Acordo on-line do Programa de agentes de viagem afiliados (TAAP) – Acordo entre controladores (incluindo SCCs)

A versão original em inglês deste Acordo C2C pode ter sido traduzida para outros idiomas.  No caso de haver inconsistência ou discrepância entre a versão em inglês e a versão deste Acordo em qualquer outro idioma, a versão em inglês deverá prevalecer.

ESCOPO: Quando a Expedia e você estiverem processando dados pessoais como parte de um acordo (que pode estar no formato de termos de clickwrap on-line) firmado com a outra parte (em relação à qual você foi nomeado parceiro de marketing no Programa de agentes de viagens afiliados, TAAP, e cujas atividades relevantes relacionadas são aqui referidas como "Atividades Relevantes"), este acordo global entre controladores ("Acordo C2C") é complementar e se aplica a tal acordo firmado entre as partes em conexão com as Atividades Relevantes (o "Acordo") e estabelece termos, requisitos e condições adicionais nos quais a Expedia e você processarão dados pessoais relacionados ao Acordo. Neste Acordo C2C, "Expedia", "nós" e "nos" referem-se à Expedia, Inc. e/ou a qualquer outra empresa do Expedia Group que faça parte do Acordo. "Você" se refere à entidade nomeada que foi definida no Aplicativo conforme descrito no Acordo (e todas as referências à Expedia ou a você serão interpretadas como termos plurais na medida exigida pelo Acordo).

1. DEFINIÇÕES E INTERPRETAÇÃO

1.1 Este Acordo C2C está sujeito aos termos do Acordo e está incorporado ao Acordo. As interpretações e os termos definidos que foram estabelecidos no Acordo se aplicam à interpretação deste Acordo C2C, a menos que definido de outra forma neste Acordo C2C; e:

1. a. Medidas organizacionais e técnicas apropriadas, controlador, dados pessoais, violação de dados pessoais, processo/processamento e autoridade fiscalizadora (ou termos razoavelmente equivalentes) devem ter os significados dados a eles nas Leis de Proteção de Dados Aplicáveis;
2. b. Leis de Proteção de Dados Aplicáveis significa quaisquer leis e regulamentos aplicáveis em qualquer jurisdição relevante relacionados ao uso ou processamento de dados pessoais;
3. c. Finalidades Permitidas significam as finalidades de (i) realizar Reservas; (ii) oferecer suporte às Reservas; (iii) proceder com a administração da conta e registro do TAAP; (iv) realizar pagamentos de Comissões e outros valores segundo o Acordo; (v) gerar relatórios para você e qualquer outro tipo de processamento necessário para tratar de conciliações, reclamações e atividades semelhantes relacionadas ao cumprimento do Acordo; (vi) oferecer suporte à Conta do TAAP; (vii) promover comunicações com os Associados do TAAP e subusuários; (viii) melhorar os nossos serviços, incluindo otimizar a experiência de reserva; (ix) criar relatórios para finalidade de análise, business intelligence e relatório comercial; (x) trabalhar na prevenção de fraude; (xi) responder a solicitações de autoridades legais e solicitações de auditoria de autoridades fiscais; (xii) facilitar transações de ativos comerciais (que podem se estender a fusões, aquisições ou vendas de ativos); (xiii) estar em conformidade de qualquer outra forma com as nossas obrigações segundo o Acordo, a declaração de privacidade da Expedia e leis aplicáveis; e (xiv) para a determinação, o cálculo, a geração de relatórios de impostos sobre viagens e outros fins de tributação conforme possa ser exigido periodicamente;
4. d. DPF significa uma certificação de Estrutura de Privacidade de Dados entre a União Europeia e os EUA junto ao Departamento de Comércio dos EUA ou qualquer substituição ou mecanismo de certificação complementar aprovado pela Comissão Europeia (ou outra autoridade nacional relevante) periodicamente e inclui quaisquer decisões complementares de adequação emitidas por qualquer outro país que permitam a extensão da DPF entre os EUA e esse país (por exemplo, sem limitação, Reino Unido e Suíça);
5. e. País de Transferência Restrita significa qualquer país do Espaço Econômico Europeu, Suíça, Reino Unido e Brasil;
6. f. Dados de Transferência Restrita significa Dados do Cliente relacionados a uma Reserva feita por meio de um ponto de venda que pretendemos que seja acessado por Clientes em um País de Transferência Restrita;
7. g. Cláusulas Contratuais Padrão/SCCs significa as Cláusulas Contratuais Padrão aprovadas pela Comissão Europeia para a transferência de dados pessoais da União Europeia para países terceiros, conforme emitidas em 4 de junho de 2021 e alteradas, substituídas, corrigidas, complementadas ou atualizadas periodicamente, e cuja versão atual completa consta neste link: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en; e
8. h. Dados Pessoais do TAAP significam os dados pessoais fornecidos a nós por você por meio do Site do TAAP ou de qualquer outra forma processados em conexão com o próprio TAAP ou a facilitação de Reservas feitas usando o Site do TAAP.

Relacionamento entre as partes

2. 1.2 Você e nós coletaremos e processaremos separadamente dados pessoais para cumprir nossos respectivos direitos e obrigações segundo o Acordo, bem como as suas e as nossas respectivas responsabilidades nos moldes das leis aplicáveis. Como tal, cada uma das partes deve: (i) processar os dados pessoais como um controlador independente e autônomo; (ii) cumprir com as Leis de Proteção de Dados Aplicáveis; e (iii) se responsabilizar por quaisquer atos ou omissões que violem as Leis de Proteção de Dados Aplicáveis.

Suas responsabilidades

1.3 Você deve: 

2. a. satisfazer uma base legal a fim de disponibilizar quaisquer Dados Pessoais do TAAP para nós a serem processados para atender às Finalidades Permitidas;
3. b. assegurar que os Clientes tomem conhecimento, por meio da sua declaração de privacidade e de quaisquer outros meios adequados, de que os dados pessoais deles serão compartilhados conosco para atender às Finalidades Permitidas;
4. c. direcionar os Clientes para a nossa declaração de privacidade para que encontrem mais informações sobre nosso tratamento de dados pessoais; e
5. d. cooperar e fornecer assistência razoável a nós para que possamos cumprir com as Leis de Proteção de Dados Aplicáveis enquanto realizamos o processamento dos Dados Pessoais do TAAP em conexão com o Acordo;

Nossas responsabilidades

1.4 Nós (e nossos Associados do Grupo, onde aplicável) deveremos: 

2. a. processar os Dados Pessoais do TAAP em conexão apenas com uma Finalidade Permitida;
3. b. não divulgar na totalidade ou em partes os Dados Pessoais do TAAP a qualquer pessoa, exceto em conexão com uma Finalidade Permitida;
4. c. cooperar e fornecer assistência razoável a você para que você possa cumprir com as Leis de Proteção de Dados Aplicáveis enquanto realiza o processamento dos Dados Pessoais do TAAP em conexão com o Acordo; e
5. d. exibir e estar em conformidade com o nosso aviso de cookies (se necessário) e nossa declaração de privacidade de acordo com a lei e atualizados no Site do TAAP.

