TAAP-Privacybepalingen – Overeenkomst tussen verwerkingsverantwoordelijken (Controller to Controller, C2C), inclusief SCB's

Schema 4 (TAAP)

De originele Engelse versie van deze C2C-overeenkomst kan zijn vertaald in andere talen.In het geval van inconsistentie of strijdigheden tussen de Engelstalige versie en een anderstalige versie van deze Overeenkomst, prevaleert de Engelstalige versie.

TOEPASSINGSGEBIED:Wanneer zowel Expedia als u persoonsgegevens verwerken als onderdeel van een overeenkomst (die de vorm kan hebben van online clickwrap-voorwaarden) die is aangegaan met de andere partij (op grond waarvan u bent aangesteld als marketingpartner onder TAAP, en alle relevante activiteiten uitvoert die verband houden met een dergelijke activiteit, hier de ‘ ‘Relevante activiteiten’genoemd), dan is deze wereldwijde overeenkomst tussen verwerkingsverantwoordelijken (‘C2C-overeenkomst’)een aanvulling op en van toepassing op een dergelijke overeenkomst tussen de partijen in verband met de Relevante activiteiten (de ‘Overeenkomst’). De C2C-overeenkomst omvat aanvullende voorwaarden, eisen en voorwaarden waaronder ‘Expedia’en u‘wij’ en ‘ons’ naar Expedia, Inc. en/of enige andere Expedia Group-onderneming(en) die partij is/zijn bij de Overeenkomst. ‘U’ verwijst naar de entiteit vermeld op de aanvraag zoals beschreven in de Overeenkomst. Alle verwijzingen naar Expedia of u worden opgevat als meervoudige termen voor zover vereist door de Overeenkomst.

DEFINITIES EN INTERPRETATIE 

1.1 Deze C2C-overeenkomst is onderworpen aan de voorwaarden van de Overeenkomst en is opgenomen in de Overeenkomst. Interpretaties en gedefinieerde termen vermeld in de Overeenkomst zijn van toepassing op de interpretatie van deze C2C-overeenkomst, tenzij anders bepaald in deze C2C-overeenkomst; en:

  1. passende technische en organisatorische maatregelen, verwerkingsverantwoordelijke, persoonsgegevens, inbreuk in verband met persoonsgegevens, verwerken/verwerking en toezichthoudende autoriteit (of redelijkerwijs gelijkwaardige termen) hebben de betekenis die eraan wordt gegeven in de Toepasselijke Gegevensbeschermingswetgeving;
  2. Toepasselijke Gegevensbeschermingswetgeving betekent alle toepasselijke wet- en regelgeving in elk relevant rechtsgebied met betrekking tot het gebruik of de verwerking van persoonsgegevens;
  3. CBPR-land betekent een land dat een volwaardig of geassocieerd lid is van het CBPR-systeem;
  4. Toegelaten Doeleinde betekent het doeleinde van (i) het vervullen van Boekingen; (ii) het bieden van ondersteuning voor Boekingen; (iii)TAAP-registratie en accountadministratie; (iv) betaling van Commissie en andere bedragen op grond van deze Overeenkomst; (v) het genereren van rapporten voor u en elke verdere verwerking die vereist is voor vereffening, afhandeling van klachten en vergelijkbare activiteiten met betrekking tot de uitvoering van de Overeenkomst; (vi) ondersteuning voor TAAP-accounts; (vii) communicatie aan TAAP-leden en Subgebruikers; (viii) het verbeteren van onze diensten, met inbegrip van het optimaliseren van de boekingservaring; (ix) het opstellen van rapporten voor statistieken, sectorexpertise en bedrijfsrapportage (x) fraudepreventie; (xi) het reageren op wetshandhavingsverzoeken en op auditverzoeken van fiscale autoriteiten; (xii) ) het faciliteren van zakelijke activatransacties (wat onder meer fusies, overnames of de verkoop van activa kan betreffen); en (xiii) het anderszins voldoen aan onze verplichtingen op grond van de Overeenkomst, het privacybeleid van Expedia en toepasselijke wetgeving; en (xiv) voor het bepalen, berekenen en rapporteren van Reisbelastingen en andere toepasselijke belastingdoeleinden zoals van tijd tot tijd vereist kan zijn;
  5. DPFbetekent een EU-VS Data Privacy Framework-certificering van het Amerikaanse ministerie van Handel of een vervangend of aanvullend certificeringsmechanisme zoals van tijd tot tijd wordt goedgekeurd door de Europese Commissie (of een andere relevante nationale autoriteit), en omvat alle aanvullende adequaatheidsbesluiten die door een ander land worden uitgevaardigd en die de uitbreiding van de DPF tussen de VS en dat derde land mogelijk maken (bijvoorbeeld, maar niet beperkt tot, het Verenigd Koninkrijk en Zwitserland);
  6. DPF-land betekent een land in de EER, het Verenigd Koninkrijk, Zwitserland en enig ander land of regio waarvan de relevante autoriteiten ermee hebben ingestemd om de werking van het DPF uit te breiden tot dat land/die regio;
  7. EER betekent de Europese Economische Ruimte;
  8. Land van beperkte doorgifte betekent elk land in de Europese Economische Ruimte, Zwitserland, het Verenigd Koninkrijk en Brazilië;
  9. Gegevens van beperkte doorgifte zijn klantgegevens met betrekking tot een boeking die is gedaan via een verkooppunt dat wij toegankelijk stellen voor klanten in een Land van beperkte doorgifte;
  10. Standaardcontractbepalingen/SCB’s zijn de goedgekeurde standaardcontractbepalingen van de Europese Commissie voor de doorgifte van persoonsgegevens van de Europese Unie naar derde landen, zoals uitgegeven op 4 juni 2021 en van tijd tot tijd gewijzigd, vervangen, aangevuld of geüpdatet, waarvan de volledige huidige versie te vinden is via deze link: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en ;
  11. TAAP-persoonsgegevens betekent persoonsgegevens die u ons verstrekt via de TAAP-website of anderszins worden verwerkt in verband met TAAP zelf of ter facilitering van Boekingen die via de TAAP-website worden gedaan.
RELATIE TUSSEN DE PARTIJEN

1.2 Zowel u als wij verzamelen en verwerken persoonsgegevens om te voldoen aan onze respectievelijke rechten en verplichtingen op grond van de Overeenkomst en aan uw en onze respectievelijke verantwoordelijkheden op grond van toepasselijke wetgeving. Derhalve dient elk van de partijen: (i) persoonsgegevens te verwerken als onafhankelijke en autonome verwerkingsverantwoordelijken; (ii) de Toepasselijke Gegevensbeschermingswetgeving na te leven; en (iii) verantwoordelijk te zijn voor elk van hun handelingen of nalatigheden in strijd met de Toepasselijke Gegevensbeschermingswetgeving.

