TAAP 온라인 계약 - 컨트롤러 간 계약(SCC 포함)

본 C2C 계약의 영어 원본이 다른 언어로 번역되었을 수 있습니다. 본 계약의 영어 버전과 다른 언어 버전 간에 불일치나 차이가 발생할 경우 영어 버전이 우선 적용됩니다.

범위: 각 Expedia와 귀사가 상대방과 체결한 계약(TAAP에 따라 귀사가 마케팅 파트너로 지정된 계약에 따라 온라인 클릭랩 약관의 형식일 수 있음)의 일부로 개인정보를 처리하는 경우(이에 따라 귀사는 TAAP에 따라 마케팅 파트너로 지정되었으며 이러한 활동과 관련된 모든관련 활동을 "관련 활동"이라고 함), 이 글로벌 컨트롤러 간 계약("C2C 계약")은 관련 활동과 관련하여 당사자 간에 체결된 계약("계약")을 보완하고 이에 적용되며, Expedia와 귀사가 계약과 관련하여 개인 데이터를 처리하는 추가 조건, 요구 사항 및 조건을 명시합니다. 이 C2C 계약에서 "Expedia", "우리" 및 "당사"는 계약 당사자인 Expedia, Inc. 및/또는 기타 Expedia Group 회사를 의미합니다. "귀사"는 계약에 설명된 대로 앱에 명시된 명명된 법인을 의미합니다(또한 Expedia 또는 귀사에 대한 모든 참조는 계약에서 요구하는 범위 내에서 복수 용어로 해석됩니다).

1. 정의 및 해석

1.1 본 C2C 계약은 계약 조건의 적용을 받으며 계약에 통합됩니다. 본 C2C 계약에서 달리 정의하지 않는 한 본 계약에 명시된 해석 및 정의된 용어가 본 C2C 계약의 해석에 적용됩니다. 또한 다음과 같습니다.

  1. a. 각각의 적절한 기술적 및 조직적 조치, 컨트롤러, 개인정보, 개인정보 침해, 프로세스/처리감독 기관(또는 합리적으로 동등한 용어)은 관련 데이터 보호법에서 부여된 의미를 갖습니다.
  2. b. 관련 데이터 보호법은 개인정보의 사용 또는 처리와 관련하여 관련 관할권의 적용 가능한 법률 및 규정을 의미합니다.
  3. c. 허용된 목적이란 (i) 예약 이행, (ii) 예약 지원 제공, (iii) TAAP 등록 및 계정 관리, (iv) 본 계약에 따른 커미션 및 기타 금액 지불, (v) 귀사를 위한 보고서 생성 및 조정, 불만 사항 처리 및 계약 서비스와 관련된 유사한 활동에 필요한 추가 처리, (vi) TAAP 계정 지원, (vii) TAAP 회원 및 하위 사용자에 대한 커뮤니케이션, (viii) 당사 서비스 개선(고객의 예약 경험 최적화 포함), (ix) 분석, 비즈니스 인텔리전스 및 비즈니스 보고를 위한 보고서 작성, (x) 사기 방지, (xi) 법 집행 요청 및 세무 당국 감사 요청에 대한 응대, (xii) 사업 자산 거래 촉진(합병, 인수 또는 자산 매각으로 확대될 수 있음), (xiii) (xiv) 본 계약, Expedia의 개인정보 처리방침 및 관련 법률에 따른 의무 준수 및 (xiv) 때때로 필요할 수 있는 여행세 및 기타 적용 가능한 과세 목적의 결정, 계산, 보고 목적을 말합니다.
  4. d. DPF는 미국 상무부의 EU-미국 데이터 보호 프레임워크 인증 또는 때때로 유럽 위원회(또는 기타 관련 국가 기관)에서 승인하는 대체 또는 보완 인증 메커니즘을 의미하며, 여기에는 미국과 해당 제3국(예: 영국과 스위스) 간의 DPF 연장을 허용하는 다른 국가에서 발행한 보충적 적절성 결정이 포함됩니다.
  5. e. 전송 제한 국가는 유럽 경제 지역, 스위스, 영국 및 브라질의모든 국가를 의미합니다.
  6. f. 전송 제한 데이터는 전송 제한 국가의 고객이 액세스할 수 있도록 당사가 의도한 POS를 통해 이루어진 예약과 관련된 고객 데이터를 의미합니다.
  7. g. 표준 계약 조항/ SCC는 유럽 연합에서 제3국으로의 개인정보 전송에 대한 승인된 유럽 위원회의 표준 계약 조항을 의미하며, 2021년 6월 4일에 발표되었고 수시로 수정, 교체, 보완 또는 대체됩니다. 전체 최신 버전은 https://commission.europa.eu/law/law-topic/data-protection/internationa… 확인할 수 있습니다.
  8. h. TAAP 개인정보는 TAAP 웹사이트를 통해 또는 TAAP 자체 또는 TAAP 웹사이트를 사용한 예약 촉진과 관련하여 귀사가 당사에 제공한 개인정보를 의미합니다.
당사자 간의 관계
  1. 1.2 귀사와 당사는 본 계약에 따른 각자의 권리·의무 및 관련 법률에 따른 책임의 이행을 위해 개인정보를 각각 수집 및 처리합니다. 따라서 각 당사자는 (i) 독립적이고 자율적인 컨트롤러로서 개인정보를 처리하고 (ii) 관련 데이터 보호법을 준수하며 (iii) 관련 데이터 보호법을 위반하는 모든 행동 또는 부작위에 대한 책임을 져야 합니다.
귀사의 책임

