TAAP 개인정보 보호 약관 - 컨트롤러 간 계약(SCC 포함)

부칙 4 (TAAP)

본 C2C 계약의 영어 원본이 다른 언어로 번역되었을 수 있습니다. 본 계약의 영어 버전과 다른 언어 버전 간에 불일치나 차이가 발생할 경우 영어 버전이 우선적인 효력을 갖습니다.

범위: 각 Expedia와 귀사가 상대방과 체결한 계약(TAAP에 따라 귀사가 마케팅 파트너로 지정된 계약에 따라 온라인 클릭랩 약관의 형식일 수 있음)의 일부로 개인정보를 처리하는 경우(이에 따라 귀사는 TAAP에 따라 마케팅 파트너로 지정되었으며 이러한 활동과 관련된 모든 관련 활동을 "관련 활동"이라고 함), 이 글로벌 컨트롤러 간 계약("C2C 계약")은 관련 활동과 관련하여 당사자 간에 체결된 계약("계약")을 보완하고 이에 적용되며, Expedia와 귀사가 계약과 관련하여 개인정보를 처리하는 추가 조건, 요구 사항 및 조건을 명시합니다. 이 C2C 계약에서 "Expedia", "우리" 및 "당사"는 계약 당사자인 Expedia, Inc. 및/또는 기타 Expedia Group 회사를 의미합니다. "귀사"는 계약에 설명된 대로 앱에 명시된 명명된 법인을 의미합니다(또한 Expedia 또는 귀사에 대한 모든 참조는 계약에서 요구하는 범위 내에서 복수 용어로 해석됩니다).

1. 정의 및 해석

1.1 본 C2C 계약은 계약 조건의 적용을 받으며 계약에 통합됩니다. 본 C2C 계약에서 달리 정의하지 않는 한 본 계약에 명시된 해석 및 정의된 용어가 본 C2C 계약의 해석에 적용됩니다. 또한 다음과 같습니다.

  1.  각각의 적절한 기술적 및 조직적 조치, 컨트롤러, 개인정보, 개인정보 침해, 프로세스/처리 및 감독 기관(또는 합리적으로 동등한 용어)은 관련 데이터 보호법에서 부여된 의미를 갖습니다.
  2. 관련 데이터 보호법은 개인정보의 사용 또는 처리와 관련하여 관련 관할권의 적용 가능한 법률 및 규정을 의미합니다.
  3. CBPR 국가는 CBPR 시스템의 정회원 또는 준회원인 국가를 의미합니다.
  4. CBPR 당사자는 CBPR 시스템에서 현재 유효한 인증을 보유한 조직을 의미합니다.
  5. CBPR 시스템은 글로벌 CBPR 포럼에서 수립한 글로벌 국경 간 개인정보 보호 규칙 시스템을 의미합니다.
  6. 허용된 목적이란 (i) 예약 이행, (ii) 예약 지원 제공, (iii) TAAP 등록 및 계정 관리, (iv) 본 계약에 따른 커미션 및 기타 금액 지불, (v) 귀사를 위한 보고서 생성 및 조정, 불만 사항 처리 및 계약 서비스와 관련된 유사한 활동에 필요한 추가 처리, (vi) TAAP 계정 지원, (vii) TAAP 회원 및 하위 사용자에 대한 커뮤니케이션, (viii) 당사가 귀사에 제공할 수 있는 추가 서비스 또는 추가 혜택의 제공 지원(단, 귀사가 해당 서비스 또는 추가 혜택의 사용을 선택한 경우에 한함), (ix) 당사 서비스 개선(고객의 예약 경험 최적화 포함), (x) 분석, 비즈니스 인텔리전스 및 비즈니스 보고를 위한 보고서 작성, (xi) 사기 방지, (xii) 법 집행 요청 및 세무 당국 감사 요청에 대한 응대, (xiii) 사업 자산 거래 촉진(합병, 인수 또는 자산 매각으로 확대될 수 있음), (xiv) 본 계약, Expedia의 개인정보 처리방침 및 관련 법률에 따른 의무 준수 및 (xv) 때때로 필요할 수 있는 여행세 및 기타 적용 가능한 과세 목적의 결정, 계산, 보고 목적을 말합니다.
  7. DPF는 EU-U.S. 데이터 개인정보 보호 프레임워크 및/또는 Swiss-U.S. 데이터 개인정보 보호 프레임워크 또는 미국 상무부가 운영하고 때때로 유럽위원회에서 승인하는 그 후속 자체 인증 프로그램으로서, 무효화되지 않은 것을 의미합니다(각 경우에 있어 영국의 EU-U.S. 데이터 개인정보 보호 프레임워크 확장 및 해당 프레임워크의 적용을 해당 국가로 확장하기 위해 운영되는 기타 국가 확장 포함).
  8. DPF 국가는 EEA, 영국, 스위스 및 해당 국가 또는 지역의 관련 당국이 DPF의 적용을 해당 국가/지역으로 확장하는 데 동의한 기타 국가 또는 지역을 의미합니다.
  9. EEA는 유럽경제지역을 의미합니다. 제한적 이전 국가는 유럽 경제 지역에 속한 모든 국가와 스위스, 영국, 브라질, 태국 및 사우디아라비아를 의미합니다.
  10. 제한적 이전 데이터는 제한적 이전 국가의 개인이 액세스할 수 있도록 당사가 의도한 판매 채널(POS)을 통해 이루어진 예약과 관련된 TAAP 개인정보를 의미합니다.
  11. 표준 계약 조항/SCC는 유럽 연합에서 제3국으로의 개인정보 이전을 위해 EU 집행위원회가 승인한 표준 계약 조항을 의미하며, 2021년 6월 4일에 제정되었고 수시로 개정, 대체, 보완 또는 변경됩니다. 최신 전문은 https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en에서 확인할 수 있습니다.
  12. TAAP 개인정보는 귀사가 TAAP 웹사이트를 통해 당사에 제공한 개인정보, 또는 TAAP 자체와 관련하여 처리되는 개인정보, 또는 TAAP 웹사이트를 통한 예약을 지원하기 위해 처리되는 개인정보를 의미합니다.
당사자 간의 관계

1.2 귀사와 당사는 본 계약에 따른 각자의 권리·의무 및 관련 법률에 따른 책임의 이행을 위해 개인정보를 각각 수집 및 처리합니다. 따라서 각 당사자는 (i) 독립적이고 자율적인 컨트롤러로서 개인정보를 처리하고 (ii) 관련 데이터 보호법을 준수하며 (iii) 관련 데이터 보호법을 위반하는 모든 행동 또는 부작위에 대한 책임을 져야 합니다.