Clientes e Terceiros

1.5 Você reconhece que nós:

2. a. podemos enviar e-mails a Clientes relacionados às Reservas;
3. b. podemos transferir os Dados Pessoais do TAAP (inclusive dados bancários) para nossos fornecedores de serviços terceirizados para as finalidades de:
   2. i. administrar, gerenciar e fornecer suporte a você e suas Contas do TAAP de Subusuários e Representantes;
   3. ii. prestar suporte referente às Reservas; e
   4. iii. pagar Comissões e outros valores nos moldes do Acordo.

Segurança de dados

1.6 Ambas as partes, na qualidade de controladores, devem:

2. a. manter medidas técnicas e organizacionais adequadas para proteger os dados pessoais processados por elas contra uma violação de dados pessoais; e
3. b. em caso de violação confirmada de dados pessoais nos sistemas sob controle ou posse da parte, notificar imediatamente a outra parte se tal violação (i) afetar os Dados Pessoais do TAAP que também são processados pela outra parte segundo o Acordo; e (ii) for passível de notificação a uma autoridade fiscalizadora, fornecendo detalhes completos de tal. Nesse caso, ambas as partes devem cooperar de maneira razoável e de boa-fé para corrigir ou amenizar os efeitos da violação de dados pessoais, e os custos de tal cooperação serão assumidos pela parte que sofreu referida violação.

Transferências transfronteiriças 

1.7 Estrutura de Privacidade de Dados (DPF):: você e nós concordamos que, em relação às transferências de Dados de Transferência Restrita entre você e nós para os Estados Unidos ou para um país que não tenha sido considerado "adequado" de acordo com as Leis de Proteção de Dados Aplicáveis do País de Transferência Restrita de origem, (a) na medida em que e enquanto a DPF for um método de transferência reconhecido por uma autoridade relevante, a DPF será o mecanismo acordado para transferências transfronteiriças de dados originários de um País de Transferência Restrita para nós nos Estados Unidos, e (b) na medida em que e enquanto a DPF não for um método válido de transferência (incluindo para transferências de Dados de Transferência Restrita para um país que não tenha sido considerado adequado de acordo com as Leis de Proteção de Dados Aplicáveis do País de Transferência Restrita de origem), as SCCs serão aplicadas a tais transferências, e nós as firmaremos com base na Cláusula 1.11 abaixo. Caso você também possua uma certificação DPF atual, as transferências de Dados de Transferência Restrita para você também poderão ser feitas dentro da DPF com as SCCs como um mecanismo alternativo conforme definido acima.

1.8 Obrigações decorrentes da DPF:: Você concorda que fornecerá aos Dados de Transferência Restrita pelo menos o mesmo nível de proteção exigido pela DPF; e você deve nos notificar imediatamente se determinar que não poderá mais fornecer esse nível de proteção. Nesse caso, ou se nós acreditarmos com base em motivos razoáveis que você não está protegendo os Dados de Transferência Restrita de acordo com o padrão exigido pela DPF, nós podemos: (a) instruir você a tomar medidas razoáveis e apropriadas para interromper e remediar qualquer processamento não autorizado, e nesse caso, você deverá cooperar prontamente conosco de boa-fé para identificar, concordar com e implementar tais etapas; (b) concordar em usar uma proteção alternativa que possa ser aplicada ao processamento que esteja de acordo com a Lei de Proteção de Dados Aplicável; ou (c) rescindir este Acordo C2C e o Acordo (ou, ao nosso critério, qualquer parte afetada deles) sem penalidade mediante notificação a você. Se você também possuir uma certificação DPF atual, as disposições acima e as da Cláusula 1.9 abaixo serão consideradas aplicáveis como se as obrigações fossem bidirecionais.

1.9 Obrigações de divulgação da DPF:: Você reconhece que podemos divulgar este Acordo C2C e quaisquer disposições de privacidade relevantes no Acordo para a Comissão Federal de Comércio (Federal Trade Commission) ou o Departamento de Comércio (Department of Commerce) dos EUA, para qualquer autoridade europeia de proteção de dados ou para qualquer outro órgão judicial ou regulador dos EUA ou da União Europeia se assim solicitado por eles e que tal divulgação não será considerada uma quebra de confidencialidade.

1.10 Extensão de SCCs para Países de Transferência Não Restrita: Em relação a transferências de Dados Pessoais do TAAP entre você e nós originários de um país que não seja um País de Transferência Restrita, mas que esteja sujeito a proteções que, de acordo com a Lei de Proteção de Dados Aplicável, devem ser aplicadas antes que uma transferência de tais Dados Pessoais do TAAP possa ser feita para fora do país de origem (cada um deles um País de Transferência Não Restrita), então você e nós concordamos que (a) as SCCs estabelecidas na Cláusula 1.11 abaixo serão consideradas como se estendendo a tais transferências adicionais na medida em que tal extensão presumida satisfaça as exigências de proteção daquele país específico; e/ou (b) quando as medidas estabelecidas na Cláusula 1.11 forem insuficientes ou exigirem medidas complementares, as partes concordam em tomar tais medidas adicionais, incluindo, por exemplo, a assinatura de documentos relevantes, a coleta de consentimento, a realização de arquivamentos necessários, conforme possa ser exigido periodicamente para cumprir a Lei de Proteção de Dados Aplicável.

1.11 Sujeito à Cláusula 1.7 acima, você e nós concordamos em firmar as SCCs de maneira inalterada, exceto pelas seguintes seleções:

2. a. quando você estiver localizado em um País de Transferência Restrita ou de qualquer outro modo em um país considerado "adequado" de acordo com o Artigo 45 do RGPD, somente o Módulo um (1) das SCCs será aplicado de modo unidirecional em relação às suas transferências para a Expedia. Caso contrário, as SCCs do Módulo Um devem ser aplicadas bidirecionalmente para as nossas transferências para você e para as suas transferências para nós.
3. b. Para os fins da cláusula 11(a) das SCCs, o idioma opcional é excluído.
4. c. Para os fins da cláusula 13 das SCCs, o parágrafo relevante é: "A autoridade fiscalizadora do Estado-Membro no qual o representante, dentro do entendimento do artigo 27(1) do Regulamento (EU) 2016/679, está estabelecido, conforme indicado no Anexo I.C, atuará como autoridade fiscalizadora competente."
5. d. Para os fins da cláusula 17 das SCCs, a lei aplicável é a da Irlanda.
6. e. Para os fins da cláusula 18(b) das SCCs, a seleção é a Irlanda.
7. f. Uma nova cláusula 19 é adicionada às SCCs para cobrir transferências de dados pessoais do Reino Unido para fora do Reino Unido, definindo o seguinte:

"Cláusula 19

RGPD e Lei de Proteção de Dados do Reino Unido de 2018

As Partes concordam que estas Cláusulas serão estendidas e aplicadas, na medida relevante para a transferência em questão, para cobrir transferências transfronteiriças que se enquadram no escopo do RGPD e da Lei de Proteção de Dados do Reino Unido de 2018 (uma Transferência do Reino Unido). Para os fins de tal Transferência do Reino Unido, as disposições da Versão B1.0 do Aditivo de Transferência Internacional de Dados às Cláusulas Contratuais Padrão (conforme alteradas, corrigidas, complementadas ou substituídas periodicamente) serão aplicadas conforme estabelecido no formulário anexado como o Aditivo."

