Part

Parten(e) som identifiseres som «du», TAAP-medlem eller tilsvarende begrep

Adresse

Som angitt i avtalen

Kontaktnavn, stilling og kontaktopplysninger for alle Expedia Group-parter

Account Manager bruker e-postadressen som Expedia-kontakten har blitt informert om

Aktiviteter som er relevante for data som overføres underlagt standardavtalevilkår

Bestillinger gjort via TAAP-nettstedet som vi gir deg tilgang til i samsvar med avtalen

Rolle

Behandlingsansvarlig

Part

Partene fra land utenfor EU som identifiseres som «oss» eller «Expedia» i avtalen

Adresse

Som avtalen angitt i

Kontaktpersons navn, stilling og kontaktopplysninger

Account Manager bruker e-postadressen som TAAP-medlemmets kontaktperson har fått beskjed om

Aktiviteter som er relevante for dataene som overføres i henhold til disse paragrafene

Bestillinger gjort via TAAP-nettstedet som vi gir deg tilgang til i samsvar med avtalen

Rolle

Behandlingsansvarlig

Kategorier av registrerte personer

Kunder og TAAP-medlemmer og deres underbrukere

Kategorier av personopplysninger

Identifikasjonsdata:

1. for- og etternavn (til agent og reisende)
2. fødselsdato
3. kjønn
4. påloggingsdetaljer (agent)

Kontaktopplysninger:

1. postadresse
2. e-postadresse
3. telefonnumre (fast og mobil)
4. faksnummer
5. Andre kontaktoplysninger
6. o fødselsdato (for flyreiser)
7. kjønn (for flyreiser)
8. kjønn (for flyreiser)
9. TSA-detaljer

Økonomiopplysninger:

1. kontonummer
2. bankopplysninger
3. informasjon om betalingskort

Reiseinformasjon: bestillingshistorikk og reisepreferanser

Når det gjelder skattemyndigheter, kun:

1. organisasjonsnummer

Annen informasjon som er forespurt av og avtalt med TAAP-medlemmet, inkludert, men ikke begrenset til, personopplysninger som kreves i forbindelse med

1. rapportering, overvåking og analyser
2. rapportering, overvåking og analyser

Sensitive data

Ingen, med mindre en person oppgir det frivillig for å dekke sitt tilgjengelighetsbehov på reise

Hvor ofte overføringen skjer (f.eks. om dataene kun overføres én gang, eller om det skjer kontinuerlig)

Kontinuerlig eller ved behov i samsvar med behovene til TAAP-medlemmets virksomhet

Behandlingens art

Alle behandlingsoperasjoner som kreves i forbindelse med formålene som angis nedenfor

Formål med dataoverføring og videre behandling

Tillatte formål, som definert i avtalen

Hvor lenge personopplysningene vil bli lagret, eller, hvis det ikke kan angis, hvilke kriterier som brukes til å fastsette hvor lenge de lagres

I samsvar med Expedia Groups retningslinjer for oppbevaring, forutsatt at i den grad TAAP-personopplysninger oppbevares utover avtalens avslutning på grunn av sikkerhetskopiering eller juridiske grunner, vil Expedia fortsatt beskytte slike personopplysninger i samsvar med avtalen

Ved overføringer til (under)databehandlere må også emne, art og varighet for behandlingen oppgis

https://support.ean.com/hc/en-us/articles/360000986389-EAN-Data-Services-Vendor-List med de til enhver tid gjeldende oppdateringer

• Kategorier av registrerte personer
• Kategorier av personopplysninger
• Sensitive data

Som angitt i modul én (1)

• Hyppighet av overføring
• Type behandling
• Formål

Som angitt i modul én (1)

Hvor lenge personopplysningene vil bli lagret, eller, hvis det ikke kan angis, hvilke kriterier som brukes til å fastsette hvor lenge de lagres

I samsvar med oppbevaringspolicyen til TAAP-medlemmet

Ved overføringer til (under)databehandlere må også emne, art og varighet for behandlingen oppgis