귀사의 책임

1.3 귀사의 책임은 다음과 같습니다.

  1.  허용된 목적을 위해 당사가 처리할 수 있도록 귀사가 제공하는 모든 TAAP 개인정보를 당사에 제공함에 있어 적법한 근거를 충족해야 합니다.
  2. 귀사의 개인정보 처리방침 및 기타 적절한 수단을 통해 고객의 개인정보가 허용된 목적을 위해 당사와 공유된다는 사실을 최종 고객에게 알려야 합니다.
  3. 최종 고객을 당사의 개인정보 처리방침으로 안내하여, 고객의 개인정보 처리에 관한 추가 정보를 확인할 수 있도록 해야 합니다.
  4. 본 계약과 관련하여 당사의 TAAP 개인정보 처리 과정에서 당사가 관련 데이터 보호법을 준수할 수 있도록 협조하고 합리적인 지원을 제공해야 합니다.
  5. 고객에게 마케팅 커뮤니케이션을 전송하기 위해 필요한 법적 근거를 충족해야 합니다.
당사의 책임

1.4 당사(및 해당되는 경우 당사의 그룹사)는 다음을 수행합니다. 

  1. 허용된 목적과 관련해서만 TAAP 개인정보를 처리합니다.
  2. 허용된 목적과 관련된 경우를 제외하고 TAAP 개인정보의 전체 또는 일부를 누구에게도 누설하지 않습니다.
  3. 귀사의 TAAP 개인정보 처리 과정에서 귀사가 관련 데이터 보호법을 준수할 수 있도록 협조하고 합리적인 지원을 제공합니다.
  4. TAAP 웹사이트에 적법한 최신의 쿠키 고지(필요한 경우)와 당사의 개인정보 처리방침을 표시하고 이를 준수합니다.
고객 및 제3자

1.5 귀사는 다음을 인정합니다.

  1.  당사는 예약과 관련하여 최종 고객에게 이메일을 전송할 수 있습니다.
  2. 당사는 다음 목적을 위해 제3자 서비스 공급업체에 TAAP 개인정보(은행 데이터 포함)를 이전할 수 있습니다.
    1. 귀사 및 귀사의 담당자와 하위 사용자의 TAAP 계정 관리 및 지원
    2. 예약 지원 제공
    3. 본 계약에 따른 커미션 및 기타 금액 지불
데이터 보안 및 침해

1.6 귀사와 당사는 각각 컨트롤러 자격으로 다음 사항을 이행할 것에 동의합니다. 귀사와 당사가 각각 처리하는 TAAP 개인정보를 개인정보 침해로부터 보호하기 위해 적절한 기술적 및 조직적 조치를 유지합니다.

  1.  당사자가 소유하거나 통제하는 시스템 내에서 개인정보 침해가 확인된 경우, 개인정보 침해가 (i) 본 계약에 따라 상대방도 처리하는 TAAP 개인정보에 영향을 미치고 (ii) 동일한 세부 정보를 제공하여 감독 기관에 보고할 수 있는 경우 즉시 상대방에게 통보합니다. 이러한 경우 양 당사자는 개인정보 침해에 따른 영향을 제거하거나 완화하기 위해 성실하게 합리적으로 협력해야 하며, 이러한 협력에 따른 합당한 비용은 개인정보 침해 피해를 입은 당사자가 부담해야 합니다.
국경 간 데이터 이전

1.7 국경 간 데이터 이전

양 당사자는 본 1.7항에서 '이전'이라는 단어가 사용되는 모든 경우에, 해당 용어에는 한 컨트롤러/처리자가 다른 컨트롤러/처리자에게 접근을 제공하는 경우가 포함된다는 점에 동의하고 이를 인정하며, 또한 다음 사항을 포함함을 확인합니다.

  1.  일반: 양 당사자는 해당 당사자가 관련 데이터 보호법에 따라 그러한 이전이 합법적으로 이루어질 수 있도록 필요한 준수 조치를 취하지 않는 한, TAAP 개인정보를 그 발생 지역 밖으로 이전하지 않으며, 다른 당사자가 이를 이전하도록 허용해서도 안 됩니다.
  2. 아시아 태평양 지역 및 CBPR: 

    1.  양 당사자는 다음 사항에 동의하고 이를 인정합니다.

      1.  CBPR 당사자는 관련 데이터 보호법에 상응하는 보호를 제공하기 위하여 법적으로 집행 가능한 일련의 의무를 부담합니다.
      2. Expedia 는 CBPR 당사자입니다.

      파트너가 CBPR 당사자인 경우, 본 (b)항의 조항은 상호 적용되는 것으로 해석됩니다.

    2.  아래 (iii)항을 조건으로, 양 당사자는 다음 각 경우에 동의합니다.

      1.  TAAP 개인정보가 한 CBPR 국가에서 다른 CBPR 국가로 이전되는 경우
      2. 데이터 임포터가 CBPR 당사자인 경우

      이러한 경우, 관련 감독 당국이 CBPR 시스템을 인정된 이전 방식으로 승인하는 범위 내에서 및 그 기간 동안, CBPR 시스템은 해당 CBPR 당사자에게 TAAP 개인정보를 국경 간 이전하기 위한 합의된 메커니즘으로 적용됩니다.

