Thỏa thuận trực tuyến TAAP – Thỏa thuận giữa đơn vị kiểm soát với đơn vị kiểm soát (bao gồm SCC)

Phiên bản gốc bằng tiếng Anh của Thỏa thuận C2C này có thể đã được dịch sang các ngôn ngữ khác.Trong trường hợp có sự không thống nhất hoặc không nhất quán giữa phiên bản tiếng Anh và bất kỳ phiên bản ngôn ngữ nào khác của Thỏa thuận này, phiên bản tiếng Anh sẽ được áp dụng.

PHẠM VI: Khi mỗi đơn vị của Expedia và quý vị xử lý dữ liệu cá nhân theo thỏa thuận (có thể ở dạng điều khoản dạng nhấp vào để chấp nhận trực tuyến) được ký kết với bên còn lại (theo đó quý vị đã được chỉ định làm đối tác tiếp thị trong TAAP, đồng thời tất cả hoạt động có liên quan đến hoạt động đó được gọi ở đây là “Hoạt động liên quan””), thỏa thuận toàn cầu này giữa đơn vị kiểm soát với đơn vị kiểm soát (“Thỏa thuận C2C”) sẽ bổ sung và áp dụng cho thỏa thuận được ký kết giữa các bên liên quan đến Hoạt động liên quan (“Thỏa thuận ”) và đề ra các điều khoản, yêu cầu và điều kiện bổ sung mà Expedia và quý vị phải tuân thủ khi xử lý dữ liệu cá nhân liên quan đến Thỏa thuận. Trong Thỏa thuận C2C này, “Expedia” và “ chúng tôi” đề cập đến Expedia, Inc. và/hoặc bất kỳ công ty nào thuộc Expedia Group tham gia Thỏa thuận. “Quý vị” đề cập đến pháp nhân được nêu tên trên Ứng dụng theo mô tả trong Thỏa thuận (và tất cả trường hợp đề cập đến Expedia hoặc quý vị sẽ được hiểu là thuật ngữ số nhiều trong phạm vi mà Thỏa thuận yêu cầu).

1. ĐỊNH NGHĨA VÀ DIỄN GIẢI

1.1 Thỏa thuận C2C này tuân theo các điều khoản của Thỏa thuận và được kết hợp vào Thỏa thuận. Nội dung giải thích và các thuật ngữ được định nghĩa trong Thỏa thuận dùng để diễn giải Thỏa thuận C2C này, trừ khi có định nghĩa khác trong Thỏa thuận C2C này; và:

  1. a. mỗi biện pháp kỹ thuật và tổ chức thích hợp, đơn vị kiểm soát, dữ liệu cá nhân; hành vi vi phạm dữ liệu cá nhân, quy trình xử lý/hoạt động xử lý và cơ quan giám sát(hoặc các thuật ngữ tương đương hợp lý) có ý nghĩa như được nêu trong Luật bảo vệ dữ liệu hiện hành;
  2. b. Luật bảo vệ dữ liệu hiện hành nghĩa là các luật và quy định hiện hành ở bất kỳ khu vực pháp lý nào có liên quan và liên quan đến việc sử dụng hoặc xử lý dữ liệu cá nhân;
  3. c. Mục đích được cho phép nghĩa là mục đích (i) hoàn tất đặt chỗ; (ii) cung cấp dịch vụ hỗ trợ cho Đặt chỗ; (iii) đăng ký và quản lý tài khoản TAAP; (iv) thanh toán Hoa hồng và các khoản tiền khác theo Thỏa thuận; (v) tạo báo cáo cho quý vị và mọi hoạt động xử lý khác cần thiết để hòa giải, xử lý khiếu nại và các hoạt động tương tự liên quan đến việc thực hiện Thỏa thuận; (vi) hỗ trợ Tài khoản TAAP; (vii) thông báo cho Thành viên TAAP và Người dùng phụ; (viii) cải thiện dịch vụ của chúng tôi, bao gồm tối ưu hóa trải nghiệm đặt chỗ; (ix) tạo báo cáo để phân tích, thu thập thông tin về tình hình kinh doanh và báo cáo kinh doanh; (x) phòng chống gian lận; (xi) đáp ứng yêu cầu thực thi pháp luật và yêu cầu kiểm toán của cơ quan thuế; (xii) hỗ trợ giao dịch tài sản kinh doanh (có thể sẽ áp dụng cho cả các thương vụ sáp nhập, mua lại hoặc bán tài sản); và (xiii) tuân thủ các nghĩa vụ của chúng tôi theo Thỏa thuận này, chính sách bảo mật của Expedia và luật hiện hành, cũng như (xiv) để xác định, tính toán, báo cáo Thuế du lịch và các mục đích tính thuế hiện hành khác, tùy theo yêu cầu tại từng thời điểm;
  4. d. DPF nghĩa là chứng nhận Khuôn khổ bảo mật dữ liệu của Liên minh châu Âu - Hoa Kỳ với Bộ Thương mại Hoa Kỳ hoặc bất kỳ cơ chế chứng nhận thay thế hoặc bổ sung nào được Ủy ban châu Âu (hoặc cơ quan quốc gia khác có liên quan) phê duyệt tùy từng thời điểm; và bao gồm các quyết định bổ sung về tính phù hợp do bất kỳ quốc gia nào khác ban hành, trong đó cho phép mở rộng áp dụng DPF giữa Hoa Kỳ và quốc gia thứ ba đó (ví dụ như, nhưng không giới hạn ở, Vương quốc Anh và Thụy Sĩ);
  5. e. Quốc gia chuyển dữ liệu bị hạn chế nghĩa là bất kỳ quốc gia nào trong Khu vực kinh tế châu Âu, Thụy Sĩ, Vương quốc Anh và Brazil;
  6. f. Dữ liệu bị hạn chế chuyển nghĩa là Dữ liệu khách hàng liên quan đến Đặt chỗ được thực hiện thông qua một trang web mà chúng tôi dự định sẽ cho phép Khách hàng truy cập tại Quốc gia chuyển dữ liệu bị hạn chế;
  7. g. Điều khoản hợp đồng tiêu chuẩn/SCC nghĩa là Điều khoản hợp đồng tiêu chuẩn được phê duyệt của Ủy ban châu Âu về việc chuyển dữ liệu cá nhân từ Liên minh châu Âu sang nước thứ ba, được ban hành vào 04/06/2021, như được sửa đổi, thay thế, bổ sung hoặc hủy bỏ tùy từng thời điểm và quý vị có thể xem phiên bản đầy đủ hiện tại qua liên kết này: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en ; và
  8. h. Dữ liệu cá nhân TAAP nghĩa là dữ liệu cá nhân mà quý vị cung cấp cho chúng tôi thông qua Trang web TAAP hoặc được xử lý liên quan đến chính TAAP hoặc hỗ trợ Đặt chỗ được thực hiện qua Trang web TAAP.
Mối quan hệ của các bên
  1. 1.2 Quý vị và chúng tôi mỗi bên phải thu thập và xử lý dữ liệu cá nhân để thực hiện các quyền và nghĩa vụ tương ứng theo Thỏa thuận, cũng như các trách nhiệm tương ứng của quý vị và của chúng tôi theo luật hiện hành. Như vậy, mỗi bên phải: (i) xử lý dữ liệu cá nhân với tư cách là đơn vị kiểm soát độc lập và tự chủ; (ii) tuân thủ Luật bảo vệ dữ liệu hiện hành; và (iii) chịu trách nhiệm đối với bất kỳ hành vi hoặc thiếu sót nào vi phạm Luật bảo vệ dữ liệu hiện hành.
Trách nhiệm của quý vị

