afiliação política (nome e partido político, informações sobre doações)

A frequência da transferência (por exemplo, se é única ou recorrente).

  • Ad Hoc

Natureza do tratamento

  • Os dados pessoais transferidos podem estar sujeitos a diversas atividades de tratamento, quando legalmente permitido, incluindo digitalização, indexação, alojamento, armazenamento, transmissão, redação e exibição. Estas atividades são suportadas por centros de dados na cloud, incluindo os dos Estados Unidos, na medida permitida pela Legislação de Privacidade. Por exemplo, os dados podem ser tratados para apoiar as seguintes atividades:
    • Preservação de registos históricos: digitalização, preservação, indexação, armazenamento e/ou arquivamento de documentos históricos, fotografias e artefactos para gerações futuras, conforme instruído pelo exportador de dados.
    • Genealogia: uma vez permitido pela Legislação de Privacidade e pelo exportador de dados (por exemplo, quando os dados deixam de ser restritos), os dados podem ser incluídos em aplicações usadas por investigadores e utilizadores do site para apoiar o rastreio de registos de linhagem ou história familiar ou outras pesquisas, programas e atividades de genealogia.
      • Pesquisa de historial familiar: recolha e preservação de informações sobre os antepassados e a árvore genealógica.
      • Instrução de genealogia: fornecer formação e recursos para ajudar milhões de pessoas em todo o mundo a descobrir a sua genealogia e a estabelecer ligações com membros da família.

Finalidade(s) da transferência de dados e tratamento posterior

  • A transferência de dados para o importador de dados (na sede global do importador de dados) e o tratamento posterior pelo importador de dados apoiam a preservação e a conservação de registos familiares históricos em benefício de arquivos públicos, organismos governamentais, povos indígenas, arquivos privados, outros organismos privados e pessoas. Se tal for permitido pela Legislação de Privacidade e pelo exportador de dados (por exemplo, quando os dados deixam de estar restritos), estes registos também podem ser disponibilizados publicamente no site do importador de dados gratuitamente para fins de investigação

O período durante o qual os dados pessoais serão conservados ou, se tal não for possível, os critérios utilizados para determinar esse período.

  • Os dados pessoais recolhidos para fins de preservação histórica serão retidos de acordo com as instruções do exportador de dados pelo tempo que for solicitado. Em muitos casos, desde que os registos mantenham o valor histórico, podem ser retidos indefinidamente para fins de arquivo e para documentar a genealogia, a menos que um titular dos dados solicite a eliminação.

Para transferências para (sub)subcontratantes, indicar também o assunto, a natureza e a duração do tratamento

  • O importador de dados trata dados pessoais para preservar registos históricos e para fins de investigação genealógica, conforme instrução do exportador de dados. O importador de dados pode contratar um contratante externo ou subcontratante nos termos de um contrato de tratamento ou subtratamento para auxiliar no tratamento de dados para esses mesmos fins e para desempenhar funções em nome do exportador de dados e/ou do importador de dados (por exemplo, digitalização e indexação de registos históricos). O contrato de tratamento ou subtratamento fornecerá informações adicionais sobre o assunto, a natureza e a duração do tratamento.

C. Autoridade Competente

Identificar a(s) autoridade(s) competente(s) de acordo com a Cláusula 13

A autoridade de supervisão do país do exportador de dados identificado no Anexo I.A.

ANEXO II:

MEDIDAS TÉCNICAS E ORGANIZACIONAIS PARA A FAMILY SEARCH INTERNATIONAL (IMPORTADOR)

Este documento descreve as medidas técnicas e organizacionais de segurança da informação empregadas pela Family Search International (Importador) ("FSI").

Medidas de Segurança Técnicas e Organizacionais. A FSI mantém um Programa de Segurança da Informação abrangente e implementa medidas de segurança técnicas e organizacionais razoáveis, com base nos padrões da indústria, necessidades organizacionais e risco, de forma a minimizar e proteger contra o tratamento não autorizado ou ilegal, perda acidental ou intencional, acesso não autorizado, destruição ou danos. Estas medidas ajudam a garantir a confidencialidade, integridade, disponibilidade e resiliência dos sistemas e dados da FSI. Em sistemas não controlados diretamente pela FSI, a FSI estabelece parcerias com a FSI para implementar controlos de segurança proporcionais. O Programa de Segurança da FSI inclui os seguintes elementos:

1. Políticas e processos. A FSI mantém políticas e processos formais escritos para garantir a confidencialidade, integridade e disponibilidade dos dados e para os proteger contra divulgação, uso, alteração ou destruição acidental, não autorizada ou imprópria. Essas políticas são revistas e atualizadas anualmente ou com maior frequência, sempre que tal for pertinente. As políticas e os procedimentos destinam-se a garantir que as salvaguardas físicas, técnicas e administrativas estão em vigor e funcionam de forma eficaz.