    3.  CBPR 시스템은 당사자 중 최소 한 명이 아시아-태평양 지역에 속하면서 CBPR 국가이기도 한 국가에 소재한 경우에 해당하는 이전에만 적용됩니다.

    4.  Expedia는 TAAP 개인정보에 대하여 CBPR 시스템에서 요구되는 것과 최소한 동일한 수준의 보호를 제공할 것임을 확인하며, 해당 보호 수준을 더 이상 제공할 수 없다고 판단하는 경우에는 상대방 당사자에게 이를 즉시 통지합니다. 이러한 경우 또는 상대방 당사자가 Expedia가 CBPR 시스템에서 요구되는 기준에 따라 TAAP 개인정보를 보호하지 않고 있다고 합리적으로 판단하는 경우 상대방 당사자는 다음 중 하나를 선택할 수 있습니다.

      1.  무단 처리를 중지하고 시정하기 위하여 Expedia가 합리적이고 적절한 조치를 취하도록 지시할 수 있으며, 이 경우 양 당사자는 해당 조치를 식별하고, 이에 합의하며, 이를 이행하기 위하여 성실하게 즉시 협력합니다.
      2. 관련 데이터 보호법에 따라 해당 처리에 적용될 수 있는 대체 보호조치에 대하여 합의할 수 있습니다.
      3. (A) 및 (B)로 문제가 해결되지 않는 경우, 상대방 당사자는 Expedia에 통지함으로써 본 C2C 계약 및 본 계약(또는 상대방 당사자가 선택하는 경우 그 영향을 받는 부분)을 위약금 없이 해지할 수 있습니다.

      상대방 당사자도 유효한 CBPR 시스템 인증을 보유한 경우 위 조항들은 해당 의무가 상호 적용되는 것으로 간주됩니다.

  3. DPF:양 당사자는 데이터 출발지인 제한적 이전 국가의 관련 데이터 보호법에 따라 '적정성'이 인정되지 않은 국가 또는 미국으로 당사자 간 이루어지는 제한적 이전 데이터의 이전과 관련하여 다음과 같이 합의합니다.
    1. 관련 당국이 DPF를 인정된 이전 방식으로 승인하는 범위 내에서 및 그 기간 동안, DPF는 제한적 이전 국가에서 발생한 데이터를 미국의 Expedia로 이전하기 위한 합의된 메커니즘으로 적용됩니다.
    2. DPF가 유효한 이전 방식이 아닌 범위 내에서 및 그 기간 동안(여기에는 제한적 이전 데이터가 관련 데이터 보호법상 "적절한" 국가로 간주되지 않은 국가로 이전되는 경우도 포함됨) 해당 이전에는 SCC가 적용되며, 당사는 아래 (h)항에 규정된 조건에 따라 SCC를 체결합니다. 또한 귀사가 현재 유효한 DPF 인증을 보유하고 있는 경우, 제한적 이전 데이터를 귀사에게 전송하는 경우에도 본 항에 따라 DPF에 근거하여 이전이 이루어질 수 있으며, SCC는 본 항에 명시된 바와 같이 대체(후순위) 메커니즘으로 적용됩니다. 이 경우 DPF와 관련된 모든 해당 단락은 양방향으로 적용되는 것으로 해석됩니다.
  4. DPF와 관련하여, 당사는 DPF에서 요구되는 것과 동일한 수준의 보호를 제공할 것임에 동의합니다. 귀사가 당사가 DPF에서 요구되는 기준에 따라 제한적 이전 데이터를 보호하지 않는다고 합리적으로 판단하는 경우, 당사는 다음 중 하나를 선택하여 조치할 수 있습니다.
    1. 아래 (h)항에 명시된 바와 같이 SCC에 의존합니다.
    2. SCC가 실행 가능하거나 적절한 해결책이 아닌 경우, 당사는 무단 처리를 중지하고 시정하기 위한 합리적이고 적절한 조치를 귀사에 제안하며, 당사는 해당 조치를 성실하게 이행하기 위해 상업적으로 합리적인 노력을 기울입니다.
    3. 위 (i) 또는 (ii)항의 대안이 실행 가능하지 않은 경우, 당사는 위약금 없이 본 C2C 계약 및 본 계약을 해지할 수 있습니다.
  5. 귀사가 DPF 인증을 받은 경우, 귀사는 DPF의 고지 및 선택 원칙(EU-US DPF에 정의된 바에 따름)을 준수합니다. 명확히 하기 위하여, 귀사가 DPF 인증을 받지 않았거나, 또는 유럽 위원회에서 '적절한' 국가로 간주한 국가에서 제한적 이전 데이터에 액세스하거나 이를 수신하는 것이 아닌 경우, 당사에서 귀사로 이루어지는 제한적 이전 데이터의 이전에는 SCC가 적용됩니다.
  6. 당사자는 미국 상무부, 미국 연방무역위원회, 유럽 데이터 보호 당국 또는 기타 미국 또는 EU의 사법 또는 규제 기관이 요청하는 경우, 본 C2C 계약 및 본 계약의 관련 개인정보 보호 조항을 각각 공개할 수 있음에 동의하며, 이러한 공개는 비밀유지 의무 위반으로 간주되지 않는다는 점에도 동의합니다.
  7. 비제한적 이전 국가에 대한 SCC의 확장: 제한적 이전 국가는 아니나, 관련 데이터 보호법에 따라 해당 TAAP 개인정보를 데이터 출처 국가 밖으로 이전하기 전에 일정한 보호조치가 적용되어야 하는 국가(각각 비제한적 이전 국가)에서 발생하는 TAAP 개인정보의 당사자 간 이전과 관련하여 양 당사자는 다음에 동의합니다.
    1. 아래 (h)항에 규정된 SCC는 해당 특정 국가의 보호조치 요건을 충족하는 범위 내에서, 이러한 추가 이전에도 적용되는 것으로 간주됩니다.
    2. 아래 (h)항에 규정된 조치가 불충분하거나 추가 조치가 필요한 경우, 양 당사자는 관련 데이터 보호법을 충족하기 위하여 필요한 추가 조치(예: 관련 문서의 체결, 동의의 수집, 필수 신고 및 제출의 이행 등)를 수시로 취하기로 동의합니다.
  8. SCC: 1.7항의 앞선 각 단락에서 정한 바에 따라, 양 당사자는 아래 선택 사항을 제외하고 변경 없이 본 계약에 참조로 편입되는 SCC를 체결하기로 동의합니다.
    1. 파트너가 EEA 내에 있거나 GDPR 제45조에 따라 "적절한" 것으로 간주되는 국가(적절한 국가)에 소재하는 경우, SCC의 모듈 1은 귀사에서 당사로의 이전에 대해 단일 방향에만 적용됩니다. 그렇지 않은 경우, 모듈 1은 귀사에서 당사로의 이전 및 당사에서 귀사로의 이전 모두에 양방향으로 적용됩니다.
    2. SCC의 11(a)항의 목적에 따라 선택적 언어는 삭제됩니다.
    3. SCC 13항의 목적에 따라 관련 단락은 "규정(EU) 2016/679의 27(1)조의 의미 내에서 대표가 설립된 회원국의 감독 기관은 부속서 I.C에 명시된 대로 관할 감독 기관의 역할을 해야 합니다."
    4. SCC 17항의 목적에 따라 준거법은 아일랜드입니다.
    5. SCC 18(b)항의 목적에 따라 선택 국가는 아일랜드입니다.

