Acuerdo en línea de TAAP: Acuerdo de Corresponsabilidad (incluidas las CCT)

Es posible que la versión original en inglés del presente Acuerdo se haya traducido a otros idiomas.En caso de incoherencias o discrepancias entre la versión en inglés y la versión en algún otro idioma, prevalecerá la versión en inglés.

ALCANCE: si Expedia o tú procesan datos personales como parte de un acuerdo (que podría presentarse como términos y condiciones de aceptación en línea) celebrado entre Expedia y tú (según el cual se te considera un socio de marketing en el programa TAAP, y todas las actividades relevantes al procesamiento de datos referido se denominarán "Actividades pertinentes"), este acuerdo global de corresponsabilidad (en lo sucesivo, el "Acuerdo de Corresponsabilidad") se vuelve supletorio y se aplica al acuerdo celebrado entre las partes en lo que respecta a las Actividades pertinentes (en lo sucesivo, el "Acuerdo"). Asimismo, el Acuerdo de Corresponsabilidad establece condiciones y requisitos adicionales según los cuales Expedia y tú procesarán datos personales en relación con el Acuerdo. En el presente Acuerdo de Corresponsabilidad, "Expedia", "nosotros" y cualquier mención en primera persona del plural se referirá a Expedia, Inc. o a toda empresa de Expedia Group que forme parte del Acuerdo. En cambio, "tú" y toda mención en segunda persona del singular se refiere a la entidad nombrada que se indica en la Solicitud según se describe en el Acuerdo. Finalmente, toda referencia a Expedia o a ti se interpretará en sentido plural en la medida en que lo requiera el Acuerdo.

1. DEFINICIONES E INTERPRETACIÓN

1.1 El presente Acuerdo de Corresponsabilidad está sujeto a las condiciones que se establecen en el Acuerdo y se incorpora a este. Las interpretaciones y los términos definidos que figuran en el Acuerdo se aplican a la interpretación del presente Acuerdo de Corresponsabilidad, a menos que se definan de otra manera en él.

1. a. Los términos medidas técnicas y operativas adecuadas, controlador, datos personales, filtración de datos personales, proceso o procesamiento, y autoridad supervisora (o los términos razonablemente equivalentes) tendrán los mismos significados que se les atribuye en las Leyes de protección de datos aplicables.
2. b. Las Leyes de protección de datos aplicables se refieren a toda ley y regulación en relación con el uso o procesamiento de datos personales aplicable en cualquier jurisdicción correspondiente.
3. c. Objetivo permitido significa los objetivos de (i) completar Reservaciones; (ii) brindar asistencia para Reservaciones; (iii) registrarse en TAAP y administrar la cuenta; (iv) pagar las Comisiones y otros montos relacionados con el Acuerdo; (v) generar informes para ti, así como todo procesamiento adicional requerido con fines de reconciliación, tratamiento de quejas y demás actividades similares en relación con el cumplimiento del Acuerdo; (vi) brindar asistencia con la Cuenta de TAAP; (vii) comunicarse con los Socios y subusuarios de TAAP; (viii) mejorar nuestros servicios, incluida la optimización del proceso de reservación; (ix) crear reportes para análisis, inteligencia comercial y generación de informes comerciales; (x) prevenir fraudes; (xi) responder a solicitudes de cumplimiento de la ley y auditorías de autoridades fiscales; (xii) facilitar transacciones de activos comerciales (que pueden incluir fusiones, adquisiciones o ventas de activos); (xiii) cumplir con nuestras obligaciones en virtud del Acuerdo, la política de privacidad de Expedia y las leyes aplicables, y (xiv) determinar y calcular los Impuestos de viaje y otros fines fiscales según sea requerido en su momento, así como brindar información sobre ellos.
4. d. DPF es una sigla en inglés que hace referencia a una certificación del Marco de Privacidad de Datos de la Unión Europea y EE. UU. ante el Departamento de Comercio de los Estados Unidos o cualquier mecanismo de certificación complementario o de reemplazo aprobado por la Comisión Europea (u otra autoridad nacional pertinente) cuando corresponda, e incluye toda decisión complementaria de adecuación emitida por cualquier otro país que permita la extensión del DPF entre Estados Unidos y ese tercer país (por ejemplo, con carácter enunciativo, aunque no limitativo, el Reino Unido y Suiza).
5. e. País de transferencia restringida significa cualquier país del Espacio Económico Europeo, Suiza, el Reino Unido y Brasil.
6. f. Datos de transferencia restringida hace referencia a los Datos de clientes relativos a una Reservación efectuada a través de un punto de venta al que pretendemos que accedan Clientes de un País de transferencia restringida.
7. g. Cláusulas contractuales tipo o CCT se refiere a las Cláusulas contractuales tipo aprobadas por la Comisión Europea para la transferencia de datos personales desde la Unión Europea a terceros países, publicadas el 4 de junio de 2021, en su versión modificada, sustituida, completada o reemplazada en cualquier momento, y cuya versión completa actual puede consultarse (en inglés) en el siguiente enlace: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en.
8. h. Datos personales de TAAP hace referencia a los datos personales que tú nos proporcionas a través del sitio web de TAAP, o bien a los datos procesados de alguna otra manera en relación directa con TAAP o que faciliten las Reservaciones efectuadas a través del sitio web de TAAP.

Relación entre las partes

2. 1.2 Tanto tú como nosotros recopilaremos y procesaremos datos personales para cumplir con los respectivos derechos y obligaciones de cada parte en virtud del Acuerdo, así como las respectivas responsabilidades de conformidad con las leyes aplicables. Por lo tanto, cada una de las partes (i) procesará datos personales como controladores independientes y autónomos, (ii) cumplirá con las Leyes de protección de datos aplicables, y (iii) será responsable de todos sus actos u omisiones que infrinjan las Leyes de protección de datos aplicables.

Tus responsabilidades

1.3 Debes hacer lo siguiente: 

2. a. Proporcionar una base jurídica para poner a nuestra disposición los Datos personales de TAAP a fin de procesarlos para los Objetivos permitidos.
3. b. Asegurarte de que los Clientes tengan conocimiento, a través de tu aviso de privacidad y cualquier otro medio apropiado, de que sus datos personales serán compartidos con nosotros para los Objetivos permitidos.
4. c. Dirigir a los Clientes a nuestro aviso de privacidad para que obtengan más información sobre nuestro manejo de sus datos personales.
5. d. Colaborar con nosotros y ayudarnos a cumplir con las Leyes de protección de datos aplicables durante el procesamiento de los Datos personales de TAAP en relación con el Acuerdo.

Nuestras responsabilidades

1.4 Nosotros (y los Socios de nuestro grupo, cuando corresponda), tendremos las siguientes responsabilidades: 

2. a. Procesar los Datos personales de TAAP únicamente en relación con un Objetivo permitido.
3. b. No divulgar, ni total ni parcialmente, los Datos personales de TAAP a ninguna persona, salvo en relación con un Objetivo permitido.
4. c. Colaborar contigo y ayudarte a cumplir con las Leyes de protección de datos aplicables durante el procesamiento de los Datos personales de TAAP en relación con el Acuerdo.
5. d. Mostrar nuestro aviso sobre cookies legal actualizado (si fuera necesario) y nuestro aviso de privacidad en el Sitio web de TAAP, y cumplir con ellos.

Clientes y terceros

1.5 Reconoces que nosotros podemos hacer lo siguiente:

2. a. Enviar correos electrónicos a los Clientes relacionados con las Reservaciones.
3. b. Transferir Datos personales de TAAP (incluidos datos bancarios) a nuestros prestadores de servicios externos para los siguientes fines:
   2. i. Administrar, gestionar y proporcionar respaldo con la Cuenta de TAAP, y la de los representantes y subusuarios.
   3. ii. Brindar asistencia con las Reservaciones.
   4. iii. Pagar Comisiones y otros montos en virtud del Acuerdo.

Seguridad de los datos

1.6 Ambas partes, en calidad de controladores, deben hacer lo siguiente:

2. a. Implementar medidas técnicas y organizativas adecuadas para proteger los datos personales que procesen contra una filtración de datos personales.
3. b. En el caso de una filtración de datos personales confirmada en los sistemas de la parte en cuestión o controlados por esta, notificar de inmediato a la otra parte si esta filtración (i) afecta los Datos personales de TAAP que también son procesados por la otra parte en virtud de este Acuerdo y (ii) debe informarse a una autoridad supervisora, proporcionando todos los detalles correspondientes. En ese caso, ambas partes deberán colaborar de manera razonable y de buena fe para remediar o mitigar los efectos de la filtración de datos personales. Los costos razonables de dicha colaboración estarán a cargo de la parte que sufrió la filtración de datos personales.

Transferencias transfronterizas 

1.7 Marco de Privacidad de Datos (DPF): tú y nosotros aceptamos que, con respecto a las transferencias de Datos de transferencia restringida entre tú y nosotros a los Estados Unidos o a un país que no se haya considerado "adecuado" según las Leyes de protección de datos aplicables del País de transferencia restringida de origen (a) siempre y cuando el DPF sea un método de transferencia reconocido por una autoridad pertinente, el DPF será el mecanismo acordado para las transferencias transfronterizas de datos que se originen en un País de transferencia restringida hacia nosotros en Estados Unidos, y (b) siempre y cuando el DPF no sea un método válido de transferencia (incluidas las transferencias de Datos de transferencia restringida a un país que no se haya considerado "adecuado" según las Leyes de protección de datos aplicables del País de transferencia restringida de origen), las CCT se aplicarán a dichas transferencias y tú y nosotros las celebraremos según lo establecido en la Cláusula 1.11 más adelante. Si también tienes una certificación vigente del DPF, las transferencias de Datos de transferencia restringida a ti se pueden realizar de manera similar en virtud del DPF con CCT como un mecanismo alternativo según lo establecido anteriormente.

1.8 Obligaciones derivativas del DPF: aceptas proporcionar al menos el mismo nivel de protección que se requiere en el DPF a los Datos de transferencia restringida, así como notificarnos de inmediato si determinas que ya no puedes proporcionar este nivel de protección. En tal caso, o si creemos de manera razonable que no estás protegiendo los Datos de transferencia restringida en la medida que exige el DPF, podemos (a) indicarte que tomes medidas razonables y apropiadas para detener y subsanar todo procesamiento no autorizado, en cuyo caso colaborarás con nosotros de buena fe para identificar, establecer e implementar tales pasos; (b) acordar una garantía alternativa que se pueda aplicar al procesamiento en virtud de las Leyes de protección de datos aplicables; o (c) rescindir sin penalización el presente Acuerdo de Corresponsabilidad y el Acuerdo (o, a nuestra elección, cualquier parte de este que se vea afectada) previa notificación. Si también tienes una certificación vigente del DPF, se considerará que las disposiciones antes mencionadas y las de la Cláusula 1.9 a continuación se aplicarán como si las obligaciones fueran en ambos sentidos.

1.9 Obligaciones de divulgación en virtud del DPF: reconoces que podemos divulgar el presente Acuerdo de Corresponsabilidad y toda disposición de privacidad pertinente en el Acuerdo al Departamento de Comercio de Estados Unidos, la Comisión Federal de Comercio, cualquier autoridad europea de protección de datos o cualquier otro organismo judicial o normativo estadounidense cuando estos lo soliciten, y aceptas que dicha divulgación no se considerará una violación de la confidencialidad.

1.10 Extensión de las CCT a países de transferencia sin restricciones: en relación con las transferencias de Datos personales de TAAP entre tú y nosotros que se originen en un país distinto a los Países de transferencia restringida, y que esté sujeto a salvaguardas que, de acuerdo con las Leyes de protección de datos aplicables, deban aplicarse antes de que se pueda realizar una transferencia de tales Datos personales de TAAP fuera del país de origen (cada uno de ellos un "País de transferencia sin restricciones"), tú y nosotros aceptamos que (a) las CCT establecidas en la Cláusula 1.11 a continuación se considerarán extensiones de las transferencias adicionales en la medida en que satisfagan las garantías de ese país en particular, o (b) cuando las medidas establecidas en la Cláusula 1.11 sean insuficientes o requieran medidas complementarias, las partes acuerdan tomar tales medidas adicionales, que incluyen, por ejemplo, la suscripción de los documentos pertinentes, la obtención del consentimiento y la presentación de documentos requeridos, según se solicite en su momento para cumplir con las Leyes de protección de datos aplicables.

1.11 Sujeto a la Cláusula 1.7 del presente Acuerdo, tú y nosotros aceptamos celebrar las CCT sin cambios, excepto por las siguientes selecciones:

2. a. Si te encuentras en un País de transferencia restringida o en un país que se considere "adecuado" de conformidad con el artículo 45 del RGPD, solo el Módulo uno (1) de las CCT se aplicará en un solo sentido con respecto a las transferencias que tú hagas a Expedia. De lo contrario, las CCT del Módulo uno se aplicarán en ambos sentidos para cubrir las transferencias tanto de nosotros a ti como de ti a nosotros.
3. b. A los efectos de la Cláusula 11(a) de las CCT, se elimina el lenguaje opcional.
4. c. A los efectos de la Cláusula 13 de las CCT, el párrafo pertinente es, traducido al español, "la autoridad de supervisión del Estado miembro en el que se establezca el representante según se establece en el Artículo 27(1) del Reglamento (UE) 2016/679, tal como se indica en el Anexo I.C, actuará como autoridad supervisora competente".
5. d. A los efectos de la Cláusula 17 de las CCT, la legislación aplicable es la de Irlanda.
6. e. A los efectos de la Cláusula 18(b) de las CCT, la selección corresponde a Irlanda.
7. f. Se agrega una nueva Cláusula 19 a las CCT para cubrir las transferencias de datos personales desde el Reino Unido hacia fuera este país de la siguiente manera:

"Cláusula 19

RGPD y DPA (2018) del Reino Unido

Las Partes acuerdan que estas Cláusulas se extenderán y aplicarán, en la medida en que sea pertinente para la transferencia en cuestión, a fin de cubrir las transferencias transfronterizas que se encuentren dentro del alcance del RGPD y la Ley de Protección de Datos (DPA, por su sigla en inglés) de 2018 del Reino Unido (en lo sucesivo, "transferencias del Reino Unido"). A los efectos de dichas transferencias del Reino Unido, se aplicarán las disposiciones de la versión B1.0 del Apéndice de transferencia internacional de datos para las Cláusulas contractuales tipo (en su versión modificada, sustituida, complementada o reemplazada en cualquier momento) tal como se establece en el formulario adjunto como Apéndice".

2. h. Se agrega una nueva Cláusula 20 a las CCT para cubrir las transferencias de datos personales desde Suiza hacia fuera este país de la siguiente manera:

"Cláusula 20

Suiza: FADP

Las Partes acuerdan que estas Cláusulas se extenderán y aplicarán, en la medida en que sea pertinente para la transferencia en cuestión, a fin de cubrir las transferencias transfronterizas que se encuentren dentro del alcance de la Ley Federal de Protección de Datos (FADP, por su sigla en inglés) de Suiza (en lo sucesivo, "transferencias suizas"). A los efectos de estas transferencias suizas, se considerará que la legislación aplicable y la elección del foro son aquellos del estado miembro seleccionado, y el Comisionado Federal de Información y Protección de Datos (FDPIC, por su sigla en inglés) será la autoridad supervisora competente. Las Partes también acuerdan que tales cambios adicionales se interpretarán como realizados en las Cláusulas con respecto a las transferencias suizas según lo considere necesario el FDPIC para cumplir con el RGPD y la FADP del Reino Unido; las Cláusulas se interpretarán de acuerdo con los requisitos para las transferencias suizas que surjan en virtud de esas leyes o según lo establecido en las pautas emitidas por la FDPIC, sin que las Partes tengan que celebrar cláusulas contractuales tipo separadas que se hayan preparado específicamente para las transferencias suizas. Las Partes realizarán además todos los actos necesarios para garantizar el cumplimiento con la FADP cuando realicen transferencias suizas".

2. i. Se agrega una nueva Cláusula 21 a las CCT para cubrir las transferencias de datos personales desde Brasil hacia fuera este país de la siguiente manera:

"Cláusula 21

Brasil: LGPD

Las Partes acuerdan que estas Cláusulas se extenderán y aplicarán, en la medida en que sea pertinente para la transferencia en cuestión, a fin de cubrir las transferencias transfronterizas que se encuentren dentro del alcance de la Ley General de Protección de Datos 13.709/18 (Lei Geral de Proteção de Dados, LGPD) de Brasil (en lo sucesivo, "transferencias brasileñas"). A los efectos de dichas transferencias brasileñas, se considerará que la legislación aplicable y la elección del foro son aquellos del estado miembro seleccionado, y la Autoridad Nacional de Protección de Datos (ANPD) de Brasil será la autoridad supervisora competente. Las Partes también acuerdan que tales cambios adicionales se interpretarán como realizados en las Cláusulas con respecto a las transferencias brasileñas según lo considere necesario la ANPD para cumplir con la LGPD; las Cláusulas se interpretarán de conformidad con los requisitos para las transferencias brasileñas que surjan en virtud de esas leyes o según lo establecido en las pautas emitidas por la ANPD u otra autoridad brasileña pertinente, sin que las Partes tengan que celebrar cláusulas contractuales tipo separadas que se hayan preparado específicamente para las transferencias brasileñas. Las Partes realizarán además todos los actos necesarios para garantizar el cumplimiento con la LGPD cuando hagan transferencias brasileñas".

2. j. Se agrega una nueva Cláusula 22 a las CCT para cubrir las transferencias de datos personales desde cualquier otro país no especificado hasta ahora donde las CCT puedan extenderse a fin de asegurar las garantías adecuadas para tales transferencias originadas en ese país a una parte ubicada fuera de este, como se indica a continuación:

"Cláusula 22

Otras transferencias a terceros países

Las Partes acuerdan que estas Cláusulas se extenderán y aplicarán, en la medida pertinente a la transferencia en cuestión, para cubrir las transferencias transfronterizas que se incluyan en el alcance de cualquier otra ley o regulación aplicable en toda jurisdicción correspondiente en relación con el uso o procesamiento de datos personales (Leyes de protección de datos aplicables) que requieran condiciones y protecciones ampliamente equivalentes a estas Cláusulas a fin de transferir datos personales del país en cuestión a otro (referida en esta Cláusula como una " Transferencia a un tercer país"). A los efectos de dichas transferencias a terceros países, se considerará que la legislación aplicable y la elección del foro son aquellos del estado miembro seleccionado, y la autoridad u organismo normativo de protección de datos de tal país será la autoridad supervisora competente. Las Partes también convienen en que tales cambios adicionales se interpretarán como realizados en las Cláusulas con respecto a las transferencias de terceros países según lo considere necesario la autoridad supervisora correspondiente para cumplir con las Leyes de protección de datos aplicables de dicho país; las Cláusulas se interpretarán de acuerdo con los requisitos para las transferencias de terceros países que surjan en virtud de esas leyes o según lo establecido en las pautas emitidas por la autoridad supervisora pertinente, sin que las Partes tengan que celebrar cláusulas contractuales tipo separadas que se hayan preparado específicamente para sus transferencias a terceros países. Las Partes realizarán además todos los actos y necesarios para garantizar el cumplimiento con las Leyes de protección de datos aplicables cuando realicen transferencias a terceros países".

1.12 El Anexo 1 (Aspectos generales del procesamiento de las CCT) de este Acuerdo de Corresponsabilidad constituye el Anexo 1 de las CCT. El Anexo 2 (Medidas técnicas y organizativas) del presente Acuerdo de Corresponsabilidad constituye el Anexo 2 de las CCT y se aplica solo a Expedia cuando tú hayas proporcionado, y nosotros hayamos aceptado, las medidas técnicas y organizativas adecuadas para satisfacer tus requisitos del Anexo 2 de las CCT o, si este no fuera el caso, se interpretará que el Anexo 2 se aplica a ambas partes, y todas las referencias a Expedia y Expedia Group se interpretarán como referencias a cualquiera de las partes según corresponda. El Apéndice a este Acuerdo de Corresponsabilidad constituye el Apéndice del Reino Unido para los propósitos de las CCT.

ANNEX I – SCCs PROCESSING OVERVIEW

ANEXO I: ASPECTOS GENERALES DEL PROCESAMIENTO DE LAS CCT MÓDULO UNO: de controlador a controlador (de ti a nosotros)

A. LISTA DE PARTES

Exportador(es) de datos:

Importador(es) de datos: 

B. DESCRIPCIÓN DE LA TRANSFERENCIA

C. AUTORIDAD SUPERVISORA COMPETENTE

Identifica a las autoridades de control competentes de conformidad con la Cláusula 13 de las CCT.

Autoridad irlandesa de protección de datos

MÓDULO UNO: de controlador a controlador (de nosotros a ti)

A. LISTA DE PARTES

Exportador(es) de datos: 

Las partes identificadas como Importadores de datos en el Módulo uno (1) (de ti a nosotros) antes mencionado. Consulta más arriba para obtener más información.

Importador(es) de datos:

Las Partes identificadas como Exportadores de datos en el Módulo uno (1) (de ti a nosotros) antes mencionado. Consulta más arriba para obtener más información.

B. DESCRIPCIÓN DE LA TRANSFERENCIA

C. AUTORIDAD SUPERVISORA COMPETENTE

De conformidad con el Módulo uno (1)

ANEXO II: MEDIDAS TÉCNICAS Y ORGANIZATIVAS 

A continuación, se detallan las medidas técnicas y organizativas aplicables a los propósitos del Módulo uno (1).

Transferencia internacional de datos para las Cláusulas contractuales tipo de la Comisión Europea (Apéndice)

Este Apéndice fue emitido por el Comisario de Información para las Partes que realizan Transferencias restringidas. El Comisario de Información considera que proporciona Garantías adecuadas para las Transferencias restringidas cuando se suscriben como un contrato legalmente vinculante.

Parte 1 Tablas

Parte 3: cláusulas obligatorias

Cláusulas obligatorias del Apéndice aprobado, es decir, el modelo de Apéndice B.1.0 emitido por la ICO y presentado ante el Parlamento de conformidad con el artículo 119A de la Ley de Protección de Datos de 2018 el 2 de febrero de 2022, según la revisión en el Apartado 18 de dichas Cláusulas obligatorias.

ข้อตกลงออนไลน์ของ TAAP – ข้อตกลงระหว่างผู้ควบคุมกับผู้ควบคุม (รวมถึง SCC)

ต้นฉบับภาษาอังกฤษของข้อตกลง C2C ฉบับนี้อาจได้รับการแปลเป็นภาษาต่างๆในกรณีที่ข้อตกลงฉบับภาษาอังกฤษและฉบับภาษาอื่นใดขัดกันหรือไม่สอดคล้องกัน ข้อตกลงฉบับภาษาอังกฤษจะมีผลใช้บังคับเหนือกว่า

ขอบเขต: ในกรณีที่เอ็กซ์พีเดียและคุณดำเนินการประมวลผลข้อมูลส่วนบุคคลโดยเป็นส่วนหนึ่งของข้อตกลง (ซึ่งอาจอยู่ในรูปเงื่อนไขที่ให้ยอมรับด้วยการคลิกทางออนไลน์) ที่ทำร่วมกับอีกฝ่ายหนึ่ง (ตามที่คุณได้รับการแต่งตั้งให้เป็นพาร์ทเนอร์ทางการตลาดภายใต้ TAAP และกิจกรรมที่เกี่ยวข้องทั้งหมดที่เชื่อมโยงกับกิจกรรมดังกล่าว ซึ่งในที่นี้เรียกว่า " กิจกรรมที่เกี่ยวข้อง ") ในกรณีนี้ข้อตกลงระหว่างผู้ควบคุมทั่วโลกกับผู้ควบคุม (" ข้อตกลง C2C ") จะเป็นข้อตกลงเสริมและนำไปใช้กับข้อตกลงที่ทำขึ้นระหว่างคู่สัญญาที่เกี่ยวข้องกับกิจกรรมที่เกี่ยวข้อง (" ข้อตกลงหลัก") พร้อมกำหนดข้อกำหนดและเงื่อนไขเพิ่มเติมที่มีผลกับเอ็กซ์พีเดียและคุณในการประมวลผลข้อมูลส่วนบุคคลที่เกี่ยวข้องกับข้อตกลงหลักทั้งนี้ ในข้อตกลง C2C ฉบับนี้ คำว่า " เอ็กซ์พีเดีย ", " เรา" และ " ของเรา" หมายถึง Expedia, Inc. และ/หรือบริษัทในเครือ Expedia Group อื่นใดที่เป็นคู่สัญญาของข้อตกลงหลัก คำว่า "คุณ" หมายถึงนิติบุคคลที่มีชื่อซึ่งระบุไว้ในแอปพลิเคชันตามที่อธิบายไว้ในข้อตกลงหลัก (และการอ้างอิงทั้งหมดถึงเอ็กซ์พีเดียหรือคุณจะถูกตีความเป็นคำพหูพจน์ตามขอบเขตที่กำหนดโดยข้อตกลงหลัก)

1. คำจำกัดความและการแปลความหมาย

1.1 ข้อตกลง C2C ฉบับนี้อยู่ภายใต้ข้อกำหนดของข้อตกลงหลักและรวมอยู่ในข้อตกลงหลักการตีความและคำศัพท์ที่กำหนดไว้ในข้อตกลงหลักจะมีผลใช้กับการตีความข้อตกลง C2C ฉบับนี้ เว้นแต่จะกำหนดไว้เป็นอย่างอื่นในข้อตกลง C2C ฉบับนี้ คำศัพท์อื่นๆ รวมถึง

1. a. มาตรการทางเทคนิคและทางองค์กรที่เหมาะสมผู้ควบคุมข้อมูลส่วนบุคคลการละเมิดข้อมูลส่วนบุคคลประมวลผล/การประมวลผล และหน่วยงานกำกับดูแล (หรือคำศัพท์เทียบเท่าตามสมควรแก่เหตุผล) จะต้องมีความหมายที่ให้ไว้ในกฎหมายคุ้มครองข้อมูลที่ใช้บังคับ
2. b. กฎหมายคุ้มครองข้อมูลที่บังคับใช้ หมายถึง กฎหมายและระเบียบข้อบังคับใดๆ ที่บังคับใช้ในเขตอำนาจศาลที่เกี่ยวข้องใดๆ ที่เกี่ยวข้องกับการใช้หรือการประมวลผลข้อมูลส่วนบุคค
3. c. วัตถุประสงค์ที่อนุญาต หมายถึง วัตถุประสงค์ของ (1) การตอบสนองการจอง (2) การให้การสนับสนุนสำหรับการจอง (3) การจดทะเบียน TAAP และการดูแลบัญชี (4) การจ่ายค่าคอมมิชชั่นและจำนวนเงินอื่นๆ ตามข้อตกลงหลัก (5) การจัดทำรายงานให้แก่คุณและการประมวลผลเพิ่มเติมที่จำเป็นสำหรับการกระทบยอด (6) การสนับสนุนบัญชี TAAP (7) การสื่อสารต่อสมาชิก TAAP (8) การปรับปรุงบริการของเรา รวมทั้งการปรับแต่งประสบการณ์การจอง (9) การจัดทำรายงานสำหรับการวิเคราะห์ ข่าวกรองทางธุรกิจ และการรายงานทางธุรกิจ (10) การป้องกันการฉ้อโกง (11) การตอบสนองต่อคำขอในการบังคับใช้กฎหมายและคำขอตรวจสอบโดยหน่วยงานจัดเก็บภาษี (12) การอำนวยความสะดวกให้แก่ธุรกรรมเกี่ยวกับสินทรัพย์ทางธุรกิจ (ซึ่งอาจขยายไปถึงการควบรวมกิจการ การครอบครองกิจการ หรือการขายสินทรัพย์) (13) การปฏิบัติตามภาระหน้าที่อื่นๆ ของเราภายใต้ข้อตกลงหลัก นโยบายความเป็นส่วนตัวของเอ็กซ์พีเดีย และกฎหมายที่มีผลใช้บังคับ และ (14) การระบุ การคำนวณ และการรายงานภาษีการเดินทางและการคิดภาษีอื่นๆ ที่เกี่ยวข้องตามที่จำเป็นเป็นครั้งคราว
4. d. DPF หมายถึง การรับรองกรอบโครงสร้างความเป็นส่วนตัวของข้อมูล (Data Privacy Framework) ระหว่างสหภาพยุโรปและสหรัฐอเมริกากับกระทรวงพาณิชย์ของสหรัฐอเมริกา หรือกลไกการรับรองทดแทนหรือเสริมใดๆ ที่ได้รับการอนุมัติจากคณะกรรมาธิการยุโรป (หรือหน่วยงานระดับชาติที่เกี่ยวข้องอื่นๆ) เป็นครั้งคราว และรวมถึงการตัดสินใจเพิ่มเติมเกี่ยวกับความเพียงพอที่ออกโดยประเทศอื่นใดที่อนุญาตให้มีการขยายระยะเวลาของ DPF ระหว่างสหรัฐอเมริกาและประเทศที่สามนั้น (ตัวอย่างรวมถึงโดยไม่จำกัดเพียง เช่น สหราชอาณาจักรและสวิตเซอร์แลนด์)
5. e. ประเทศที่จำกัดการโอน หมายถึง ประเทศใดๆ ในเขตเศรษฐกิจยุโรป สวิตเซอร์แลนด์ สหราชอาณาจักร และบราซิล
6. f. ข้อมูลการโอนที่จำกัด หมายถึง ข้อมูลลูกค้าที่เกี่ยวข้องกับการจองที่ทำผ่านจุดขายที่เรากำหนดให้ลูกค้าในประเทศที่จำกัดการโอนเข้าใช้
7. g. ข้อสัญญามาตรฐาน (Standard Contractual Clause)/ SCC หมายถึง ข้อสัญญามาตรฐานของคณะกรรมาธิการยุโรปที่ได้รับอนุมัติสำหรับการถ่ายโอนข้อมูลส่วนบุคคลจากสหภาพยุโรปไปยังประเทศที่สาม ซึ่งออกเมื่อวันที่ 4 มิถุนายน 2021 ตามที่แก้ไข เปลี่ยน เสริม หรือแทนที่เป็นครั้งคราว โดยสามารถดูข้อสัญญาฉบับเต็มได้ที่ลิงก์นี้: : https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en och
8. h. ข้อมูลส่วนบุคคลของ TAAP หมายถึง ข้อมูลส่วนบุคคลที่คุณแจ้งไว้แก่เราผ่านทางเว็บไซต์ TAAP หรือวิธีอื่นโดยเชื่อมโยงกับ TAAP เอง หรือการอำนวยความสะดวกให้กับการจองที่ทำขึ้นโดยใช้เว็บไซต์ TAAP