UW VERANTWOORDELIJKHEDEN

1.3 U dient met name: 

  1. te voldoen aan een wettelijke grondslag om TAAP-persoonsgegevens aan ons ter beschikking te stellen ter verwerking voor de Toegelaten Doeleinden;
  2. ervoor te zorgen dat klanten via uw privacybeleid en op enige andere passende wijze ervan op de hoogte worden gebracht dat hun persoonsgegevens met ons worden gedeeld voor de Toegelaten Doeleinden;
  3. Klanten naar ons privacybeleid te verwijzen voor meer informatie over onze behandeling van hun persoonsgegevens;
  4. met ons samen te werken en ons redelijke assistentie te verlenen om ons te helpen bij de naleving van de Toepasselijke Gegevensbeschermingswetgeving ten aanzien van onze verwerking van TAAP-persoonsgegevens in verband met de Overeenkomst; en
  5. te voldoen aan een wettelijke basis inzake het sturen van marketingcommunicatie naar Klanten.
ONZE VERANTWOORDELIJKHEDEN

1.4 Wij (en onze Groepsleden, indien van toepassing): 

  1. verwerken TAAP-persoonsgegevens uitsluitend in verband met een Toegelaten Doeleinde;
  2. maken de TAAP-persoonsgegevens, geheel of gedeeltelijk, aan niemand bekend, behalve in verband met een Toegelaten Doeleinde;
  3. werken samen met u en verlenen u redelijke assistentie om u te helpen bij de naleving van de Toepasselijke Gegevensbeschermingswetgeving ten aanzien van uw verwerking van TAAP-persoonsgegevens in verband met de Overeenkomst; en
  4. tonen onze rechtmatige, actuele cookiemelding (indien vereist) en ons privacybeleid op de TAAP-website en houden ons daaraan.
KLANTEN EN DERDE PARTIJEN

1.5 U erkent dat wij::

  1. e-mails naar Klanten kunnen sturen in verband met Boekingen;
  2. TAAP-persoonsgegevens (met inbegrip van bankgegevens) kunnen doorgeven aan onze externe dienstverleners ten behoeve van:
    1. het toekennen, beheren en ondersteunen van uw TAAP-account, de TAAP-account van uw Vertegenwoordigers en de TAAP-account van uw Subgebruikers;
    2. het bieden van ondersteuning voor Boekingen; en
    3. het betalen van Commissie en andere bedragen op grond van de Overeenkomst.
GEGEVENSBEVEILIGING EN SCHENDINGEN

1.6 U en wij, in onze respectieve hoedanigheid van verwerkingsverantwoordelijken, komen overeen dat we:

  1. passende technische en organisatorische maatregelen handhaven om de persoonsgegevens die worden verwerkt, te beschermen tegen schendingen in verband met persoonsgegevens; enen
  2. in het geval van een bevestigde schending in verband met persoonsgegevens in systemen die in het bezit zijn van, of worden beheerd door, een partij, de andere partij onverwijld op de hoogte te brengen indien de schending in verband met persoonsgegevens zowel (i) betrekking heeft op TAAP-persoonsgegevens die ook door de andere partij in het kader van de Overeenkomst worden verwerkt; als (ii) meldbaar is aan een toezichthoudende autoriteit, met volledige vermelding van de bijzonderheden ervan. In een dergelijk geval dienen beide partijen op redelijke wijze en te goeder trouw samen te werken om de gevolgen van een schending in verband met persoonsgegevens te herstellen of te verminderen. De redelijke kosten van een dergelijke samenwerking dienen te worden gedragen door de partij bij wie de schending in verband met persoonsgegevens zich heeft voorgedaan.
GRENSOVERSCHRIJDENDE DOORGIFTEN

1.7 Grensoverschrijdende doorgiften(DPF): De Partijen komen overeen en erkennen dat in deze bepaling 1.7 overal waar het woord ‘doorgifte’ wordt gebruikt, dit ook toegang omvat die wordt verleend door een gegevensverantwoordelijke/verwerker aan een andere gegevensverantwoordelijke/verwerker en:

  1. Algemeen: Geen van de Partijen zal Relevante Persoonsgegevens doorgeven (en zal geen enkele andere partij toestaan om Persoonsgegevens door te geven) buiten het grondgebied van oorsprong, tenzij die Partij alle vereiste nalevingsmaatregelen treft om een dergelijke doorgifte wettelijk mogelijk te maken in overeenstemming met Toepasselijke wetgeving inzake gegevensbescherming.
  2. Regio Azië-Pacific en CBPR:

    1. De Partijen komen overeen en erkennen dat:

      1. een CBPR-partij gebonden is aan een wettelijk afdwingbare reeks verplichtingen om bescherming te bieden die vergelijkbaar is met de Toepasselijke wetgeving inzake gegevensbescherming; en
      2. Expedia een CBPR-partij is.

      Wanneer het Bedrijf ook een CBPR-partij is, zullen de bepalingen van deze paragraaf (b) in twee richtingen worden geïnterpreteerd.

    2. Behoudens paragraaf (iii) hieronder, komen de Partijen overeen dat wanneer:

      1. Relevante Persoonsgegevens worden doorgegeven van een CBPR-land naar een ander CBPR-land; en
      2. de gegevensimporteur een CBPR-partij is,

      dan, voor zover en zolang het CBPR-systeem een door een relevante toezichthoudende autoriteit erkende methode van doorgifte is, het CBPR-systeem het overeengekomen mechanisme is voor grensoverschrijdende doorgifte van Relevante Persoonsgegevens aan die CBPR-partij.

    3. Het CBPR-systeem is alleen van toepassing op doorgiften waarbij ten minste één van de Partijen is gevestigd in een land in de regio Azië-Pacific dat ook een CBPR-land is.

    4. Expedia bevestigt dat het voor de Relevante Persoonsgegevens ten minste hetzelfde beschermingsniveau zal bieden dat is vereist onder het CBPR-systeem; en het zal de andere Partij onmiddellijk op de hoogte stellen als het vaststelt dat het niet langer dit beschermingsniveau kan bieden. In een dergelijk geval, of als de andere Partij anderszins redelijkerwijs van mening is dat Expedia de Relevante Persoonsgegevens niet beschermt volgens de standaard die door het CBPR-systeem wordt vereist, mag de andere Partij:

      1. Expedia opdragen redelijke en passende stappen te ondernemen om enige ongeoorloofde verwerking te stoppen en te herstellen, in welk geval de Partijen onmiddellijk te goeder trouw zullen samenwerken om dergelijke stappen te identificeren, overeen te komen en uit te voeren;
      2. een alternatieve waarborg overeenkomen die van toepassing kan zijn op de verwerking volgens de Toepasselijke wetgeving inzake gegevensbescherming; of
      3. als (A) en (B) er niet in slagen het probleem op te lossen, deze C2C-overeenkomst en de Overeenkomst (of, naar keuze van de andere Partij, elk betrokken deel daarvan) zonder boete beëindigen door kennisgeving aan Expedia.