    6.  제한적 이전 데이터. 영국, 스위스, 브라질, 사우디아라비아 또는 태국에서 발생한 개인정보가 데이터 출발지의 관련 데이터 보호법에 따라 적절성이 인정되지 않는 국가 또는 표준 계약 조항 체결 의무가 면제되지 않은 국가로 이전되는 경우를 규율하기 위하여 SCC에 새로운 19항이 추가됩니다.

      "19항

      영국, 스위스, 브라질, 사우디아라비아 및 태국으로부터의 전송

      당사자들은 문제된 이전과 관련되는 범위 내에서 본 조항들이 참조 개인정보 보호법(본 항에서 기준 이전이라 함)의 적용 범위에 속하는 역외 이전에도 확장되어 적용됨에 동의합니다. 이러한 기준 이전과 관련하여 준거법은 해당 참조 준거법으로 간주되며, 관할 법원은 참조 국가로, 그리고 참조 감독 기관은 관할 감독 기관으로 간주됩니다. 또한 당사자들은 참조 감독 기관이 참조 개인정보 보호법 준수를 위하여 필요하다고 판단하는 범위에서, 본 조항에 기준 이전과 관련된 추가 변경이 이루어진 것으로 간주되어야 하며, 당사자들이 기준 이전을 위해 별도로 마련된 표준 계약 조항을 체결할 필요 없이, 해당 조항은 참조 개인정보 보호법 또는 참조 감독 기관이 발행한 지침에서 정한 기준 이전 요건에 따라 해석되어야 한다는 점에 동의합니다. 아울러 당사자들은 기준 이전을 수행할 때 참조 개인정보 보호법을 준수하기 위해 필요한 모든 조치를 취해야 합니다.

      국가

      참조 개인정보 보호법

      기준 이전

      참조 준거법

      참조 국가

      참조 감독 기관

      영국

      영국 GDPR 및 2018년 데이터 보호법(UK GDPR and Data Protection Act of 2018)

      영국 이전

      영국

      영국

      정보위원회(ICO, Information Commissioner's Office)

      스위스

      연방 데이터 보호법(FADP, Federal Act of Data Protection)

      스위스 전송

      스위스

      스위스

      연방 데이터 보호 및 정보위원(FDPIC, Federal Data Protection and Information Commissioner)

      브라질

      브라질 일반 개인정보 보호법 No. 13,709/18(Lei Geral de Proteção de Dados)

      브라질 전송

      브라질

      브라질

      브라질 국가 데이터 보호국(ANDP, Brazil’s National Data Protection Authority)

      사우디아라비아

      개인정보 보호법(PDPL)

      사우디 전송

      사우디아라비아

      사우디아라비아

      사우디 데이터 및 인공지능청(SDAIA, Saudi Authority for Data and Artificial Intelligence)

      태국

      개인정보 보호법(PDPA, 불기 2562년/2019년 제정)

      태국 전송

      태국

      태국

      개인정보보호위원회(PDPC, Personal Data Protection Committee)

      그리고 다음이 적용됩니다.

      1.  참조 개인정보 보호법에 대한 모든 언급은 해당 법률이 수시로 개정, 보완, 대체되는 경우 그 변경 사항을 반영한 참조 법률을 의미합니다.
      2. 참조 감독 기관에 대한 모든 언급은 해당 감독 기관 또는 그 후임 기관을 의미합니다.
      3. 영국과 관련하여 EU 위원회 표준 계약 조항에 대한 국제 데이터 전송 부록의 규정이 부록으로 첨부된 양식에 명시된 바에 따라 적용됩니다."

    7.  제3국 전송:이전에 특정되지 않은 다른 국가에서 발생한 개인정보의 전송을 규율하기 위하여 새로운 조항 20이 추가됩니다. 이 조항에 따라 SCC는 해당 국가에서 발생한 개인정보를 그 국가 외부에 위치한 당사자에게 전송할 때 적절한 보호조치를 보장하기 위하여 확장되어 적용될 수 있습니다.

      "20항

      기타 제3국 전송

      당사자들은 개인정보의 사용 또는 처리와 관련하여 해당 관할권에서 적용되는 기타 관련 법률 및 규정(본 항에서 관련 데이터 보호법이라 함)의 적용 범위에 속하면서, 개인정보를 해당 국가(본 항에서 제3국이라 함)에서 다른 국가로 전송하기 위해 본 조항과 대체로 동등한 약관 및 보호조치를 요구하는 국경 간 전송(본 항에서 제3국 전송이라 함)에 대해, 본 조항이 문제된 전송과 관련되는 범위 내에서 확장되어 적용됨에 동의합니다. 이러한 제3국 전송과 관련하여, 준거법은 제3국의 법률로 간주되며, 관할 법원은 제3국이 되고, 해당 국가의 데이터 보호 당국 또는 기타 관련 규제 기관이 관할 감독 기관으로 간주됩니다. 당사자들은 또한, 해당 제3국의 관련 데이터 보호법을 준수하기 위하여 그 감독 기관이 필요하다고 판단하는 범위에서, 제3국 이전과 관련하여 본 조항에 추가 변경이 이루어진 것으로 간주되어야 한다는 점에 동의합니다. 아울러 본 조항은, 당사자들이 제3국 이전을 위해 별도로 마련된 표준 계약 조항을 체결할 필요 없이, 관련 데이터 보호법에 따라 요구되는 제3국 이전 요건 또는 해당 감독 기관이 발행한 지침에 명시된 요건에 따라 해석되어야 합니다. 양 당사자는 제3국 이전과 관련하여 관련 데이터 보호법 준수를 보장하는 데 필요할 수 있는 모든 행위와 일을 추가로 수행해야 합니다."

