Contratto online del Programma speciale per agenzie (TAAP): Contratto da titolare a titolare (incluse le CCS, Clausole Contrattuali Standard)

La versione originale in lingua inglese del presente Contratto C2C potrebbe essere stata tradotta in altre lingue.  In presenza di incoerenze o di discrepanze fra la versione in lingua inglese e quella in altra lingua del presente Contratto, prevarrà la versione in lingua inglese.

AMBITO DI APPLICAZIONE: laddove Expedia e l'Affiliato trattino dati personali nell'ambito di un contratto (che può assumere la forma di termini clickwrap online) stipulato con l'altra parte (in base al quale l'Affiliato è stato nominato partner di marketing ai sensi del TAAP, e tutte le iniziative intraprese in relazione a tale attività sono qui indicate come le "Attività pertinenti"), il presente contratto globale da titolare a titolare ("Contratto C2C") integra e si applica al contratto stipulato tra le parti in relazione alle Attività pertinenti (il "Contratto") e stabilisce ulteriori termini, requisiti e condizioni in base ai quali Expedia e l'Affiliato tratteranno i dati personali in relazione al Contratto. Nel presente Contratto C2C, "Expedia", "noi" e "ci" si riferiscono a Expedia, Inc. e/o a qualsiasi altra società di Expedia Group parte del Contratto. "L'Affiliato" si riferisce all'entità indicata nell'App come descritto nel Contratto (e tutti i riferimenti a Expedia o all'Affiliato saranno interpretati come termini al plurale nella misura richiesta dal Contratto).

1. DEFINIZIONI E INTERPRETAZIONE

1.1 Il presente Contratto C2C è soggetto ai termini del Contratto e costituisce parte integrante dello stesso. Le interpretazioni e i termini definiti nel Contratto si applicano all'interpretazione del Contratto C2C se non diversamente definito nello stesso, e

  1. a. i singoli termini quali misure tecniche e organizzative appropriate, titolare del trattamento, dati personali, violazione dei dati personali, trattare/trattamento e autorità di controllo (o termini ragionevolmente equivalenti) avranno il significato loro attribuito dalle Leggi vigenti sulla protezione dei dati;
  2. b. Legge(i) applicabile(i) sulla protezione dei dati indica le leggi e i regolamenti applicabili in qualsiasi giurisdizione pertinente, relativamente all'utilizzo o al trattamento dei dati personali;
  3. c. Fini consentiti indica lo scopo di (i) adempimento delle Prenotazioni; (ii) supporto per le Prenotazioni; (iii) registrazione e gestione degli account TAAP; (iv) pagamento delle Commissioni e degli altri importi ai fini del Contratto; (v) generazione di report e qualsiasi ulteriore elaborazione necessaria per la riconciliazione, la gestione dei reclami e attività simili connesse alla gestione del Contratto; (vi) assistenza agli Account TAAP; (vii) comunicazioni con gli Iscritti a TAAP e con i Sub-utenti; (viii) miglioramento dei servizi di Expedia, compresa l'ottimizzazione dell'esperienza di prenotazione; (ix) creazione di rapporti a fini di analisi, business intelligence e report aziendali; (x) prevenzione delle frodi; (xi) risposta alle richieste provenienti dalle pubbliche autorità e alle richieste di audit delle autorità fiscali; (xii) facilitazione delle transazioni riguardanti il patrimonio aziendale (che possono estendersi anche a fusioni, acquisizioni o vendite del patrimonio) e (xiii) rispetto ad altro titolo degli obblighi spettanti a Expedia ai sensi del Contratto, dell'Informativa sulla privacy di Expedia e delle leggi vigenti e (xiv) determinazione, calcolo e rendicontazione delle Tasse di viaggio e altri scopi fiscali applicabili, come può essere richiesto di volta in volta;
  4. d. DPF indica la certificazione "EU-US Data Privacy Framework" con il Dipartimento del commercio degli Stati Uniti o qualsiasi meccanismo di certificazione sostitutivo o supplementare approvato di volta in volta dalla Commissione europea (o da un'autorità nazionale competente), e include decisioni di adeguatezza supplementari emesse da qualsiasi altro Paese che consenta l'estensione del DPF tra gli Stati Uniti e tale Paese terzo (ad esempio, il Regno Unito e la Svizzera);
  5. e. Paese con limiti al trasferimento indica un Paese dello Spazio economico europeo, la Svizzera, il Regno Unito e il Brasile;
  6. f. Dati con limiti al trasferimento indica Dati del cliente relativi a una Prenotazione effettuata tramite un point of sale a cui i Clienti possono accedere in un Paese con limiti al trasferimento;
  7. g. Clausole contrattuali standard/ CCS indica le clausole contrattuali standard approvate dalla Commissione europea per il trasferimento di dati personali dall'Unione europea verso Paesi terzi, emesse il 4 giugno 2021 e come modificate, sostituite, integrate o rimpiazzate di volta in volta, la cui versione completa e aggiornata è disponibile al seguente link: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en; e
  8. h. Dati personali TAAP indica i dati personali forniti a Expedia dall'Affiliato tramite il Sito web TAAP o in altro modo elaborati in relazione al programma TAAP o per facilitare le Prenotazioni effettuate tramite il Sito web TAAP.
Relazione tra le parti
  1. 1.2 L'Affiliato ed Expedia raccoglieranno e tratteranno i dati personali al fine di adempiere i rispettivi obblighi previsti dal Contratto oltre che per le responsabilità loro spettanti ai sensi delle leggi vigenti. Pertanto, ciascuna delle parti: (i) tratterà i dati personali come titolare del trattamento indipendente e autonomo; (ii) rispetterà la Legge vigente sulla protezione dei dati e (iii) sarà responsabile di tutti i propri atti o omissioni che costituiscano violazione della Legge vigente sulla protezione dei dati.
Your responsibilities

