ข้อตกลงออนไลน์ของ TAAP – ข้อตกลงระหว่างผู้ควบคุมกับผู้ควบคุม (รวมถึง SCC)

ต้นฉบับภาษาอังกฤษของข้อตกลง C2C ฉบับนี้อาจได้รับการแปลเป็นภาษาต่างๆในกรณีที่ข้อตกลงฉบับภาษาอังกฤษและฉบับภาษาอื่นใดขัดกันหรือไม่สอดคล้องกัน ข้อตกลงฉบับภาษาอังกฤษจะมีผลใช้บังคับเหนือกว่า

ขอบเขต: ในกรณีที่เอ็กซ์พีเดียและคุณดำเนินการประมวลผลข้อมูลส่วนบุคคลโดยเป็นส่วนหนึ่งของข้อตกลง (ซึ่งอาจอยู่ในรูปเงื่อนไขที่ให้ยอมรับด้วยการคลิกทางออนไลน์) ที่ทำร่วมกับอีกฝ่ายหนึ่ง (ตามที่คุณได้รับการแต่งตั้งให้เป็นพาร์ทเนอร์ทางการตลาดภายใต้ TAAP และกิจกรรมที่เกี่ยวข้องทั้งหมดที่เชื่อมโยงกับกิจกรรมดังกล่าว ซึ่งในที่นี้เรียกว่า " กิจกรรมที่เกี่ยวข้อง ") ในกรณีนี้ข้อตกลงระหว่างผู้ควบคุมทั่วโลกกับผู้ควบคุม (" ข้อตกลง C2C ") จะเป็นข้อตกลงเสริมและนำไปใช้กับข้อตกลงที่ทำขึ้นระหว่างคู่สัญญาที่เกี่ยวข้องกับกิจกรรมที่เกี่ยวข้อง (" ข้อตกลงหลัก") พร้อมกำหนดข้อกำหนดและเงื่อนไขเพิ่มเติมที่มีผลกับเอ็กซ์พีเดียและคุณในการประมวลผลข้อมูลส่วนบุคคลที่เกี่ยวข้องกับข้อตกลงหลักทั้งนี้ ในข้อตกลง C2C ฉบับนี้ คำว่า " เอ็กซ์พีเดีย ", " เรา" และ " ของเรา" หมายถึง Expedia, Inc. และ/หรือบริษัทในเครือ Expedia Group อื่นใดที่เป็นคู่สัญญาของข้อตกลงหลัก คำว่า "คุณ" หมายถึงนิติบุคคลที่มีชื่อซึ่งระบุไว้ในแอปพลิเคชันตามที่อธิบายไว้ในข้อตกลงหลัก (และการอ้างอิงทั้งหมดถึงเอ็กซ์พีเดียหรือคุณจะถูกตีความเป็นคำพหูพจน์ตามขอบเขตที่กำหนดโดยข้อตกลงหลัก)

1. คำจำกัดความและการแปลความหมาย

1.1 ข้อตกลง C2C ฉบับนี้อยู่ภายใต้ข้อกำหนดของข้อตกลงหลักและรวมอยู่ในข้อตกลงหลักการตีความและคำศัพท์ที่กำหนดไว้ในข้อตกลงหลักจะมีผลใช้กับการตีความข้อตกลง C2C ฉบับนี้ เว้นแต่จะกำหนดไว้เป็นอย่างอื่นในข้อตกลง C2C ฉบับนี้ คำศัพท์อื่นๆ รวมถึง

  1. a. มาตรการทางเทคนิคและทางองค์กรที่เหมาะสมผู้ควบคุมข้อมูลส่วนบุคคลการละเมิดข้อมูลส่วนบุคคลประมวลผล/การประมวลผล และหน่วยงานกำกับดูแล (หรือคำศัพท์เทียบเท่าตามสมควรแก่เหตุผล) จะต้องมีความหมายที่ให้ไว้ในกฎหมายคุ้มครองข้อมูลที่ใช้บังคับ
  2. b. กฎหมายคุ้มครองข้อมูลที่บังคับใช้ หมายถึง กฎหมายและระเบียบข้อบังคับใดๆ ที่บังคับใช้ในเขตอำนาจศาลที่เกี่ยวข้องใดๆ ที่เกี่ยวข้องกับการใช้หรือการประมวลผลข้อมูลส่วนบุคค
  3. c. วัตถุประสงค์ที่อนุญาต หมายถึง วัตถุประสงค์ของ (1) การตอบสนองการจอง (2) การให้การสนับสนุนสำหรับการจอง (3) การจดทะเบียน TAAP และการดูแลบัญชี (4) การจ่ายค่าคอมมิชชั่นและจำนวนเงินอื่นๆ ตามข้อตกลงหลัก (5) การจัดทำรายงานให้แก่คุณและการประมวลผลเพิ่มเติมที่จำเป็นสำหรับการกระทบยอด (6) การสนับสนุนบัญชี TAAP (7) การสื่อสารต่อสมาชิก TAAP (8) การปรับปรุงบริการของเรา รวมทั้งการปรับแต่งประสบการณ์การจอง (9) การจัดทำรายงานสำหรับการวิเคราะห์ ข่าวกรองทางธุรกิจ และการรายงานทางธุรกิจ (10) การป้องกันการฉ้อโกง (11) การตอบสนองต่อคำขอในการบังคับใช้กฎหมายและคำขอตรวจสอบโดยหน่วยงานจัดเก็บภาษี (12) การอำนวยความสะดวกให้แก่ธุรกรรมเกี่ยวกับสินทรัพย์ทางธุรกิจ (ซึ่งอาจขยายไปถึงการควบรวมกิจการ การครอบครองกิจการ หรือการขายสินทรัพย์) (13) การปฏิบัติตามภาระหน้าที่อื่นๆ ของเราภายใต้ข้อตกลงหลัก นโยบายความเป็นส่วนตัวของเอ็กซ์พีเดีย และกฎหมายที่มีผลใช้บังคับ และ (14) การระบุ การคำนวณ และการรายงานภาษีการเดินทางและการคิดภาษีอื่นๆ ที่เกี่ยวข้องตามที่จำเป็นเป็นครั้งคราว
  4. d. DPF หมายถึง การรับรองกรอบโครงสร้างความเป็นส่วนตัวของข้อมูล (Data Privacy Framework) ระหว่างสหภาพยุโรปและสหรัฐอเมริกากับกระทรวงพาณิชย์ของสหรัฐอเมริกา หรือกลไกการรับรองทดแทนหรือเสริมใดๆ ที่ได้รับการอนุมัติจากคณะกรรมาธิการยุโรป (หรือหน่วยงานระดับชาติที่เกี่ยวข้องอื่นๆ) เป็นครั้งคราว และรวมถึงการตัดสินใจเพิ่มเติมเกี่ยวกับความเพียงพอที่ออกโดยประเทศอื่นใดที่อนุญาตให้มีการขยายระยะเวลาของ DPF ระหว่างสหรัฐอเมริกาและประเทศที่สามนั้น (ตัวอย่างรวมถึงโดยไม่จำกัดเพียง เช่น สหราชอาณาจักรและสวิตเซอร์แลนด์)
  5. e. ประเทศที่จำกัดการโอน หมายถึง ประเทศใดๆ ในเขตเศรษฐกิจยุโรป สวิตเซอร์แลนด์ สหราชอาณาจักร และบราซิล
  6. f. ข้อมูลการโอนที่จำกัด หมายถึง ข้อมูลลูกค้าที่เกี่ยวข้องกับการจองที่ทำผ่านจุดขายที่เรากำหนดให้ลูกค้าในประเทศที่จำกัดการโอนเข้าใช้
  7. g. ข้อสัญญามาตรฐาน (Standard Contractual Clause)/ SCC หมายถึง ข้อสัญญามาตรฐานของคณะกรรมาธิการยุโรปที่ได้รับอนุมัติสำหรับการถ่ายโอนข้อมูลส่วนบุคคลจากสหภาพยุโรปไปยังประเทศที่สาม ซึ่งออกเมื่อวันที่ 4 มิถุนายน 2021 ตามที่แก้ไข เปลี่ยน เสริม หรือแทนที่เป็นครั้งคราว โดยสามารถดูข้อสัญญาฉบับเต็มได้ที่ลิงก์นี้: : https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en och
  8. h. ข้อมูลส่วนบุคคลของ TAAP หมายถึง ข้อมูลส่วนบุคคลที่คุณแจ้งไว้แก่เราผ่านทางเว็บไซต์ TAAP หรือวิธีอื่นโดยเชื่อมโยงกับ TAAP เอง หรือการอำนวยความสะดวกให้กับการจองที่ทำขึ้นโดยใช้เว็บไซต์ TAAP
ความสัมพันธ์ของคู่สัญญาต่างๆ 
  1. 1.2 คุณและเราแต่ละฝ่ายจะเก็บรวบรวมและประมวลผลข้อมูลส่วนบุคคล เพื่อตอบสนองสิทธิและภาระหน้าที่ที่เกี่ยวข้องภายใต้ข้อตกลงหลัก ตลอดจนความรับผิดชอบที่เกี่ยวข้องของคุณและของเราภายใต้กฎหมายที่มีผลใช้บังคับด้วยเหตุดังกล่าว คู่สัญญาต่างๆ แต่ละฝ่ายจะต้อง: (1) ประมวลผลข้อมูลส่วนบุคคลโดยเป็นผู้ควบคุมอิสระและทำงานด้วยตนเอง (2) ปฏิบัติตามกฎหมายคุ้มครองข้อมูลที่ใช้บังคับ และ (3) รับผิดชอบสำหรับการกระทำการหรือการละเว้นการกระทำการโดยละเมิดต่อกฎหมายคุ้มครองข้อมูลที่ใช้บังคับ
ความรับผิดชอบของคุณ