1.3 Quý vị phải:

  1. a. đáp ứng cơ sở pháp lý để cung cấp bất kỳ Dữ liệu cá nhân TAAP nào cho chúng tôi xử lý vì Mục đích được cho phép;
  2. b. đảm bảo Khách hàng biết được, thông qua chính sách bảo mật và qua bất kỳ phương tiện thích hợp nào khác, rằng dữ liệu cá nhân của họ sẽ được chia sẻ với chúng tôi vì Mục đích được cho phép;
  3. c.hướng Khách hàng đến chính sách bảo mật của chúng tôi để biết thêm thông tin về cách chúng tôi xử lý dữ liệu cá nhân của họ; và
  4. d. hợp tác và hỗ trợ hợp lý để giúp chúng tôi tuân thủ Luật bảo vệ dữ liệu hiện hành trong quá trình chúng tôi xử lý Dữ liệu cá nhân TAAP liên quan đến Thỏa thuận.
Trách nhiệm của chúng tôi

1.4 Chúng tôi (và Thành viên tập đoàn của chúng tôi, nếu có) phải: 

  1. a. xử lý Dữ liệu cá nhân TAAP chỉ liên quan đến Mục đích được cho phép;
  2. b. không tiết lộ toàn bộ hoặc bất kỳ phần nào của Dữ liệu cá nhân TAAP cho bất kỳ người nào, ngoại trừ liên quan đến Mục đích được cho phép;
  3. c.hợp tác và hỗ trợ hợp lý để trợ giúp quý vị tuân thủ Luật bảo vệ dữ liệu hiện hành trong quá trình quý vị xử lý Dữ liệu cá nhân TAAP liên quan đến Thỏa thuận; và
  4. d. hiển thị và tuân thủ thông báo về cookie hợp pháp và mới nhất của chúng tôi (nếu được yêu cầu) và chính sách bảo mật của chúng tôi trên Trang web TAAP.
Khách hàng và Bên thứ ba

1.5 Quý vị xác nhận rằng chúng tôi:

  1. a. được phép gửi email liên quan đến Đặt chỗ cho Khách hàng;
  2. b. được phép chuyển Dữ liệu cá nhân TAAP (bao gồm cả dữ liệu ngân hàng) cho các nhà cung cấp dịch vụ bên thứ ba vì các mục đích:er TAAP Personal Data (including banking data) to our third-party service providers for the purposes of:
    1. i. quản trị, quản lý và hỗ trợ Tài khoản TAAP của quý vị, Đại diện và Người dùng phụ;
    2. ii. cung cấp hỗ trợ cho Đặt chỗ; và
    3. iii. thanh toán Hoa hồng và các khoản tiền khác theo Thỏa thuận.
Bảo mật dữ liệu

1.6 Với vai trò là đơn vị kiểm soát, mỗi bên phải:

  1. a.duy trì các biện pháp kỹ thuật và tổ chức thích hợp nhằm bảo vệ dữ liệu cá nhân mà mỗi bên xử lý để dữ liệu cá nhân không bị vi phạm; và
  2. b.trong trường hợp một bên xác định được hành vi vi phạm dữ liệu cá nhân trong các hệ thống thuộc quyền sở hữu hoặc kiểm soát của mình, bên đó sẽ thông báo ngay cho bên còn lại nếu hành vi vi phạm dữ liệu cá nhân (i) ảnh hưởng đến Dữ liệu cá nhân TAAP do bên còn lại xử lý theo Thỏa thuận; và (ii) có thể báo cáo cho cơ quan giám sát, cung cấp đầy đủ chi tiết của trường hợp đó. Trong trường hợp đó, cả hai bên sẽ hợp tác theo cách hợp lý và thiện chí để khắc phục hoặc giảm nhẹ tác động của vi phạm dữ liệu cá nhân và chi phí hợp lý của hoạt động hợp tác đó sẽ do bên chịu vi phạm dữ liệu cá nhân thanh toán.
Chuyển dữ liệu xuyên biên giới

1.7 Khuôn khổ bảo mật dữ liệu (DPF): Quý vị và chúng tôi đồng ý rằng đối với việc chuyển Dữ liệu bị hạn chế chuyển giữa quý vị và chúng tôi đến Hoa Kỳ hoặc đến một quốc gia không được coi là "thỏa đáng" theo Luật bảo vệ dữ liệu hiện hành của Quốc gia chuyển dữ liệu bị hạn chế nơi bắt nguồn của dữ liệu (a) trong phạm vi và miễn là DPF còn được một cơ quan liên quan công nhận là phương thức chuyển dữ liệu, thì DPF sẽ là cơ chế đã được thống nhất để chuyển dữ liệu xuyên biên giới từ một Quốc gia chuyển dữ liệu bị hạn chế đến chúng tôi tại Hoa Kỳ và (b) trong phạm vi và miễn là DPF không phải là phương thức chuyển dữ liệu hợp lệ (bao gồm việc chuyển Dữ liệu bị hạn chế chuyển đến một quốc gia không được coi là "thỏa đáng" theo Luật bảo vệ dữ liệu hiện hành của Quốc gia chuyển dữ liệu bị hạn chế nơi bắt nguồn của dữ liệu), SCC sẽ áp dụng cho các hoạt động chuyển dữ liệu đó và chúng tôi sẽ ký kết SCC theo quy định trong Khoản 1.11 bên dưới. Trong trường hợp quý vị cũng có chứng nhận DPF còn hiệu lực, việc chuyển Dữ liệu bị hạn chế chuyển cho quý vị có thể được thực hiện tương tự theo DPF, trong đó SCC là cơ chế dự phòng như đã nêu ở trên.