1.3 귀사의 책임은 다음과 같습니다. 

  1. a. 당사가 모든 TAAP 개인정보를 허용된 목적에 맞게 처리할 수 있도록 법적 근거를 충족합니다.
  2. b. 귀사의 개인정보 보호정책 및 기타 적절한 수단을 통해 고객의 개인정보가 허용된 목적을 위해 당사와 공유된다는 사실을 고객에게 알립니다.
  3. c. 당사의 개인정보 취급에 대한 자세한 정보를 위해 고객에게 당사의 개인정보 보호정책을 알려줍니다.
  4. d. 본 계약과 관련하여 당사의 TAAP 개인정보 처리 과정에서 당사가 관련 데이터 보호법을 준수할 수 있도록 협조하고 합리적인 지원을 제공합니다.
당사의 책임

1.4 당사(및 해당되는 경우 당사의 그룹사)는 다음을 수행합니다. 

  1. a. 허용된 목적과 관련해서만 TAAP 개인정보를 처리합니다.
  2. b. 허용된 목적과 관련된 경우를 제외하고 TAAP 개인정보의 전체 또는 일부를 누구에게도 누설하지 않습니다.
  3. c. 본 계약과 관련하여 귀사의 TAAP 개인정보 처리 과정에서 귀사가 관련 데이터 보호법을 준수할 수 있도록 협조하고 합리적인 지원을 제공합니다.
  4. d. TAAP 웹사이트에 적법한 최신의 쿠키 고지(필요한 경우)와 당사의 개인정보 보호정책을 표시하고 이를 준수합니다.
고객 및 제3자

1.5 귀사는 다음을 인정합니다.

  1. a. 당사는 예약과 관련하여 고객에게 이메일을 전송할 수 있습니다.
  2. b. 당사는 다음 목적을 위해 제3자 서비스 공급업체에 TAAP 개인정보(은행 데이터 포함)를 전달할 수 있습니다.
    1. i. 귀사 및 귀사의 담당자와 하위 사용자의 TAAP 계정 관리 및 지원
    2. ii. 예약 지원 제공
    3. iii. 본 계약에 따른 커미션 및 기타 금액 지불
데이터 보안

1.6 양 당사자는 컨트롤러 자격으로 다음을 수행합니다.

  1. a. 개인정보 침해로부터 각자 처리하는 개인정보를 보호하기 위해 적절한 기술적 및 조직적 조치를 유지합니다.
  2. b. 당사자가 소유하거나 통제하는 시스템 내에서 개인정보 침해가 확인된 경우, 개인정보 침해가 (i) 본 계약에 따라 상대방도 처리하는 TAAP 개인정보에 영향을 미치고 (ii) 동일한 세부 정보를 제공하여 감독 기관에 보고할 수 있는 경우 즉시 상대방에게 통보합니다. 이러한 경우 양 당사자는 개인정보 침해에 따른 영향을 제거하거나 완화하기 위해 성실하게 합리적으로 협력해야 하며, 이러한 협력에 따른 합당한 비용은 개인정보 침해 피해를 입은 당사자가 부담해야 합니다.
국경 간 전송 

