Acordo on-line do Programa de agentes de viagem afiliados (TAAP) – Acordo entre controladores (incluindo SCCs)

A versão original em inglês deste Acordo C2C pode ter sido traduzida para outros idiomas.  No caso de haver inconsistência ou discrepância entre a versão em inglês e a versão deste Acordo em qualquer outro idioma, a versão em inglês deverá prevalecer.

ESCOPO: Quando a Expedia e você estiverem processando dados pessoais como parte de um acordo (que pode estar no formato de termos de clickwrap on-line) firmado com a outra parte (em relação à qual você foi nomeado parceiro de marketing no Programa de agentes de viagens afiliados, TAAP, e cujas atividades relevantes relacionadas são aqui referidas como "Atividades Relevantes"), este acordo global entre controladores ("Acordo C2C") é complementar e se aplica a tal acordo firmado entre as partes em conexão com as Atividades Relevantes (o "Acordo") e estabelece termos, requisitos e condições adicionais nos quais a Expedia e você processarão dados pessoais relacionados ao Acordo. Neste Acordo C2C, "Expedia", "nós" e "nos" referem-se à Expedia, Inc. e/ou a qualquer outra empresa do Expedia Group que faça parte do Acordo. "Você" se refere à entidade nomeada que foi definida no Aplicativo conforme descrito no Acordo (e todas as referências à Expedia ou a você serão interpretadas como termos plurais na medida exigida pelo Acordo).

1. DEFINIÇÕES E INTERPRETAÇÃO

1.1 Este Acordo C2C está sujeito aos termos do Acordo e está incorporado ao Acordo. As interpretações e os termos definidos que foram estabelecidos no Acordo se aplicam à interpretação deste Acordo C2C, a menos que definido de outra forma neste Acordo C2C; e:

  1. a. Medidas organizacionais e técnicas apropriadas, controlador, dados pessoais, violação de dados pessoais, processo/processamento e autoridade fiscalizadora (ou termos razoavelmente equivalentes) devem ter os significados dados a eles nas Leis de Proteção de Dados Aplicáveis;
  2. b. Leis de Proteção de Dados Aplicáveis significa quaisquer leis e regulamentos aplicáveis em qualquer jurisdição relevante relacionados ao uso ou processamento de dados pessoais;
  3. c. Finalidades Permitidas significam as finalidades de (i) realizar Reservas; (ii) oferecer suporte às Reservas; (iii) proceder com a administração da conta e registro do TAAP; (iv) realizar pagamentos de Comissões e outros valores segundo o Acordo; (v) gerar relatórios para você e qualquer outro tipo de processamento necessário para tratar de conciliações, reclamações e atividades semelhantes relacionadas ao cumprimento do Acordo; (vi) oferecer suporte à Conta do TAAP; (vii) promover comunicações com os Associados do TAAP e subusuários; (viii) melhorar os nossos serviços, incluindo otimizar a experiência de reserva; (ix) criar relatórios para finalidade de análise, business intelligence e relatório comercial; (x) trabalhar na prevenção de fraude; (xi) responder a solicitações de autoridades legais e solicitações de auditoria de autoridades fiscais; (xii) facilitar transações de ativos comerciais (que podem se estender a fusões, aquisições ou vendas de ativos); (xiii) estar em conformidade de qualquer outra forma com as nossas obrigações segundo o Acordo, a declaração de privacidade da Expedia e leis aplicáveis; e (xiv) para a determinação, o cálculo, a geração de relatórios de impostos sobre viagens e outros fins de tributação conforme possa ser exigido periodicamente;
  4. d. DPF significa uma certificação de Estrutura de Privacidade de Dados entre a União Europeia e os EUA junto ao Departamento de Comércio dos EUA ou qualquer substituição ou mecanismo de certificação complementar aprovado pela Comissão Europeia (ou outra autoridade nacional relevante) periodicamente e inclui quaisquer decisões complementares de adequação emitidas por qualquer outro país que permitam a extensão da DPF entre os EUA e esse país (por exemplo, sem limitação, Reino Unido e Suíça);
  5. e. País de Transferência Restrita significa qualquer país do Espaço Econômico Europeu, Suíça, Reino Unido e Brasil;
  6. f. Dados de Transferência Restrita significa Dados do Cliente relacionados a uma Reserva feita por meio de um ponto de venda que pretendemos que seja acessado por Clientes em um País de Transferência Restrita;
  7. g. Cláusulas Contratuais Padrão/SCCs significa as Cláusulas Contratuais Padrão aprovadas pela Comissão Europeia para a transferência de dados pessoais da União Europeia para países terceiros, conforme emitidas em 4 de junho de 2021 e alteradas, substituídas, corrigidas, complementadas ou atualizadas periodicamente, e cuja versão atual completa consta neste link: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en; e
  8. h. Dados Pessoais do TAAP significam os dados pessoais fornecidos a nós por você por meio do Site do TAAP ou de qualquer outra forma processados em conexão com o próprio TAAP ou a facilitação de Reservas feitas usando o Site do TAAP.
Relacionamento entre as partes
  1. 1.2 Você e nós coletaremos e processaremos separadamente dados pessoais para cumprir nossos respectivos direitos e obrigações segundo o Acordo, bem como as suas e as nossas respectivas responsabilidades nos moldes das leis aplicáveis. Como tal, cada uma das partes deve: (i) processar os dados pessoais como um controlador independente e autônomo; (ii) cumprir com as Leis de Proteção de Dados Aplicáveis; e (iii) se responsabilizar por quaisquer atos ou omissões que violem as Leis de Proteção de Dados Aplicáveis.
Suas responsabilidades