1.8 Nghĩa vụ chuyển giao DPF : Quý vị đồng ý sẽ bảo vệ Dữ liệu bị hạn chế chuyển theo yêu cầu trong DPF tối thiểu cùng một mức độ; đồng thời phải thông báo ngay cho chúng tôi nếu quý vị xác định không thể bảo vệ theo mức độ này nữa. Trong trường hợp đó, hoặc nếu chúng tôi có cơ sở để tin rằng quý vị không bảo vệ Dữ liệu bị hạn chế chuyển theo tiêu chuẩn bắt buộc trong DPF, chúng tôi có thể: (a) yêu cầu quý vị thực hiện các biện pháp hợp lý và phù hợp để dừng và khắc phục mọi hoạt động xử lý trái phép, trong trường hợp đó quý vị phải nhanh chóng hợp tác với chúng tôi trên tinh thần thiện chí để xác định, thống nhất và triển khai các biện pháp đó; (b) thống nhất một biện pháp bảo vệ thay thế có thể áp dụng cho hoạt động xử lý theo Luật bảo vệ dữ liệu hiện hành; hoặc (c) gửi thông báo cho quý vị về việc chấm dứt Thỏa thuận C2C này và Thỏa thuận (hoặc bất kỳ phần nào bị ảnh hưởng, theo quyền quyết định của chúng tôi) mà không bị phạt. Nếu quý vị cũng có chứng nhận DPF còn hiệu lực, các điều khoản bên trên và điều khoản trong Khoản 1.9 bên dưới sẽ được áp dụng như thể các nghĩa vụ có hiệu lực hai chiều.

1.9 Nghĩa vụ khai báo của DPF: Quý vị xác nhận rằng chúng tôi có thể khai báo Thỏa thuận C2C này và mọi điều khoản về bảo mật có liên quan trong Thỏa thuận cho Bộ Thương mại Hoa Kỳ, Ủy ban Thương mại Liên bang, bất kỳ cơ quan bảo vệ dữ liệu nào của châu Âu hoặc bất kỳ cơ quan tư pháp hay cơ quan quản lý nào khác của Hoa Kỳ hoặc Liên minh châu Âu theo yêu cầu của họ và rằng việc khai báo đó sẽ không bị coi là vi phạm tính bí mật.

1.10 Mở rộng áp dụng SCC cho Quốc gia chuyển dữ liệu không bị hạn chế: Liên quan đến việc chuyển Dữ liệu cá nhân TAAP giữa quý vị và chúng tôi từ một quốc gia không phải là Quốc gia chuyển dữ liệu bị hạn chế nhưng phải tuân thủ các biện pháp bảo vệ phải được áp dụng trước khi có thể chuyển Dữ liệu cá nhân TAAP đó ra ngoài quốc gia xuất xứ (mỗi Quốc gia chuyển dữ liệu không bị hạn chế) theo Luật bảo vệ dữ liệu hiện hành, quý vị và chúng tôi đồng ý rằng (a) các SCC được nêu trong Khoản 1.11 bên dưới sẽ được coi là mở rộng áp dụng cho các hoạt động chuyển dữ liệu bổ sung đó trong phạm vi mà việc mở rộng đó đáp ứng các biện pháp bảo vệ của quốc gia cụ thể đó; và/hoặc (b) khi các biện pháp được nêu trong Khoản 1.11 không đủ hoặc cần có biện pháp bổ sung, các bên đồng ý thực hiện các biện pháp khác, bao gồm việc thực thi các tài liệu liên quan, xin phép sự chấp thuận, lập các hồ sơ cần thiết, theo yêu cầu tùy từng thời điểm để đáp ứng Luật bảo vệ dữ liệu hiện hành.

1.11 Theo Khoản 1.7 bên trên, quý vị và chúng tôi đồng ý ký kết SCC trên cơ sở không thay đổi, trừ các trường hợp sau::

  1. a. nếu quý vị đang ở một Quốc gia chuyển dữ liệu bị hạn chế hoặc một quốc gia được coi là “thỏa đáng” theo Điều 45 của GDPR, chỉ Phần Một (1) của SCC sẽ áp dụng một chiều đối với hoạt động chuyển dữ liệu từ quý vị đến Expedia. Ngược lại, Phần Một của SCC sẽ áp dụng hai chiều, có hiệu lực cho cả hoạt động chuyển dữ liệu từ chúng tôi đến quý vị và từ quý vị đến chúng tôi.
  2. b. Đối với mục đích của Khoản 11(a) trong SCC, ngôn ngữ không bắt buộc sẽ bị xóa.
  3. c. Đối với mục đích của Khoản 13 trong SCC, đoạn liên quan là “Cơ quan giám sát của Quốc gia thành viên nơi đơn vị đại diện theo định nghĩa trong Điều 27(1) của Quy định (EU) 2016/679 được thành lập, như được nêu trong Phụ lục I.C, sẽ đóng vai trò là cơ quan giám sát có thẩm quyền.”
  4. d. Đối với mục đích của Khoản 17 trong SCC, luật điều chỉnh là luật pháp của Ireland.
  5. e. Đối với mục đích của Khoản 18(b) trong SCC, Ireland là quốc gia được lựa chọn.
  6. f. Khoản 19 mới được thêm vào SCC để áp dụng cho cả hoạt động chuyển dữ liệu cá nhân từ Vương quốc Anh ra bên ngoài Vương quốc Anh như sau:

“Khoản 19

GDPR và DPA của Vương quốc Anh năm 2018

Các Bên đồng ý rằng các Khoản này sẽ mở rộng và áp dụng, trong phạm vi liên quan đến hoạt động chuyển dữ liệu được đề cập, cho cả hoạt động chuyển dữ liệu xuyên biên giới thuộc phạm vi của GDPR và Đạo luật bảo vệ dữ liệu của Vương quốc Anh năm 2018 (Chuyển dữ liệu ở Vương quốc Anh). Đối với mục đích của hoạt động Chuyển dữ liệu ở Vương quốc Anh, các điều khoản trong Phụ lục về việc chuyển dữ liệu quốc tế kèm theo Điều khoản hợp đồng tiêu chuẩn Phiên bản B1.0 (như được sửa đổi, thay thế, bổ sung hoặc hủy bỏ tùy từng thời điểm) sẽ áp dụng như được nêu trong biểu mẫu đính kèm dưới dạng Phụ lục.”