1.3 L'Affiliato deve: 

Your responsibilities
  1. a. soddisfare una base giuridica al fine di mettere i Dati personali TAAP a disposizione di Expedia per il trattamento in vista dei Fini consentiti;
  2. b. assicurare che i Clienti siano consapevoli, tramite l'Informativa sulla privacy di Expedia e altri mezzi appropriati, che i loro dati personali saranno condivisi con Expedia per i Fini consentiti;
  3. c. invitare i Clienti a consultare l'Informativa sulla privacy di Expedia per ulteriori informazioni su come questa gestisce i loro dati personali e
  4. d. collaborare e fornire ragionevole assistenza a Expedia per aiutarla a rispettare le Leggi vigenti sulla protezione dei dati durante il trattamento da parte di Expedia dei Dati personali TAAP in relazione a questo Contratto.
Responsabilità di Expedia

1.4 Expedia (e i suoi Membri del Gruppo, quando applicabile) dovranno: 

  1. a. trattare i Dati personali TAAP solo in relazione a Fini consentiti;
  2. b. non divulgare ad alcuno né in tutto né in parte i Dati personali TAAP, salvo che in relazione a uno dei Fini consentiti;
  3. c. collaborare e fornire ragionevole assistenza all'Affiliato per aiutarlo a rispettare le Leggi vigenti sulla protezione dei dati durante il trattamento da parte di quest'ultimo dei Dati personali TAAP in relazione a questo Contratto e
  4. d. mostrare e conformarsi alla politica sui cookie aggiornata (se richiesta) e all'informativa sulla privacy di Expedia pubblicata sul Sito web TAAP.
Clienti e Terzi

1.5 L'Affiliato riconosce che:

  1. a. può inviare e-mail ai Clienti con riferimento alle Prenotazioni;
  2. b. può trasferire i Dati personali TAAP (inclusi i dati bancari) ai fornitori terzi di Expedia che operano al fine di:
    1. i. gestire, amministrare e supportare gli Account TAAP dell'Affiliato, dei suoi Rappresentanti e dei suoi Sotto-utenti;
    2. ii. fornire assistenza per le Prenotazioni e
    3. iii. pagare la Commissione e gli altri importi previsti dal Contratto.
Sicurezza dei dati