1.3 Você deve: 

  1. a. satisfazer uma base legal a fim de disponibilizar quaisquer Dados Pessoais do TAAP para nós a serem processados para atender às Finalidades Permitidas;
  2. b. assegurar que os Clientes tomem conhecimento, por meio da sua declaração de privacidade e de quaisquer outros meios adequados, de que os dados pessoais deles serão compartilhados conosco para atender às Finalidades Permitidas;
  3. c. direcionar os Clientes para a nossa declaração de privacidade para que encontrem mais informações sobre nosso tratamento de dados pessoais; e
  4. d. cooperar e fornecer assistência razoável a nós para que possamos cumprir com as Leis de Proteção de Dados Aplicáveis enquanto realizamos o processamento dos Dados Pessoais do TAAP em conexão com o Acordo;
Nossas responsabilidades

1.4 Nós (e nossos Associados do Grupo, onde aplicável) deveremos: 

  1. a. processar os Dados Pessoais do TAAP em conexão apenas com uma Finalidade Permitida;
  2. b. não divulgar na totalidade ou em partes os Dados Pessoais do TAAP a qualquer pessoa, exceto em conexão com uma Finalidade Permitida;
  3. c. cooperar e fornecer assistência razoável a você para que você possa cumprir com as Leis de Proteção de Dados Aplicáveis enquanto realiza o processamento dos Dados Pessoais do TAAP em conexão com o Acordo; e
  4. d. exibir e estar em conformidade com o nosso aviso de cookies (se necessário) e nossa declaração de privacidade de acordo com a lei e atualizados no Site do TAAP.
Clientes e Terceiros

1.5 Você reconhece que nós:

  1. a. podemos enviar e-mails a Clientes relacionados às Reservas;
  2. b. podemos transferir os Dados Pessoais do TAAP (inclusive dados bancários) para nossos fornecedores de serviços terceirizados para as finalidades de:
    1. i. administrar, gerenciar e fornecer suporte a você e suas Contas do TAAP de Subusuários e Representantes;
    2. ii. prestar suporte referente às Reservas; e
    3. iii. pagar Comissões e outros valores nos moldes do Acordo.
Segurança de dados

1.6 Ambas as partes, na qualidade de controladores, devem:

  1. a. manter medidas técnicas e organizacionais adequadas para proteger os dados pessoais processados por elas contra uma violação de dados pessoais; e
  2. b. em caso de violação confirmada de dados pessoais nos sistemas sob controle ou posse da parte, notificar imediatamente a outra parte se tal violação (i) afetar os Dados Pessoais do TAAP que também são processados pela outra parte segundo o Acordo; e (ii) for passível de notificação a uma autoridade fiscalizadora, fornecendo detalhes completos de tal. Nesse caso, ambas as partes devem cooperar de maneira razoável e de boa-fé para corrigir ou amenizar os efeitos da violação de dados pessoais, e os custos de tal cooperação serão assumidos pela parte que sofreu referida violação.
Transferências transfronteiriças 

1.7 Estrutura de Privacidade de Dados (DPF):: você e nós concordamos que, em relação às transferências de Dados de Transferência Restrita entre você e nós para os Estados Unidos ou para um país que não tenha sido considerado "adequado" de acordo com as Leis de Proteção de Dados Aplicáveis do País de Transferência Restrita de origem, (a) na medida em que e enquanto a DPF for um método de transferência reconhecido por uma autoridade relevante, a DPF será o mecanismo acordado para transferências transfronteiriças de dados originários de um País de Transferência Restrita para nós nos Estados Unidos, e (b) na medida em que e enquanto a DPF não for um método válido de transferência (incluindo para transferências de Dados de Transferência Restrita para um país que não tenha sido considerado adequado de acordo com as Leis de Proteção de Dados Aplicáveis do País de Transferência Restrita de origem), as SCCs serão aplicadas a tais transferências, e nós as firmaremos com base na Cláusula 1.11 abaixo. Caso você também possua uma certificação DPF atual, as transferências de Dados de Transferência Restrita para você também poderão ser feitas dentro da DPF com as SCCs como um mecanismo alternativo conforme definido acima.