    8.  위의 SCC와 관련하여 SCC는 다음과 같이 처리에 적용됩니다.
      1. SCC에 따라 데이터 익스포터 또는 데이터 임포터 역할을 수행하는 각 당사자는 자기 명의 및 자기 책임으로 SCC를 체결한 것으로 간주됩니다.
      2. 본 C2C 계약의 부속서 1(SCC 처리 개요)은 SCC의 부속서 1을 구성합니다.
      3. 본 C2C 계약에 첨부된 부속서 2(기술적 및 조직적 조치)는 SCC의 부속서 2를 구성하며, 다음의 경우에 한하여 Expedia에만 적용됩니다. (a) 귀사에서 당사로의 제한적 이전 데이터의 이전에 대해 일방적 SCC만 적용되는 경우 또는 (b) 파트너가 SCC 부속서 2 파트너의 요구사항을 충족하기에 충분한 기술적 및 조직적 조치를 제공하고, Expedia가 이를 수용한 경우. 앞서 언급한 조건이 충족되지 않는 경우, 부속서 2는 양 당사자 모두에 적용되는 것으로 해석되며 Expedia 및 Expedia Group에 대한 모든 언급은 이에 따라 각 당사자를 지칭하는 것으로 해석됩니다.
      4. 본 C2C 계약에 대한 부록은 SCC의 목적상 영국 부록을 구성합니다. 본 계약의 조항과 SCC가 상충하는 경우 SCC가 우선합니다.

1.8 PCI.

귀사는 다음을 보증하고 진술합니다.

  1.  본 계약 및 C2C 계약에 따른 의무를 준수하기 위해 필요한 범위 내에서만 최종 고객의 카드 소유자 데이터를 획득, 사용, 전송 및 저장합니다.
  2. 귀사가 최종 고객의 카드 소지자 데이터를 획득, 사용, 전송, 저장 또는 처리하는 경우 PCI 보안표준위원회가 발행한 PCI DSS(수시로 업데이트되는 내용 포함)를 준수합니다.
  3. 연간 규정 준수 인증 사본을 당사에 제공합니다.
  4. PCI DSS 위반 또는 최종 고객의 카드 소지자 데이터에 영향을 미치는 개인정보 침해가 발생한 경우 이를 지체 없이 당사에 통지합니다.

당사는 당사가 보유, 저장, 처리 또는 전송하는 카드 소지자 데이터의 보안을 당사가 책임지며 PCI 보안표준위원회가 공표한 PCI DSS(수시로 업데이트되는 내용 포함)를 준수할 것이라는 점을 인정합니다. 당사는 요청하는 경우 귀사에 연례 규정 준수 인증서 사본을 제공합니다.

1.9 통지.

본 C2C 계약에 따른 모든 통지는 계약의 통지 조항에 따라 각 당사자가 이러한 목적을 위해 상대방에게 제공한 연락처로 이메일을 통해 전달되는 경우 유효한 것으로 간주됩니다. Expedia의 경우, 이는 계정/관계 관리자에게 수시로 이메일을 전송하고 수시로 제공되는 Expedia 개인정보 보호 사서함[S(3.1]을 참조(cc)하는 것을 포함합니다.

부속서 I - SCC 처리 개요
모듈 1: 컨트롤러 간(귀사 - 당사)
A. 당사자 목록

데이터 익스포터:

당사자

"귀사", TAAP 회원 또는 이에 상응하는 용어

주소

계약에 명시된 주소

모든 Expedia Group 당사자의 담당자 이름, 직책 및 연락처 정보

Expedia에 수시로 제공되는 이메일 주소로 계정/관계 관리자에게 이메일을 발송하는 경우 유효한 통지가 이루어진 것으로 간주됩니다.

SCC에 따라 이전된 데이터와 관련된 활동

 

  •  관련 활동 (즉, 다음을 의미함):
  • 계약 및 C2C 계약에 따라 당사가 귀사에 제공한 TAAP 웹사이트를 통해 이루어진 예약 및 계약과 관련된 활동
  • 계약 및 C2C 계약에 따라 허용된 목적
  • 요청 시 제공되는 추가 서비스(마케팅/커뮤니케이션 서비스, 통합 인증 서비스, 파트너 회원혜택 프로그램 통합 포함)

역할

컨트롤러

데이터 임포터: 

당사자

계약에서 "당사" 또는 "Expedia"로 식별된 비EU 당사자

주소

계약에 명시된 주소

담당자의 이름, 직위 및 연락처 정보

(1) 계정/관계 관리자에게, 그리고 (2) Expedia 개인정보 보호 사서함으로 이메일이 발송되는 경우(각 경우, 수시로 파트너에게 제공되는 이메일 주소 사용) 유효한 통지가 이루어진 것으로 간주됩니다.

이러한 조항에 따라 이전된 데이터와 관련된 활동

계약에 따라 당사가 귀사에 제공한 TAAP 웹사이트를 통한 예약

역할

컨트롤러

A. 전송에 대한 설명 

 

데이터 주체의 범주

TAAP 회원 및 하위 사용자

개인정보의 범주

호스트 여행사 / 관리 계정: 

식별 정보:

  • 여행사 상호명
  • 여행 인증 유형(IATA/ARC/CLIA/TrueID/기타) 및 인증 번호
  • 법인 등록 번호

연락처:

  • 여행사 웹사이트 URL(캐나다 및 이탈리아 필수, 기타 지역 선택 사항)
  • 주소(도로명, 도시, 주/도, 우편번호, 국가)
  • 여행사 전화번호
  • 팩스 번호(일본에서만 필수)

재무 정보:

  • 은행 계좌 이름
  • 은행 계좌 번호
  • 은행 세부 정보
  • 결제 카드 정보
  • 세금 ID

개별 예약자/하위 사용자: 