      Als de andere Partij ook houder is van een actueel CBPR-systeemcertificaat, dan worden bovenstaande bepalingen geacht van toepassing te zijn alsof de verplichtingen in twee richtingen gelden.

  3. DPF: De Partijen komen overeen dat met betrekking tot de doorgifte van Gegevens van beperkte doorgifte tussen de Partijen naar de Verenigde Staten of naar een land dat niet als ‘passend’ wordt beschouwd onder de Toepasselijke wetgeving inzake gegevensbescherming van het Land van beperkte doorgifte van herkomst:
    1. voor zover en zolang het DPF een door een relevante autoriteit erkende methode van doorgifte is, het DPF het overeengekomen mechanisme is voor grensoverschrijdende doorgifte van gegevens afkomstig van een DPF-land naar Expedia in de Verenigde Staten; en
    2. voor zover en zolang het DPF geen geldige methode van doorgifte is (inclusief voor doorgiften van Gegevens van beperkte doorgifte naar een land dat niet als ‘passend’ wordt beschouwd onder de Toepasselijke wetgeving inzake gegevensbescherming van het Land van beperkte doorgifte van herkomst),

      de SCB's op dergelijke doorgiften van toepassing zijn en we die aangaan op basis van hetgeen in paragraaf (h) hieronder uiteen wordt gezet. Als Bedrijf ook een geldige DPF-certificering heeft, kunnen doorgiften van Gegevens van beperkte doorgifte aan Bedrijf op dezelfde manier worden gedaan in overeenstemming met DPF, met de SCB’s als terugvalmechanisme als uiteengezet in deze paragraaf en worden alle relevante paragrafen over de DPF geïnterpreteerd als van toepassing in twee richtingen.
  4. Met betrekking tot het DPF gaat Expedia ermee akkoord dat het hetzelfde beschermingsniveau zal bieden als vereist door het DPF. Als Bedrijf redelijkerwijs van mening is dat we de Gegevens van beperkte doorgifte niet beschermen volgens de standaard die door het DPF wordt vereist, kan Expedia ofwel:
    1. vertrouwen op de SCB's zoals uiteengezet in paragraaf (h) hieronder;
    2. of, als SCB's geen haalbare of geschikte oplossing bieden, aan Bedrijf redelijke en passende stappen voorstellen om de ongeoorloofde verwerking te stoppen en te herstellen en die we te goeder trouw zullen uitvoeren met commercieel redelijke inspanningen; of
    3. als de vangnetmaatregelen in bovenstaande paragrafen (i) of (ii) niet uitvoerbaar zijn, deze C2C-overeenkomst en de Overeenkomst zonder boete beëindigen.
  5. DPF-certificering: Als Bedrijf onder het DPF is gecertificeerd, zal Bedrijf voldoen aan de Kennisgeving- en keuzebeginselen van het DPF (zoals gedefinieerd in het EU-US DPF). Voor alle duidelijkheid: als Bedrijf niet DPF-gecertificeerd is of geen toegang heeft tot de Gegevens van beperkte doorgifte of deze niet ontvangt in een land dat ‘passend’ wordt geacht door de Europese Commissie, dan wordt er vertrouwd op de SCB's voor doorgiften van Gegevens van beperkte doorgifte van Expedia naar Bedrijf.
  6. Bekendmaking aan autoriteiten: De Partijen komen overeen dat elk van hen deze C2C-overeenkomst en alle relevante privacybepalingen in de Overeenkomst bekend mag maken aan het Amerikaanse ministerie van Handel, de Federal Trade Commission, elke Europese gegevensbeschermingsautoriteit of elke andere gerechtelijke of regelgevende instantie in de VS of de EU als zij daarom verzoeken, en dat een dergelijke bekendmaking niet wordt beschouwd als een schending van de vertrouwelijkheid.
  7. Uitbreiding van SCB's tot niet aan beperkingen onderworpen overdrachtslanden: Met betrekking tot de doorgifte van Relevante Persoonsgegevens tussen de Partijen die afkomstig zijn uit een land dat geen Land van beperkte doorgifte is, maar anderszins onderworpen is aan waarborgen die, volgens de Toepasselijke wetgeving inzake gegevensbescherming, moeten worden toegepast voordat een doorgifte van die Relevante Persoonsgegevens buiten het land van herkomst kan plaatsvinden (elk een Land van niet-beperkte doorgifte), komen de Partijen overeen dat:
    1. de SCB's in paragraaf (h) hieronder geacht worden van toepassing te zijn op deze aanvullende doorgiften, voor zover deze veronderstelde uitbreiding zou voldoen aan de waarborgen van dat specifieke land; en/of
    2. waar de maatregelen zoals uiteengezet in paragraaf (h) hieronder onvoldoende zijn of aanvullende maatregelen vereisen, de Partijen overeenkomen om dergelijke aanvullende maatregelen te treffen, met inbegrip van bijvoorbeeld de uitvoering van relevante documenten, het verkrijgen van toestemming, het doen van vereiste deponeringen, zoals van tijd tot tijd vereist kan zijn om te voldoen aan de Toepasselijke wetgeving inzake gegevensbescherming.
  8. SCB's: Met inachtneming van de voorgaande paragrafen van bepaling 3.5 komen de Partijen hierbij overeen de SCB's, die door middel van verwijzing in de Overeenkomst zijn opgenomen, op ongewijzigde basis aan te gaan, met uitzondering van de volgende selecties:
    1. Wanneer Bedrijf zich bevindt in de Europese Economische Ruimte of anderszins in een land dat als ‘passend’ wordt beschouwd in overeenstemming met artikel 45 van de AVG (Passend land), is alleen Module één (1) van de SCB's van toepassing in één richting met betrekking tot doorgiften van Bedrijf naar Expedia. Anders is Module één (1) in twee richtingen van toepassing om doorgiften te dekken van zowel Bedrijf naar Expedia als van Expedia naar Bedrijf.
    2. Voor de toepassing van bepaling 11(a) van de SCB’s wordt de optionele tekst geschrapt.
    3. Voor de toepassing van bepaling 13 van de SCB's is de relevante paragraaf “De toezichthoudende autoriteit van de lidstaat waarin de vertegenwoordiger in de zin van artikel 27, lid 1, van Verordening (EU) 2016/679 is gevestigd, zoals aangegeven in bijlage I.C, treedt op als bevoegde toezichthoudende autoriteit”.
    4. Voor de toepassing van bepaling 17 van de SCB's is het toepasselijke recht dat van Ierland.
    5. Voor de toepassing van bepaling 18(b) van de SCB's is de selectie Ierland.