1.3 คุณต้อง: 

  1. a. ดำเนินการตามพื้นฐานทางกฎหมาย เพื่อทำให้เรามีข้อมูลส่วนบุคคลของ TAAP ที่จะประมวลผลเพื่อวัตถุประสงค์ที่อนุญาต
  2. b. ดูแลให้แน่ใจว่าลูกค้าได้รับแจ้งให้ทราบผ่านทางนโยบายความเป็นส่วนตัวของคุณและวิธีการที่เหมาะสมอื่นใด ว่าข้อมูลส่วนบุคคลของพวกเขาจะถูกใช้ร่วมกับเราเพื่อวัตถุประสงค์ที่อนุญาต
  3. c. นำลูกค้าไปยังนโยบายความเป็นส่วนตัวของเรา เพื่อดูข้อมูลเพิ่มเติมเกี่ยวกับวิธีการที่เราจัดการข้อมูลส่วนบุคคลของพวกเขา และ
  4. d. ร่วมมือและให้ความช่วยเหลือตามสมควรแก่เหตุผลแก่เรา เพื่อช่วยเราในการปฏิบัติตามกฎหมายการคุ้มครองข้อมูลที่ใช้บังคับระหว่างการประมวลผลข้อมูลส่วนบุคคลของ TAAP โดยเชื่อมโยงกับข้อตกลงหลัก
ความรับผิดชอบของเรา

1.4 เรา (และสมาชิกหมู่คณะของเรา ในกรณีที่เกี่ยวข้อง) จะ: 

  1. a. ประมวลผลข้อมูลส่วนบุคคลของ TAAP ที่เกี่ยวข้องกับวัตถุประสงค์ที่อนุญาตเท่านั้น
  2. b. ไม่เปิดเผยข้อมูลส่วนบุคคลของ TAAP ทั้งหมดหรือส่วนใดๆ ก็ตามต่อบุคคลใดก็ตาม ยกเว้นที่เกี่ยวข้องกับวัตถุประสงค์ที่อนุญาต
  3. c. ร่วมมือและให้ความช่วยเหลือตามสมควรแก่เหตุผลแก่คุณ เพื่อช่วยคุณในการปฏิบัติตามกฎหมายการคุ้มครองข้อมูลที่ใช้บังคับระหว่างการประมวลผลข้อมูลส่วนบุคคลของ TAAP โดยเชื่อมโยงกับข้อตกลงหลัก และ
  4. d. แสดงและปฏิบัติตามประกาศคุกกี้โดยชอบด้วยกฎหมายและล่าสุดของเรา (ถ้าจำเป็น) และนโยบายความเป็นส่วนตัวของเราบนเว็บไซต์ TAAP
ลูกค้าและบุคคลที่สาม

1.5 คุณรับทราบว่าเรา:

  1. a. อาจส่งอีเมลเกี่ยวกับการจองไปหาลูกค้า
  2. b. อาจโอนย้ายข้อมูลส่วนบุคคลของ TAAP (รวมทั้งข้อมูลการธนาคาร) ไปยังผู้ให้บริการที่เป็นบุคคลภายนอกของเรา เพื่อวัตถุประสงค์ดังต่อไปนี้:
    1. i. =การดูแลรักษา จัดการ และสนับสนุนบัญชี TAAP ของคุณ ของตัวแทน และของผู้ใช้ย่อย
    2. ii. การให้การสนับสนุนสำหรับการจอง และ
    3. iii. การจ่ายค่าคอมมิชชั่นและจำนวนเงินอื่นๆ ตามข้อตกลงหลัก
การรักษาความปลอดภัยข้อมูล

1.6 คู่สัญญาทั้งสองฝ่ายในการปฏิบัติหน้าที่ผู้ควบคุม จะ:

  1. a. ดูแลรักษามาตรการทางเทคนิคและองค์กรที่เหมาะสม เพื่อคุ้มครองข้อมูลส่วนบุคคลที่คู่สัญญาแต่ละฝ่ายประมวลผลให้พ้นจากการละเมิดข้อมูลส่วนบุคคล และ
  2. b. ในกรณีของการละเมิดข้อมูลส่วนบุคคลที่ยืนยันแล้วภายในระบบ ซึ่งอยู่ภายใต้การครอบครองหรือการควบคุมของคู่สัญญาดังกล่าว ให้แจ้งคู่สัญญาอีกฝ่ายโดยเร็ว หากการละเมิดข้อมูลส่วนบุคคลนั้น (1) ส่งผลกระทบข้อมูลส่วนบุคคลของ TAAP ที่ประมวลผลโดยคู่สัญญาอีกฝ่ายเช่นกันภายใต้ข้อตกลงหลัก และ (2) รายงานได้ต่อหน่วยงานกำกับดูแล โดยแสดงรายละเอียดโดยครบถ้วนของเหตุดังกล่าวในกรณีดังกล่าว คู่สัญญาทั้งสองฝ่ายจะร่วมมือตามสมควรแก่เหตุผลและโดยสุจริต เพื่อเยียวยาหรือบรรเทาผลกระทบของการละเมิดข้อมูลส่วนบุคคล และต้นทุนที่สมเหตุสมผลของความร่วมมือดังกล่าวจะตกเป็นภาระของคู่สัญญาที่เสียหายจากการละเมิดข้อมูลส่วนบุคคล
โอนเงินข้ามพรมแดน

1.7 กรอบโครงสร้างความปลอดภัยของข้อมูล (DPF): : คุณและเราตกลงว่าในส่วนที่เกี่ยวกับการถ่ายโอนข้อมูลการโอนที่จำกัดระหว่างคุณและเราไปยังสหรัฐอเมริกาหรือไปยังประเทศที่ไม่ถือว่ามีความรัดกุม "เพียงพอ" ภายใต้กฎหมายคุ้มครองข้อมูลที่ใช้บังคับของประเทศต้นทางที่เป็นประเทศที่จำกัดการโอน (ก) ในกรณีที่ DPF เป็นวิธีการถ่ายโอนที่ได้รับการยอมรับโดยหน่วยงานที่เกี่ยวข้อง DPF จะเป็นกลไกที่ตกลงร่วมกันสำหรับการถ่ายโอนข้อมูลข้ามพรมแดนที่มาจากประเทศที่จำกัดการโอนมายังเราในสหรัฐอเมริกา และ (ข) ในกรณีที่ DPF ไม่ใช่วิธีการถ่ายโอนที่ถูกต้อง (รวมถึงการถ่ายโอนข้อมูลการโอนที่จำกัดไปยังประเทศที่ไม่ถือว่ามีความรัดกุม "เพียงพอ" ภายใต้กฎหมายคุ้มครองข้อมูลที่บังคับใช้ ของประเทศต้นทางที่เป็นประเทศที่จำกัดการโอน) SCC จะนำไปใช้กับการโอนดังกล่าว และเราจะเข้าทำ SCC ตามเกณฑ์ที่กำหนดไว้ในข้อ 1.11 ด้านล่างในกรณีที่คุณมีใบรับรอง DPF ในปัจจุบัน การถ่ายโอนข้อมูลการโอนที่จำกัดให้แก่