2. Controlos de Acesso.

  • Acesso Físico – A FSI implementa medidas razoáveis para impedir que pessoas não autorizadas tenham acesso a equipamentos de tratamento de dados (servidores de bases de dados, servidores de aplicações, switches de rede, firewalls, controladores e hardware relacionado) onde os dados pessoais são tratados ou usados.
  • Acesso lógico – A FSI implementa medidas de segurança razoáveis para impedir o acesso não autorizado aos seus sistemas de tratamento de dados. A FSI mantém e analisa os utilizadores da FSI com acesso a sistemas de tratamento de dados. A FSI concede acesso a um número limitado de pessoas com base na necessidade aprovada pela empresa.

3. Formação e Sensibilização em Segurança. A FSI mantém um programa formal de sensibilização e formação em segurança para os membros da força de trabalho da FSI e para os utilizadores da força de trabalho da FSI. O programa inclui módulos de aprendizagem necessários que garantem o conhecimento dos utilizadores dos principais conceitos e políticas de segurança da informação, anualmente ou com a frequência que for prática. Os temas de formação anual incluem a classificação e o tratamento adequados de informações sensíveis. Além da formação formal, os exercícios recorrentes de simulação de phishing sem aviso prévio reforçam a formação sobre como identificar, denunciar e evitar mensagens de e-mail maliciosas.

4. Proteção de Dados. A FSI implementa medidas razoáveis para impedir que os dados pessoais sejam usados, lidos, copiados, alterados ou eliminados de forma inadequada por partes não autorizadas, tanto em trânsito como em repouso. Os controlos de proteção de dados são implementados com uma abordagem de defesa em profundidade.

5. Monitorização. A FSI implementa medidas razoáveis para monitorizar o acesso a sistemas sensíveis e recursos de rede e para garantir que os utilizadores atuam de acordo com a política. Os registos são conservados com base nas necessidades comerciais e requisitos regulamentares e são armazenados num repositório central ou num repositório nativo da plataforma com a capacidade de migrar para o repositório central, conforme necessário. Os registos são armazenados e protegidos de uma forma que ajuda a garantir precisão e imutabilidade. A FSI mantém um conjunto de alertas automatizados para identificar atividades potencialmente maliciosas. Os dados de registo da FSI e da FSI são analisados regularmente para identificar ataques potenciais e para apoiar os esforços de resposta a incidentes da FSI.

6. Deteção e Resposta de Pontos Finais. A FSI implementa controlos razoáveis nos pontos finais de utilizadores e dos servidores, incluindo pontos finais para a FSI, que fornecem proteção contra a propagação de malware, alertas centralizados, processo de alojamento e consulta de ficheiros e capacidades de isolamento do sistema.

7. Procedimentos de Resposta a Incidentes de Segurança (IR). A FSI mantém políticas e procedimentos de RI escritos para detetar, responder ou resolver incidentes de segurança de outras formas. A FSI opera um Centro de Operações de Segurança (SOC) 24 horas por dia e 7 dias por semana, para fazer a triagem de eventos de interesse, monitorizar sistemas para detetar ataques ou intrusões efetivas (ou tentativas), mitigar efeitos prejudiciais de incidentes de segurança e documentar incidentes de segurança e os seus resultados. São mantidos acordos com fornecedores externos de resposta a incidentes para facilitar o envolvimento rápido de terceiros no caso de um incidente grave ou quando um incidente exigir análise forense especializada. A FSI também mantém uma equipa de segurança focada na FSI a tempo inteiro para apoio especial e triagem. O SOC trabalha em estreita colaboração com o Gabinete de Privacidade de Dados (DPO) da FSI e o Gabinete de Assessoria Jurídica (OGC) e especialistas em segurança externos, para garantir que os incidentes são tratados de acordo com as leis e os regulamentos aplicáveis.

8. Avaliações de Segurança e Risco. A FSI mantém políticas e procedimentos razoáveis para ajudar a avaliar a eficácia dos controlos de segurança, identificar falhas de controlos de segurança e identificar, avaliar e ponderar lacunas de controlo de segurança usando uma abordagem baseada em risco.