1.7 데이터 보호 프레임워크(DPF): 귀사와 당사는 귀사와 당사 간의 전송 제한 데이터 전송과 관련하여 전송 제한 국가의 관련 데이터 보호법에 따라 미국 또는 "적절한" 것으로 간주되지 않는 국가로의 전송에 대해 다음과 같이 동의합니다. (a) DPF가 관련 당국에 의해 인정된 전송 방법인 경우, DPF가 전송 제한 국가에서 미국에 있는 당사로 데이터를 국경 간 전송하기 위해 합의된 메커니즘입니다. 또한 (b) DPF가 유효한 전송 방법이 아닌 경우(전송 제한 국가의 관련 데이터 보호법에 따라 전송 제한 데이터를 "적절한" 것으로 간주되지 않은 국가로 전송하는 경우 포함), SCC가 이러한 전송에 적용되며 당사는 아래 1.11항에 명시된 기준에 따라 SCC를 체결합니다. 귀사가 현재 DPF 인증을 보유하고 있는 경우, 귀사로의 전송 제한 데이터 전송도 DPF를 사용하여 유사하게 수행할 수 있으며, 위에서 설명한 대로 SCC를 대체 메커니즘으로 사용할 수 있습니다.

1.8 DPF 전달 의무: 귀사는 전송 제한 데이터에 대해 DPF에서 요구하는 것과 동일한 수준 이상의 보호를 제공할 것에 동의합니다. 더 이상 이러한 수준의 보호를 제공할 수 없다고 결정하는 경우 즉시 당사에 알려야 합니다. 그러한 경우 또는 귀사가 전송 제한 데이터를 DPF에서 요구하는 표준으로 보호하지 않는다고 당사가 달리 합리적으로 믿는 경우 당사는 다음 중 하나를 수행할 수 있습니다. (a) 승인되지 않은 처리를 중단하고 개선하기 위해 합리적이고 적절한 조치를 취하도록 지시합니다. 이 경우 귀사는 그러한 조치를 식별, 동의 및 구현하기 위해 신의성실하게 당사와 신속하게 협력합니다. (b) 관련 데이터 보호법에 따라 처리에 적용될 수 있는 대체 보호 장치에 동의합니다. 또는 (c) 귀사에 통지함으로써 위약금 없이 본 C2C 계약 및 계약(또는 당사의 선택에 따라 영향을 받는 부분)을 종료합니다. 현재 DPF 인증도 보유하고 있는 경우 위 조항과 아래 1.9항의 조항은 의무가 양방향인 것처럼 적용되는 것으로 간주됩니다.

1.9 DPF 공개 의무: 귀사는 당사가 미국 상무부, 연방 무역 위원회, 유럽 데이터 보호 당국 또는 기타 미국 또는 EU 사법 또는 규제 기관의 요청에 따라 본 C2C 계약 및 계약의 관련 개인정보 보호 조항을 공개할 수 있으며, 그러한 공개는 기밀 유지 위반으로 간주되지 않음을 인정합니다.

1.10 전송 미제한 국가로의 SCC 확장: 귀사와 당사 간의 TAAP 개인정보 전송과 관련하여, 전송 제한 국가는 아니지만 관련 데이터 보호법에 따라 해당 TAAP 개인정보를 원래 국가 외부로 전송하기 전에 보호 조치를 적용해야 하는 국가(각각 전송 미제한 국가)에서 개인정보를 외부로 전송하는 경우, 귀사와 당사는 (a) 아래 1.11항에 명시된 SCC가 해당 국가의 안전 조치를 충족하는 범위 내에서 이러한 추가 전송까지 확장되는 것으로 간주하며, 및/또는 (b) 1.11항에 명시된 조치가 불충분하거나 추가 조치가 필요한 경우 당사자는 예를 들어 관련 문서의 실행, 동의 수집, 필요한 서류 작성을 포함하여 관련 데이터 보호법을 충족하기 위해 필요할 수 있는 추가 조치를 취하는 데 동의합니다.

1.11 위의 1.7항에 따라 귀사와 당사는 다음 선택 사항을 제외하고 변경 없이 SCC를 체결하는 데 동의합니다.:

  1. a. 귀사가 전송 제한 국가에 있거나 GDPR 45조에 따라 "적절한" 것으로 간주되는 국가에 있는 경우 SCC 중 모듈 1은 귀사에서 Expedia로의 전송에만 적용됩니다. 그렇지 않은 경우 모듈 1 SCC가 양방향으로 적용되어 당사에서 귀사로, 귀사에서 당사로의 전송을 모두 처리합니다.
  2. b. SCC의 11(a)항의 목적에 따라 선택적 언어는 삭제됩니다.
  3. c. SCC 13항의 목적에 따라 관련 단락은 "규정(EU) 2016/679의 27(1)조의 의미 내에서 대표가 설립된 회원국의 감독 기관은 부속서 I.C에 명시된 대로 관할 감독 기관의 역할을 해야 합니다."
  4. d. SCC 17항의 목적에 따라 준거법은 아일랜드입니다.
  5. e. SCC 18(b)항의 목적에 따라 선택 국가는 아일랜드입니다.
  6. f. 다음과 같이 영국에서 영국 외부로의 개인정보 전송에 적용되는 새로운 조항 19가 SCC에 새로 추가되었습니다.

