TAAP Online-avtal – avtal mellan personuppgiftsansvarig (inklusive SCC:er)

Den engelska originalversionen av detta C2C-avtal kan ha översatts till andra språk. I händelse av en inkonsekvens eller avvikelse mellan den engelska versionen och andra språkversioner av detta Avtal ska den engelska versionen äga företräde.

OMFATTNING: : Når henholdsvis Expedia og du behandler personOMFATTNING: opplysninger som en del av en avtale (f.eks. i form av nettbaserte «klikk og godkjenn»-vilkår) som er inngått med den andre parten (en avtale som sier at du har blitt utnevnt til markedsføringspartner under TAAP, og der alle relevante aktiviteter knyttet til slik aktivitet heri omtales som «relevanteaktiviteter»), vil denne globale avtalen mellom to behandlingsansvarlige («C2C-avtalen») komme i tillegg til og gjelde for den avtalen som er inngått mellom partene i forbindelse med de relevante aktivitetene («avtalen») og angi ytterligere vilkår, krav og betingelser for Expedias og din behandling av personopplysninger i forbindelse med avtalen.I denne avtalen mellom behandlingsansvarlige viser «Expedia», «vi» og «oss» til Expedia, Inc. og/eller andre Expedia Group-selskaper som er part i avtalen. «Du» viser til den navngitte enheten som er angitt på søknaden som beskrevet i avtalen (og alle henvisninger til enten Expedia eller du vil tolkes som flertallsord i den grad avtalen krever det).OMFATTNING: När Expedia eller du behandlar personuppgifter som en del av ett avtal (vilket kan vara i form av clickwrap-villkor online) som ingåtts med den andra parten (i enlighet med vilket du har utsetts till marknadsföringspartner under TAAP, och alla relevanta aktiviteter som är kopplade till sådan aktivitet som häri hänvisas till som ” Relevanta aktiviteter ”), är detta globala avtal mellan personuppgiftsansvariga (controller to controller, C2C) ”(C2C-avtal)” ett komplement till och gäller för sådant avtal som ingåtts mellan parterna i samband med Relevanta aktiviteter (” Avtale”) och anger ytterligare villkor, krav och betingelser under vilka Expedia och du, var och en, kommer att behandla personuppgifter i samband med Avtalet.I detta C2C-avtal avser ” Expedia” ” vi och ”oss” Expedia, Inc. och/eller något annat Expedia Group-företag som är part i Avtalet. ” Du ” hänvisar till den namngivna enheten som anges i applikationen enligt beskrivningen i Avtalet (och alla hänvisningar till antingen Expedia eller du kommer att tolkas som pluraltermer i den utsträckning som Avtalet kräver).

1. DEFINISJONER OCH TOLKNING

1.1 Detta C2C-avtal är föremål för villkoren i Avtalet och är införlivat i Avtalet.Tolkningar och definierade termer som anges i Avtalet gäller för tolkningen av detta C2C-avtal om inte annat definieras i detta C2C-avtal

  1. a. varje lämplig teknisk och organisatorisk åtgärd, personuppgiftsansvarig, personuppgifter, personuppgiftsincident, behandling/behandla och tillsynsmyndighet (eller rimligen likvärdiga termer) ska ha den innebörd som de har i tillämplig dataskyddslagstiftning.
  2. b. Tillämplig(a) dataskyddslag(ar) avser alla tillämpliga lagar och förordningar i någon relevant jurisdiktion, relaterade till användning eller behandling av personuppgifter.
  3. c. Tillåtna ändamål avser ändamålen att (i) utföra bokningar (ii) tillhandahålla support för bokningar (iii) TAAP-registrering och kontoadministration (iv) betalning av provisioner och andra belopp i enlighet med detta Avtal (v) generera rapporter till dig och eventuell ytterligare behandling som krävs för avstämning, hantering av klagomål och liknande aktiviteter som har samband med att uppfylla Avtalet (vi) support för TAAP-konton (vii) kommunikation till TAAP-medlemmar och underanvändare (viii) förbättra våra tjänster, inklusive optimering av bokningsupplevelsen (ix) skapa rapporter för analys, affärsinformation och affärsrapportering (x) förebygga bedrägerier (xi) svara på förfrågningar från brottsbekämpande myndigheter och granskningsförfrågningar från skattemyndigheter (xii) underlätta transaktioner med företagstillgångar (vilket kan omfatta fusioner, förvärv eller försäljning av tillgångar) (xiii) på annat sätt uppfylla våra skyldigheter enligt detta Avtal, Expedias sekretesspolicy och tillämpliga lagar (xiv) för att fastställa, beräkna och rapportera reseskatter och för andra tillämpliga skatteändamål som kan krävas från tid till annan.
  4. d. DPF ((Data Privacy Framework, DPF) ramverk för datasekretess), avser en EU-US Data Privacy Framework-certifiering med US Department of Commerce (USA:s handelsdepartement) eller någon ersättnings- eller kompletterande certifieringsmekanism som godkänts av Europeiska kommissionen (eller annan relevant nationell myndighet) från tid till annan och inkluderar eventuella kompletterande beslut om adekvat skyddsnivå utfärdade av något annat land som tillåter utvidgning av DPF mellan USA och det tredje landet (till exempel, utan begränsning, Storbritannien och Schweiz).
  5. e. Land med begränsad överföring avser vilket land som helst inom det Europeiska ekonomiska samarbetsområdet, Schweiz, Storbritannien och Brasilien
  6. f. Begränsade överföringsuppgifter avser kunduppgifter som hänför sig till en bokning som gjorts via en försäljningskanal som vi avsett att kunder ska få åtkomst till i ett Begränsat överföringsland.
  7. g. Standardavtalsklausuler/(Standard Contractual Clauses, SCC:er) g. Standardavtalsklausuler/(Standard Contractual Clauses, SCC:er) avser de av den Europeiska kommissionens godkända standardavtalsklausulerna för överföring av personuppgifter från Europeiska unionen till tredje länder, utfärdade den 4 juni 2021, i dess ändrade, ersatta, kompletterande lydelse eller som från tid till annan ersatts. Den fullständiga aktuella versionen kan hittas på denna länk: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en och
  8. h. Personuppgifter för TAAP avser personuppgifter som du lämnar till oss via TAAP:s webbplats eller som på annat sätt behandlas i samband med TAAP i sig eller för att underlätta bokningar som görs på TAAP:s webbplats.
Parternas förhållande till varandra
  1. 1.2 Du och vi ska var och en samla in och behandla personuppgifter för att uppfylla våra respektive rättigheter och skyldigheter enligt Avtalet samt ditt och vårt respektive ansvar enligt tillämpliga lagar.Var och en av parterna ska därför: (i) behandla personuppgifter som oberoende och självständiga personuppgiftsansvariga (ii) följa tillämplig dataskyddslagstiftning och (iii) ansvara för eventuella handlingar eller underlåtenheter som strider mot tillämplig dataskyddslag.
Dina skyldigheter