1.6 Entrambe le parti, in quanto titolari del trattamento, dovranno:

  1. a. mantenere misure tecniche e organizzative appropriate per proteggere i dati personali che trattano da possibili violazioni e
  2. b. qualora i sistemi che si trovano in possesso o sotto il controllo di una delle parti siano interessati da una violazione confermata dei dati personali, la parte in questione dovrà comunicarlo prontamente all'altra parte, fornendone tutti i dettagli, qualora tale violazione (i) influisca sui Dati personali TAAP trattati anche dall'altra parte ai sensi del Contratto e (ii) debba essere comunicata a un'autorità di controllo, fornendo dettagli completi. In tal caso, entrambe le parti collaboreranno ragionevolmente e in buona fede al fine di porre rimedio o mitigare gli effetti di tale violazione dei dati personali e i costi ragionevoli di tale collaborazione verranno sostenuti dalla parte che ha subito la violazione in questione.
Trasferimenti transfrontalieri 

1.7 Data Privacy Framework (DPF): l'Affiliato ed Expedia convengono che, per quanto riguarda il trasferimento di Dati con limiti al trasferimento tra di loro verso gli Stati Uniti o un Paese che non è stato ritenuto "adeguato" ai sensi delle Leggi vigenti sulla protezione dei dati del Paese di origine con limiti al trasferimento (a) nella misura in cui e fintanto che il DPF sia riconosciuto come un metodo di trasferimento da un'autorità competente, esso sarà il meccanismo concordato per i trasferimenti transfrontalieri di dati provenienti da un Paese con limiti al trasferimento verso Expedia negli Stati Uniti, e (b) nella misura in cui e fintanto che il DPF non sia ritenuto un metodo di trasferimento valido (anche per i trasferimenti di Dati con limiti al trasferimento verso un Paese che non è stato ritenuto "adeguato" ai sensi della Legge vigente sulla protezione dei dati del Paese di origine con limiti al trasferimento), a tali trasferimenti si applicheranno le CCS che verranno sottoscritte sulla base di quanto stabilito dalla Clausola 1.11 che segue. Laddove l'Affiliato sia anche in possesso di una certificazione DPF in corso di validità, i trasferimenti di Dati con limiti al trasferimento possono essere effettuati anche in base al DPF con CCS come meccanismo di ripiego, come sopra indicato.

1.8 Obblighi di flow-down del DPF: l'Affiliato si impegna a garantire ai Dati con limiti al trasferimento almeno lo stesso livello di protezione richiesto dal DPF e dovrà informare tempestivamente Expedia qualora stabilisca di non essere più in grado di fornire tale livello di protezione. In tal caso, o se comunque si può ragionevolmente ritenere che l'Affiliato non stia proteggendo i Dati con limiti al trasferimento secondo gli standard richiesti dal DPF, possiamo: (a) consigliarlo affinché adotti misure ragionevoli e appropriate per interrompere e porre rimedio a qualsiasi trattamento non autorizzato, nel qual caso si impegna a collaborare prontamente con Expedia in buona fede per identificare, concordare e attuare tali misure; (b) concordare una salvaguardia alternativa applicabile al trattamento ai sensi della Legge vigente sulla protezione dei dati; o (c) risolvere il presente Contratto C2C e il Contratto (o, a nostra scelta, le sezioni interessate dello stesso) senza alcuna penale, dandone opportuna comunicazione. Inoltre, se l'Affiliato è in possesso di una certificazione DPF in corso di validità, le disposizioni di cui sopra e quelle della Clausola 1.9 che segue saranno considerate applicabili come se gli obblighi fossero bidirezionali.

1.9 Obblighi di divulgazione DPF: l'Affiliato riconosce che possiamo divulgare il presente Contratto C2C e qualsiasi disposizione pertinente in materia di privacy contenuta nello stesso al Dipartimento del commercio degli Stati Uniti, alla Federal Trade Commission, a qualsiasi autorità europea per la protezione dei dati o a qualsiasi altro organo giudiziario o normativo degli Stati Uniti o dell'UE su loro richiesta e che tale divulgazione non sarà considerata una violazione della riservatezza.

1.10 Estensione delle CCS ai Paesi senza limiti al trasferimento: in relazione ai trasferimenti di Dati personali TAAP tra l'Affiliato ed Expedia provenienti da un Paese senza limiti al trasferimento ma comunque soggetto a salvaguardia che, secondo la Legge vigente sulla protezione dei dati, deve essere applicata prima di poter trasferire tali Dati personali TAAP al di fuori del Paese di origine (ciascuno un Paese senza limiti al trasferimento), l'Affiliato ed Expedia concordano che (a) le CCS di cui alla Clausola 1.11 che segue si riterranno estese ai trasferimenti aggiuntivi nella misura in cui tale presunta estensione soddisfi le misure di salvaguardia di quel particolare Paese; e/o (b) laddove le misure di cui alla Clausola 1.11 siano insufficienti o richiedano misure supplementari, le parti concordano di adottare tali misure supplementari, come, ad esempio, l'esecuzione di documenti pertinenti, la raccolta del consenso, l'effettuazione delle registrazioni richieste, come richiesto di volta in volta al fine di soddisfare la Legge vigente sulla protezione dei dati.