2. h. Uma nova cláusula 20 é adicionada às SCCs para cobrir transferências de dados pessoais da Suíça para fora da Suíça, definindo o seguinte:

"Cláusula 20

Lei Federal de Proteção de Dados da Suíça

As Partes concordam que estas Cláusulas serão estendidas e aplicadas, na medida relevante para a transferência em questão, para cobrir transferências transfronteiriças que se enquadram no escopo da Lei Federal de Proteção de Dados da Suíça (FADP) (nesta cláusula, denominamos uma transferência desse tipo como uma Transferência Suíça). Para os fins de tais Transferências Suíças, a lei aplicável será considerada a do Estado-Membro selecionado, a escolha do foro será a do Estado-Membro selecionado, e o Comissário Federal de Proteção de Dados e Informações (FDPIC) será a autoridade fiscalizadora competente. As Partes concordam ainda que tais alterações adicionais devem ser interpretadas como sendo feitas às Cláusulas em relação a uma Transferência Suíça conforme considerado necessário pelo FDPIC para cumprir o RGPD do Reino Unido e a FADP da Suíça, e as Cláusulas devem ser interpretadas de acordo com os requisitos para Transferências Suíças decorrentes dessas leis ou conforme estabelecido nas orientações emitidas pelo FDPIC, sem que as Partes precisem firmar cláusulas contratuais padrão diferentes, preparadas especificamente para as suas Transferências Suíças. As Partes devem ainda realizar todos e quaisquer outros atos que possam ser necessários para garantir o cumprimento da FADP ao se envolver em Transferências Suíças."

2. i. Uma nova cláusula 21 é adicionada às SCCs para cobrir transferências de dados pessoais do Brasil para fora do Brasil, definindo o seguinte:

"Cláusula 21

Lei Geral de Proteção de Dados do Brasil

As Partes concordam que estas Cláusulas serão estendidas e aplicadas, na medida relevante para a transferência em questão, para cobrir transferências transfronteiriças que se enquadram no escopo da lei brasileira nº 13.709/18, a Lei Geral de Proteção de Dados (LGPD) (nesta cláusula, denominamos uma transferência desse tipo como uma Transferência Brasileira). Para os fins de tais Transferências Brasileiras, a lei aplicável será considerada a do Estado-Membro selecionado, a escolha do foro será a do Estado-Membro selecionado, e a Autoridade Nacional de Proteção de Dados do Brasil (ANPD) será a autoridade fiscalizadora competente. As Partes concordam ainda que tais alterações adicionais devem ser interpretadas como sendo feitas às Cláusulas em relação a uma Transferência Brasileira conforme considerado necessário pela ANPD para cumprir a LGPD, e as Cláusulas devem ser interpretadas de acordo com os requisitos para Transferências Brasileiras decorrentes dessas leis ou conforme estabelecido nas orientações emitidas pelo ANPD ou outra autoridade brasileira relevante, sem que as Partes precisem firmar cláusulas contratuais padrão diferentes, preparadas especificamente para as suas Transferências Brasileiras. As Partes devem ainda realizar todos e quaisquer outros atos que possam ser necessários para garantir o cumprimento da LGPD ao se envolver em Transferências Brasileiras.

2. j. Uma nova cláusula 22 é adicionada às SCCs para cobrir transferências de dados pessoais de qualquer outro país não especificado até agora, segundo a qual as SCCs podem ser estendidas para garantir proteções adequadas para transferências de dados pessoais originárias de tal país para uma parte localizada fora dele da seguinte maneira:

"Cláusula 22

Outras transferências de países terceiros

As Partes concordam que estas Cláusulas serão estendidas e aplicadas, na medida relevante para a transferência em questão, para cobrir transferências internacionais que se enquadrem no escopo de quaisquer outras leis e regulamentos aplicáveis em qualquer jurisdição relevante com relação ao uso ou processamento de dados pessoais (Leis de Proteção de Dados Aplicáveis) que possam exigir termos e proteções amplamente equivalentes a estas Cláusulas com a finalidade de transferir dados pessoais desse país para outro (denominada nesta Cláusula como uma Transferência de País Terceiro). Para os fins de tais Transferências de Países Terceiros, a lei aplicável será considerada a do Estado-Membro selecionado, a escolha do foro será a do Estado-Membro selecionado, e a autoridade de proteção de dados ou o órgão regulador de tal país será a autoridade fiscalizadora competente. As Partes concordam ainda que tais alterações adicionais devem ser interpretadas como sendo feitas às Cláusulas em relação a uma Transferência de País Terceiro conforme considerado necessário por tal autoridade fiscalizadora para cumprir a Lei de Proteção de Dados Aplicável de tal país, e as Cláusulas devem ser interpretadas de acordo com os requisitos para Transferências de Países Terceiros decorrentes dessas leis ou conforme estabelecido nas orientações emitidas pela autoridade fiscalizadora relevante, sem que as Partes precisem firmar cláusulas contratuais padrão diferentes, preparadas especificamente para as suas Transferências de Países Terceiros. As Partes devem ainda realizar todo e qualquer outro ato que possa ser necessário para garantir o cumprimento das Leis de Proteção de Dados Aplicáveis ao se envolver em Transferências de Países Terceiros."

1.12 O Anexo 1 (Visão Geral do Processamento das SCCs) deste Acordo C2C constitui o Anexo 1 das SCCs. O Anexo 2 (Medidas Técnicas e Organizacionais) deste Acordo C2C constitui o Anexo 2 das SCCs e se aplica apenas à Expedia, desde que você tenha fornecido, e nós tenhamos aceitado, medidas técnicas e organizacionais adequadas para atender aos requisitos do Anexo 2 das SCCs; caso contrário, o Anexo 2 será interpretado como aplicável a ambas as partes, e todas as referências à Expedia e ao Expedia Group serão interpretadas como referência a qualquer uma das partes. O Aditivo a este Acordo C2C constitui o Aditivo do Reino Unido para os fins das SCCs.

ANEXO I – VISÃO GERAL DO PROCESSAMENTO DAS SCCs

MÓDULO UM: Controlador para Controlador (você para nós)

A. LISTA DE PARTES

Exportador(es) de dados:

Importador(es) de dados: 

B. DESCRIÇÃO DA TRANSFERÊNCIA

C. AUTORIDADE FISCALIZADORA COMPETENTE

Identifique quaisquer autoridades fiscalizadoras competentes de acordo com a Cláusula 13 das SCCs

Autoridade Irlandesa de Proteção de Dados

MÓDULO UM: Controlador para Controlador (nós para você)

A. LISTA DE PARTES

Exportador(es) de dados: 

A(s) Parte(s) identificada(s) como Importador(as) de Dados no Módulo Um (1) (você para nós) acima. Veja acima para mais detalhes.

Importador(es) de dados:

A(s) Parte(s) identificada(s) como Exportador(as) de Dados no Módulo Um (1) (você para nós) acima. Veja acima para mais detalhes.

B. DESCRIÇÃO DA TRANSFERÊNCIA

C. AUTORIDADE FISCALIZADORA COMPETENTE

Conforme o Módulo Um (1)

ANEXO II - MEDIDAS TÉCNICAS E ORGANIZACIONAIS 

As medidas técnicas e organizacionais que se aplicam para os fins do Módulo Um (1) são definidas abaixo.