ความสัมพันธ์ของคู่สัญญาต่างๆ 

1. 1.2 คุณและเราแต่ละฝ่ายจะเก็บรวบรวมและประมวลผลข้อมูลส่วนบุคคล เพื่อตอบสนองสิทธิและภาระหน้าที่ที่เกี่ยวข้องภายใต้ข้อตกลงหลัก ตลอดจนความรับผิดชอบที่เกี่ยวข้องของคุณและของเราภายใต้กฎหมายที่มีผลใช้บังคับด้วยเหตุดังกล่าว คู่สัญญาต่างๆ แต่ละฝ่ายจะต้อง: (1) ประมวลผลข้อมูลส่วนบุคคลโดยเป็นผู้ควบคุมอิสระและทำงานด้วยตนเอง (2) ปฏิบัติตามกฎหมายคุ้มครองข้อมูลที่ใช้บังคับ และ (3) รับผิดชอบสำหรับการกระทำการหรือการละเว้นการกระทำการโดยละเมิดต่อกฎหมายคุ้มครองข้อมูลที่ใช้บังคับ

ความรับผิดชอบของคุณ

1.3 คุณต้อง: 

1. a. ดำเนินการตามพื้นฐานทางกฎหมาย เพื่อทำให้เรามีข้อมูลส่วนบุคคลของ TAAP ที่จะประมวลผลเพื่อวัตถุประสงค์ที่อนุญาต
2. b. ดูแลให้แน่ใจว่าลูกค้าได้รับแจ้งให้ทราบผ่านทางนโยบายความเป็นส่วนตัวของคุณและวิธีการที่เหมาะสมอื่นใด ว่าข้อมูลส่วนบุคคลของพวกเขาจะถูกใช้ร่วมกับเราเพื่อวัตถุประสงค์ที่อนุญาต
3. c. นำลูกค้าไปยังนโยบายความเป็นส่วนตัวของเรา เพื่อดูข้อมูลเพิ่มเติมเกี่ยวกับวิธีการที่เราจัดการข้อมูลส่วนบุคคลของพวกเขา และ
4. d. ร่วมมือและให้ความช่วยเหลือตามสมควรแก่เหตุผลแก่เรา เพื่อช่วยเราในการปฏิบัติตามกฎหมายการคุ้มครองข้อมูลที่ใช้บังคับระหว่างการประมวลผลข้อมูลส่วนบุคคลของ TAAP โดยเชื่อมโยงกับข้อตกลงหลัก

ความรับผิดชอบของเรา

1.4 เรา (และสมาชิกหมู่คณะของเรา ในกรณีที่เกี่ยวข้อง) จะ: 

1. a. ประมวลผลข้อมูลส่วนบุคคลของ TAAP ที่เกี่ยวข้องกับวัตถุประสงค์ที่อนุญาตเท่านั้น
2. b. ไม่เปิดเผยข้อมูลส่วนบุคคลของ TAAP ทั้งหมดหรือส่วนใดๆ ก็ตามต่อบุคคลใดก็ตาม ยกเว้นที่เกี่ยวข้องกับวัตถุประสงค์ที่อนุญาต
3. c. ร่วมมือและให้ความช่วยเหลือตามสมควรแก่เหตุผลแก่คุณ เพื่อช่วยคุณในการปฏิบัติตามกฎหมายการคุ้มครองข้อมูลที่ใช้บังคับระหว่างการประมวลผลข้อมูลส่วนบุคคลของ TAAP โดยเชื่อมโยงกับข้อตกลงหลัก และ
4. d. แสดงและปฏิบัติตามประกาศคุกกี้โดยชอบด้วยกฎหมายและล่าสุดของเรา (ถ้าจำเป็น) และนโยบายความเป็นส่วนตัวของเราบนเว็บไซต์ TAAP

ลูกค้าและบุคคลที่สาม

1.5 คุณรับทราบว่าเรา:

1. a. อาจส่งอีเมลเกี่ยวกับการจองไปหาลูกค้า
2. b. อาจโอนย้ายข้อมูลส่วนบุคคลของ TAAP (รวมทั้งข้อมูลการธนาคาร) ไปยังผู้ให้บริการที่เป็นบุคคลภายนอกของเรา เพื่อวัตถุประสงค์ดังต่อไปนี้:
   1. i. =การดูแลรักษา จัดการ และสนับสนุนบัญชี TAAP ของคุณ ของตัวแทน และของผู้ใช้ย่อย
   2. ii. การให้การสนับสนุนสำหรับการจอง และ
   3. iii. การจ่ายค่าคอมมิชชั่นและจำนวนเงินอื่นๆ ตามข้อตกลงหลัก

การรักษาความปลอดภัยข้อมูล

1.6 คู่สัญญาทั้งสองฝ่ายในการปฏิบัติหน้าที่ผู้ควบคุม จะ:

1. a. ดูแลรักษามาตรการทางเทคนิคและองค์กรที่เหมาะสม เพื่อคุ้มครองข้อมูลส่วนบุคคลที่คู่สัญญาแต่ละฝ่ายประมวลผลให้พ้นจากการละเมิดข้อมูลส่วนบุคคล และ
2. b. ในกรณีของการละเมิดข้อมูลส่วนบุคคลที่ยืนยันแล้วภายในระบบ ซึ่งอยู่ภายใต้การครอบครองหรือการควบคุมของคู่สัญญาดังกล่าว ให้แจ้งคู่สัญญาอีกฝ่ายโดยเร็ว หากการละเมิดข้อมูลส่วนบุคคลนั้น (1) ส่งผลกระทบข้อมูลส่วนบุคคลของ TAAP ที่ประมวลผลโดยคู่สัญญาอีกฝ่ายเช่นกันภายใต้ข้อตกลงหลัก และ (2) รายงานได้ต่อหน่วยงานกำกับดูแล โดยแสดงรายละเอียดโดยครบถ้วนของเหตุดังกล่าวในกรณีดังกล่าว คู่สัญญาทั้งสองฝ่ายจะร่วมมือตามสมควรแก่เหตุผลและโดยสุจริต เพื่อเยียวยาหรือบรรเทาผลกระทบของการละเมิดข้อมูลส่วนบุคคล และต้นทุนที่สมเหตุสมผลของความร่วมมือดังกล่าวจะตกเป็นภาระของคู่สัญญาที่เสียหายจากการละเมิดข้อมูลส่วนบุคคล

โอนเงินข้ามพรมแดน

1.7 กรอบโครงสร้างความปลอดภัยของข้อมูล (DPF): : คุณและเราตกลงว่าในส่วนที่เกี่ยวกับการถ่ายโอนข้อมูลการโอนที่จำกัดระหว่างคุณและเราไปยังสหรัฐอเมริกาหรือไปยังประเทศที่ไม่ถือว่ามีความรัดกุม "เพียงพอ" ภายใต้กฎหมายคุ้มครองข้อมูลที่ใช้บังคับของประเทศต้นทางที่เป็นประเทศที่จำกัดการโอน (ก) ในกรณีที่ DPF เป็นวิธีการถ่ายโอนที่ได้รับการยอมรับโดยหน่วยงานที่เกี่ยวข้อง DPF จะเป็นกลไกที่ตกลงร่วมกันสำหรับการถ่ายโอนข้อมูลข้ามพรมแดนที่มาจากประเทศที่จำกัดการโอนมายังเราในสหรัฐอเมริกา และ (ข) ในกรณีที่ DPF ไม่ใช่วิธีการถ่ายโอนที่ถูกต้อง (รวมถึงการถ่ายโอนข้อมูลการโอนที่จำกัดไปยังประเทศที่ไม่ถือว่ามีความรัดกุม "เพียงพอ" ภายใต้กฎหมายคุ้มครองข้อมูลที่บังคับใช้ ของประเทศต้นทางที่เป็นประเทศที่จำกัดการโอน) SCC จะนำไปใช้กับการโอนดังกล่าว และเราจะเข้าทำ SCC ตามเกณฑ์ที่กำหนดไว้ในข้อ 1.11 ด้านล่างในกรณีที่คุณมีใบรับรอง DPF ในปัจจุบัน การถ่ายโอนข้อมูลการโอนที่จำกัดให้แก่

1.8 ภาระผูกพันที่ตามมาจาก DPF : คุณตกลงว่าคุณจะให้การป้องกันอย่างน้อยในระดับเดียวกันสำหรับข้อมูลการโอนที่จำกัดตามที่กำหนดภายใต้ DPF และคุณจะต้องแจ้งให้เราทราบทันทีหากคุณตัดสินใจว่าคุณไม่สามารถให้ความคุ้มครองในระดับนี้ได้อีกต่อไปในกรณีดังกล่าว หรือหากเรามีเหตุผลให้เชื่อว่าคุณไม่ได้ปกป้องข้อมูลการโอนที่จำกัดตามมาตรฐานที่กำหนดภายใต้ DPF เราอาจ: (ก) สั่งให้คุณดำเนินการตามสมควรและเหมาะสมเพื่อหยุดและแก้ไขการประมวลผลที่ไม่ได้รับอนุญาตใดๆ ซึ่งในกรณีนี้คุณจะร่วมมือกับเราโดยสุจริตทันทีเพื่อระบุ ยอมรับ และดำเนินการตามขั้นตอนดังกล่าว (ข) ยอมรับการป้องกันสำรองที่อาจนำไปใช้กับการประมวลผลภายใต้กฎหมายคุ้มครองข้อมูลที่ใช้บังคับ หรือ (ค) ยุติข้อตกลง C2C นี้และข้อตกลงหลัก (หรือส่วนของข้อตกลงที่ได้รับผลกระทบใดๆ ตามที่เราเลือก) โดยไม่มีบทลงโทษพร้อมกับแจ้งให้คุณทราบหากคุณมีใบรับรอง DPF ในปัจจุบันด้วย ให้ถือว่าข้อกำหนดข้างต้นและข้อกำหนดในข้อ 1.9 ด้านล่างมีผลใช้บังคับเสมือนภาระผูกพันเป็นแบบสองทาง

1.9 ภาระหน้าที่ในการเปิดเผยข้อมูลของ DPF : คุณรับทราบว่าเราอาจเปิดเผยข้อตกลง C2C นี้และข้อกำหนดความเป็นส่วนตัวที่เกี่ยวข้องในข้อตกลงหลักต่อกระทรวงพาณิชย์ของสหรัฐอเมริกา คณะกรรมาธิการการค้าของรัฐบาลกลาง (Federal Trade Commission) หน่วยงานคุ้มครองข้อมูลของยุโรป หรือหน่วยงานตุลาการหรือหน่วยงานกำกับดูแลอื่นๆ ของสหรัฐอเมริกาหรือสหภาพยุโรป เมื่อหน่วยงานเหล่านี้ส่งคำขอ และการเปิดเผยดังกล่าวจะไม่ถือว่าเป็นการละเมิดการรักษาความลับ

1.10 การขยาย SCC ไปยังประเทศที่ไม่ใช่ประเทศที่จำกัดการโอน : สำหรับการถ่ายโอนข้อมูลส่วนบุคคลของ TAAP ระหว่างคุณกับเราที่มาจากประเทศที่ไม่ใช่ประเทศที่จำกัดการโอน แต่กฎหมายคุ้มครองข้อมูลที่บังคับใช้กำหนดให้ต้องมีการใช้การป้องกันก่อนจึงจะสามารถทำการถ่ายโอนข้อมูลส่วนบุคคลของ TAAP นั้นออกนอกประเทศต้นทางได้ (แต่ละประเทศไม่ได้เป็น ประเทศที่จำกัดการโอน) ในกรณีนี้ คุณและเราตกลงว่า (ก) SCC ที่กำหนดไว้ในข้อ 1.11 ด้านล่างจะถือว่าขยายผลให้รวมการถ่ายโอนเพิ่มเติมดังกล่าวในขอบเขตที่การขยายผลดังกล่าวจะเป็นไปตามมาตรการป้องกันของประเทศนั้นๆ และ/หรือ (ข) เมื่อมาตรการที่กำหนดไว้ในข้อ 1.11 ไม่เพียงพอหรือจำเป็นต้องมีมาตรการเสริม คู่สัญญาทั้งสองฝ่ายตกลงที่จะใช้มาตรการเพิ่มเติมดังกล่าว ซึ่งรวมถึง เช่น การดำเนินการตามเอกสารที่เกี่ยวข้อง การรวบรวมความยินยอม การยื่นเอกสารที่จำเป็นที่อาจจำเป็นต้องยื่นเป็นครั้งคราวเพื่อให้เป็นไปตามกฎหมายคุ้มครองข้อมูลที่บังคับใช้

1.11 ตามข้อ 1.7 ข้างต้น คุณและเราตกลงที่จะเข้าทำ SCC โดยไม่เปลี่ยนแปลงข้อสัญญา ยกเว้นบางส่วนต่อไปนี้:

1. a. ในกรณีที่คุณอยู่ในประเทศที่จำกัดการโอนหรือในประเทศที่ถือว่ามีความรัดกุม “เพียงพอ” ตามมาตรา 45 ของ GDPR จะใช้โมดูลที่หนึ่ง (1) ของ SCC ในแบบทางเดียวเท่านั้นในส่วนที่เกี่ยวข้องกับการโอนข้อมูลจากคุณไปยังเอ็กซ์พีเดียหากไม่ใช่กรณีนี้ จะใช้โมดูลที่หนึ่งของ SCC ในแบบสองทางเพื่อให้ครอบคลุมทั้งการโอนจากเราถึงคุณ และจากคุณถึงเรา
2. b. ในข้อ 11(a) ของ SCC จะลบข้อสัญญาทางเลือกที่เป็นเสริม
3. c. ในข้อ 13 ของ SCC วรรคที่เกี่ยวข้องคือ “The supervisory authority of the Member State in which the representative within the meaning of Article 27(1) of Regulation (EU) 2016/679 is established, as indicated in Annex I.C, shall act as competent supervisory authority.” (หน่วยงานกำกับดูแลของรัฐสมาชิกซึ่งมีการจัดตั้งตัวแทนตามความหมายของมาตรา 27(1) ของระเบียบ (EU) ที่ 2016/679 ตามที่ระบุไว้ในภาคผนวก I.C จะทำหน้าที่เป็นหน่วยงานกำกับดูแลที่มีอำนาจ)
4. d. ในข้อ 17 ของ SCC กฎหมายที่ใช้บังคับคือกฎหมายของไอร์แลนด์
5. e. ในข้อ 18(b) ของ SCC กฎหมายที่ใช้บังคับคือกฎหมายของไอร์แลนด์
6. f. จะเพิ่มข้อใหม่เป็นข้อ 19 ใน SCC เพื่อให้ครอบคลุมการโอนข้อมูลส่วนบุคคลจากสหราชอาณาจักรไปยังภายนอกสหราชอาณาจักร ดังนี้:

"ข้อ 19

GDPR ของสหราชอาณาจักรและ DPA 2018

คู่สัญญาตกลงว่าข้อกำหนดเหล่านี้จะขยายและนำไปใช้ในขอบเขตที่เกี่ยวข้องกับการโอนข้อมูลดังกล่าว เพื่อให้ครอบคลุมการโอนข้อมูลข้ามพรมแดนที่อยู่ภายใต้ขอบเขตของ GDPR ของสหราชอาณาจักรและพระราชบัญญัติคุ้มครองข้อมูลปี 2018 (Data Protection Act 2018) ( การโอนข้อมูลของสหราชอาณาจักร )ในการโอนข้อมูลของสหราชอาณาจักรดังกล่าว บทบัญญัติของภาคผนวกการโอนข้อมูลระหว่างประเทศ (International Data Transfer Addendum) ของข้อสัญญามาตรฐาน (Standard Contractual Clauses) รุ่นที่ B1.0 (ตามที่แก้ไข เปลี่ยนแปลง เพิ่มเติม หรือแทนที่เป็นครั้งคราว) จะมีผลบังคับใช้ตามที่กำหนดไว้ในแบบฟอร์มที่แสดงในภาคผนวก"

1. h. จะเพิ่มข้อใหม่เป็นข้อ 20 ใน SCC เพื่อให้ครอบคลุมการโอนข้อมูลส่วนบุคคลจากสวิตเซอร์แลนด์ไปยังภายนอกสวิตเซอร์แลนด์ ดังนี้:

"ข้อ 20

สวิตเซอร์แลนด์ – FADP

คู่สัญญาตกลงว่าข้อกำหนดเหล่านี้จะขยายและนำไปใช้ในขอบเขตที่เกี่ยวข้องกับการโอนข้อมูลดังกล่าว เพื่อให้ครอบคลุมการโอนข้อมูลข้ามพรมแดนที่อยู่ภายใต้ขอบเขตของรัฐบัญญัติแห่งสมาพันธรัฐว่าด้วยการคุ้มครองข้อมูล (Federal Act of Data Protection หรือ FDAP ) (เรียกในข้อนี้ว่า การโอนข้อมูลของสวิตเซอร์แลนด์ )ในการโอนข้อมูลของสวิตเซอร์แลนด์ดังกล่าว ให้ถือว่ากฎหมายที่บังคับใช้คือกฎหมายของสมาชิกสมาพันธรัฐที่เลือก ศาลที่มีอำนาจคือศาลของสมาชิกสมาพันธรัฐที่เลือก และผู้ตรวจการการคุ้มครองข้อมูลแห่งสมาพันธรัฐ (Federal Data Protection and Information Commissioner หรือ FDPIC ) จะเป็นหน่วยงานกำกับดูแลที่มีอำนาจคู่สัญญาตกลงเพิ่มเติมว่าการเปลี่ยนแปลงเพิ่มเติมดังกล่าวจะถูกตีความในข้อกำหนดที่เกี่ยวข้องกับการโอนข้อมูลของสวิตเซอร์แลนด์ตามที่ FDPIC เห็นว่าจำเป็นเพื่อให้สอดคล้องกับ GDPR ของสหราชอาณาจักร์และ FADP และข้อสัญญานี้จะตีความตามข้อกำหนดสำหรับการโอนข้อมูลของสวิตเซอร์แลนด์ภายใต้กฎหมายเหล่านั้น หรือตามที่กำหนดไว้เป็นอย่างอื่นในคำแนะนำที่ออกโดย FDPIC โดยคู่สัญญาไม่จำเป็นต้องเข้าทำข้อตกลงมาตรฐานที่จัดทำแยกต่างหากไว้สำหรับการโอนข้อมูลของสวิตเซอ สวิตเซอร์แลนด์ที่คู่สัญญาทำโดยเฉพาะคู่สัญญาจะต้องดำเนินการต่างๆ ทั้งหมดตามที่จำเป็นเพื่อให้แน่ใจว่าสอดคล้องกับ FADP เมื่อมีดำเนินการโอนข้อมูลของสวิตเซอร์แลนด์"

1. i. จะเพิ่มข้อใหม่เป็นข้อ 21 ใน SCC เพื่อให้ครอบคลุมการโอนข้อมูลส่วนบุคคลจากบราซิลไปยังภายนอกบราซิล ดังนี้:

"ข้อ 21 

บราซิล – LGPD 

คู่สัญญาตกลงว่าข้อกำหนดเหล่านี้จะขยายและนำไปใช้ในขอบเขตที่เกี่ยวข้องกับการโอนข้อมูลดังกล่าว เพื่อให้ครอบคลุมการโอนข้อมูลข้ามพรมแดนที่อยู่ภายใต้ขอบเขตของกฎหมายการคุ้มครองข้อมูลทั่วไป แห่งบราซิล ฉบับที่ 13,709/18 (Lei Geral de Proteção de Dados) ( LGPD ) (เรียกในข้อนี้ว่า การโอนข้อมูลของบราซิล )ในการโอนข้อมูลของบราซิลดังกล่าว ให้ถือว่ากฎหมายที่บังคับใช้คือกฎหมายของรัฐสมาชิกที่เลือก ศาลที่มีอำนาจคือศาลของรัฐสมาชิกที่เลือก และหน่วยงานคุ้มครองข้อมูลแห่งชาติของบราซิล (National Data Protection Authority หรือ ANPD ) จะเป็นหน่วยงานกำกับดูแลที่มีอำนาจคู่สัญญาตกลงเพิ่มเติมว่าการเปลี่ยนแปลงเพิ่มเติมดังกล่าวจะถูกตีความในข้อกำหนดที่เกี่ยวข้องกับการโอนข้อมูลของบราซิลตามที่ ANPD เห็นว่าจำเป็นเพื่อให้สอดคล้องกับ LGPD และข้อสัญญานี้จะตีความตามข้อกำหนดสำหรับการโอนข้อมูลของบราซิลภายใต้กฎหมายเหล่านั้น หรือตามที่กำหนดไว้เป็นอย่างอื่นในคำแนะนำที่ออกโดย ANPD หรือหน่วยงานอื่นที่เกี่ยวข้องของบราซิล โดยคู่สัญญาไม่จำเป็นต้องเข้าทำข้อตกลงมาตรฐานที่จัดทำแยกต่างหากไว้สำหรับการโอนข้อมูลของบราซิลที่คู่สัญญาทำโดยเฉพาะคู่สัญญาจะต้องดำเนินการต่างๆ ทั้งหมดตามที่จำเป็นเพื่อให้แน่ใจว่าสอดคล้องกับ LGPD เมื่อมีดำเนินการโอนข้อมูลของบราซิล"

1. j. จะเพิ่มข้อใหม่เป็นข้อ 22 ใหม่ใน SCC เพื่อให้ครอบคลุมการโอนข้อมูลส่วนบุคคลจากประเทศอื่นใดที่ไม่ได้ระบุไว้ก่อนหน้านี้ที่สามารถขยาย SCC ให้ครอบคลุมถึงได้ เพื่อให้แน่ใจว่ามีการป้องกันที่เหมาะสมสำหรับการโอนข้อมูลส่วนบุคคลที่มาจากประเทศนั้นไปยังบุคคลที่อยู่นอกประเทศนั้น ดังนี้:

"ข้อ 22

การโอนข้อมูลไปยังประเทศที่สามอื่นๆ

คู่สัญญาตกลงว่าข้อสัญญานี้จะขยายและนำไปใช้ในขอบเขตที่เกี่ยวข้องกับการโอนข้อมูลดังกล่าว เพื่อให้ครอบคลุมการโอนข้อมูลข้ามพรมแดนที่อยู่ภายใต้ขอบเขตของกฎหมายและข้อบังคับอื่นๆ ที่บังคับใช้ในเขตอำนาจศาลที่มีอำนาจใดๆ ซึ่งเกี่ยวข้องกับการใช้หรือการประมวลผลข้อมูลส่วนบุคคล ( กฎหมายคุ้มครองข้อมูลที่บังคับใช้ ) โดยกำหนดข้อกำหนดและการคุ้มครองโดยรวมเทียบเท่ากับข้อสัญญานี้ เพื่อโอนข้อมูลส่วนบุคคลจากประเทศนั้นไปยังอีกประเทศหนึ่ง (เรียกในข้อนี้ว่า การโอนข้อมูลของประเทศที่สาม )ในการโอนข้อมูลของประเทศที่สามดังกล่าว ให้ถือว่ากฎหมายที่บังคับใช้คือกฎหมายของรัฐสมาชิกที่เลือก ศาลที่มีอำนาจคือศาลของรัฐสมาชิกที่เลือก และหน่วยงานคุ้มครองข้อมูลหรือหน่วยงานกำกับดูแลของประเทศนั้นจะเป็นหน่วยงานกำกับดูแลที่มีอำนาจคู่สัญญาตกลงเพิ่มเติมว่าการเปลี่ยนแปลงเพิ่มเติมดังกล่าวจะถูกตีความในข้อกำหนดที่เกี่ยวข้องกับการโอนข้อมูลของประเทศที่สามตามที่หน่วยงานกำกับดูแลดังกล่าวเห็นว่าจำเป็นเพื่อให้สอดคล้องกับกฎหมายคุ้มครองข้อมูลที่บังคับใช้ และข้อสัญญานี้จะตีความตามข้อกำหนดสำหรับการโอนข้อมูลของประเทศที่สามภายใต้กฎหมายเหล่านั้น หรือตามที่กำหนดไว้เป็นอย่างอื่นในคำแนะนำที่ออกโดยหน่วยงานกำกับดูแลที่เกี่ยวข้อง โดยคู่สัญญาไม่จำเป็นต้องเข้าทำข้อตกลงมาตรฐานที่จัดทำแยกต่างหากไว้สำหรับการโอนข้อมูลของประเทศที่สามที่คู่สัญญาทำโดยเฉพาะคู่สัญญาจะต้องดำเนินการต่างๆ ทั้งหมดตามที่จำเป็นเพื่อให้แน่ใจว่าสอดคล้องกับกฎหมายคุ้มครองข้อมูลที่บังคับใช้เมื่อมีดำเนินการโอนข้อมูลของประเทศที่สาม"

1.12 ภาคผนวก 1 (ภาพรวมการจัดทำ SCC) ของข้อตกลง C2C นี้ถือเป็นภาคผนวก 1 ของ SCCภาคผนวก 2 (มาตรการทางเทคนิคและทางองค์กร) ของข้อตกลง C2C นี้ถือเป็นภาคผนวก 2 ของ SCC และมีผลใช้เฉพาะกับเอ็กซ์พีเดีย โดยกรณีที่คุณได้จัดหา และเราได้ยอมรับ มาตรการทางเทคนิคและทางองค์กรที่เพียงพอเพื่อให้เป็นไปตามข้อกำหนดของภาคผนวก 2 ของ SCC หรือในกรณีอื่น ภาคผนวก 2 จะถือว่านำไปใช้กับทั้งสองฝ่าย และการอ้างอิงทั้งหมดถึงเอ็กซ์พีเดียและ Expedia Group จะถือว่าอ้างอิงถึงทั้งสองฝ่ายตามความเหมาะสมภาคผนวกของข้อตกลง C2C นี้ถือเป็นภาคผนวกสำหรับสหราชอาณาจักรตามวัตถุประสงค์ของ SCC

ภาคผนวก 1 – ภาพรวมการจัดทำ SCC 

โครงสร้างแบบที่หนึ่ง: ผู้ควบคุมถึงผู้ควบคุม (คุณถึงเรา)

A. รายชื่อคู่สัญญา

ผู้ส่งออกข้อมูล:

ผู้นำเข้าข้อมูล: 

B. คำอธิบายของการโอนข้อมูล

C. หน่วยงานที่มีอำนาจกำกับดูแล

ระบุหน่วยงานที่มีอำนาจกำกับดูแลตามข้อ 13 ของ SCC

หน่วยงานคุ้มครองข้อมูลของไอร์แลนด์ (Irish Data Protection Authority)

โครงสร้างแบบที่หนึ่ง: ผู้ควบคุมถึงผู้ควบคุม (เราถึงคุณ)

A. รายชื่อคู่สัญญา

Dผู้ส่งออกข้อมูล:

ฝ่ายในคู่สัญญาที่ระบุว่าเป็นผู้นำเข้าข้อมูลในโครงสร้างแบบที่หนึ่ง (1) (คุณถึงเรา) ข้างต้นดูรายละเอียดเพิ่มเติมที่ด้านบน

ผู้นำเข้าข้อมูล:

ฝ่ายในคู่สัญญาที่ระบุว่าเป็นผู้ส่งออกข้อมูลในโครงสร้างแบบที่หนึ่ง (1) (คุณถึงเรา) ข้างต้นดูรายละเอียดเพิ่มเติมที่ด้านบน

B. คำอธิบายของการโอนข้อมูล

C. หน่วยงานที่มีอำนาจกำกับดูแล

ตามโครงสร้างแบบที่หนึ่ง (1)

ภาคผนวก 2 - มาตรการทางเทคนิคและทางองค์กร 

มาตรการทางเทคนิคและทางองค์กรที่ใช้สำหรับวัตถุประสงค์ของโครงสร้างแบบที่หนึ่ง (1) จะระบุไว้ด้านล่าง ดังนี้

บันทึกต่อท้าย เรื่อง การโอนข้อมูลระหว่างประเทศ ต่อท้ายข้อสัญญามาตรฐานของคณะกรรมาธิการสหภาพยุโรป (บันทึกต่อท้าย)

บันทึกต่อท้ายนี้ออกโดยผู้ตรวจการข้อมูลสำหรับคู่สัญญาที่ทำการโอนข้อมูลแบบจำกัดผู้ตรวจการข้อมูลพิจารณาแล้วว่าได้จัดเตรียมมาตรการป้องกันที่เหมาะสมสำหรับการโอนข้อมูลแบบจำกัด เมื่อมีการทำสัญญาที่มีผลผูกพันทางกฎหมาย

ส่วนที่ 1 ตาราง

ส่วนที่ 2: ข้อสัญญาบังคับ

ข้อสัญญาบังคับของบันทึกต่อท้ายที่ได้รับอนุมัติ ซึ่งเป็นเทมเพลตบันทึกต่อท้าย B.1.0 ที่ออกโดย ICO และยื่นต่อหน้ารัฐสภาตามมาตรา 119A ของกฎหมายคุ้มครองข้อมูลปี 2018 เมื่อวันที่ 2 กุมภาพันธ์ 2022 ตามที่ได้รับการแก้ไขภายใต้มาตรา 18 ของข้อสัญญาบังคับเหล่านั้น

TAAP Online-avtal – avtal mellan personuppgiftsansvarig (inklusive SCC:er)

Den engelska originalversionen av detta C2C-avtal kan ha översatts till andra språk. I händelse av en inkonsekvens eller avvikelse mellan den engelska versionen och andra språkversioner av detta Avtal ska den engelska versionen äga företräde.