1.11 Fatta salva la Clausola 1.7 di cui sopra, con la presente l'Affiliato ed Expedia accettano di stipulare le CCS lasciandole invariate, salvo per quanto segue::

  1. a. se l'Affiliato si trova in un Paese con limiti al trasferimento o comunque in un Paese ritenuto "adeguato" ai sensi dell'articolo 45 del GDPR, il Modulo uno (1) delle CCS si applicherà unilateralmente in relazione ai trasferimenti dall'Affiliato a Expedia. In caso contrario, le CCS del Modulo uno si applicano in modo bidirezionale per coprire sia i trasferimenti da Expedia all'Affiliato sia quelli dall'Affiliato a Expedia.
  2. b. Ai fini della Clausola 11(a) delle CCS, la lingua opzionale viene eliminata.
  3. c. Ai fini della Clausola 13 delle CCS, il relativo paragrafo è "L'autorità di vigilanza dello Stato membro in cui è stabilito il rappresentante ai sensi dell'articolo 27(1), del regolamento (UE) 2016/679, come indicato nell'allegato I.C, agisce come autorità di vigilanza competente".
  4. d. Ai fini della Clausola 17 delle CCS, la legge applicabile è quella dell'Irlanda.
  5. e. Ai fini della Clausola 18(b) delle CCS, la selezione è quella l'Irlanda.
  6. f. Una nuova Clausola 19 è aggiunta alle CCS per coprire i trasferimenti di dati personali al di fuori del Regno Unito come segue:

"Clausola 19

GDPR e DPA del Regno Unito 2018

Le parti convengono che le presenti Clausole si estenderanno e si applicheranno, nella misura pertinente al trasferimento in questione, per coprire i trasferimenti transfrontalieri che rientrano nell'ambito di applicazione del GDPR del Regno Unito e del Data Protection Act 2018 ( trasferimento dal Regno Unito). Ai fini di tale trasferimento dal Regno Unito, le disposizioni dell'Addendum sul trasferimento internazionale di dati si applicano alle Clausole contrattuali standard versione B1.0 (come di volta in volta modificate, sostituite, integrate o rimpiazzate), come indicato nel modulo allegato come Addendum."

  1. h. Una nuova Clausola 20 è aggiunta alle CCS per coprire i trasferimenti di dati personali al di fuori della Svizzera come segue:

"Clausola 20

Svizzera – LPD

Le parti convengono che le presenti Clausola si estenderanno e si applicheranno, nella misura pertinente al trasferimento in questione, per coprire i trasferimenti transfrontalieri che rientrano nell'ambito di applicazione della Legge federale sulla protezione dei dati (LPD) (indicati nella presente Clausola come trasferimenti svizzeri). Ai fini di tali trasferimenti svizzeri, la legge applicabile sarà quella dello Stato membro prescelto, la scelta del foro sarà quella dello Stato membro prescelto e l'Incaricato federale alla protezione dei dati e alla trasparenza (IFPDT) sarà l'autorità di controllo competente. Le Parti convengono inoltre che le ulteriori modifiche apportate alle Clausole in relazione a un trasferimento svizzero saranno considerate necessarie dall'IFPDT per conformarsi al GDPR e all'LPD del Regno Unito, e le Clausole saranno interpretate in conformità ai requisiti per i trasferimenti svizzeri derivanti da tali leggi o come altrimenti stabilito nelle linee guida emanate dall'IFPDT, senza che le parti debbano stipulare clausole contrattuali standard separate preparate appositamente per i loro trasferimenti dalla Svizzera. Le Parti si impegnano inoltre a compiere tutti gli atti e le azioni necessari a garantire il rispetto dell'LPD nel corso dei trasferimenti dalla Svizzera".