Ikke aktuelt

EMNE

TILTAK

TILTAKpseudonymisering og kryptering av personopplysninger

• Expedia Group støtter bransjestandard krypteringsprotokoller for dataoverføring basert på Expedia Groups standard for informasjon, klassifisering og behandling.
• Krav til databehandling er basert på kategorier.Avhengig av hva slags data som behandles, er det etablert ulike sikkerhetskrav i hele Expedia Group.Kredittkortdata blir for eksempel betraktet som så sensitive at de må krypteres både under transport og lagring.
• Personopplysningene til kunden (og dens ansatte) blir pseudonymisert (og anonymisert) av Expedia Group når det er mulig, og når det kreves i henhold til EGs informasjons-, klassifiserings- og behandlingsstandarder.
• Kredittkortnumre blir tokenisert/pseudonymisert for å eliminere behandling av kredittkortnumre i klartekst.
• Expedia Group bruker krypterte forbindelser via VPN, SSL osv. og bruker mekanismer for flerfaktorautentisering.

Tiltak for å sikre vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet i behandlingssystemer og tjenester

• Expedia Group vedlikeholder ansvar og prosedyrer for ledelse og drift av alle informasjonsbehandlingsfasiliteter for å sikre en fullstendig, gyldig og presis databehandling.
• Overvåkingen av sentrale behandlingsfasiliteter er etablert, med et robust SOX-program som fortløpende tester og attesterer kontrollen med databehandlingen og dataintegriteten.
• Bransjestandard logging og overvåking er etablert på EGs systemer for å sikre og beskytte mot uautorisert tilgang, endring og/eller sletting.  
• Expedia Group bevarer robuste tjenester gjennom redundant arkitektur, datareplikering og integritetskontroll.

Tiltak for å sikre evne til rask gjenoppretting av tilgangen til personopplysninger ved fysiske eller tekniske hendelser

• Expedia Groups systemer er spesielt utviklet for å hindre eller forebygge vanlige angrep og sikre tilgang for drift, overvåking og vedlikehold. Av den grunn gjennomfører Expedia Group jevnlig simulerte tester og revisjoner for å kontrollere at systemene alltid er tilgjengelige.
• Servere er utbedret mot Expedia Groups robuste oppdateringspolicy og beskyttet med bransjestandard AV/AM-programmer. I tillegg gjennomføres sårbarhetsvurderinger, grundige tester og nettverksgjennomganger for å sikre at EGs systemer vedlikeholdes.
• Tilgjengelighets- og pålitelighetsovervåking er etablert for å sikre at Expedias nettsteder forblir online med minimale tjenesteavbrudd.  
• Expedia Group vedlikeholder en krisegjenopprettingsplan for krisesituasjoner og beredskapsplaner som sikrer at kundetjenester pågår uavbrutt i henhold til alvorlighetsgrad og testes jevnlig for å sikre levedyktighet.

Prosesser for jevnlig testing, vurdering og evaluering av effekten av tekniske og organisatoriske tiltak for å sørge for sikker behandling

• Expedia Groups tekniske og organisatoriske tiltak revideres årlig av eksterne rådgivere samt av robuste interne testprosedyrer.
• EG gjennomfører årlige PCI-vurderinger ved å bruke en tredjeparts rådgiver og sikrer kontinuerlig overholdelse av PCI. 
• EGs omfattende interne testfunksjon består av en kvartalsvis sårbarhetstesting, intern og ekstern penetrasjonstesting samt skanning og vurdering av nettverk, system og brannmur..I tillegg gjennomfører en intern revisjonsavdeling årlige risikovurderinger for å prioritere driftsmessige revisjoner.  