1.8 Obrigações decorrentes da DPF:: Você concorda que fornecerá aos Dados de Transferência Restrita pelo menos o mesmo nível de proteção exigido pela DPF; e você deve nos notificar imediatamente se determinar que não poderá mais fornecer esse nível de proteção. Nesse caso, ou se nós acreditarmos com base em motivos razoáveis que você não está protegendo os Dados de Transferência Restrita de acordo com o padrão exigido pela DPF, nós podemos: (a) instruir você a tomar medidas razoáveis e apropriadas para interromper e remediar qualquer processamento não autorizado, e nesse caso, você deverá cooperar prontamente conosco de boa-fé para identificar, concordar com e implementar tais etapas; (b) concordar em usar uma proteção alternativa que possa ser aplicada ao processamento que esteja de acordo com a Lei de Proteção de Dados Aplicável; ou (c) rescindir este Acordo C2C e o Acordo (ou, ao nosso critério, qualquer parte afetada deles) sem penalidade mediante notificação a você. Se você também possuir uma certificação DPF atual, as disposições acima e as da Cláusula 1.9 abaixo serão consideradas aplicáveis como se as obrigações fossem bidirecionais.

1.9 Obrigações de divulgação da DPF:: Você reconhece que podemos divulgar este Acordo C2C e quaisquer disposições de privacidade relevantes no Acordo para a Comissão Federal de Comércio (Federal Trade Commission) ou o Departamento de Comércio (Department of Commerce) dos EUA, para qualquer autoridade europeia de proteção de dados ou para qualquer outro órgão judicial ou regulador dos EUA ou da União Europeia se assim solicitado por eles e que tal divulgação não será considerada uma quebra de confidencialidade.

1.10 Extensão de SCCs para Países de Transferência Não Restrita: Em relação a transferências de Dados Pessoais do TAAP entre você e nós originários de um país que não seja um País de Transferência Restrita, mas que esteja sujeito a proteções que, de acordo com a Lei de Proteção de Dados Aplicável, devem ser aplicadas antes que uma transferência de tais Dados Pessoais do TAAP possa ser feita para fora do país de origem (cada um deles um País de Transferência Não Restrita), então você e nós concordamos que (a) as SCCs estabelecidas na Cláusula 1.11 abaixo serão consideradas como se estendendo a tais transferências adicionais na medida em que tal extensão presumida satisfaça as exigências de proteção daquele país específico; e/ou (b) quando as medidas estabelecidas na Cláusula 1.11 forem insuficientes ou exigirem medidas complementares, as partes concordam em tomar tais medidas adicionais, incluindo, por exemplo, a assinatura de documentos relevantes, a coleta de consentimento, a realização de arquivamentos necessários, conforme possa ser exigido periodicamente para cumprir a Lei de Proteção de Dados Aplicável.

1.11 Sujeito à Cláusula 1.7 acima, você e nós concordamos em firmar as SCCs de maneira inalterada, exceto pelas seguintes seleções:

  1. a. quando você estiver localizado em um País de Transferência Restrita ou de qualquer outro modo em um país considerado "adequado" de acordo com o Artigo 45 do RGPD, somente o Módulo um (1) das SCCs será aplicado de modo unidirecional em relação às suas transferências para a Expedia. Caso contrário, as SCCs do Módulo Um devem ser aplicadas bidirecionalmente para as nossas transferências para você e para as suas transferências para nós.
  2. b. Para os fins da cláusula 11(a) das SCCs, o idioma opcional é excluído.
  3. c. Para os fins da cláusula 13 das SCCs, o parágrafo relevante é: "A autoridade fiscalizadora do Estado-Membro no qual o representante, dentro do entendimento do artigo 27(1) do Regulamento (EU) 2016/679, está estabelecido, conforme indicado no Anexo I.C, atuará como autoridade fiscalizadora competente."
  4. d. Para os fins da cláusula 17 das SCCs, a lei aplicável é a da Irlanda.
  5. e. Para os fins da cláusula 18(b) das SCCs, a seleção é a Irlanda.
  6. f. Uma nova cláusula 19 é adicionada às SCCs para cobrir transferências de dados pessoais do Reino Unido para fora do Reino Unido, definindo o seguinte:

"Cláusula 19

RGPD e Lei de Proteção de Dados do Reino Unido de 2018

As Partes concordam que estas Cláusulas serão estendidas e aplicadas, na medida relevante para a transferência em questão, para cobrir transferências transfronteiriças que se enquadram no escopo do RGPD e da Lei de Proteção de Dados do Reino Unido de 2018 (uma Transferência do Reino Unido). Para os fins de tal Transferência do Reino Unido, as disposições da Versão B1.0 do Aditivo de Transferência Internacional de Dados às Cláusulas Contratuais Padrão (conforme alteradas, corrigidas, complementadas ou substituídas periodicamente) serão aplicadas conforme estabelecido no formulário anexado como o Aditivo."