  1. h. Khoản 20 mới được thêm vào SCC để áp dụng cho cả hoạt động chuyển dữ liệu cá nhân từ Thụy Sĩ ra bên ngoài Thụy Sĩ như sau:

“Khoản 20

Thụy Sĩ – FADP

Các Bên đồng ý rằng các Khoản này sẽ mở rộng và áp dụng, trong phạm vi liên quan đến hoạt động chuyển dữ liệu được đề cập, cho cả hoạt động chuyển dữ liệu xuyên biên giới thuộc phạm vi của Đạo luật Bảo vệ dữ liệu Liên bang (FADP) (được gọi là Chuyển dữ liệu ở Thụy Sĩ ).trong Khoản này). Đối với mục đích của hoạt động Chuyển dữ liệu ở Thụy Sĩ, luật của Quốc gia thành viên được chọn sẽ được coi là luật điều chỉnh, Quốc gia thành viên được chọn sẽ chọn tòa án và Ủy ban thông tin và bảo vệ dữ liệu Liên bang (FDPIC) sẽ là cơ quan giám sát có thẩm quyền. Các Bên cũng đồng ý rằng những thay đổi tiếp theo như vậy sẽ được hiểu là được thực hiện đối với các Khoản liên quan đến hoạt động Chuyển dữ liệu ở Thụy Sĩ mà FDPIC cho là cần thiết để tuân thủ GDPR và FADP của Vương quốc Anh, đồng thời các Khoản này sẽ được hiểu theo các yêu cầu đối với hoạt động Chuyển dữ liệu ở Thụy Sĩ phát sinh theo các luật đó hoặc theo quy định khác trong hướng dẫn do FDPIC ban hành. Các Bên không phải ký kết các điều khoản hợp đồng tiêu chuẩn riêng biệt được soạn riêng cho hoạt động Chuyển dữ liệu ở Thụy Sĩ. Các Bên sẽ tiếp tục thực hiện tất cả hoạt động cần thiết để đảm bảo tuân thủ FADP khi tham gia vào hoạt động Chuyển dữ liệu ở Thụy Sĩ.”

  1. i.Khoản 21 mới được thêm vào SCC để áp dụng cho cả hoạt động chuyển dữ liệu cá nhân từ Brazil ra bên ngoài Brazil như sau:

“Khoản 21

Brazil – LGPD

Các Bên đồng ý rằng các Khoản này sẽ mở rộng và áp dụng, trong phạm vi liên quan đến hoạt động chuyển dữ liệu được đề cập, cho cả hoạt động chuyển dữ liệu xuyên biên giới thuộc phạm vi của Luật bảo vệ dữ liệu chung Số 13.709/18 (Lei Geral de Proteção de Dados) (LGPD) (được gọi là Chuyển dữ liệu ở Brazil). trong Khoản này. Đối với mục đích của hoạt động Chuyển dữ liệu ở Brazil, luật của Quốc gia Thành viên được chọn sẽ được coi là luật điều chỉnh, Quốc gia thành viên được chọn sẽ chọn tòa án và Cơ quan bảo vệ dữ liệu quốc gia (ANPD) của Brazil sẽ là cơ quan giám sát có thẩm quyền. Các Bên cũng đồng ý rằng những thay đổi tiếp theo như vậy sẽ được hiểu là được thực hiện đối với các Khoản liên quan đến hoạt động Chuyển dữ liệu ở Brazil mà ANPD cho là cần thiết để tuân thủ LGPD, đồng thời các Khoản này sẽ được hiểu theo các yêu cầu đối với hoạt động Chuyển dữ liệu ở Brazil phát sinh theo các luật đó hoặc theo quy định khác trong hướng dẫn do ANPD hoặc cơ quan hữu quan của Brazil ban hành. Các Bên không phải ký kết các điều khoản hợp đồng tiêu chuẩn riêng biệt được chuẩn bị riêng cho hoạt động Chuyển dữ liệu ở Brazil. Các Bên sẽ tiếp tục thực hiện tất cả hoạt động cần thiết để đảm bảo tuân thủ LGPD khi tham gia vào hoạt động Chuyển dữ liệu ở Brazil.”

  1. j. Khoản 22 mới được thêm vào SCC để áp dụng cho cả hoạt động chuyển dữ liệu cá nhân từ bất kỳ quốc gia nào khác chưa được xác định cho đến nay. Theo đó, SCC có thể sẽ được mở rộng áp dụng để đảm bảo các biện pháp bảo vệ thích hợp cho hoạt động chuyển dữ liệu cá nhân từ quốc gia đó đến một bên ở ngoài quốc gia đó như sau:

“Khoản 22

Chuyển dữ liệu ở quốc gia thứ ba khác

Các Bên đồng ý rằng các Điều khoản này sẽ mở rộng và áp dụng, trong phạm vi liên quan đến hoạt động chuyển dữ liệu được đề cập, cho cả hoạt động chuyển dữ liệu xuyên biên giới thuộc phạm vi của bất kỳ luật và quy định hiện hành nào khác trong bất kỳ khu vực pháp lý liên quan nào, liên quan đến việc sử dụng hoặc xử lý dữ liệu cá nhân (Luật bảo vệ dữ liệu hiện hành) yêu cầu có các điều khoản và biện pháp bảo vệ tương đương với các Khoản này để chuyển dữ liệu cá nhân từ quốc gia đó sang quốc gia khác (được gọi là Chuyển dữ liệu ở quốc gia thứ ba).trong Khoản này). Đối với mục đích của hoạt động Chuyển dữ liệu ở quốc gia thứ ba, luật của Quốc gia thành viên được chọn sẽ được coi là luật điều chỉnh, Quốc gia thành viên được chọn sẽ chọn tòa án và cơ quan quản lý hoặc cơ quan bảo vệ dữ liệu của quốc gia đó sẽ là cơ quan giám sát có thẩm quyền. Các Bên cũng đồng ý rằng những thay đổi tiếp theo như vậy sẽ được hiểu là được thực hiện đối với các Khoản liên quan đến hoạt động Chuyển dữ liệu ở quốc gia thứ ba mà cơ quan giám sát đó cho là cần thiết để tuân thủ Luật bảo vệ dữ liệu hiện hành của quốc gia đó, đồng thời các Khoản sẽ được hiểu theo các yêu cầu đối với hoạt động Chuyển dữ liệu ở quốc gia thứ ba phát sinh theo các luật đó hoặc theo quy định khác trong hướng dẫn do cơ quan giám sát hữu quan ban hành. Các Bên không phải ký kết các điều khoản hợp đồng tiêu chuẩn riêng biệt được chuẩn bị riêng cho hoạt động Chuyển dữ liệu ở quốc gia thứ ba. Các Bên sẽ tiếp tục thực hiện tất cả hoạt động cần thiết để đảm bảo tuân thủ Luật bảo vệ dữ liệu hiện hành khi tham gia vào hoạt động Chuyển dữ liệu ở quốc gia thứ ba.”