Tiltak for brukeridentifikasjon og godkjenning Tiltak for å beskytte data under overføring Tiltak for å beskytte data under lagring

• Expedia Groups systemer er på linje med bransjens beste praksis og har etablerte kommunikasjonspraksiser i form av timeout-økter, utestengningsprotokoller og robuste passord- og autentiseringskontroller. 
• Expedia Group opprettholder krav til kontolevering og -tilsyn for å hindre uautorisert tilgang eller misbruk av Expedia Group-informasjon og bruker bransjens beste praksis når det er påkrevd, ved for eksempel å bruke prinsippet om minst mulig privilegert tilgang, unike ID-er og flerfaktorautentisering for sterke godkjenningsformål.

Tiltak for fysisk sikring av steder der personopplysninger

• Et sikkerhetssenter er åpent døgnet rundt, med en formell hendelsesresponsplan som gjennomgås og testes minst hvert år..
• Alle systemer kontrolleres og testes jevnlig av eksterne tjenesteleverandører.   
• Hver Expedia Group-kunde får sin egen kunde-ID.Alle datasettene til den respektive kunden lagres under denne ID-en, og alle kundedata er logisk atskilt.På grunn av administratortilgang og databasestrukturer kan kunden kun få tilgang til datasett som er tilordnet den aktuelle bruker-ID-en samt datasentre/AWS-kontroller.   
• Kun personer som er uttrykkelig godkjent av Expedia, og som faktisk trenger tilgang, har tilgang til personopplysninger.Det er etablert kontroller og overvåking i systemet for å sikre minst mulig privilegert tilgang og hindre forsøk på uautorisert tilgang.

Tiltak for å sikre hendelseslogging

Expedia Group opprettholder robuste loggings- og overvåkingskrav for å registrere data av typen hvem, hva, hvor, når, mål, kilde og resultat for den loggede hendelsen.

Tiltak for å sikre systemkonfigurasjon inkludert standardkonfigurasjon Tiltak for intern IT og IT-sikkerhetsstyring og -administrasjon Tiltak for sertifisering/sikring av prosesser og produkter

• Expedia Groups (EG) informasjonssikkerhetsprogram er på linje med bransjens rammeverk og standarder, og utarbeider sitt risikostyringsprogram for å sikre en robust og total sikkerhetsposisjon.Expedia Group vedlikeholder sikre driftsprosesser for å støtte sikkerheten, tilgjengeligheten, integriteten og konfidensialiteten til miljøet og kundedataene.  
• Expedia Groups byggestandarder tilrettelegger kun for systemkomponenter, tjenester og protokoller som dekker et forretningskrav.Operativsystemer, databaser og generelle programmer må kunne oppdages for å oppfylle juridiske og myndighetspålagte revisjonskrav, støtter verktøy for konfigurasjonsadministrasjon eller bruker konfigurasjonsadministrasjon som kan håndheve sikkerhetskontroller, må aktivere kryptering for all ekstern administrativ tilgang til et system, vise riktig bruk av systemet, sørge for at systemet overvåkes for å oppdage feil bruk og annen ulovlig aktivitet, og det er ingen forventning om at personvernet håndheves mens du bruker systemet
• Expedia Group har en lagdelt / forsvar i dybden-strategi i forbindelse med sikkerhetKritiske funksjoner og kontroller er etablert i hele virksomheten (blant annet anti-malware, WAF, nettverkssegmentering og DLP) ved å bruke visse retningslinjer, operasjoner og teknologier til å sikre at miljøet overvåkes gjennom en sentral sikkerhetsorganisasjon, og med god respons på varsler.
• Vert for Expedias systemer er Amazon Web Services (AWS) og datasentre som årlig sender SOC 2-rapporter til Expedia Group for å dokumentere samsvar.  