1.8 ภาระผูกพันที่ตามมาจาก DPF : คุณตกลงว่าคุณจะให้การป้องกันอย่างน้อยในระดับเดียวกันสำหรับข้อมูลการโอนที่จำกัดตามที่กำหนดภายใต้ DPF และคุณจะต้องแจ้งให้เราทราบทันทีหากคุณตัดสินใจว่าคุณไม่สามารถให้ความคุ้มครองในระดับนี้ได้อีกต่อไปในกรณีดังกล่าว หรือหากเรามีเหตุผลให้เชื่อว่าคุณไม่ได้ปกป้องข้อมูลการโอนที่จำกัดตามมาตรฐานที่กำหนดภายใต้ DPF เราอาจ: (ก) สั่งให้คุณดำเนินการตามสมควรและเหมาะสมเพื่อหยุดและแก้ไขการประมวลผลที่ไม่ได้รับอนุญาตใดๆ ซึ่งในกรณีนี้คุณจะร่วมมือกับเราโดยสุจริตทันทีเพื่อระบุ ยอมรับ และดำเนินการตามขั้นตอนดังกล่าว (ข) ยอมรับการป้องกันสำรองที่อาจนำไปใช้กับการประมวลผลภายใต้กฎหมายคุ้มครองข้อมูลที่ใช้บังคับ หรือ (ค) ยุติข้อตกลง C2C นี้และข้อตกลงหลัก (หรือส่วนของข้อตกลงที่ได้รับผลกระทบใดๆ ตามที่เราเลือก) โดยไม่มีบทลงโทษพร้อมกับแจ้งให้คุณทราบหากคุณมีใบรับรอง DPF ในปัจจุบันด้วย ให้ถือว่าข้อกำหนดข้างต้นและข้อกำหนดในข้อ 1.9 ด้านล่างมีผลใช้บังคับเสมือนภาระผูกพันเป็นแบบสองทาง

1.9 ภาระหน้าที่ในการเปิดเผยข้อมูลของ DPF : คุณรับทราบว่าเราอาจเปิดเผยข้อตกลง C2C นี้และข้อกำหนดความเป็นส่วนตัวที่เกี่ยวข้องในข้อตกลงหลักต่อกระทรวงพาณิชย์ของสหรัฐอเมริกา คณะกรรมาธิการการค้าของรัฐบาลกลาง (Federal Trade Commission) หน่วยงานคุ้มครองข้อมูลของยุโรป หรือหน่วยงานตุลาการหรือหน่วยงานกำกับดูแลอื่นๆ ของสหรัฐอเมริกาหรือสหภาพยุโรป เมื่อหน่วยงานเหล่านี้ส่งคำขอ และการเปิดเผยดังกล่าวจะไม่ถือว่าเป็นการละเมิดการรักษาความลับ

1.10 การขยาย SCC ไปยังประเทศที่ไม่ใช่ประเทศที่จำกัดการโอน : สำหรับการถ่ายโอนข้อมูลส่วนบุคคลของ TAAP ระหว่างคุณกับเราที่มาจากประเทศที่ไม่ใช่ประเทศที่จำกัดการโอน แต่กฎหมายคุ้มครองข้อมูลที่บังคับใช้กำหนดให้ต้องมีการใช้การป้องกันก่อนจึงจะสามารถทำการถ่ายโอนข้อมูลส่วนบุคคลของ TAAP นั้นออกนอกประเทศต้นทางได้ (แต่ละประเทศไม่ได้เป็น ประเทศที่จำกัดการโอน) ในกรณีนี้ คุณและเราตกลงว่า (ก) SCC ที่กำหนดไว้ในข้อ 1.11 ด้านล่างจะถือว่าขยายผลให้รวมการถ่ายโอนเพิ่มเติมดังกล่าวในขอบเขตที่การขยายผลดังกล่าวจะเป็นไปตามมาตรการป้องกันของประเทศนั้นๆ และ/หรือ (ข) เมื่อมาตรการที่กำหนดไว้ในข้อ 1.11 ไม่เพียงพอหรือจำเป็นต้องมีมาตรการเสริม คู่สัญญาทั้งสองฝ่ายตกลงที่จะใช้มาตรการเพิ่มเติมดังกล่าว ซึ่งรวมถึง เช่น การดำเนินการตามเอกสารที่เกี่ยวข้อง การรวบรวมความยินยอม การยื่นเอกสารที่จำเป็นที่อาจจำเป็นต้องยื่นเป็นครั้งคราวเพื่อให้เป็นไปตามกฎหมายคุ้มครองข้อมูลที่บังคับใช้

1.11 ตามข้อ 1.7 ข้างต้น คุณและเราตกลงที่จะเข้าทำ SCC โดยไม่เปลี่ยนแปลงข้อสัญญา ยกเว้นบางส่วนต่อไปนี้:

  1. a. ในกรณีที่คุณอยู่ในประเทศที่จำกัดการโอนหรือในประเทศที่ถือว่ามีความรัดกุม “เพียงพอ” ตามมาตรา 45 ของ GDPR จะใช้โมดูลที่หนึ่ง (1) ของ SCC ในแบบทางเดียวเท่านั้นในส่วนที่เกี่ยวข้องกับการโอนข้อมูลจากคุณไปยังเอ็กซ์พีเดียหากไม่ใช่กรณีนี้ จะใช้โมดูลที่หนึ่งของ SCC ในแบบสองทางเพื่อให้ครอบคลุมทั้งการโอนจากเราถึงคุณ และจากคุณถึงเรา
  2. b. ในข้อ 11(a) ของ SCC จะลบข้อสัญญาทางเลือกที่เป็นเสริม
  3. c. ในข้อ 13 ของ SCC วรรคที่เกี่ยวข้องคือ “The supervisory authority of the Member State in which the representative within the meaning of Article 27(1) of Regulation (EU) 2016/679 is established, as indicated in Annex I.C, shall act as competent supervisory authority.” (หน่วยงานกำกับดูแลของรัฐสมาชิกซึ่งมีการจัดตั้งตัวแทนตามความหมายของมาตรา 27(1) ของระเบียบ (EU) ที่ 2016/679 ตามที่ระบุไว้ในภาคผนวก I.C จะทำหน้าที่เป็นหน่วยงานกำกับดูแลที่มีอำนาจ)
  4. d. ในข้อ 17 ของ SCC กฎหมายที่ใช้บังคับคือกฎหมายของไอร์แลนด์
  5. e. ในข้อ 18(b) ของ SCC กฎหมายที่ใช้บังคับคือกฎหมายของไอร์แลนด์
  6. f. จะเพิ่มข้อใหม่เป็นข้อ 19 ใน SCC เพื่อให้ครอบคลุมการโอนข้อมูลส่วนบุคคลจากสหราชอาณาจักรไปยังภายนอกสหราชอาณาจักร ดังนี้:

"ข้อ 19

GDPR ของสหราชอาณาจักรและ DPA 2018

คู่สัญญาตกลงว่าข้อกำหนดเหล่านี้จะขยายและนำไปใช้ในขอบเขตที่เกี่ยวข้องกับการโอนข้อมูลดังกล่าว เพื่อให้ครอบคลุมการโอนข้อมูลข้ามพรมแดนที่อยู่ภายใต้ขอบเขตของ GDPR ของสหราชอาณาจักรและพระราชบัญญัติคุ้มครองข้อมูลปี 2018 (Data Protection Act 2018) ( การโอนข้อมูลของสหราชอาณาจักร )ในการโอนข้อมูลของสหราชอาณาจักรดังกล่าว บทบัญญัติของภาคผนวกการโอนข้อมูลระหว่างประเทศ (International Data Transfer Addendum) ของข้อสัญญามาตรฐาน (Standard Contractual Clauses) รุ่นที่ B1.0 (ตามที่แก้ไข เปลี่ยนแปลง เพิ่มเติม หรือแทนที่เป็นครั้งคราว) จะมีผลบังคับใช้ตามที่กำหนดไว้ในแบบฟอร์มที่แสดงในภาคผนวก"