Aditivo de Transferência Internacional de Dados às Cláusulas Contratuais Padrão da Comissão da UE (Aditivo)

Este Aditivo foi emitido pelo Comissário de Informações das Partes que fazem Transferências Restritas. O Comissário de Informações considera que tal Aditivo fornece proteções adequadas às Transferências Restritas quando firmado como um contrato juridicamente vinculativo.

Parte 1 Tabelas

Parte 2: Cláusulas Obrigatórias

Cláusulas Obrigatórias do Aditivo Aprovado, sendo o modelo do Aditivo B.1.0 emitido pela ICO e apresentado ao Parlamento de acordo com o artigo 119A da Lei de Proteção de Dados de 2018 em 2 de fevereiro de 2022, conforme revisado na Seção 18 de tais Cláusulas Obrigatórias.

Online TAAP-overeenkomst – Overeenkomst tussen verwerkingsverantwoordelijken (Controller to Controller, C2C), inclusief SCB's

De originele Engelse versie van deze C2C-overeenkomst kan zijn vertaald in andere talen. In het geval van inconsistentie of strijdigheden tussen de Engelstalige versie en een anderstalige versie van deze Overeenkomst, prevaleert de Engelstalige versie.

TOEPASSINGSGEBIED: Wanneer zowel Expedia als u persoonsgegevens verwerken als onderdeel van een overeenkomst (die de vorm kan hebben van online clickwrap-voorwaarden) die is aangegaan met de andere partij (op grond waarvan u bent aangesteld als marketingpartner onder TAAP, en alle relevante activiteiten uitvoert die verband houden met een dergelijke activiteit, hier de ‘ Relevante activiteiten’ genoemd), dan is deze wereldwijde overeenkomst tussen verwerkingsverantwoordelijken (‘ C2C-overeenkomst’) een aanvulling op en van toepassing op een dergelijke overeenkomst tussen de partijen in verband met de Relevante activiteiten (de ‘Overeenkomst’). De C2C-overeenkomst omvat aanvullende voorwaarden, eisen en voorwaarden waaronder Expedia en u persoonsgegevens verwerken in verband met de Overeenkomst. In deze C2C-overeenkomst verwijzen ‘Expedia’, ‘wij’ en ‘ons’ naar Expedia, Inc. en/of enige andere Expedia Group-onderneming(en) die partij is/zijn bij de Overeenkomst. ‘U’ verwijst naar de entiteit vermeld op de aanvraag zoals beschreven in de Overeenkomst. Alle verwijzingen naar Expedia of u worden opgevat als meervoudige termen voor zover vereist door de Overeenkomst.

1. DEFINITIES EN INTERPRETATIE

1.1 Deze C2C-overeenkomst is onderworpen aan de voorwaarden van de Overeenkomst en is opgenomen in de Overeenkomst. Interpretaties en gedefinieerde termen vermeld in de Overeenkomst zijn van toepassing op de interpretatie van deze C2C-overeenkomst, tenzij anders bepaald in deze C2C-overeenkomst; en:

1. a. passende technische en organisatorische maatregelen, verwerkingsverantwoordelijke, persoonsgegevens, inbreuk in verband met persoonsgegevens, verwerken/verwerking en toezichthoudende autoriteit (of redelijkerwijs gelijkwaardige termen) hebben de betekenis die eraan wordt gegeven in de Toepasselijke Gegevensbeschermingswetgeving;
2. b. Toepasselijke Gegevensbeschermingswetgeving betekent alle toepasselijke wet- en regelgeving in elk relevant rechtsgebied met betrekking tot het gebruik of de verwerking van persoonsgegevens;
3. c. Toegelaten Doeleinde betekent de doeleinden van (i) het vervullen van boekingen; (ii) het bieden van ondersteuning voor boekingen; (iii) TAAP-registratie en accountadministratie; (iv) betaling van Commissie en andere bedragen op grond van de Overeenkomst; (v) het genereren van rapporten voor u en elke verdere verwerking die vereist is voor verzoening, afhandeling van klachten en vergelijkbare activiteiten met betrekking tot de uitvoering van de Overeenkomst; (vi) ondersteuning voor TAAP-accounts; (vii) communicatie aan TAAP-leden en subgebruikers; (viii) het verbeteren van onze diensten, met inbegrip van het optimaliseren van de boekingservaring; (ix) het opstellen van rapporten voor statistieken, sectorexpertise en bedrijfsrapportage; (x) fraudepreventie; (xi) het reageren op verzoeken van wetshandhavingsinstanties en fiscale autoriteiten; (xii) het faciliteren van zakelijke activatransacties (wat onder meer fusies, overnames of de verkoop van activa kan betreffen); (xiii) het anderszins voldoen aan onze verplichtingen op grond van de Overeenkomst, het privacybeleid van Expedia en toepasselijke wetgeving; en (xiv) het bepalen, berekenen en aangeven van reisbelastingen en andere toepasselijke fiscale doeleinden zoals van tijd tot tijd vereist kan zijn;
4. d. DPF betekent een EU-VS Data Privacy Framework-certificering van het Amerikaanse ministerie van Handel of een vervangend of aanvullend certificeringsmechanisme zoals van tijd tot tijd wordt goedgekeurd door de Europese Commissie (of een andere relevante nationale autoriteit), en omvat alle aanvullende adequaatheidsbesluiten die door een ander land worden uitgevaardigd en die de uitbreiding van de DPF tussen de VS en dat derde land mogelijk maken (bijvoorbeeld, maar niet beperkt tot, het Verenigd Koninkrijk en Zwitserland);
5. e. Land met beperkte doorgifte betekent elk land in de Europese Economische Ruimte, Zwitserland, het Verenigd Koninkrijk en Brazilië;
6. f. Gegevens met beperkte doorgifte zijn klantgegevens met betrekking tot een boeking die is gemaakt via een verkooppunt dat wij toegankelijk stellen voor klanten in een Land met beperkte doorgifte;
7. g. Standaardcontractbepalingen/SCB’s zijn de goedgekeurde standaardcontractbepalingen van de Europese Commissie voor de doorgifte van persoonsgegevens van de Europese Unie naar derde landen, zoals uitgegeven op 4 juni 2021 en van tijd tot tijd gewijzigd, vervangen, aangevuld of geüpdatet, waarvan de volledige huidige versie te vinden is via deze link: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en; en
8. h. TAAP-persoonsgegevens betekent persoonsgegevens die u ons verstrekt via de TAAP-website of die anderszins worden verwerkt in verband met TAAP zelf of ter facilitering van boekingen via de TAAP-website.

Relatie van de partijen

2. 1.2 Zowel u als wij verzamelen en verwerken persoonsgegevens om te voldoen aan onze respectievelijke rechten en verplichtingen op grond van de Overeenkomst en aan uw en onze respectievelijke verantwoordelijkheden op grond van toepasselijke wetgeving. Derhalve dient elk van de partijen: (i) persoonsgegevens te verwerken als onafhankelijke en autonome verwerkingsverantwoordelijken; (ii) de Toepasselijke Gegevensbeschermingswetgeving na te leven; en (iii) verantwoordelijk te zijn voor elk van hun handelingen of nalatigheden in strijd met de Toepasselijke Gegevensbeschermingswetgeving.