식별 정보:

  • 예약자의 이름과 성
  • 여행사 상호명(해당되는 경우 예약자 소유의 여행사)
  • 호스트 여행사 이름(예약자가 소속된 여행사)
  • 여행사 상호명
  • 여행 인증 유형(IATA/ARC/CLIA/TrueID/기타) 및 인증 번호
  • 법인 등록 번호

연락처:

  • 주소(도로명, 도시, 주/도, 우편번호, 국가)
  • 여행사 전화번호

여행 정보:

  • 예약 내역 및 여행 선호도

픽업 또는 교통 제공을 위한 숙박 시설 및 여행 정보(최종 고객의 호텔, 도착 및 출발 정보(날짜, 시간, 이동 수단, 픽업 및 하차 장소 포함))

기타 정보(요청 및 TAAP 회원과의 합의에 따라, 다음과 관련하여 필요한 개인정보를 포함하되 이에 국한되지 않음):

  • 보고, 모니터링 및 분석(커미션 및 예약 데이터 포함)
  • 통합 인증, 회원혜택 프로그램
  • 서신

민감한 데이터

여행에 대한 접근성 요구를 충족하기 위해 개인이 자발적으로 제공하지 않는 한 없음

전송 빈도(예: 데이터가 일회성으로 전송되는지 또는 지속적으로 전송되는지 여부)

TAAP 회원 비즈니스의 필요에 따라 지속적으로 또는 임시적으로

처리의 성격

아래에 명시된 목적을 달성하는 데 필요한 모든 처리 작업

데이터 전송 및 추가 처리의 목적

계약에 정의된 허용된 목적

개인정보 보유 기간 또는 가능하지 않은 경우 해당 기간을 결정하는 데 사용되는 기준

Expedia Group의 보존 정책에 따라 백업 또는 법적 이유로 계약 종료 후에도 TAAP 개인정보가 보존되는 범위 내에서 Expedia는 계약에 따라 해당 개인정보를 계속 보호합니다.

(하위) 처리자에게 이전하는 경우 처리 주제, 성격 및 기간 지정

https://support.expediapartnersolutions.com/hc/en-us/articles/360000986389-EPS-Data-Services-Vendor-List(수시로 업데이트됨)

데이터 주체의 범주

고객

개인정보의 범주

식별 정보:

  • 성명
  • 항공 마일리지 프로그램 및 번호(항공편)
  • TSA 번호(미국만 해당)

연락처:

  • 이메일 주소
  • 전화번호(유선 및 휴대폰)
  • 생년월일(항공편용)
  • 국적(여권용)

재무 정보:

  • 결제 카드 정보
  • 세금 ID(브라질 POSa만 해당)

민감한 데이터

여행에 대한 접근성 요구를 충족하기 위해 개인이 자발적으로 제공하지 않는 한 없음

전송 빈도(예: 데이터가 일회성으로 전송되는지 또는 지속적으로 전송되는지 여부)

TAAP 회원 비즈니스의 필요에 따라 지속적으로 또는 임시적으로

처리의 성격

아래에 명시된 목적을 달성하는 데 필요한 모든 처리 작업

데이터 전송 및 추가 처리의 목적

계약에 정의된 허용된 목적

개인정보 보유 기간 또는 가능하지 않은 경우 해당 기간을 결정하는 데 사용되는 기준

Expedia Group의 보존 정책에 따라 백업 또는 법적 이유로 계약 종료 후에도 TAAP 개인정보가 보존되는 범위 내에서 Expedia는 계약에 따라 해당 개인정보를 계속 보호합니다.

(하위) 처리자에게 이전하는 경우 처리 주제, 성격 및 기간 지정

https://support.expediapartnersolutions.com/hc/en-us/articles/360000986389-EPS-Data-Services-Vendor-List(수시로 업데이트됨)

 

B. 관할 감독 기관

아일랜드 데이터 보호 당국

모듈 1: 컨트롤러 간(당사 - 귀사)

A. 당사자 목록

데이터 익스포터: 

위의 모듈 1(귀사 - 당사)에서 식별된 데이터 임포터. 자세한 내용은 위를 참조하십시오.

데이터 임포터:

위의 모듈 1(귀사 - 당사)에서 식별된 데이터 익스포터. 자세한 내용은 위를 참조하십시오.

B. 전송에 대한 설명
  • 데이터 주체의 범주
  • 개인정보의 범주
  • 민감한 데이터

모듈 1에 따라

  • 전송 빈도
  • 처리의 성격
  • 목적

모듈 1에 따라

개인정보 보유 기간 또는 가능하지 않은 경우 해당 기간을 결정하는 데 사용되는 기준

TAAP 회원의 보유 방침에 따라

(하위) 처리자에게 이전하는 경우 처리 주제, 성격 및 기간 지정

해당 사항 없음

 

C. 관할 감독 기관

모듈 1에 따라

 

부속서 II - 기술적 및 조직적 조치 

부록 1, 1부의 목적을 위해 당사/Expedia에 적용되는 기술적 및 조직적 조치는 아래에 설명되어 있습니다. 이러한 조치는 관련 개인정보 이전에 있어 파트너가 SCC에 따른 데이터 임포터이고 파트너가 Expedia에 의해 승인된 대체 조치 세트를 제공하지 않은 상황에서 C2C 계약에 따라 파트너에게도 적용됩니다.

주제

조치

개인정보의 가명화 및 암호화 조치

  • Expedia Group은 Expedia Group의 정보 분류 및 처리 표준을 기반으로 데이터 전송을 위한 산업 표준 암호화 프로토콜을 지원합니다.
  • 데이터 처리 요구 사항은 범주를 기반으로 합니다. 처리 중인 데이터에 따라 Expedia Group 전체에 서로 다른 보안 요구 사항이 적용됩니다. 예를 들어 신용 카드 데이터는 매우 민감한 것으로 간주되며 전송 중 및 유휴 상태 모두에서 암호화되어야 합니다.
  • 고객(및 그 직원)의 개인정보는 Expedia Group의 정보, 분류 및 취급 표준에 따라 가능하고 필요한 경우 EG에 의해 가명화(및 익명화)됩니다.
  • 신용 카드 번호는 일반 텍스트 신용 카드 번호 처리를 제거하기 위해 토큰화/가명화됩니다.
  • Expedia Group은 VPN, SSL 등을 통한 암호화된 연결을 활용하고 다단계 인증 메커니즘을 활용합니다.