  1. i. Una nuova Clausola 21 è aggiunta alle CCS per coprire i trasferimenti di dati personali al di fuori del Brasile come segue:

"Clausola 21

Brasile – LGPD

Le parti convengono che le presenti Clausole si estenderanno e si applicheranno, nella misura pertinente al trasferimento in questione, per coprire i trasferimenti transfrontalieri che rientrano nell'ambito di applicazione della legge brasiliana sulla protezione dei dati personali n. 13, 709/18 (Lei Geral de Proteção de Dados) (LGPD) (indicati nella presente Clausola come trasferimenti brasiliani). Ai fini di tali trasferimenti brasiliani, la legge applicabile sarà quella dello Stato membro prescelto, la scelta del foro sarà quella dello Stato membro prescelto e l'Autorità nazionale per la protezione dei dati (ANPD) sarà l'autorità di controllo competente. Le Parti convengono inoltre che le ulteriori modifiche apportate alle Clausole in relazione a un trasferimento brasiliano saranno considerate necessarie dall'ANPD per conformarsi all'LGPD, e le Clausole saranno interpretate in conformità ai requisiti per i trasferimenti brasiliani derivanti da tali leggi o come altrimenti stabilito nelle linee guida emanate dall'ANPD o altra autorità brasiliana competente, senza che le Parti debbano stipulare clausole contrattuali standard separate preparate appositamente per i loro trasferimenti dal Brasile. Le Parti si impegnano inoltre a compiere tutti gli atti e le azioni necessari a garantire il rispetto dell'LGPD nel corso dei trasferimenti dal Brasile."

  1. j. Una nuova clausola 22 è aggiunta alle CCS per coprire i trasferimenti di dati personali da qualsiasi altro Paese finora non specificato, dove le CCS possono essere estese per garantire adeguate salvaguardie per i trasferimenti di dati personali provenienti da tale Paese a una parte situata al di fuori dello stesso, come segue:

"Clausola 22

Trasferimenti da altri Paesi terzi

Le Parti convengono che le presenti Clausole si estenderanno e si applicheranno, nella misura pertinente al trasferimento in questione, ai trasferimenti transfrontalieri che rientrano nell'ambito di applicazione di qualsiasi altra legge e regolamento applicabile in qualsiasi giurisdizione pertinente, in relazione all'utilizzo o al trattamento dei dati personali (Legge vigenti sulla protezione dei dati) che richiedono termini e tutele ampiamente equivalenti alle presenti Clausole al fine di trasferire i dati personali da tale Paese a un altro (indicato nella presente Clausola come trasferimento da un Paese terzo). Ai fini di tali trasferimenti da Paesi terzi, la legge applicabile sarà quella dello Stato membro prescelto, la scelta del foro sarà quella dello Stato membro prescelto e l'autorità per la protezione dei dati o l'organismo di regolamentazione di tale Paese sarà l'autorità di controllo competente. Le Parti convengono inoltre che le ulteriori modifiche apportate alle Clausole in relazione a un trasferimento da un Paese terzo saranno considerate necessarie da tale autorità di vigilanza per conformarsi alla Legge sulla protezione dei dati applicabile di detto Paese, e le Clausole saranno interpretate in conformità ai requisiti per i trasferimenti da Paesi terzi derivanti da tali leggi o come altrimenti stabilito nelle linee guida emanate dall'autorità di vigilanza competente, senza che le Parti debbano stipulare clausole contrattuali standard separate preparate appositamente per i loro trasferimenti da Paesi terzi. Le Parti si impegnano inoltre a compiere tutti gli atti e le azioni necessari a garantire il rispetto della Legge sulla protezione dei dati applicabile nel corso dei trasferimenti da Paesi terzi".

1.12 L'Allegato 1 (Panoramica sul trattamento delle CCS) al presente Contratto C2C costituisce l'Allegato 1 alle CCS. L'Allegato 2 (Misure tecniche e organizzative) al presente Contratto C2C costituisce l'Allegato 2 alle CCS e si applica solo a Expedia laddove l'Affiliato abbia fornito, e noi abbiamo accettato, misure tecniche e organizzative adeguate per soddisfare i requisiti dell'Allegato 2 alle CCS o, in caso contrario, l'Allegato 2 sarà interpretato come applicabile a entrambe le parti e tutti i riferimenti a Expedia e a Expedia Group saranno interpretati come riferimenti a ciascuna parte. L'Addendum al presente Contratto C2C costituisce l'Addendum per il Regno Unito ai fini delle CCS.