OMFATTNING: : Når henholdsvis Expedia og du behandler personOMFATTNING: opplysninger som en del av en avtale (f.eks. i form av nettbaserte «klikk og godkjenn»-vilkår) som er inngått med den andre parten (en avtale som sier at du har blitt utnevnt til markedsføringspartner under TAAP, og der alle relevante aktiviteter knyttet til slik aktivitet heri omtales som «relevanteaktiviteter»), vil denne globale avtalen mellom to behandlingsansvarlige («C2C-avtalen») komme i tillegg til og gjelde for den avtalen som er inngått mellom partene i forbindelse med de relevante aktivitetene («avtalen») og angi ytterligere vilkår, krav og betingelser for Expedias og din behandling av personopplysninger i forbindelse med avtalen.I denne avtalen mellom behandlingsansvarlige viser «Expedia», «vi» og «oss» til Expedia, Inc. og/eller andre Expedia Group-selskaper som er part i avtalen. «Du» viser til den navngitte enheten som er angitt på søknaden som beskrevet i avtalen (og alle henvisninger til enten Expedia eller du vil tolkes som flertallsord i den grad avtalen krever det).OMFATTNING: När Expedia eller du behandlar personuppgifter som en del av ett avtal (vilket kan vara i form av clickwrap-villkor online) som ingåtts med den andra parten (i enlighet med vilket du har utsetts till marknadsföringspartner under TAAP, och alla relevanta aktiviteter som är kopplade till sådan aktivitet som häri hänvisas till som ” Relevanta aktiviteter ”), är detta globala avtal mellan personuppgiftsansvariga (controller to controller, C2C) ”(C2C-avtal)” ett komplement till och gäller för sådant avtal som ingåtts mellan parterna i samband med Relevanta aktiviteter (” Avtale”) och anger ytterligare villkor, krav och betingelser under vilka Expedia och du, var och en, kommer att behandla personuppgifter i samband med Avtalet.I detta C2C-avtal avser ” Expedia” ” vi ” och ”oss” Expedia, Inc. och/eller något annat Expedia Group-företag som är part i Avtalet. ” Du ” hänvisar till den namngivna enheten som anges i applikationen enligt beskrivningen i Avtalet (och alla hänvisningar till antingen Expedia eller du kommer att tolkas som pluraltermer i den utsträckning som Avtalet kräver).

1. DEFINISJONER OCH TOLKNING

1.1 Detta C2C-avtal är föremål för villkoren i Avtalet och är införlivat i Avtalet.Tolkningar och definierade termer som anges i Avtalet gäller för tolkningen av detta C2C-avtal om inte annat definieras i detta C2C-avtal

1. a. varje lämplig teknisk och organisatorisk åtgärd, personuppgiftsansvarig, personuppgifter, personuppgiftsincident, behandling/behandla och tillsynsmyndighet (eller rimligen likvärdiga termer) ska ha den innebörd som de har i tillämplig dataskyddslagstiftning.
2. b. Tillämplig(a) dataskyddslag(ar) avser alla tillämpliga lagar och förordningar i någon relevant jurisdiktion, relaterade till användning eller behandling av personuppgifter.
3. c. Tillåtna ändamål avser ändamålen att (i) utföra bokningar (ii) tillhandahålla support för bokningar (iii) TAAP-registrering och kontoadministration (iv) betalning av provisioner och andra belopp i enlighet med detta Avtal (v) generera rapporter till dig och eventuell ytterligare behandling som krävs för avstämning, hantering av klagomål och liknande aktiviteter som har samband med att uppfylla Avtalet (vi) support för TAAP-konton (vii) kommunikation till TAAP-medlemmar och underanvändare (viii) förbättra våra tjänster, inklusive optimering av bokningsupplevelsen (ix) skapa rapporter för analys, affärsinformation och affärsrapportering (x) förebygga bedrägerier (xi) svara på förfrågningar från brottsbekämpande myndigheter och granskningsförfrågningar från skattemyndigheter (xii) underlätta transaktioner med företagstillgångar (vilket kan omfatta fusioner, förvärv eller försäljning av tillgångar) (xiii) på annat sätt uppfylla våra skyldigheter enligt detta Avtal, Expedias sekretesspolicy och tillämpliga lagar (xiv) för att fastställa, beräkna och rapportera reseskatter och för andra tillämpliga skatteändamål som kan krävas från tid till annan.
4. d. DPF ((Data Privacy Framework, DPF) ramverk för datasekretess), avser en EU-US Data Privacy Framework-certifiering med US Department of Commerce (USA:s handelsdepartement) eller någon ersättnings- eller kompletterande certifieringsmekanism som godkänts av Europeiska kommissionen (eller annan relevant nationell myndighet) från tid till annan och inkluderar eventuella kompletterande beslut om adekvat skyddsnivå utfärdade av något annat land som tillåter utvidgning av DPF mellan USA och det tredje landet (till exempel, utan begränsning, Storbritannien och Schweiz).
5. e. Land med begränsad överföring avser vilket land som helst inom det Europeiska ekonomiska samarbetsområdet, Schweiz, Storbritannien och Brasilien
6. f. Begränsade överföringsuppgifter avser kunduppgifter som hänför sig till en bokning som gjorts via en försäljningskanal som vi avsett att kunder ska få åtkomst till i ett Begränsat överföringsland.
7. g. Standardavtalsklausuler/(Standard Contractual Clauses, SCC:er) g. Standardavtalsklausuler/(Standard Contractual Clauses, SCC:er) avser de av den Europeiska kommissionens godkända standardavtalsklausulerna för överföring av personuppgifter från Europeiska unionen till tredje länder, utfärdade den 4 juni 2021, i dess ändrade, ersatta, kompletterande lydelse eller som från tid till annan ersatts. Den fullständiga aktuella versionen kan hittas på denna länk: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en och
8. h. Personuppgifter för TAAP avser personuppgifter som du lämnar till oss via TAAP:s webbplats eller som på annat sätt behandlas i samband med TAAP i sig eller för att underlätta bokningar som görs på TAAP:s webbplats.

Parternas förhållande till varandra

1. 1.2 Du och vi ska var och en samla in och behandla personuppgifter för att uppfylla våra respektive rättigheter och skyldigheter enligt Avtalet samt ditt och vårt respektive ansvar enligt tillämpliga lagar.Var och en av parterna ska därför: (i) behandla personuppgifter som oberoende och självständiga personuppgiftsansvariga (ii) följa tillämplig dataskyddslagstiftning och (iii) ansvara för eventuella handlingar eller underlåtenheter som strider mot tillämplig dataskyddslag.

Dina skyldigheter

1.3 Du måste: 

1. a. uppfylla en rättslig grund för att göra Personuppgifter för TAAP tillgängliga för oss så att vi kan behandla dem för de Tillåtna ändamålen
2. b. se till att kunder via din sekretesspolicy och på annat lämpligt sätt är medvetna om att deras personuppgifter kommer att delas med oss för de Tillåtna ändamålen
3. c. hänvisa kunder till vår sekretesspolicy för mer information om vår hantering av deras personuppgifter
4. d.samarbeta med oss och ge oss rimlig assistans så att vi kan följa tillämpliga dataskyddslagar i samband med vår behandling av Personuppgifter för TAAP i förbindelse med Avtalet.

Våra skyldigheter

1.4 Vi (och förekommande i fall, våra Gruppmedlemmar) ska: 

1. a. endast behandla Personuppgifter för TAAP i förbindelse med ett Tillåtet ändamål
2. b. inte sprida alla eller någon del av Personuppgifter för TAAP till någon annan person, utom i förbindelse med ett Tillåtet ändamål
3. c. samarbeta med dig och ge dig rimlig assistans så att du kan följa tillämpliga dataskyddslagar i samband med din behandling av Personuppgifter för TAAP i förbindelse med Avtalet
4. d. visa och följa vårt lagliga och uppdaterade meddelande om cookies (om så krävs) och vår sekretesspolicy på TAAP:s webbplats.

Kunder och tredje parter

1.5 Du bekräftar att vi:

1. a. får skicka e-postmeddelanden till Kunder gällande Bokningar
2. b. kan överföra Personuppgifter för TAAP (inklusive bankuppgifter) till våra tredjepartsleverantörer för ändamålet att:
   1. i. administrera, hantera och stödja ditt och dina Representanters och Underanvändares TAAP-konton
   2. ii. tillhandahålla stöd för bokningar
   3. iii. betala ut provisioner och andra belopp i enlighet med Avtalet.

Datasäkerhet

1.6 Båda parter, i egenskap av personuppgiftsansvariga, ska:

1. a. upprätthålla lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som de behandlar mot en personuppgiftsincident
2. b. i händelse av en bekräftad personuppgiftsincident i system som parten har i sin besittning eller kontroll, omedelbart underrätta den andra parten om personuppgiftsincidenten både (i) påverkar Personuppgifter för TAAP som också behandlas av den andra parten enligt Avtalet och (ii) måste rapporteras till en tillsynsmyndighet, med fullständig information om detta.I sådant fall ska båda parter samarbeta i rimlig utsträckning och i god tro för att avhjälpa eller mildra effekterna av personuppgiftsincidenten och de rimliga kostnaderna för sådant samarbete ska bäras av den part som råkade ut för personuppgiftsincidenten

Gränsöverskridande överföringar 

1.7 Data Privacy Framework (DPF), (Ramverk för datasekretess) :Du och vi är överens om att i fråga om överföringar av Begränsade överföringsuppgifter mellan dig och oss till USA eller till ett land som inte ansetts ha ”adekvat skyddsnivå” enligt Tillämpliga dataskyddslagar i det ursprungliga Begränsade överföringslandet (a) i den mån och så länge som en relevant myndighet godkänt DPF som en erkänd metod för överföring, ska DPF vara den överenskomna mekanismen för gränsöverskridande överföringar av uppgifter som härrör från ett Begränsat överföringsland till oss i USA (b) i den mån och så länge som DPF inte är en giltig metod för överföring (inklusive för överföringar av Begränsade överföringsuppgifter till ett land som inte ansetts ha ”adekvat skyddsnivå” enligt tillämpliga dataskyddslagar i det ursprungliga Begränsade överföringslandet) ska SCC:erna gälla för sådana överföringar och vi kommer att ingå dem på den grund som anges i Klausul 1.11 nedan.Där du också innehar en aktuell DPF-certifiering kan överföringar av Begränsade överföringsuppgifter till dig på liknande sätt göras under DPF med SCC:er som en reservmekanism enligt ovan.

1.8 Överförda skyldigheter för DPF : Du samtycker till att du kommer att tillhandahålla minst samma skyddsnivå för de Begränsade överföringsuppgifterna som krävs enligt DPF och du ska omedelbart meddela oss om du kommer fram till att du inte längre kan tillhandahålla denna skyddsnivå.Om så sker, eller om vi på annat sätt har rimliga skäl att anta att du inte skyddar de Begränsade överföringsuppgifterna upp till den nivå som krävs enligt DPF, kan vi antingen: (a) instruera dig att vidta rimliga och lämpliga åtgärder för att stoppa och åtgärda all obehörig behandling, i vilket fall du omedelbart, i god tro, kommer att samarbeta med oss för att identifiera, samtycka till och implementera sådana åtgärder (b) godkänna ett alternativt skydd som kan gälla för behandlingen enligt Tillämplig dataskyddslag (c) säga upp detta C2C-avtal och Avtalet (eller, enligt vår bedömning, alla berörda delar därav) utan påföljd genom att meddela dig.Om du även innehar en aktuell DPF-certifiering, ska ovanstående bestämmelser och de i Klausul 1.9 nedan anses gälla som om skyldigheterna är dubbelriktade.

1.9 DPF: s upplysningsskyldigheter : Du accepterar att vi kan lämna upplysningar om innehållet i detta C2C-avtal och alla relevanta sekretessbestämmelser i Avtalet till US Department of Commerce, Federal Trade Commission, en europeisk dataskyddsmyndighet eller till USA:s eller EU:s rättsliga eller reglerande organ på deras begäran och att sådana upplysningar inte ska anses vara ett brott mot konfidentialiteten.

1.10 Utvidgning av SCC: er till Icke begränsade överföringsländer: I samband med överföringar av Personuppgifter för TAAP mellan dig och oss som kommer från ett land som inte är ett Begränsat överföringsland men som i övrigt är föremål för skyddsåtgärder som, enligt Tillämplig dataskyddslag, måste tillämpas innan en överföring av dessa Personuppgifter för TAAP utanför ursprungslandet kan ske (vart och ett land är ett Icke begränsat överföringsland), så är du och vi överens om att (a) de SCC:er som anges i Klausul 1.11 nedan ska anses omfatta sådana ytterligare överföringar i den mån en sådan antagen omfattning skulle uppfylla det landets säkerhetskrav och/eller (b) om de åtgärder som anges i Klausul 1.11 är otillräckliga eller kräver kompletterande åtgärder, är parterna överens om att vidta sådana ytterligare åtgärder, inklusive till exempel upprättande av relevanta handlingar, insamling av samtycke, fylla i erforderliga ansökningar, som kan krävas från tid till annan för att uppfylla Tillämplig dataskyddslag.

1.11 I enlighet med Klausul 1.7 ovan, samtycker du och vi härmed till att ingå i SCC:erna på en oförändrad grund med undantag för följande val::

1. a. om du befinner dig i ett Begränsat överföringsland eller i ett land som ansetts ha ”tillräcklig skyddsnivå” i enlighet med Artikel 45 i GDPR, gäller endast Modul ett (1) av SCC:erna enkelriktat för överföringar från dig till Expedia.I annat fall gäller Modul ett (1) av SCC:erna dubbelriktat för att täcka både överföringar från oss till dig och från dig till oss.
2. b. Vid tillämpningen av klausul 11(a) i SCC:erna stryks den valfria texten.
3. c. Vid tillämpningen av klausul 13 i SCC:erna är den relevanta paragrafen ”Tillsynsmyndigheten i den medlemsstat där företrädaren i den mening som avses i Artikel 27.1 i förordning (EU) 2016/679 är etablerad ska, enligt vad som anges i Annex I.C, fungera som behörig tillsynsmyndighet.”
4. d. Irlands lag den tillämpliga styrande lagen vid tillämpningen av klausul 17 i SCC:erna.
5. e. Irland är valet vid tillämpningen av klausul 18(b) i SCC:erna.
6. f. En ny klausul 19 läggs till i SCC:erna för att täcka överföringar av personuppgifter från Storbritannien till utanför Storbritannien enligt följande:

”Klausul 19

Storbritanniens GDPR och DPA 2018

Parterna är överens om att dessa Klausuler kommer att utvidgas och tillämpas, i den utsträckning som är relevant för överföringen i fråga, för att täcka gränsöverskridande överföringar som faller under tillämpningsområdet för UK GDPR och Data Protection Act 2018 (en brittisk överföring).För sådana brittiska överföringar gäller bestämmelserna i tillägget Internationella dataöverföringar (International Data Transfer Addendum) till Standardavtalsklausulerna (Standard Contractual Clauses) Version B1.0 (i dess ändrade, ersatta, kompletterande lydelse eller som från tid till annan ersatts) enligt formuläret som bifogas som Tillägget.”

1. h. En ny klausul 20 läggs till i SCC:erna för att täcka överföringar av personuppgifter från Schweiz till utanför Schweiz enligt följande:

"Klausul 20

Schweiziska – FADP

Parterna är överens om att dessa Klausuler kommer att utvidgas och tillämpas, i den utsträckning som är relevant för överföringen i fråga, för att täcka gränsöverskridande överföringar som faller under tillämpningsområdet för Federal Act of Data Protection (FADP) (benämns i denna Klausul som en Schweizisk överföring).För sådana Schweiziska överföringar ska den tillämpliga lagen anses vara den valda medlemsstatens, valet av forum ska vara den valda medlemsstaten och Federal Data Protection och Information Commissioner (FDPIC) ska vara den behöriga tillsynsmyndigheten.Parterna är vidare överens om att sådana ytterligare ändringar ska tolkas som att de görs i Klausulerna med avseende på en Schweizisk överföring som anses nödvändiga av FCPIC för att följa Storbritanniens GDPR och FADP, och Klausulerna ska tolkas i enlighet med kraven för Schweiziska överföringar som härrör från dessa lagar eller som på annat sätt anges i vägledning utfärdad av FDPIC, utan att parterna behöver upprätta separata standardavtalsklausuler som utarbetats specifikt för deras Schweiziska överföringar.Parterna ska vidare utföra alla sådana handlingar och saker som kan vara nödvändiga för att säkerställa efterlevnad av FADP när de deltar i Schweiziska överföringar.”

1. i. En ny klausul 21 läggs till i SCC:erna för att täcka överföringar av personuppgifter från Brasilien till utanför Brasilien enligt följande:

”Klausul 21 

Brasilianska – LGPD 

Parterna är överens om att dessa Klausuler kommer att utvidgas och tillämpas, i den utsträckning som är relevant för överföringen i fråga, för att täcka gränsöverskridande överföringar som faller under tillämpningsområdet för den Brasilianska allmänna dataskyddslagen Lag nr. 13,709/18 (Lei Geral de Proteção de Dados) (LGPD) (benämns i denna Klausul för en Brasiliansköverföring). För sådana Brasilianska överföringar ska den tillämpliga lagen anses vara den valda medlemsstatens, valet av forum ska vara den valda medlemsstaten och Brasiliens National Data Protection Authority (ANPD) ska vara den behöriga tillsynsmyndigheten.Parterna är vidare överens om att sådana ytterligare ändringar ska tolkas som att de görs i Klausulerna med avseende på en Brasiliansk överföring som anses nödvändiga av ANPD för att följa LGPD, och Klausulerna ska tolkas i enlighet med kraven för Brasilianska överföringar som härrör från dessa lagar eller som på annat sätt anges i vägledning utfärdad av ANPD eller annan relevant Brasiliansk myndighet, utan att parterna behöver upprätta separata standardavtalsklausuler som utarbetats specifikt för deras Brasilianska överföringar.Parterna ska vidare utföra alla sådana handlingar och saker som kan vara nödvändiga för att säkerställa efterlevnad av LGPD när de deltar i Brasilianska överföringar.”

1. j. En ny klausul 22 läggs till i SCC:erna för att täcka överföringar av personuppgifter från något annat land som hittills inte har specificerats där SCC:erna kan utvidgas för att säkerställa lämpliga skyddsåtgärder för överföringar av personuppgifter som härrör från det landet till en part utanför det landet enligt följande:

”Klausul 22

Andra överföringar från/till tredje land

Parterna är överens om att dessa Klausuler kommer att utvidgas och tillämpas, i den utsträckning som är relevant för överföringen i fråga, för att täcka gränsöverskridande överföringar som faller under omfattningen av andra tillämpliga lagar och förordningar i någon relevant jurisdiktion, relaterade till användning eller behandling av personuppgifter (Tillämpliga dataskyddslagar) som kräver villkor och skydd som i stort sett motsvarar dessa Klausuler för att överföra personuppgifter från det landet till ett annat (benämns i denna Klausul för en Överföring från/till tredje land)För sådana Överföringar från/till tredje land ska den tillämpliga lagen anses vara den valda medlemsstatens, valet av forum ska vara den valda medlemsstaten och dataskyddsmyndigheten eller tillsynsorganet i det landet ska vara den behöriga tillsynsmyndigheten.Parterna är vidare överens om att sådana ytterligare ändringar ska tolkas som att de görs i Klausulerna med avseende på en Överföring från/till tredje land som en sådan tillsynsmyndighet anser nödvändiga för att följa det landets Tillämpliga dataskyddslagar, och Klausulerna ska tolkas i enlighet med kraven för Överföringar från/till tredje land som härrör från dessa lagar eller som på annat sätt anges i vägledning utfärdad av relevant tillsynsmyndighet, utan att parterna behöver upprätta separata standardavtalsklausuler som utarbetats specifikt för deras Överföringar från/till tredje land.Parterna ska vidare utföra alla sådana handlingar och saker som kan vara nödvändiga för att säkerställa efterlevnad av Tillämpliga dataskyddslagar när de deltar i Överföringar från/till tredje land.”

1.12 Annex 1 (Behandlingsöversikt för SCC:er) till detta C2C-avtal utgör Annex 1 till SCC:erna.Annex 2 (Tekniska och organisatoriska åtgärder) till detta C2C-avtal utgör Annex 2 till SCC:erna och gäller endast för Expedia när du har lämnat upplysningar om, och vi har accepterat, adekvata tekniska och organisatoriska åtgärder för att uppfylla dina krav i Annex 2 till SCC:erna eller, när så är inte fallet, kommer Annex 2 att tolkas gälla för båda parter och alla hänvisningar till Expedia och Expedia Group kommer att tolkas som hänvisningar till endera parten i enlighet därmed.Tillägget till detta C2C-avtal utgör Storbritanniens Tillägg vid tillämpning av SCC:erna.

ANNEX I – BEHANDLINGSÖVERSIKT FÖR SCC:er 

MODUL ETT: Mellan personuppgiftsansvariga (från dig till oss)

A. LISTA ÖVER PARTER

Dataexportör(er):

Dataimportör(-er): 

B. BESKRIVNING AV ÖVERFÖRING

C. BEHÖRIG TILLSYNSMYNDIGHET

Identifiera den eller de behöriga tillsynsmyndigheterna i enlighet med Klausul 13 i SCC:erna

Irländska dataskyddsmyndigheten

MODUL ETT: Mellan personuppgiftsansvariga (från oss till dig)

A. LISTA ÖVER PARTER

Dataexportör(er):

Den eller de parter som identifierats som dataimportörer i Modul ett (1) (från dig till oss) ovan.Se ovan för mer information.

Dataimportör(-er):

Den eller de parter som identifierats som dataexportörer i Modul ett (1) (från dig till oss) ovan.Se ovan för mer information.

B.BESKRIVNING AV ÖVERFÖRING

C. BEHÖRIG TILLSYNSMYNDIGHET

Enligt Modul ett (1)

ANNEX II - TEKNISKA OCH ORGANISATORISKA ÅTGÄRDER 

De tekniske og organisatoriske tiltakene som gjelder for formålene i modul én (1), er angitt nedenfor.

Tillägg till EU-kommissionens standardavtalsklausuler (Tillägg), avseende internationella dataöverföringar

Detta Tillägg har utfärdats av Informationskommissionären (Information Commissioner) för parter som gör Begränsade överföringar.Informationskommissionären anser att det tillhandahåller lämpliga skyddsåtgärder för Begränsade överföringar när det ingås som ett juridiskt bindande avtal.

Del 1 Tabeller

Del 2: Obligatoriska Klausuler

Obligatoriska Klausuler i det godkända Tillägget, som är mallen Tillägg B.1.0 som utfärdats av ICO och som lades fram för parlamentet i enlighet med avsnitt 119A i Data Protection Act 2018 den 2 februari 2022, som den revideras enligt Avsnitt 18 i dessa obligatoriska Klausuler.

Thỏa thuận trực tuyến TAAP – Thỏa thuận giữa đơn vị kiểm soát với đơn vị kiểm soát (bao gồm SCC)

Phiên bản gốc bằng tiếng Anh của Thỏa thuận C2C này có thể đã được dịch sang các ngôn ngữ khác.Trong trường hợp có sự không thống nhất hoặc không nhất quán giữa phiên bản tiếng Anh và bất kỳ phiên bản ngôn ngữ nào khác của Thỏa thuận này, phiên bản tiếng Anh sẽ được áp dụng.

PHẠM VI: Khi mỗi đơn vị của Expedia và quý vị xử lý dữ liệu cá nhân theo thỏa thuận (có thể ở dạng điều khoản dạng nhấp vào để chấp nhận trực tuyến) được ký kết với bên còn lại (theo đó quý vị đã được chỉ định làm đối tác tiếp thị trong TAAP, đồng thời tất cả hoạt động có liên quan đến hoạt động đó được gọi ở đây là “Hoạt động liên quan””), thỏa thuận toàn cầu này giữa đơn vị kiểm soát với đơn vị kiểm soát (“Thỏa thuận C2C”) sẽ bổ sung và áp dụng cho thỏa thuận được ký kết giữa các bên liên quan đến Hoạt động liên quan (“Thỏa thuận ”) và đề ra các điều khoản, yêu cầu và điều kiện bổ sung mà Expedia và quý vị phải tuân thủ khi xử lý dữ liệu cá nhân liên quan đến Thỏa thuận. Trong Thỏa thuận C2C này, “Expedia” và “ chúng tôi” đề cập đến Expedia, Inc. và/hoặc bất kỳ công ty nào thuộc Expedia Group tham gia Thỏa thuận. “Quý vị” đề cập đến pháp nhân được nêu tên trên Ứng dụng theo mô tả trong Thỏa thuận (và tất cả trường hợp đề cập đến Expedia hoặc quý vị sẽ được hiểu là thuật ngữ số nhiều trong phạm vi mà Thỏa thuận yêu cầu).

1. ĐỊNH NGHĨA VÀ DIỄN GIẢI

1.1 Thỏa thuận C2C này tuân theo các điều khoản của Thỏa thuận và được kết hợp vào Thỏa thuận. Nội dung giải thích và các thuật ngữ được định nghĩa trong Thỏa thuận dùng để diễn giải Thỏa thuận C2C này, trừ khi có định nghĩa khác trong Thỏa thuận C2C này; và:

1. a. mỗi biện pháp kỹ thuật và tổ chức thích hợp, đơn vị kiểm soát, dữ liệu cá nhân; hành vi vi phạm dữ liệu cá nhân, quy trình xử lý/hoạt động xử lý và cơ quan giám sát(hoặc các thuật ngữ tương đương hợp lý) có ý nghĩa như được nêu trong Luật bảo vệ dữ liệu hiện hành;
2. b. Luật bảo vệ dữ liệu hiện hành nghĩa là các luật và quy định hiện hành ở bất kỳ khu vực pháp lý nào có liên quan và liên quan đến việc sử dụng hoặc xử lý dữ liệu cá nhân;
3. c. Mục đích được cho phép nghĩa là mục đích (i) hoàn tất đặt chỗ; (ii) cung cấp dịch vụ hỗ trợ cho Đặt chỗ; (iii) đăng ký và quản lý tài khoản TAAP; (iv) thanh toán Hoa hồng và các khoản tiền khác theo Thỏa thuận; (v) tạo báo cáo cho quý vị và mọi hoạt động xử lý khác cần thiết để hòa giải, xử lý khiếu nại và các hoạt động tương tự liên quan đến việc thực hiện Thỏa thuận; (vi) hỗ trợ Tài khoản TAAP; (vii) thông báo cho Thành viên TAAP và Người dùng phụ; (viii) cải thiện dịch vụ của chúng tôi, bao gồm tối ưu hóa trải nghiệm đặt chỗ; (ix) tạo báo cáo để phân tích, thu thập thông tin về tình hình kinh doanh và báo cáo kinh doanh; (x) phòng chống gian lận; (xi) đáp ứng yêu cầu thực thi pháp luật và yêu cầu kiểm toán của cơ quan thuế; (xii) hỗ trợ giao dịch tài sản kinh doanh (có thể sẽ áp dụng cho cả các thương vụ sáp nhập, mua lại hoặc bán tài sản); và (xiii) tuân thủ các nghĩa vụ của chúng tôi theo Thỏa thuận này, chính sách bảo mật của Expedia và luật hiện hành, cũng như (xiv) để xác định, tính toán, báo cáo Thuế du lịch và các mục đích tính thuế hiện hành khác, tùy theo yêu cầu tại từng thời điểm;
4. d. DPF nghĩa là chứng nhận Khuôn khổ bảo mật dữ liệu của Liên minh châu Âu - Hoa Kỳ với Bộ Thương mại Hoa Kỳ hoặc bất kỳ cơ chế chứng nhận thay thế hoặc bổ sung nào được Ủy ban châu Âu (hoặc cơ quan quốc gia khác có liên quan) phê duyệt tùy từng thời điểm; và bao gồm các quyết định bổ sung về tính phù hợp do bất kỳ quốc gia nào khác ban hành, trong đó cho phép mở rộng áp dụng DPF giữa Hoa Kỳ và quốc gia thứ ba đó (ví dụ như, nhưng không giới hạn ở, Vương quốc Anh và Thụy Sĩ);
5. e. Quốc gia chuyển dữ liệu bị hạn chế nghĩa là bất kỳ quốc gia nào trong Khu vực kinh tế châu Âu, Thụy Sĩ, Vương quốc Anh và Brazil;
6. f. Dữ liệu bị hạn chế chuyển nghĩa là Dữ liệu khách hàng liên quan đến Đặt chỗ được thực hiện thông qua một trang web mà chúng tôi dự định sẽ cho phép Khách hàng truy cập tại Quốc gia chuyển dữ liệu bị hạn chế;
7. g. Điều khoản hợp đồng tiêu chuẩn/SCC nghĩa là Điều khoản hợp đồng tiêu chuẩn được phê duyệt của Ủy ban châu Âu về việc chuyển dữ liệu cá nhân từ Liên minh châu Âu sang nước thứ ba, được ban hành vào 04/06/2021, như được sửa đổi, thay thế, bổ sung hoặc hủy bỏ tùy từng thời điểm và quý vị có thể xem phiên bản đầy đủ hiện tại qua liên kết này: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en ; và
8. h. Dữ liệu cá nhân TAAP nghĩa là dữ liệu cá nhân mà quý vị cung cấp cho chúng tôi thông qua Trang web TAAP hoặc được xử lý liên quan đến chính TAAP hoặc hỗ trợ Đặt chỗ được thực hiện qua Trang web TAAP.

Mối quan hệ của các bên

1. 1.2 Quý vị và chúng tôi mỗi bên phải thu thập và xử lý dữ liệu cá nhân để thực hiện các quyền và nghĩa vụ tương ứng theo Thỏa thuận, cũng như các trách nhiệm tương ứng của quý vị và của chúng tôi theo luật hiện hành. Như vậy, mỗi bên phải: (i) xử lý dữ liệu cá nhân với tư cách là đơn vị kiểm soát độc lập và tự chủ; (ii) tuân thủ Luật bảo vệ dữ liệu hiện hành; và (iii) chịu trách nhiệm đối với bất kỳ hành vi hoặc thiếu sót nào vi phạm Luật bảo vệ dữ liệu hiện hành.