  1. h. จะเพิ่มข้อใหม่เป็นข้อ 20 ใน SCC เพื่อให้ครอบคลุมการโอนข้อมูลส่วนบุคคลจากสวิตเซอร์แลนด์ไปยังภายนอกสวิตเซอร์แลนด์ ดังนี้:

"ข้อ 20

สวิตเซอร์แลนด์ – FADP

คู่สัญญาตกลงว่าข้อกำหนดเหล่านี้จะขยายและนำไปใช้ในขอบเขตที่เกี่ยวข้องกับการโอนข้อมูลดังกล่าว เพื่อให้ครอบคลุมการโอนข้อมูลข้ามพรมแดนที่อยู่ภายใต้ขอบเขตของรัฐบัญญัติแห่งสมาพันธรัฐว่าด้วยการคุ้มครองข้อมูล (Federal Act of Data Protection หรือ FDAP ) (เรียกในข้อนี้ว่า การโอนข้อมูลของสวิตเซอร์แลนด์ )ในการโอนข้อมูลของสวิตเซอร์แลนด์ดังกล่าว ให้ถือว่ากฎหมายที่บังคับใช้คือกฎหมายของสมาชิกสมาพันธรัฐที่เลือก ศาลที่มีอำนาจคือศาลของสมาชิกสมาพันธรัฐที่เลือก และผู้ตรวจการการคุ้มครองข้อมูลแห่งสมาพันธรัฐ (Federal Data Protection and Information Commissioner หรือ FDPIC ) จะเป็นหน่วยงานกำกับดูแลที่มีอำนาจคู่สัญญาตกลงเพิ่มเติมว่าการเปลี่ยนแปลงเพิ่มเติมดังกล่าวจะถูกตีความในข้อกำหนดที่เกี่ยวข้องกับการโอนข้อมูลของสวิตเซอร์แลนด์ตามที่ FDPIC เห็นว่าจำเป็นเพื่อให้สอดคล้องกับ GDPR ของสหราชอาณาจักร์และ FADP และข้อสัญญานี้จะตีความตามข้อกำหนดสำหรับการโอนข้อมูลของสวิตเซอร์แลนด์ภายใต้กฎหมายเหล่านั้น หรือตามที่กำหนดไว้เป็นอย่างอื่นในคำแนะนำที่ออกโดย FDPIC โดยคู่สัญญาไม่จำเป็นต้องเข้าทำข้อตกลงมาตรฐานที่จัดทำแยกต่างหากไว้สำหรับการโอนข้อมูลของสวิตเซอ สวิตเซอร์แลนด์ที่คู่สัญญาทำโดยเฉพาะคู่สัญญาจะต้องดำเนินการต่างๆ ทั้งหมดตามที่จำเป็นเพื่อให้แน่ใจว่าสอดคล้องกับ FADP เมื่อมีดำเนินการโอนข้อมูลของสวิตเซอร์แลนด์"

  1. i. จะเพิ่มข้อใหม่เป็นข้อ 21 ใน SCC เพื่อให้ครอบคลุมการโอนข้อมูลส่วนบุคคลจากบราซิลไปยังภายนอกบราซิล ดังนี้:

"ข้อ 21 

บราซิล – LGPD 

คู่สัญญาตกลงว่าข้อกำหนดเหล่านี้จะขยายและนำไปใช้ในขอบเขตที่เกี่ยวข้องกับการโอนข้อมูลดังกล่าว เพื่อให้ครอบคลุมการโอนข้อมูลข้ามพรมแดนที่อยู่ภายใต้ขอบเขตของกฎหมายการคุ้มครองข้อมูลทั่วไป แห่งบราซิล ฉบับที่ 13,709/18 (Lei Geral de Proteção de Dados) ( LGPD ) (เรียกในข้อนี้ว่า การโอนข้อมูลของบราซิล )ในการโอนข้อมูลของบราซิลดังกล่าว ให้ถือว่ากฎหมายที่บังคับใช้คือกฎหมายของรัฐสมาชิกที่เลือก ศาลที่มีอำนาจคือศาลของรัฐสมาชิกที่เลือก และหน่วยงานคุ้มครองข้อมูลแห่งชาติของบราซิล (National Data Protection Authority หรือ ANPD ) จะเป็นหน่วยงานกำกับดูแลที่มีอำนาจคู่สัญญาตกลงเพิ่มเติมว่าการเปลี่ยนแปลงเพิ่มเติมดังกล่าวจะถูกตีความในข้อกำหนดที่เกี่ยวข้องกับการโอนข้อมูลของบราซิลตามที่ ANPD เห็นว่าจำเป็นเพื่อให้สอดคล้องกับ LGPD และข้อสัญญานี้จะตีความตามข้อกำหนดสำหรับการโอนข้อมูลของบราซิลภายใต้กฎหมายเหล่านั้น หรือตามที่กำหนดไว้เป็นอย่างอื่นในคำแนะนำที่ออกโดย ANPD หรือหน่วยงานอื่นที่เกี่ยวข้องของบราซิล โดยคู่สัญญาไม่จำเป็นต้องเข้าทำข้อตกลงมาตรฐานที่จัดทำแยกต่างหากไว้สำหรับการโอนข้อมูลของบราซิลที่คู่สัญญาทำโดยเฉพาะคู่สัญญาจะต้องดำเนินการต่างๆ ทั้งหมดตามที่จำเป็นเพื่อให้แน่ใจว่าสอดคล้องกับ LGPD เมื่อมีดำเนินการโอนข้อมูลของบราซิล"

  1. j. จะเพิ่มข้อใหม่เป็นข้อ 22 ใหม่ใน SCC เพื่อให้ครอบคลุมการโอนข้อมูลส่วนบุคคลจากประเทศอื่นใดที่ไม่ได้ระบุไว้ก่อนหน้านี้ที่สามารถขยาย SCC ให้ครอบคลุมถึงได้ เพื่อให้แน่ใจว่ามีการป้องกันที่เหมาะสมสำหรับการโอนข้อมูลส่วนบุคคลที่มาจากประเทศนั้นไปยังบุคคลที่อยู่นอกประเทศนั้น ดังนี้:

"ข้อ 22

การโอนข้อมูลไปยังประเทศที่สามอื่นๆ

คู่สัญญาตกลงว่าข้อสัญญานี้จะขยายและนำไปใช้ในขอบเขตที่เกี่ยวข้องกับการโอนข้อมูลดังกล่าว เพื่อให้ครอบคลุมการโอนข้อมูลข้ามพรมแดนที่อยู่ภายใต้ขอบเขตของกฎหมายและข้อบังคับอื่นๆ ที่บังคับใช้ในเขตอำนาจศาลที่มีอำนาจใดๆ ซึ่งเกี่ยวข้องกับการใช้หรือการประมวลผลข้อมูลส่วนบุคคล ( กฎหมายคุ้มครองข้อมูลที่บังคับใช้ ) โดยกำหนดข้อกำหนดและการคุ้มครองโดยรวมเทียบเท่ากับข้อสัญญานี้ เพื่อโอนข้อมูลส่วนบุคคลจากประเทศนั้นไปยังอีกประเทศหนึ่ง (เรียกในข้อนี้ว่า การโอนข้อมูลของประเทศที่สาม )ในการโอนข้อมูลของประเทศที่สามดังกล่าว ให้ถือว่ากฎหมายที่บังคับใช้คือกฎหมายของรัฐสมาชิกที่เลือก ศาลที่มีอำนาจคือศาลของรัฐสมาชิกที่เลือก และหน่วยงานคุ้มครองข้อมูลหรือหน่วยงานกำกับดูแลของประเทศนั้นจะเป็นหน่วยงานกำกับดูแลที่มีอำนาจคู่สัญญาตกลงเพิ่มเติมว่าการเปลี่ยนแปลงเพิ่มเติมดังกล่าวจะถูกตีความในข้อกำหนดที่เกี่ยวข้องกับการโอนข้อมูลของประเทศที่สามตามที่หน่วยงานกำกับดูแลดังกล่าวเห็นว่าจำเป็นเพื่อให้สอดคล้องกับกฎหมายคุ้มครองข้อมูลที่บังคับใช้ และข้อสัญญานี้จะตีความตามข้อกำหนดสำหรับการโอนข้อมูลของประเทศที่สามภายใต้กฎหมายเหล่านั้น หรือตามที่กำหนดไว้เป็นอย่างอื่นในคำแนะนำที่ออกโดยหน่วยงานกำกับดูแลที่เกี่ยวข้อง โดยคู่สัญญาไม่จำเป็นต้องเข้าทำข้อตกลงมาตรฐานที่จัดทำแยกต่างหากไว้สำหรับการโอนข้อมูลของประเทศที่สามที่คู่สัญญาทำโดยเฉพาะคู่สัญญาจะต้องดำเนินการต่างๆ ทั้งหมดตามที่จำเป็นเพื่อให้แน่ใจว่าสอดคล้องกับกฎหมายคุ้มครองข้อมูลที่บังคับใช้เมื่อมีดำเนินการโอนข้อมูลของประเทศที่สาม"