    6. Gegevens van beperkte doorgifte. Een nieuwe bepaling 19 wordt toegevoegd aan de SCB's om de doorgifte te dekken van persoonsgegevens vanuit het Verenigd Koninkrijk, Zwitserland, Brazilië, Saudi-Arabië of Thailand naar een land dat niet passend wordt geacht onder de Toepasselijke wetgeving inzake gegevensbescherming van het land van herkomst en dat ook niet anderszins is vrijgesteld van de verplichting om standaardcontractbepalingen op te nemen, en wel als volgt:

       

      “Bepaling 19

      Doorgiften vanuit het Verenigd Koninkrijk, Zwitserland, Brazilië, Saudi-Arabië en Thailand

      De partijen komen overeen dat deze bepalingen, voor zover relevant voor de betreffende doorgifte, worden uitgebreid en van toepassing zijn op extraterritoriale doorgiften die vallen onder het toepassingsgebied van de Referentieprivacywet (in deze bepaling Referentiedoorgifte genoemd). In het kader van dergelijke Referentiedoorgiften wordt het toepasselijke recht geacht het relevante Referentieregelende recht te zijn, is de forumkeuze het Referentieland en is de Toezichthoudende referentieautoriteit de bevoegde toezichthoudende autoriteit. De Partijen komen verder overeen dat verdere wijzigingen dienen te worden aangebracht aan de Bepalingen met betrekking tot een Referentiedoorgifte zoals noodzakelijk wordt geacht door de Toezichthoudende referentieautoriteit om te voldoen aan de Referentieprivacywetten, en de Bepalingen zullen worden geïnterpreteerd in overeenstemming met de vereisten voor Referentiedoorgiften die voortvloeien uit die wetten of zoals anderszins uiteengezet in richtlijnen uitgegeven door de Toezichthoudende referentieautoriteit, zonder dat de Partijen afzonderlijke standaardcontractbepalingen hoeven aan te gaan die specifiek zijn opgesteld voor hun Referentiedoorgiften. De Partijen zullen verder alle handelingen en zaken doen die nodig zijn om naleving van de Referentieprivacyweten te waarborgen bij het uitvoeren van Referentiedoorgiften.

      LandReferentieprivacywetReferentieoverdrachtToepasselijke referentiewetgevingReferentielandToezichthoudende referentieautoriteit
      Verenigd KoninkrijkUK GDPR en Data Protection Act 2018VK-overdrachtVerenigd KoninkrijkVerenigd KoninkrijkInformation Commissioner's Office (ICO, Informatiecommissariaat)
      ZwitserlandFederal Act of Data Protection (FADP, Federale wetgeving inzake gegevensbescherming)Zwitserse doorgifteZwitserlandZwitserlandFederal Data Protection and Information Commissioner (FDPIC, Federale commissaris voor gegevensbescherming en informatie)
      BraziliëLei Geral de Proteção de Dados (Braziliaanse Algemene Wet Gegevensbescherming Nr. 13.709/18)Braziliaanse doorgifteBraziliëBraziliëAgência Nacional de Proteção de Dados (ANDP, Nationale gegevensbeschermingsautoriteit van Brazilië)
      Saudi-ArabiëWetgeving inzake bescherming van persoonsgegevens (PDPL)Saoedische doorgifteSaudi-ArabiëSaudi-ArabiëSaoedische autoriteit voor gegevens en kunstmatige intelligentie (SDAIA)
      ThailandWet Bescherming Persoonsgegevens B.E. 2562 (2019) (PDPA)Thaise overdrachtThailandThailandWetgeving inzake bescherming van persoonsgegevens (PDPC)

       

  9. Alle verwijzingen naar de Referentieprivacywet betekenen de toepasselijke referentiewetgevingen zoals deze van tijd tot tijd kunnen worden gewijzigd, aangevuld of vervangen.
  10. Alle verwijzingen naar een Toezichthoudende referentieautoriteit betekenen de autoriteit waarnaar wordt verwezen, dan wel enige opvolgende of vervangende bevoegde autoriteit.
  11. Met betrekking tot het Verenigd Koninkrijk zijn de bepalingen van het Addendum voor internationale doorgifte van gegevens bij de Standaardcontractbepalingen van de Europese Commissie van toepassing, zoals uiteengezet in het als addendum bijgevoegde formulier.

  12. Doorgiften vanuit derde landen:      
    Er wordt hierbij een nieuwe bepaling 20 toegevoegd ter dekking van de doorgifte van persoonsgegevens vanuit elk ander land dat tot op heden niet is gespecificeerd, waarbij de Standaardcontractbepalingen (SCB’s) kunnen worden uitgebreid om een passend beschermingsniveau te bieden voor doorgiften van persoonsgegevens vanuit dat land naar een partij buiten dat land.

    “Bepaling 20

    Doorgiften vanuit andere derde landen

    De Partijen komen overeen dat deze bepalingen worden uitgebreid en van toepassing zijn, voor zover relevant voor de betreffende doorgifte, om grensoverschrijdende doorgiften te dekken die vallen onder het toepassingsgebied van andere toepasselijke wet- en regelgeving in een relevant rechtsgebied met betrekking tot het gebruik of de verwerking van persoonsgegevens (Toepasselijke Gegevensbeschermingswetgeving) die voorwaarden en bescherming vereist die in grote lijnen gelijk zijn aan deze bepalingen, om persoonsgegevens van dat land (in deze bepaling het Derde land genoemd) door te geven naar een ander land (in deze Bepaling een Doorgifte vanuit een derde land genoemd). Voor de doeleinden van dergelijke Doorgiften vanuit derde landen wordt de toepasselijke wet geacht die van het Derde land te zijn, de forumkeuze het Derde land en de gegevensbeschermingsautoriteit of andere relevante regelgevende instantie van dat land de bevoegde toezichthoudende autoriteit. De Partijen komen verder overeen dat verdere wijzigingen worden verondersteld te zijn aangebracht in de Bepalingen met betrekking tot een Overdracht vanuit derde landen zoals door de toezichthoudende autoriteit noodzakelijk worden geacht om te voldoen aan de Toepasselijke wetgeving inzake gegevensbescherming van dat Derde land en dat de Bepalingen worden geïnterpreteerd in overeenstemming met de vereisten voor Doorgiften vanuit derde landen die voortvloeien uit deze wetten of zoals anderszins uiteengezet in de richtlijnen van de betreffende toezichthoudende autoriteit, zonder dat de Partijen afzonderlijke contractuele standaardbepalingen hoeven aan te gaan die specifiek zijn opgesteld voor hun Doorgiften vanuit derde landen. De partijen zullen verder alle handelingen en zaken doen die nodig zijn om naleving van de Toepasselijke Gegevensbeschermingswetgeving te waarborgen bij het uitvoeren van Doorgiften vanuit derde landen.”