Trách nhiệm của quý vị

1.3 Quý vị phải:

1. a. đáp ứng cơ sở pháp lý để cung cấp bất kỳ Dữ liệu cá nhân TAAP nào cho chúng tôi xử lý vì Mục đích được cho phép;
2. b. đảm bảo Khách hàng biết được, thông qua chính sách bảo mật và qua bất kỳ phương tiện thích hợp nào khác, rằng dữ liệu cá nhân của họ sẽ được chia sẻ với chúng tôi vì Mục đích được cho phép;
3. c.hướng Khách hàng đến chính sách bảo mật của chúng tôi để biết thêm thông tin về cách chúng tôi xử lý dữ liệu cá nhân của họ; và
4. d. hợp tác và hỗ trợ hợp lý để giúp chúng tôi tuân thủ Luật bảo vệ dữ liệu hiện hành trong quá trình chúng tôi xử lý Dữ liệu cá nhân TAAP liên quan đến Thỏa thuận.

Trách nhiệm của chúng tôi

1.4 Chúng tôi (và Thành viên tập đoàn của chúng tôi, nếu có) phải: 

1. a. xử lý Dữ liệu cá nhân TAAP chỉ liên quan đến Mục đích được cho phép;
2. b. không tiết lộ toàn bộ hoặc bất kỳ phần nào của Dữ liệu cá nhân TAAP cho bất kỳ người nào, ngoại trừ liên quan đến Mục đích được cho phép;
3. c.hợp tác và hỗ trợ hợp lý để trợ giúp quý vị tuân thủ Luật bảo vệ dữ liệu hiện hành trong quá trình quý vị xử lý Dữ liệu cá nhân TAAP liên quan đến Thỏa thuận; và
4. d. hiển thị và tuân thủ thông báo về cookie hợp pháp và mới nhất của chúng tôi (nếu được yêu cầu) và chính sách bảo mật của chúng tôi trên Trang web TAAP.

Khách hàng và Bên thứ ba

1.5 Quý vị xác nhận rằng chúng tôi:

1. a. được phép gửi email liên quan đến Đặt chỗ cho Khách hàng;
2. b. được phép chuyển Dữ liệu cá nhân TAAP (bao gồm cả dữ liệu ngân hàng) cho các nhà cung cấp dịch vụ bên thứ ba vì các mục đích:er TAAP Personal Data (including banking data) to our third-party service providers for the purposes of:
   1. i. quản trị, quản lý và hỗ trợ Tài khoản TAAP của quý vị, Đại diện và Người dùng phụ;
   2. ii. cung cấp hỗ trợ cho Đặt chỗ; và
   3. iii. thanh toán Hoa hồng và các khoản tiền khác theo Thỏa thuận.

Bảo mật dữ liệu

1.6 Với vai trò là đơn vị kiểm soát, mỗi bên phải:

1. a.duy trì các biện pháp kỹ thuật và tổ chức thích hợp nhằm bảo vệ dữ liệu cá nhân mà mỗi bên xử lý để dữ liệu cá nhân không bị vi phạm; và
2. b.trong trường hợp một bên xác định được hành vi vi phạm dữ liệu cá nhân trong các hệ thống thuộc quyền sở hữu hoặc kiểm soát của mình, bên đó sẽ thông báo ngay cho bên còn lại nếu hành vi vi phạm dữ liệu cá nhân (i) ảnh hưởng đến Dữ liệu cá nhân TAAP do bên còn lại xử lý theo Thỏa thuận; và (ii) có thể báo cáo cho cơ quan giám sát, cung cấp đầy đủ chi tiết của trường hợp đó. Trong trường hợp đó, cả hai bên sẽ hợp tác theo cách hợp lý và thiện chí để khắc phục hoặc giảm nhẹ tác động của vi phạm dữ liệu cá nhân và chi phí hợp lý của hoạt động hợp tác đó sẽ do bên chịu vi phạm dữ liệu cá nhân thanh toán.

Chuyển dữ liệu xuyên biên giới

1.7 Khuôn khổ bảo mật dữ liệu (DPF): Quý vị và chúng tôi đồng ý rằng đối với việc chuyển Dữ liệu bị hạn chế chuyển giữa quý vị và chúng tôi đến Hoa Kỳ hoặc đến một quốc gia không được coi là "thỏa đáng" theo Luật bảo vệ dữ liệu hiện hành của Quốc gia chuyển dữ liệu bị hạn chế nơi bắt nguồn của dữ liệu (a) trong phạm vi và miễn là DPF còn được một cơ quan liên quan công nhận là phương thức chuyển dữ liệu, thì DPF sẽ là cơ chế đã được thống nhất để chuyển dữ liệu xuyên biên giới từ một Quốc gia chuyển dữ liệu bị hạn chế đến chúng tôi tại Hoa Kỳ và (b) trong phạm vi và miễn là DPF không phải là phương thức chuyển dữ liệu hợp lệ (bao gồm việc chuyển Dữ liệu bị hạn chế chuyển đến một quốc gia không được coi là "thỏa đáng" theo Luật bảo vệ dữ liệu hiện hành của Quốc gia chuyển dữ liệu bị hạn chế nơi bắt nguồn của dữ liệu), SCC sẽ áp dụng cho các hoạt động chuyển dữ liệu đó và chúng tôi sẽ ký kết SCC theo quy định trong Khoản 1.11 bên dưới. Trong trường hợp quý vị cũng có chứng nhận DPF còn hiệu lực, việc chuyển Dữ liệu bị hạn chế chuyển cho quý vị có thể được thực hiện tương tự theo DPF, trong đó SCC là cơ chế dự phòng như đã nêu ở trên.

1.8 Nghĩa vụ chuyển giao DPF : Quý vị đồng ý sẽ bảo vệ Dữ liệu bị hạn chế chuyển theo yêu cầu trong DPF tối thiểu cùng một mức độ; đồng thời phải thông báo ngay cho chúng tôi nếu quý vị xác định không thể bảo vệ theo mức độ này nữa. Trong trường hợp đó, hoặc nếu chúng tôi có cơ sở để tin rằng quý vị không bảo vệ Dữ liệu bị hạn chế chuyển theo tiêu chuẩn bắt buộc trong DPF, chúng tôi có thể: (a) yêu cầu quý vị thực hiện các biện pháp hợp lý và phù hợp để dừng và khắc phục mọi hoạt động xử lý trái phép, trong trường hợp đó quý vị phải nhanh chóng hợp tác với chúng tôi trên tinh thần thiện chí để xác định, thống nhất và triển khai các biện pháp đó; (b) thống nhất một biện pháp bảo vệ thay thế có thể áp dụng cho hoạt động xử lý theo Luật bảo vệ dữ liệu hiện hành; hoặc (c) gửi thông báo cho quý vị về việc chấm dứt Thỏa thuận C2C này và Thỏa thuận (hoặc bất kỳ phần nào bị ảnh hưởng, theo quyền quyết định của chúng tôi) mà không bị phạt. Nếu quý vị cũng có chứng nhận DPF còn hiệu lực, các điều khoản bên trên và điều khoản trong Khoản 1.9 bên dưới sẽ được áp dụng như thể các nghĩa vụ có hiệu lực hai chiều.

1.9 Nghĩa vụ khai báo của DPF: Quý vị xác nhận rằng chúng tôi có thể khai báo Thỏa thuận C2C này và mọi điều khoản về bảo mật có liên quan trong Thỏa thuận cho Bộ Thương mại Hoa Kỳ, Ủy ban Thương mại Liên bang, bất kỳ cơ quan bảo vệ dữ liệu nào của châu Âu hoặc bất kỳ cơ quan tư pháp hay cơ quan quản lý nào khác của Hoa Kỳ hoặc Liên minh châu Âu theo yêu cầu của họ và rằng việc khai báo đó sẽ không bị coi là vi phạm tính bí mật.

1.10 Mở rộng áp dụng SCC cho Quốc gia chuyển dữ liệu không bị hạn chế: Liên quan đến việc chuyển Dữ liệu cá nhân TAAP giữa quý vị và chúng tôi từ một quốc gia không phải là Quốc gia chuyển dữ liệu bị hạn chế nhưng phải tuân thủ các biện pháp bảo vệ phải được áp dụng trước khi có thể chuyển Dữ liệu cá nhân TAAP đó ra ngoài quốc gia xuất xứ (mỗi Quốc gia chuyển dữ liệu không bị hạn chế) theo Luật bảo vệ dữ liệu hiện hành, quý vị và chúng tôi đồng ý rằng (a) các SCC được nêu trong Khoản 1.11 bên dưới sẽ được coi là mở rộng áp dụng cho các hoạt động chuyển dữ liệu bổ sung đó trong phạm vi mà việc mở rộng đó đáp ứng các biện pháp bảo vệ của quốc gia cụ thể đó; và/hoặc (b) khi các biện pháp được nêu trong Khoản 1.11 không đủ hoặc cần có biện pháp bổ sung, các bên đồng ý thực hiện các biện pháp khác, bao gồm việc thực thi các tài liệu liên quan, xin phép sự chấp thuận, lập các hồ sơ cần thiết, theo yêu cầu tùy từng thời điểm để đáp ứng Luật bảo vệ dữ liệu hiện hành.

1.11 Theo Khoản 1.7 bên trên, quý vị và chúng tôi đồng ý ký kết SCC trên cơ sở không thay đổi, trừ các trường hợp sau::

1. a. nếu quý vị đang ở một Quốc gia chuyển dữ liệu bị hạn chế hoặc một quốc gia được coi là “thỏa đáng” theo Điều 45 của GDPR, chỉ Phần Một (1) của SCC sẽ áp dụng một chiều đối với hoạt động chuyển dữ liệu từ quý vị đến Expedia. Ngược lại, Phần Một của SCC sẽ áp dụng hai chiều, có hiệu lực cho cả hoạt động chuyển dữ liệu từ chúng tôi đến quý vị và từ quý vị đến chúng tôi.
2. b. Đối với mục đích của Khoản 11(a) trong SCC, ngôn ngữ không bắt buộc sẽ bị xóa.
3. c. Đối với mục đích của Khoản 13 trong SCC, đoạn liên quan là “Cơ quan giám sát của Quốc gia thành viên nơi đơn vị đại diện theo định nghĩa trong Điều 27(1) của Quy định (EU) 2016/679 được thành lập, như được nêu trong Phụ lục I.C, sẽ đóng vai trò là cơ quan giám sát có thẩm quyền.”
4. d. Đối với mục đích của Khoản 17 trong SCC, luật điều chỉnh là luật pháp của Ireland.
5. e. Đối với mục đích của Khoản 18(b) trong SCC, Ireland là quốc gia được lựa chọn.
6. f. Khoản 19 mới được thêm vào SCC để áp dụng cho cả hoạt động chuyển dữ liệu cá nhân từ Vương quốc Anh ra bên ngoài Vương quốc Anh như sau:

“Khoản 19

GDPR và DPA của Vương quốc Anh năm 2018

Các Bên đồng ý rằng các Khoản này sẽ mở rộng và áp dụng, trong phạm vi liên quan đến hoạt động chuyển dữ liệu được đề cập, cho cả hoạt động chuyển dữ liệu xuyên biên giới thuộc phạm vi của GDPR và Đạo luật bảo vệ dữ liệu của Vương quốc Anh năm 2018 (Chuyển dữ liệu ở Vương quốc Anh). Đối với mục đích của hoạt động Chuyển dữ liệu ở Vương quốc Anh, các điều khoản trong Phụ lục về việc chuyển dữ liệu quốc tế kèm theo Điều khoản hợp đồng tiêu chuẩn Phiên bản B1.0 (như được sửa đổi, thay thế, bổ sung hoặc hủy bỏ tùy từng thời điểm) sẽ áp dụng như được nêu trong biểu mẫu đính kèm dưới dạng Phụ lục.”

1. h. Khoản 20 mới được thêm vào SCC để áp dụng cho cả hoạt động chuyển dữ liệu cá nhân từ Thụy Sĩ ra bên ngoài Thụy Sĩ như sau:

“Khoản 20

Thụy Sĩ – FADP

Các Bên đồng ý rằng các Khoản này sẽ mở rộng và áp dụng, trong phạm vi liên quan đến hoạt động chuyển dữ liệu được đề cập, cho cả hoạt động chuyển dữ liệu xuyên biên giới thuộc phạm vi của Đạo luật Bảo vệ dữ liệu Liên bang (FADP) (được gọi là Chuyển dữ liệu ở Thụy Sĩ ).trong Khoản này). Đối với mục đích của hoạt động Chuyển dữ liệu ở Thụy Sĩ, luật của Quốc gia thành viên được chọn sẽ được coi là luật điều chỉnh, Quốc gia thành viên được chọn sẽ chọn tòa án và Ủy ban thông tin và bảo vệ dữ liệu Liên bang (FDPIC) sẽ là cơ quan giám sát có thẩm quyền. Các Bên cũng đồng ý rằng những thay đổi tiếp theo như vậy sẽ được hiểu là được thực hiện đối với các Khoản liên quan đến hoạt động Chuyển dữ liệu ở Thụy Sĩ mà FDPIC cho là cần thiết để tuân thủ GDPR và FADP của Vương quốc Anh, đồng thời các Khoản này sẽ được hiểu theo các yêu cầu đối với hoạt động Chuyển dữ liệu ở Thụy Sĩ phát sinh theo các luật đó hoặc theo quy định khác trong hướng dẫn do FDPIC ban hành. Các Bên không phải ký kết các điều khoản hợp đồng tiêu chuẩn riêng biệt được soạn riêng cho hoạt động Chuyển dữ liệu ở Thụy Sĩ. Các Bên sẽ tiếp tục thực hiện tất cả hoạt động cần thiết để đảm bảo tuân thủ FADP khi tham gia vào hoạt động Chuyển dữ liệu ở Thụy Sĩ.”

1. i.Khoản 21 mới được thêm vào SCC để áp dụng cho cả hoạt động chuyển dữ liệu cá nhân từ Brazil ra bên ngoài Brazil như sau:

“Khoản 21

Brazil – LGPD

Các Bên đồng ý rằng các Khoản này sẽ mở rộng và áp dụng, trong phạm vi liên quan đến hoạt động chuyển dữ liệu được đề cập, cho cả hoạt động chuyển dữ liệu xuyên biên giới thuộc phạm vi của Luật bảo vệ dữ liệu chung Số 13.709/18 (Lei Geral de Proteção de Dados) (LGPD) (được gọi là Chuyển dữ liệu ở Brazil). trong Khoản này. Đối với mục đích của hoạt động Chuyển dữ liệu ở Brazil, luật của Quốc gia Thành viên được chọn sẽ được coi là luật điều chỉnh, Quốc gia thành viên được chọn sẽ chọn tòa án và Cơ quan bảo vệ dữ liệu quốc gia (ANPD) của Brazil sẽ là cơ quan giám sát có thẩm quyền. Các Bên cũng đồng ý rằng những thay đổi tiếp theo như vậy sẽ được hiểu là được thực hiện đối với các Khoản liên quan đến hoạt động Chuyển dữ liệu ở Brazil mà ANPD cho là cần thiết để tuân thủ LGPD, đồng thời các Khoản này sẽ được hiểu theo các yêu cầu đối với hoạt động Chuyển dữ liệu ở Brazil phát sinh theo các luật đó hoặc theo quy định khác trong hướng dẫn do ANPD hoặc cơ quan hữu quan của Brazil ban hành. Các Bên không phải ký kết các điều khoản hợp đồng tiêu chuẩn riêng biệt được chuẩn bị riêng cho hoạt động Chuyển dữ liệu ở Brazil. Các Bên sẽ tiếp tục thực hiện tất cả hoạt động cần thiết để đảm bảo tuân thủ LGPD khi tham gia vào hoạt động Chuyển dữ liệu ở Brazil.”

1. j. Khoản 22 mới được thêm vào SCC để áp dụng cho cả hoạt động chuyển dữ liệu cá nhân từ bất kỳ quốc gia nào khác chưa được xác định cho đến nay. Theo đó, SCC có thể sẽ được mở rộng áp dụng để đảm bảo các biện pháp bảo vệ thích hợp cho hoạt động chuyển dữ liệu cá nhân từ quốc gia đó đến một bên ở ngoài quốc gia đó như sau:

“Khoản 22

Chuyển dữ liệu ở quốc gia thứ ba khác

Các Bên đồng ý rằng các Điều khoản này sẽ mở rộng và áp dụng, trong phạm vi liên quan đến hoạt động chuyển dữ liệu được đề cập, cho cả hoạt động chuyển dữ liệu xuyên biên giới thuộc phạm vi của bất kỳ luật và quy định hiện hành nào khác trong bất kỳ khu vực pháp lý liên quan nào, liên quan đến việc sử dụng hoặc xử lý dữ liệu cá nhân (Luật bảo vệ dữ liệu hiện hành) yêu cầu có các điều khoản và biện pháp bảo vệ tương đương với các Khoản này để chuyển dữ liệu cá nhân từ quốc gia đó sang quốc gia khác (được gọi là Chuyển dữ liệu ở quốc gia thứ ba).trong Khoản này). Đối với mục đích của hoạt động Chuyển dữ liệu ở quốc gia thứ ba, luật của Quốc gia thành viên được chọn sẽ được coi là luật điều chỉnh, Quốc gia thành viên được chọn sẽ chọn tòa án và cơ quan quản lý hoặc cơ quan bảo vệ dữ liệu của quốc gia đó sẽ là cơ quan giám sát có thẩm quyền. Các Bên cũng đồng ý rằng những thay đổi tiếp theo như vậy sẽ được hiểu là được thực hiện đối với các Khoản liên quan đến hoạt động Chuyển dữ liệu ở quốc gia thứ ba mà cơ quan giám sát đó cho là cần thiết để tuân thủ Luật bảo vệ dữ liệu hiện hành của quốc gia đó, đồng thời các Khoản sẽ được hiểu theo các yêu cầu đối với hoạt động Chuyển dữ liệu ở quốc gia thứ ba phát sinh theo các luật đó hoặc theo quy định khác trong hướng dẫn do cơ quan giám sát hữu quan ban hành. Các Bên không phải ký kết các điều khoản hợp đồng tiêu chuẩn riêng biệt được chuẩn bị riêng cho hoạt động Chuyển dữ liệu ở quốc gia thứ ba. Các Bên sẽ tiếp tục thực hiện tất cả hoạt động cần thiết để đảm bảo tuân thủ Luật bảo vệ dữ liệu hiện hành khi tham gia vào hoạt động Chuyển dữ liệu ở quốc gia thứ ba.”

1.12 Phụ lục 1 (Tổng quan về hoạt động xử lý trong SCC) kèm theo Thỏa thuận C2C này cấu thành Phụ lục 1 của SCC. Phụ lục 2 (Biện pháp kỹ thuật và tổ chức) kèm theo Thỏa thuận C2C này cấu thành Phụ lục 2 của SCC và chỉ áp dụng cho Expedia trong trường hợp quý vị đã cung cấp, cũng như chúng tôi đã chấp nhận, các biện pháp kỹ thuật và tổ chức thỏa đáng để đáp ứng các yêu cầu của quý vị trong Phụ lục 2 của SCC hoặc, nếu không phải trường hợp này, Phụ lục 2 sẽ được hiểu là áp dụng cho cả hai bên và tất cả trường hợp tham chiếu đến Expedia và Expedia Group sẽ được hiểu là tham chiếu đến Expedia và Expedia Group tương ứng. Phụ lục kèm theo Thỏa thuận C2C này cấu thành Phụ lục cho Vương quốc Anh để đáp ứng mục đích của SCC.

PHỤ LỤC I – TỔNG QUAN VỀ HOẠT ĐỘNG XỬ LÝ TRONG SCC

PHẦN 1: Đơn vị kiểm soát với Đơn vị kiểm soát (quý vị với chúng tôi)

A. DANH SÁCH CÁC BÊN

Đơn vị xuất dữ liệu:

Đơn vị nhập dữ liệu:

B.MÔ TẢ HOẠT ĐỘNG CHUYỂN DỮ LIỆU

C. CƠ QUAN GIÁM SÁT CÓ THẨM QUYỀN

Xác định cơ quan giám sát có thẩm quyền theo Khoản 13 của SCC

Cơ quan bảo vệ dữ liệu Ireland

PHẦN 1: Đơn vị kiểm soát với Đơn vị kiểm soát (chúng tôi với quý vị)

A. DANH SÁCH CÁC BÊN

Đơn vị xuất dữ liệu: 

Bên/các bên được ghi là Đơn vị nhập dữ liệu trong Phần Một (1) (quý vị với chúng tôi) bên trên. Xem bên trên để biết thêm chi tiết.

Đơn vị nhập dữ liệu:

Bên/các bên được ghi là Đơn vị xuất dữ liệu trong Phần Một (1) (quý vị với chúng tôi) bên trên. Xem bên trên để biết thêm chi tiết.

B. MÔ TẢ HOẠT ĐỘNG CHUYỂN DỮ LIỆU

C. CƠ QUAN GIÁM SÁT CÓ THẨM QUYỀN

Theo Phần Một (1)

PHỤ LỤC II - BIỆN PHÁP KỸ THUẬT VÀ TỔ CHỨC 

Các biện pháp kỹ thuật và tổ chức áp dụng cho mục đích của Phần Một (1) được trình bày dưới đây.

Phụ lục chuyển dữ liệu quốc tế cho các điều khoản hợp đồng tiêu chuẩn của Ủy ban EU (Phụ lục)

Phụ lục này do Ủy viên Thông tin ban hành dành cho các Bên thực hiện hoạt động Chuyển dữ liệu bị hạn chế. Ủy viên Thông tin cho rằng Phụ lục này cung cấp các Biện pháp bảo vệ thích hợp cho hoạt động Chuyển dữ liệu bị hạn chế khi được ký kết như một hợp đồng ràng buộc về mặt pháp lý.

Phần 1    Danh mục bảng

Phần 2: Các Khoản bắt buộc

Các Khoản bắt buộc của Phụ lục đã được phê duyệt, là mẫu Phụ lục B.1.0 do ICO ban hành và trình cho Quốc hội theo Mục 119A của Đạo luật bảo vệ dữ liệu năm 2018 vào 02/02/2022, như được sửa đổi theo Mục 18 của các Khoản bắt buộc đó.

TAAP 線上合約 - 管控者對管控者合約 (包括 SCC)

本《C2C 合約》之原始英文版已翻譯為其他語言。若主合約英文版本與其他翻譯版本不一致或有差異，應以英文版本為準。

範圍：若 Expedia 與您簽訂合約 (可能採用線上點擊生效條款的形式)，藉以處理個人資料 (據該合約，您受指定為 TAAP 下的行銷合作夥伴，負責處理與該活動相關的所有相關活動) (此類相關活動於本文稱為「 相關活動」)，則此《全球管控者對管控者合約》(下稱「C2C 合約」) 補充並適用於雙方就相關活動簽訂的合約 (下稱「 主合約」)，並載有 Expedia 與您各自處理與主合約相關之個人資料的附加條款、要求與條件。於本《C2C 合約》，「Expedia」、「我們」和「本公司」指 Expedia, Inc. 及/或主合約中的其他 Expedia Group 公司。「您」指主合約所述適用範圍中指定的指定實體。

1. 定義與解釋

1.1 本《C2C 合約》受主合約條款拘束，並納入主合約。除本《C2C 合約》另有規定外，主合約的解釋及定義條款適用於本《C2C 合約》的解釋；且

1. a. 適當的技術性與組織性措施、管控者、個人資料、個人資料外洩、處理、監管機關 (或合理相當的用語) 之意義與相關資料保護法的定義相同；
2. b. 相關資料保護法」指任何相關司法管轄區中，涉及個人資料之使用或處理的任何適用法律和法規；
3. c. 許可目的」指 (i) 完成預訂；(ii) 為預訂提供支援；(iii) TAAP 註冊與帳戶管理；(iv) 根據本合約支付佣金和其他款項；(v) 為您產生報告，以及進行主合約服務上相關協調、投訴處理及類似活動所需的進一步處理；(vi) TAAP 帳戶支援；(vii) 與 TAAP 會員及子使用者通訊；(viii) 改善我們的服務，包括最佳化預訂體驗；(ix) 建立報告，用於分析、商業情報和商業報告；(x) 預防詐欺；(xi) 回應執法機關要求及稅務機關稽核要求；(xii) 促進商業資產交易 (可能延伸至合併、收購或資產出售)；(xiii) 遵守本公司在主合約、Expedia 的隱私權政策和適用法律下的義務；以及 (xiv) 用於確定、計算、申報旅遊稅以及不時要求的其他適用稅款；
4. d. DPF 指美國商務部的「歐盟 - 美國資料隱私框架」認證或歐洲委員會 (或其他相關國家機構) 不時核准的任何替代或補充認證機制；包括其他國家所發布，允許將 DPF 延伸至美國和該第三國 (例如但不限於英國和瑞士) 之間的任何補充適足性決定；
5. e. 限制傳輸國家指歐洲經濟區內的所有國家、瑞士、英國和巴西；
6. f. 限制傳輸資料指與透過本公司有意使限制傳輸國家旅客存取之銷售點進行的預訂相關旅客資料；
7. g.《 標準契約條款》/SCC 指 2021 年 6 月 4 日發布並通過核准的關於從歐盟傳輸個人資料至第三國的歐盟委員會《標準契約條款》，暨其不時修訂、替換、補充或取代之版本；完整的現行版本可參見以下連結： https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en；以及
8. h. TAAP 個人資料指您透過 TAAP 網站向我們提供的個人資料，或與 TAAP 本身有關或促進使用 TAAP 網站進行預訂而處理的個人資料。

當事人之關係

2. 1.2 您與本公司應各自收集與處理個人資料，以履行主合約下的權利義務以及雙方在適用法律下的責任。因此，雙方當事人應：(i) 做為獨立自主的管控者處理個人資料；(ii) 遵守相關資料保護法；以及 (iii) 對其違反相關資料保護法的任何行為或過失負責。

您的責任

1.3 您必須： 

2. a. 具備向我們提供 TAAP 個人資料，以便為許可目的而進行處理的法律依據；
3. b. 透過您的隱私權政策及其他適當方式告知旅客，您將與我們共用其個人資料以用於許可目的；
4. c. 指示旅客閱讀我們的隱私權政策，以進一步了解我們如何處理其個人資料；以及
5. d. 在我們處理主合約相關 TAAP 個人資料的過程中，與我們合作並提供合理協助，以協助我們遵守相關資料保護法。

本公司之責任

1.4 本公司 (以及本集團成員，若適用) 應： 

2. a. 僅基於許可目的處理 TAAP 個人資料；
3. b. 除涉及許可目的外，不向任何人洩露全部或任一部分 TAAP 個人資料；
4. c. 在您處理主合約相關 TAAP 個人資料的過程中，與您合作並提供合理協助，以協助您遵守相關資料保護法；以及
5. d. 在 TAAP 網站上顯示並遵守我們最新的合法 Cookie 聲明 (若有需要)，以及我們的隱私權政策。

旅客與第三人

1.5 您承認，本公司：

2. a. 得寄送與預訂相關電子郵件予旅客；
3. b. 得基於以下目的，將 TAAP 個人資料 (包括銀行資料) 傳輸予我們的服務協力廠商：
   2. i. 經營、管理與支援您和您的代表人及子使用者的 TAAP 帳戶；
   3. ii. 為預訂提供支援；以及
   4. iii. 根據主合約支付佣金和其他款項。

資料安全

1.6 做為管控者：

2. a. 雙方當事人皆應採行適當的技術性和組織性措施，以保護其處理的個人資料，使資料不致外洩；且
3. b. 若當事人擁有或控制之系統內的個人資料外洩，且該個人資料外洩 (i) 將影響他方亦根據主合約處理的 TAAP 個人資料；且 (ii) 可向監管機關報告並提供相同的完整詳細資訊，則當事人應盡速通知他方。此時，雙方當事人應以合理方式基於誠信原則合作，以補救或減輕個人資料外洩的影響，且合作所生的合理費用應由個人資料外洩之一方承擔。

跨境傳輸 

1.7 資料隱私框架 (DPF): 您與本公司約定，將您與本公司之間的限制傳輸資料傳輸至美國，或原始限制傳輸國家的相關資料保護法視為不「適足」的國家/地區時，(a) 若 DPF 為相關機關認可的傳輸方法，則 DPF 應為將資料從限制傳輸國家跨境傳輸至位於美國之本公司的約定機制，且 (b) 若 DPF 不是有效的傳輸方法 (包括將限制傳輸資料傳輸至原始限制傳輸國家之相關資料保護法視為不「適足」的國家/地區)，則 SCC 應適用於此類傳輸；我們將根據下文第 1.11 條簽訂該條款。若您目前亦持有有效的 DPF 認證，則可同樣地根據 DPF 向您傳輸限制傳輸資料，並以 SCC 為後備機制。

1.8 DPF 承襲義務: 您同意將為限制傳輸資料提供至少與 DPF 要求相同級別的保護；若您確定無法再提供此級別的保護，應立即通知我們。此時，或若我們有理由認定您未依 DPF 要求的標準保護限制傳輸資料，我們得：(a) 指示您採取合理適當的措施來停止並改正未經授權的處理，此時您應立即真誠地與我們合作，確定、同意並實施此類措施；(b) 同意可能適用於相關資料保護法下之處理的替代保護措施；或 (c) 向您發出通知，終止本《C2C 合約》及主合約 (或其中受影響的部分，由我們選擇)，且不受處罰。若您目前亦持有有效的 DPF 認證，則視同雙向義務，應適用上述規定和下文第 1.9 條的規定。

1.9 DPF 揭露義務:您承認，我們可能根據美國商務部、聯邦貿易委員會、任何歐洲資料保護機關，或其他美國或歐盟司法或監管機關之要求，向其揭露本《C2C 合約》及主合約中的相關隱私權條款；此類揭露不視為違反保密條款。

1.10 將 SCC 延伸至非限制傳輸國家/地區: 關於您與本公司間 TAAP 個人資料的傳輸，若該資料的來源國家/地區不屬於限制傳輸國家，但根據相關資料保護法，傳輸至來源國之外前，必須遵守其他保護措施 (此類國家/地區稱為「非限制傳輸國家/地區」)，則您與本公司同意：(a) 以下第 1.11 條規定的 SCC 應視為延伸至該額外傳輸 (前提為該延伸符合該特定國家/地區的保障措施)；及/或 (b) 若第 1.11 條規定的措施不足或需要採取補充措施，則雙方同意採取為遵守相關資料保護法而可能不時所需的其他措施，包括簽署相關文件、收集同意書、進行必要的申請。