1.3 Du måste: 

  1. a. uppfylla en rättslig grund för att göra Personuppgifter för TAAP tillgängliga för oss så att vi kan behandla dem för de Tillåtna ändamålen
  2. b. se till att kunder via din sekretesspolicy och på annat lämpligt sätt är medvetna om att deras personuppgifter kommer att delas med oss för de Tillåtna ändamålen
  3. c. hänvisa kunder till vår sekretesspolicy för mer information om vår hantering av deras personuppgifter
  4. d.samarbeta med oss och ge oss rimlig assistans så att vi kan följa tillämpliga dataskyddslagar i samband med vår behandling av Personuppgifter för TAAP i förbindelse med Avtalet.
Våra skyldigheter

1.4 Vi (och förekommande i fall, våra Gruppmedlemmar) ska: 

  1. a. endast behandla Personuppgifter för TAAP i förbindelse med ett Tillåtet ändamål
  2. b. inte sprida alla eller någon del av Personuppgifter för TAAP till någon annan person, utom i förbindelse med ett Tillåtet ändamål
  3. c. samarbeta med dig och ge dig rimlig assistans så att du kan följa tillämpliga dataskyddslagar i samband med din behandling av Personuppgifter för TAAP i förbindelse med Avtalet
  4. d. visa och följa vårt lagliga och uppdaterade meddelande om cookies (om så krävs) och vår sekretesspolicy på TAAP:s webbplats.
Kunder och tredje parter

1.5 Du bekräftar att vi:

  1. a. får skicka e-postmeddelanden till Kunder gällande Bokningar
  2. b. kan överföra Personuppgifter för TAAP (inklusive bankuppgifter) till våra tredjepartsleverantörer för ändamålet att:
    1. i. administrera, hantera och stödja ditt och dina Representanters och Underanvändares TAAP-konton
    2. ii. tillhandahålla stöd för bokningar
    3. iii. betala ut provisioner och andra belopp i enlighet med Avtalet.
Datasäkerhet

1.6 Båda parter, i egenskap av personuppgiftsansvariga, ska:

  1. a. upprätthålla lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som de behandlar mot en personuppgiftsincident
  2. b. i händelse av en bekräftad personuppgiftsincident i system som parten har i sin besittning eller kontroll, omedelbart underrätta den andra parten om personuppgiftsincidenten både (i) påverkar Personuppgifter för TAAP som också behandlas av den andra parten enligt Avtalet och (ii) måste rapporteras till en tillsynsmyndighet, med fullständig information om detta.I sådant fall ska båda parter samarbeta i rimlig utsträckning och i god tro för att avhjälpa eller mildra effekterna av personuppgiftsincidenten och de rimliga kostnaderna för sådant samarbete ska bäras av den part som råkade ut för personuppgiftsincidenten
Gränsöverskridande överföringar 