ALLEGATO I – PANORAMICA SUL TRATTAMENTO DELLE CCS
MODULO UNO: da titolare a titolare (dall'Affiliato a Expedia)
A. ELENCO DELLE PARTI

Esportatore(i) di dati:

Parte

La parte o le parti identificata(e) come "Affiliati", Iscritti a TAAP o termini equivalenti

Indirizzo

Come specificato nel Contratto

Nome del contatto, ruolo e recapiti di tutte le parti di Expedia Group

Account manager che utilizza l'indirizzo e-mail comunicato di volta in volta al contatto Expedia

Attività relative ai dati trasferiti ai sensi delle CCS

 

Prenotazioni effettuate tramite il sito web TAAP messo a disposizione da Expedia all'Affiliato in conformità al Contratto

Mansione

Controllore

Importatore(i) di dati: 

Parte

Le parti non UE identificate come "noi" o "Expedia" nel Contratto

Indirizzo

Come specificato nel Contratto

Nome, ruolo e recapiti della persona di contatto

Account manager che utilizza l'indirizzo e-mail comunicato di volta in volta ai contatti degli Iscritti a TAAP

Attività relative ai dati trasferiti ai sensi delle presenti Clausole

Prenotazioni effettuate tramite il sito web TAAP messo a disposizione da Expedia all'Affiliato in conformità al Contratto

Mansione

Controllore

 

B. DESCRIZIONE DEL TRASFERIMENTO

 

Categorie di interessati

Clienti e Iscritti a TAAP e loro sub-utenti

Categorie di dati personali

Dati identificativi:

  1. nome e cognome (sia dell'agente che del viaggiatore)
  2. data di nascita
  3. sesso
  4. credenziali di accesso (agente)

Recapiti:

  1. indirizzo postale
  2. indirizzo e-mail
  3. recapiti telefonici (fisso e mobile)
  4. numero di fax
  5. altre informazioni di contatto
  6. data di nascita (per i voli)
  7. sesso (per i voli)
  8. nazionalità (dal passaporto)
  9. Dettagli TSA

Dettagli finanziari:

  1. numero conto bancario
  2. dati bancari
  3. dettagli della carta di pagamento

Informazioni di viaggio: cronologia delle prenotazioni e preferenze di viaggio

Solo per agenti delle tasse:

  1. N° partita IVA/codice fiscale

Altre informazioni richieste e concordate con gli Iscritti a TAAP, inclusi, ad esempio, i dati personali richiesti in relazione a:

  1. Reporting, monitoraggio e analisi
  2. Single Sign-On, programmi fedeltà

Dati sensibili

Nessuno, a meno che non siano forniti volontariamente da una persona per soddisfare le sue esigenze di accessibilità per gli spostamenti.

Frequenza del trasferimento (ad es. se i dati vengono trasferiti una tantum o in modo continuativo).

Su base continuativa o ad hoc in base alle esigenze dell'attività degli Iscritti a TAAP.

Natura del trattamento

Tutte le operazioni di trattamento necessarie per facilitare le finalità indicate di seguito.

Finalità del trasferimento e dell'ulteriore trattamento dei dati

Finalità consentite, come definite nel Contratto

Il periodo previsto per la conservazione dei dati personali oppure, se ciò non è possibile, i criteri utilizzati per determinare tale periodo

In conformità alla politica di conservazione di Expedia Group e nella misura in cui i Dati personali TAAP vengano conservati oltre il periodo di validità del Contratto per motivi di backup o legali, Expedia continuerà a proteggere tali dati in conformità al Contratto

Per i trasferimenti a sub-responsabili del trattamento, specificare anche l'oggetto, la natura e la durata del trattamento

https://support.ean.com/hc/en-us/articles/360000986389-EAN-Data-Services-Vendor-List, aggiornato periodicamente

 

C. AUTORITÀ DI VIGILANZA COMPETENTE

Identificare l'autorità o le autorità di vigilanza competenti in conformità alla Clausola 13 delle CCS

Autorità irlandese per la protezione dei dati

 

MODULO UNO: da titolare a titolare (da Expedia all'Affiliato)

A. ELENCO DELLE PARTI

Esportatore(i) di dati: 

La(le) Parte(i) identificata(e) come Importatore di dati nel Modulo uno (1) (dall'Affiliato a Expedia) di cui sopra. Vedi sopra per ulteriori dettagli.