1.11 根據上述第 1.7 條，您與本公司特此約定，除以下選項外，不做調整而簽訂 SCC：:

2. a. 若您位於根據限制傳輸國家或 GDPR 第 45 條可視為「適足」的國家/地區，則 SCC 模組一 (1) 僅單向適用於您對 Expedia 的傳輸。否則，SCC 模組一雙向適用於我們對您，以及您對我們的傳輸。
3. b. 就 SCC 第 11(a) 條而言，刪除選用內容。
4. c. 就 SCC 第 13 條而言，相關段落為「如附件 I.C 所述，設有歐盟規章 2016/679 第 27(1) 條所稱代表之成員國的監管機關，應擔任主管監督機關。」
5. d. 就 SCC 第 17 條而言，準據法為愛爾蘭法。
6. e. 就 SCC 第 18(b) 條而言，管轄地為愛爾蘭。
7. f. SCC 新增第 19 條，以規範由英國至英國境外的個人資料傳輸，規定如下：

「第 19 條

英國 GDPR 和 2018 年《資料保護法》

雙方同意，涉及相關傳輸作業時，本條款應延伸適用，以涵蓋英國 GDPR 和 2018 年《資料保護法》下之跨境傳輸 (下稱「 英國傳輸」)。就此類英國傳輸而言，《標準契約條款》B1.0 版之〈國際資料傳輸附錄〉(暨其不時修訂、替換、補充或取代之版本) 應依附錄表單之規定予以適用。」

2. h. SCC 新增第 20 條，以規範由瑞士至瑞士境外的個人資料傳輸，規定如下：

「第 20 條

瑞士 - FADP

雙方同意，涉及相關傳輸作業時，本條款應延伸適用，以涵蓋《聯邦資料保護法》( FADP) 下之跨境傳輸 (於本條稱為「瑞士傳輸」)。就此類瑞士傳輸而言，準據法應視為選定成員國之法律，審判地應為選定成員國之法院，而主管監管機關應為聯邦資料保護與資訊專員 (FDPIC)。雙方進一步同意，就瑞士傳輸而言，若 FCPIC 認為係遵守英國 GDPR 和 FADP 所需，則條款應解釋為進一步變更，且條款應根據該法律或 FDPIC 發布之指引，就瑞士傳輸之要求進行解釋，雙方無需為瑞士傳輸專門簽訂《標準契約條款》。雙方應進一步採取一切可能必要之行動與事項，以確保於進行瑞士傳輸時遵守 FADP。」

2. i. SCC 新增第 21 條，以規範由巴西至巴西境外的個人資料傳輸，規定如下：

「第 21 條

巴西 - LGPD

雙方同意，涉及相關傳輸作業時，本條款應延伸適用，以涵蓋巴西《通用資料保護法》No. 13,709/18 (Lei Geral de Proteção de Dados，「LGPD」) 下之跨境傳輸 (於本條稱為「巴西傳輸」)。就此類巴西傳輸而言，準據法應視為選定成員國之法律，審判地應為選定成員國之法院，而主管監管機關應為巴西國家資料保護局 (ANPD)。雙方進一步同意，就巴西傳輸而言，若 ANPD 認為係遵守 LGPD 所需，則條款應解釋為進一步變更，且條款應根據該法律或 ANPD 或其他相關巴西主管機關發布之指引，就巴西傳輸之要求進行解釋，雙方無需為巴西傳輸專門簽訂《標準契約條款》。雙方應進一步採取一切可能必要之行動與事項，以確保於進行巴西傳輸時遵守 LGPD。」

2. j. SCC 新增第 22 條，以涵蓋來自本文未指定但可延伸適用 SCC 的其他國家/地區的個人資料傳輸，以便於將來自該國家/地區的個人資料傳輸至該國家/地區以外的當事人所在地時，確保適當的保護措施，規定如下：

「第 22 條

其他第三國/地區傳輸

雙方同意，涉及相關傳輸作業時，本條款應延伸適用，以涵蓋相關司法管轄區針對個人資料的使用或處理實施其他適用法律與法規 (相關資料保護法)，要求於將個人資料由該國/地區傳輸至其他國家/地區時 (於本條稱為「第三國/地區傳輸」)，實施與本條款大致相同之條款和保護之情形下的跨境傳輸。就此類第三國/地區傳輸而言，準據法應視為選定成員國之法律，審判地應為選定成員國之法院，而主管監管機關應為該第三國/地區之資料保護機關或監管機關。雙方進一步同意，就第三國/地區傳輸而言，若該監管機關認為係遵守該第三國/地區之相關資料保護法所需，則條款應解釋為進一步變更，且條款應根據該法律或其他相關監管機關發布之指引，就第三國/地區傳輸之要求進行解釋，雙方無需為第三國/地區傳輸專門簽訂《標準契約條款》。雙方應進一步採取一切可能必要之行動與事項，以確保於進行第三國/地區傳輸時，遵守相關資料保護法。」

1.12 本《C2C 合約》附件 1 (SCC 處理概述) 構成 SCC 的附件 1。本《C2C 合約》的附件 2 (技術性與組織性措施) 構成 SCC 的附件 2；若您已提供且我們已接受符合 SCC 附件 2 要求的充分技術和組織措施，則僅適用於 Expedia；若情況並非如此，則附件 2 應解釋為適用於雙方，且所有提及 Expedia 和 Expedia Group 之處亦應相應解釋為提及任一方當事人。本《C2C 合約》的附錄構成 SCC 所稱的「英國附錄」。

附件 I - SCC 處理概述

模組一：管控者對管控者 (您對本公司)

A. 當事人清單

資料匯出者：

資料匯入者： 

B. 傳輸說明

C. 主管監管機關

根據 SCC 第 13 條指定主管監管機關

愛爾蘭資料保護局

模組一：管控者對管控者 (本公司對您)

A. 當事人清單

資料匯出者： 

上述模組一 (1) (您對本公司) 中指定為資料匯入者的一方。詳情如前所述。

資料匯入者：

上述模組一 (1) (您對本公司) 中指定為資料匯出者的一方。詳情如前所述。

B. 傳輸說明

C. 主管監管機關

見模組一 (1)

附件 II - 技術性與組織性措施 

就模組一 (1) 而言，適用的技術性與組織性措施如下。

歐盟委員會《標準契約條款》國際資料傳輸附錄

本附錄由資訊專員發布，適用於進行限制傳輸的當事人。資訊專員認為，簽訂為具法律拘束力的契約時，其為限制傳輸提供了適當的保障措施。

第 1 部分 表格

第 3 部分： 強制條款

經核准之附錄的強制條款為 ICO 發布的附錄 B.1.0 範本，根據強制條款第 18 條進行修訂，並根據 2018 年《資料保護法》第 119A 條，於 2022 年 2 月 2 日提交國會審理。

TAAP 線上合約 - 管控者對管控者合約 (包括 SCC)

本《C2C 合約》之原始英文版已翻譯為其他語言。若主合約英文版本與其他翻譯版本不一致或有差異，應以英文版本為準。

範圍：若 Expedia 與您簽訂合約 (可能採用線上點擊生效條款的形式)，藉以處理個人資料 (據該合約，您受指定為 TAAP 下的行銷合作夥伴，負責處理與該活動相關的所有相關活動) (此類相關活動於本文稱為「 相關活動」)，則此《全球管控者對管控者合約》(下稱「C2C 合約」) 補充並適用於雙方就相關活動簽訂的合約 (下稱「 主合約」)，並載有 Expedia 與您各自處理與主合約相關之個人資料的附加條款、要求與條件。於本《C2C 合約》，「Expedia」、「我們」和「本公司」指 Expedia, Inc. 及/或主合約中的其他 Expedia Group 公司。「您」指主合約所述適用範圍中指定的指定實體。

1. 定義與解釋

1.1 本《C2C 合約》受主合約條款拘束，並納入主合約。除本《C2C 合約》另有規定外，主合約的解釋及定義條款適用於本《C2C 合約》的解釋；且

1. a. 適當的技術性與組織性措施、管控者、個人資料、個人資料外洩、處理、監管機關 (或合理相當的用語) 之意義與相關資料保護法的定義相同；
2. b. 相關資料保護法」指任何相關司法管轄區中，涉及個人資料之使用或處理的任何適用法律和法規；
3. c. 許可目的」指 (i) 完成預訂；(ii) 為預訂提供支援；(iii) TAAP 註冊與帳戶管理；(iv) 根據本合約支付佣金和其他款項；(v) 為您產生報告，以及進行主合約服務上相關協調、投訴處理及類似活動所需的進一步處理；(vi) TAAP 帳戶支援；(vii) 與 TAAP 會員及子使用者通訊；(viii) 改善我們的服務，包括最佳化預訂體驗；(ix) 建立報告，用於分析、商業情報和商業報告；(x) 預防詐欺；(xi) 回應執法機關要求及稅務機關稽核要求；(xii) 促進商業資產交易 (可能延伸至合併、收購或資產出售)；(xiii) 遵守本公司在主合約、Expedia 的隱私權政策和適用法律下的義務；以及 (xiv) 用於確定、計算、申報旅遊稅以及不時要求的其他適用稅款；
4. d. DPF 指美國商務部的「歐盟 - 美國資料隱私框架」認證或歐洲委員會 (或其他相關國家機構) 不時核准的任何替代或補充認證機制；包括其他國家所發布，允許將 DPF 延伸至美國和該第三國 (例如但不限於英國和瑞士) 之間的任何補充適足性決定；
5. e. 限制傳輸國家指歐洲經濟區內的所有國家、瑞士、英國和巴西；
6. f. 限制傳輸資料指與透過本公司有意使限制傳輸國家旅客存取之銷售點進行的預訂相關旅客資料；
7. g.《 標準契約條款》/SCC 指 2021 年 6 月 4 日發布並通過核准的關於從歐盟傳輸個人資料至第三國的歐盟委員會《標準契約條款》，暨其不時修訂、替換、補充或取代之版本；完整的現行版本可參見以下連結： https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en；以及
8. h. TAAP 個人資料指您透過 TAAP 網站向我們提供的個人資料，或與 TAAP 本身有關或促進使用 TAAP 網站進行預訂而處理的個人資料。

當事人之關係

2. 1.2 您與本公司應各自收集與處理個人資料，以履行主合約下的權利義務以及雙方在適用法律下的責任。因此，雙方當事人應：(i) 做為獨立自主的管控者處理個人資料；(ii) 遵守相關資料保護法；以及 (iii) 對其違反相關資料保護法的任何行為或過失負責。

您的責任

1.3 您必須： 

2. a. 具備向我們提供 TAAP 個人資料，以便為許可目的而進行處理的法律依據；
3. b. 透過您的隱私權政策及其他適當方式告知旅客，您將與我們共用其個人資料以用於許可目的；
4. c. 指示旅客閱讀我們的隱私權政策，以進一步了解我們如何處理其個人資料；以及
5. d. 在我們處理主合約相關 TAAP 個人資料的過程中，與我們合作並提供合理協助，以協助我們遵守相關資料保護法。

本公司之責任

1.4 本公司 (以及本集團成員，若適用) 應： 

2. a. 僅基於許可目的處理 TAAP 個人資料；
3. b. 除涉及許可目的外，不向任何人洩露全部或任一部分 TAAP 個人資料；
4. c. 在您處理主合約相關 TAAP 個人資料的過程中，與您合作並提供合理協助，以協助您遵守相關資料保護法；以及
5. d. 在 TAAP 網站上顯示並遵守我們最新的合法 Cookie 聲明 (若有需要)，以及我們的隱私權政策。

旅客與第三人

1.5 您承認，本公司：

2. a. 得寄送與預訂相關電子郵件予旅客；
3. b. 得基於以下目的，將 TAAP 個人資料 (包括銀行資料) 傳輸予我們的服務協力廠商：
   2. i. 經營、管理與支援您和您的代表人及子使用者的 TAAP 帳戶；
   3. ii. 為預訂提供支援；以及
   4. iii. 根據主合約支付佣金和其他款項。

資料安全

1.6 做為管控者：

2. a. 雙方當事人皆應採行適當的技術性和組織性措施，以保護其處理的個人資料，使資料不致外洩；且
3. b. 若當事人擁有或控制之系統內的個人資料外洩，且該個人資料外洩 (i) 將影響他方亦根據主合約處理的 TAAP 個人資料；且 (ii) 可向監管機關報告並提供相同的完整詳細資訊，則當事人應盡速通知他方。此時，雙方當事人應以合理方式基於誠信原則合作，以補救或減輕個人資料外洩的影響，且合作所生的合理費用應由個人資料外洩之一方承擔。

跨境傳輸 

1.7 資料隱私框架 (DPF): 您與本公司約定，將您與本公司之間的限制傳輸資料傳輸至美國，或原始限制傳輸國家的相關資料保護法視為不「適足」的國家/地區時，(a) 若 DPF 為相關機關認可的傳輸方法，則 DPF 應為將資料從限制傳輸國家跨境傳輸至位於美國之本公司的約定機制，且 (b) 若 DPF 不是有效的傳輸方法 (包括將限制傳輸資料傳輸至原始限制傳輸國家之相關資料保護法視為不「適足」的國家/地區)，則 SCC 應適用於此類傳輸；我們將根據下文第 1.11 條簽訂該條款。若您目前亦持有有效的 DPF 認證，則可同樣地根據 DPF 向您傳輸限制傳輸資料，並以 SCC 為後備機制。

1.8 DPF 承襲義務: 您同意將為限制傳輸資料提供至少與 DPF 要求相同級別的保護；若您確定無法再提供此級別的保護，應立即通知我們。此時，或若我們有理由認定您未依 DPF 要求的標準保護限制傳輸資料，我們得：(a) 指示您採取合理適當的措施來停止並改正未經授權的處理，此時您應立即真誠地與我們合作，確定、同意並實施此類措施；(b) 同意可能適用於相關資料保護法下之處理的替代保護措施；或 (c) 向您發出通知，終止本《C2C 合約》及主合約 (或其中受影響的部分，由我們選擇)，且不受處罰。若您目前亦持有有效的 DPF 認證，則視同雙向義務，應適用上述規定和下文第 1.9 條的規定。

1.9 DPF 揭露義務:您承認，我們可能根據美國商務部、聯邦貿易委員會、任何歐洲資料保護機關，或其他美國或歐盟司法或監管機關之要求，向其揭露本《C2C 合約》及主合約中的相關隱私權條款；此類揭露不視為違反保密條款。

1.10 將 SCC 延伸至非限制傳輸國家/地區: 關於您與本公司間 TAAP 個人資料的傳輸，若該資料的來源國家/地區不屬於限制傳輸國家，但根據相關資料保護法，傳輸至來源國之外前，必須遵守其他保護措施 (此類國家/地區稱為「非限制傳輸國家/地區」)，則您與本公司同意：(a) 以下第 1.11 條規定的 SCC 應視為延伸至該額外傳輸 (前提為該延伸符合該特定國家/地區的保障措施)；及/或 (b) 若第 1.11 條規定的措施不足或需要採取補充措施，則雙方同意採取為遵守相關資料保護法而可能不時所需的其他措施，包括簽署相關文件、收集同意書、進行必要的申請。

1.11 根據上述第 1.7 條，您與本公司特此約定，除以下選項外，不做調整而簽訂 SCC：:

2. a. 若您位於根據限制傳輸國家或 GDPR 第 45 條可視為「適足」的國家/地區，則 SCC 模組一 (1) 僅單向適用於您對 Expedia 的傳輸。否則，SCC 模組一雙向適用於我們對您，以及您對我們的傳輸。
3. b. 就 SCC 第 11(a) 條而言，刪除選用內容。
4. c. 就 SCC 第 13 條而言，相關段落為「如附件 I.C 所述，設有歐盟規章 2016/679 第 27(1) 條所稱代表之成員國的監管機關，應擔任主管監督機關。」
5. d. 就 SCC 第 17 條而言，準據法為愛爾蘭法。
6. e. 就 SCC 第 18(b) 條而言，管轄地為愛爾蘭。
7. f. SCC 新增第 19 條，以規範由英國至英國境外的個人資料傳輸，規定如下：

「第 19 條

英國 GDPR 和 2018 年《資料保護法》

雙方同意，涉及相關傳輸作業時，本條款應延伸適用，以涵蓋英國 GDPR 和 2018 年《資料保護法》下之跨境傳輸 (下稱「 英國傳輸」)。就此類英國傳輸而言，《標準契約條款》B1.0 版之〈國際資料傳輸附錄〉(暨其不時修訂、替換、補充或取代之版本) 應依附錄表單之規定予以適用。」

2. h. SCC 新增第 20 條，以規範由瑞士至瑞士境外的個人資料傳輸，規定如下：

「第 20 條

瑞士 - FADP

雙方同意，涉及相關傳輸作業時，本條款應延伸適用，以涵蓋《聯邦資料保護法》( FADP) 下之跨境傳輸 (於本條稱為「瑞士傳輸」)。就此類瑞士傳輸而言，準據法應視為選定成員國之法律，審判地應為選定成員國之法院，而主管監管機關應為聯邦資料保護與資訊專員 (FDPIC)。雙方進一步同意，就瑞士傳輸而言，若 FCPIC 認為係遵守英國 GDPR 和 FADP 所需，則條款應解釋為進一步變更，且條款應根據該法律或 FDPIC 發布之指引，就瑞士傳輸之要求進行解釋，雙方無需為瑞士傳輸專門簽訂《標準契約條款》。雙方應進一步採取一切可能必要之行動與事項，以確保於進行瑞士傳輸時遵守 FADP。」

2. i. SCC 新增第 21 條，以規範由巴西至巴西境外的個人資料傳輸，規定如下：

「第 21 條

巴西 - LGPD

雙方同意，涉及相關傳輸作業時，本條款應延伸適用，以涵蓋巴西《通用資料保護法》No. 13,709/18 (Lei Geral de Proteção de Dados，「LGPD」) 下之跨境傳輸 (於本條稱為「巴西傳輸」)。就此類巴西傳輸而言，準據法應視為選定成員國之法律，審判地應為選定成員國之法院，而主管監管機關應為巴西國家資料保護局 (ANPD)。雙方進一步同意，就巴西傳輸而言，若 ANPD 認為係遵守 LGPD 所需，則條款應解釋為進一步變更，且條款應根據該法律或 ANPD 或其他相關巴西主管機關發布之指引，就巴西傳輸之要求進行解釋，雙方無需為巴西傳輸專門簽訂《標準契約條款》。雙方應進一步採取一切可能必要之行動與事項，以確保於進行巴西傳輸時遵守 LGPD。」

2. j. SCC 新增第 22 條，以涵蓋來自本文未指定但可延伸適用 SCC 的其他國家/地區的個人資料傳輸，以便於將來自該國家/地區的個人資料傳輸至該國家/地區以外的當事人所在地時，確保適當的保護措施，規定如下：

「第 22 條

其他第三國/地區傳輸

雙方同意，涉及相關傳輸作業時，本條款應延伸適用，以涵蓋相關司法管轄區針對個人資料的使用或處理實施其他適用法律與法規 (相關資料保護法)，要求於將個人資料由該國/地區傳輸至其他國家/地區時 (於本條稱為「第三國/地區傳輸」)，實施與本條款大致相同之條款和保護之情形下的跨境傳輸。就此類第三國/地區傳輸而言，準據法應視為選定成員國之法律，審判地應為選定成員國之法院，而主管監管機關應為該第三國/地區之資料保護機關或監管機關。雙方進一步同意，就第三國/地區傳輸而言，若該監管機關認為係遵守該第三國/地區之相關資料保護法所需，則條款應解釋為進一步變更，且條款應根據該法律或其他相關監管機關發布之指引，就第三國/地區傳輸之要求進行解釋，雙方無需為第三國/地區傳輸專門簽訂《標準契約條款》。雙方應進一步採取一切可能必要之行動與事項，以確保於進行第三國/地區傳輸時，遵守相關資料保護法。」

1.12 本《C2C 合約》附件 1 (SCC 處理概述) 構成 SCC 的附件 1。本《C2C 合約》的附件 2 (技術性與組織性措施) 構成 SCC 的附件 2；若您已提供且我們已接受符合 SCC 附件 2 要求的充分技術和組織措施，則僅適用於 Expedia；若情況並非如此，則附件 2 應解釋為適用於雙方，且所有提及 Expedia 和 Expedia Group 之處亦應相應解釋為提及任一方當事人。本《C2C 合約》的附錄構成 SCC 所稱的「英國附錄」。

附件 I - SCC 處理概述

模組一：管控者對管控者 (您對本公司)

A. 當事人清單

資料匯出者：

資料匯入者： 

B. 傳輸說明

C. 主管監管機關

根據 SCC 第 13 條指定主管監管機關

愛爾蘭資料保護局

模組一：管控者對管控者 (本公司對您)

A. 當事人清單

資料匯出者： 

上述模組一 (1) (您對本公司) 中指定為資料匯入者的一方。詳情如前所述。

資料匯入者：

上述模組一 (1) (您對本公司) 中指定為資料匯出者的一方。詳情如前所述。

B. 傳輸說明

C. 主管監管機關

見模組一 (1)

附件 II - 技術性與組織性措施 

就模組一 (1) 而言，適用的技術性與組織性措施如下。

歐盟委員會《標準契約條款》國際資料傳輸附錄

本附錄由資訊專員發布，適用於進行限制傳輸的當事人。資訊專員認為，簽訂為具法律拘束力的契約時，其為限制傳輸提供了適當的保障措施。

第 1 部分 表格

第 3 部分： 強制條款

經核准之附錄的強制條款為 ICO 發布的附錄 B.1.0 範本，根據強制條款第 18 條進行修訂，並根據 2018 年《資料保護法》第 119A 條，於 2022 年 2 月 2 日提交國會審理。

Controller TAAP-nettavtale – avtale mellom behandlingsansvarlige (inkludert standardavtalevilkår)

Den opprinnelige engelske versjonen av denne avtalen mellom behandlingsansvarlige (controller to controller, C2C) kan ha blitt oversatt til andre språk. Ved eventuelt manglende samsvar eller avvik mellom den engelske versjonen og andre språkversjoner av denne avtalen skal den engelske språkversjonen gjelde.

OMFANG: Når henholdsvis Expedia og du behandler personopplysninger som en del av en avtale (f.eks. i form av nettbaserte «klikk og godkjenn»-vilkår) som er inngått med den andre parten (en avtale som sier at du har blitt utnevnt til markedsføringspartner under TAAP, og der alle relevante aktiviteter knyttet til slik aktivitet heri omtales som «relevanteaktiviteter»), vil denne globale avtalen mellom to behandlingsansvarlige («C2C-avtalen») komme i tillegg til og gjelde for den avtalen som er inngått mellom partene i forbindelse med de relevante aktivitetene (« avtalen») og angi ytterligere vilkår, krav og betingelser for Expedias og din behandling av personopplysninger i forbindelse med avtalen.I denne avtalen mellom behandlingsansvarlige viser «Expedia», « vi» og « oss» til Expedia, Inc. og/eller andre Expedia Group-selskaper som er part i avtalen. «Du» viser til den navngitte enheten som er angitt på søknaden som beskrevet i avtalen (og alle henvisninger til enten Expedia eller du vil tolkes som flertallsord i den grad avtalen krever det).

1.1. DEFINISJONER OG TOLKNING

1.1 Denne avtalen mellom behandlingsansvarlige er underlagt vilkårene i avtalen og er innlemmet i avtalen.Tolkninger og definerte vilkår som er angitt i avtalen, gjelder for tolkningen av denne avtalen mellom behandlingsansvarlige med mindre noe annet er definert i denne avtalen mellom behandlingsansvarlige

1. a. Begrepene egnede tekniske og organisatoriske tiltak, behandlingsansvarlig, personopplysninger, brudd på datasikkerheten, behandle/behandling og tilsynsmyndighet (eller rimelige tilsvarende begreper) skal ha betydningene de har fått i den gjeldende personvernlovgivningen.
2. b. b. Gjeldende personvernlovgivning betyr alle gjeldende lover og forskrifter i enhver relevant jurisdiksjon knyttet til bruken eller behandlingen av personopplysninger .
3. c. Tillatte formål betyr formålet med å (i) gjennomføre bestillinger, (ii) yte støtte ved bestillinger, (iii) TAAP-registrering og kontoadministrasjon, (iv) betale provisjon og andre beløp i henhold til denne avtalen, (v) generere rapporter for deg og all videre behandling som kreves i forbindelse med avstemming, klagehåndtering og lignende aktiviteter knyttet til tjenesteyting under avtalen, (vi) TAAP-kontostøtte, (vii) kommunikasjon med TAAP-medlemmer og underbrukere, (viii) forbedre tjenestene våre inkludert optimalisere bestillingsopplevelsen, (ix) opprette rapporter for analyse, business intelligence og forretningsrapportering, (x) forebygge svindel, (xi) respondere på forespørsler fra politi- og skattemyndighet samt revisjonsforespørsler, (xii) tilrettelegge for transaksjon av driftsmidler (som kan omhandle fusjoner, oppkjøp eller aksjesalg) og (xiii) på annen måte overholde våre forpliktelser under denne avtalen, Expedias personvernerklæring og gjeldende lover og (xiv) for den fastsettelse, beregning, rapportering av reiseavgifter og andre aktuelle skatteformål som måtte bli påkrevd fra tid til annen.
4. d. DPF står for en Data Privacy Framework-sertifisering mellom EU og USA inngått med det amerikanske handelsdepartementet eller den erstatnings- eller tilleggsmekanismen for sertifisering som til enhver tid er godkjent av EU-kommisjonen (eller annen relevant nasjonal myndighet), og omfatter alle supplerende adekvansbeslutninger utstedt av andre land, som tillater at DPF utvides til å gjelde mellom USA og det aktuelle tredjelandet (for eksempel, men ikke begrenset til, Storbritannia og Sveits)
5. e. e. Land med begrenset overføring betyr alle EØS-landene samt Sveits, Storbritannia og Brasil. Samarbejdsområde, Schweiz, Storbritannien og Brasilien.
6. f. f. Begrensede overføringsdata betyr kundedata knyttet til en bestilling gjort via et salgssted som vi kun har ment skulle brukes av kunder i et land med begrenset overføring.
7. g. f. Begrensede overføringsdata betyr EU-kommisjonens godkjente standardavtalevilkår for overføring av personopplysninger fra EU til tredjeland, som ble utstedt 4. juni 2021, herunder de til enhver tid gjeldende endringer, erstatninger, tillegg eller avløsninger. Du finner hele den gjeldende versjonen ved å følge denne linken: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en. https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en.
8. h. h.TAAP-personopplysninger betyr personopplysninger som oppgis til oss via TAAP-nettstedet, eller som behandles på annen måte i forbindelse med TAAP eller med den tilrettelegging av bestillinger som skjer via TAAP-nettstedet.

Partenes relasjon

1. 1.2 Både du og vi skal samle inn og behandle personopplysninger for å overholde våre respektive rettigheter og plikter under avtalen, i tillegg til dine og våre respektive ansvarsområder under gjeldende lovgivning.Som sådan skal hver av partene (i) behandle personopplysninger som uavhengige og autonome behandlingsansvarlige, (ii) overholde den gjeldende personvernlovgivningen og (iii) ta ansvar for egne handlinger eller utelatelser som måtte være i strid med den gjeldende personvernlovgivningen.

Ditt ansvar

1.3 Du må 

1. a. kunne oppgi et rettslig grunnlag for å gi oss tilgang til TAAP-personopplysningene, slik at de kan behandles i samsvar med de tillatte formålene
2. b. sørge for at kundene informeres via din personvernerklæring og andre egnede tiltak om at deres personopplysninger vil bli delt med oss for de tillatte formålene
3. c. gi kundene tilgang til vår personvernerklæring med mer informasjon om vår behandling av deres personopplysninger
4. d. samarbeide med oss og gi oss rimelig hjelp med å overholde den gjeldende personvernlovgivningen i vår behandling av TAAP-personopplysninger i forbindelse med avtalen

Vårt ansvar

1.4 Vi (og våre konsernmedlemmer når det er aktuelt) skal 

1. a. kun behandle TAAP-personopplysninger i forbindelse med et tillatt formål.
2. b. ikke utlevere hele eller deler av TAAP-personopplysningene til noen, bortsett fra i forbindelse med et tillatt formål
3. c. samarbeide med deg og gi deg rimelig hjelp med din overholdelse av gjeldende personvernlovgivning i din behandling av TAAP-personopplysninger i forbindelse med avtalen
4. d. vise og overholde vårt lovlige og oppdaterte varsel om informasjonskapsler (hvis påkrevd) og vår personvernerklæring på TAAP-nettstedet

Kunder og tredjeparter

1.5 Du erkjenner at vi

1. a. kan sende e-post til kunder i forbindelse med bestillinger
2. b. kan overføre TAAP-personopplysninger (inkludert bankdata) til våre tredjeparts tjenesteleverandører med følgende formål:
   1. i. administrere, håndtere og støtte din TAAP-konto, dine representanters TAAP-konto og underbrukernes TAAP-konto
   2. ii. bidra med støtte til bestillinger.
   3. iii. betale provisjon og andre beløp i samsvar med avtalen.

Datasikkerhet

1.6 Som behandlingsansvarlige skal begge parter

1. a.Opprettholde egnede tekniske og organisatoriske tiltak for å beskytte personopplysningene de behandler, mot sikkerhetsbrudd.
2. b. Hvis det skulle oppstå et bekreftet brudd på datasikkerheten i systemene som parten eier eller kontrollerer, umiddelbart varsle den andre parten hvis sikkerhetshendelsen både (i) rammer TAAP-personopplysninger som også behandles av den andre parten under avtalen, og (ii) skal rapporteres til en tilsynsmyndighet med alle detaljer om hendelsen.I så fall skal begge partene samarbeide innen rimelighetens grenser og i god tro om å løse eller bøte på konsekvensene av sikkerhetshendelsen, og de rimelige kostnadene for slikt samarbeid skal bæres av parten som ble utsatt for sikkerhetshendelsen.