1.7 Data Privacy Framework (DPF), (Ramverk för datasekretess) :Du och vi är överens om att i fråga om överföringar av Begränsade överföringsuppgifter mellan dig och oss till USA eller till ett land som inte ansetts ha ”adekvat skyddsnivå” enligt Tillämpliga dataskyddslagar i det ursprungliga Begränsade överföringslandet (a) i den mån och så länge som en relevant myndighet godkänt DPF som en erkänd metod för överföring, ska DPF vara den överenskomna mekanismen för gränsöverskridande överföringar av uppgifter som härrör från ett Begränsat överföringsland till oss i USA (b) i den mån och så länge som DPF inte är en giltig metod för överföring (inklusive för överföringar av Begränsade överföringsuppgifter till ett land som inte ansetts ha ”adekvat skyddsnivå” enligt tillämpliga dataskyddslagar i det ursprungliga Begränsade överföringslandet) ska SCC:erna gälla för sådana överföringar och vi kommer att ingå dem på den grund som anges i Klausul 1.11 nedan.Där du också innehar en aktuell DPF-certifiering kan överföringar av Begränsade överföringsuppgifter till dig på liknande sätt göras under DPF med SCC:er som en reservmekanism enligt ovan.

1.8 Överförda skyldigheter för DPF : Du samtycker till att du kommer att tillhandahålla minst samma skyddsnivå för de Begränsade överföringsuppgifterna som krävs enligt DPF och du ska omedelbart meddela oss om du kommer fram till att du inte längre kan tillhandahålla denna skyddsnivå.Om så sker, eller om vi på annat sätt har rimliga skäl att anta att du inte skyddar de Begränsade överföringsuppgifterna upp till den nivå som krävs enligt DPF, kan vi antingen: (a) instruera dig att vidta rimliga och lämpliga åtgärder för att stoppa och åtgärda all obehörig behandling, i vilket fall du omedelbart, i god tro, kommer att samarbeta med oss för att identifiera, samtycka till och implementera sådana åtgärder (b) godkänna ett alternativt skydd som kan gälla för behandlingen enligt Tillämplig dataskyddslag (c) säga upp detta C2C-avtal och Avtalet (eller, enligt vår bedömning, alla berörda delar därav) utan påföljd genom att meddela dig.Om du även innehar en aktuell DPF-certifiering, ska ovanstående bestämmelser och de i Klausul 1.9 nedan anses gälla som om skyldigheterna är dubbelriktade.

1.9 DPF: s upplysningsskyldigheter : Du accepterar att vi kan lämna upplysningar om innehållet i detta C2C-avtal och alla relevanta sekretessbestämmelser i Avtalet till US Department of Commerce, Federal Trade Commission, en europeisk dataskyddsmyndighet eller till USA:s eller EU:s rättsliga eller reglerande organ på deras begäran och att sådana upplysningar inte ska anses vara ett brott mot konfidentialiteten.

1.10 Utvidgning av SCC: er till Icke begränsade överföringsländer: I samband med överföringar av Personuppgifter för TAAP mellan dig och oss som kommer från ett land som inte är ett Begränsat överföringsland men som i övrigt är föremål för skyddsåtgärder som, enligt Tillämplig dataskyddslag, måste tillämpas innan en överföring av dessa Personuppgifter för TAAP utanför ursprungslandet kan ske (vart och ett land är ett Icke begränsat överföringsland), så är du och vi överens om att (a) de SCC:er som anges i Klausul 1.11 nedan ska anses omfatta sådana ytterligare överföringar i den mån en sådan antagen omfattning skulle uppfylla det landets säkerhetskrav och/eller (b) om de åtgärder som anges i Klausul 1.11 är otillräckliga eller kräver kompletterande åtgärder, är parterna överens om att vidta sådana ytterligare åtgärder, inklusive till exempel upprättande av relevanta handlingar, insamling av samtycke, fylla i erforderliga ansökningar, som kan krävas från tid till annan för att uppfylla Tillämplig dataskyddslag.

1.11 I enlighet med Klausul 1.7 ovan, samtycker du och vi härmed till att ingå i SCC:erna på en oförändrad grund med undantag för följande val::

  1. a. om du befinner dig i ett Begränsat överföringsland eller i ett land som ansetts ha ”tillräcklig skyddsnivå” i enlighet med Artikel 45 i GDPR, gäller endast Modul ett (1) av SCC:erna enkelriktat för överföringar från dig till Expedia.I annat fall gäller Modul ett (1) av SCC:erna dubbelriktat för att täcka både överföringar från oss till dig och från dig till oss.
  2. b. Vid tillämpningen av klausul 11(a) i SCC:erna stryks den valfria texten.
  3. c. Vid tillämpningen av klausul 13 i SCC:erna är den relevanta paragrafen ”Tillsynsmyndigheten i den medlemsstat där företrädaren i den mening som avses i Artikel 27.1 i förordning (EU) 2016/679 är etablerad ska, enligt vad som anges i Annex I.C, fungera som behörig tillsynsmyndighet.”
  4. d. Irlands lag den tillämpliga styrande lagen vid tillämpningen av klausul 17 i SCC:erna.
  5. e. Irland är valet vid tillämpningen av klausul 18(b) i SCC:erna.
  6. f. En ny klausul 19 läggs till i SCC:erna för att täcka överföringar av personuppgifter från Storbritannien till utanför Storbritannien enligt följande:

”Klausul 19

Storbritanniens GDPR och DPA 2018

Parterna är överens om att dessa Klausuler kommer att utvidgas och tillämpas, i den utsträckning som är relevant för överföringen i fråga, för att täcka gränsöverskridande överföringar som faller under tillämpningsområdet för UK GDPR och Data Protection Act 2018 (en brittisk överföring).För sådana brittiska överföringar gäller bestämmelserna i tillägget Internationella dataöverföringar (International Data Transfer Addendum) till Standardavtalsklausulerna (Standard Contractual Clauses) Version B1.0 (i dess ändrade, ersatta, kompletterande lydelse eller som från tid till annan ersatts) enligt formuläret som bifogas som Tillägget.”

  1. h. En ny klausul 20 läggs till i SCC:erna för att täcka överföringar av personuppgifter från Schweiz till utanför Schweiz enligt följande:

"Klausul 20

Schweiziska – FADP

Parterna är överens om att dessa Klausuler kommer att utvidgas och tillämpas, i den utsträckning som är relevant för överföringen i fråga, för att täcka gränsöverskridande överföringar som faller under tillämpningsområdet för Federal Act of Data Protection (FADP) (benämns i denna Klausul som en Schweizisk överföring).För sådana Schweiziska överföringar ska den tillämpliga lagen anses vara den valda medlemsstatens, valet av forum ska vara den valda medlemsstaten och Federal Data Protection och Information Commissioner (FDPIC) ska vara den behöriga tillsynsmyndigheten.Parterna är vidare överens om att sådana ytterligare ändringar ska tolkas som att de görs i Klausulerna med avseende på en Schweizisk överföring som anses nödvändiga av FCPIC för att följa Storbritanniens GDPR och FADP, och Klausulerna ska tolkas i enlighet med kraven för Schweiziska överföringar som härrör från dessa lagar eller som på annat sätt anges i vägledning utfärdad av FDPIC, utan att parterna behöver upprätta separata standardavtalsklausuler som utarbetats specifikt för deras Schweiziska överföringar.Parterna ska vidare utföra alla sådana handlingar och saker som kan vara nödvändiga för att säkerställa efterlevnad av FADP när de deltar i Schweiziska överföringar.”

  1. i. En ny klausul 21 läggs till i SCC:erna för att täcka överföringar av personuppgifter från Brasilien till utanför Brasilien enligt följande:

”Klausul 21 

Brasilianska – LGPD 

Parterna är överens om att dessa Klausuler kommer att utvidgas och tillämpas, i den utsträckning som är relevant för överföringen i fråga, för att täcka gränsöverskridande överföringar som faller under tillämpningsområdet för den Brasilianska allmänna dataskyddslagen Lag nr. 13,709/18 (Lei Geral de Proteção de Dados) (LGPD) (benämns i denna Klausul för en Brasiliansköverföring). För sådana Brasilianska överföringar ska den tillämpliga lagen anses vara den valda medlemsstatens, valet av forum ska vara den valda medlemsstaten och Brasiliens National Data Protection Authority (ANPD) ska vara den behöriga tillsynsmyndigheten.Parterna är vidare överens om att sådana ytterligare ändringar ska tolkas som att de görs i Klausulerna med avseende på en Brasiliansk överföring som anses nödvändiga av ANPD för att följa LGPD, och Klausulerna ska tolkas i enlighet med kraven för Brasilianska överföringar som härrör från dessa lagar eller som på annat sätt anges i vägledning utfärdad av ANPD eller annan relevant Brasiliansk myndighet, utan att parterna behöver upprätta separata standardavtalsklausuler som utarbetats specifikt för deras Brasilianska överföringar.Parterna ska vidare utföra alla sådana handlingar och saker som kan vara nödvändiga för att säkerställa efterlevnad av LGPD när de deltar i Brasilianska överföringar.”

  1. j. En ny klausul 22 läggs till i SCC:erna för att täcka överföringar av personuppgifter från något annat land som hittills inte har specificerats där SCC:erna kan utvidgas för att säkerställa lämpliga skyddsåtgärder för överföringar av personuppgifter som härrör från det landet till en part utanför det landet enligt följande:

”Klausul 22

Andra överföringar från/till tredje land

Parterna är överens om att dessa Klausuler kommer att utvidgas och tillämpas, i den utsträckning som är relevant för överföringen i fråga, för att täcka gränsöverskridande överföringar som faller under omfattningen av andra tillämpliga lagar och förordningar i någon relevant jurisdiktion, relaterade till användning eller behandling av personuppgifter (Tillämpliga dataskyddslagar) som kräver villkor och skydd som i stort sett motsvarar dessa Klausuler för att överföra personuppgifter från det landet till ett annat (benämns i denna Klausul för en Överföring från/till tredje land)För sådana Överföringar från/till tredje land ska den tillämpliga lagen anses vara den valda medlemsstatens, valet av forum ska vara den valda medlemsstaten och dataskyddsmyndigheten eller tillsynsorganet i det landet ska vara den behöriga tillsynsmyndigheten.Parterna är vidare överens om att sådana ytterligare ändringar ska tolkas som att de görs i Klausulerna med avseende på en Överföring från/till tredje land som en sådan tillsynsmyndighet anser nödvändiga för att följa det landets Tillämpliga dataskyddslagar, och Klausulerna ska tolkas i enlighet med kraven för Överföringar från/till tredje land som härrör från dessa lagar eller som på annat sätt anges i vägledning utfärdad av relevant tillsynsmyndighet, utan att parterna behöver upprätta separata standardavtalsklausuler som utarbetats specifikt för deras Överföringar från/till tredje land.Parterna ska vidare utföra alla sådana handlingar och saker som kan vara nödvändiga för att säkerställa efterlevnad av Tillämpliga dataskyddslagar när de deltar i Överföringar från/till tredje land.”

1.12 Annex 1 (Behandlingsöversikt för SCC:er) till detta C2C-avtal utgör Annex 1 till SCC:erna.Annex 2 (Tekniska och organisatoriska åtgärder) till detta C2C-avtal utgör Annex 2 till SCC:erna och gäller endast för Expedia när du har lämnat upplysningar om, och vi har accepterat, adekvata tekniska och organisatoriska åtgärder för att uppfylla dina krav i Annex 2 till SCC:erna eller, när så är inte fallet, kommer Annex 2 att tolkas gälla för båda parter och alla hänvisningar till Expedia och Expedia Group kommer att tolkas som hänvisningar till endera parten i enlighet därmed.Tillägget till detta C2C-avtal utgör Storbritanniens Tillägg vid tillämpning av SCC:erna.

ANNEX I – BEHANDLINGSÖVERSIKT FÖR SCC:er 
MODUL ETT: Mellan personuppgiftsansvariga (från dig till oss)
A. LISTA ÖVER PARTER

Dataexportör(er):

Part

Den eller de parter som identifierats som ”du”, TAAP-medlem eller motsvarande term

Adress

Den som anges i Avtalet

Kontaktnamn, befattning och kontaktuppgifter för alla Expedia Group-parter

Account manager använder e-postadress som från tid till annan meddelas till Expedias kontakt

Aktiviteter som är relevanta för uppgifter som överförs enligt SCC:er

 

Bokningar gjorda via TAAP-webbplatsen som gjorts tillgängliga av oss för dig i enlighet med Avtalet

Roll

Personuppgiftsansvarig

Dataimportör(-er): 

Part

De icke-EU-parter som identifieras som ”oss” eller ”Expedia” i Avtalet

Adress

Den som anges i Avtalet

Kontaktpersons namn, befattning och kontaktuppgifter

Account manager använder e-postadress som från tid till annan meddelas till TAAP-medlemmens kontakt

Aktiviteter som är relevanta för uppgifterna som överförs enligt dessa Klausuler

Bokningar gjorda via TAAP-webbplatsen som gjorts tillgängliga av oss för dig i enlighet med Avtalet

Roll

Personuppgiftsansvarig

 

B. BESKRIVNING AV ÖVERFÖRING

 

Kategorier av registrerade

Kunder och TAAP-medlemmar och deras underanvändare

Kategorier av personopplysninger

Identifierande uppgifter:

  1. för- och efternamn (både resekonsult och resenär)
  2. födelsedatum
  3. kön
  4. inloggningsuppgifter (resekonsult)

Kontaktuppgifter:

  1. postadress
  2. e-postadress
  3. telefonnummer (fasta och mobila)
  4. faxnummer
  5. andra kontaktuppgifterr
  6. födelsedatum (för flyg)
  7. kön (för flyg)
  8. nationalitet (från pass)
  9. TSA-uppgifter

Ekonomiska uppgifter:

  1. bankkontonummer
  2. bankuppgifter
  3. betalkortsuppgifter

Reseinformation: bokningshistorik och resepreferenser

När det gäller skatteombud, endast:

  1. Skattenummer

Annan information som begärts av och överenskommits med TAAP-medlemmen, inklusive men inte begränsat till personuppgifter som krävs i samband med:

  1. Rapportering, övervakning och analys
  2. Single sign-on, lojalitetsprogram

Känsliga uppgifter

Inga, såvida de inte tillhandahålls frivilligt av en person för att tillgodose deras tillgänglighetsbehov för resor.

Överföringsfrekvens (t.ex. om uppgifterna överförs en gång eller kontinuerligt).