1.12 ภาคผนวก 1 (ภาพรวมการจัดทำ SCC) ของข้อตกลง C2C นี้ถือเป็นภาคผนวก 1 ของ SCCภาคผนวก 2 (มาตรการทางเทคนิคและทางองค์กร) ของข้อตกลง C2C นี้ถือเป็นภาคผนวก 2 ของ SCC และมีผลใช้เฉพาะกับเอ็กซ์พีเดีย โดยกรณีที่คุณได้จัดหา และเราได้ยอมรับ มาตรการทางเทคนิคและทางองค์กรที่เพียงพอเพื่อให้เป็นไปตามข้อกำหนดของภาคผนวก 2 ของ SCC หรือในกรณีอื่น ภาคผนวก 2 จะถือว่านำไปใช้กับทั้งสองฝ่าย และการอ้างอิงทั้งหมดถึงเอ็กซ์พีเดียและ Expedia Group จะถือว่าอ้างอิงถึงทั้งสองฝ่ายตามความเหมาะสมภาคผนวกของข้อตกลง C2C นี้ถือเป็นภาคผนวกสำหรับสหราชอาณาจักรตามวัตถุประสงค์ของ SCC

ภาคผนวก 1 – ภาพรวมการจัดทำ SCC 
โครงสร้างแบบที่หนึ่ง: ผู้ควบคุมถึงผู้ควบคุม (คุณถึงเรา)
A. รายชื่อคู่สัญญา

ผู้ส่งออกข้อมูล:

ฝ่ายในคู่สัญญา

ฝ่ายในคู่สัญญาที่ระบุว่าเป็น "คุณ" สมาชิก TAAP หรือคำที่เทียบเท่า

ที่อยู่

ตามที่ระบุไว้ในข้อตกลงหลัก

ชื่อผู้ติดต่อ ตำแหน่ง และข้อมูลติดต่อสำหรับคู่สัญญาฝ่าย Expedia Group ทั้งหมด

ผู้จัดการบัญชี โดยใช้อีเมลที่แจ้งให้ผู้ติดต่อของเอ็กซ์พีเดียทราบเป็นครั้งคราว

กิจกรรมที่เกี่ยวข้องกับการโอนข้อมูลภายใต้ SCC

 

การจองที่ทำผ่านเว็บไซต์ TAAP ที่เราให้บริการแก่คุณตามข้อตกลงหลัก

บทบาท

ผู้ควบคุม

ผู้นำเข้าข้อมูล: 

ฝ่ายในคู่สัญญา

ฝ่ายในคู่สัญญานอกสหภาพยุโรป ที่ระบุว่าเป็น "เรา" หรือ "เอ็กซ์พีเดีย" ในข้อตกลงหลัก

ที่อยู่

ตามที่ระบุไว้ในข้อตกลงหลัก

ชื่อผู้ติดต่อ ตำแหน่ง และข้อมูลติดต่อ

ผู้จัดการบัญชี โดยใช้อีเมลที่แจ้งให้ผู้ติดต่อของสมาชิก TAAP ทราบเป็นครั้งคราว

กิจกรรมที่เกี่ยวข้องกับการโอนข้อมูลภายใต้ข้อสัญญานี้

การจองที่ทำผ่านเว็บไซต์ TAAP ที่เราให้บริการแก่คุณตามข้อตกลงหลัก

บทบาท

ผู้ควบคุม

 

B. คำอธิบายของการโอนข้อมูล

 

ประเภทของเจ้าของข้อมูลส่วนบุคคล

ลูกค้าและสมาชิก TAAP พร้อมกับผู้ใช้ย่อย

ประเภทของข้อมูลส่วนบุคคล

ข้อมูลระบุตัวตน:

  1. ชื่อและนามสกุล (ทั้งตัวแทนและผู้เดินทาง)
  2. วันเดือนปีเกิด
  3. เพศ
  4. ข้อมูลการเข้าสู่ระบบ (ตัวแทน)

ข้อมูลติดต่อ:

  1. รหัสไปรษณีย์
  2. อีเมล
  3. หมายเลขโทรศัพท์
  4. หมายเลขแฟกซ์
  5. ข้อมูลการติดต่ออื่นๆ
  6. วันเดือนปีเกิด
  7. เพศ
  8. สัญชาติ
  9. ข้อมูล

ข้อมูลทางการเงิน:

  1. หมายเลขบัญชีธนาคาร
  2. ข้อมูลบัญชีธนาคาร
  3. ข้อมูลบัตรชำระเงิน

ข้อมูลการเดินทาง: ประวัติการจองและความต้องการของผู้เดินทาง

กรณีตัวแทนด้านภาษีเท่านั้น:

  1. หมายเลขประจำตัวผู้เสียภาษี

ข้อมูลอื่นๆ ตามที่ร้องขอและตกลงกับสมาชิก TAAP รวมถึงแต่ไม่จำกัดเพียงข้อมูลส่วนบุคคลที่จำเป็นที่เกี่ยวข้องกับ:

  1. การรายงาน การเฝ้าติดตาม และการวิเคราะห์
  2. การเข้าสู่ระบบแบบครั้งเดียว โปรแกรมสมาชิก

ข้อมูลที่ละเอียดอ่อน

ไม่มี เว้นแต่บุคคลจะแสดงข้อมูลโดยสมัครใจเพื่อขอรับสิ่งอำนวยความสะดวกสำหรับผู้ต้องการความช่วยเหลือพิเศษสำหรับการเดินทาง

ความถี่ของการถ่ายโอนข้อมูล (เช่น มีการโอนข้อมูลเพียงครั้งเดียว หรือโอนแบบต่อเนื่อง)

โอนแบบต่อเนื่องหรือแบบเฉพาะกิจตามความต้องการทางธุรกิจของสมาชิก TAAP

ลักษณะของการประมวลผลข้อมูล

การดำเนินการประมวลผลทั้งหมดที่จำเป็นเพื่ออำนวยความสะดวกตามวัตถุประสงค์ที่กำหนดไว้ด้านล่าง

วัตถุประสงค์ของการโอนข้อมูลและการประมวลผลเพิ่มเติม

วัตถุประสงค์ที่อนุญาต ตามที่กำหนดไว้ในข้อตกลงหลัก

ระยะเวลาที่ข้อมูลส่วนบุคคลจะถูกเก็บไว้ หรือเกณฑ์ที่ใช้ในการกำหนดระยะเวลานั้นหากไม่สามารถระบุระยะเวลาได้

ตามนโยบายการเก็บรักษาข้อมูลของ Expedia Group โดยมีเงื่อนไขว่าเอ็กซ์พีเดียจะยังคงปกป้องข้อมูลส่วนบุคคลดังกล่าวต่อไปตามข้อตกลงหลักในกรณีที่ข้อมูลส่วนบุคคลใดๆ ของ TAAP ถูกเก็บไว้จนเลยระยะเวลาที่ข้อตกลงหลักสิ้นสุดลงเนื่องด้วยการสำรองข้อมูลหรือเหตุผลทางกฎหมาย

สำหรับการโอนไปยังผู้ประมวลผลข้อมูล (ย่อย) ให้ระบุเนื้อหา ลักษณะ และระยะเวลาของการประมวลผลด้วย

https://support.ean.com/hc/en-us/articles/360000986389-EAN-Data-Services-Vendor-List, som uppdateras då och då

 

C. หน่วยงานที่มีอำนาจกำกับดูแล

ระบุหน่วยงานที่มีอำนาจกำกับดูแลตามข้อ 13 ของ SCC

หน่วยงานคุ้มครองข้อมูลของไอร์แลนด์ (Irish Data Protection Authority)