1.8 Ten behoeve van SCC's::Bijlage één (1) (Overzicht verwerking volgens SCB's) bij dit Deel vijf (5) (Overzicht verwerking volgens C2C) vormt Bijlage één (1) van de SCB's;

  1. Waar Bedrijf onder de SCB's de gegevensimporteur is, vormen Deel twee (2) (Beveiligingsmaatregelen) en Deel drie (3) (Bedrijfscontinuïteit) van de Vereisten Bijlage twee (2) (Technische en Organisatorische Maatregelen) van de SCB's met betrekking tot Bedrijf; en
  2. Waar Expedia onder de SCB's de gegevensimporteur is, vormen Bijlage twee (2) (Technische en organisatorische maatregelen) van dit Deel vijf (5) Bijlage twee (2) (Technische en organisatorische maatregelen) van de SCB's met betrekking tot Expedia.

 

1.9 AANVULLENDE VERPLICHTINGEN :

  1. Uitsluitend voor de doeleinden van dit Deel 1.9 hebben de termen ‘toegang’, ‘bulk’, ‘betreffend land’, ‘gedekte gegevenstransactie’, ‘gedekte persoon’, ‘gevoelige persoonsgegevens’ en ‘persoon uit de VS’ de betekenis die daaraan wordt toegekend in 28 CFR Part 202 (‘DOJ Bulk Sensitive Data Rules’).
  2. Onverminderd de overige verplichtingen van Bedrijf uit hoofde van de Overeenkomst, zal Bedrijf, voor zover het gevoelige persoonsgegevens met betrekking tot Amerikaanse personen ontvangt, verkrijgt of anderszins verwerkt in verband met de Overeenkomst:
  3. Dergelijke gevoelige persoonsgegevens niet doorgeven of verder doorgeven, of anderszins toegang tot dergelijke gevoelige persoonsgegevens verschaffen, aan
    1. een gedekte persoon of betreffend land; of
    2. een onderaannemer, partner of derde partij, tenzij contractuele bescherming gelijkwaardig aan deze clausule van kracht is;
  4. zich niet inlaten met andere activiteiten of gedragingen die anders zouden resulteren in een schending van de DOJ Bulk Sensitive Data Rules door Expedia of Bedrijf; en
  5. alle bekende of vermoede schendingen van deze bepaling onmiddellijk rapporteren aan Expedia.
  6. Bedrijf bevestigt dat het voor deze Vereisten voldoet aan 28 CFR Part 202 en alle overige verboden, beperkingen of bepalingen die van toepassing zijn op de gegevens waarop deze Vereisten betrekking hebben. Bedrijf stemt ermee in om de naleving door Bedrijf van 28 CFR Part 202 op redelijk verzoek te certificeren aan Expedia. Bedrijf stemt ermee in om geen van de verbodsbepalingen van Executive Order 14117 van 28 CFR Part 202 te ontwijken of te omzeilen, er geen overtreding van te veroorzaken en die niet trachten te overtreden.

 

1.10 LOOPTIJD EN BEËINDIGING:

  1. Deze C2C-overeenkomst blijft volledig van kracht zolang de Overeenkomst van kracht blijft.
  2. Alle bepalingen in deze C2C-overeenkomst die op of na beëindiging van de Overeenkomst uitdrukkelijk of stilzwijgend van kracht moeten worden of blijven om Persoonsgegevens van Verwerkingsverantwoordelijke te beschermen, blijven onverminderd van kracht.

 

BIJLAGE I – OVERZICHT VERWERKING VOLGENS SCB'S
MODULE ÉÉN: Tussen twee verwerkingsverantwoordelijken (van u aan ons)
A. LIJST VAN PARTIJEN

Gegevensexporteur(s):

Partij

De partij(en) geïdentificeerd als ‘u’, TAAP-lid of een gelijkwaardige term

Adres

Zoals gespecificeerd in de Overeenkomst

Naam, functie en contactgegevens van de contactpersoon voor alle Expedia Group-partijen

Accountmanager die het e-mailadres gebruikt dat van tijd tot tijd aan de Expedia-contactpersoon wordt doorgegeven

Activiteiten die relevant zijn voor gegevensdoorgifte onder de SCB’s

 

Boekingen gemaakt via de TAAP-website die wij aan u beschikbaar stellen in overeenstemming met de Overeenkomst

Functie

Verwerkingsverantwoordelijke

Gegevensimporteur(s): 

Partij

De niet-EU-partijen geïdentificeerd als ‘ons’ of ‘Expedia’ in de Overeenkomst

Adres

Zoals gespecificeerd in de Overeenkomst

Naam, functie en contactgegevens van de contactpersoon

Accountmanager die het e-mailadres gebruikt dat van tijd tot tijd aan het TAAP-lid wordt doorgegeven

Activiteiten die relevant zijn voor de gegevensdoorgifte onder deze bepalingen

Boekingen gemaakt via de TAAP-website die wij aan u beschikbaar stellen in overeenstemming met de Overeenkomst

Functie

Verwerkingsverantwoordelijke

 

B. BESCHRIJVING VAN DOORGIFTE

 

Categorieën van betrokkenen

TAAP-leden en hun subgebruikers

Categorieën van persoonsgegevens

Gastreisbureau-account/Beherend account: 

Identificatiegegevens:

  • Handelsnaam Reisbureau
  • Type en nummer van reisaccreditatie (IATA/ARC/CLIA/True ID/Overig)
  • Bedrijfsregistratienummer

 

Contactgegevens:

  • URL naar website Reisbureau (verplicht in Canada en Italië; optioneel elders)
  • Adres (straat, stad, staat/provincie, postcode, land)
  • Telefoonnummer Reisbureau
  • Faxnummer (alleen verplicht in Japan)

 

Financiële gegevens:

  • Naam op de bankrekening
  • Bankrekeningnummer
  • Bankgegevens
  • Betaalpasgegevens
  • Btw-nummer

 

Andere informatie (zoals gevraagd door en overeengekomen met het TAAP-lid, inclusief maar niet beperkt tot persoonsgegevens die nodig zijn in verband met):

  • Rapportage, monitoring en analyse (inclusief commissie- en boekingsgegevens)
  • Eenmalige aanmelding, loyaliteitsprogramma's

 

Individuele medewerkers/subgebruikers:

Identificatiegegevens:

  • Voor- en achternaam medewerker
  • Handelsnaam Reisbureau (eigen reisbureau van de medewerker, indien van toepassing)
  • Naam gastreisbureau (het reisbureau waarbij de medewerker is aangesloten)
  • Handelsnaam Reisbureau
  • Type en nummer van reisaccreditatie (IATA/ARC/CLIA/True ID/Overig)
  • Bedrijfsregistratienummer

 

Contactgegevens:

  • Adres (straat, stad, staat/provincie, postcode, land)
  • Telefoonnummer Reisbureau

 

Reisinformatie: boekingsgeschiedenis en reisvoorkeuren

Andere informatie (zoals gevraagd door en overeengekomen met het TAAP-lid, inclusief maar niet beperkt tot persoonsgegevens die nodig zijn in verband met):

  • Rapportage, monitoring en analyse (inclusief commissie- en boekingsgegevens)
  • Eenmalige aanmelding, loyaliteitsprogramma's

 

Gevoelige gegevens

Geen, tenzij vrijwillig verstrekt door een persoon om te voorzien in hun toegankelijkheidsbehoeften tijdens het reizen.