"19항

영국 GDPR 및 DPA 2018

양 당사자는 영국 GDPR 및 데이터 보호법 2018의 범위에 해당하는 국경 간 전송(영국 전송)을 포함하도록 해당 전송과 관련된 범위까지 해당 조항을 확대 적용하는 데 동의합니다. 이러한 영국 전송의 목적을 위해 표준 계약 조항 버전 B1.0에 대한 국제 데이터 전송 부록의 조항(때때로 수정, 교체, 보충 또는 대체됨)은 다음과 같이 부록으로 첨부된 양식에 명시된 대로 적용됩니다."

  1. h. 다음과 같이 스위스에서 스위스 외부로의 개인정보 전송에 적용되는 새로운 조항 20이 SCC에 새로 추가되었습니다.

"20항

스위스 - FADP

양 당사자는 본 조항이 연방 데이터 보호법(FADP)의 범위에 해당하는 국경 간 전송(본 조항에서 스위스 전송이라고 함)을 포함하도록 해당 전송과 관련된 범위까지 해당 조항을 확대 적용하는 데 동의합니다. 이러한 스위스 전송의 목적을 위해 준거법은 선택된 회원국으로 간주되고, 법정지는 선택된 회원국이 되며, 연방 데이터 보호 및 정보 위원회(FDPIC)가 관할 감독 기관이 됩니다. 양 당사자는 영국 GDPR 및 FADP를 준수하기 위해 FCPIC가 필요하다고 간주하는 경우 스위스 전송 관련 조항에 이러한 추가 변경이 이루어질 수 있다는 데 추가로 동의합니다. 또한 이 조항은 양 당사자가 스위스 전송을 위해 특별히 준비된 별도의 표준 계약 조항을 체결할 필요 없이 해당 법률에 따라 발생하는 스위스 전송에 대한 요구 사항에 따라 또는 FDPIC가 발행한 지침에 달리 명시된 대로 해석됩니다. 양 당사자는 스위스 전송과 관련하여 FADP 준수를 보장하는 데 필요할 수 있는 모든 행위와 일을 추가로 수행해야 합니다."

  1. i.다음과 같이 브라질에서 브라질 외부로의 개인정보 전송에 적용되는 새로운 조항 21이 SCC에 새로 추가되었습니다.

"21항

브라질 - LGPD

양 당사자는 이러한 조항이 브라질 일반 데이터 보호법 No. 13,709/18(Lei Geral de Proteção de Dados)(LGPD)의 범위에 해당하는 국경 간 전송을 포함하도록 해당 전송(본 조항에서 브라질 전송이라고 함)과 관련된 범위까지 해당 조항을 확대 적용하는 데 동의합니다. 이러한 브라질 전송의 목적을 위해 준거법은 선택된 회원국으로 간주되고, 법정지는 선택된 회원국이 되며, 브라질의 국가 데이터 보호 당국(ANPD)이 관할 감독 기관이 됩니다. 양 당사자는 LGPD를 준수하기 위해 ANPD가 필요하다고 간주하는 경우 브라질 전송 관련 조항에 이러한 추가 변경이 이루어질 수 있다는 데 추가로 동의합니다. 또한 이 조항은 양 당사자가 브라질 전송을 위해 특별히 준비된 별도의 표준 계약 조항을 체결할 필요 없이 해당 법률에 따라 발생하는 브라질 전송에 대한 요구 사항에 따라 또는 ANPD 또는 기타 관련 브라질 당국이 발행한 지침에 달리 명시된 대로 해석됩니다. 양 당사자는 브라질 전송과 관련하여 LGPD 준수를 보장하는 데 필요할 수 있는 모든 행위와 일을 추가로 수행해야 합니다."

  1. j. 여기에 지정되지 않은 다른 국가로부터의 개인정보 전송에 적용되는 새로운 조항 22가 SCC에 추가되었습니다. SCC는 다음과 같이 해당 국가에서 발생한 개인정보를 해당 국가 외부에 있는 당사자에게 전송하기 위한 적절한 보호 조치를 보장하도록 확장될 수 있습니다.