Overføringer over landegrenser 

1.7 Data Privacy Framework (DPF): Du og vi accepterer, at i forbindelse med overførsler af data med begrænset overførsel mellem dig og os til USA eller et land, der ikke anses for "tilstrækkeligt" i henhold til gældende databeskyttelseslovgivning i det oprindelige land med begrænset overførsel, (a) i det omfang og så længe, at DPF er en anerkendt overførselsmetode ifølge en relevant myndighed, vil DPF være den aftalte mekanisme for overførsler på tværs af landegrænser af data, der overføres fra et land med begrænset overførsel, til os i USA, og (b) i det omfang og så længe, at DPF ikke er en gyldig overførselsmetode (herunder for overførsler af data med begrænset overførsel til et land, der ikke anses for "tilstrækkeligt" i henhold til gældende databeskyttelseslovgivning i det oprindelige lande med begrænset overførsel), skal standardkontraktbestemmelserne gælde for sådanne overførsler, og vi vil indgå dem på det grundlag, der er angivet i afsnit 1.11 nedenfor. Når du samtidig har en opdateret DPF-certificering, kan overførsler af data med begrænset overførsel til dig ske på samme måde i henhold til DPF, mens standardkontraktbestemmelserne fungerer som en reservemekanisme som beskrevet ovenfor.Du og vi er enige om at hva angår overføringer av begrensede data mellom deg og oss til USA eller et land som ikke har fått en «adekvansbeslutning» i henhold til den gjeldende personvernlovgivningen til det aktuelle avsenderlandet som er et land med begrenset overføring (a) i den grad og så lenge myndighetene anerkjenner DPF som en akseptabel overføringsmetode, skal DPF være den avtalte mekanismen for grensekryssende overføring av data fra et land med begrenset overføring til oss i USA, og (b) i den grad og så lenge DPF ikke er en gyldig overføringsmetode (herunder for overføring av begrensede overføringsdata til et land hvor det ikke foreligger noen «adekvansbeslutning» i henhold til den gjeldende personvernlovgivningen i avsenderlandet som er et land med begrenset overføring), skal standardavtalevilkårene gjelde for slike overføringer, og vi vil inngå dem basert på paragraf 1.11 nedenfor.Når du også har en gjeldende DPF-sertifisering, kan overføringer av begrensede. overføringsdata til deg gjøres på samme måte i henhold til DPF med standardavtalevilkårene som en reservemekanisme som angitt over.

1.8 Nedstrøms DPF-forpliktelser: Du samtykker i at du vil gi de begrensede overføringsdataene samme beskyttelse som kreves under DPF, og at du umiddelbart vil varsle oss hvis du bestemmer deg for at du ikke lenger kan levere dette beskyttelsesnivået.I så fall, eller hvis vi ellers med rimelighet tror at du ikke beskytter de begrensede overføringsdataene i henhold til standarden som kreves under DPF, kan vi enten (a) instruere deg om å gjennomføre rimelige og egnede tiltak for å stanse og utbedre all uautorisert behandling, noe som innebærer at du umiddelbart vil samarbeide med oss i god tro om å identifisere, godta og gjennomføre slike tiltak, (b) avtale en alternativ sikkerhetsordning som kan gjelde for behandlingen i henhold til den gjeldende personvernlovgivningen, eller (c) si opp denne avtalen mellom behandlingsansvarlige og avtalen (eller, etter vårt skjønn, berørte deler av den) uten noen straff gjennom et varsel til deg.Hvis du også har en gjeldende DPF-sertifisering, skal bestemmelsene ovenfor og bestemmelsene i paragraf 1.9 nedenfor anses å gjelde som om forpliktelsene går begge veier.

1.9 DPF-delingsforpliktelser :Du erkjenner at vi kan dele denne avtalen mellom behandlingsansvarlige og alle relevante personvernbestemmelser i avtalen med USAs handelsdepartement, Federal Trade Commission, enhver europeisk personvernmyndighet eller andre rettslige organer eller tilsynsmyndigheter i USA eller EU på forespørsel, og at slik deling ikke skal anses som noe brudd på taushetsplikten. 

1.10 La standardavtalevilkår utvides til å gjelde ikke-begrensede overføringsland:I forbindelse med overføringer av TAAP-personopplysninger mellom deg og oss fra et land som ikke er et land med begrenset overføring, men som på andre måter er underlagt sikkerhetsordninger som, i henhold til gjeldende personvernlovgivning, må brukes før TAAP-personopplysningene kan sendes ut av avsenderlandet (begge landene er ikke-begrensede overføringsland), er du og vi enige om at (a) standardavtalevilkårene som er angitt i paragraf 1.11 under, skal anses å gjelde også for slike tilleggsoverføringer i den grad slik ansett utvidelse vil oppfylle det spesifikke landets krav til sikkerhetsordninger, og/eller (b) når tiltakene som angis i paragraf 1.11 er utilstrekkelige eller krever tilleggstiltak, er partene enige om å gjennomføre slike ytterligere tiltak, inkludert for eksempel utfylling av relevante dokumenter, innhenting av samtykke samt gjennomføring av det som til enhver tid måtte kreves av arkivering for å overholde gjeldende personvernlovgivning.

1.11 Underlagt paragraf 1.7 over samtykker du og vi herved til å godta alle standardavtalevilkår uten endringer, bortsett fra følgende::

1. a.Når du befinner deg i et land som enten er et land med begrenset overføring eller har fått en «adekvansbeslutning» i samsvar med artikkel 45 i personvernforordningens, vil modul én (1) i standardavtalevilkårene kun gjelde énveis for overføringer fra deg til Expedia.Ellers vil modul én i standardavtalevilkårene gjelde toveis ved å dekke overføringer både fra oss til deg og deg til oss
2. b. For formålet i paragraf 11(a) i standardavtalevilkårene slettes det valgfrie språket.
3. c. For formålet i paragraf 13 i standardavtalevilkårene er den relevante paragrafen «Tilsynsmyndigheten i medlemsstaten der representanten i betydningen til artikkel 27(1) i EU-forordning 2016/679 er etablert, som angitt i vedlegg I.C, skal fungere som kompetent tilsynsmyndighet».
4. d. For formålet i paragraf 17 i standardavtalevilkårene er Irlands lover gjeldende lov.
5. e. For formålet i paragraf 18(b) i standardavtalevilkårene er valget Irland.
6. f. Følgende nye paragraf 19 er lagt til i standardavtalevilkårene for å dekke overføringer av personopplysninger fra Storbritannia til utenfor Storbritannia:

«Paragraf 19

Storbritannias GDPR og DPA 2018

Partene er enige om at disse paragrafene vil utvides og gjelde, i den grad det er relevant for den aktuelle overføringen, for grensekryssende overføringer som omfattes av Storbritannias personvernforordning og personvernlovgivning av 2018 (enbritisk overføring).I forbindelse med slik britisk overføring skal bestemmelsene i tillegget om internasjonal dataoverføring i standardavtalevilkårenes versjon B1.0 (med de til enhver tid gjeldende endringer, erstatninger, suppleringer eller avløsninger) gjelde som angitt i skjemaet som er vedlagt som tillegget».

1. h. Følgende nye paragraf 20 er lagt til i standardavtalevilkårene for å dekke overføringer av personopplysninger fra Sveits til utenfor Sveits:

«Paragraf 20

Sveits – FADP

Partene er enige om at disse paragrafene skal utvides og gjelde, i den grad det er relevant for den aktuelle overføringen, for grensekryssende overføringer som omfattes av personvernlovgivningen i Sveits FADP (Federal Act of Data Protection) (omtalt i denne paragrafen som en sveitsisk overføring). For slike sveitsiske overføringer skal gjeldende lov anses å være den valgte medlemsstatens, valget av forum skal være den valgte medlemsstatens, og ( FDPIC),(Federal Data Protection and Information Commissioner) skal være kompetent tilsynsmyndighet.Partene godtar dessuten at slike andre endringer av paragrafer skal utlegges som å være gjort i forbindelse med sveitsisk overføring, fordi FCPIC anser at det er nødvendig for å overholde Storbritannias GDPR og FADP, og paragrafene skal tolkes i samsvar med de kravene til sveitsiske overføringer som oppstår under disse lovene, eller slik det på annen måte angis i veiledning utstedt av FDPIC, uten at partene trenger å inngå egne standardavtalevilkår utarbeidet spesifikt for deres sveitsiske overføringer.Partene skal videre gjennomføre alle tiltak og ting som måtte være nødvendig for å sikre overholdelse av FADP i forbindelse med sveitsiske overføringer.»

1. i. Følgende nye paragraf 21 legges til i standardavtalevilkårene for å dekke

«Paragraf 21

Brasil – LGPD

Partene er enige om at disse paragrafene skal utvides og gjelde, i den grad det er relevant for den aktuelle overføringen, for grensekryssende overføringer som omfattes av den brasilianske generelle personvernlovgivningen nr. 13,709/18 (Lei Geral de Proteção de Dados) (LGPD) (omtalt i denne paragrafen som enbrasilianskoverføring).For slike brasilianske overføringer skal gjeldende lov anses å være den valgte medlemsstatens, valget av forum skal være den valgte medlemsstatens, og Brasils nasjonale personvernmyndighet (ANPD) skal være kompetent tilsynsmyndighet.Partene godtar dessuten at slike andre endringer av paragrafer skal utlegges som å være gjort i forbindelse med brasiliansk overføring, fordi ANPD anser at det er nødvendigfor å overholde LGPD, og paragrafene skal tolkes i samsvar med de kravene til brasilianske overføringer som oppstår under disse lovene, eller slik det på annen måte angis i veiledning utstedt av ANPD eller annen relevant brasiliansk myndighet, uten at partene trenger å inngå egne standardavtalevilkår utarbeidet spesifikt for deres brasilianske overføringer.Partene skal videre gjennomføre alle tiltak og ting som måtte være nødvendig for å sikre overholdelse av LGPD i forbindelse med brasilianske overføringer.»

1. J. for å overholde LGPD, og paragrafene skal tolkes i samsvar med de kravene til brasilianske overføringer som oppstår under disse lovene, eller slik det på annen måte angis i veiledning utstedt av ANPD eller annen relevant brasiliansk myndighet, uten at partene trenger å inngå egne standardavtalevilkår utarbeidet spesifikt for deres brasilianske overføringer.Partene skal videre gjennomføre alle tiltak og ting som måtte være nødvendig for å sikre overholdelse av LGPD i forbindelse med brasilianske overføringer.»

«Paragraf 22

Overføringer til andre tredjeland

Partene er enige om at disse paragrafene skal utvides og gjelde, i den grad det er relevant for den aktuelle overføringen, for grensekryssende overføringer som omfattes av noen andre gjeldende lover og forskrifter i noen relevant jurisdiksjon, knyttet til bruk eller behandling av personopplysninger (gjeldende personvernlovgivning) som krever vilkår og beskyttelsestiltak som stort sett tilsvarer disse paragrafene for å kunne overføre personopplysninger fra det landet til et annet (i denne paragrafen omtalt som en tredjelandsoverføring).For slike tredjelands overføringer skal gjeldende lov anses å være den valgte medlemsstatens, valget av forum skal være den valgte medlemsstatens, og personvernmyndigheten eller tilsynsmyndigheten i det landet skal være kompetent tilsynsmyndighet.Partene godtar dessuten at slike andre endringer av paragrafer skal utlegges som å være gjort i forbindelse med en tredjelands overføring, fordi slik tilsynsmyndighet anser at det er nødvendig for å overholde den aktuelle personvernlovgivningen til det landet, og paragrafene skal tolkes i samsvar med de kravene til tredjelands overføringer som oppstår under disse lovene, eller slik det på annen måte angis i veiledning utstedt av den relevante tilsynsmyndigheten, uten at partene trenger å inngå egne standardavtalevilkår utarbeidet spesifikt for deres overføringer til tredjeland.Partene skal videre gjennomføre alle tiltak og ting som måtte være nødvendig for å sikre overholdelse av den aktuelle personvernlovgivningen i forbindelse med tredjelands overføringer».

1.12 Vedlegg 1 (Oversikt over behandling av standardavtalevilkår) til denne avtalen mellom behandlingsansvarlige utgjør vedlegg 1 til standardavtalevilkårene.Vedlegg 2 (Tekniske og organisatoriske tiltak) til denne avtalen mellom behandlingsansvarlige utgjør vedlegg 2 til standardavtalevilkårene og gjelder kun for Expedia der du har angitt (og vi har akseptert) adekvate tekniske og organisatoriske tiltak for å overholde dine krav i henhold til vedlegg 2 i standardavtalevilkårene eller, når dette ikke er tilfelle, vil vedlegg 2 tolkes til å gjelde for begge parter, og alle referanser til Expedia og Expedia Group vil følgelig tolkes til å referere til begge parter.Tillegget til denne avtalen mellom behandlingspartnere utgjør tillegget for Storbritannia for formålene i standardavtalevilkårene.

VEDLEGG I – OVERSIKT OVER BEHANDLING AV STANDARDAVTALEVILKÅR

MODUL ÉN : Behandlingsansvarlig til behandlingsansvarlig (deg til oss)

A. LISTE OVER PARTERA.

Dataeksportør(er):

Dataimportør(er): 

B. BESKRIVELSE AF OVERFØRSLEN

C. KOMPETENT TILSYNSMYNDIGHET

Identifiser kompetente tilsynsmyndigheter i samsvar med paragraf 13 i standardavtalevilkårene

Irsk personvernmyndighet

MODUL ÉN: Behandlingsansvarlig til behandlingsansvarlig (oss til deg)

A. LISTE OVER PARTER

Dataimportør(er):

Parten(e) som er identifisert som dataeksportører i modul én (1) (deg til oss) ovenfor.Se over for mer informasjon.

Dataimportør(er):

Parten(e) som er identifisert som dataeksportører i modul én (1) (deg til oss) ovenfor. Se over for mer informasjon.

B. BESKRIVELSE AV OVERFØRING

C. KOMPETENT TILSYNSMYNDIGHET

Som angitt i modul én (1)

VEDLEGG II - TEKNISKE OG ORGANISATORISKE TILTAK 

De tekniske og organisatoriske tiltakene som gjelder for formålene i modul én (1), er angitt nedenfor.

Tillegg til EU-kommisjonens standardavtalevilkår om internasjonale dataoverføringer (tillegg)

Dette tillegget er utstedt av informasjonskommissæren for parter som foretar begrensede overføringer.Informasjonskommissæren anser at den gir hensiktsmessige sikkerhetsordninger for begrensede overføringer når den inngås som en juridisk bindende kontrakt.

Del 1 Tabeller

Del 2: Obligatoriske paragrafer

Obligatoriske bestemmelser i det godkendte tillæg, som er skabelontillæg B.1.0 udstedt af ICO og forelagt parlamentet i overensstemmelse med afsnit 119A i Data Protection Act 2018 den 2. februar 2022, som revideret i henhold til afsnit 18 i disse obligatoriske bestemmelser.

Controller TAAP-nettavtale – avtale mellom behandlingsansvarlige (inkludert standardavtalevilkår)

Den opprinnelige engelske versjonen av denne avtalen mellom behandlingsansvarlige (controller to controller, C2C) kan ha blitt oversatt til andre språk. Ved eventuelt manglende samsvar eller avvik mellom den engelske versjonen og andre språkversjoner av denne avtalen skal den engelske språkversjonen gjelde.

OMFANG: Når henholdsvis Expedia og du behandler personopplysninger som en del av en avtale (f.eks. i form av nettbaserte «klikk og godkjenn»-vilkår) som er inngått med den andre parten (en avtale som sier at du har blitt utnevnt til markedsføringspartner under TAAP, og der alle relevante aktiviteter knyttet til slik aktivitet heri omtales som «relevanteaktiviteter»), vil denne globale avtalen mellom to behandlingsansvarlige («C2C-avtalen») komme i tillegg til og gjelde for den avtalen som er inngått mellom partene i forbindelse med de relevante aktivitetene («avtalen») og angi ytterligere vilkår, krav og betingelser for Expedias og din behandling av personopplysninger i forbindelse med avtalen. I denne avtalen mellom behandlingsansvarlige viser «Expedia», «vi» og « oss» til Expedia, Inc. og/eller andre Expedia Group-selskaper som er part i avtalen. « Du» viser til den navngitte enheten som er angitt på søknaden som beskrevet i avtalen (og alle henvisninger til enten Expedia eller du vil tolkes som flertallsord i den grad avtalen krever det).

1. DEFINISJONER OG TOLKNING

1.1 Denne avtalen mellom behandlingsansvarlige er underlagt vilkårene i avtalen og er innlemmet i avtalen. Tolkninger og definerte vilkår som er angitt i avtalen, gjelder for tolkningen av denne avtalen mellom behandlingsansvarlige med mindre noe annet er definert i denne avtalen mellom behandlingsansvarlige.

1. a. Begrepene egnede tekniske og organisatoriske tiltak, behandlingsansvarlig, personopplysninger, brudd på datasikkerheten, behandle/behandling og tilsynsmyndighet (eller rimelige tilsvarende begreper) skal ha betydningene de har fått i den gjeldende personvernlovgivningen.
2. b. Gjeldende personvernlovgivning betyr alle gjeldende lover og forskrifter i enhver relevant jurisdiksjon knyttet til bruken eller behandlingen av personopplysninger .
3. c. Tillatte formål betyr formålet med å (i) gjennomføre bestillinger, (ii) yte støtte ved bestillinger, (iii) TAAP-registrering og kontoadministrasjon, (iv) betale provisjon og andre beløp i henhold til denne avtalen, (v) generere rapporter for deg og all videre behandling som kreves i forbindelse med avstemming, klagehåndtering og lignende aktiviteter knyttet til tjenesteyting under avtalen, (vi) TAAP-kontostøtte, (vii) kommunikasjon med TAAP-medlemmer og underbrukere, (viii) forbedre tjenestene våre inkludert optimalisere bestillingsopplevelsen, (ix) opprette rapporter for analyse, business intelligence og forretningsrapportering, (x) forebygge svindel, (xi) respondere på forespørsler fra politi- og skattemyndighet samt revisjonsforespørsler, (xii) tilrettelegge for transaksjon av driftsmidler (som kan omhandle fusjoner, oppkjøp eller aksjesalg) og (xiii) på annen måte overholde våre forpliktelser under denne avtalen, Expedias personvernerklæring og gjeldende lover og (xiv) for den fastsettelse, beregning, rapportering av reiseavgifter og andre aktuelle skatteformål som måtte bli påkrevd fra tid til annen.
4. d. DPF står for en Data Privacy Framework-sertifisering mellom EU og USA inngått med det amerikanske handelsdepartementet eller den erstatnings- eller tilleggsmekanismen for sertifisering som til enhver tid er godkjent av EU-kommisjonen (eller annen relevant nasjonal myndighet), og omfatter alle supplerende adekvansbeslutninger utstedt av andre land, som tillater at DPF utvides til å gjelde mellom USA og det aktuelle tredjelandet (for eksempel, men ikke begrenset til, Storbritannia og Sveits).
5. e. Land med begrenset overføring betyr alle EØS-landene samt Sveits, Storbritannia og Brasil.
6. f. Begrensede overføringsdata betyr kundedata knyttet til en bestilling gjort via et salgssted som vi kun har ment skulle brukes av kunder i et land med begrenset overføring.
7. g. Standardavtalevilkår / SCC (Standard Contractual Clauses) betyr EU-kommisjonens godkjente standardavtalevilkår for overføring av personopplysninger fra EU til tredjeland, som ble utstedt 4. juni 2021, herunder de til enhver tid gjeldende endringer, erstatninger, tillegg eller avløsninger. Du finner hele den gjeldende versjonen ved å følge denne linken: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en.
8. h. TAAP-personopplysninger betyr personopplysninger som oppgis til oss via TAAP-nettstedet, eller som behandles på annen måte i forbindelse med TAAP eller med den tilrettelegging av bestillinger som skjer via TAAP-nettstedet.

Partenes relasjon

2. 1.2 Både du og vi skal samle inn og behandle personopplysninger for å overholde våre respektive rettigheter og plikter under avtalen, i tillegg til dine og våre respektive ansvarsområder under gjeldende lovgivning. Som sådan skal hver av partene (i) behandle personopplysninger som uavhengige og autonome behandlingsansvarlige, (ii) overholde den gjeldende personvernlovgivningen og (iii) ta ansvar for egne handlinger eller utelatelser som måtte være i strid med den gjeldende personvernlovgivningen.

Ditt ansvar

1.3 Du må 

2. a. kunne oppgi et rettslig grunnlag for å gi oss tilgang til TAAP-personopplysningene, slik at de kan behandles i samsvar med de tillatte formålene
3. b. sørge for at kundene informeres via din personvernerklæring og andre egnede tiltak om at deres personopplysninger vil bli delt med oss for de tillatte formålene
4. c. gi kundene tilgang til vår personvernerklæring med mer informasjon om vår behandling av deres personopplysninger
5. d. samarbeide med oss og gi oss rimelig hjelp med å overholde den gjeldende personvernlovgivningen i vår behandling av TAAP-personopplysninger i forbindelse med avtalen

Vårt ansvar

1.4 Vi (og våre konsernmedlemmer når det er aktuelt) skal 

2. a. kun behandle TAAP-personopplysninger i forbindelse med et tillatt formål
3. b. ikke utlevere hele eller deler av TAAP-personopplysningene til noen, bortsett fra i forbindelse med et tillatt formål
4. c. samarbeide med deg og gi deg rimelig hjelp med din overholdelse av gjeldende personvernlovgivning i din behandling av TAAP-personopplysninger i forbindelse med avtalen
5. d. vise og overholde vårt lovlige og oppdaterte varsel om informasjonskapsler (hvis påkrevd) og vår personvernerklæring på TAAP-nettstedet

Kunder og tredjeparter

1.5 Du erkjenner at vi

2. a. kan sende e-post til kunder i forbindelse med bestillinger
3. b. kan overføre TAAP-personopplysninger (inkludert bankdata) til våre tredjeparts tjenesteleverandører med følgende formål:
   2. i. administrere, håndtere og støtte din TAAP-konto, dine representanters TAAP-konto og underbrukernes TAAP-konto
   3. ii. bidra med støtte til bestillinger
   4. iii. betale provisjon og andre beløp i samsvar med avtalen

Datasikkerhet

1.6 Som behandlingsansvarlige skal begge parter

2. a. Opprettholde egnede tekniske og organisatoriske tiltak for å beskytte personopplysningene de behandler, mot sikkerhetsbrudd.
3. b. Hvis det skulle oppstå et bekreftet brudd på datasikkerheten i systemene som parten eier eller kontrollerer, umiddelbart varsle den andre parten hvis sikkerhetshendelsen både (i) rammer TAAP-personopplysninger som også behandles av den andre parten under avtalen, og (ii) skal rapporteres til en tilsynsmyndighet med alle detaljer om hendelsen. I så fall skal begge partene samarbeide innen rimelighetens grenser og i god tro om å løse eller bøte på konsekvensene av sikkerhetshendelsen, og de rimelige kostnadene for slikt samarbeid skal bæres av parten som ble utsatt for sikkerhetshendelsen.

Overføringer over landegrenser 

1.7 Data Privacy Framework (DPF): Du og vi er enige om at hva angår overføringer av begrensede data mellom deg og oss til USA eller et land som ikke har fått en «adekvansbeslutning» i henhold til den gjeldende personvernlovgivningen til det aktuelle avsenderlandet som er et land med begrenset overføring (a) i den grad og så lenge myndighetene anerkjenner DPF som en akseptabel overføringsmetode, skal DPF være den avtalte mekanismen for grensekryssende overføring av data fra et land med begrenset overføring til oss i USA, og (b) i den grad og så lenge DPF ikke er en gyldig overføringsmetode (herunder for overføring av begrensede overføringsdata til et land hvor det ikke foreligger noen «adekvansbeslutning» i henhold til den gjeldende personvernlovgivningen i avsenderlandet som er et land med begrenset overføring), skal standardavtalevilkårene gjelde for slike overføringer, og vi vil inngå dem basert på paragraf 1.11 nedenfor. Når du også har en gjeldende DPF-sertifisering, kan overføringer av begrensede overføringsdata til deg gjøres på samme måte i henhold til DPF med standardavtalevilkårene som en reservemekanisme som angitt over.

1.8 Nedstrøms DPF-forpliktelser: Du samtykker i at du vil gi de begrensede overføringsdataene samme beskyttelse som kreves under DPF, og at du umiddelbart vil varsle oss hvis du bestemmer deg for at du ikke lenger kan levere dette beskyttelsesnivået. I så fall, eller hvis vi ellers med rimelighet tror at du ikke beskytter de begrensede overføringsdataene i henhold til standarden som kreves under DPF, kan vi enten (a) instruere deg om å gjennomføre rimelige og egnede tiltak for å stanse og utbedre all uautorisert behandling, noe som innebærer at du umiddelbart vil samarbeide med oss i god tro om å identifisere, godta og gjennomføre slike tiltak, (b) avtale en alternativ sikkerhetsordning som kan gjelde for behandlingen i henhold til den gjeldende personvernlovgivningen, eller (c) si opp denne avtalen mellom behandlingsansvarlige og avtalen (eller, etter vårt skjønn, berørte deler av den) uten noen straff gjennom et varsel til deg. Hvis du også har en gjeldende DPF-sertifisering, skal bestemmelsene ovenfor og bestemmelsene i paragraf 1.9 nedenfor anses å gjelde som om forpliktelsene går begge veier.

1.9 DPF-delingsforpliktelser: Du erkjenner at vi kan dele denne avtalen mellom behandlingsansvarlige og alle relevante personvernbestemmelser i avtalen med USAs handelsdepartement, Federal Trade Commission, enhver europeisk personvernmyndighet eller andre rettslige organer eller tilsynsmyndigheter i USA eller EU på forespørsel, og at slik deling ikke skal anses som noe brudd på taushetsplikten.

1.10 La standardavtalevilkår utvides til å gjelde ikke-begrensede overføringsland: I forbindelse med overføringer av TAAP-personopplysninger mellom deg og oss fra et land som ikke er et land med begrenset overføring, men som på andre måter er underlagt sikkerhetsordninger som, i henhold til gjeldende personvernlovgivning, må brukes før TAAP-personopplysningene kan sendes ut av avsenderlandet (begge landene er ikke-begrensede overføringsland), er du og vi enige om at (a) standardavtalevilkårene som er angitt i paragraf 1.11 under, skal anses å gjelde også for slike tilleggsoverføringer i den grad slik ansett utvidelse vil oppfylle det spesifikke landets krav til sikkerhetsordninger, og/eller (b) når tiltakene som angis i paragraf 1.11 er utilstrekkelige eller krever tilleggstiltak, er partene enige om å gjennomføre slike ytterligere tiltak, inkludert for eksempel utfylling av relevante dokumenter, innhenting av samtykke samt gjennomføring av det som til enhver tid måtte kreves av arkivering for å overholde gjeldende personvernlovgivning.

1.11 Underlagt paragraf 1.7 over samtykker du og vi herved til å godta alle standardavtalevilkår uten endringer, bortsett fra følgende:

2. a. Når du befinner deg i et land som enten er et land med begrenset overføring eller har fått en «adekvansbeslutning» i samsvar med artikkel 45 i personvernforordningens, vil modul én (1) i standardavtalevilkårene kun gjelde énveis for overføringer fra deg til Expedia. Ellers vil modul én i standardavtalevilkårene gjelde toveis ved å dekke overføringer både fra oss til deg og deg til oss.
3. b. For formålet i paragraf 11(a) i standardavtalevilkårene slettes det valgfrie språket.
4. c. For formålet i paragraf 13 i standardavtalevilkårene er den relevante paragrafen «Tilsynsmyndigheten i medlemsstaten der representanten i betydningen til artikkel 27(1) i EU-forordning 2016/679 er etablert, som angitt i vedlegg I.C, skal fungere som kompetent tilsynsmyndighet».
5. d. For formålet i paragraf 17 i standardavtalevilkårene er Irlands lover gjeldende lov.
6. e. For formålet i paragraf 18(b) i standardavtalevilkårene er valget Irland.
7. f. Følgende nye paragraf 19 er lagt til i standardavtalevilkårene for å dekke overføringer av personopplysninger fra Storbritannia til utenfor Storbritannia:

«Paragraf 19

Storbritannias GDPR og DPA 2018

Partene er enige om at disse paragrafene vil utvides og gjelde, i den grad det er relevant for den aktuelle overføringen, for grensekryssende overføringer som omfattes av Storbritannias personvernforordning og personvernlovgivning av 2018 (enbritisk overføring). I forbindelse med slik britisk overføring skal bestemmelsene i tillegget om internasjonal dataoverføring i standardavtalevilkårenes versjon B1.0 (med de til enhver tid gjeldende endringer, erstatninger, suppleringer eller avløsninger) gjelde som angitt i skjemaet som er vedlagt som tillegget».

2. h. Følgende nye paragraf 20 er lagt til i standardavtalevilkårene for å dekke overføringer av personopplysninger fra Sveits til utenfor Sveits:

«Paragraf 20

Sveits – FADP

Partene er enige om at disse paragrafene skal utvides og gjelde, i den grad det er relevant for den aktuelle overføringen, for grensekryssende overføringer som omfattes av personvernlovgivningen i Sveits, FADP (Federal Act of Data Protection) (omtalt i denne paragrafen som en sveitsisk overføring). For slike sveitsiske overføringer skal gjeldende lov anses å være den valgte medlemsstatens, valget av forum skal være den valgte medlemsstatens, og FDPIC (Federal Data Protection and Information Commissioner) skal være kompetent tilsynsmyndighet. Partene godtar dessuten at slike andre endringer av paragrafer skal utlegges som å være gjort i forbindelse med sveitsisk overføring, fordi FCPIC anser at det er nødvendig for å overholde Storbritannias GDPR og FADP, og paragrafene skal tolkes i samsvar med de kravene til sveitsiske overføringer som oppstår under disse lovene, eller slik det på annen måte angis i veiledning utstedt av FDPIC, uten at partene trenger å inngå egne standardavtalevilkår utarbeidet spesifikt for deres sveitsiske overføringer. Partene skal videre gjennomføre alle tiltak og ting som måtte være nødvendig for å sikre overholdelse av FADP i forbindelse med sveitsiske overføringer.»