 

โครงสร้างแบบที่หนึ่ง: ผู้ควบคุมถึงผู้ควบคุม (เราถึงคุณ)

A. รายชื่อคู่สัญญา

Dผู้ส่งออกข้อมูล:

ฝ่ายในคู่สัญญาที่ระบุว่าเป็นผู้นำเข้าข้อมูลในโครงสร้างแบบที่หนึ่ง (1) (คุณถึงเรา) ข้างต้นดูรายละเอียดเพิ่มเติมที่ด้านบน

 

ผู้นำเข้าข้อมูล:

ฝ่ายในคู่สัญญาที่ระบุว่าเป็นผู้ส่งออกข้อมูลในโครงสร้างแบบที่หนึ่ง (1) (คุณถึงเรา) ข้างต้นดูรายละเอียดเพิ่มเติมที่ด้านบน

B. คำอธิบายของการโอนข้อมูล
  • ประเภทของเจ้าของข้อมูลส่วนบุคคล
  • ประเภทของข้อมูลส่วนบุคคล
  • ข้อมูลที่ละเอียดอ่อน

ตามโครงสร้างแบบที่หนึ่ง (1)

  • ความถี่ในการโอนข้อมูล
  •  
  • ลักษณะของการประมวลผลข้อมูล
  •  
  • วัตถุประสงค์

ตามโครงสร้างแบบที่หนึ่ง (1)

ระยะเวลาที่ข้อมูลส่วนบุคคลจะถูกเก็บไว้ หรือเกณฑ์ที่ใช้ในการกำหนดระยะเวลานั้นหากไม่สามารถระบุระยะเวลาได้

ตามนโยบายการเก็บรักษาข้อมูลของสมาชิก TAAP

สำหรับการโอนไปยังผู้ประมวลผลข้อมูล (ย่อย) ให้ระบุเนื้อหา ลักษณะ และระยะเวลาของการประมวลผลด้วย

ไม่เกี่ยวข้อง

 

C. หน่วยงานที่มีอำนาจกำกับดูแล

ตามโครงสร้างแบบที่หนึ่ง (1)

 

ภาคผนวก 2 - มาตรการทางเทคนิคและทางองค์กร 

มาตรการทางเทคนิคและทางองค์กรที่ใช้สำหรับวัตถุประสงค์ของโครงสร้างแบบที่หนึ่ง (1) จะระบุไว้ด้านล่าง ดังนี้

เรื่อ

มาตรการ

มาตรการการใช้นามแฝงและการเข้ารหัสข้อมูลส่วนบุคคล

  • Expedia Group สนับสนุนโปรโตคอลการเข้ารหัสมาตรฐานอุตสาหกรรมสำหรับการรับส่งข้อมูลโดยเป็นไปตามมาตรฐานการจำแนกประเภทและการจัดการข้อมูลของ Expedia Group    
  • ข้อกำหนดในการจัดการข้อมูลจะขึ้นอยู่กับประเภทของข้อมูลโดยทั่วทั้ง Expedia Group จะมีข้อกำหนดด้านความปลอดภัยแตกต่างกันไปขึ้นอยู่กับข้อมูลที่ถูกจัดการแต่ละประเภทตัวอย่างเช่น ข้อมูลบัตรเครดิตถือว่ามีความละเอียดอ่อนสูง และจำเป็นต้องได้รับการเข้ารหัสทั้งระหว่างการส่งและขณะไม่มีการใช้งาน
  • ข้อมูลส่วนบุคคลของลูกค้า (และพนักงานของลูกค้า) จะถูกทำให้เป็นนามแฝง (และไม่เปิดเผยชื่อ) โดย Expedia Group เมื่อเป็นไปได้ และเป็นไปตามที่กำหนดโดยมาตรฐานการจำแนกประเภทและการจัดการข้อมูลของ Expedia Group
  • •] หมายเลขบัตรเครดิตจะผ่านการแปลงให้เป็นโทเคน/ทำให้เป็นนามแฝงเพื่อไม่ให้มีการประมวลผลหมายเลขบัตรเครดิตที่เป็นข้อความที่ชัดเจน
  • Expedia Group ใช้การเชื่อมต่อที่เข้ารหัสผ่าน VPN, SSL และอื่นๆ และใช้กลไกการยืนยันตนเองหลายระดับ 

มาตรการต่อเนื่องสำหรับการรักษาความลับ ความสมบูรณ์ ความพร้อมใช้งาน และความมั่นคงของระบบการประมวลผลและบริการ

  • Expedia Group จะรับผิดชอบและมีขั้นตอนในการจัดการและการดำเนินงานของศูนย์ประมวลผลข้อมูลทั้งหมด เพื่อให้แน่ใจว่ามีการประมวลผลข้อมูลที่สมบูรณ์ ถูกต้อง และแม่นยำ
  • มีการเฝ้าติดตามศูนย์ประมวลผลที่สำคัญพร้อมโปรแกรม SOX ที่มีประสิทธิภาพ ซึ่งมีการทดสอบและรับรองการควบคุมการประมวลผลข้อมูลและความสมบูรณ์อย่างต่อเนื่อง
  • มีการเฝ้าติดตามศูนย์ประมวลผลที่สำคัญพร้อมโปรแกรม SOX ที่มีประสิทธิภาพ ซึ่งมีการทดสอบและรับรองการควบคุมการประมวลผลข้อมูลและความสมบูรณ์อย่างต่อเนื่อง  
  • Expedia Group ดูแลรักษาความมั่นคงของบริการโดยใช้สถาปัตยกรรมแบบซ้ำซ้อน การจำลองข้อมูล และการตรวจสอบความสมบูรณ์

มาตรการเพื่อให้มั่นใจว่าสามารถกู้คืนความพร้อมใช้งานและการเข้าถึงข้อมูลส่วนบุคคลได้ทันท่วงทีในกรณีที่เกิดเหตุการณ์ทางกายภาพหรือทางเทคนิค

  • ระบบของ Expedia Group ได้รับการออกแบบมาโดยเฉพาะเพื่อขัดขวางหรือป้องกันการโจมตีทั่วไป และรับประกันความพร้อมใช้งานสำหรับการดำเนินงาน การเฝ้าติดตาม และการบำรุงรักษา เพื่อจุดประสงค์นี้ Expedia Group จึงดำเนินการทดสอบและตรวจสอบแบบจำลองเป็นป
  • เซิร์ฟเวอร์ได้รับการแพตช์ตามนโยบายการแ แพตช์ที่เข้มงวดของ Expedia Group และได้รับการปกป้องด้วยโปรแกรม AV/AM มาตรฐานอุตสาหกรรม นอกจากนี้ ยังมีการประเมินช่องโหว่ การทดสอบอย่างละเอียด และการตรวจสอบเครือข่ายเพื่อให้มั่นใจว่าระบบของ Expedia Group ได้รับการบำรุงรักษา
  • มีการเฝ้าติดตามความพร้อมใช้งานและความน่าเชื่อถือเพื่อให้แน่ใจว่าเว็บไซต์ของ Expedia จะยังคงออนไลน์อยู่โดยมีการหยุดชะงักของบริการน้อยที่สุด  
  • Expedia Group มีแผนการฟื้นตัวจากภัยพิบัติที่คำนึงถึงเหตุฉุกเฉินและแผนสำรองต่างๆ เพื่อให้แน่ใจว่าการให้บริการลูกค้าจะไม่หยุดชะงักตามความรุนแรง และได้รับการทดสอบอย่างสม่ำเสมอเพื่อให้มั่นใจว่าแผนสามารถนำไปปฏิบัติได้จริง

กระบวนการสำหรับการทดสอบและประเมินประสิทธิผลของมาตรการทางเทคนิคและทางองค์กรอย่างสม่ำเสมอ เพื่อให้มั่นใจถึงความปลอดภัยของการประมวลผล