Uw verantwoordelijkheden

1.3 U dient: 

2. a. te voldoen aan een wettelijke grondslag om TAAP-persoonsgegevens aan ons ter beschikking te stellen ter verwerking voor de Toegelaten Doeleinden;
3. b. ervoor te zorgen dat klanten via uw privacybeleid en op enige andere passende wijze ervan op de hoogte worden gebracht dat hun persoonsgegevens met ons worden gedeeld voor de Toegelaten Doeleinden;
4. c. klanten naar ons privacybeleid te verwijzen voor meer informatie over onze behandeling van hun persoonsgegevens; en
5. d. met ons samen te werken en ons redelijke assistentie te verlenen om ons te helpen bij de naleving van de Toepasselijke Gegevensbeschermingswetgeving ten aanzien van onze verwerking van TAAP-persoonsgegevens in verband met de Overeenkomst.

Onze verantwoordelijkheden

1.4 Wij (en onze Groepsleden, indien van toepassing): 

2. a. verwerken TAAP-persoonsgegevens uitsluitend in verband met een Toegelaten Doeleinde;
3. b. maken de TAAP-persoonsgegevens, geheel of gedeeltelijk, aan niemand bekend, behalve in verband met een Toegelaten Doeleinde;
4. c. werken samen met u en verlenen u redelijke assistentie om u te helpen bij de naleving van de Toepasselijke Gegevensbeschermingswetgeving ten aanzien van uw verwerking van TAAP-persoonsgegevens in verband met de Overeenkomst; en
5. d. tonen onze rechtmatige, actuele cookiemelding (indien vereist) en ons privacybeleid op de TAAP-website en leven deze na.

Klanten en derden

1.5 U erkent dat wij:

2. a. e-mails naar klanten kunnen sturen in verband met boekingen;
3. b. TAAP-persoonsgegevens (met inbegrip van bankgegevens) kunnen doorgeven aan onze externe dienstverleners ten behoeve van:
   2. i. het toekennen, beheren en ondersteunen van uw TAAP-account, de TAAP-account van uw Vertegenwoordigers en de TAAP-account van uw Subgebruikers;
   3. ii. het bieden van ondersteuning voor boekingen; en
   4. iii. het betalen van Commissie en andere bedragen op grond van de Overeenkomst.

Gegevensbeveiliging

1.6 Beide partijen dienen in hun hoedanigheid van verwerkingsverantwoordelijke:

2. a. passende technische en organisatorische maatregelen te handhaven om de persoonsgegevens die zij verwerken te beschermen tegen inbreuken in verband met persoonsgegevens; en
3. b. in het geval van een bevestigde inbreuk in verband met persoonsgegevens in systemen die in het bezit zijn van of beheerd worden door die partij, de andere partij onverwijld op de hoogte te brengen indien de inbreuk in verband met persoonsgegevens (i) betrekking heeft op TAAP-persoonsgegevens die ook door de andere partij in het kader van de Overeenkomst worden verwerkt; en (ii) meldbaar is aan een toezichthoudende autoriteit, met volledige vermelding van de bijzonderheden ervan. In een dergelijk geval dienen beide partijen op redelijke wijze en te goeder trouw samen te werken om de gevolgen van de inbreuk in verband met persoonsgegevens te herstellen of te verminderen. De redelijke kosten van een dergelijke samenwerking dienen te worden gedragen door de partij bij wie de inbreuk in verband met persoonsgegevens zich heeft voorgedaan.

Grensoverschrijdende doorgiften 

1.7 Data Privacy Framework (DPF): U en wij komen overeen dat met betrekking tot doorgiften van Gegevens met beperkte doorgifte tussen u en ons naar de Verenigde Staten of naar een land dat niet als ‘adequaat’ wordt beschouwd volgens de Toepasselijke Gegevensbeschermingswetgeving van het Land met beperkte doorgifte van herkomst, (a) voor zover en zolang DPF door een relevante autoriteit is erkend als doorgeefmethode, DPF het overeengekomen mechanisme is voor grensoverschrijdende doorgifte van gegevens afkomstig uit een Land met beperkte doorgifte aan ons in de Verenigde Staten, en (b) voor zover en zolang DPF geen geldige doorgeefmethode is (inclusief voor doorgiften van Gegevens met beperkte doorgifte naar een land dat niet als ‘adequaat’ wordt beschouwd onder de Toepasselijke Gegevensbeschermingwetgeving van het oorspronkelijke Land met beperkte doorgifte), de SCB’s van toepassing zijn op dergelijke doorgiften en we ze zullen aangaan op basis van onderstaand artikel 1.11. Als u ook een geldige DPF-certificering heeft, kunnen doorgiften van Gegevens met beperkte doorgifte aan u op dezelfde manier worden gedaan in overeenstemming met DPF, met de SCB’s als terugvalmechanisme zoals hierboven is uiteengezet.

1.8 Uw DPF-verplichtingen: U stemt ermee in ten minste hetzelfde beschermingsniveau te bieden voor de Gegevens met beperkte doorgifte als vereist onder DPF. U dient ons onmiddellijk op de hoogte te stellen als u vaststelt dat u dit beschermingsniveau niet langer kunt bieden. In dat geval, of als we anderszins redelijkerwijs van mening zijn dat u de Gegevens met beperkte doorgifte niet beschermt zoals vereist onder DPF, kunnen we: (a) u gelasten om redelijke en passende stappen te ondernemen om elke ongeoorloofde verwerking te stoppen en te herstellen; in dat geval dient u onmiddellijk te goeder trouw met ons samen te werken om dergelijke stappen te identificeren, overeen te komen en uit te voeren; (b) een alternatieve bescherming overeenkomen die van toepassing kan zijn op de verwerking onder de Toepasselijke Gegevensbeschermingswetgeving; of (c) deze C2C-overeenkomst en de Overeenkomst (of, naar onze keuze, elk betrokken deel daarvan) zonder boete beëindigen door u hiervan op de hoogte te stellen. Als u ook een geldige DPF-certificering heeft, worden de bovenstaande bepalingen en die van onderstaand artikel 1.9 geacht van toepassing te zijn alsof de verplichtingen in beide richtingen gelden.

1.9 DPF-openbaarmakingsverplichtingen :U erkent dat we deze C2C-overeenkomst en alle relevante privacybepalingen in de Overeenkomst kunnen bekendmaken aan het Amerikaanse ministerie van Handel, de Federal Trade Commission, elke Europese gegevensbeschermingsautoriteit of elke andere gerechtelijke of regelgevende instantie in de VS of de EU als zij daarom verzoeken, en dat een dergelijke bekendmaking niet wordt beschouwd als een schending van de vertrouwelijkheid.