1.12 Phụ lục 1 (Tổng quan về hoạt động xử lý trong SCC) kèm theo Thỏa thuận C2C này cấu thành Phụ lục 1 của SCC. Phụ lục 2 (Biện pháp kỹ thuật và tổ chức) kèm theo Thỏa thuận C2C này cấu thành Phụ lục 2 của SCC và chỉ áp dụng cho Expedia trong trường hợp quý vị đã cung cấp, cũng như chúng tôi đã chấp nhận, các biện pháp kỹ thuật và tổ chức thỏa đáng để đáp ứng các yêu cầu của quý vị trong Phụ lục 2 của SCC hoặc, nếu không phải trường hợp này, Phụ lục 2 sẽ được hiểu là áp dụng cho cả hai bên và tất cả trường hợp tham chiếu đến Expedia và Expedia Group sẽ được hiểu là tham chiếu đến Expedia và Expedia Group tương ứng. Phụ lục kèm theo Thỏa thuận C2C này cấu thành Phụ lục cho Vương quốc Anh để đáp ứng mục đích của SCC.

PHỤ LỤC I – TỔNG QUAN VỀ HOẠT ĐỘNG XỬ LÝ TRONG SCC
PHẦN 1: Đơn vị kiểm soát với Đơn vị kiểm soát (quý vị với chúng tôi)
A. DANH SÁCH CÁC BÊN

Đơn vị xuất dữ liệu:

Bên

Bên/các bên được ghi là “quý vị”, Thành viên TAAP hoặc thuật ngữ tương đương

Địa chỉ

Thông tin ghi trong Thỏa thuận

Tên liên hệ, chức vụ và thông tin liên lạc của tất cả các bên thuộc Expedia Group

Quản lý tài khoản sử dụng địa chỉ email được thông báo cho người liên hệ của Expedia tùy từng thời điểm

Các hoạt động liên quan đến dữ liệu được chuyển theo SCC

 

Các Đặt chỗ được thực hiện qua Trang web TAAP do chúng tôi cung cấp cho quý vị theo Thỏa thuận

Vai trò

Đơn vị kiểm soát

Đơn vị nhập dữ liệu:

Bên

Các bên không thuộc Liên minh Châu Âu được ghi là “chúng tôi” hoặc “Expedia” trong Thỏa thuận

Địa chỉ

Thông tin ghi trong Thỏa thuận

Tên người liên hệ, chức vụ và thông tin liên lạc

Quản lý tài khoản sử dụng địa chỉ email được thông báo cho người liên hệ của Thành viên TAAP tùy từng thời điểm

Các hoạt động liên quan đến dữ liệu được chuyển theo các Khoản này

Các Đặt chỗ được thực hiện qua Trang web TAAP do chúng tôi cung cấp cho quý vị theo Thỏa thuận

Vai trò

Đơn vị kiểm soát

 

B.MÔ TẢ HOẠT ĐỘNG CHUYỂN DỮ LIỆU

 

Các loại chủ thể dữ liệu

Khách hàng và Thành viên TAAP và Người dùng phụ của họ

Các loại Dữ liệu cá nhân

Dữ liệu nhận dạng:

  1. họ và tên (cả nhân viên và khách)
  2. ngày sinh
  3. giới tính
  4. thông tin đăng nhập (nhân viên)

Thông tin liên lạc:

  1. địa chỉ bưu điện
  2. địa chỉ email
  3. số điện thoại (cố định và di động)
  4. số fax
  5. ngày sinh (đối với chuyến bay)
  6. giới tính (đối với chuyến bay)
  7. nationality (from passport)
  8. quốc tịch (trong hộ chiếu)
  9. chi tiết TSA

Chi tiết tài chính:

  1. số tài khoản ngân hàng
  2. thông tin ngân hàng
  3. chi tiết thẻ thanh toán

Thông tin chuyến đi: lịch sử đặt chỗ và tùy chọn chuyến đi

Đối với Nhân viên thuế, chỉ có:

  1. mã số thuế

Các thông tin khác theo yêu cầu và được sự đồng ý của Thành viên TAAP, bao gồm nhưng không giới hạn ở dữ liệu cá nhân bắt buộc liên quan đến:

  1. Báo cáo, theo dõi và phân tích
  2. Đăng nhập một lần, chương trình khách hàng thân thiết

Dữ liệu nhạy cảm

Không có, trừ khi dữ liệu này được một cá nhân tự nguyện cung cấp để đáp ứng nhu cầu hỗ trợ người khuyết tật trong chuyến đi.

Tần suất chuyển (ví dụ: dữ liệu được chuyển một lần duy nhất hay chuyển liên tục). The frequency of the transfer (e.g. whether the data is transferred on a one-off or continuous basis).

Chuyển liên tục hoặc đột xuất tùy theo nhu cầu kinh doanh của Thành viên TAAP

Bản chất của hoạt động xử lý

Tất cả hoạt động xử lý cần thiết để hỗ trợ cho mục đích nêu dưới đây

Mục đích của việc chuyển dữ liệu và xử lý thêm

Mục đích được phép, theo định nghĩa trong Thỏa thuận

Khoảng thời gian lưu giữ dữ liệu cá nhân hoặc các tiêu chí dùng để xác định khoảng thời gian đó, nếu không thể xác định

Theo chính sách lưu giữ của Expedia Group, nếu trong phạm vi bất cứ Dữ liệu cá nhân TAAP nào được lưu giữ sau khi Thỏa thuận chấm dứt vì lý do sao lưu hoặc pháp lý, Expedia sẽ tiếp tục bảo vệ dữ liệu cá nhân đó theo Thỏa thuận

Đối với hoạt động chuyển dữ liệu cho đơn vị xử lý (phụ), đồng thời xác định chủ đề, bản chất và thời gian xử lý

,được cập nhật tùy từng thời điểm

 

C. CƠ QUAN GIÁM SÁT CÓ THẨM QUYỀN

Xác định cơ quan giám sát có thẩm quyền theo Khoản 13 của SCC

Cơ quan bảo vệ dữ liệu Ireland

 

PHẦN 1: Đơn vị kiểm soát với Đơn vị kiểm soát (chúng tôi với quý vị)

A. DANH SÁCH CÁC BÊN

Đơn vị xuất dữ liệu: 

Bên/các bên được ghi là Đơn vị nhập dữ liệu trong Phần Một (1) (quý vị với chúng tôi) bên trên. Xem bên trên để biết thêm chi tiết.