  • มาตรการทางเทคนิคและทางองค์กรของ Expedia Group ได้รับการตรวจสอบเป็นประจำทุกปีโดยผู้ประเมินภายนอก รวมทั้งผ่านการทดสอบภายในที่เข้มงวด
  • Expedia Group ดำเนินการประเมิน PCI ประจำปีโดยใช้ผู้ประเมินบุคคลที่สาม และดูแลให้มีการปฏิบัติตาม PCI อย่างต่อเนื่อง  
  • มาตรการทดสอบภายในที่ครอบคลุมของ Expedia Group ประกอบด้วยการทดสอบช่องโหว่รายไตรมาส การทดสอบการเจาะระบบทั้งภายในและภายนอก การสแกนและตรวจสอบเครือข่าย ระบบ และไฟร์วอลล์นอกจากนี้ แผนกตรวจสอบภายในยังดำเนินการประเมินความเสี่ยงประจำปีเพื่อจัดลำดับความสำคัญของการตรวจสอบการปฏิบัติงาน  

มาตรการระบุผู้ใช้และการอนุญาต มาตรการปกป้องข้อมูลระหว่างการส่ง มาตรการปกป้องข้อมูลระหว่างการจัดเก็บ

  • Expedia Group สอดคล้องกับแนวทางปฏิบัติที่ดีที่สุดในอุตสาหกรรม และมีวิธีปฏิบัติในการสื่อสาร เช่น เซสชันการหมดเวลา โปรโตคอลการล็อกเอาต์ และการควบคุมรหัสผ่านและการยืนยันตัวตนที่เข้มงวด  
  • Expedia Group รักษาข้อกำหนดสำหรับการจัดเตรียมบัญชีและการกำกับดูแลเพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตหรือการใช้ข้อมูล Expedia Group ในทางที่ผิด และใช้แนวทางปฏิบัติที่ดีที่สุดในอุตสาหกรรมตามที่จำเป็น เช่น หลักการ Least Privilege Access, ID เฉพาะ และการยืนยันตนเองหลายระดับเพื่อให้มีการยืนยันตัวตนที่รัดกุม

มาตรการเพื่อให้มั่นใจถึงความปลอดภัยทางกายภาพของสถานที่ที่ประมวลผลข้อมูลส่วนบุคคล

  • ศูนย์ปฏิบัติการด้านความปลอดภัยดำเนินงานทุกวันตลอด 24 ชั่วโมง พร้อมมีแผนเผชิญเหตุอย่างเป็นทางการที่ได้รับการตรวจสอบและทดสอบอย่างน้อยปีละครั้ง
  • ระบบทั้งหมดได้รับการควบคุมและทดสอบอย่างสม่ำเสมอโดยผู้ให้บริการภายนอก   
  • ลูกค้าของ Expedia Group แต่ละรายจะได้รับหมายเลขลูกค้าของตนเองชุดข้อมูลทั้งหมดของลูกค้าที่เกี่ยวข้องจะถูกเก็บไว้ภายใต้หมายเลขนี้ และข้อมูลลูกค้าทั้งหมดจะถูกแยกออกจากกันตามตรรกะเนื่องจากสิทธิ์การดูแลระบบและโค โครงสร้างฐานข้อมูล ลูกค้าจึงสามารถเข้าถึงชุดข้อมูลที่กำหนดให้กับหมายเลขผู้ใช้และศูนย์ข้อมูล/การควบคุม AWS เท่านั้น   
  • เฉพาะบุคคลที่ได้รับอนุญาตอย่างชัดแจ้งโดย Expedia และมี 'จำเป็นต้องทราบ' เท่านั้นที่สามารถเข้าถึงข้อมูลส่วนบุคคลได้มีการควบคุมและเฝ้าติดตามเพื่อให้แน่ใจว่าการเข้าถึงได้รับสิทธิ์น้อยที่สุด และไม่ให้มีการพยายามเข้าถึงระบบโดยไม่ได้รับอนุญาต

มาตรการเพื่อให้แน่ใจว่ามีการบันทึกเหตุการณ์

Expedia Group ดูแลให้มีข้อกำหนดการบันทึกและการเฝ้าติดตามที่เข้มงวดเพื่อให้ทราบว่าเหตุการณ์ที่บันทึกมีผู้ใดเกี่ยวข้อง เกิดอะไรข้น เกิดที่ไหน เกิดเมื่อไร เป้าหมาย ต้นทาง และความสำเร็จ/ล้มเหลวของเหตุการณ์

มาตรการสำหรับการดูแลให้มีการกำหนดค่าระบบ รวมถึงการกำหนดค่าเริ่มต้น มาตรการสำหรับการกำกับดูแลและการจัดการด้านไอทีภายในและการรักษาความปลอดภัยด้านไอที มาตรการสำหรับการรับรอง/การรับประกันกระบวนการและผลิตภัณฑ์

  • โปรแกรมการรักษาความปลอดภัยข้อมูลของ Expedia Group (EG) สอดคล้องกับกรอบงานและมาตรฐานอุตสาหกรรม โดยมีการดำเนินโปรแกรมการจัดการความเสี่ยงเพื่อให้แน่ใจว่ามีมาตรการรักษาความปลอดภัยที่แข็งแกร่งและครอบคลุมExpedia Group ดูแลให้มีกระบวนการปฏิบัติงานที่ปลอดภัยเพื่อสนับสนุนความปลอดภัย ความพร้อมใช้งาน ความสมบูรณ์ และการรักษาความลับของสภาพแวดล้อมและข้อมูลของลูกค้า  
  • มาตรฐาน Build ของ Expedia Group เปิดใช้งานเฉพาะคอมโพเนนต์ของระบบ บริการ และโปรโตคอลที่ตอบสนองความต้องการทางธุรกิจเท่านั้นระบบปฏิบัติการ ฐานข้อมูล และแอปพลิเคชันที่หาซื้อได้ทั่วไปต้องสามารถค้นพบได้เพื่อให้เป็นไปตามข้อกำหนดการตรวจสอบทางกฎหมายและข้อบังคับ รองรับเครื่องมือการจัดการการกำหนดค่า หรือปรับใช้การจัดการการกำหนดค่าที่บังคับใช้การควบคุมความปลอดภัยได้สำเร็จ ต้องเปิดใช้งานการเข้ารหัสสำหรับการเข้าถึงการดูแลระบบจากระยะไกลทั้งหมดไปยังระบบ แสดงการใช้งานระบบอย่างเหมาะสม ระบบจะถูกตรวจสอบเพื่อตรวจจับการใช้งานที่ไม่เหมาะสมและกิจกรรมที่ผิดกฎหมายอื่นๆ ทั้งนี้ ไม่สามารถคาดหวังว่าจะมีความเป็นส่วนตัวในขณะที่ใช้ระบบ
  • Expedia Group ใช้กลยุทธ์เชิงลึกในการป้องกันเป็นชั้นๆ เพื่อรักษาความปลอดภัยมีความสามารถและการควบคุมที่สำคัญมีอยู่ทั่วทั้งองค์กร (เช่น การป้องกันมัลแวร์, WAF, การแบ่งส่วนเครือข่าย, DLP เป็นต้น) โดยใช้ชุดนโยบาย การดำเนินงาน และเทคโนโลยีเพื่อให้แน่ใจว่าสภาพแวดล้อมได้รับการตรวจสอบผ่านองค์กรความปลอดภัยส่วนกลางและการแจ้งเตือนตอบสนองตามความเหมาะสม  
  • ระบบของ Expedia โฮสต์บน Amazon Web Services (AWS) และในศูนย์ข้อมูลที่จัดทำรายงาน SOC 2 ประจำปีของ Expedia Group เพื่อให้แน่ใจว่าปฏิบัติตามข้อกำหนด

มาตรการการเก็บข้อมูลน้อยที่สุด มาตรการดูแลคุณภาพข้อมูล มาตรการการเก็บรักษาข้อมูลอย่างจำกัด มาตรการรับรองความรับผิดชอบ