1.10 Uitbreiding van SCB’s naar Landen met niet-beperkte doorgifte: Met betrekking tot de doorgifte tussen u en ons van TAAP-persoonsgegevens die afkomstig zijn uit een land dat geen Land met beperkte doorgifte is, maar anderszins onderworpen is aan beschermingen die volgens de Toepasselijke Gegevensbeschermingswetgeving moeten worden toegepast voordat die TAAP-persoonsgegevens kunnen worden doorgegeven buiten het land van herkomst (elk een Land met niet-beperkte doorgifte), dan komen u en wij overeen dat (a) de SCB’s uiteengezet in onderstaand artikel 1.11 worden geacht ook te gelden voor dergelijke aanvullende doorgiften voor zover een dergelijke uitbreiding voldoet aan de beschermingen van het betreffende land; en/of (b) wanneer de maatregelen uiteengezet in artikel 1.11 onvoldoende zijn of aanvullende maatregelen vereisen, komen de partijen overeen om verdere maatregelen te nemen, waaronder bijvoorbeeld het ondertekenen van relevante documenten, het verkrijgen van toestemming of het indienen van de vereiste documenten, zoals van tijd tot tijd nodig kan zijn om te voldoen aan de Toepasselijke Gegevensbeschermingswetgeving.

1.11 Behoudens bovenstaand artikel 1.7 komen u en wij hierbij overeen om de SCB’s ongewijzigd aan te gaan, met uitzondering van de volgende keuzes::

2. a. Wanneer u zich bevindt in een Land met beperkte doorgifte of anderszins in een land dat als ‘adequaat’ wordt beschouwd in overeenstemming met artikel 45 van de AVG, is alleen Module één (1) van de SCB’s van toepassing in één richting met betrekking tot doorgiften van u naar Expedia. Anders is Module één van de SCB’s in twee richtingen van toepassing om zowel doorgiften van ons naar u als van u naar ons te dekken.
3. b. Voor de toepassing van bepaling 11(a) van de SCB’s wordt de optionele tekst geschrapt.
4. c. Voor de toepassing van bepaling 13 van de SCB’s is de relevante paragraaf “De toezichthoudende autoriteit van de lidstaat waar de vertegenwoordiger in de zin van artikel 27, lid 1, van Verordening (EU) 2016/679 is gevestigd, zoals aangegeven in bijlage I.C, treedt op als de bevoegde toezichthoudende autoriteit.”
5. d. Voor de toepassing van bepaling 17 van de SCB’s is het toepasselijke recht dat van Ierland.
6. e. Voor de toepassing van bepaling 18(b) van de SCB’s is de selectie Ierland.
7. f. Een nieuwe bepaling 19 wordt toegevoegd aan de SCB’s om de doorgifte van persoonsgegevens van het Verenigd Koninkrijk naar buiten het Verenigd Koninkrijk als volgt te dekken:

“Bepaling 19

UK GDPR en DPA 2018

De partijen komen overeen dat deze bepalingen, voor zover relevant voor de betreffende doorgifte, worden uitgebreid en van toepassing zijn op grensoverschrijdende doorgiften die vallen onder het toepassingsgebied van de UK GDPR en de Data Protection Act 2018 (VK-doorgifte). Voor de toepassing van een dergelijke VK-doorgifte gelden de bepalingen van het Addendum voor internationale doorgifte van gegevens bij de Standaardcontractbepalingen versie B1.0 (zoals van tijd tot tijd gewijzigd, vervangen, aangevuld of geüpdatet) zoals uiteengezet in het formulier dat is bijgevoegd als het Addendum.”

2. h. Een nieuwe bepaling 20 wordt toegevoegd aan de SCB’s om de doorgifte van persoonsgegevens van Zwitserland naar buiten Zwitserland als volgt te dekken:

“Bepaling 20

Zwitserland - FADP

De partijen komen overeen dat deze bepalingen, voor zover relevant voor de betreffende doorgifte, worden uitgebreid en van toepassing zijn op grensoverschrijdende doorgiften die vallen onder het toepassingsgebied van de Federal Act of Data Protection (FADP) (in deze bepaling Zwitserse doorgiften genoemd). Voor de doeleinden van dergelijke Zwitserse doorgiften wordt de toepasselijke wet geacht die van de geselecteerde lidstaat te zijn, de forumkeuze de geselecteerde lidstaat en de Federal Data Protection and Information Commissioner (FDPIC) de bevoegde toezichthoudende autoriteit. De partijen komen verder overeen dat verdere wijzigingen dienen te worden aangebracht aan de bepalingen met betrekking tot een Zwitserse doorgifte zoals noodzakelijk wordt geacht door de FCPIC om te voldoen aan de UK GDPR en FADP, en de bepalingen zullen worden geïnterpreteerd in overeenstemming met de vereisten voor Zwitserse doorgiften die voortvloeien uit die wetten of zoals anderszins uiteengezet in richtlijnen uitgegeven door de FDPIC, zonder dat de partijen afzonderlijke Standaardcontractbepalingen hoeven aan te gaan die specifiek zijn opgesteld voor hun Zwitserse doorgiften. De partijen zullen verder alle handelingen en zaken doen die nodig zijn om naleving van de FADP te waarborgen bij het uitvoeren van Zwitserse doorgiften.”

2. i. Een nieuwe bepaling 21 wordt toegevoegd aan de SCB’s om de doorgifte van persoonsgegevens van Brazilië naar buiten Brazilië als volgt te dekken:outside of Brazil as follows:

“Bepaling 21

Brazilië - LGPD

De partijen komen overeen dat deze bepalingen, voor zover relevant voor de betreffende doorgifte, worden uitgebreid en van toepassing zijn op grensoverschrijdende doorgiften die vallen onder het toepassingsgebied van de Braziliaanse algemene gegevensbeschermingswet 13,709/18 (Lei Geral de Proteção de Dados, LGPD) (in deze bepaling Braziliaanse doorgifte genoemd). Voor de doeleinden van dergelijke Braziliaanse doorgiften wordt de toepasselijke wet geacht die van de geselecteerde lidstaat te zijn, de forumkeuze de geselecteerde lidstaat en de Braziliaanse nationale gegevensbeschermingsautoriteit (ANPD) de bevoegde toezichthoudende autoriteit. De partijen komen verder overeen dat verdere wijzigingen dienen te worden aangebracht aan de bepalingen met betrekking tot een Braziliaanse doorgifte zoals noodzakelijk wordt geacht door de ANPD om te voldoen aan de LGPD, en de bepalingen zullen worden geïnterpreteerd in overeenstemming met de vereisten voor Braziliaanse doorgiften die voortvloeien uit die wetten of zoals anderszins uiteengezet in richtlijnen uitgegeven door de ANPD of een andere relevante Braziliaanse autoriteit, zonder dat de partijen afzonderlijke Standaardcontractbepalingen hoeven aan te gaan die specifiek zijn opgesteld voor hun Braziliaanse doorgiften. De partijen zullen verder alle handelingen en zaken doen die nodig zijn om naleving van de LGPD te waarborgen bij het uitvoeren van Braziliaanse doorgiften.”