"22항

기타 제3국 전송

양 당사자는 본 조항이 해당 국가에서 다른 국가로 개인정보를 전송(본 조항에서는 제3국 전송이라고 함)하기 위해 본 조항과 동등한 약관과 보호를 필요로 하는 개인정보의 사용 또는 처리와 관련하여 모든 관련 관할권의 적용 가능한 법률 및 규정(관련 데이터 보호법)의 범위에 속하는 국경 간 전송을 포함하도록 해당 전송과 관련된 범위까지 해당 조항을 확대 적용하는 데 동의합니다. 이러한 제3국 전송의 목적을 위해 준거법은 선택된 회원국으로 간주되고, 법정지는 선택된 회원국이 되며, 해당 국가의 데이터 보호 당국 또는 규제 기관이 관할 감독 기관이 됩니다. 양 당사자는 해당 국가의 관련 데이터 보호법을 준수하기 위해 이러한 해당 감독 기관이 필요하다고 간주하는 경우 제3국 전송 관련 조항에 이러한 추가 변경이 이루어질 수 있다는 데 추가로 동의합니다. 또한 이 조항은 양 당사자가 제3국 전송을 위해 특별히 준비된 별도의 표준 계약 조항을 체결할 필요 없이 해당 법률에 따라 발생하는 제3국 전송에 대한 요구 사항에 따라 또는 관련 감독 기관이 발행한 지침에 달리 명시된 대로 해석됩니다. 양 당사자는 제3국 전송과 관련하여 관련 데이터 보호법 준수를 보장하는 데 필요할 수 있는 모든 행위와 일을 추가로 수행해야 합니다."

1.12 본 C2C 계약의 부속서 1(SCC 처리 개요)은 SCC의 부속서 1을 구성합니다. 본 C2C 계약의 부속서 2(기술 및 조직적 조치)는 SCC의 부속서 2 요구 사항을 충족하기 위해 귀사가 제공하고 당사가 수락한 적절한 기술적 및 조직적 조치가 있는 Expedia에만 적용됩니다. 그렇지 않은 경우 부속서 2는 양 당사자에게 적용되는 것으로 해석되며 그에 따라 Expedia 및 Expedia Group에 대한 모든 언급은 각 당사자를 참조하는 것으로 해석됩니다. 이 C2C 계약에 대한 부록은 SCC의 목적을 위한 영국 부록을 구성합니다.

부속서 I - SCC 처리 개요
모듈 1: 컨트롤러 간(귀사 - 당사)
A. 당사자 목록

데이터 익스포터:

당사자

"귀사", TAAP 회원 또는 이에 상응하는 용어

주소

계약에 명시된 주소

모든 Expedia Group 당사자의 담당자 이름, 직책 및 연락처 정보

Expedia에 수시로 연락하는 이메일 주소를 사용하는 계정 관리자

SCC에 따라 전송된 데이터와 관련된 활동

 

계약에 따라 당사가 귀사에 제공한 TAAP 웹사이트를 통한 예약

역할

컨트롤러

데이터 임포터: 

당사자

계약에서 "당사" 또는 "Expedia"로 식별된 비EU 당사자

주소

계약에 명시된 주소

담당자의 이름, 직위 및 연락처 정보

TAAP 회원에게 수시로 연락하는 이메일 주소를 사용하는 계정 관리자

이러한 조항에 따라 전송된 데이터와 관련된 활동

계약에 따라 당사가 귀사에 제공한 TAAP 웹사이트를 통한 예약

역할

컨트롤러

 

B. 전송에 대한 설명

 

데이터 주체의 범주

고객 및 TAAP 회원 및 하위 사용자

개인 데이터의 범주

식별 데이터:

  1. 이름과 성(상담원과 손님 모두)
  2. 생년월일
  3. 성별
  4. 로그인 정보(상담원)

연락처:

  1. 우편 주소
  2. 이메일 주소
  3. 전화번호(유선 및 휴대폰)
  4. 팩스 번호
  5. 기타 연락처
  6. 생년월일(항공편용)
  7. 성별(항공편용)
  8. 국적(여권용)
  9. TSA 세부 정보

재무 정보:

  1. 은행 계좌 번호
  2. 은행 세부 정보
  3. 결제 카드 정보

여행 정보: 예약 내역 및 여행 선호도

세무 대리인의 경우에만:

  1. 세금 ID

다음과 관련하여 필요한 TAAP 회원이 요청하고 동의한 기타 정보(개인 데이터를 포함하되 이에 국한되지 않음):

  1. 보고, 모니터링 및 분석
  2. 통합 인증, 회원혜택 프로그램

민감한 데이터

여행에 대한 접근성 요구를 충족하기 위해 개인이 자발적으로 제공하지 않는 한 없음

전송 빈도(예: 데이터가 일회성으로 전송되는지 또는 지속적으로 전송되는지 여부)

TAAP 회원 비즈니스의 필요에 따라 지속적으로 또는 임시적으로

처리의 성격

아래에 명시된 목적을 달성하는 데 필요한 모든 처리 작업

데이터 전송 및 추가 처리의 목적

계약에 정의된 허용된 목적

개인정보 보유 기간 또는 가능하지 않은 경우 해당 기간을 결정하는 데 사용되는 기준

Expedia Group의 보존 정책에 따라 백업 또는 법적 이유로 계약 종료 후에도 TAAP 개인정보가 보존되는 범위 내에서 Expedia는 계약에 따라 해당 개인정보를 계속 보호합니다.

(하위) 처리자에게 전송하는 경우 처리 주제, 성격 및 기간 지정

https://support.ean.com/hc/en-us/articles/360000986389-EAN-Data-Services-Vendor-List(수시로 업데이트됨)

 

C. 관할 감독 기관

SCC의 13항에 따라 관할 감독 기관을 식별합니다.

아일랜드 데이터 보호 당국

 

모듈 1: 컨트롤러 간(당사 - 귀사)

A. 당사자 목록

데이터 익스포터: 

위의 모듈 1(귀사 - 당사)에서 식별된 데이터 임포터. 자세한 내용은 위를 참조하십시오.

 

데이터 임포터:

위의 모듈 1(귀사 - 당사)에서 식별된 데이터 익스포터. 자세한 내용은 위를 참조하십시오.

B. 전송에 대한 설명
  • 데이터 주체의 범주
  • 개인 데이터의 범주
  • 민감한 데이터

모듈 1에 따라

  • 전송 빈도
  • 처리의 성격
  • 목적

모듈 1에 따라

개인정보 보유 기간 또는 가능하지 않은 경우 해당 기간을 결정하는 데 사용되는 기준

TAAP 회원의 보유 방침에 따라

(하위) 처리자에게 전송하는 경우 처리 주제, 성격 및 기간 지정

해당 사항 없음

 

C. 관할 감독 기관

모듈 1에 따라

 

부속서 II - 기술적 및 조직적 조치 

모듈 1의 목적에 적용되는 기술적 및 조직적 조치는 아래에 설명되어 있습니다.

주제

조치

개인정보의 가명화 및 암호화 조치

  • Expedia Group은 Expedia Group의 정보 분류 및 처리 표준을 기반으로 데이터 전송을 위한 산업 표준 암호화 프로토콜을 지원합니다.
  • 데이터 처리 요구 사항은 범주를 기반으로 합니다. 처리 중인 데이터에 따라 Expedia Group 전체에 서로 다른 보안 요구 사항이 적용됩니다. 예를 들어
  • 고객(및 그 직원)의 개인정보는 Expedia Group의 정보, 분류 및 취급 표준에 따라 가능하고 필요한 경우 Expedia Group에 의해 가명화(및
  • 신용 카드 번호는 일반 텍스트 신용 카드 번호 처리를 제거하기 위해 토큰화/가명화됩니다.
  • Expedia Group은 VPN, SSL 등을 통한 암호화된 연결을 활용하고 다단계 인증 메커니즘을 활용합니다.

처리 시스템 및 서비스의 지속적인 기밀성, 무결성, 가용성 및 복원력을 보장하기 위한 조치

  • Expedia Group은 데이터의 완전하고 유효하며 정확한 처리를 보장하기 위해 모든 정보 처리 시설의 관리 및 운영에 대한 책임과 절차를 유지합니다.
  • 데이터 처리 및 무결성에 대한 제어가 지속적으로 테스트되고 증명되는 강력한 SOX 프로그램을 통해 주요 처리 시설에 대한 모니터링이 이루어집니다.
  • 무단 액세스, 수정 및/또는 삭제를 방지하고 보호하기 위해 EG 시스템에는 산업 표준 로깅 및 모니터링이 있습니다.
  • Expedia Group은 중복 아키텍처, 데이터 복제 및 무결성 검사를 통해 서비스 탄력성을 유지합니다.