De frequentie van de doorgifte (bv. of de gegevens eenmalig of continu worden doorgegeven)

Continu of ad hoc in overeenstemming met de behoeften van de activiteiten van het TAAP-lid

Aard van de verwerking

Alle verwerkingsactiviteiten die nodig zijn om de hieronder uiteengezette doeleinden mogelijk te maken

Doeleinde(n) van de gegevensdoorgifte en verdere verwerking

Toegelaten Doeleinden, zoals gedefinieerd in de Overeenkomst

De periode gedurende welke de persoonsgegevens zullen worden bewaard, of indien dat niet mogelijk is, de criteria om die termijn te bepalen

In overeenstemming met het bewaarbeleid van Expedia Group, op voorwaarde dat, voor zover TAAP-persoonsgegevens worden bewaard na de beëindiging van de Overeenkomst voor back-up of om juridische redenen, Expedia dergelijke persoonsgegevens blijft beschermen in overeenstemming met de Overeenkomst

Voor doorgiften aan (sub)verwerkers ook het onderwerp, de aard en de duur van de verwerking opgeven

https://support.ean.com/hc/en-us/articles/360000986389-EAN-Data-Services-Vendor-List, zoals van tijd tot tijd bijgewerkt

Categorieën van betrokkenen

gasten

Categorieën van persoonsgegevens

 

  • Identificatiegegevens:
  • Voor- en achternaam
  • Frequent Flyer-programmanaam en -nummer (vluchten)
  • TSA-nummer (vluchten)
  • Contactgegevens:
  • E-mailadres
  • Telefoonnummers (vast en mobiel)
  • Geboortedatum (voor vluchten)
  • Nationaliteit (volgens paspoort)
  • Financiële gegevens:
  • Betaalpasgegevens
  • Belastingnummer (alleen voor POSa Brazilië).
Gevoelige gegevens

Geen, tenzij vrijwillig verstrekt door een persoon om te voorzien in hun toegankelijkheidsbehoeften tijdens het reizen.

De frequentie van de doorgifte (bv. of de gegevens eenmalig of continu worden doorgegeven)

Continu of ad hoc in overeenstemming met de behoeften van de activiteiten van het TAAP-lid

Aard van de verwerking

Alle verwerkingsactiviteiten die nodig zijn om de hieronder uiteengezette doeleinden mogelijk te maken

Doeleinde(n) van de gegevensdoorgifte en verdere verwerking

Toegelaten Doeleinden, zoals gedefinieerd in de Overeenkomst

De periode gedurende welke de persoonsgegevens zullen worden bewaard, of indien dat niet mogelijk is, de criteria om die termijn te bepalen

In overeenstemming met het bewaarbeleid van Expedia Group, op voorwaarde dat, voor zover TAAP-persoonsgegevens worden bewaard na de beëindiging van de Overeenkomst voor back-up of om juridische redenen, Expedia dergelijke persoonsgegevens blijft beschermen in overeenstemming met de Overeenkomst

Voor doorgiften aan (sub)verwerkers ook het onderwerp, de aard en de duur van de verwerking opgeven

https://support.ean.com/hc/en-us/articles/360000986389-EAN-Data-Services-Vendor-List, zoals van tijd tot tijd bijgewerkt

 

C. BEVOEGDE TOEZICHTHOUDENDE AUTORITEIT

De bevoegde toezichthoudende autoriteiten identificeren in overeenstemming met bepaling 13 van de SCB’s

Ierse gegevensbeschermingsautoriteit

 

MODULE ÉÉN: Tussen twee verwerkingsverantwoordelijken (van ons aan u)

A. LIJST VAN PARTIJEN

Gegevensexporteur(s):  

De Partij(en) die hierboven zijn geïdentificeerd als Gegevensimporteurs in Module één (1) (van u aan ons). Zie boven voor verdere details.

 

Gegevensimporteur(s):

De Partij(en) die hierboven zijn geïdentificeerd als Gegevensexporteurs in Module één (1) (van u aan ons). Zie boven voor verdere details.De Partij(en) die hierboven zijn geïdentificeerd als Gegevensexporteurs in Module één (1) (van u aan ons). Zie boven voor verdere details.

B. BESCHRIJVING VAN DOORGIFTE
  • Categorieën van betrokkenen
  • Categorieën van persoonsgegevens
  • Gevoelige gegevens

Volgens Module één (1)

  • Frequentie van doorgifte
  • Aard van de verwerking
  • Doeleinden

Volgens Module één (1)

De periode gedurende welke de persoonsgegevens zullen worden bewaard, of indien dat niet mogelijk is, de criteria om die termijn te bepalen

In overeenstemming met het bewaarbeleid van het TAAP-lid

Voor doorgiften aan (sub)verwerkers ook het onderwerp, de aard en de duur van de verwerking opgeven

Niet van toepassing

 

C. BEVOEGDE TOEZICHTHOUDENDE AUTORITEIT

Volgens Module één (1)

 

BIJLAGE II - TECHNISCHE EN ORGANISATORISCHE MAATREGELEN 

De technische en organisatorische maatregelen die van toepassing zijn voor de doeleinden van Module één (1) worden hieronder uiteengezet.