2. i. Følgende nye paragraf 21 legges til i standardavtalevilkårene for å dekke overføringer av personopplysninger fra Brasil til utenfor Brasil:

«Paragraf 21

Brasil – LGPD

Partene er enige om at disse paragrafene skal utvides og gjelde, i den grad det er relevant for den aktuelle overføringen, for grensekryssende overføringer som omfattes av den brasilianske generelle personvernlovgivningen nr. 13,709/18 (Lei Geral de Proteção de Dados) (LGPD) (omtalt i denne paragrafen som enbrasilianskoverføring). For slike brasilianske overføringer skal gjeldende lov anses å være den valgte medlemsstatens, valget av forum skal være den valgte medlemsstatens, og Brasils nasjonale personvernmyndighet (ANPD) skal være kompetent tilsynsmyndighet. Partene godtar dessuten at slike andre endringer av paragrafer skal utlegges som å være gjort i forbindelse med brasiliansk overføring, fordi ANPD anser at det er nødvendig for å overholde LGPD, og paragrafene skal tolkes i samsvar med de kravene til brasilianske overføringer som oppstår under disse lovene, eller slik det på annen måte angis i veiledning utstedt av ANPD eller annen relevant brasiliansk myndighet, uten at partene trenger å inngå egne standardavtalevilkår utarbeidet spesifikt for deres brasilianske overføringer. Partene skal videre gjennomføre alle tiltak og ting som måtte være nødvendig for å sikre overholdelse av LGPD i forbindelse med brasilianske overføringer.»

2. j. Følgende nye paragraf 22 er lagt til standardavtalevilkårene for å dekke overføringer av personopplysninger fra andre land som hittil ikke er spesifisert, der standardavtalevilkårene kan utvides til å garantere for hensiktsmessige sikkerhetsordninger for overføringer av personopplysninger fra det landet til en part som befinner seg utenfor dette landet:

«Paragraf 22

Overføringer til andre tredjeland

Partene er enige om at disse paragrafene skal utvides og gjelde, i den grad det er relevant for den aktuelle overføringen, for grensekryssende overføringer som omfattes av noen andre gjeldende lover og forskrifter i noen relevant jurisdiksjon, knyttet til bruk eller behandling av personopplysninger (gjeldende personvernlovgivning) som krever vilkår og beskyttelsestiltak som stort sett tilsvarer disse paragrafene for å kunne overføre personopplysninger fra det landet til et annet (i denne paragrafen omtalt som en tredjelands overføring). For slike tredjelands overføringer skal gjeldende lov anses å være den valgte medlemsstatens, valget av forum skal være den valgte medlemsstatens, og personvernmyndigheten eller tilsynsmyndigheten i det landet skal være kompetent tilsynsmyndighet. Partene godtar dessuten at slike andre endringer av paragrafer skal utlegges som å være gjort i forbindelse med en tredjelands overføring, fordi slik tilsynsmyndighet anser at det er nødvendig for å overholde den aktuelle personvernlovgivningen til det landet, og paragrafene skal tolkes i samsvar med de kravene til tredjelands overføringer som oppstår under disse lovene, eller slik det på annen måte angis i veiledning utstedt av den relevante tilsynsmyndigheten, uten at partene trenger å inngå egne standardavtalevilkår utarbeidet spesifikt for deres overføringer til tredjeland. Partene skal videre gjennomføre alle tiltak og ting som måtte være nødvendig for å sikre overholdelse av den aktuelle personvernlovgivningen i forbindelse med tredjelands overføringer».

1.12 Vedlegg 1 (Oversikt over behandling av standardavtalevilkår) til denne avtalen mellom behandlingsansvarlige utgjør vedlegg 1 til standardavtalevilkårene. Vedlegg 2 (Tekniske og organisatoriske tiltak) til denne avtalen mellom behandlingsansvarlige utgjør vedlegg 2 til standardavtalevilkårene og gjelder kun for Expedia der du har angitt (og vi har akseptert) adekvate tekniske og organisatoriske tiltak for å overholde dine krav i henhold til vedlegg 2 i standardavtalevilkårene eller, når dette ikke er tilfelle, vil vedlegg 2 tolkes til å gjelde for begge parter, og alle referanser til Expedia og Expedia Group vil følgelig tolkes til å referere til begge parter. Tillegget til denne avtalen mellom behandlingspartnere utgjør tillegget for Storbritannia for formålene i standardavtalevilkårene.

VEDLEGG I – OVERSIKT OVER BEHANDLING AV STANDARDAVTALEVILKÅR

MODUL ÉN : Behandlingsansvarlig til behandlingsansvarlig (deg til oss)

A. LISTE OVER PARTER

Dataeksportør(er):

Dataimportør(er): 

B. BESKRIVELSE AV OVERFØRING

C. COMPETENT SUPERVISORY AUTHORITY

Identify the competent supervisory authority/ies in accordance with Clause 13 of SCCs

Irish Data Protection Authority

MODULE ONE: Controller to Controller (us to you)

A. LIST OF PARTIES

Data exporter(s):

The Party/ies identified as Data Importers in Module one (1) (you to us) above. See above for further details.

Data importer(s):

The Party/ies identified as Data Exporter(s) in Module one (1) (you to us) above. See above for further details.

B. DESCRIPTION OF TRANSFER

C. COMPETENT SUPERVISORY AUTHORITY

As per Module one (1)

ANNEX II - TECHNICAL AND ORGANISATIONAL MEASURES

The technical and organizational measures that apply for the purposes of Module one (1) are set out below.

International Data Transfer Addendum to the EU Commission Standard Contractual Clauses (Addendum)

This Addendum has been issued by the Information Commissioner for Parties making Restricted Transfers. The Information Commissioner considers that it provides Appropriate Safeguards for Restricted Transfers when it is entered into as a legally binding contract.This Addendum has been issued by the Information Commissioner for Parties making Restricted Transfers. The Information Commissioner considers that it provides Appropriate Safeguards for Restricted Transfers when it is entered into as a legally binding contract.

Part 1    Tables

Part 3: Mandatory Clauses

Mandatory Clauses of the Approved Addendum, being the template Addendum B.1.0 issued by the ICO and laid before Parliament in accordance with s119A of the Data Protection Act 2018 on 2 February 2022, as it is revised under Section 18 of those Mandatory Clauses.

TAAP-verkkosopimus – rekisterinpitäjien välinen sopimus (mukaan lukien vakiosopimuslausekkeet)

Tämän rekisterinpitäjien välisen sopimuksen (C2C-sopimuksen) alkuperäinen englanninkielinen versio saattaa olla käännetty useille eri kielille.  Mikäli tämän sopimuksen englanninkielisen version ja jollekin muulle kielelle käännetyn version välillä on ristiriitoja, on englanninkielinen versio ensisijainen.

SOVELTAMISALA: Kun sekä Expedia että sinä käsittelette henkilötietoja osana sopimusta (jotka voivat olla verkossa clickwrap-ehtojen muodossa), joka on tehty toisen osapuolen kanssa (jonka mukaisesti sinut on nimetty markkinointikumppaniksi TAAP-ohjelmaan, ja kaikki asiaan liittyvät toiminnot, jotka liittyvät kyseiseen toimintaan, joita kutsutaan tässä ”asiaankuuluvaksi toiminnaksi”), silloin tämä maailmanlaajuinen rekisterinpitäjien välinen sopimus (”C2C-sopimus”) täydentää ja koskee tällaista sopimusta,joka on tehty osapuolten välillä liittyen asiaankuuluvaan toimintaan (”sopimus”). Se sisältää lisäehdot, vaatimukset ja ehdot, joiden mukaisesti Expedia ja sinä käsittelette henkilötietoja sopimuksen yhteydessä. Tässä C2C-sopimuksessa ” Expedia” ja ”me” viittaavat Expedia, Inc:iin ja/tai mihin tahansa muuhun Expedia Groupin yritykseen/yrityksiin, jotka ovat sopimuksen osapuolia. ”Sinä viittaa sopimuksessa kuvattuun ja sovelluksessa mainittuun nimettyyn tahoon (ja kaikki viittaukset joko Expediaan tai sinuun tulkitaan monikkotermeiksi sopimuksen edellyttämässä laajuudessa).

1. MÄÄRITELMÄT JA TULKINTA

1.1 Tämä C2C-sopimus on sopimuksen ehtojen alainen, ja se sisältyy sopimukseen. Sopimuksessa esitetyt tulkinnat ja määritellyt termit koskevat tämän C2C-sopimuksen tulkintaa, ellei tässä C2C-sopimuksessa ole toisin määritelty ja:

1. a. Asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä, rekisterinpitäjällä, henkilötiedoilla, henkilötietojen rikkomuksella, käsittelyllä ja valvontaviranomaisella (tai vastaavilla termeillä) on sama merkitys kuin mikä niillä on sovellettavassa tietosuojalaissa.
2. b. Sovellettava tietosuojalaki (sovellettavat tietosuojalait) tarkoittaa mitä tahansa sovellettavia lakeja ja määräyksiä millä tahansa asiaankuuluvalla lainkäyttöalueella, jotka liittyvät henkilötietojen käyttöön tai käsittelyyn.
3. c. Sallitulla tarkoituksella tarkoitetaan (i) varausten tekemistä; (ii) varausten tukemista; (iii) TAAP-ohjelmaan rekisteröitymistä ja tilinhallintaa; (iv) provision ja muiden summien maksamista sopimuksen mukaisesti; (v) raporttien laatimista sinulle ja muuta käsittelyä täsmäytysten tekemiseksi, valitusten käsittelemiseksi ja muita vastaavia toimintoja varten, jotka liittyvät sopimuksen täytäntöönpanoon; (vi) TAAP-tilin tukea; (vii) TAAP-ohjelman jäsenten ja alikäyttäjien viestintää; (viii) palveluidemme parantamista, mukaan lukien varauskokemuksen optimointia; (ix) raporttien luomista analyysejä, liiketoimintatietojen kokoamista sekä liiketoiminnan raportteja varten; (x) petosten torjuntaa; (xi) vastaamista lainvalvontaviranomaisten pyyntöihin ja veroviranomaisten tarkastuspyyntöihin; (xii) liikeomaisuuden myymisen helpottamista (joka voi kattaa fuusiot, yritysostot tai omaisuuden myynnin); ja (xiii) muutoin sopimuksen, tietosuojakäytäntömme ja sovellettavien lakien mukaisten velvoitteidemme noudattamista ja (xiv) matkaverojen määrittämistä, laskentaa ja ilmoittamista ja muita sovellettavia verotarkoituksia, kuten ajoittain voi olla tarpeen.
4. d. DPF tarkoittaa Yhdysvaltain kauppaministeriön EU-USA Data Privacy Framework -sertifikaattia tai mitä tahansa korvaavaa tai täydentävää sertifiointimekanismia, jonka Euroopan komissio (tai muu asiaankuuluva kansallinen viranomainen) on kulloinkin hyväksynyt; ja se sisältää minkä tahansa muun maan tekemät täydentävät riittävyyttä koskevat päätökset, jotka sallivat DPF:n laajentamisen Yhdysvaltojen ja kyseisen kolmannen maan välille (esimerkiksi mutta näihin kuitenkaan rajoittumatta Yhdistynyt kuningaskunta ja Sveitsi).
5. e. Rajoitetun siirron maa tarkoittaa mitä tahansa Euroopan talousalueen maata, Sveitsiä, Yhdistynyttä kuningaskuntaa ja Brasiliaa.
6. f. Rajoitetut siirtotiedot tarkoittavat asiakastietoja, jotka liittyvät varaukseen, joka on tehty sellaisen myyntipisteen kautta, jonka olemme tarkoittaneet rajoitetun siirron maassa olevien asiakkaiden käyttöön.
7. g. Vakiosopimuslausekkeet tarkoittavat Euroopan komission hyväksymiä vakiosopimuslausekkeita henkilötietojen siirtämiseksi Euroopan unionista kolmansiin maihin, sellaisina kuin ne on julkaistu 4.6.2021, sellaisina kuin ne on muutettu, korvattu tai täydennetty. Vakiosopimuslausekkeiden täydellinen ajantasainen versio on luettavissa täällä: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en.
8. h. TAAP-henkilötiedoilla tarkoitetaan henkilötietoja, jotka olet toimittanut meille TAAP-verkkosivuston kautta tai joita on muutoin käsitelty TAAP-ohjelman yhteydessä tai TAAP-verkkosivustolla tehtyjen varausten helpottamiseksi.

Relationship of the parties

2. 1.2 Me ja sinä keräämme ja käsittelemme henkilötietoja täyttääksemme sopimuksen sekä kaikkien sovellettavien lakien mukaiset oikeudet ja velvollisuudet. Kummankin osapuolen on (i) käsiteltävä henkilötietoja riippumattomina ja itsenäisinä rekisterinpitäjinä, (ii) noudatettava sovellettavaa tietosuojalakia ja (iii) oltava vastuussa toiminnastaan tai sovellettavan tietosuojalain vastaisista laiminlyönneistään.

Sinun velvollisuutesi

1.3 Sinun on: 

Meidän velvollisuutemme

1.4 Me (ja tarvittaessa konsernimme jäsenet): 

Asiakkaat ja kolmannet osapuolet

1.5 Hyväksyt, että:

2. a. Voimme lähettää asiakkaille sähköpostia varauksiin liittyen.
3. b. Voimme siirtää TAAP-henkilötietoja (mukaan lukien pankkitietoja) kolmannen osapuolen palveluntarjoajillemme seuraaviin tarkoituksiin:
   2. i.Sinun, edustajiesi ja alikäyttäjiesi TAAP-tilien hallinnointia, hallintaa ja tukemista varten.
   3. ii. Varausten tukemista varten.
   4. iii. Provisioiden ja muiden maksujen maksamiseen sopimuksen mukaisesti.

Tietosuoja

1.6 Molempien osapuolten on rekisterinpitäjinä:

2. a. ylläpidettävä kaikkia asianmukaisia teknisiä ja organisatorisia toimenpiteitä varmistaakseen käsittelemiensä henkilötietojen suojaamisen henkilötietojen rikkomukselta ja sitä vastaan; ja
3. b. jos henkilötietojen tietoturvaloukkaus on vahvistettu osapuolen hallussa tai hallinnassa olevassa järjestelmässä, ilmoitettava asiasta viipymättä toiselle osapuolelle, jos henkilötietojen tietoturvaloukkaus (i) vaikuttaa TAAP-henkilötietoihin, joita toinen osapuoli myös käsittelee sopimuksen mukaisesti ja (ii) jos tietoturvaloukkauksesta on raportoitava valvontaviranomaiselle, ja tämän on toimitettava siitä yksityiskohtaiset tiedot. Tällöin osapuolet sopivat tekevänsä yhteistyötä kohtuullisesti ja hyvässä uskossa henkilötietojen rikkomuksen korjaamiseksi tai lieventämiseksi, ja yhteistyön kohtuullisista kustannuksista vastaa henkilötietojen rikkomuksesta kärsinyt osapuoli.

Rajat ylittävät siirrot 

1.7 Data Privacy Framework (DPF): Sinä ja me sovimme, että rajoitettujen siirtotietojen siirtojen osalta sinun ja meidän välillämme Yhdysvaltoihin tai maahan, jota ei pidetä ”asianmukaisena” alkuperäisen siirron rajoitetun kohdemaan sovellettavien tietosuojalakien mukaisesti (a) siltä osin ja niin kauan kuin DPF on asianomaisen viranomaisen tunnustama siirtomenetelmä, DPF on sovittu mekanismi rajatylittävään tietojen siirtoon rajoitetun siirron maasta Yhdysvaltoihin ja (b) siltä osin ja niin kauan kuin DPF ei ole kelvollinen siirtotapa (mukaan lukien rajoitettujen siirtotietojen siirrot maahan, jota ei ole pidetty ”asianmukaisena” alkuperäisen rajoitetun siirron maan sovellettavien tietosuojalakien mukaisesti), vakiosopimuslausekkeet koskevat tällaisia siirtoja, ja me hyväksymme ne alla olevassa kohdassa 1.11 esitetyllä tavalla. Jos sinulla on myös nykyinen DPF-sertifikaatti, rajoitettujen siirtotietojen siirto sinulle voidaan tehdä vastaavasti DPF:llä, jolloin vakiosopimuslausekkeet ovat varamekanismi yllä kuvatulla tavalla.

1.8 DPF Flow-down -velvoitteet:: Hyväksyt, että tarjoat vähintään samantasoisen suojauksen rajoitetuille siirtotiedoille kuin DPF edellyttää, ja sinun tulee ilmoittaa meille viipymättä, jos toteat, että et voi enää tarjota tätä suojaustasoa. Tällaisessa tapauksessa tai jos muuten kohtuudella uskomme, että et suojaa rajoitettuja siirtotietoja DPF:n edellyttämällä tavalla, voimme joko: (a) kehottaa sinua ryhtymään kohtuullisiin ja asianmukaisiin toimiin luvattoman käsittelyn lopettamiseksi ja korjaamiseksi, jolloin teet viipymättä yhteistyötä kanssamme vilpittömässä mielessä tällaisten vaiheiden tunnistamiseksi, myöntämiseksi ja toteuttamiseksi; (b) sopia vaihtoehtoisesta suojaustoimenpiteestä, jota voidaan soveltaa sovellettavan tietosuojalain mukaiseen käsittelyyn tai (c) irtisanoa tämän C2C-sopimuksen ja sopimuksen (tai meidän valintamme mukaan sen osan, johon se vaikuttaa) ilman rangaistusta ilmoittamalla siitä sinulle. Jos sinulla on myös nykyinen DPF-sertifikaatti, yllä olevien ja jäljempänä olevan kohdan 1.9 määräyksien katsotaan pätevän ikään kuin velvoitteet olisivat kaksisuuntaisia.

1.9 DPF-luovutusvelvollisuudet: Hyväksyt, että voimme luovuttaa tämän C2C-sopimuksen ja kaikki sopimukseen kuuluvat tietosuojamääräykset Yhdysvaltain kauppaministeriölle, Federal Trade Commissionille, mille tahansa Euroopan tietosuojaviranomaiselle tai mille tahansa muulle Yhdysvaltain tai EU:n oikeus- tai sääntelyelimelle niiden esittämän pyynnön mukaisesti ja että tällaista tietojen luovuttamista ei pidetä luottamusvelvollisuuden rikkomuksena.

1.10 Vakiosopimuslausekkeiden laajentaminen rajoittamattomien siirtojen maihin: TAAP-henkilötietojen siirtoihin sinun ja meidän välillämme, jotka ovat peräisin maasta, joka ei ole rajoitetun siirron maa, mutta johon muutoin sovelletaan suojaustoimia, joita sovellettavan tietosuojalain mukaan on sovellettava ennen kuin kyseiset TAAP-henkilötiedot voidaan siirtää alkuperämaan ulkopuolelle (kukin siirron rajoittamaton kohdemaa), silloin sinä ja me sovimme, että (a) alla olevassa kohdassa 1.11 määriteltyjen vakiosopimuslausekkeiden katsotaan kattavan tällaiset lisäsiirrot siltä osin kuin se täyttäisi kyseisen maan suojaustoimet; ja/tai (b) jos kohdassa 1.11 esitetyt toimenpiteet ovat riittämättömiä tai edellyttävät lisätoimenpiteitä, osapuolet sopivat ryhtyvänsä lisätoimenpiteisiin, mukaan lukien esimerkiksi asiaankuuluvien asiakirjojen täytäntöönpano, suostumuksen pyytäminen, vaadittujen ilmoitusten tekeminen, kuten voidaan vaatia sovellettavan tietosuojalain noudattamiseksi.

1.11 Ellei yllä olevasta lausekkeesta 1.7 muuta johdu, sinä ja me hyväksymme vakiosopimuslausekkeet muuttumattomina, lukuun ottamatta seuraavia kohtia:

2. a. Jos olet rajoitetun siirron maassa tai muuten maassa, joka katsotaan ”sopivaksi” GDPR:n artiklan 45 mukaisesti, vain vakiosopimuslausekkeiden moduulia yksi (1) sovelletaan yksisuuntaisesti siirtoihin sinulta Expedialle. Muussa tapauksessa moduulin yksi vakiosopimuslausekkeet koskevat sekä siirtoja meiltä sinulle ja sinulta meille.
3. b. Vakiosopimuslausekkeiden lauseketta 11(a) varten valinnainen kieli poistetaan.
4. c. Vakiosopimuslausekkeiden lauseketta 13 sovellettaessa asianomainen kohta on ”Toimivaltainen valvontaviranomainen on liitteessä I.C mainittu sen jäsenvaltion valvontaviranomainen, johon asetuksen (EU) 2016/679 27 artiklan 1 kohdassa tarkoitettu edustaja on sijoittautunut.”
5. d. Vakiosopimuslausekkeiden lausekkeen 17 mukaisesti sovelletaan Irlannin lainsäädäntöä.
6. e. Vakiosopimuslausekkeiden lausekkeen 18(b) mukainen valinta on Irlanti.
7. f. Vakiosopimuslausekkeisiin lisätään uusi lauseke 19, joka kattaa henkilötietojen siirrot Yhdistyneestä kuningaskunnasta Yhdistyneen kuningaskunnan ulkopuolelle seuraavasti:

”Lauseke 19

Yhdistynyt kuningaskunta – GDPR ja Data Protection Act 2018 (DPA)

Osapuolet sopivat, että nämä lausekkeet laajennetaan ja niitä sovelletaan kyseisen siirron kannalta merkityksellisissä määrin rajatylittäviin siirtoihin, jotka kuuluvat Yhdistyneen kuningaskunnan GDPR:n ja Data Protection Act 2018:n soveltamisalaan (Yhdistynyttä kuningaskuntaa koskeva siirto). Tällaista Yhdistynyttä kuningaskuntaa koskevaa siirtoa varten sovelletaan vakiosopimuslausekkeiden version B1.0 kansainvälisen tiedonsiirtolisäyksen määräyksiä (joita saatetaan ajoittain muuttaa, korvata tai täydentää) liitteenä olevan lisäyslomakkeen mukaisesti.”

2. h. Vakiosopimuslausekkeisiin lisätään uusi lauseke 20, joka kattaa henkilötietojen siirrot Sveitsistä Sveitsin ulkopuolelle seuraavasti:

”Lauseke 20

Sveitsi – liittovaltion tietosuojalaki (FADP)

Osapuolet sopivat, että nämä lausekkeet laajennetaan ja niitä sovelletaan kyseisen siirron kannalta merkityksellisissä määrin rajatylittäviin siirtoihin, jotka kuuluvat liittovaltion tietosuojalain soveltamisalaan (lausekkeessa viitataan Sveitsiä koskevaan siirtoon). Tällaisten Sveitsiä koskevien siirtojen osalta sovellettavan lainsäädännön katsotaan olevan valitun jäsenvaltion lainsäädäntö, käytettävä tuomioistuin on valitun jäsenvaltion tuomioistuin ja toimivaltainen valvontaviranomainen on liittovaltion tietosuoja- ja tietovaltuutettu. Osapuolet sopivat lisäksi, että sellaiset lisämuutokset tulkitaan tehdyiksi Sveitsiä koskevien siirtojen lausekkeisiin, jotka liittovaltion tietosuoja- ja tietovaltuutettu pitää tarpeellisina Yhdistyneen kuningaskunnan GDPR:n ja FADP:n noudattamiseksi. Lausekkeita tulkitaan Sveitsiä koskevien siirtojen vaatimusten mukaisesti sekä kyseisten lakien tai muutoin FDPIC:n antamien ohjeiden mukaisesti ilman, että osapuolten on tehtävä erillisiä vakiosopimuslausekkeita, jotka on laadittu erityisesti Sveitsiä koskevia siirtoja varten. Osapuolet tekevät lisäksi kaikki toimenpiteet, jotka voivat olla tarpeen FADP:n noudattamisen varmistamiseksi Sveitsiä koskeviin siirtoihin osallistuessaan.”

2. i. Vakiosopimuslausekkeisiin lisätään uusi lauseke 21, joka kattaa henkilötietojen siirrot Brasiliasta Brasilian ulkopuolelle seuraavasti:

”Lauseke 21

Brasilia – LGPD

Osapuolet sopivat, että nämä lausekkeet laajennetaan ja niitä sovelletaan kyseisen siirron kannalta merkityksellisissä määrin rajat ylittäviin siirtoihin, jotka kuuluvat Brasilian yleisen tietosuojalain nro 13,709/18 (Lei Geral de Proteção de Dados) (LGPD) soveltamisalaan (lausekkeessa viitataan Brasiliaa koskevaan siirtoon). Tällaisten Brasiliaa koskevien siirtojen osalta sovellettavan lainsäädännön katsotaan olevan valitun jäsenvaltion lainsäädäntö, käytettävä tuomioistuin on valitun jäsenvaltion tuomioistuin ja toimivaltainen valvontaviranomainen on Brasilian kansallinen tietosuojaviranomainen (ANPD). Osapuolet sopivat lisäksi, että sellaiset lisämuutokset tulkitaan tehdyiksi Brasiliaa koskevien siirtojen lausekkeisiin, jotka ANPD pitää tarpeellisina LGPD-lainsäädännön noudattamiseksi. Lausekkeita tulkitaan Brasiliaa koskevien siirtojen vaatimusten mukaisesti sekä kyseisten lakien tai muutoin ANPD:n tai muiden Brasilian viranomaisten antamien ohjeiden mukaisesti ilman, että osapuolten on tehtävä erillisiä vakiosopimuslausekkeita, jotka on laadittu erityisesti Brasiliaa koskevia siirtoja varten. Osapuolet tekevät lisäksi kaikki toimenpiteet, jotka voivat olla tarpeen LGPD:n noudattamisen varmistamiseksi Brasiliaa koskeviin siirtoihin osallistuessaan.”

2. j. Vakiosopimuslausekkeisiin on lisätty uusi lauseke 22, joka kattaa henkilötietojen siirrot muista maista, joita ei ole tähän mennessä määritelty. Vakiosopimuslausekkeita voidaan laajentaa asianmukaisten suojatoimenpiteiden varmistamiseksi kyseisestä maasta peräisin olevien henkilötietojen siirroille kyseisen maan ulkopuolella sijaitsevalle osapuolelle seuraavasti:

”Lauseke 22

Muut kolmansien maiden siirrot

Osapuolet sopivat, että nämä lausekkeet laajennetaan ja niitä sovelletaan kyseisen siirron kannalta merkityksellisissä määrin rajat ylittäviin siirtoihin, jotka kuuluvat minkä tahansa asiaankuuluvan lainkäyttöalueen muiden sovellettavien lakien ja määräysten soveltamisalaan, jotka koskevat henkilötietojen käyttöä tai käsittelyä (sovellettavat tietosuojalait), jotka edellyttävät näitä lausekkeita yleisesti vastaavia ehtoja ja suojaa henkilötietojen siirtämiseksi kyseisestä maasta toiseen (tässä lausekkeessa viitataan kolmannen maan siirtoon). Tällaisten kolmansien maiden siirtojen osalta sovellettavan lainsäädännön katsotaan olevan valitun jäsenvaltion lainsäädäntö, käytettävä tuomioistuin on valitun jäsenvaltion tuomioistuin ja kyseisen maan tietosuojaviranomainen tai sääntelyelin on toimivaltainen valvontaviranomainen. Osapuolet sopivat lisäksi, että sellaiset lisämuutokset tulkitaan tehdyiksi kolmansien maiden siirtojen lausekkeisiin, jotka kyseinen valvontaviranomainen pitää tarpeellisina kyseisen maan sovellettavan tietosuojalainsäädännön noudattamiseksi. Lausekkeita tulkitaan kolmansien maiden siirtojen vaatimusten mukaisesti sekä kyseisten lakien tai muutoin valvontaviranomaisten antamien ohjeiden mukaisesti ilman, että osapuolten on tehtävä erillisiä vakiosopimuslausekkeita, jotka on laadittu erityisesti kolmansien maiden siirtoja varten. Osapuolet tekevät lisäksi kaikki toimenpiteet, jotka voivat olla tarpeen sovellettavien tietosuojalakien noudattamisen varmistamiseksi kolmansia maita koskeviin siirtoihin osallistuessaan.”

1.12 Tämän C2C-sopimuksen liite 1 (Vakiosopimuslausekkeiden käsittelyn yleiskuvaus) on vakiosopimuslausekkeiden liite 1. Tämän C2C-sopimuksen liite 2 (Tekniset ja organisatoriset toimenpiteet) muodostaa vakiosopimuslausekkeiden liitteen 2 ja koskee vain Expediaa, jos olet toimittanut ja olemme hyväksyneet riittävät tekniset ja organisatoriset toimenpiteet täyttääksesi vakiosopimuslausekkeiden liitteen 2 vaatimukset tai mikäli näin ei ole, liitteen 2 katsotaan koskevan molempia osapuolia, ja kaikki viittaukset Expediaan ja Expedia Groupiin katsotaan viittaavan vastaavasti jompaankumpaan osapuoleen. Tämän C2C-sopimuksen lisäys on Yhdistyneen kuningaskunnan lisäys vakiosopimuslausekkeita varten.

LIITE I – VAKIOSOPIMUSLAUSEKKEIDEN KÄSITTELYN YLEISKUVAUS

MODUULI YKSI: rekisterinpitäjältä rekisterinpitäjälle (sinä meille)

A. LUETTELO OSAPUOLISTA

Tietojen viejä(t):

Tietojen tuoja(t): 

B. SIIRTOJEN KUVAUS

C. TOIMIVALTAINEN VALVONTAVIRANOMAINEN

Määritä toimivaltainen valvontaviranomainen/-viranomaiset vakiosopimuslausekkeiden lausekkeen 13 mukaisesti

Irlannin tietosuojaviranomainen

MODUULI YKSI: rekisterinpitäjältä rekisterinpitäjälle (me sinulle)

A. LUETTELO OSAPUOLISTA

Tietojen viejä(t): 

Osapuoli/osapuolet, jotka on määritetty tietojen tuojiksi moduulissa yksi (1) (sinä meille) edellä. Katso lisätietoja edeltä.