Kontinuerlig eller tillfällig i enlighet med behoven hos TAAP-medlemmarnas verksamhet

Behandlingens art

Alla behandlingssteg som krävs för att underlätta de ändamål som anges nedan

Ändamål för överföringen och ytterligare behandling av uppgifter

Tillåtna ändamål, enligt definitionen i Avtalet

Den period under vilken personuppgifterna kommer att lagras, eller om den inte kan anges, de kriterier som används för att fastställa den perioden

I enlighet med Expedia-gruppens lagringspolicy, förutsatt att i den mån TAAP-personuppgifter lagras av säkerhetsskäl eller juridiska skäl efter att Avtalet upphört, kommer Expedia att fortsätta att skydda sådana personuppgifter i enlighet med Avtalet

För överföringar till personuppgiftsbiträden/underbiträden, ange även ämnet, arten och behandlingens varaktighet

https://support.ean.com/hc/en-us/articles/360000986389-EAN-Data-Services-Vendor-List, som uppdateras då och då

 

C. BEHÖRIG TILLSYNSMYNDIGHET

Identifiera den eller de behöriga tillsynsmyndigheterna i enlighet med Klausul 13 i SCC:erna

Irländska dataskyddsmyndigheten

 

MODUL ETT: Mellan personuppgiftsansvariga (från oss till dig)

A. LISTA ÖVER PARTER

Dataexportör(er):

Den eller de parter som identifierats som dataimportörer i Modul ett (1) (från dig till oss) ovan.Se ovan för mer information.

 

Dataimportör(-er):

Den eller de parter som identifierats som dataexportörer i Modul ett (1) (från dig till oss) ovan.Se ovan för mer information.

B.BESKRIVNING AV ÖVERFÖRING
  • Kategorier av registrerade
  • Kategorier av personuppgifter
  • Känsliga uppgifter

Enligt Modul ett (1)

  • Överföringsfrekvens
  • Behandlingens art
  • Ändamål

Enligt Modul ett (1)

Den period under vilken personuppgifterna kommer att lagras, eller om den inte kan anges, de kriterier som används för att fastställa den perioden

I enlighet med TAAP-medlemmens lagringspolicy

För överföringar till personuppgiftsbiträden/underbiträden, ange även ämnet, arten och behandlingens varaktighet

Ej tillämpligt

 

C. BEHÖRIG TILLSYNSMYNDIGHET

Enligt Modul ett (1)

 

ANNEX II - TEKNISKA OCH ORGANISATORISKA ÅTGÄRDER 

De tekniske og organisatoriske tiltakene som gjelder for formålene i modul én (1), er angitt nedenfor.

SAKFRÅGA

ÅTGÄRDER

Åtgärder för pseudonymisering och kryptering av personuppgifter

  • Expedia Group stöder krypteringsprotokoll av branschstandard för dataöverföring baserat på Expedia Groups uppgiftsklassificering och hanteringsstandard.    
  • Kraven på datahantering baseras på en kategorigrund.Beroende på vilka uppgifter som hanteras finns olika säkerhetskrav på plats i hela Expedia Group.Till exempel anses kreditkortsuppgifter vara mycket känsliga och måste krypteras både under överföring och där uppgifterna lagras.
  • Kundens (och dess anställdas) personuppgifter pseudonymiseras (och anonymiseras) av Expedia Group när det är möjligt och efter vad som krävs enligt EG:s informations-, klassificerings- och hanteringsstandarder
  • Kreditkortsnummer är tokeniserade/pseudonymiserade för att eliminera behandling av kreditkortsnummer i klartext.
  • Expedia Group använder krypterade anslutningar via VPN, SSL, osv. och använder multifaktorautentiseringsmekanismer. 

Åtgärder för att säkerställa kontinuerlig konfidentialitet, integritet, tillgänglighet och motståndskraft för behandlingssystem och tjänster

  • Expedia Group upprätthåller ansvar och procedurer för hantering och drift av alla uppgiftsbehandlingsanläggningar för att säkerställa
  • Övervakningen av viktiga behandlingsanläggningar finns på plats, med ett robust SOX-program där kontroller av uppgiftsbehandling och integritet testas och attesteras löpande.
  • Branschstandardloggning och övervakning finns på EG:s system för att säkerställa och skydda mot obehörig åtkomst, modifiering och/eller radering.  
  • Expedia Group upprätthåller motståndskraftiga tjänster genom redundant arkitektur, datareplikering och integritetskontroll.

Åtgärder för att säkerställa möjligheten att återställa tillgängligheten och tillgången till personuppgifter utan dröjsmål vid en fysisk eller teknisk incident

  • Expedia Groups system är specifikt utformade för att försvåra eller förhindra vanliga attacker och säkerställa tillgänglighet för drift, övervakning och underhåll. För detta ändamål genomför Expedia Group regelbundet simulerade tester och revisioner för att bekräfta att dess system upprätthåller tillgänglighet
  • Servrar är patchade enligt Expedia Groups robusta patchpolicy och skyddas av AV/AM-program av branschstandard. Dessutom genomförs sårbarhetsbedömningar, noggranna tester och nätverksgranskningar för att säkerställa att EG:s system underhålls..
  • Tillgänglighet och tillförlitlighet övervakas för att säkerställa att Expedias webbplatser förblir online med minimala avbrott i tjänsten.  
  • Expedia Group upprätthåller en katastrofåterställningsplan som beskriver nödsituationer och beredskapsplaner för att säkerställa kontinuerlig kundtjänst i enlighet med allvarlighetsgraden och den testas regelbundet för att säkerställa att den är genomförbar.