Tiltak for å sikre dataminimering Tiltak for å sikre datakvalitet Tiltak for å sikre begrenset datalagring Tiltak for å sikre ansvarlighet

• Minimering: Expedia Group sikrer at kun en minimal mengde data samles inn, behandles og lagres. Vi bruker kun identifiserbart format der det er nødvendig.  
• Lagring: Expedia Groups retningslinjer for datalagring angir ulike oppbevaringsperioder og rutiner for sikkerhetskopiering avhengig av datakategori, inkludert alle juridiske forpliktelser eller andre unntak som krever at slike data oppbevares inntil visse juridiske forpliktelser knyttet til for eksempel skatte- og regnskapsformål, ikke lenger gjelder  
• Kvalitet: Expedia Group har et formalisert kvalitetsstyringsprogram, CEM-programmet (Customer Experience Management).Vi i EGs miljø jobber alltid for forbedring og prøver å strømlinjeforme og effektivisere prosessene våre for å kunne levere høykvalitets tjenester og kommunikasjon med våre partnere, kunder og reisende.
• Ansvarlighet: Expedia Group sikrer ansvarlighetstilsyn med konsekvent implementering av retningslinjer, bransjeforskrifter/--rammeverk og juridiske krav ved å opprettholde et formalisert styringsprogram og en avdeling for håndtering av juridiske/personvernrelaterte spørsmål.

Tiltak for å tillate dataportabilitet og sikre sletting

• Expedia Group er direkte ansvarlig for å sikre overholdelse av personvernlover (inkludert i forbindelse med forespørsler fra registrerte personer). Expedia Group svarer på alle forespørsler fra registrerte, inkludert om tilgang, sletting og portabilitet, i samsvar med gjeldende personvernlovgivning 
• EGs retningslinjer for datalagring angir ulike oppbevaringsperioder og sikkerhetskopirutiner avhengig av kategorien med data, inkludert alle juridiske forpliktelser eller andre unntak som krever at slike data oppbevares inntil visse juridiske forpliktelser knyttet til for eksempel skatte- og regnskapsformål ikke lenger gjelder. Hvis Expedia Group ikke kan ødelegge personopplysninger, skal Expedia Group fortsette å overholde de aktuelle beskyttelselsestiltakene i avtalen mellom partene om slike personopplysninger og avslutte all videre behandling.

Ved overføringer til (under)databehandlere kreves også en beskrivelse av de spesifikke tekniske og organisatoriske tiltakene som skal iverksettes av (under)databehandler for å kunne yte bistand til behandlingsansvarlige og, ved overføringer fra en databehandler til en (under)databehandler, til dataeksportøren

• Expedia group foretar selskapsgjennomgang av leverandørenes informasjonssikkerhetspraksis og krever at leverandørene overholder omfattende sikkerhetskrav, inkludert leverandørenes plikt til å etablere og vedlikeholde egnede tekniske og organisatoriske tiltak.
• Expedia Group har formalisert en detaljert prosess for å vurdere sikkerhetskonsekvenser («SIA» - Security Impact Assessment).Alle nye leverandører som får tilgang til data, blir screenet både før de engasjeres, og i løpet av perioden hvis det er nødvendig.
• I tillegg har Expedia Group også robuste vilkår for leverandørers databehandling som pålegges alle leverandører for å sikre at alle forpliktelser som de pålegges, overføres videre til deres eventuelle underbehandlere.

Tabell 1: Parter

Startdato

Datoen for standardavtalevilkårene som disse er knyttet til (EU SCC).

Parter

Viktig kontakt

Eksportør: som angitt i EUs standardavtalevilkår.

Importør: som angitt i EUs standardavtalevilkår.

Tabell 2: Utvalgte standardavtalevilkår og moduler samt utvalgte paragrafer

Tillegg EUs standardavtalevilkår

Versjonen av EUs godkjente standardavtalevilkår som dette tillegget er vedlagt.