9. Configuração e Manutenção do Sistema. A FSI mantém políticas e procedimentos razoáveis para ajudar a garantir que o equipamento de tratamento de dados (servidores, bases de dados, computadores portáteis, firewalls, comutadores, routers, controladores, etc.) está configurado adequadamente para ajudar a garantir que os dados pessoais são adequadamente protegidos. A FSI mantém um programa de gestão de vulnerabilidades para ajudar a identificar vulnerabilidades dentro do ambiente da FSI e comunicação com os recursos apropriados para facilitar a correção atempada.

10. Resiliência do Sistema e da Informação. A FSI implementa medidas razoáveis para garantir que os dados pessoais são adequadamente protegidos contra uso, alteração ou destruição acidental ou maliciosa e que os dados que foram usados, alterados ou destruídos acidentalmente ou maliciosamente são identificáveis e restauráveis. A FSI implementa procedimentos de cópia de segurança de dados e sistemas que incluem cópias online, nearline e offline com base na criticidade dos dados e nas necessidades comerciais. A FSI utiliza sistemas de informação altamente redundantes para garantir aplicações e sistemas de alta disponibilidade e desempenho.

11. Conformidade. A FSI tem um Gabinete de Privacidade de Dados para a FSI, que gere a conformidade com as leis e os regulamentos de proteção de dados. A FSI tem igualmente um programa interno de conformidade de TI para a FSI focado em testes e validação de controlos, processos e procedimentos de segurança por meio de avaliações internas.

12. Responsabilidade. A FSI tem um representante de segurança designado que trata do desenvolvimento, implementação e manutenção dos Programas de Segurança da Informação na FSI. Além disso, a Política do Programa de Segurança da Informação da FSI descreve as funções e responsabilidades de todas as partes interessadas no Programa de Segurança da Informação e é publicada num repositório acessível a todos os utilizadores da força de trabalho.

13. Uso Apropriado e Retenção de Registos. A FSI implementa políticas e processos que regem o uso e a retenção de dados confidenciais, incluindo dados pessoais. Existem processos para garantir que os dados cumprem os requisitos de partilha de dados dos proprietários de dados e incluem supervisão para o uso aceitável de tecnologias de inteligência artificial.

14. Atualizações. A FSI monitoriza, avalia e ajusta o Programa de Segurança da Informação anualmente ou conforme necessário, levando em conta mudanças relevantes na tecnologia, padrões de segurança do setor, a sensibilidade dos dados pessoais e potenciais ameaças internas ou externas aos dados pessoais.

ANEXO III:

LISTA DE SUBCONTRATANTES

O responsável pelo tratamento autorizou o uso dos seguintes subcontratantes:*

  • ANCESTRY
  • BART DEVELTER V.O.F.
  • BRIGHAM YOUNG UNIVERSITY
  • CENTURY VITAL RECORDS (CVR)
  • CONTENT ARCHAEOLOGY
  • DATADISC.IT S.R.L.
  • DIE MOBILE SEKRETÄRIN E.U.
  • DIGITAL 4 KIT
  • DOUBLE DIGITAL
  • EMPRESA DE ARQUIVO DE DOCUMENTAÇÃO S.A.
  • FORMAX
  • GENEALAB
  • GENESIS
  • GREYSCALE LTD.
  • INFOSCRIBE SAS
  • INTELLIGENT IMAGE MANAGEMENT (IIMI)
  • IRON MOUNTAIN AUSTRALIA
  • IRON MOUNTAIN CESKA REPUBLIKA S.R.O.
  • LIFEWOOD
  • MATERN
  • MYHERITAGE
  • NORMADAT S.A.
  • OSG RECORDS MANAGEMENT
  • PEDRO CRUZ MARTINEZ
  • RASTERGEN – GESTÃO DOCUMENTAL UNIPESSOAL (LDA)
  • SBL
  • STASIS S.A.S.
  • SVI
  • TRACEABLE SOLUTIONS
  • TRUEBPO INC (ANTERIORMENTE EQOD INC)

(1.1) Para os Depositários de Registos na Suíça, aplica-se o seguinte, além das Cláusulas Contratuais-tipo da UE, Módulo 2: Transferência de responsável pelo tratamento para subcontratante ("CCT UE, Módulo 2"):

Adenda Suíça às Cláusulas Contratuais-tipo da UE

Quando uma transferência de dados pessoais de um Exportador de Dados para um Importador de Dados estiver sujeita ao RGPD da UE e ao FADP (conforme definido abaixo), as seguintes disposições adicionais também serão aplicadas para que as Cláusulas Contratuais-tipo sejam adequadas, de forma garantir um nível adequado de proteção para essa transferência, de acordo com o Artigo 6.º, parágrafo 2, alínea da FADP:

(a) "FADP" significa a Lei Federal de Proteção de Dados de 19 de junho de 1992 (SR 235.1).