물리적 또는 기술적 사고 발생 시 적시에 개인 데이터에 대한 가용성 및 액세스를 복원할 수 있는 능력을 보장하기 위한 조치

  • Expedia Group의 시스템은 일반적인 공격을 막거나 방지하고 운영, 모니터링 및 유지 관리를 위한 가용성을 보장하도록 특별히 설계되었습니다.이를 위해
  • 서버는 Expedia Group의 강력한 패치 정책에 따라 패치되고 업계 표준 AV/AM 프로그램으로 보호됩니다.또한 취약성 평가, 철저한 테스트 및 네트워크
  • Expedia 사이트가 서비스 중단을 최소화하면서 온라인 상태를 유지하도록 가용성 및 안정성 모니터링이 마련되어 있습니다.
  • Expedia Group은 고객 서비스가 심각도에 따라 중단되지 않고 실행 가능성을 보장할 수 있도록 정기적으로 테스트하기 위해 긴급 상황 및 우발 계획을

처리의 보안을 보장하기 위해 기술적 및 조직적 조치의 효과를 정기적으로 테스트, 평가 및 평가하는 프로세스

  • Expedia Group의 기술적 및 조직적 조치는 강력한 내부 테스트를 거칠 뿐만 아니라 외부 평가자에 의해 매년 감사를 받습니다.
  • EG는 제3자 평가자를 활용하여 연례 PCI 평가를 수행하고 PCI를 지속적으로 준수하는지 확인합니다.
  • EG의 포괄적인 내부 테스트 기능은 분기별 취약성 테스트, 내부 및 외부 침투 테스트, 네트워크, 시스템 및 방화벽 스캐닝 및 검토로 구성됩니다. 또한 내부 감사

이용자 식별 및 승인에 관한 조치 전송 중 정보 보호 조치 보관 중 정보 보호를 위한 조치

  • Expedia Group 시스템은 업계 모범 사례에 맞춰져 있으며 타임아웃 세션, 잠금 프로토콜, 강력한 비밀번호 및 인증 제어와 같은 통신 관행을 갖추고
  • Expedia Group은 Expedia Group 정보의 무단 액세스 또는 오용을 방지하기 위해 계정 프로비저닝 및 감독에 대한 요구 사항을 유지하고 강력한

개인정보를 처리하는 위치의 물리적 보안 확보 조치

  • 보안 운영 센터는 24시간 연중무휴로 운영되며 최소 1년에 한 번 공식 사고 대응 계획을 검토 및 테스트합니다.
  • 모든 시스템은 외부 서비스 제공업체에서 정기적으로 제어하고 테스트합니다.
  • 각 Expedia Group 고객은 고유한 고객 ID를 받습니다. 각 고객의 모든 데이터 세트는 이 ID로 저장되며 모든 고객 데이터는 논리적으로 분리됩니다.
  • Expedia에서 명시적으로 권한을 부여 받고 '꼭 알아야 할' 사람만 개인정보에 액세스할 수 있습니다. 시스템에 대한 최소 권한 액세스 및 무단 액세스 시도를

이벤트 로깅을 보장하기 위한 조치

 

기본 구성을 포함한 시스템 구성을 보장하기 위한 조치 내부 IT 및 IT 보안 거버넌스 및 관리를 위한 조치 프로세스 및 제품의 인증/보증을 위한 조치

  • Expedia Group(EG) 정보 보안 프로그램은 업계 프레임워크 및 표준에 맞춰 위험 관리 프로그램을 통해 강력하고 포괄적인 보안 태세를 보장합니다.
  • Expedia Group의 빌드 표준은 비즈니스 요구 사항을 충족하는 시스템 구성 요소, 서비스 및 프로토콜만 지원합니다. 운영 체제, 데이터베이스 및 기성 응용
  • Expedia Group은 계층적/심층 방어 전략을 보안에 적용합니다. 중앙 보안 조직을 통해 환경을 모니터링하고 그에 따라 경고에 응답하도록 정책, 운영 및
  • Expedia의 시스템은 규정 준수를 보장하기 위해 Expedia Group에 연례 SOC 2 보고서를 제공하는 데이터 센터 및 Amazon Web