ONDERWERP

MAATREGEL

Maatregelen betreffende de pseudonimisering en versleuteling van persoonsgegevens

  • Expedia Group ondersteunt versleutelingsprotocollen voor gegevensdoorgifte die voldoen aan de industriestandaard, op basis van de norm voor classificatie en verwerking van informatie van Expedia Group (Information Classification and Handling Standard).
  • De vereisten voor gegevensverwerking zijn gebaseerd op categorieën. Afhankelijk van de gegevens die worden verwerkt, zijn binnen Expedia Group verschillende beveiligingseisen geïmplementeerd. Creditcardgegevens worden bijvoorbeeld als zeer gevoelig beschouwd en moeten zowel tijdens de doorgifte als in rust worden versleuteld.
  • Persoonsgegevens van de klant (en diens medewerkers) worden door Expedia Group gepseudonimiseerd (en geanonimiseerd), indien mogelijk en zoals vereist overeenkomstige de norm voor classificatie en verwerking van informatie van Expedia Group (EG Information Classification and Handling Standard).
  • Creditcardnummers worden getokeniseerd/gepseudonimiseerd zodat creditcardnummers niet in leesbare tekst worden verwerkt.
  • Expedia Group maakt gebruik van versleutelde verbindingen via VPN, SSL, etc. en gebruikt tweestapsverificatiemechanismen.

Maatregelen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en -diensten te garanderen

  • Expedia Group hanteert verantwoordelijkheden en procedures voor het beheer en de werking van alle informatieverwerkingsfaciliteiten om een volledige, geldige en nauwkeurige verwerking van gegevens te waarborgen.
  • Er is toezicht op de belangrijkste verwerkingsfaciliteiten, met een robuust SOX-programma waarin controles op gegevensverwerking en integriteit doorlopend worden getest en bevestigd.
  • De systemen van EG gebruiken aanmeld- en controlemethoden die voldoen aan de industriestandaard, om te beschermen tegen ongeoorloofde toegang, wijziging en/of verwijdering.
  • Expedia Group handhaaft de veerkracht van de service door redundante architectuur, gegevensreplicatie en integriteitscontrole.

Maatregelen om het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen te waarborgen

  • De systemen van Expedia Group zijn specifiek ontworpen om veelvoorkomende aanvallen te verhinderen of te voorkomen en de beschikbaarheid voor bediening, bewaking en onderhoud te waarborgen. Voor dit doel voert Expedia Group regelmatig gesimuleerde tests en audits uit om te bevestigen dat zijn systemen beschikbaar blijven.
  • Servers worden gepatcht met robuust patchingbeleid van Expedia Group en beschermd door AV/AM-programma's die aan industrienormen voldoen. Daarnaast worden kwetsbaarheidsbeoordelingen, grondige testen en netwerkbeoordelingen uitgevoerd om ervoor te zorgen dat de systemen van EG worden gehandhaafd.
  • Beschikbaarheid en betrouwbaarheid worden gecontroleerd om ervoor te zorgen dat Expedia-sites online blijven, met minimale onderbrekingen van de service.
  • Expedia Group handhaaft een noodherstelplan dat rekening houdt met noodsituaties en rampenplannen om ervoor te zorgen dat de klantenservice ononderbroken blijft in overeenstemming met de ernst. Deze worden regelmatig getest om de uitvoerbaarheid te waarborgen.

Procedures voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking

  • De technische en organisatorische maatregelen van Expedia Group worden jaarlijks gecontroleerd door externe beoordelaars en door middel van robuuste interne testen.
  • EG voert jaarlijkse PCI-beoordelingen uit met behulp van een externe beoordelaar en zorgt voor voortdurende naleving van PCI.
  • De uitgebreide interne testfunctie van EG bestaat uit driemaandelijkse kwetsbaarheidstesten, interne en externe penetratietesten, netwerk-, systeem- en firewallscanning en beoordelingen. Daarnaast voert een interne auditafdeling jaarlijkse risicobeoordelingen uit om de operationele audits te prioriteren.

Maatregelen voor de identificatie en autorisatie van gebruikers – Maatregelen voor de bescherming van gegevens tijdens verzending – Maatregelen voor de bescherming van gegevens tijdens de opslag

  • De systemen van Expedia Group zijn afgestemd op de best practices in de branche en hebben communicatiepraktijken zoals time-outsessies, vergrendelingsprotocollen en robuuste wachtwoord- en authenticatiecontroles.
  • Expedia Group handhaaft vereisten voor accountregistratie en -toezicht om ongeoorloofde toegang tot of misbruik van Expedia Group-informatie te voorkomen en maakt waar nodig gebruik van best practices uit de branche, zoals het principe van het minste voorrecht, unieke ID's en meervoudige authenticatie met het oog op sterke authenticatie.

Maatregelen om de fysieke beveiliging van locaties waar persoonsgegevens worden verwerkt te waarborgen

  • Een Security Operations Center biedt 24x7 dekking, met een formeel incidentresponsplan dat ten minste jaarlijks wordt beoordeeld en getest.
  • Alle systemen worden regelmatig gecontroleerd en getest door externe dienstverleners.
  • Elke klant van Expedia Group krijgt een eigen klant-ID. Alle datasets van de betreffende klant worden onder die ID opgeslagen en alle klantgegevens worden logisch gescheiden. Vanwege beheerrechten en databasestructuren heeft de klant alleen toegang tot datasets die zijn toegewezen aan die gebruikers-ID en datacenter/AWS-controles.
  • Alleen personen die uitdrukkelijk door Expedia zijn geautoriseerd en een ‘noodzaak tot kennisneming’ hebben, hebben toegang tot persoonsgegevens. Er is controle en toezicht om toegang op basis van het minste voorrecht te garanderen en ongeautoriseerde toegangspogingen tot het systeem te verhinderen.

Maatregelen om het opslaan van gebeurtenisinformatie te garanderen

Expedia Group handhaaft robuuste registratie- en toezichtvereisten om rekenschap te geven van het wie, wat, waar, wanneer, het doel, de bron en het al dan niet slagen van de geregistreerde gebeurtenis.

Maatregelen om de systeemconfiguratie, waaronder de standaardconfiguratie, te beschermen – Maatregelen voor het bestuur en beheer van de interne IT en de IT-veiligheid – Maatregelen voor de certificering/garantie van processen en producten

  • Het informatiebeveiligingsprogramma van Expedia Group (EG) is afgestemd op de kaders en normen van de branche via een risicobeheerprogramma om een robuuste en uitgebreide beveiliging te waarborgen. Expedia Group handhaaft veilige werkingsprocedures ter ondersteuning van de beveiliging, beschikbaarheid, integriteit en vertrouwelijkheid van de omgeving en de gegevens van klanten.
  • De opbouwnormen van Expedia Group maken alleen systeemcomponenten, services en protocollen mogelijk die aan een zakelijke behoefte voldoen. Besturingssystemen, databases en kant-en-klare toepassingen moeten vindbaar zijn om te voldoen aan wettelijke en regelgevende auditvereisten, tools voor configuratiebeheer ondersteunen of configuratiebeheer implementeren dat met succes beveiligingscontroles afdwingt, codering toelaten voor alle externe administratieve toegang tot een systeem, correct gebruik van het systeem aantonen en het systeem moet worden gecontroleerd om oneigenlijk gebruik en andere ongeoorloofde activiteiten te detecteren. Er is geen verwachting van privacy tijdens het gebruik van het systeem.
  • Expedia Group hanteert een gelaagde/verdediging in de diepte-beveiligingsstrategie. Kritieke capaciteiten en controles zijn geïmplementeerd in de hele onderneming (bijv. anti-malware, WAF, netwerksegmentatie, DLP enz.), waarbij gebruik wordt gemaakt van een reeks beleidsregels, bewerkingen en technologieën om ervoor te zorgen dat de omgeving wordt bewaakt via een centrale beveiligingsorganisatie en er dienovereenkomstig wordt gereageerd op waarschuwingen.
  • De systemen van Expedia worden gehost op Amazon Web Services (AWS) en in datacenters die Expedia Group voorzien van jaarlijkse SOC 2-rapporten om naleving te waarborgen.