(b) "FDPIC" significa o Comissário Federal Suíço de Proteção de Dados e Informação.

(c) "FADP revista" significa a versão revista da FADP de 25 de setembro de 2020, que entrou em vigor em 1 de janeiro de 2023.

(d) O termo "Estado-Membro da UE" não deve ser interpretado de forma a excluir os Titulares dos Dados na Suíça da possibilidade de processar os seus direitos no seu local de residência habitual (Suíça), de acordo com a Cláusula 18(c) das Cláusulas Contratuais-tipo.

(e) As Cláusulas Contratuais-tipo também protegem os dados de pessoas coletivas até à entrada em vigor da FADP revista.

(f) O FDPIC atuará como a "autoridade de supervisão competente" na medida em que a transferência de dados relevante seja regida pela FADP.

(1.2) Para os Depositários de Registos no Reino Unido ("Reino Unido"), aplica-se o seguinte, além das Cláusulas Contratuais-tipo da UE, Módulo 2: Transferência de responsável pelo tratamento para subcontratante ("CCT UE, Módulo 2"):

Adenda de Transferência Internacional de Dados às Cláusulas Contratuais-tipo da Comissão da UE

("IDTA do Reino Unido")

A Adenda de Transferência Internacional de Dados às Cláusulas Contratuais-tipo da Comissão da UE (localizada aqui) é incorporada por referência e aplica-se o seguinte:

Parte 1: Tabelas

A Tabela 1 é preenchida exatamente como no Módulo 2, Anexo I das CCT UE.

Tabela 2 - O seguinte aplica-se ao Módulo 2 das CCT UE, conforme acordado pelas partes supramencionadas:

  • A cláusula 7 (Cláusula de adição ao contrato) é eliminada.
  • A cláusula 9 (Uso de subcontratantes) incorpora a OPÇÃO 2: AUTORIZAÇÃO GERAL POR ESCRITO).
  • A cláusula 11 (Reparação) não incorpora a OPÇÃO em (a).
  • A cláusula 13 (Supervisão) incorpora a linguagem aplicável aos exportadores sediados num Estado-Membro da UE.
  • A cláusula 17 (Legislação aplicável) incorpora a OPÇÃO 1 e incorpora a lei do país do exportador de dados.
  • A cláusula 18 (Aforamento e jurisdição) incorpora os tribunais do país do exportador de dados.

Tabela 3 – é preenchida com o Módulo 2, Anexo I, II e III das CCT UE.

Tabela 4 – O IDTA do Reino Unido pode ser rescindido por qualquer uma das Partes (Importador e Exportador).

Parte 2 – Cláusulas Obrigatórias

Aplicam-se todas as cláusulas obrigatórias; inversamente, as Cláusulas Obrigatórias da Parte 2 Alternativa não se aplicam.

(2) Para os Depositários de Registos nos seguintes locais, aplicam-se as Cláusulas Contratuais-tipo da UE, Módulo 2: Transferência de responsável pelo tratamento para subcontratante ("CCT UE, Módulo 2") (localizadas aqui):

Albânia, Andorra, Arménia, Azerbaijão, Bielorrússia, Bósnia e Herzegovina, Geórgia, Guernsey, Ilha de Man, Jersey, Quénia, Mónaco, Kosovo, Montenegro, Nigéria, Macedónia do Norte, São Marino, Rússia, Sérvia, Síria, Turquia, Ucrânia, Vietname, Iémen.

(3) Para os Depositários de Registos em Angola ("Angola"), aplica-se o seguinte, além das Cláusulas Contratuais de Angola na Lei de Proteção de Dados de Angola (Lei n.º 22/11, de 17 de junho de 2011) ("CC de Angola") (localizadas aqui):

O seguinte aplica-se às CC da Nigéria, conforme acordado pelas partes supramencionadas:

Os locais para tratamento, transferência e armazenamento de dados pessoais incluem o Gana e os Estados Unidos.