Processer för att regelbundet testa, bedöma och utvärdera hur effektiva tekniska och organisatoriska åtgärder är för att säkerställa säkerheten för behandlingen

  • Expedia Groups tekniska och organisatoriska åtgärder granskas årligen av externa bedömare samt genom robusta interna tester.
  • EG genomför årliga PCI-utvärderingar med hjälp av en tredje parts bedömare och säkerställer kontinuerlig efterlevnad av PCI.  
  • EG:s omfattande interna testfunktion består av kvartalsvis sårbarhetstestning, intern och extern penetrationstestning, nätverks-, system- och brandväggsskanning och granskningar.Dessutom genomför en internrevisionsavdelning årliga riskbedömningar som prioriterar granskning av driften.  

Åtgärder för användaridentifiering och auktorisation, åtgärder för skydd av uppgifter under överföring, åtgärder för skydd av lagrade uppgifter

  • Expedia Groups system är anpassade efter branschens bästa praxis och använder kommunikationspraxis som timeout-sessioner, lockout-protokoll och robusta lösenords- och autentiseringskontroller.  
  • Expedia Group upprätthåller krav för tillhandahållande av konto och tillsyn för att förhindra obehörig åtkomst eller missbruk av Expedia Group-information och använder branschens bästa praxis allt efter behov, såsom principen om lägsta behörighet, unika ID:n och multifaktorautentisering för stark autentisering

Åtgärder för att säkerställa fysisk säkerhet på platser där personuppgifter behandlas

  • Ett Security Operations Center är tillgängligt dygnet runt. Det har en formell incidentresponsplan som granskas och testas minst årligen.
  • Alla system kontrolleras och testas regelbundet av externa tjänsteleverantörer.   
  • Varje Expedia Group-kund får sitt eget kund-ID.Alla datamängder för respektive kund lagras under detta ID och alla kunduppgifter är logiskt åtskilda.Genom att ställa in administratörsrättigheter och databasstrukturer kan kunden endast komma åt datamängder som tilldelats detta användar-ID och datacenter/AWS-kontroller.   
  • Endast personer som är uttryckligen auktoriserade av Expedia och har ett ”behov av att veta” har tillgång till personuppgifter.Kontroller och övervakning används för att säkerställa lägsta behörighet för åtkomst och upptäcka obehöriga åtkomstförsök till systemet.

Åtgärder för att säkerställa händelseloggning

Expedia Group upprätthåller robusta loggnings- och övervakningskrav för att kunna visa vem, vad, var, när, mål, källa för den loggade händelsen och om den lyckades/misslyckades.

Åtgärder för att säkerställa systemkonfiguration, inklusive standardkonfiguration, åtgärder för intern IT och IT-säkerhetsstyrning och hantering, åtgärder för certifiering/säkring av processer och produkter

  • Expedia Groups (EG) informationssäkerhetsprogram är anpassat till branschens ramverk och standarder och arbetar genom sitt riskhanteringsprogram för att säkerställa en robust och heltäckande hantering av säkerhet.Expedia Group upprätthåller säkra processer för att stödja säkerheten, tillgängligheten, integriteten och konfidentialiteten för driftsmiljön och kundernas uppgifter.  
  • Expedia Groups standarder för uppbyggnad av system tillåter endast systemkomponenter, tjänster och protokoll som uppfyller ett affärsbehov.Operativsystem, databaser och standardapplikationer måste kunna gå att upptäcka för att uppfylla juridiska och regulatoriska granskningskrav. De måste stödja konfigurationshanteringsverktyg eller distribuera konfigurationshantering som framgångsrikt upprätthåller säkerhetskontroller. De måste möjliggöra kryptering för all fjärradministrativ åtkomst till ett system och uppvisa korrekt användning av systemet. Systemet övervakas för att upptäcka olämplig användning och annan otillåten aktivitet. Du kan inte förvänta dig integritet när du använder systemet.
  • Expedia Groups säkerhetsstrategi har flera lager och är ett djupgående försvar.Kritiska funktioner och kontroller finns på plats i hela företaget (t.ex.: anti-malware, WAF, nätverkssegmentering, DLP, osv.), med hjälp av en uppsättning policyer, rutiner och teknologier för att säkerställa att miljön övervakas genom en central säkerhetsorganisation och att varningar besvaras i enlighet med dessa.
  • Amazon Web Services (AWS) är värd för Expedias system och datacenter förser Expedia Group med årliga SOC 2-rapporter för att säkerställa efterlevnad  

Åtgärder för att säkerställa uppgiftsminimering, åtgärder för att säkerställa uppgiftskvalitet, åtgärder för att säkerställa begränsad lagring av uppgifter, åtgärder för att säkerställa ansvarsskyldighet