Tabell 3: Vedleggsinformasjon

"Vedleggsinformasjon" betyr informasjon som må oppgis for de valgte modulene som angitt i vedlegget til de godkjente standardavtalevilkårene fra EU (utenom partene), og som for dette tillegget er angitt i:

Vedlegg IA: Liste over parter

Vedlegg IB: Beskrivelse av overføring

Vedlegg II: Tekniske og organisatoriske tiltak

I henhold til EUs standardavtalevilkår

Tabell 4: Avslutte dette tillegget når det godkjente tillegget endres

Hvilke parter kan avslutte dette tillegget som angitt i avsnitt 19

Ingen av partene

Part

Parten(e) som identifiseres som «du», TAAP-medlem eller tilsvarende begrep

Adresse

Som angitt i avtalen

Kontaktnavn, stilling og kontaktopplysninger for alle Expedia Group-parter

Account Manager bruker e-postadressen som Expedia-kontakten har blitt informert om

Aktiviteter som er relevante for data som overføres underlagt standardavtalevilkår

Bestillinger gjort via TAAP-nettstedet som vi gir deg tilgang til i samsvar med avtalen

Rolle

Behandlingsansvarlig

Part

Partene fra land utenfor EU som identifiseres som «oss» eller «Expedia» i avtalen

Adresse

Som angitt i avtalen

Kontaktpersons navn, stilling og kontaktopplysninger

Account Manager bruker e-postadressen som TAAP-medlemmets kontaktperson har fått beskjed om

Aktiviteter som er relevante for dataene som overføres i henhold til disse paragrafene

Bestillinger gjort via TAAP-nettstedet som vi gir deg tilgang til i samsvar med avtalen

Rolle

Behandlingsansvarlig

Kategorier av registrerte personer

Kunder og TAAP-medlemmer og deres underbrukere

Kategorier av personopplysninger

Identifikasjonsdata:

1. for- og etternavn (til agent og reisende)
2. fødselsdato
3. kjønn
4. påloggingsdetaljer (agent)

Kontaktopplysninger:

1. postadresse
2. e-postadresse
3. telefonnumre (fast og mobil)
4. faksnummer
5. andre kontaktopplysninger
6. fødselsdato (for flyreiser)
7. kjønn (for flyreiser)
8. nasjonalitet (fra pass)
9. TSA-detaljer

Økonomiopplysninger:

1. kontonummer
2. bankopplysninger
3. informasjon om betalingskort

Reiseinformasjon: bestillingshistorikk og reisepreferanser

Når det gjelder skattemyndigheter, kun:

1. organisasjonsnummer

Annen informasjon som er forespurt av og avtalt med TAAP-medlemmet, inkludert, men ikke begrenset til, personopplysninger som kreves i forbindelse med

1. rapportering, overvåking og analyser
2. automatisk pålogging og bonusordninger

Sensitive Data

None, unless it is voluntarily provided by an individual to meet their accessibility needs for travel.

The frequency of the transfer (e.g. whether the data is transferred on a one-off or continuous basis).

Continuous or ad hoc basis in accordance with the needs of TAAP Member’s business

Nature of the processing

All processing operations required to facilitate purposes set out below

Purpose(s) of the data transfer and further processing

Permitted Purposes, as defined in the Agreement

The period for which the personal data will be retained, or, if that is not possible, the criteria used to determine that period

In accordance with the retention policy of the Expedia Group, provided that to the extent that any TAAP Personal Data is retained beyond the termination of the Agreement for back up or legal reasons, Expedia will continue to protect such personal data in accordance with the Agreement

For transfers to (sub-) processors, also specify subject matter, nature and duration of the processing

as updated from time to time

· Categories of data subject

· Categories of Personal Data

· Sensitive Data

As per Module (1)

· Frequency of transfer

· Nature of processing

· Purposes

As per Module (1)

The period for which the personal data will be retained, or, if that is not possible, the criteria used to determine that period

In accordance with the retention policy of TAAP Member

For transfers to (sub-) processors, also specify subject matter, nature and duration of the processing

Not applicable

SUBJECT

MEASURE

Measures of pseudonymisation and encryption of personal data  

· Expedia Group supports industry standard encryption protocols for data transmission based on Expedia Group’s Information Classification and Handling Standard. 

· Data handling requirements are based on a categorical basis. Depending on the data being handled, different security requirements are in place across Expedia Group. For example, credit card data is considered Highly Sensitive and required to be encrypted both in transit and at rest.  