  1. h. Uma nova cláusula 20 é adicionada às SCCs para cobrir transferências de dados pessoais da Suíça para fora da Suíça, definindo o seguinte:

"Cláusula 20

Lei Federal de Proteção de Dados da Suíça

As Partes concordam que estas Cláusulas serão estendidas e aplicadas, na medida relevante para a transferência em questão, para cobrir transferências transfronteiriças que se enquadram no escopo da Lei Federal de Proteção de Dados da Suíça (FADP) (nesta cláusula, denominamos uma transferência desse tipo como uma Transferência Suíça). Para os fins de tais Transferências Suíças, a lei aplicável será considerada a do Estado-Membro selecionado, a escolha do foro será a do Estado-Membro selecionado, e o Comissário Federal de Proteção de Dados e Informações (FDPIC) será a autoridade fiscalizadora competente. As Partes concordam ainda que tais alterações adicionais devem ser interpretadas como sendo feitas às Cláusulas em relação a uma Transferência Suíça conforme considerado necessário pelo FDPIC para cumprir o RGPD do Reino Unido e a FADP da Suíça, e as Cláusulas devem ser interpretadas de acordo com os requisitos para Transferências Suíças decorrentes dessas leis ou conforme estabelecido nas orientações emitidas pelo FDPIC, sem que as Partes precisem firmar cláusulas contratuais padrão diferentes, preparadas especificamente para as suas Transferências Suíças. As Partes devem ainda realizar todos e quaisquer outros atos que possam ser necessários para garantir o cumprimento da FADP ao se envolver em Transferências Suíças."

  1. i. Uma nova cláusula 21 é adicionada às SCCs para cobrir transferências de dados pessoais do Brasil para fora do Brasil, definindo o seguinte:

"Cláusula 21

Lei Geral de Proteção de Dados do Brasil

As Partes concordam que estas Cláusulas serão estendidas e aplicadas, na medida relevante para a transferência em questão, para cobrir transferências transfronteiriças que se enquadram no escopo da lei brasileira nº 13.709/18, a Lei Geral de Proteção de Dados (LGPD) (nesta cláusula, denominamos uma transferência desse tipo como uma Transferência Brasileira). Para os fins de tais Transferências Brasileiras, a lei aplicável será considerada a do Estado-Membro selecionado, a escolha do foro será a do Estado-Membro selecionado, e a Autoridade Nacional de Proteção de Dados do Brasil (ANPD) será a autoridade fiscalizadora competente. As Partes concordam ainda que tais alterações adicionais devem ser interpretadas como sendo feitas às Cláusulas em relação a uma Transferência Brasileira conforme considerado necessário pela ANPD para cumprir a LGPD, e as Cláusulas devem ser interpretadas de acordo com os requisitos para Transferências Brasileiras decorrentes dessas leis ou conforme estabelecido nas orientações emitidas pelo ANPD ou outra autoridade brasileira relevante, sem que as Partes precisem firmar cláusulas contratuais padrão diferentes, preparadas especificamente para as suas Transferências Brasileiras. As Partes devem ainda realizar todos e quaisquer outros atos que possam ser necessários para garantir o cumprimento da LGPD ao se envolver em Transferências Brasileiras.

  1. j. Uma nova cláusula 22 é adicionada às SCCs para cobrir transferências de dados pessoais de qualquer outro país não especificado até agora, segundo a qual as SCCs podem ser estendidas para garantir proteções adequadas para transferências de dados pessoais originárias de tal país para uma parte localizada fora dele da seguinte maneira:

"Cláusula 22

Outras transferências de países terceiros

As Partes concordam que estas Cláusulas serão estendidas e aplicadas, na medida relevante para a transferência em questão, para cobrir transferências internacionais que se enquadrem no escopo de quaisquer outras leis e regulamentos aplicáveis em qualquer jurisdição relevante com relação ao uso ou processamento de dados pessoais (Leis de Proteção de Dados Aplicáveis) que possam exigir termos e proteções amplamente equivalentes a estas Cláusulas com a finalidade de transferir dados pessoais desse país para outro (denominada nesta Cláusula como uma Transferência de País Terceiro). Para os fins de tais Transferências de Países Terceiros, a lei aplicável será considerada a do Estado-Membro selecionado, a escolha do foro será a do Estado-Membro selecionado, e a autoridade de proteção de dados ou o órgão regulador de tal país será a autoridade fiscalizadora competente. As Partes concordam ainda que tais alterações adicionais devem ser interpretadas como sendo feitas às Cláusulas em relação a uma Transferência de País Terceiro conforme considerado necessário por tal autoridade fiscalizadora para cumprir a Lei de Proteção de Dados Aplicável de tal país, e as Cláusulas devem ser interpretadas de acordo com os requisitos para Transferências de Países Terceiros decorrentes dessas leis ou conforme estabelecido nas orientações emitidas pela autoridade fiscalizadora relevante, sem que as Partes precisem firmar cláusulas contratuais padrão diferentes, preparadas especificamente para as suas Transferências de Países Terceiros. As Partes devem ainda realizar todo e qualquer outro ato que possa ser necessário para garantir o cumprimento das Leis de Proteção de Dados Aplicáveis ao se envolver em Transferências de Países Terceiros."

1.12 O Anexo 1 (Visão Geral do Processamento das SCCs) deste Acordo C2C constitui o Anexo 1 das SCCs. O Anexo 2 (Medidas Técnicas e Organizacionais) deste Acordo C2C constitui o Anexo 2 das SCCs e se aplica apenas à Expedia, desde que você tenha fornecido, e nós tenhamos aceitado, medidas técnicas e organizacionais adequadas para atender aos requisitos do Anexo 2 das SCCs; caso contrário, o Anexo 2 será interpretado como aplicável a ambas as partes, e todas as referências à Expedia e ao Expedia Group serão interpretadas como referência a qualquer uma das partes. O Aditivo a este Acordo C2C constitui o Aditivo do Reino Unido para os fins das SCCs.

ANEXO I – VISÃO GERAL DO PROCESSAMENTO DAS SCCs
MÓDULO UM: Controlador para Controlador (você para nós)
A. LISTA DE PARTES

Exportador(es) de dados:

Parte

A(s) parte(s) identificada(s) como "você", Associado do TAAP ou termo equivalente

Endereço

Conforme especificado no Acordo

Nome, cargo e dados de contato de todas as partes do Expedia Group

Gerente de Contas usando endereço de e-mail notificado ao contato da Expedia periodicamente

Atividades relevantes para os dados transferidos de acordo com as SCCs

 

Reservas feitas por meio do site do TAAP disponibilizadas por nós para você conforme o Acordo

Função

Controlador

Importador(es) de dados: 

Parte

As partes não pertencentes à UE identificadas como "nós" ou "Expedia" no Acordo

Endereço

Conforme especificado no Acordo

Nome, cargo e dados de contato da pessoa de contato

Gerente de Contas usando endereço de e-mail notificado ao contato do Associado do TAAP periodicamente

Atividades relevantes para os dados transferidos de acordo com estas Cláusulas

Reservas feitas por meio do site do TAAP disponibilizadas por nós para você conforme o Acordo

Função

Controlador

 

B. DESCRIÇÃO DA TRANSFERÊNCIA

 

Categorias de titulares de dados

Clientes e Associados do TAAP e os seus Subusuários

Categorias de Dados Pessoais

Dados de identificação:

  1. nomes e sobrenomes (agente e viajante)
  2. data de nascimento
  3. gênero
  4. informações de login (agente)

Dados de contato:

  1. endereço postal
  2. endereço de e-mail
  3. números de telefone (fixo e celular)
  4. número de fax
  5. outras informações de contato
  6. data de nascimento (para voos)
  7. gênero (para voos)
  8. nacionalidade (conforme o passaporte)
  9. informações da segurança aeroportuária

Dados financeiros:

  1. número da conta bancária
  2. dados bancários
  3. dados do cartão de pagamento

Informações de viagem: histórico de reservas e preferências de viagem

No caso de Agentes Fiscais, apenas:

  1. ID do imposto

Outras informações solicitadas e acordadas com o Associado do TAAP, incluindo, sem limitação, dados pessoais necessários em conexão com:

  1. Relatório, monitoramento e análise
  2. Logon único, programas de fidelidade

Dados confidenciais

Nenhum, a menos que seja fornecido de maneira voluntária por um indivíduo para atender às suas necessidades de acessibilidade para viagens.

A frequência da transferência (por exemplo, se os dados são transferidos de maneira única ou contínua).

De maneira contínua ou esporádica, de acordo com as necessidades da empresa do Associado do TAAP.

Natureza do processamento

Todas as operações de processamento necessárias para facilitar as finalidades definidas abaixo

Finalidade(s) da transferência de dados e do processamento adicional

Finalidades Permitidas, conforme definido no Acordo

O período durante o qual os dados pessoais serão mantidos ou, se não for possível, os critérios utilizados para determinar tal período

De acordo com a política de retenção do Expedia Group, na ocorrência de que quaisquer Dados Pessoais do TAAP fiquem retidos após a rescisão do Acordo para fins de backup ou razões legais, a Expedia continuará a proteger esses dados pessoais em conformidade com o Acordo.