Todas as outras informações fornecidas acima para o Módulo 2 das CCT da UE aplicam-se às CC de Angola.

(4) Para os Depositários de Registos na Nigéria ("Nigéria"), aplica-se o seguinte, além das Cláusulas Contratuais da Nigéria na Lei de Proteção de Dados da Nigéria (NDPA) de 2023 ("CC da Nigéria") (localizadas aqui):

O seguinte aplica-se às CC da Nigéria, conforme acordado pelas partes supramencionadas:

Os locais para tratamento, transferência e armazenamento de dados pessoais incluem o Gana e os Estados Unidos.

O importador/exportador de dados] pode ser identificado pela Comissão de Proteção de Dados da Nigéria sob o seu número de registo: NDPC/DCP/02812.

Todas as outras informações fornecidas acima para o Módulo 2 das CCT da UE aplicam-se às CC da Nigéria.

(5) Para os Depositários de Registos nos seguintes locais, aplicam-se as Cláusulas Contratuais-tipo da ASEAN, Módulo 1: Transferência de responsável pelo tratamento para subcontratante ("MCC, Módulo 1") (localizadas aqui):

Brunei Darussalam, Camboja, Indonésia, Laos, Malásia, Mianmar, Filipinas, Singapura, Tailândia, Vietname

O seguinte aplica-se ao Módulo 1 das MCC, conforme acordado pelas partes supramencionadas:

  • A cláusula 2 (Obrigações do Exportador de Dados) é eliminada.
  • As subcláusulas opcionais 3.4, 3.6 e 3.7 da Cláusula 3 (Obrigações do Importador de Dados) e o idioma opcional em 3.7 são eliminados. A subcláusula 3.10 é, "...dentro de um período de tempo razoável especificado pelos Parceiros".
  • A cláusula 4 (Decisão de Litígios Legais) incorpora o Estado-Membro da ASEAN do exportador em 4.1. A subcláusula operacional 4.3 é eliminada.
  • A cláusula 6 (Rescisão do Contrato) incorpora "30 dias" na sub-subsecção 6.1.1.
  • Condições adicionais para Recursos Individuais (Recursos Individuais) Todos os recursos individuais são eliminados.
  • APÊNDICE A: Ver ANEXO I das CCT UE, Módulo 2.

(6) Para os Depositários de Registos nos seguintes locais, aplica-se o Contrato de Transferência Modelo da Rede Ibero-Americana de Proteção de Dados ("MCC da RIAPD, Transferência de responsáveis pelo tratamento para subcontratantes") (localizado aqui):

Peru, Uruguai, Argentina, Andorra

O seguinte aplica-se às MCC da RIAPD, Transferência de responsáveis pelo tratamento para subcontratantes, conforme acordado pelas partes supramencionadas:

  • O ANEXO I do Módulo 2 das CCT UE é incorporado por referência e preenche todas as informações necessárias nas MCC da IADPN, Transferência de responsável pelo tratamento para subcontratante.
  • Cláusula 9 (Reparação) na subcláusula 9(a): o idioma opcional é eliminado.
  • O ANEXO A é preenchido com informações relevantes do ANEXO I do Módulo 2 das CCT UE.
  • O ANEXO B é preenchido com informações relevantes do ANEXO I do Módulo 2 das CCT UE.
  • O ANEXO C é preenchido com informações relevantes do ANEXO II do Módulo 2 das CCT UE.
  • O ANEXO D é preenchido com informações relevantes do ANEXO III do Módulo 2 das CCT UE.
  • O ANEXO E é preenchido com o aviso de privacidade localizado aqui: https://www.familysearch.org/legal/privacy.

(7) Para os Depositários de Registos na China, aplica-se o seguinte (localizado aqui):
a. Para aqueles em Hong Kong, aplica-se o seguinte (localizado aqui):

(8) Para os Depositários de Registos no Brasil, aplica-se o seguinte: (localizado aqui): (Também PDF encontrado aqui)

(9) Para os Depositários de Registos na Nova Zelândia, aplica-se o seguinte (localizado aqui):

(10) Para os Depositários de Registos no Ruanda, aplica-se o seguinte (localizado aqui):

(11) Para os Depositários de Registos na China, aplica-se o seguinte (localizado aqui):

(12) Para os Depositários de Registos na Arábia Saudita, aplica-se o seguinte (localizado aqui):