· Personal data of the customer (and its employees) is pseudonymized (and anonymized) by Expedia Group when possible and as required according to EG’s Information, Classification and Handling Standards.

· Credit card numbers are tokenized/pseudonymized to eliminate processing of cleartext credit card numbers. 

· Expedia Group utilizes encrypted connections through VPN, SSL, etc. and utilizes multi-factor authentication mechanisms. 

Measures for ensuring ongoing confidentiality, integrity, availability and resilience of processing systems and services 

· Expedia Group maintains responsibilities and procedures for the management and operation of all information processing facilities to ensure complete, valid and accurate processing of data.  

· The monitoring of key processing facilities is in place, with a robust SOX program where controls over data processing and integrity are tested and attested to on an ongoing basis.  

· Industry standard logging and monitoring is in place on EG’s systems to ensure and protect against unauthorized access, modification and/or deletion.

· Expedia Group maintains service resilience through redundant architecture, data replication, and integrity checking. 

Measures for ensuring the ability to restore the availability and access to personal data in a timely manner in the event of a physical or technical incident

· Expedia Group’s systems are specifically designed to impede or prevent common attacks and ensure availability for operation, monitoring and maintenance. For this purpose, Expedia Group regularly carries out simulated tests and audits to confirm that its systems maintain availability.

· Servers are patched against Expedia Group’s robust patching policy and protected by industry standard AV/AM programs. Additionally, vulnerability assessments, thorough testing, and network reviews are conducted to ensure EG’s systems are maintained.

· Availability and reliability monitoring is in place to ensure Expedia sites remain online, with minimal interruptions of service.

· Expedia Group maintains a Disaster Recovery Plan that accounts for emergencies and contingency plans to ensure that customer services are uninterrupted according to severity and are tested regularly to ensure viability.

Processes for regularly testing, assessing and evaluating the effectiveness of technical and organisational measures in order to ensure the security of the processing

· Expedia Group’s technical and organizational measures are audited annually by external assessors as well as through robust internal testing.

· EG conducts annual PCI assessments utilizing a third-party assessor and ensures ongoing compliance with PCI.

· EG’s comprehensive internal testing function is comprised of quarterly vulnerability testing, internal and external penetration testing, network, system and firewall scanning and reviews. Additionally, an internal audit department conducts annual risk assessments to prioritize operational audits.

Measures for user identification and authorisation Measures for the protection of data during transmission Measures for the protection of data during storage

· Expedia Group systems are aligned with industry best practices and have in place communication practices such as time-out sessions, lock-out protocols, and robust password and authentication controls.

· Expedia Group maintains requirements for account provisioning and oversight to prevent unauthorized access or misuse of Expedia Group information and uses industry best practices as required, such as the Least Privilege Access principle, unique ID’s and multi factor authentication for strong authentication purposes.

Measures for ensuring physical security of locations at which personal data are processed

· A Security Operations Center provides 24x7 coverage, with a formal incident response plan reviewed and tested at least annually.

· All systems are regularly controlled and tested by external service providers.

· Each Expedia Group customer receives their own customer ID. All datasets of the respective customer are stored under this ID and all customer data is logically segregated. Due to administration rights and database structures, the customer can only access datasets which are assigned to that user ID and data centers/AWS controls.

· Only persons who are expressly authorized by Expedia and have a ‘need to know’ have access to personal data. Controls and monitoring are in place to ensure least privileged access and unauthorized access attempts to the system.

Measures for ensuring events logging

Expedia Group maintains robust logging and monitoring requirements to account for the who, what, where, when, target, source, and success/failure of the logged event.

Measures for ensuring system configuration, including default configuration Measures for internal IT and IT security governance and management Measures for certification/assurance of processes and products

· Expedia Group’s (EG) Information Security program is aligned with industry frameworks and standards, working through its risk management program to ensure a robust and comprehensive security posture. Expedia Group maintains secure operational processes to support the security, availability, integrity and confidentiality of the environment and customers’ data.