Tietojen tuoja(t):

Osapuoli/osapuolet, jotka on määritetty tietojen viejiksi moduulissa yksi (1) (sinä meille) edellä. Katso lisätietoja edeltä.

B. SIIRTOJEN KUVAUS

C. TOIMIVALTAINEN VALVONTAVIRANOMAINEN

Moduulin yksi (1) mukaan

LIITE II – TEKNISET JA ORGANISATORISET TOIMENPITEET 

Moduulin yksi (1) tarkoituksiin sovellettavat tekniset ja organisatoriset toimenpiteet on esitelty alla.

Kansainvälisen tiedonsiirron lisäys EU:n komission vakiosopimuslausekkeisiin (lisäys)

Tämän lisäyksen on julkaissut rajoitettuja siirtoja tekevien osapuolten tietosuojavaltuutettu. Tietovaltuutettu katsoo, että se tarjoaa asianmukaiset takeet rajoitetuille siirroille, kun se tehdään oikeudellisesti sitovana sopimuksena.

Osa 1 Taulukot

Osa 2: Pakolliset lausekkeet

Hyväksytyn lisäyksen pakolliset lausekkeet, jotka ovat ICO:n julkaisema lisäys B.1.0, joka esitettiin parlamentille vuoden 2018 tietosuojalain kohdan s119A mukaisesti 2. helmikuuta 2022, sellaisena kuin se on tarkistettu näiden pakollisten lausekkeiden osion 18 mukaisesti.

TAAP Online-Vereinbarung – Vereinbarung über Übermittlung von Verantwortlichen an Verantwortliche (Controller to Controller – „C2C“) (einschließlich der Standardvertragsklauseln)

Die englische Originalfassung der vorliegenden C2C-Vereinbarung kann in andere Sprachen übersetzt worden sein.  Bei Widersprüchen oder Abweichungen zwischen der englischen Fassung und anderen Sprachfassungen dieser Vereinbarung ist die englische Sprachfassung maßgebend.

ANWENDUNGSBEREICH: Wenn sowohl Expedia als auch Sie personenbezogene Daten im Rahmen einer mit der anderen Partei (eventuell in Form einer Online-Clickwrap-Vereinbarung) geschlossenen Vereinbarung (gemäß der Sie zum Marketingpartner im Rahmen von TAAP ernannt wurden, sowie alle relevanten Aktivitäten im Zusammenhang mit dieser Aktivität, in dieser Vereinbarung als „ relevante Aktivitäten“ bezeichnet) verarbeiten, dann ergänzt die vorliegende globale Vereinbarung für die Datenübermittlung von Verantwortlichen an Verantwortliche („C2C-Vereinbarung“) eine solche zwischen den Parteien im Zusammenhang mit den relevanten Aktivitäten geschlossene Vereinbarung (die „ Vereinbarung“) und ist auf diese anwendbar, und legt zusätzliche Bedingungen, Anforderungen und Voraussetzungen fest, die für die jeweilige Verarbeitung personenbezogener Daten im Zusammenhang mit der Vereinbarung durch Expedia und Sie gelten. In dieser C2C-Vereinbarung beziehen sich „ Expedia“, „ wir“ und „ uns“ auf Expedia, Inc. und/oder jedes andere Unternehmen der Expedia Group, das Vertragspartei der Vereinbarung ist. „Sie“ bezieht sich auf die in der Mitgliedschaftsregistrierung genannte juristische Person, wie in der Vereinbarung beschrieben (und alle Verweise auf Expedia oder Sie werden als Pluralbegriffe ausgelegt, soweit dies in der Vereinbarung erforderlich ist).

1. DEFINITIONEN UND AUSLEGUNG

1.1 Diese C2C-Vereinbarung unterliegt den Bestimmungen der Vereinbarung und wird durch Bezugnahme in die Vereinbarung aufgenommen. Die in der Vereinbarung festgelegten Auslegungen und definierten Begriffe gelten für die Auslegung dieser C2C-Vereinbarung, sofern in dieser C2C-Vereinbarung nichts anderes definiert ist; und:

1. a. geeignete technische und organisatorische Maßnahmen, Verantwortlicher, personenbezogene Daten, Verletzung des Schutzes personenbezogener Daten, Verarbeitung/verarbeiten und Aufsichtsbehörde (oder hinreichend gleichwertige Begriffe) haben jeweils die Bedeutung, die diesen Begriffen in den anwendbaren Datenschutzgesetzen zugeschrieben ist;
2. b. Anwendbare Datenschutzgesetze bezeichnet alle anwendbaren Gesetze und Vorschriften in jeder relevanten Rechtsordnung, die für die Verarbeitung personenbezogener Daten gelten;
3. c. Erlaubter Zweck bezeichnet folgende Zwecke: (i) Erfüllung von Buchungen, (ii) Bereitstellung von Unterstützung bei Buchungen, (iii) TAAP-Registrierung und -Kontoverwaltung, (iv) Zahlung von Vergütungen und anderen Beträgen nach der Vereinbarung, (v) Erstellung von Berichten für Sie sowie jede weitere Verarbeitung, die für den Abgleich, die Reklamationsbearbeitung und ähnliche Aktivitäten in Verbindung mit der Bedienung der Vereinbarung erforderlich ist, (vi) TAAP-Kontounterstützung, (vii) Mitteilungen an TAAP-Mitglieder und Unternutzer, (viii) Verbesserung unserer Dienste, einschließlich Optimierung des Buchungsvorgangs, (ix) Erstellung von Berichten für Analysen, Business Intelligence und Geschäftsberichterstattung, (x) Betrugsprävention, (xi) Beantwortung von Anfragen von Strafverfolgungsbehörden und Prüfungsanfragen von Steuerbehörden, (xii) Erleichterung von Transaktionen des Betriebsvermögens (dies kann sich auch auf Fusionen, Übernahmen oder den Verkauf von Vermögenswerten erstrecken) und (xiii) anderweitige Erfüllung unserer Pflichten aus der Vereinbarung, der Datenschutzrichtlinie von Expedia und den geltenden Rechtsvorschriften sowie (xiv) Ermittlung, Berechnung und Meldung von Reisesteuern sowie andere anwendbare Besteuerungszwecke, wie dies von Zeit zu Zeit erforderlich sein kann.
4. d. DPF bezeichnet eine Zertifizierung unter dem EU-US-Datenschutzrahmen durch das US-Handelsministerium oder unter einem Ersatz- oder Ergänzungszertifizierungsmechanismus, der von Zeit zu Zeit von der Europäischen Kommission (oder einer anderen einschlägigen nationalen Behörde) genehmigt wird, und schließt alle ergänzenden Angemessenheitsbeschlüsse jedes anderen Landes ein, die die Ausdehnung des DPF zwischen den USA und diesem Drittland (z. B. unter anderem das Vereinigte Königreich und die Schweiz) erlauben;
5. e. Land mit Datenübermittlungseinschränkung bezeichnet jedes Land des Europäischen Wirtschaftsraums, die Schweiz, das Vereinigte Königreich und Brasilien;
6. f. Daten mit Übermittlungseinschränkung bezeichnet Kundendaten im Zusammenhang mit einer Buchung, die über einen Point of Sale vorgenommen wurde, der von uns für den Zugriff durch Kunden in einem Land mit Datenübermittlungseinschränkung vorgesehen ist;
7. g. Standardvertragsklauseln/SCC (Standard Contractual Clauses) bezeichnet die genehmigten Standardvertragsklauseln der Europäischen Kommission für die Übermittlung personenbezogener Daten aus der Europäischen Union in Drittländer, herausgegeben am 4. Juni 2021 (in der jeweils gültigen Fassung, wie von Zeit zu Zeit ersetzt, ergänzt oder abgelöst), deren vollständige aktuelle Version unter folgendem Link abrufbar ist: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_de; und
8. h. Personenbezogene TAAP-Daten bezeichnet personenbezogene Daten, die Sie uns über die TAAP-Website oder anderweitig in Verbindung mit TAAP selbst oder der Durchführung von Buchungen über die TAAP-Website bereitstellen.

Rechtsverhältnis der Parteien

2. 1.2 Sowohl Sie als auch wir erheben und verarbeiten personenbezogene Daten, um unsere jeweiligen Rechte und Pflichten aus der vorliegenden Vereinbarung sowie Ihre und unsere jeweiligen Verantwortlichkeiten im Rahmen des geltenden Rechts zu erfüllen. Somit wird jede der Parteien: (i) personenbezogene Daten als unabhängiger und autonomer Verantwortlicher verarbeiten, (ii) die anwendbaren Datenschutzgesetze einhalten, und (iii) die Verantwortung für alle ihre Handlungen oder Unterlassungen tragen, durch die die anwendbaren Datenschutzgesetze verletzt werden.

Ihre Verantwortlichkeiten

1.3 Sie müssen: 

2. a. sich auf eine Rechtgrundlage stützen können, um personenbezogene TAAP-Daten an uns zur Verarbeitung für die erlaubten Zwecke weitergeben zu dürfen;
3. b. sicherstellen, dass Kunden mittels Ihrer Datenschutzrichtlinie und auf andere geeignete Weise darauf aufmerksam gemacht werden, dass ihre personenbezogenen Daten für die erlaubten Zwecke an uns weitergegeben werden;
4. c. Kunden auf unsere Datenschutzrichtlinie verweisen, wo sie weitere Informationen über unseren Umgang mit ihren personenbezogenen Daten finden; und
5. d. mit uns zusammenarbeiten und uns in zumutbarer Weise dabei unterstützen, dass wir die anwendbaren Datenschutzgesetze im Zuge der Verarbeitung personenbezogener TAAP-Daten in Verbindung mit der vorliegenden Vereinbarung einhalten können.

Unsere Verantwortlichkeiten

1.4 Wir (und ggf. unsere Konzerngesellschaften) werden: 

2. a. personenbezogene Daten ausschließlich in Verbindung mit dem erlaubten Zweck verarbeiten;
3. b. die personenbezogenen TAAP-Daten weder ganz noch teilweise an eine andere Person weitergeben, ausgenommen im Zusammenhang mit einem erlaubten Zweck; und
4. c. mit Ihnen zusammenarbeiten und Sie in zumutbarer Weise dabei unterstützen, dass Sie die anwendbaren Datenschutzgesetze im Zuge der Verarbeitung personenbezogener Daten im Rahmen von TAAP in Verbindung mit der vorliegenden Vereinbarung einhalten können; und
5. d. einen rechtmäßigen und aktuellen Cookie-Hinweis (falls erforderlich) und unsere Datenschutzrichtlinie auf der TAAP-Website anzeigen und einhalten.

Kunden und Dritte

1.5 Sie nehmen zur Kenntnis, dass wir:

2. a. in Bezug auf Buchungen E-Mails an den Kunden senden können;
3. b. personenbezogene TAAP-Daten (einschließlich Bankverbindungsdaten) an unsere Drittdienstleister für folgende Zwecke weitergeben können:
   2. i. Verwaltung, Management und Unterstützung für Ihr TAAP-Konto, das Ihrer Mitarbeiter und Ihrer Unternutzer;
   3. ii. Erbringung von Unterstützung für Buchungen; und
   4. iii. Bezahlung von Vergütungen und anderen Beträgen gemäß der vorliegenden Vereinbarung.

Datensicherheit

1.6 Beide Parteien werden in ihrer Eigenschaft als Verantwortliche:

2. a. geeignete technische und organisatorische Maßnahmen aufrechterhalten, um die von ihnen jeweils verarbeiteten personenbezogenen Daten vor einer Verletzung des Schutzes personenbezogener Daten zu schützen; und
3. b. im Falle einer bestätigten Verletzung des Schutzes personenbezogener Daten in Systemen, die Eigentum der jeweiligen Partei sind oder von ihr kontrolliert werden, ist die jeweils andere Partei umgehend in Kenntnis zu setzen, falls eine solche Verletzung des Schutzes personenbezogener Daten sowohl (i) Auswirkungen auf personenbezogene TAAP-Daten hat, die auch durch die andere Partei im Rahmen des vorliegenden Vertrages verarbeitet werden; als auch (ii) an eine Aufsichtsbehörde gemeldet werden muss, wobei die jeweilige Partei alle Details dieser Verletzung angibt. In einem solchen Fall arbeiten die Parteien in angemessener Weise in gutem Glauben zusammen, um die Auswirkungen der Verletzung des Schutzes personenbezogener Daten zu beheben oder zu mindern, und die vertretbaren Kosten dieser Zusammenarbeit werden durch die Partei getragen, die die Verletzung des Schutzes personenbezogener Daten erlitten hat.

Grenzüberschreitende Übermittlungen 

1.7 Datenschutzrahmen (Data Privacy Framework – DPF): Sie und wir vereinbaren, dass in Bezug auf die Übermittlung von Daten mit Übermittlungseinschränkung zwischen Ihnen und uns in die USA oder in ein Land, das gemäß den geltenden Datenschutzgesetzen des Herkunftslandes mit Datenübermittlungseinschränkung nicht als „angemessen“ eingestuft wurde, (a) dass das DPF, soweit und solange das DPF eine von einer zuständigen Behörde anerkannte Übermittlungsmethode ist, der vereinbarte Mechanismus für grenzüberschreitende Übermittlungen von Daten aus einem Land mit Datenübermittlungseinschränkung an uns die USA ist, und (b) dass, soweit und solange das DPF keine gültige Übermittlungsmethode ist (einschließlich für Übermittlungen von Daten mit Übermittlungseinschränkung in ein Land, das gemäß den geltenden Datenschutzgesetzen des Herkunftslandes mit Datenübermittlungseinschränkung nicht als „angemessen“ eingestuft wurde), die Standardvertragsklauseln für solche Übermittlungen gelten und wir diese auf der in Klausel 1.11 unten dargelegten Grundlage abschließen. Wenn Sie auch über eine aktuelle DPF-Zertifizierung verfügen, können Übermittlungen von Daten mit Übermittlungseinschränkung an Sie in gleicher Weise im Rahmen des DPF mit Standardvertragsklauseln als Ausweichlösung erfolgen, wie oben beschrieben.

1.8 DPF-Flowdown-Verpflichtungen: Sie verpflichten sich, mindestens das gleiche Schutzniveau für Daten mit Übermittlungseinschränkung gemäß den Anforderungen des DPF zu bieten, und Sie müssen uns umgehend in Kenntnis setzen, wenn Sie zu dem Schluss kommen, dass Sie dieses Schutzniveau nicht mehr gewährleisten können. In einem solchen Fall oder wenn wir aus anderen Gründen der begründeten Annahme sind, dass Sie die Daten mit Übermittlungseinschränkung nicht entsprechend dem gemäß dem DPF geforderten Standard schützen, können wir entweder: (a) Sie anweisen, angemessene und geeignete Maßnahmen zu ergreifen, um jede unbefugte Verarbeitung zu unterbinden und für Abhilfe zu sorgen, wobei Sie in diesem Fall unverzüglich in gutem Glauben mit uns zusammenarbeiten, um solche Maßnahmen zu ermitteln, zu vereinbaren und umzusetzen; (b) eine alternative Schutzmaßnahme vereinbaren, die für die Verarbeitung gemäß den anwendbaren Datenschutzgesetzen gelten kann; oder (c) diese C2C-Vereinbarung und die Vereinbarung (oder, nach unserer Wahl, jeden betroffenen Teil davon) ohne Vertragsstrafe durch Mitteilung an Sie kündigen. Wenn Sie auch über eine aktuelle DPF-Zertifizierung verfügen, gelten die oben genannten Bestimmungen und die Bestimmungen der nachstehenden Klausel 1.9 derart, dass die Verpflichtungen wechselseitig sind.

1.9 DPF-Offenlegungspflichten: Sie erkennen an, dass wir diese C2C-Vereinbarung und alle relevanten Datenschutzbestimmungen in der Vereinbarung gegenüber dem US-Handelsministerium, der Federal Trade Commission, jeder europäischen Datenschutzbehörde oder jeder anderen Justiz- oder Regulierungsbehörde der USA oder der EU auf deren Anfrage hin offenlegen dürfen und dass eine solche Offenlegung nicht als Verstoß gegen die Vertraulichkeit anzusehen ist.

1.10 Ausdehnung der Standardvertragsklauseln auf Länder mit Datenübermittlungseinschränkung: In Bezug auf die Übermittlung personenbezogener TAAP-Daten zwischen Ihnen und uns, die aus einem Land stammen, das ein Land ohne Datenübermittlungseinschränkung ist, aber ansonsten Schutzmaßnahmen unterliegt, die gemäß den anwendbaren Datenschutzgesetzen angewendet werden müssen, bevor eine Übermittlung dieser personenbezogenen TAAP-Daten in Länder außerhalb des Herkunftslandes erfolgen kann (jeweils ein Land ohne Datenübermittlungseinschränkung), vereinbaren Sie und wir, dass (a) die in Klausel 1.11 unten dargelegten Standardvertragsklauseln als auf solche zusätzlichen Übermittlungen in dem Umfang ausgedehnt angesehen werden, in dem eine solche angenommene Ausdehnung den Schutzmaßnahmen dieses bestimmten Landes Genüge leisten würden; und/oder (b) wenn die in Klausel 1.11 dargelegten Maßnahmen unzureichend sind oder zusätzliche Maßnahmen erfordern, vereinbaren die Parteien, solche weiteren Maßnahmen zu ergreifen (einschließlich unter anderem die Ausfertigung relevanter Dokumente, die Einholung von Einwilligungen, die Erstellung erforderlicher Unterlagen), die von Zeit zu Zeit erforderlich sein können, um den anwendbaren Datenschutzbestimmungen Genüge zu leisten.

1.11 Vorbehaltlich Klausel 1.7 oben stimmen Sie und wir hiermit zu, die Standardvertragsklauseln auf unveränderter Basis abzuschließen, mit folgenden ausgewählten Ausnahmen:

2. a. Wenn Sie in einem Land mit Datenübermittlungseinschränkung oder anderweitig in einem Land niedergelassen sind, das gemäß Artikel 45 der DSGVO als „angemessen“ betrachtet wird, gilt Modul eins (1) der Standardvertragsklauseln nur einseitig für Übermittlungen von Ihnen an Expedia. Ansonsten gelten die Standardvertragsklauseln des Moduls 1 für Übermittlungen in beide Richtungen und decken sowohl Übermittlungen von uns an Sie als auch von Ihnen an uns ab.
3. b. Für die Zwecke von Klausel 11 Buchstabe a der Standardvertragsklauseln wird der als Option aufgeführte Text gestrichen.
4. c. Für die Zwecke von Klausel 13 der Standardvertragsklauseln lautet der relevante Absatz: „Die Aufsichtsbehörde des Mitgliedstaats, in dem der Vertreter nach Artikel 27 Absatz 1 der Verordnung (EU) 2016/679 niedergelassen ist, fungiert als zuständige Aufsichtsbehörde (entsprechend der Angabe in Anhang I.C).“
5. d. Für die Zwecke von Klausel 17 unterliegen die Standardvertragsklauseln dem irischen Recht.
6. e. Für die Zwecke von Klausel 18 wird Irland ausgewählt.
7. f. Den Standardvertragsklauseln wird eine neue Klausel 19 betreffend die Übermittlung personenbezogener Daten aus dem Vereinigten Königreich in Länder außerhalb des Vereinigten Königreichs hinzugefügt, die wie folgt lautet:

„Klausel 19

Britische Datenschutz-Grundverordnung (UK GDPR) und DPA von 2018

Die Parteien vereinbaren, dass diese Klauseln in dem für die betreffende Übermittlung relevanten Umfang auf grenzüberschreitende Übermittlungen ausgedehnt werden und anwendbar sind, die in den Geltungsbereich der britischen Datenschutz-Grundverordnung und des DPA von 2018 fallen (eine britische Übermittlung). Für die Zwecke einer solchen britischen Übermittlung gelten die Bestimmungen des Nachtrags zu den Standardvertragsklauseln betreffend Datenübermittlungen in andere Länder Version B1.0 (in der jeweils gültigen Fassung, wie von Zeit zu Zeit ersetzt, ergänzt oder abgelöst), wie in dem als Nachtrag beigefügten Formblatt dargelegt.“

2. h. Den Standardvertragsklauseln wird eine neue Klausel 20 betreffend die Übermittlung personenbezogener Daten aus der Schweiz in Länder außerhalb der Schweiz hinzugefügt, die wie folgt lautet:

„Klausel 20

Schweiz – BDSG

Die Parteien vereinbaren, dass diese Klauseln in dem für die betreffende Übermittlung relevanten Umfang auf grenzüberschreitende Übermittlungen ausgedehnt werden und anwendbar sind, die in den Geltungsbereich des Bundesgesetzes über den Datenschutz der Schweiz (BDSG) fallen (in dieser Klausel als schweizerische Übermittlung bezeichnet). Für die Zwecke solcher schweizerischen Übermittlungen gilt als anwendbares Recht das Recht des ausgewählten Mitgliedstaates, der Gerichtsstand ist der ausgewählte Mitgliedstaat und die zuständige Aufsichtsbehörde ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB). Die Parteien vereinbaren weiterhin, dass entsprechende weitere Änderungen an den Klauseln in Bezug auf eine schweizerische Übermittlung als vorgenommen gelten, wenn diese vom EDÖB als notwendig erachtet werden, um die britische Datenschutz-Grundverordnung und das BDSG zu erfüllen, und dass die Klauseln in Übereinstimmung mit den Anforderungen an schweizerische Übermittlungen auszulegen sind, die sich aus diesen Rechtsvorschriften ergeben oder anderweitig in Richtlinien des EDÖB festgelegt sind, ohne dass die Parteien gesonderte Standardvertragsklauseln abschließen müssen, die speziell für ihre schweizerischen Übermittlungen erstellt werden. Die Parteien werden darüber hinaus alle erforderlichen Handlungen und Maßnahmen ergreifen, um die Einhaltung des BDSG bei der Durchführung von schweizerischen Übermittlungen sicherzustellen.“

2. i. Den Standardvertragsklauseln wird eine neue Klausel 21 betreffend die Übermittlung personenbezogener Daten aus Brasilien in Länder außerhalb Brasiliens hinzugefügt, die wie folgt lautet:

„Klausel 21

Brasilien – LGPD

Die Parteien vereinbaren, dass diese Klauseln in dem für die betreffende Übermittlung relevanten Umfang auf grenzüberschreitende Übermittlungen ausgedehnt werden und anwendbar sind, die in den Geltungsbereich des brasilianischen Allgemeinen Datenschutzgesetzes Nr. 13,709/18 (Lei Geral de Proteção de Dados) (LGPD) fallen (in dieser Klausel als brasilianische Übermittlung bezeichnet). Für die Zwecke solcher brasilianischen Übermittlungen gilt als anwendbares Recht das Recht des ausgewählten Mitgliedstaates, der Gerichtsstand ist der ausgewählte Mitgliedstaat und die zuständige Aufsichtsbehörde ist die Nationale Datenschutzbehörde Brasiliens (ANPD). Die Parteien vereinbaren weiterhin, dass entsprechende weitere Änderungen an den Klauseln in Bezug auf eine brasilianische Übermittlung als vorgenommen gelten, wenn diese von der ANPD als notwendig erachtet werden, um das LGPD zu erfüllen, und dass die Klauseln in Übereinstimmung mit den Anforderungen an brasilianische Übermittlungen ausgelegt werden, die sich aus diesen Rechtsvorschriften ergeben oder anderweitig in Richtlinien der ANPD oder anderer zuständiger brasilianischer Behörden festgelegt sind, ohne dass die Parteien gesonderte Standardvertragsklauseln abschließen müssen, die speziell für ihre brasilianischen Übermittlungen erstellt werden. Die Parteien werden darüber hinaus alle erforderlichen Handlungen und Maßnahmen ergreifen, um die Einhaltung des LGPD bei der Durchführung von brasilianischen Übermittlungen sicherzustellen.“

2. j. Den Standardvertragsklauseln wird eine neue Klausel 22 zur Abdeckung der Übermittlung personenbezogener Daten aus einem anderen, bisher nicht genannten Land hinzugefügt, gemäß der die Standardvertragsvertragsklauseln ausgedehnt werden können, um angemessene Schutzmaßnahmen für die Übermittlung personenbezogener Daten aus diesem Land an eine Partei außerhalb dieses Landes zu gewährleisten. Diese Klausel lautet wie folgt:

„Klausel 22

Übermittlungen an sonstige Drittländer

Die Parteien vereinbaren, dass diese Klauseln in dem für die betreffende Übermittlung relevanten Umfang auf grenzüberschreitende Übermittlungen ausgedehnt werden und anwendbar sind, die in den Geltungsbereich aller sonstigen anwendbaren Gesetze und Rechtsvorschriften in jeder relevanten Rechtsordnung hinsichtlich der Nutzung oder Verarbeitung personenbezogener Daten (anwendbare Datenschutzgesetze) fallen, gemäß denen mit diesen Klauseln gleichwertige Bestimmungen und Schutzmaßnahmen für die Übermittlung personenbezogener Daten aus diesem Land in ein anderes vorgeschrieben werden (in diesen Klauseln als Drittlandsübermittlungen bezeichnet). Für die Zwecke solcher Drittlandsübermittlungen gilt als anwendbares Recht das Recht des ausgewählten Mitgliedstaates, der Gerichtsstand ist der ausgewählte Mitgliedstaat und die zuständige Aufsichtsbehörde ist die Datenschutzbehörde oder Regulierungsbehörde jenes Landes. Die Parteien vereinbaren weiterhin, dass entsprechende weitere Änderungen an den Klauseln in Bezug auf eine Drittlandsübermittlung als vorgenommen gelten, wenn diese von einer solchen Aufsichtsbehörde als notwendig erachtet werden, um die anwendbaren Datenschutzgesetze dieses Landes zu erfüllen, und dass die Klauseln in Übereinstimmung mit den Anforderungen an Drittlandsübermittlungen ausgelegt werden, die sich aus diesen Gesetzen ergeben oder anderweitig in Richtlinien der zuständigen Aufsichtsbehörde festgelegt sind, ohne dass die Parteien gesonderte Standardvertragsklauseln abschließen müssen, die speziell für ihre Drittlandsübermittlungen erstellt werden. Die Parteien werden darüber hinaus alle erforderlichen Handlungen und Maßnahmen ergreifen, um die Einhaltung der anwendbaren Datenschutzgesetze bei der Durchführung von Drittlandsübermittlungen sicherzustellen.“

1.12 Anhang 1 (Übersicht über die Verarbeitung im Rahmen von Standardvertragsklauseln) dieser C2C-Vereinbarung stellt Anhang 1 der Standardvertragsklauseln dar. Anhang 2 (Technische und organisatorische Maßnahmen) dieser C2C-Vereinbarung stellt Anhang 2 der Standardvertragsklauseln dar und gilt nur für Expedia, wenn Sie angemessene technische und organisatorische Maßnahmen bereitgestellt haben und wir diese akzeptiert haben, um Ihre Standardvertragsklausel-Anforderungen aus Anhang 2 zu erfüllen, oder wo dies nicht der Fall ist, wird Anhang 2 so ausgelegt, dass er für beide Parteien gilt, und alle Bezugnahmen auf Expedia und die Expedia Group werden so ausgelegt, dass sie sich jeweils auf jede der Parteien beziehen. Der Nachtrag zu dieser C2C-Vereinbarung stellt für die Zwecke der Standardvertragsklauseln den britischen Nachtrag (UK Addendum) dar.

ANHANG I – ÜBERSICHT ÜBER DIE VERARBEITUNG IM RAHMEN VON STANDARDVERTRAGSKLAUSELN

MODUL EINS: Von Verantwortlichen an Verantwortliche (von Ihnen an uns)

A. LISTE DER PARTEIEN

Datenexporteur(e):

Datenimporteur(e): 

B. BESCHREIBUNG DER DATENÜBERMITTLUNG

C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE

Angabe der zuständigen Aufsichtsbehörde(n) gemäß Klausel 13 der Standardvertragsklauseln

Irische Datenschutzaufsichtsbehörde

MODUL EINS: Von Verantwortlichen an Verantwortliche (von uns an Sie)

A. LISTE DER PARTEIEN

Datenexporteur(e): 

Die in Modul eins (1) (von Ihnen an uns) oben als Datenimporteure identifizierte(n) Partei(en). Weitere Einzelheiten siehe oben.

Datenimporteur(e):

Die in Modul eins (1) (von Ihnen an uns) oben als Datenexporteure identifizierte(n) Partei(en). Weitere Einzelheiten siehe oben.

B. BESCHREIBUNG DER DATENÜBERMITTLUNG

C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE

Gemäß Modul eins (1)

ANHANG II – TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN 

Nachfolgend sind die technischen und organisatorischen Maßnahmen aufgeführt, die für die Zwecke von Modul eins (1) gelten.

Nachtrag zu den Standardvertragsklauseln der EU-Kommission betreffend Datenübermittlungen in andere Länder (Nachtrag)

Dieser Nachtrag wurde vom Information Commissioner für Parteien herausgegeben, die eingeschränkte Übermittlungen durchführen Der Information Commissioner ist der Ansicht, dass dieser Nachtrag angemessene Schutzmaßnahmen für eingeschränkte Übermittlungen bietet, wenn dieser Nachtrag als rechtsverbindlicher Vertrag abgeschlossen wird.

Teil 1 Tabellen

Teil 2: Obligatorische Klauseln

Obligatorische Klauseln des genehmigten Nachtrags: Dabei handelt es sich um den vom ICO herausgegebenen Muster-Nachtrag B.1.0, der dem Parlament in Einklang mit Abschnitt 119A des Datenschutzgesetzes von 2018 am 2. Februar 2022 in der gemäß Abschnitt 18 dieser obligatorischen Klauseln überarbeiteten Fassung vorgelegt wurde.