  • การเก็บข้อมูลน้อยที่สุด: Expedia Group รับรองว่ามีการรวบรวม ประมวลผล และจัดเก็บข้อมูลในปริมาณน้อยที่สุดเท่านั้น เราใช้รูปแบบที่สามารถระบุตัวตนได้เมื่อจำเป็นเท่านั้น  
  • การเก็บรักษา: นโยบายการเก็บรักษาข้อมูลของ Expedia Group กำหนดระยะเวลาการเก็บรักษาและการสำรองข้อมูลที่แตกต่างกันโดยขึ้นอยู่กับประเภทของข้อมูล รวมถึงข้อผูกมัดทางกฎหมายหรือการยกเว้นอื่นๆ ซึ่งกำหนดให้ต้องเก็บรักษาข้อมูลดังกล่าวไว้จนกว่าจะมีภาระผูกพันทางกฎหมายบางประการจะสิ้นสุด เช่น วัตถุประสงค์ด้านภาษีและการบัญชี  
  • คุณภาพ: Expedia Group มีโปรแกรมการจัดการคุณภาพอย่างเป็นทางการ เรียกว่า โปรแกรมการจัดการประสบการณ์ลูกค้า (Customer Experience Management หรือ CEM)เราพยายามปรับปรุงภายในสภาพแวดล้อมของ Expedia Group อยู่เสมอ และพยายามปรับปรุงกระบวนการให้มีประสิทธิภาพสูงขึ้น ซึ่งส่งผลให้บริการ รวมถึงปฏิสัมพันธ์กับพาร์ทเนอร์ ลูกค้า และนักเดินทางของเรามีคุณภาพสูงและสม่ำเสมอ
  • ความรับผิดชอบ: Expedia Group รับรองการกำกับดูแลที่รับผิดชอบด้วยการปฏิบัติตามนโยบาย ข้อบังคับอุตสาหกรรม/กรอบการทำงาน และข้อกำหนดทางกฎหมายอย่างสม่ำเสมอ โดยดูแลให้มีโปรแกรมการกำกับดูแล รวมถึงหน่วยงานด้านกฎหมาย/ความเป็นส่วนตัวอย่างเป็นทางการ

มาตรการสำหรับการอนุญาตให้เคลื่อนย้ายข้อมูลและรับรองการลบข้อมูล

  • Expedia Group มีหน้าที่รับผิดชอบโดยตรงในการตรวจสอบการปฏิบัติตามกฎหมายคุ้มครองข้อมูล (รวมถึงในส่วนที่เกี่ยวกับคำขอจากเจ้าของข้อมูลส่วนบุคคล) Expedia Group ตอบสนองต่อคำขอทั้งหมดจากเจ้าของข้อมูล รวมถึงการเข้าถึง การลบ และการเคลื่อนย้าย ตามกฎหมายคุ้มครองข้อมูลที่บังคับใช้  
  • นโยบายการเก็บรักษาข้อมูลของ Expedia Group กำหนดระยะเวลาการเก็บรักษาและการสำรองข้อมูลที่แตกต่างกันโดยขึ้นอยู่กับประเภทของข้อมูล รวมถึงข้อผูกมัดทางกฎหมายหรือการยกเว้นอื่นๆ ซึ่งกำหนดให้ต้องเก็บรักษาข้อมูลดังกล่าวไว้จนกว่าจะมีภาระผูกพันทางกฎหมายบางประการจะสิ้นสุด เช่น วัตถุประสงค์ด้านภาษีและการบัญชีในกรณีที่ Expedia Group ไม่สามารถทำลายข้อมูลส่วนบุคคลได้ Expedia Group จะยังคงให้การคุ้มครองที่เกี่ยวข้องตามข้อตกลงหลักระหว่างคู่สัญญาที่ควบคุมข้อมูลส่วนบุคคลดังกล่าว และยุติการประมวลผลเพิ่มเติมใดๆ

สำหรับการถ่ายโอนไปยังผู้ประมวลผล (ย่อย) จะยังมีการอธิบายถึงมาตรการทางเทคนิคและทางองค์กรที่ผู้ประมวลผล (ย่อย) ต้องดำเนินการเพื่อให้สามารถให้ความช่วยเหลือแก่ผู้ควบคุม และแก่ผู้ส่งออกข้อมูลสำหรับการถ่ายโอนจากผู้ประมวลผลไปยังผู้ประมวลผลย่อย

  • Expedia Group ดำเนินการตรวจสอบสถานะกับแนวทางปฏิบัติด้านความปลอดภัยของข้อมูลของผู้ให้บริการ และกำหนดให้ผู้ให้บริการปฏิบัติตามข้อกำหนดด้านความปลอดภัยที่ครบถ้วน รวมถึงภาระหน้าที่ที่กำหนดให้ผู้ให้บริการต้องจัดทำและดูแลให้มีมาตรการทางเทคนิคและทางองค์กรที่เหมาะสม
  • Expedia Group ดำเนินการตรวจสอบสถานะกับแนวทางปฏิบัติด้านความปลอดภัยของข้อมูลของผู้ให้บริการ และกำหนดให้ผู้ให้บริการปฏิบัติตามข้อกำหนดด้านความปลอดภัยที่ครบถ้วน รวมถึงภาระหน้าที่ที่กำหนดให้ผู้ให้บริการต้องจัดทำและดูแลให้มีมาตรการทางเทคนิคและทางองค์กรที่เหมาะสม
  • Expedia Group ดำเนินการตรวจสอบสถานะกับแนวทางปฏิบัติด้านความปลอดภัยของข้อมูลของผู้ให้บริการ และกำหนดให้ผู้ให้บริการปฏิบัติตามข้อกำหนดด้านความปลอดภัยที่ครบถ้วน รวมถึงภาระหน้าที่ที่กำหนดให้ผู้ให้บริการต้องจัดทำและดูแลให้มีมาตรการทางเทคนิคและทางองค์กรที่เหมาะสม.

 

บันทึกต่อท้าย เรื่อง การโอนข้อมูลระหว่างประเทศ ต่อท้ายข้อสัญญามาตรฐานของคณะกรรมาธิการสหภาพยุโรป (บันทึกต่อท้าย)

บันทึกต่อท้ายนี้ออกโดยผู้ตรวจการข้อมูลสำหรับคู่สัญญาที่ทำการโอนข้อมูลแบบจำกัดผู้ตรวจการข้อมูลพิจารณาแล้วว่าได้จัดเตรียมมาตรการป้องกันที่เหมาะสมสำหรับการโอนข้อมูลแบบจำกัด เมื่อมีการทำสัญญาที่มีผลผูกพันทางกฎหมาย

ส่วนที่ 1 ตาราง

ส่วนที่ 1 ตาราง

วันที่เริ่มต้น

วันที่ของ SCC ที่แนบมานี้ ( SCC ของสหภาพยุโรป)

ของคู่สัญญา

ของคู่สัญญา

ผู้นำเข้า: ตาม SCC ของสหภาพยุโรป

 

ผู้นำเข้า: ตาม SCC ของสหภาพยุโรป

 

ตารางที่ 2: SCC ที่เลือก โครงสร้างและข้อสัญญาที่เลือก

บันทึกต่อท้าย SCC ของสหภาพยุโรป

SCC ของสหภาพยุโรปรุ่นที่ได้รับอนุมัติซึ่งบันทึกต่อท้ายนี้แนบไว้.

ตารางที่ 3: ข้อมูลภาคผนวก

"ข้อมูลภาคผนวก " หมายถึง ข้อมูลที่ต้องจัดเตรียมไว้สำหรับโครงสร้างที่เลือก ตามที่กำหนดไว้ในภาคผนวกของ SCC ของสหภาพยุโรปที่ได้รับอนุมัติ (นอกเหนือจากคู่สัญญา) โดยสำหรับบันทึกต่อท้ายนี้กำหนดไว้ใน:

ภาคผนวก 1A: รายชื่อคู่สัญญา

ภาคผนวก 1B: คำอธิบายของการโอนข้อมูล

ภาคผนวก 1B: คำอธิบายของการโอนข้อมูล

ภาคผนวก 1B: คำอธิบายของการโอนข้อมูล

ตารางที่ 4: การสิ้นสุดบันทึกต่อท้ายนี้เมื่อมีการเปลี่ยนแปลงบันทึกต่อท้ายที่ได้รับการอนุมัติ

คู่สัญญาฝ่ายใดสามารถยุติบันทึกต่อท้ายนี้ตามที่กำหนดไว้ในมาตรา 19

ไม่ทั้งสองฝ่าย

ส่วนที่ 2: ข้อสัญญาบังคับ

ข้อสัญญาบังคับของบันทึกต่อท้ายที่ได้รับอนุมัติ ซึ่งเป็นเทมเพลตบันทึกต่อท้าย B.1.0 ที่ออกโดย ICO และยื่นต่อหน้ารัฐสภาตามมาตรา 119A ของกฎหมายคุ้มครองข้อมูลปี 2018 เมื่อวันที่ 2 กุมภาพันธ์ 2022 ตามที่ได้รับการแก้ไขภายใต้มาตรา 18 ของข้อสัญญาบังคับเหล่านั้น