2. j. Er wordt als volgt een nieuwe bepaling 22 toegevoegd aan de SCB’s om de doorgifte van persoonsgegevens te dekken vanuit elk ander land dat tot nu toe niet is gespecificeerd, waarbij de SCB’s kunnen worden uitgebreid om passende bescherming te bieden voor doorgiften van persoonsgegevens vanuit dat land naar een partij buiten dat land:

“Bepaling 22

Doorgiften vanuit andere derde landen

De partijen komen overeen dat deze bepalingen worden uitgebreid en van toepassing zijn, voor zover relevant voor de betreffende doorgifte, om grensoverschrijdende doorgiften te dekken die vallen onder het toepassingsgebied van andere toepasselijke wet- en regelgeving in een relevant rechtsgebied met betrekking tot het gebruik of de verwerking van persoonsgegevens (Toepasselijke Gegevensbeschermingswetgeving) die voorwaarden en bescherming vereist die in grote lijnen gelijk zijn aan deze bepalingen, om persoonsgegevens van dat land naar een ander land door te geven (in deze bepaling Doorgifte vanuit een derde land genoemd). Voor de doeleinden van dergelijke Doorgiften vanuit derde landen wordt de toepasselijke wet geacht die van de geselecteerde lidstaat te zijn, de forumkeuze de geselecteerde lidstaat en de gegevensbeschermingsautoriteit of regelgevende instantie van dat land de bevoegde toezichthoudende autoriteit. De partijen komen verder overeen dat verdere wijzigingen dienen te worden aangebracht aan de bepalingen met betrekking tot een Doorgifte vanuit derde landen zoals noodzakelijk wordt geacht door de toezichthoudende autoriteit om te voldoen aan de Toepasselijke Gegevensbeschermingswetgeving van dat land, en de bepalingen zullen worden geïnterpreteerd in overeenstemming met de vereisten voor Doorgiften vanuit derde landen die voortvloeien uit die wetten of zoals anderszins uiteengezet in richtlijnen uitgegeven door de relevante toezichthoudende autoriteit, zonder dat de partijen afzonderlijke Standaardcontractbepalingen hoeven aan te gaan die specifiek zijn opgesteld voor hun Doorgiften vanuit derde landen. De partijen zullen verder alle handelingen en zaken doen die nodig zijn om naleving van de Toepasselijke Gegevensbeschermingswetgeving te waarborgen bij het uitvoeren van Doorgiften vanuit derde landen.”

1.12 Bijlage 1 (Overzicht verwerking volgens SCB’s) bij deze C2C-overeenkomst vormt Bijlage 1 van de SCB’s. Bijlage 2 (Technische en organisatorische maatregelen) bij deze C2C-overeenkomst vormt Bijlage 2 van de SCB’s en is alleen van toepassing op Expedia wanneer u passende technische en organisatorische maatregelen heeft verstrekt en wij deze hebben geaccepteerd om te voldoen aan uw eisen van Bijlage 2 van de SCB’s. Wanneer dit niet het geval is, wordt Bijlage 2 opgevat als van toepassing op beide partijen en worden alle verwijzingen naar Expedia en Expedia Group opgevat als verwijzingen naar een van beide partijen. Het addendum bij deze C2C-overeenkomst vormt het VK-addendum voor de doeleinden van de SCB’s.

BIJLAGE I – OVERZICHT VERWERKING VOLGENS SCB’s

MODULE ÉÉN: Tussen twee verwerkingsverantwoordelijken (van u aan ons)

A. LIJST VAN PARTIJEN

Gegevensexporteur(s):

Gegevensimporteur(s): 

B. BESCHRIJVING VAN DOORGIFTE

C. BEVOEGDE TOEZICHTHOUDENDE AUTORITEIT

De bevoegde toezichthoudende autoriteiten identificeren in overeenstemming met bepaling 13 van de SCB’s

Ierse gegevensbeschermingsautoriteit

MODULE ÉÉN: Tussen twee verwerkingsverantwoordelijken (van ons aan u)

A. LIJST VAN PARTIJEN

Gegevensexporteur(s): 

De Partij(en) die hierboven zijn geïdentificeerd als Gegevensimporteurs in Module één (1) (van u aan ons). Zie boven voor verdere details.

Gegevensimporteur(s):

De Partij(en) die hierboven zijn geïdentificeerd als Gegevensexporteurs in Module één (1) (van u aan ons). Zie boven voor verdere details.

B. BESCHRIJVING VAN DOORGIFTE

C. BEVOEGDE TOEZICHTHOUDENDE AUTORITEIT

Volgens Module één (1)

BIJLAGE II - TECHNISCHE EN ORGANISATORISCHE MAATREGELEN 

De technische en organisatorische maatregelen die van toepassing zijn voor de doeleinden van Module één (1) worden hieronder uiteengezet.

Addendum voor internationale doorgifte van gegevens bij de Standaardcontractbepalingen van de Europese Commissie (Addendum)

Dit Addendum is uitgegeven door de Information Commissioner voor partijen die beperkte doorgiften uitvoeren. De Information Commissioner is van mening dat het passende bescherming biedt voor beperkte doorgiften wanneer het wordt aangegaan als een wettelijk bindend contract.

Deel 1 Tabellen

Deel 2: Verplichte bepalingen

Verplichte bepalingen van het Goedgekeurde addendum, namelijk het modeladdendum B.1.0 uitgegeven door de ICO en voorgelegd aan het parlement in overeenstemming met sectie 119A van de Data Protection Act 2018 op 2 februari 2022, zoals herzien onder sectie 18 van die verplichte bepalingen.

Contratto online del Programma speciale per agenzie (TAAP): Contratto da titolare a titolare (incluse le CCS, Clausole Contrattuali Standard)

La versione originale in lingua inglese del presente Contratto C2C potrebbe essere stata tradotta in altre lingue.  In presenza di incoerenze o di discrepanze fra la versione in lingua inglese e quella in altra lingua del presente Contratto, prevarrà la versione in lingua inglese.

AMBITO DI APPLICAZIONE: laddove Expedia e l'Affiliato trattino dati personali nell'ambito di un contratto (che può assumere la forma di termini clickwrap online) stipulato con l'altra parte (in base al quale l'Affiliato è stato nominato partner di marketing ai sensi del TAAP, e tutte le iniziative intraprese in relazione a tale attività sono qui indicate come le "Attività pertinenti"), il presente contratto globale da titolare a titolare ("Contratto C2C") integra e si applica al contratto stipulato tra le parti in relazione alle Attività pertinenti (il "Contratto") e stabilisce ulteriori termini, requisiti e condizioni in base ai quali Expedia e l'Affiliato tratteranno i dati personali in relazione al Contratto. Nel presente Contratto C2C, "Expedia", "noi" e "ci" si riferiscono a Expedia, Inc. e/o a qualsiasi altra società di Expedia Group parte del Contratto. "L'Affiliato" si riferisce all'entità indicata nell'App come descritto nel Contratto (e tutti i riferimenti a Expedia o all'Affiliato saranno interpretati come termini al plurale nella misura richiesta dal Contratto).