Em caso de transferências para (sub-)processadores, especifique também o assunto, a natureza e a duração do processamento

https://support.ean.com/hc/en-us/articles/360000986389-EAN-Data-Services-Vendor-List, conforme atualizações periódicas

 

C. AUTORIDADE FISCALIZADORA COMPETENTE

Identifique quaisquer autoridades fiscalizadoras competentes de acordo com a Cláusula 13 das SCCs

Autoridade Irlandesa de Proteção de Dados

 

MÓDULO UM: Controlador para Controlador (nós para você)

A. LISTA DE PARTES

Exportador(es) de dados: 

A(s) Parte(s) identificada(s) como Importador(as) de Dados no Módulo Um (1) (você para nós) acima. Veja acima para mais detalhes.

 

Importador(es) de dados:

A(s) Parte(s) identificada(s) como Exportador(as) de Dados no Módulo Um (1) (você para nós) acima. Veja acima para mais detalhes.

B. DESCRIÇÃO DA TRANSFERÊNCIA
  • Categorias de titulares de dados
  • Categorias de Dados Pessoais
  • Dados confidenciais

Conforme o Módulo Um (1)

  • Frequência da transferência
  • Natureza do processamento
  • Finalidades

Conforme o Módulo Um (1)

O período durante o qual os dados pessoais serão mantidos ou, se não for possível, os critérios utilizados para determinar tal período

De acordo com a política de retenção de Associado do TAAP

Em caso de transferências para (sub-)processadores, especifique também o assunto, a natureza e a duração do processamento

Não se aplica

 

C. AUTORIDADE FISCALIZADORA COMPETENTE

Conforme o Módulo Um (1)

 

ANEXO II - MEDIDAS TÉCNICAS E ORGANIZACIONAIS 

As medidas técnicas e organizacionais que se aplicam para os fins do Módulo Um (1) são definidas abaixo.

ASSUNTO

MEDIDA

Medidas de pseudonimização e criptografia de dados pessoais f personal data  

  • O Expedia Group tem suporte para protocolos de criptografia padrão do setor para transmissão de dados com base no Padrão de Classificação e Manuseio de Informações do Expedia Group.
  • Os requisitos de tratamento de dados têm base categórica. Dependendo dos dados que estão sendo tratados, diferentes requisitos de segurança entram em vigor no Expedia Group. Por exemplo, dados de cartão de crédito são considerados altamente confidenciais e precisam ser criptografados tanto em trânsito quanto em repouso.
  • Os dados pessoais do cliente (e dos seus funcionários) são pseudonimizados (e anonimizados) pelo Expedia Group quando possível e conforme exigido de acordo com os Padrões de Informação, Classificação e Manuseio do EG.
  • Os números de cartão de crédito são tokenizados/pseudonimizados para eliminar o processamento de números de cartão de crédito em texto não criptografado.
  • O Expedia Group utiliza conexões criptografadas por meio de VPN, SSL, etc., além de mecanismos de autenticação multifator.

Medidas para garantir confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços de processamento 

  • O Expedia Group mantém responsabilidades e procedimentos sobre o gerenciamento e a operação de todas as instalações de processamento de informações para garantir o processamento completo, válido e preciso dos dados.
  • O monitoramento das principais instalações de processamento é feito com um programa SOX robusto, cujos controles sobre o processamento e a integridade dos dados são testados e certificados continuamente.
  • Mecanismos de registro em log e monitoramento padrão do setor estão em vigor nos sistemas do EG para garantir a proteção contra acessos, modificações e/ou exclusões não autorizados.
  • O Expedia Group mantém a resiliência do serviço por meio de arquitetura redundante, replicação de dados e verificação de integridade.

Medidas para garantir a capacidade de restaurar a disponibilidade e o acesso aos dados pessoais em tempo hábil em caso de incidente físico ou técnico 

  • Os sistemas do Expedia Group são projetados especificamente para impedir ou evitar ataques comuns e garantir a disponibilidade para operação, monitoramento e manutenção.  Para isso, o Expedia Group realiza regularmente testes simulados e auditorias para confirmar que seus sistemas mantêm a disponibilidade.
  • Os servidores recebem patches com correções de acordo com a robusta política de aplicação de patches do Expedia Group e são protegidos por programas antivírus e antimalware padrão do setor.  Além disso, avaliações de vulnerabilidade, testes detalhados e análises de rede são procedimentos realizados para garantir a manutenção dos sistemas do EG.
  • O monitoramento de disponibilidade e confiabilidade é feito para garantir que os sites da Expedia permaneçam on-line, reduzindo ao máximo quaisquer interrupções de serviço.
  • O Expedia Group mantém um Plano de Recuperação preparado para emergências, além de planos de contingência para garantir que os serviços oferecidos ao cliente continuem funcionando de acordo com a sua importância e sejam testados regularmente para garantir a viabilidade.