· Expedia Group’s build standards only enable system components, services, and protocols that serve a business requirement. Operating Systems, databases, and off-the-shelf applications must be discoverable to satisfy legal and regulatory audit requirements, supports configuration management tools, or deploys configuration management that successfully enforces security controls, must enable encryption for all remote administrative access to a system, display proper use of the system, the system is being monitored to detect improper use and other illicit activity there is no expectation of privacy while using the system.

· Expedia Group takes a layered / defence-in-depth strategy to security. Critical capabilities and controls are in place across the enterprise (e.g.: anti-malware, WAF, network segmentation, DLP, etc.), utilizing a suite of policies, operations and technologies to ensure the environment is monitored through a central security organization and alerts responded to accordingly.

· Expedia's systems are hosted on Amazon Web Services (AWS) and in Data Centers that provide Expedia Group with annual SOC 2 reports to ensure compliance.

Measures for ensuring data minimisation Measures for ensuring data quality Measures for ensuring limited data retention Measures for ensuring accountability

· Minimisation: Expedia Group ensures only minimum amount of data is collected, processed and stored.   We only use identifiable format where necessary.

· Retention: The Expedia Group data retention policy sets out different retention periods and backups depending on the category of data, including any legal obligation or other exemption which requires such data to be retained until certain legal obligations, such as tax and accounting purposes, have been extinguished.

· Quality: Expedia Group has a formalized, quality management program, the Customer Experience Management (CEM) program. We are always striving for improvement within EG’s environment and seeking to streamline processes for higher efficiencies resulting in consistent, high-quality services and interactions with our partners, clients and travelers.

· Accountability: Expedia Group ensure accountability oversight with consistent implementation of policies, industry regulations/frameworks and legal requirements by maintaining a formalized Governance program, and Legal/Privacy body.

Measures for allowing data portability and ensuring erasure

· Expedia Group is directly responsible for ensuring compliance with data protection laws (including in relation to requests from data subjects). Expedia Group responds to all subject requests, including Access, deletion and portability in accordance with applicable data protection law.

· EG’s data retention policy sets out different retention periods and backups depending on the category of data, including any legal obligation or other exemption which requires such data to be retained until certain legal obligations, such as tax and accounting purposes, have been extinguished. In the event that Expedia Group is unable to destroy Personal Data, Expedia Group shall continue to extend relevant protections of the Agreement between the parties governing such personal data and terminate any further processing.

For transfers to (sub-) processors, also describe the specific technical and organisational measures to be taken by the (sub-) processor to be able to provide assistance to the controller and, for transfers from a processor to a sub-processor, to the data exporter 

· Expedia group conducts due diligence into the information security practices of its vendors and requires vendors to meet comprehensive security requirements, including obligations requiring vendors to have in place and maintain appropriate technical and organisational measures.

· Expedia Group has formalised a detailed Security Impact Assessment (“SIA”) process. All new vendors accessing data are screened prior to engagement and during the term where necessary.

· Additionally, Expedia Group also has robust vendor processor terms that are imposed on all vendors, ensuring the flow down of obligations to any of their sub-processors.

Table 1: Parties

Start Date

The Date of the SCCs to which these are attached (EU SCCs).

Parties

Key Contact

Exporter: As per EU SCCs.

Importer: As per EU SCCs.

Table 2: Selected SCCs, Modules and Selected Clauses

Addendum EU SCCs

The version of the Approved EU SCCs which this Addendum is appended to.

Table 3: Appendix Information

“Appendix Information” means the information which must be provided for the selected modules as set out in the Appendix of the Approved EU SCCs (other than the Parties), and which for this Addendum is set out in:

Annex IA: List of Parties

Annex 1B Description of Transfer

Annex II: Technical and organisational measures

As per EU SCCs

Table 4: Ending this Addendum when the Approved Addendum changes

Which Parties may end this Addendum as set out in Section 19

Neither Party