 

Đơn vị nhập dữ liệu:

Bên/các bên được ghi là Đơn vị xuất dữ liệu trong Phần Một (1) (quý vị với chúng tôi) bên trên. Xem bên trên để biết thêm chi tiết.

B. MÔ TẢ HOẠT ĐỘNG CHUYỂN DỮ LIỆU

· Các loại chủ thể dữ liệu

· Các loại Dữ liệu cá nhân

· Dữ liệu nhạy cảm

Theo Phần Một (1)

·Tần suất chuyển

· Bản chất của hoạt động xử lý

·Mục đích

Theo Phần Một (1)

Khoảng thời gian lưu giữ dữ liệu cá nhân hoặc các tiêu chí dùng để xác định khoảng thời gian đó, nếu không thể xác định

Theo chính sách lưu giữ của Thành viên TAAP

Đối với hoạt động chuyển dữ liệu cho đơn vị xử lý (phụ), đồng thời xác định chủ đề, bản chất và thời gian xử lý

Không áp dụng

 

C. CƠ QUAN GIÁM SÁT CÓ THẨM QUYỀN

Theo Phần Một (1)

 

PHỤ LỤC II - BIỆN PHÁP KỸ THUẬT VÀ TỔ CHỨC 

Các biện pháp kỹ thuật và tổ chức áp dụng cho mục đích của Phần Một (1) được trình bày dưới đây.

CHỦ ĐỀ

BIỆN PHÁP

Biện pháp giả danh tính và mã hóa dữ liệu cá nhân  

  • Expedia Group hỗ trợ các giao thức mã hóa theo tiêu chuẩn của ngành để truyền dữ liệu dựa trên Tiêu chuẩn phân loại và xử lý thông tin của Expedia Group.
  • Các yêu cầu đối với việc xử lý dữ liệu được xác định dựa trên cơ sở phân loại. Tùy vào dữ liệu được xử lý, Expedia Group sẽ áp dụng các yêu cầu bảo mật khác nhau. Ví dụ: dữ liệu thẻ tín dụng được coi là Rất nhạy cảm, do đó bắt buộc phải được mã hóa cả khi truyền và khi lưu trữ.
  • Dữ liệu cá nhân của khách hàng (và nhân viên của khách hàng) được Expedia Group đặt tên giả (và ẩn danh) khi có thể và theo yêu cầu trong Tiêu chuẩn phân loại và xử lý thông tin của EG.
  • Số thẻ tín dụng được mã hóa bằng dãy ký tự ngẫu nhiên/giả danh tính để loại bỏ việc xử lý số thẻ tín dụng có thể nhận biết rõ ràng.
  • Expedia Group sử dụng kết nối được mã hóa thông qua VPN, SSL, v.v. và sử dụng các cơ chế xác thực đa yếu tố.

Các biện pháp để đảm bảo tính bí mật, tính toàn vẹn, tính sẵn sàng và khả năng phục hồi liên tục của các hệ thống và dịch vụ xử lý 

  • Expedia Group duy trì trách nhiệm và quy trình quản lý và vận hành tất cả cơ sở xử lý thông tin để đảm bảo xử lý dữ liệu đầy đủ, hợp lệ và chính xác.
  • Cơ chế giám sát các cơ sở xử lý chính được thiết lập sẵn sàng, với một chương trình SOX mạnh mẽ, trong đó các biện pháp kiểm soát hoạt động xử lý và tính toàn vẹn của dữ liệu được kiểm tra và chứng thực liên tục.
  • Cơ chế theo dõi và ghi nhật ký theo tiêu chuẩn của ngành được thiết lập sẵn sàng trên các hệ thống của EG để đảm bảo và bảo vệ chống truy cập, sửa đổi và/hoặc xóa trái phép.
  • Expedia Group duy trì khả năng phục hồi của dịch vụ thông qua kiến trúc dự phòng, chức năng sao chép dữ liệu và kiểm tra tính toàn vẹn.

Các biện pháp đảm bảo khả năng khôi phục tính khả dụng và quyền truy cập vào dữ liệu cá nhân kịp thời trong trường hợp xảy ra sự cố vật lý hoặc kỹ thuật

  • Các hệ thống của Expedia Group được thiết kế riêng để cản trở hoặc ngăn chặn các cuộc tấn công thông thường và đảm bảo sẵn sàng cho việc vận hành, giám sát và bảo trì. Vì mục đích này, Expedia Group thường xuyên thực hiện các thử nghiệm và kiểm tra mô phỏng để xác nhận rằng các hệ thống của mình luôn sẵn sàng.
  • Các máy chủ được vá lỗi theo chính sách vá lỗi chặt chẽ của Expedia Group và được bảo vệ bằng các chương trình AV/AM theo tiêu chuẩn của ngành. Ngoài ra, các bài đánh giá lỗ hổng, thử nghiệm kỹ lưỡng và đánh giá mạng được tiến hành để đảm bảo hệ thống của EG được bảo trì.
  • Cơ chế giám sát tính khả dụng và độ tin cậy được thiết lập sẵn sàng để đảm bảo các trang web của Expedia luôn hoạt động, hạn chế tối đa các trường hợp gián đoạn dịch vụ.
  • Expedia Group duy trì Kế hoạch phục hồi sau thảm họa có tính đến các trường hợp khẩn cấp và kế hoạch dự phòng để đảm bảo rằng dịch vụ khách hàng không bị gián đoạn tùy theo mức độ nghiêm trọng và được kiểm tra thường xuyên để đảm bảo khả năng hoạt động.