처리 시스템 및 서비스의 지속적인 기밀성, 무결성, 가용성 및 복원력을 보장하기 위한 조치

  • Expedia Group은 데이터의 완전하고 유효하며 정확한 처리를 보장하기 위해 모든 정보 처리 시설의 관리 및 운영에 대한 책임과 절차를 유지합니다.
  • 데이터 처리 및 무결성에 대한 제어가 지속적으로 테스트되고 증명되는 강력한 SOX 프로그램을 통해 주요 처리 시설에 대한 모니터링이 이루어집니다.
  • 무단 액세스, 수정 및/또는 삭제를 방지하고 보호하기 위해 EG 시스템에는 산업 표준 로깅 및 모니터링이 있습니다.
  • Expedia Group은 중복 아키텍처, 데이터 복제 및 무결성 검사를 통해 서비스 탄력성을 유지합니다.

물리적 또는 기술적 사고 발생 시 적시에 개인정보에 대한 가용성 및 액세스를 복원할 수 있는 능력을 보장하기 위한 조치

  • Expedia Group의 시스템은 일반적인 공격을 막거나 방지하고 운영, 모니터링 및 유지 관리를 위한 가용성을 보장하도록 특별히 설계되었습니다. 이를 위해 Expedia Group은 시뮬레이션 테스트 및 감사를 정기적으로 수행하여 시스템의 가용성이 유지되는지 확인합니다.
  • 서버는 Expedia Group의 강력한 패치 정책에 따라 패치되고 업계 표준 AV/AM 프로그램으로 보호됩니다.또한 취약성 평가, 철저한 테스트 및 네트워크 검토를 수행하여 EG의 시스템이 유지되도록 합니다.
  • Expedia 사이트가 서비스 중단을 최소화하면서 온라인 상태를 유지하도록 가용성 및 안정성 모니터링이 마련되어 있습니다.
  • Expedia Group은 고객 서비스가 심각도에 따라 중단되지 않고 실행 가능성을 보장할 수 있도록 정기적으로 테스트하기 위해 긴급 상황 및 우발 계획을 설명하는 재해 복구 계획을 유지 관리합니다.

처리의 보안을 보장하기 위해 기술적 및 조직적 조치의 효과를 정기적으로 테스트, 평가 및 평가하는 프로세스

  • Expedia Group의 기술적 및 조직적 조치는 강력한 내부 테스트를 거칠 뿐만 아니라 외부 평가자에 의해 매년 감사를 받습니다.
  • EG는 제3자 평가자를 활용하여 연례 PCI 평가를 수행하고 PCI를 지속적으로 준수하는지 확인합니다.
  • EG의 포괄적인 내부 테스트 기능은 분기별 취약성 테스트, 내부 및 외부 침투 테스트, 네트워크, 시스템 및 방화벽 스캐닝 및 검토로 구성됩니다. 또한 내부 감사 부서는 연간 위험 평가를 수행하여 운영 감사의 우선 순위를 정합니다.

사용자 식별 및 승인을 위한 조치 전송 중 정보 보호를 위한 조치 보관 중 정보 보호를 위한 조치

  • Expedia Group 시스템은 업계 모범 사례에 맞춰져 있으며 타임아웃 세션, 잠금 프로토콜, 강력한 비밀번호 및 인증 제어와 같은 통신 관행을 갖추고 있습니다.
  • Expedia Group은 Expedia Group 정보의 무단 액세스 또는 오용을 방지하기 위해 계정 프로비저닝 및 감독에 대한 요구 사항을 유지하고 강력한 인증 목적을 위해 최소 권한 액세스 원칙, 고유 ID 및 다단계 인증과 같은 업계 모범 사례를 사용합니다.

개인정보를 처리하는 위치의 물리적 보안 확보 조치

  • 보안 운영 센터는 24시간 연중무휴로 운영되며 최소 1년에 한 번 공식 사고 대응 계획을 검토 및 테스트합니다.
  • 모든 시스템은 외부 서비스 제공업체에서 정기적으로 제어하고 테스트합니다.
  • 각 Expedia Group 고객은 고유한 고객 ID를 받습니다. 각 고객의 모든 데이터 세트는 이 ID로 저장되며 모든 고객 데이터는 논리적으로 분리됩니다. 관리 권한 및 데이터베이스 구조로 인해 고객은 해당 사용자 ID 및 데이터 센터/AWS 컨트롤에 할당된 데이터 세트에만 액세스할 수 있습니다.
  • Expedia에서 명시적으로 권한을 부여 받고 '꼭 알아야 할' 사람만 개인정보에 액세스할 수 있습니다. 시스템에 대한 최소 권한 액세스 및 무단 액세스 시도를 보장하기 위한 제어 및 모니터링이 마련되어 있습니다.

이벤트 로깅을 보장하기 위한 조치

Expedia Group은 로깅된 이벤트의 누가, 무엇을, 어디서, 언제, 대상, 출처 및 성공/실패를 설명하기 위해 강력한 로깅 및 모니터링 요구 사항을 유지합니다.