Processos para testar, analisar e avaliar regularmente a eficácia das medidas técnicas e organizacionais com o objetivo de garantir a segurança do processamento

  • As medidas técnicas e organizacionais do Expedia Group são auditadas anualmente por avaliadores externos, bem como por meio de testes internos robustos.
  • O EG realiza avaliações PCI anuais utilizando um avaliador terceirizado e garante a conformidade contínua com o PCI.
  • A abrangente função de teste interno do EG é composta por testes de vulnerabilidade trimestrais, testes de penetração interna e externa, varredura e revisões de rede, sistema e firewall. Além disso, um departamento de auditoria interna realiza avaliações de risco anuais para priorizar as auditorias operacionais.

Medidas de identificação e autorização de usuários Medidas de proteção de dados durante a transmissão Medidas de proteção de dados durante o armazenamento

  • Os sistemas do Expedia Group estão alinhados às melhores práticas do setor; neles, estão implementadas práticas de comunicação como tempo limite de sessão, protocolos de bloqueio e controles robustos de senha e autenticação.
  • O Expedia Group mantém os requisitos de provisionamento e supervisão de contas para evitar o acesso não autorizado ou uso indevido das informações do Expedia Group, além de usar as melhores práticas do setor conforme necessário, como o princípio de acesso com privilégios mínimos, IDs exclusivos e autenticação multifator para fins de autenticação forte.

Medidas para garantir a segurança física dos locais onde os dados pessoais são processados

  • Um Centro de Operações de Segurança oferece cobertura 24 horas por dia, 7 dias por semana, com um plano formal de resposta a incidentes revisado e testado pelo menos uma vez por ano.
  • Todos os sistemas são regularmente controlados e testados por prestadores de serviços externos.
  • Cada cliente do Expedia Group recebe seu próprio ID de cliente. Todos os conjuntos de dados do respectivo cliente são armazenados sob esse ID, e todos os dados do cliente são segregados logicamente. Devido a direitos de administração e estruturas de banco de dados, o cliente só pode acessar conjuntos de dados atribuídos a esse ID de usuário e aos datacenters/controles da AWS respectivamente associados.
  • Somente pessoas expressamente autorizadas pela Expedia e que "precisam saber" têm acesso a dados pessoais. Controles e monitoramento estão em vigor para garantir o mínimo de privilégios no acesso em caso de tentativas de acesso não autorizadas ao sistema.

Medidas para garantir o registro de eventos

 

Medidas para garantir a configuração do sistema, incluindo configuração padrão Medidas para governança e gerenciamento interno de TI e segurança de TI Medidas para certificação/garantia de processos e produtos 

  • O Programa de Segurança da Informação do Expedia Group (EG) está alinhado às estruturas e padrões do setor, trabalhando por meio do seu programa de gestão de riscos para garantir uma postura de segurança robusta e abrangente. O Expedia Group mantém processos operacionais seguros para dar suporte à segurança, disponibilidade, integridade e confidencialidade do ambiente e dos dados dos clientes.
  • Os padrões de construção do Expedia Group permitem apenas componentes de sistema, serviços e protocolos que atendem a uma necessidade de negócios. Sistemas operacionais, bancos de dados e aplicativos prontos para uso devem ser detectáveis para atender aos requisitos de auditoria legal e regulamentar, oferecer suporte a ferramentas de gerenciamento de configuração ou implantar gerenciamento de configuração que imponha controles de segurança com êxito, além de poder habilitar a criptografia para todos os acessos administrativos remotos a um sistema e exibir o uso adequado do sistema. O sistema está sendo monitorado para detectar o uso indevido e outras atividades ilícitas. Não há expectativa de privacidade durante o uso do sistema.
  • O Expedia Group adota uma abordagem em camadas/defesa em profundidade no que diz respeito à segurança. Recursos e controles críticos estão em vigor em toda a empresa (por exemplo: antimalware, WAF, segmentação de rede, DLP, etc.), utilizando um conjunto de políticas, operações e tecnologias para garantir que o ambiente seja monitorado por meio de uma organização central de segurança e alertas respondidos adequadamente.
  • Os sistemas da Expedia são hospedados no Amazon Web Services (AWS) e em Data Centers que fornecem ao Expedia Group relatórios SOC 2 anuais para garantir a conformidade.