Quy trình kiểm tra, đánh giá thường xuyên và đánh giá tính hiệu quả của các biện pháp kỹ thuật và tổ chức nhằm đảm bảo tính bảo mật cho hoạt động xử lý

  • Các biện pháp kỹ thuật và tổ chức của Expedia Group được đánh giá hàng năm bởi các chuyên gia đánh giá bên ngoài cũng như thông qua thử nghiệm nội bộ nghiêm ngặt.
  • EG tiến hành đánh giá PCI hàng năm bằng cách sử dụng chuyên gia đánh giá bên thứ ba để đảm bảo liên tục tuân thủ PCI.
  • Quy trình kiểm tra nội bộ toàn diện của EG bao gồm kiểm tra lỗ hổng hàng quý, kiểm tra thâm nhập bên trong và bên ngoài, quét và đánh giá mạng, hệ thống và tường lửa. Ngoài ra, một bộ phận kiểm tra nội bộ tiến hành đánh giá rủi ro hàng năm để ưu tiên kiểm tra hoạt động.

Các biện pháp nhận dạng và ủy quyền người dùng Các biện pháp bảo vệ dữ liệu trong quá trình truyền Các biện pháp bảo vệ dữ liệu trong quá trình lưu trữ

  • Các hệ thống của Expedia Group tuân thủ các phương pháp hay nhất trong ngành và có sẵn các phương pháp giao tiếp như phiên có chế độ hết thời gian chờ, giao thức khóa cũng như các biện pháp kiểm soát xác thực và mật khẩu mạnh mẽ.
  • Expedia Group duy trì các yêu cầu đối với việc cung cấp và giám sát tài khoản để ngăn chặn truy cập trái phép hoặc sử dụng sai trái thông tin của Expedia Group, đồng thời sử dụng các phương pháp hay nhất trong ngành theo yêu cầu, chẳng hạn như nguyên tắc Truy cập đặc quyền tối thiểu, Mã nhận dạng duy nhất và cơ chế xác thực nhiều yếu tố để xác thực chặt chẽ.

Các biện pháp đảm bảo an ninh vật lý của các địa điểm xử lý dữ liệu cá nhân

  • Trung tâm Điều hành An ninh hoạt động 24x7, với kế hoạch ứng phó sự cố chính thức được xem xét và kiểm tra ít nhất mỗi năm một lần.
  • Tất cả các hệ thống thường xuyên được kiểm soát và kiểm tra bởi các nhà cung cấp dịch vụ bên ngoài.
  • Mỗi khách hàng của Expedia Group nhận được Mã khách hàng riêng. Tất cả các bộ dữ liệu của khách hàng tương ứng được lưu trữ theo Mã khách hàng này và tất cả dữ liệu khách hàng được phân tách hợp lý. Do quyền quản trị và cấu trúc cơ sở dữ liệu, khách hàng chỉ có thể truy cập các bộ dữ liệu được gán cho ID người dùng đó, cũng như các trung tâm dữ liệu/biện pháp kiểm soát AWS.
  • Chỉ những người được Expedia ủy quyền rõ ràng và "cần biết" mới có quyền truy cập vào dữ liệu cá nhân. Các biện pháp kiểm soát và giám sát được thiết lập sẵn sàng để đảm bảo hạn chế tối đa việc truy cập đặc quyền và các hoạt động truy cập trái phép vào hệ thống.

Các biện pháp đảm bảo ghi nhật ký sự kiện

Expedia Group duy trì các yêu cầu giám sát và ghi nhật ký chặt chẽ để giải thích ai, cái gì, ở đâu, khi nào, mục tiêu, nguồn và trạng thái thành công/không thành công của sự kiện được ghi trong nhật ký.

Các biện pháp đảm bảo cấu hình hệ thống, bao gồm cấu hình mặc định Các biện pháp quản trị và quản lý an ninh CNTT và CNTT nội bộ Các biện pháp chứng nhận/đảm bảo quy trình và sản phẩm

  • Chương trình Bảo mật thông tin của Expedia Group (EG) tuân thủ các khuôn khổ và tiêu chuẩn của ngành, hoạt động thông qua chương trình quản lý rủi ro nhằm đảm bảo tính bảo mật toàn diện, mạnh mẽ. Expedia Group duy trì các quy trình vận hành bảo mật để hỗ trợ tính bảo mật, tính khả dụng, tính toàn vẹn và tính bí mật của môi trường và dữ liệu của khách hàng.
  • Các tiêu chuẩn xây dựng của Expedia Group chỉ hỗ trợ các thành phần, dịch vụ và giao thức hệ thống phục vụ yêu cầu kinh doanh. Hệ điều hành, cơ sở dữ liệu và các ứng dụng có sẵn đều phải có thể tìm được nhằm đáp ứng yêu cầu kiểm tra theo quy định và pháp luật, hỗ trợ các công cụ quản lý thiết lập hoặc triển khai quản lý thiết lập để thực thi thành công các biện pháp kiểm soát bảo mật, phải hỗ trợ mã hóa cho tất cả hoạt động truy cập quản trị từ xa vào hệ thống, cho thấy việc sử dụng hệ thống đúng cách, hệ thống được giám sát để phát hiện hành vi sử dụng không đúng cách và hoạt động bất hợp pháp khác vốn không tôn trọng quyền riêng tư khi sử dụng hệ thống.
  • Expedia Group áp dụng chiến lược bảo mật theo lớp/phòng thủ chuyên sâu. Các chức năng và biện pháp kiểm soát tối quan trọng được thiết lập sẵn sàng trên toàn doanh nghiệp (ví dụ: chống phần mềm độc hại, WAF, phân đoạn mạng, DLP, v.v.), sử dụng một bộ chính sách, hoạt động và công nghệ để đảm bảo môi trường được giám sát thông qua tổ chức bảo mật trung tâm và ứng phó cảnh báo một cách phù hợp.
  • Các hệ thống của Expedia được lưu trữ trên Amazon Web Services (AWS) và trong những Trung tâm dữ liệu cung cấp cho Expedia Group các báo cáo SOC 2 hàng năm để đảm bảo tuân thủ.