 

Importatore(i) di dati:

La(le) Parte(i) identificata(e) come Esportatore di dati nel Modulo uno (1) (dall'Affiliato a Expedia) di cui sopra. Vedi sopra per ulteriori dettagli.

B. DESCRIZIONE DEL TRASFERIMENTO
  • Categorie di interessati
  • Categorie di dati personali
  • Dati sensibili

Come da Modulo uno (1)

  • Frequenza del trasferimento
  • Natura del trattamento
  • Finalità

Come da Modulo uno (1)

Il periodo previsto per la conservazione dei dati personali oppure, se ciò non è possibile, i criteri utilizzati per determinare tale periodo

In conformità alla politica di conservazione degli Iscritti a TAAP

Per i trasferimenti a sub-responsabili del trattamento, specificare anche l'oggetto, la natura e la durata del trattamento

Non applicabile

 

C. AUTORITÀ DI VIGILANZA COMPETENTE

Come da Modulo uno (1)

 

ALLEGATO II - MISURE TECNICHE E ORGANIZZATIVE 

Le misure tecniche e organizzative che si applicano ai fini del Modulo uno (1) sono indicate di seguito.

OGGETTO

MISURA

Misure di pseudonimizzazione e crittografia dei dati personali 

  • Expedia Group supporta protocolli di crittografia standard del settore per la trasmissione
  • I requisiti per il trattamento dei dati si basano sulle singole categorie. A seconda dei
  • I dati personali del cliente (e dei suoi dipendenti) vengono pseudonimizzati (e resi
  • I numeri delle carte di credito sono tokenizzati/pseudonimizzati per eliminare
  • Expedia Group utilizza connessioni crittografate tramite VPN, SSL, ecc. e utilizza

Misure per garantire in via continuativa la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento 

  • Expedia Group definisce responsabilità e procedure per la gestione e il funzionamento di
  • È previsto il monitoraggio delle principali strutture di elaborazione con un valido
  • I sistemi di EG sono dotati di accesso e monitoraggio standard per garantire e proteggere
  • Expedia Group garantisce la resilienza del servizio attraverso un'architettura ridondante,

Misure per garantire la capacità di ripristinare tempestivamente la disponibilità e l'accesso ai dati personali in caso di incidente fisico o tecnico 

  • I sistemi di Expedia Group sono specificamente progettati per impedire o prevenire gli
  • I server sono dotati di patch in base alla rigorosa politica di patching di Expedia Group
  • È previsto il monitoraggio della disponibilità e dell'affidabilità per garantire che i
  • Expedia Group prevede un piano di ripristino di emergenza che tiene conto di urgenze e

Processi per testare, valutare e verificare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento 

  • Le misure tecniche e organizzative di Expedia Group sono verificate annualmente da
  • EG effettua valutazioni annuali del PCI utilizzando un valutatore esterno e garantisce la
  • La funzione di verifica interna di EG comprende test di vulnerabilità trimestrali, test di

Misure per l'identificazione e l'autorizzazione degli utenti Misure per la protezione dei dati durante la trasmissione Misure per la protezione dei dati durante la conservazione

  • I sistemi di Expedia Group sono in linea con le best practice del settore e prevedono
  • Expedia Group mantiene requisiti per il provisioning e la supervisione degli account al

Misure per garantire la sicurezza fisica dei luoghi in cui vengono trattati i dati personali 

  • Un centro operativo per la sicurezza fornisce una copertura 24 ore su 24, 7 giorni su 7,
  • Tutti i sistemi sono regolarmente controllati e testati da fornitori di servizi esterni.  
  • Ogni cliente di Expedia Group riceve un proprio ID cliente. Tutti i set di dati del
  • Solo le persone espressamente autorizzate da Expedia e che hanno "necessità di sapere"

Misure per garantire l'accesso agli eventi 

Expedia Group prevede rigorosi requisiti per l'accesso e la vigilanza in termini di chi, cosa, dove, quando, obiettivo, fonte e successo/fallimento dell'evento registrato.