Medidas para garantir a minimização de dados Medidas para garantir a qualidade dos dados Medidas para garantir a retenção limitada de dados Medidas para garantir a responsabilidade

  • Minimização: o Expedia Group garante que apenas uma quantidade mínima de dados seja coletada, processada e armazenada. Só usamos formato identificável quando necessário.
  • Retenção: a política de retenção de dados do Expedia Group estabelece diferentes períodos de retenção e backup dependendo da categoria dos dados, incluindo qualquer obrigação legal ou outro tipo de isenção que exija que tais dados sejam mantidos até que certas obrigações legais, como impostos e questões contábeis, tenham sido extintas.
  • Qualidade: o Expedia Group possui um programa de gestão de qualidade formalizado, o programa Gestão de Experiência de Clientes (GEC). Estamos sempre nos esforçando para melhorar o ambiente do EG e buscando agilizar os processos para obter maior eficiência, resultando em serviços e interações consistentes e de alta qualidade com os nossos parceiros, clientes e viajantes.
  • Responsabilidade: O Expedia Group garante a supervisão da responsabilidade com a implementação consistente de políticas, regulamentos/estruturas do setor e requisitos legais, mantendo um programa de governança formalizado e um órgão jurídico/privacidade.

Medidas para permitir a portabilidade de dados e garantir o apagamento

  • O Expedia Group é diretamente responsável por garantir a conformidade com as leis de proteção de dados (inclusive em relação a solicitações de titulares de dados). O Expedia Group responde a todas as solicitações de titulares, incluindo solicitações de acesso, exclusão e portabilidade, de acordo com a lei de proteção de dados aplicável.
  • A política de retenção de dados do EG estabelece diferentes períodos de retenção e backup dependendo da categoria dos dados, incluindo qualquer obrigação legal ou outro tipo de isenção que exija que tais dados sejam mantidos até que certas obrigações legais, como impostos e questões contábeis, tenham sido extintas. Caso o Expedia Group não consiga destruir os Dados Pessoais, o Expedia Group deverá continuar a estender as proteções relevantes do Contrato entre as partes que regem esses dados pessoais e encerrar qualquer processamento posterior.

Em caso de transferências para (sub-)processadores, descreva também as medidas técnicas e organizacionais específicas a serem tomadas pelo (sub-)processador para que seja capaz de prestar assistência ao controlador e, para transferências de um processador para um sub-processador, para o exportador de dados.

  • O Expedia Group realiza a devida diligência nas práticas de segurança da informação dos seus fornecedores e exige que os fornecedores atendam a requisitos de segurança rigorosos, incluindo obrigações que exigem que os fornecedores implementem e mantenham em vigor medidas técnicas e organizacionais adequadas.
  • O Expedia Group formalizou um processo detalhado de Avaliação de Impacto de Segurança (“SIA”). Todos os novos fornecedores que acessam os dados são avaliados antes de qualquer envolvimento e ao longo do período, sempre que necessário.
  • Além disso, o Expedia Group também possui termos robustos para processadores que são impostos a todos os fornecedores, garantindo o fluxo decorrente das obrigações para qualquer um dos seus sub-processadores.

 

Aditivo de Transferência Internacional de Dados às Cláusulas Contratuais Padrão da Comissão da UE (Aditivo)

Este Aditivo foi emitido pelo Comissário de Informações das Partes que fazem Transferências Restritas. O Comissário de Informações considera que tal Aditivo fornece proteções adequadas às Transferências Restritas quando firmado como um contrato juridicamente vinculativo.

Parte 1 Tabelas

Tabela 1: Partes

Data de início

A Data das SCCs às quais este Aditivo está anexado (SCCs da UE).

Partes

Contato Principal

Exporter: As per EU SCCs.

 

Importer: As per EU SCCs.

 

Tabela 2: SCCs selecionadas, Módulos e Cláusulas Selecionadas

Aditivo SCCs da UE

A versão das SCCs da UE aprovadas às quais este Aditivo está anexado.

Tabela 3: Informações do Apêndice

"Informações do Apêndice" significa as informações que devem ser fornecidas sobre os módulos selecionados, conforme estabelecido no Apêndice das SCCs da UE Aprovadas (exceto as Partes), e que para este Aditivo são definidas em:

Anexo IA: Lista de Partes

Anexo IB Descrição da Transferência

Anexo II: Medidas Técnicas e

Conforme as SCCs da UE

Tabela 4: Encerramento deste Aditivo quando o Aditivo Aprovado mudar

Quais Partes podem encerrar este Aditivo conforme estabelecido na Seção 19

Nenhuma das Partes

Parte 2: Cláusulas Obrigatórias

Cláusulas Obrigatórias do Aditivo Aprovado, sendo o modelo do Aditivo B.1.0 emitido pela ICO e apresentado ao Parlamento de acordo com o artigo 119A da Lei de Proteção de Dados de 2018 em 2 de fevereiro de 2022, conforme revisado na Seção 18 de tais Cláusulas Obrigatórias.