  • Minimering: Expedia Group säkerställer att endast en minimal mängd uppgifter samlas in, behandlas och lagras. Vi använder endast identifierbart format om det är nödvändigt.  
  • Lagring: Expedia Groups policy för lagring av uppgifter anger olika perioder för lagring och säkerhetskopior beroende på uppgiftskategorin, inklusive eventuella rättsliga skyldigheter eller andra undantag som kräver att sådana uppgifter lagras tills vissa juridiska skyldigheter, såsom för skatte- och redovisningsändamål, har blivit uppfyllda.  
  • Kvalitet: Expedia Group har ett formaliserat kvalitetsledningsprogram, Customer Experience Management (CEM)-programmet.Vi strävar alltid efter förbättringar inom EG:s miljö och försöker förbättra processer för högre effektivitet vilket resulterar i konsekventa högkvalitativa tjänster och interaktioner med våra partner, kunder och resenärer.
  • Ansvarsskyldighet: Expedia Group säkerställer ansvarsöversyn med konsekvent implementering av policyer, branschföreskrifter/ramverk och juridiska krav genom att upprätthålla ett formaliserat styrningsprogram och en avdelning som hanterar juridiska/sekretessrelaterade frågor.

Åtgärder för att möjliggöra dataportabilitet och säkerställa radering

  • Expedia Group är direkt ansvarig för att säkerställa efterlevnad av dataskyddslagar (inklusive i samband med begäranden från registrerade). Expedia Group besvarar alla begäranden från registrerade, inklusive om åtkomst, radering och portabilitet i enlighet med tillämplig dataskyddslag 
  • EG:s policy för lagring av uppgifter anger olika perioder för lagring och säkerhetskopior beroende på uppgiftskategorin, inklusive eventuella rättsliga skyldigheter eller andra undantag som kräver att sådana uppgifter lagras tills vissa juridiska skyldigheter, såsom för skatte- och redovisningsändamål, har blivit uppfyllda.Om Expedia Group inte kan förstöra personuppgifter, ska Expedia Group förlänga skyddet av de relevanta delar i Avtalet mellan parterna som reglerar sådana personuppgifter och avsluta all ytterligare behandling.

För överföringar till personuppgiftsbiträden/underbiträden, beskriv även de specifika tekniska och organisatoriska åtgärder som ska vidtas av personuppgiftsbiträden/underbiträden för att kunna ge assistans till den personuppgiftsansvarige och, för överföringar från ett personuppgiftsbiträde till ett underbiträde, till dataexportören

  • Expedia Group granskar noggrant sina leverantörers informationssäkerhetspraxis och kräver att leverantörer uppfyller omfattande säkerhetskrav, inklusive skyldigheter som kräver att leverantörer använder och upprätthåller lämpliga tekniska och organisatoriska åtgärder.
  • Expedia Group har formaliserat en detaljerad process för bedömning av säkerhetspåverkan (Security Impact Assessment, ”SIA”).Alla nya leverantörer som får tillgång till uppgifter kontrolleras innan de anlitas och vid behov under löptiden.
  • Dessutom har Expedia Group också robusta behandlingsvillkor för leverantörer som åläggs alla leverantörer, vilket säkerställer att skyldigheterna överförs till alla deras underbiträden.

 

Tillägg till EU-kommissionens standardavtalsklausuler (Tillägg), avseende internationella dataöverföringar

Detta Tillägg har utfärdats av Informationskommissionären (Information Commissioner) för parter som gör Begränsade överföringar.Informationskommissionären anser att det tillhandahåller lämpliga skyddsåtgärder för Begränsade överföringar när det ingås som ett juridiskt bindande avtal.

Del 1 Tabeller

Tabell 1: Parter

Startdatum

Datum för de SCC:er som dessa är knutna till (EU SCC:er).

Parter

Kontaktperson

Exportör: Enligt EU SCC:er.

 

Importör: Enligt EU SCC:er.

 

Tabell 2: Valda SCC:er, Moduler och valda Klausuler

Tillägg EU SCC:er

Den version av de godkända EU SCC:er som detta Tillägg är bifogat till.

Tabell 3: Appendixinformation

”Appendixinformation” avser den information som måste tillhandahållas för de valda modulerna enligt Appendixet till de godkända EU SCC:erna (annat än parterna), och som för detta Tillägg anges i:

Annex IA: Förteckning över parter

Annex IB Beskrivning av överföring

Annex II: Tekniska och organisatoriska åtgärder

Enligt EU SCC:er

Tabell 4: Avsluta detta Tillägg när det godkända Tillägget ändras

Vilka parter kan avsluta detta Tillägg enligt Avsnitt 19

Ingen av parterna

Del 2: Obligatoriska Klausuler

Obligatoriska Klausuler i det godkända Tillägget, som är mallen Tillägg B.1.0 som utfärdats av ICO och som lades fram för parlamentet i enlighet med avsnitt 119A i Data Protection Act 2018 den 2 februari 2022, som den revideras enligt Avsnitt 18 i dessa obligatoriska Klausuler.