Maatregelen om gegevensminimalisering te garanderen – Maatregelen om gegevenskwaliteit te waarborgen – Maatregelen om beperkte bewaring van gegevens te garanderen – Maatregelen om verantwoording te waarborgen

  • Minimalisatie: Expedia Group waarborgt dat alleen een minimale hoeveelheid gegevens wordt verzameld, verwerkt en opgeslagen. We gebruiken alleen waar nodig gegevens in identificeerbare vorm.
  • Bewaring: Het gegevensbewaringsbeleid van Expedia Group bepaalt verschillende bewaartermijnen en back-ups afhankelijk van de gegevenscategorie, rekening houdend met eventuele wettelijke verplichtingen of andere vrijstellingen die vereisen dat dergelijke gegevens worden bewaard totdat bepaalde wettelijke verplichtingen, zoals fiscale en boekhoudkundige doeleinden, zijn nagekomen.
  • Kwaliteit: Expedia Group heeft een geformaliseerd kwaliteitsmanagementprogramma, het Customer Experience Management (CEM)-programma. We streven altijd naar verbetering binnen de omgeving van EG en proberen processen te stroomlijnen om ze efficiënter te maken, wat resulteert in consistente, hoogwaardige diensten en interacties met onze partners, klanten en reizigers.
  • Verantwoording: Expedia Group zorgt voor toezicht op verantwoording met consistente implementatie van beleidsregels, branchevoorschriften/kaders en wettelijke vereisten door een geformaliseerd governanceprogramma en een juridische/privacy-afdeling te handhaven.

Maatregelen om gegevensoverdraagbaarheid mogelijk te maken en wissing te garanderen

  • Expedia Group is rechtstreeks verantwoordelijk voor het waarborgen van de naleving van de wetgeving inzake gegevensbescherming (ook met betrekking tot verzoeken van betrokkenen). Expedia Group reageert op alle verzoeken van betrokkenen, waaronder toegang, wissing en overdraagbaarheid in overeenstemming met de Toepasselijke Gegevensbeschermingswetgeving.
  • Het gegevensbewaringsbeleid van EG bepaalt verschillende bewaartermijnen en back-ups afhankelijk van de gegevenscategorie, rekening houdend met eventuele wettelijke verplichtingen of andere vrijstellingen die vereisen dat dergelijke gegevens worden bewaard totdat bepaalde wettelijke verplichtingen, zoals fiscale en boekhoudkundige doeleinden, zijn nagekomen. In het geval dat Expedia Group niet in staat is om persoonsgegevens te vernietigen, zal Expedia Group de relevante bescherming van de Overeenkomst tussen de partijen die van toepassing is op dergelijke persoonsgegevens blijven bieden en verdere verwerking beëindigen.

Voor doorgiften aan (sub)verwerkers ook de specifieke technische en organisatorische maatregelen beschrijven die de (sub)verwerker moet nemen om bijstand te kunnen verlenen aan de verwerkingsverantwoordelijke en, voor doorgiften van een verwerker aan een subverwerker, aan de gegevensexporteur

  • Expedia Group voert een due diligence-onderzoek uit naar de informatiebeveiligingspraktijken van haar leveranciers en vereist van leveranciers dat zij voldoen aan uitgebreide beveiligingsvereisten, waaronder verplichtingen die van leveranciers vereisen dat zij passende technische en organisatorische maatregelen treffen en handhaven.
  • Expedia Group heeft een gedetailleerde Security Impact Assessment (SIA)-procedure geformaliseerd. Alle nieuwe leveranciers die toegang krijgen tot gegevens worden op voorhand gescreend en waar nodig ook gedurende de looptijd.
  • Daarnaast heeft Expedia Group robuuste gegevensverwerkingsvoorwaarden die aan alle leveranciers worden opgelegd, waardoor verplichtingen ook op al hun subverwerkers van toepassing zijn.

 

Addendum voor internationale doorgifte van gegevens bij de Standaardcontractbepalingen van de Europese Commissie (Addendum)

Dit Addendum is uitgegeven door de Information Commissioner voor partijen die beperkte doorgiften uitvoeren. De Information Commissioner is van mening dat het passende bescherming biedt voor beperkte doorgiften wanneer het wordt aangegaan als een wettelijk bindend contract.

Deel 1 Tabellen

Tabel 1: Partijen

Startdatum

De datum van de SCB’s waarbij dit Addendum is gevoegd (EU-SCB’s).

Partijen

Voornaamste contactpersoon

Exporteur: Volgens EU-SCB’s.

 

Importeur: Volgens EU-SCB’s.

 

Tabel 2: Geselecteerde SCB’s, modules en geselecteerde bepalingen

Addendum bij EU-SCB’s

De versie van de goedgekeurde EU-SCB’s waarbij dit Addendum is gevoegd.

Tabel 3: Bijlage-informatie

Bijlage-informatie’betekent de informatie die moet worden verstrekt voor de geselecteerde modules zoals uiteengezet in de bijlage van de goedgekeurde EU-SCB’s (anders dan de partijen), en die voor dit Addendum is uiteengezet in:

Bijlage IA: Lijst van partijen

Bijlage IB: Beschrijving van doorgifte

Bijlage II: Technische en organisatorische maatregelen

Volgens EU-SCB’s

Tabel 4: Beëindiging van dit Addendum wanneer het Goedgekeurde addendum verandert

Welke partijen dit Addendum kunnen beëindigen zoals beschreven in sectie 19

Geen van de partijen

Deel 2: Verplichte bepalingen

Verplichte bepalingen van het Goedgekeurde addendum, namelijk het modeladdendum B.1.0 uitgegeven door de ICO en voorgelegd aan het parlement in overeenstemming met sectie 119A van de Data Protection Act 2018 op 2 februari 2022, zoals herzien onder sectie 18 van die verplichte bepalingen.

 

Datum laatste update: 1 januari 2026