Các biện pháp đảm bảo giảm thiểu dữ liệu Các biện pháp đảm bảo chất lượng dữ liệu Các biện pháp đảm bảo hạn chế lưu giữ dữ liệu Các biện pháp đảm bảo trách nhiệm giải trình

  • Giảm thiểu: Expedia Group đảm bảo chỉ thu thập, xử lý và lưu trữ lượng dữ liệu tối thiểu. Chúng tôi chỉ sử dụng định dạng có thể nhận dạng khi cần thiết.
  • Lưu giữ: Chính sách lưu giữ dữ liệu của Expedia Group đặt ra các khoảng thời gian lưu giữ và sao lưu khác nhau tùy thuộc vào loại dữ liệu, bao gồm mọi nghĩa vụ pháp lý hoặc trường hợp miễn trừ khác trong đó yêu cầu dữ liệu đó được lưu giữ cho đến khi một số nghĩa vụ pháp lý nhất định, chẳng hạn như mục đích về thuế và kế toán, hết hiệu lực.
  • Chất lượng: Expedia Group có một chương trình quản lý chất lượng chính thức, chương trình Quản lý trải nghiệm khách hàng (CEM). Chúng tôi luôn cố gắng cải thiện môi trường của EG và tìm cách tinh giản các quy trình để đạt hiệu quả cao hơn nhằm mang đến các dịch vụ và tương tác nhất quán, chất lượng cao với các đối tác, khách hàng và khách du lịch của chúng tôi.
  • Trách nhiệm giải trình: Expedia Group đảm bảo giám sát trách nhiệm giải trình bằng cách triển khai nhất quán các chính sách, quy định/khuôn khổ của ngành, cũng như các yêu cầu pháp lý bằng cách duy trì chương trình Quản trị chính thức và cơ quan Pháp lý/Bảo mật.

Các biện pháp cho phép tính di động của dữ liệu và đảm bảo khả năng xóa

·Expedia Group chịu trách nhiệm trực tiếp trong việc đảm bảo tuân thủ luật bảo vệ dữ liệu (kể cả liên quan đến các yêu cầu từ chủ thể dữ liệu). Expedia Group phản hồi tất cả các yêu cầu của chủ thể, bao gồm Quyền truy cập, xóa và tính di động theo luật bảo vệ dữ liệu hiện hành.

· Chính sách lưu giữ dữ liệu của EG đặt ra các khoảng thời gian lưu giữ và sao lưu khác nhau tùy thuộc vào loại dữ liệu, bao gồm mọi nghĩa vụ pháp lý hoặc trường hợp miễn trừ khác trong đó yêu cầu dữ liệu đó được lưu giữ cho đến khi một số nghĩa vụ pháp lý nhất định, chẳng hạn như mục đích về thuế và kế toán, hết hiệu lực. Trong trường hợp Expedia Group không thể hủy Dữ liệu cá nhân, Expedia Group sẽ tiếp tục mở rộng các biện pháp bảo vệ có liên quan trong Thỏa thuận giữa các bên quản trị dữ liệu cá nhân đó và chấm dứt mọi hoạt động xử lý tiếp theo.

Đối với hoạt động chuyển dữ liệu cho đơn vị xử lý (phụ), đồng thời mô tả các biện pháp kỹ thuật và tổ chức cụ thể mà đơn vị xử lý (phụ) cần thực hiện để có thể hỗ trợ cho đơn vị kiểm soát và đơn vị xuất dữ liệu đối với hoạt động chuyển dữ liệu từ đơn vị xử lý đến đơn vị xử lý phụ

  • Expedia Group chịu trách nhiệm trực tiếp trong việc đảm bảo tuân thủ luật bảo vệ dữ liệu (kể cả liên quan đến các yêu cầu từ chủ thể dữ liệu). Expedia Group phản hồi tất cả các yêu cầu của chủ thể, bao gồm Quyền truy cập, xóa và tính di động theo luật bảo vệ dữ liệu hiện hành.
  • Chính sách lưu giữ dữ liệu của EG đặt ra các khoảng thời gian lưu giữ và sao lưu khác nhau tùy thuộc vào loại dữ liệu, bao gồm mọi nghĩa vụ pháp lý hoặc trường hợp miễn trừ khác trong đó yêu cầu dữ liệu đó được lưu giữ cho đến khi một số nghĩa vụ pháp lý nhất định, chẳng hạn như mục đích về thuế và kế toán, hết hiệu lực. Trong trường hợp Expedia Group không thể hủy Dữ liệu cá nhân, Expedia Group sẽ tiếp tục mở rộng các biện pháp bảo vệ có liên quan trong Thỏa thuận giữa các bên quản trị dữ liệu cá nhân đó và chấm dứt mọi hoạt động xử lý tiếp theo.

 

Phụ lục chuyển dữ liệu quốc tế cho các điều khoản hợp đồng tiêu chuẩn của Ủy ban EU (Phụ lục)

Phụ lục này do Ủy viên Thông tin ban hành dành cho các Bên thực hiện hoạt động Chuyển dữ liệu bị hạn chế. Ủy viên Thông tin cho rằng Phụ lục này cung cấp các Biện pháp bảo vệ thích hợp cho hoạt động Chuyển dữ liệu bị hạn chế khi được ký kết như một hợp đồng ràng buộc về mặt pháp lý.

Phần 1    Danh mục bảng

Bảng 1: Các Bên

Ngày bắt đầu

Ngày ban hành SCC mà những tài liệu này được đính kèm (SCC của EU).

Các Bên

Thông tin liên lạc quan trọng

Đơn vị xuất dữ liệu: Theo SCC của EU.

 

Đơn vị nhập dữ liệu: Theo SCC của EU.

 

Bảng 2: Các SCC, Phần và Khoản được chọn

Phụ lục SCC của EU

Phiên bản của các SCC đã được phê duyệt của EU mà Phụ lục này được thêm vào.

Bảng 3: Thông tin về phụ lục

Thông tin về phụ lục” nghĩa là những thông tin phải được cung cấp cho các phần được chọn theo quy định trong Phụ lục của các SCC đã được phê duyệt của EU (trừ các Bên) và những thông tin mà Phụ lục này được nêu trong:

Phụ lục IA: Danh sách các Bên

Phụ lục IB: Mô tả hoạt động chuyển dữ liệu

Phụ lục II: Các biện pháp kỹ thuật và tổ chức

Theo SCC của EU

Bảng 4: Kết thúc Phụ lục này khi Phụ lục được phê duyệt thay đổi

Những Bên có thể kết thúc Phụ lục này theo quy định trong Mục 19

Cả hai bên đều không thể

Phần 2: Các Khoản bắt buộc

Các Khoản bắt buộc của Phụ lục đã được phê duyệt, là mẫu Phụ lục B.1.0 do ICO ban hành và trình cho Quốc hội theo Mục 119A của Đạo luật bảo vệ dữ liệu năm 2018 vào 02/02/2022, như được sửa đổi theo Mục 18 của các Khoản bắt buộc đó.