Misure per garantire la configurazione del sistema, inclusa la configurazione predefinita Misure per la governance e la gestione interna dell'IT e della sicurezza informatica Misure per la certificazione/controllo di processi e prodotti 

  • Il programma di sicurezza delle informazioni di Expedia Group (EG) è in linea con i quadri
  • Gli standard costruttivi di Expedia Group abilitano solo i componenti di sistema, i
  • Expedia Group adotta una strategia di sicurezza multilivello/difesa in profondità.
  • I sistemi di Expedia sono ospitati su Amazon Web Services (AWS) e in centri dati che

Misure per garantire la minimizzazione dei dati Misure per garantire la qualità dei dati Misure per garantire la conservazione limitata dei dati Misure per garantire la responsabilità 

  • Minimizzazione: Expedia Group garantisce la raccolta, il trattamento e l'archiviazione di
  • Conservazione: la politica di conservazione dei dati di Expedia Group stabilisce periodi
  • Qualità: Expedia Group dispone di un programma di gestione della qualità formalizzato, il
  • Responsabilità:  Expedia Group garantisce la supervisione della responsabilità con

Misure per consentire la portabilità dei dati e garantire la cancellazione

  • Expedia Group è direttamente responsabile di garantire la conformità alle leggi sulla
  • La politica di conservazione dei dati di EG stabilisce periodi di conservazione diversi e

Per i trasferimenti a sub-responsabili del trattamento, descrivere anche le misure tecniche e organizzative specifiche che il sub-responsabile deve adottare per poter fornire assistenza al titolare del trattamento e, per i trasferimenti da un responsabile a un sub-responsabile, all'esportatore dei dati 

  • Expedia Group conduce una due diligence sulle pratiche di sicurezza delle informazioni dei propri fornitori, ai quali richiede di soddisfare requisiti di sicurezza completi, inclusi gli obblighi che impongono ai fornitori di adottare e mantenere misure tecniche e organizzative adeguate.  
  • Expedia Group ha formalizzato una procedura dettagliata di Security Impact Assessment ("SIA"). Tutti i nuovi fornitori che accedono ai dati vengono sottoposti a verifica prima dell'ingaggio e, se necessario, durante il mandato. 
  • Inoltre, Expedia Group adotta condizioni rigorose per i fornitori di servizi di elaborazione che vengono imposte a tutti i fornitori, garantendo una ricaduta a cascata degli obblighi a tutti i loro sub-incaricati.

 

Addendum sul trasferimento internazionale di dati alle Clausole contrattuali standard della Commissione europea (Addendum)

Il presente Addendum è stato emesso dal Commissario per le informazioni per le Parti che effettuano trasferimenti soggetti a limitazioni. Il Commissario per le informazioni ritiene che fornisca garanzie adeguate per i trasferimenti soggetti a limitazioni quando viene adottato come contratto legalmente vincolante.

Parte 1 Tabelle

Tabella 1: Parti

Data inizio

La data delle CCS a cui sono allegati (CCS UE).

Parti

Contatto principale

Esportatore: come da CCS dell'UE.

 

Importatore: come da CCS dell'UE.

 

Tabella 2: CCS selezionate, moduli e clausole selezionate

Addendum CCS UE

La versione delle CCS UE approvate a cui è allegato questo Addendum.

Tabella 3: Informazioni sull'Allegato

"Informazioni sull'Allegato" indica le informazioni che devono essere fornite per i moduli selezionati come indicato nell'Allegato delle CCS UE approvate (escluso le Parti) e che per il presente Addendum sono indicate in:

Allegato IA: Elenco delle Parti

Allegato IB: Descrizione del trasferimento

Allegato II: Misure tecniche e organizzative

Come da CCS dell'UE

Tabella 4: Cessazione del presente Addendum in caso di modifica dell'Addendum approvato.

Quali Parti possono cessare il presente Addendum come stabilito nella sezione 19

Nessuna delle parti

Parte 2: Clausole obbligatorie

Clausole obbligatorie dell'Addendum approvato, ovvero il modello di Addendum B.1.0 emesso dall'ICO e depositato presso il Parlamento in conformità alla Sezione 119A del Data Protection Act 2018 il 2 febbraio 2022, in quanto rivisto ai sensi della Sezione 18 di dette Clausole obbligatorie.