데이터 최소화를 위한 조치 데이터 품질 확보를 위한 조치 제한된 데이터 보존을 위한 조치 책임성 확보를 위한 조치

  • 최소화: Expedia Group은최소한의 데이터만 수집, 처리 및 저장하도록 합니다. 필요한 경우 식별 가능한 형식만 사용합니다.
  • 보존: 데이터 보존 정책은 세금 및 회계 목적과 같은 특정 법적 의무가 소멸될 때까지 해당 데이터를 보존해야 하는 법적 의무 또는 기타 면제를 포함하여 데이터 범주에 따라 다른 보존 기간 및 백업을 설정합니다.
  • 품질: Expedia Group에는 공식화된 품질 관리 프로그램인 고객 경험 관리(CEM) 프로그램이 있습니다. 우리는 항상 EG의 환경 내에서 개선을 위해 노력하고 있으며 더 높은 효율성을 위해 프로세스를 간소화하여 파트너, 고객 및 손님과의 일관된 고품질 서비스 및 상호 작용을 추구합니다.
  • 책임: Expedia Group은 공식 거버넌스 프로그램 및 법률/개인정보 보호 부서를 유지함으로써 정책, 업계 규정/프레임워크 및 법적 요구 사항을 일관되게 구현하여 책임 감독을 보장합니다.

데이터 이동성 허용 및 삭제 보장을 위한 조치

  • Expedia Group은 데이터 보호법(데이터 주체의 요청 관련 포함) 준수를 보장할 직접적인 책임이 있습니다. Expedia Group은 관련 데이터 보호법에 따라 액세스, 삭제 및 이동성을 포함하여 주체의 모든 요청에 응답합니다. 
  • EG의 데이터 보존 정책은 세금 및 회계 목적과 같은 특정 법적 의무가 소멸될 때까지 해당 데이터를 보존해야 하는 법적 의무 또는 기타 면제를 포함하여 데이터 범주에 따라 다른 보존 기간 및 백업을 설정합니다. Expedia Group이 개인정보를 파기할 수 없는 경우 Expedia Group은 해당 개인정보를 관리하는 당사자 간의 계약 관련 보호를 계속 확대하고 추가 처리를 종료합니다.

(하위) 처리자에게 전송하는 경우 컨트롤러에 지원을 제공하고 처리자가 하위 처리자, 데이터 익스포터에게 전송하기 위해 (하위) 프로세서가 취해야 하는 특정 기술 및 조직적 조치도 설명

  • Expedia Group은 공급업체의 정보 보안 관행에 대한 실사 를 수행하고 공급업체가 적절한 기술적 및 조직적 조치를 취하고 유지하도록 요구하는 의무를 포함하여 포괄적인 보안 요구 사항을 충족할 것을 요구합니다.
  • Expedia Group은 상세한 보안 영향 평가("SIA") 프로세스를 공식화했습니다. 데이터에 액세스하는 모든 신규 공급업체는 참여 전과 필요한 경우 계약 기간 동안 선별됩니다.
  • 또한 Expedia Group은 모든 공급업체에 부과되는 강력한 공급업체 처리자 조건을 가지고 있어 모든 하위 처리자에 대한 의무 전달을 보장합니다.

 

EU 위원회 표준 계약 조항에 대한 국제 데이터 전송 부록(부록)

이 부록은 정보 위원회가 제한 전송을 수행하는 당사자를 위해 발행한 것입니다. 정보 위원회는 법적 구속력이 있는 계약을 체결할 때 제한 전송에 대한 적절한 보호 조치를 제공한다고 생각합니다.

1부 표

표 1: 당사자

시작일

SCC(EU SCC)가 첨부된 날짜

당사자 주요 담당자

익스포터: EU SCC에 따름

익스포터: EU SCC에 따름

 

임포터: EU SCC에 따름

 

표 2: 선택된 SCC, 모듈 및 선택된 조항

부록 EU SCC

이 부록이 첨부된 승인된 EU SCC 버전

표 3: 부록 정보

"부록 정보"는 승인된 EU SCC(당사자 제외)의 부록에 명시된 대로 선택된 모듈에 대해 제공되어야 하며 이 부록에 대해 다음에 명시된 정보를 의미합니다.

  • 부속서 IA: 당사자 목록
  • 부속서 IB: 전송에 대한 설명
  • 부속서 II: 기술적 및

EU SCC에 따름

표 4: 승인된 부록이 변경되면 이 부록 종료

제19조에 명시된 대로 이 부록을 종료할 수 있는 당사자

모두 해당 안 됨

2부: 필수 조항

2022년 2월 2일 데이터 보호법 2018의 119A에 따라 ICO에서 발행하고 의회에 제시된 템플릿 부록 B.1.0인 승인된 부록의 필수 조항(필수 조항의 18절에 따라 개정됨)