기본 구성을 포함한 시스템 구성을 보장하기 위한 조치 내부 IT 및 IT 보안 거버넌스 및 관리를 위한 조치 프로세스 및 제품의 인증/보증을 위한 조치

  • Expedia Group(EG) 정보 보안 프로그램은 업계 프레임워크 및 표준에 맞춰 위험 관리 프로그램을 통해 강력하고 포괄적인 보안 태세를 보장합니다. Expedia Group은 환경과 고객 데이터의 보안, 가용성, 무결성 및 기밀성을 지원하기 위해 안전한 운영 프로세스를 유지합니다.
  • Expedia Group의 빌드 표준은 비즈니스 요구 사항을 충족하는 시스템 구성 요소, 서비스 및 프로토콜만 지원합니다. 운영 체제, 데이터베이스 및 상용 애플리케이션은 다음을 충족해야 합니다.
    • 법적 및 규제 감사 요구 사항을 충족하기 위해 검색 가능해야 합니다.
    • 구성 관리 도구를 지원하거나 보안 제어를 성공적으로 시행하는 구성 관리를 배포합니다.
    • 시스템에 대한 모든 원격 관리 액세스에 암호화를 활성화해야 합니다.
    • 시스템의 적절한 사용을 표시 및/또는 부적절한 사용 및 기타 불법 활동을 감지하기 위해 시스템이 모니터링되고 있음을 표시해야 합니다. 시스템을 사용하는 동안 개인정보 보호를 보장하지 않습니다.
  • Expedia Group은 계층적/심층 방어 전략을 보안에 적용합니다. 중앙 보안 조직을 통해 환경을 모니터링하고 그에 따라 경고에 응답하도록 정책, 운영 및 기술을 활용하여 기업 전체에 중요한 기능과 제어 기능(예: 맬웨어 방지, WAF, 네트워크 세분화, DLP 등)이 마련되어 있습니다.
  • Expedia의 시스템은 규정 준수를 보장하기 위해 Expedia Group에 연례 SOC 2 보고서를 제공하는 데이터 센터 및 Amazon Web Services(AWS)에서 호스팅됩니다.

데이터 최소화를 위한 조치 데이터 품질 확보를 위한 조치 제한된 데이터 보존을 위한 조치 책임성 확보를 위한 조치

  • 최소화: Expedia Group은 최소한의 데이터만 수집, 처리 및 저장하도록 합니다. 필요한 경우 식별 가능한 형식만 사용합니다.
  • 보존: Expedia Group의 데이터 보존 정책은 세금 및 회계 목적과 같은 특정 법적 의무가 소멸될 때까지 해당 데이터를 보존해야 하는 법적 의무 또는 기타 면제를 포함하여 데이터 범주에 따라 다른 보존 기간 및 백업을 명시합니다.
  • 품질: Expedia Group에는 공식화된 품질 관리 프로그램인 고객 경험 관리(CEM) 프로그램이 있습니다. 우리는 항상 EG의 환경 내에서 개선을 위해 노력하고 있으며 더 높은 효율성을 위해 프로세스를 간소화하여 파트너, 고객 및 손님과의 일관된 고품질 서비스 및 상호 작용을 추구합니다.
  • 책임: Expedia Group은 공식 거버넌스 프로그램 및 법률/개인정보 보호 부서를 유지함으로써 정책, 업계 규정/프레임워크 및 법적 요구 사항을 일관되게 구현하여 책임 감독을 보장합니다.

데이터 이동성 허용 및 삭제 보장을 위한 조치

  • Expedia Group은 데이터 보호법(데이터 주체의 요청 관련 포함) 준수를 보장할 직접적인 책임이 있습니다. Expedia Group은 관련 데이터 보호법에 따라 액세스, 삭제 및 이동성을 포함하여 주체의 모든 요청에 응답합니다.
  • EG의 데이터 보존 정책은 세금 및 회계 목적과 같은 특정 법적 의무가 소멸될 때까지 해당 데이터를 보존해야 하는 법적 의무 또는 기타 면제를 포함하여 데이터 범주에 따라 다른 보존 기간 및 백업을 명시합니다. Expedia Group이 개인정보를 파기할 수 없는 경우 Expedia Group은 해당 개인정보를 관리하는 당사자 간의 계약 관련 보호를 계속 확대하고 추가 처리를 종료합니다.

(하위) 처리자에게 전송하는 경우 컨트롤러에 지원을 제공하고 처리자가 하위 처리자, 데이터 익스포터에게 전송하기 위해 (하위) 프로세서가 취해야 하는 특정 기술 및 조직적 조치도 설명

  • Expedia Group은 공급업체의 정보 보안 관행에 대한 실사를 수행하고 공급업체가 적절한 기술적 및 조직적 조치를 취하고 유지하도록 요구하는 의무를 포함하여 포괄적인 보안 요구 사항을 충족할 것을 요구합니다.
  • Expedia Group은 상세한 보안 영향 평가("SIA") 프로세스를 공식화했습니다. 데이터에 액세스하는 모든 신규 공급업체는 참여 전과 필요한 경우 계약 기간 동안 검토됩니다.
  • 또한 Expedia Group은 모든 공급업체에 부과되는 강력한 공급업체 처리자 조건을 가지고 있어 모든 하위 처리자에 대한 의무 전달을 보장합니다.

 

EU 위원회 표준 계약 조항에 대한 국제 데이터 이전 부록(부록)

이 부록은 정보 위원회가 제한적 이전을 수행하는 당사자를 위해 발행한 것입니다. 정보 위원회는 법적 구속력이 있는 계약을 체결할 때 제한적 이전에 대한 적절한 보호 조치를 제공한다고 생각합니다.

1부: 표

표 1: 당사자

시작일

SCC(EU SCC)가 첨부된 날짜

당사자

주요 담당자

익스포터: EU SCC에 따름

임포터: EU SCC에 따름

표 2: 선택된 SCC, 모듈 및 선택된 조항

부록 EU SCC

이 부록이 첨부된 승인된 EU SCC 버전

표 3: 부록 정보

"부록 정보"는 승인된 EU SCC(당사자 제외)의 부록에 명시된 대로 선택된 모듈에 대해 제공되어야 하며 이 부록에 대해 다음에 명시된 정보를 의미합니다.

부속서 IA: 당사자 목록

부속서 IB: 전송에 대한 설명

부속서 II: 기술적 및 조직적 조치

EU SCC에 따름

표 4: 승인된 부록이 변경되면 이 부록 종료

19절에 명시된 대로 이 부록을 종료할 수 있는 당사자

모두 해당 안 됨

2부: 필수 조항

2022년 2월 2일 데이터 보호법 2018의 119A에 따라 ICO에서 발행하고 의회에 제시된 템플릿 부록 B.1.0인 승인된 부록의 필수 조항(필수 조항의 18절에 따라 개정됨)

 

마지막 업데이트: 2026년 3월 31일[