1. DEFINIZIONI E INTERPRETAZIONE

1.1 Il presente Contratto C2C è soggetto ai termini del Contratto e costituisce parte integrante dello stesso. Le interpretazioni e i termini definiti nel Contratto si applicano all'interpretazione del Contratto C2C se non diversamente definito nello stesso, e

1. a. i singoli termini quali misure tecniche e organizzative appropriate, titolare del trattamento, dati personali, violazione dei dati personali, trattare/trattamento e autorità di controllo (o termini ragionevolmente equivalenti) avranno il significato loro attribuito dalle Leggi vigenti sulla protezione dei dati;
2. b. Legge(i) applicabile(i) sulla protezione dei dati indica le leggi e i regolamenti applicabili in qualsiasi giurisdizione pertinente, relativamente all'utilizzo o al trattamento dei dati personali;
3. c. Fini consentiti indica lo scopo di (i) adempimento delle Prenotazioni; (ii) supporto per le Prenotazioni; (iii) registrazione e gestione degli account TAAP; (iv) pagamento delle Commissioni e degli altri importi ai fini del Contratto; (v) generazione di report e qualsiasi ulteriore elaborazione necessaria per la riconciliazione, la gestione dei reclami e attività simili connesse alla gestione del Contratto; (vi) assistenza agli Account TAAP; (vii) comunicazioni con gli Iscritti a TAAP e con i Sub-utenti; (viii) miglioramento dei servizi di Expedia, compresa l'ottimizzazione dell'esperienza di prenotazione; (ix) creazione di rapporti a fini di analisi, business intelligence e report aziendali; (x) prevenzione delle frodi; (xi) risposta alle richieste provenienti dalle pubbliche autorità e alle richieste di audit delle autorità fiscali; (xii) facilitazione delle transazioni riguardanti il patrimonio aziendale (che possono estendersi anche a fusioni, acquisizioni o vendite del patrimonio) e (xiii) rispetto ad altro titolo degli obblighi spettanti a Expedia ai sensi del Contratto, dell'Informativa sulla privacy di Expedia e delle leggi vigenti e (xiv) determinazione, calcolo e rendicontazione delle Tasse di viaggio e altri scopi fiscali applicabili, come può essere richiesto di volta in volta;
4. d. DPF indica la certificazione "EU-US Data Privacy Framework" con il Dipartimento del commercio degli Stati Uniti o qualsiasi meccanismo di certificazione sostitutivo o supplementare approvato di volta in volta dalla Commissione europea (o da un'autorità nazionale competente), e include decisioni di adeguatezza supplementari emesse da qualsiasi altro Paese che consenta l'estensione del DPF tra gli Stati Uniti e tale Paese terzo (ad esempio, il Regno Unito e la Svizzera);
5. e. Paese con limiti al trasferimento indica un Paese dello Spazio economico europeo, la Svizzera, il Regno Unito e il Brasile;
6. f. Dati con limiti al trasferimento indica Dati del cliente relativi a una Prenotazione effettuata tramite un point of sale a cui i Clienti possono accedere in un Paese con limiti al trasferimento;
7. g. Clausole contrattuali standard/ CCS indica le clausole contrattuali standard approvate dalla Commissione europea per il trasferimento di dati personali dall'Unione europea verso Paesi terzi, emesse il 4 giugno 2021 e come modificate, sostituite, integrate o rimpiazzate di volta in volta, la cui versione completa e aggiornata è disponibile al seguente link: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en; e
8. h. Dati personali TAAP indica i dati personali forniti a Expedia dall'Affiliato tramite il Sito web TAAP o in altro modo elaborati in relazione al programma TAAP o per facilitare le Prenotazioni effettuate tramite il Sito web TAAP.

Relazione tra le parti

2. 1.2 L'Affiliato ed Expedia raccoglieranno e tratteranno i dati personali al fine di adempiere i rispettivi obblighi previsti dal Contratto oltre che per le responsabilità loro spettanti ai sensi delle leggi vigenti. Pertanto, ciascuna delle parti: (i) tratterà i dati personali come titolare del trattamento indipendente e autonomo; (ii) rispetterà la Legge vigente sulla protezione dei dati e (iii) sarà responsabile di tutti i propri atti o omissioni che costituiscano violazione della Legge vigente sulla protezione dei dati.

Your responsibilities

1.3 L'Affiliato deve: 

Your responsibilities

2. a. soddisfare una base giuridica al fine di mettere i Dati personali TAAP a disposizione di Expedia per il trattamento in vista dei Fini consentiti;
3. b. assicurare che i Clienti siano consapevoli, tramite l'Informativa sulla privacy di Expedia e altri mezzi appropriati, che i loro dati personali saranno condivisi con Expedia per i Fini consentiti;
4. c. invitare i Clienti a consultare l'Informativa sulla privacy di Expedia per ulteriori informazioni su come questa gestisce i loro dati personali e
5. d. collaborare e fornire ragionevole assistenza a Expedia per aiutarla a rispettare le Leggi vigenti sulla protezione dei dati durante il trattamento da parte di Expedia dei Dati personali TAAP in relazione a questo Contratto.

Responsabilità di Expedia

1.4 Expedia (e i suoi Membri del Gruppo, quando applicabile) dovranno: 

2. a. trattare i Dati personali TAAP solo in relazione a Fini consentiti;
3. b. non divulgare ad alcuno né in tutto né in parte i Dati personali TAAP, salvo che in relazione a uno dei Fini consentiti;
4. c. collaborare e fornire ragionevole assistenza all'Affiliato per aiutarlo a rispettare le Leggi vigenti sulla protezione dei dati durante il trattamento da parte di quest'ultimo dei Dati personali TAAP in relazione a questo Contratto e
5. d. mostrare e conformarsi alla politica sui cookie aggiornata (se richiesta) e all'informativa sulla privacy di Expedia pubblicata sul Sito web TAAP.

Clienti e Terzi

1.5 L'Affiliato riconosce che:

2. a. può inviare e-mail ai Clienti con riferimento alle Prenotazioni;
3. b. può trasferire i Dati personali TAAP (inclusi i dati bancari) ai fornitori terzi di Expedia che operano al fine di:
   2. i. gestire, amministrare e supportare gli Account TAAP dell'Affiliato, dei suoi Rappresentanti e dei suoi Sotto-utenti;
   3. ii. fornire assistenza per le Prenotazioni e
   4. iii. pagare la Commissione e gli altri importi previsti dal Contratto.

Sicurezza dei dati

1.6 Entrambe le parti, in quanto titolari del trattamento, dovranno:

2. a. mantenere misure tecniche e organizzative appropriate per proteggere i dati personali che trattano da possibili violazioni e
3. b. qualora i sistemi che si trovano in possesso o sotto il controllo di una delle parti siano interessati da una violazione confermata dei dati personali, la parte in questione dovrà comunicarlo prontamente all'altra parte, fornendone tutti i dettagli, qualora tale violazione (i) influisca sui Dati personali TAAP trattati anche dall'altra parte ai sensi del Contratto e (ii) debba essere comunicata a un'autorità di controllo, fornendo dettagli completi. In tal caso, entrambe le parti collaboreranno ragionevolmente e in buona fede al fine di porre rimedio o mitigare gli effetti di tale violazione dei dati personali e i costi ragionevoli di tale collaborazione verranno sostenuti dalla parte che ha subito la violazione in questione.

Trasferimenti transfrontalieri 

1.7 Data Privacy Framework (DPF): l'Affiliato ed Expedia convengono che, per quanto riguarda il trasferimento di Dati con limiti al trasferimento tra di loro verso gli Stati Uniti o un Paese che non è stato ritenuto "adeguato" ai sensi delle Leggi vigenti sulla protezione dei dati del Paese di origine con limiti al trasferimento (a) nella misura in cui e fintanto che il DPF sia riconosciuto come un metodo di trasferimento da un'autorità competente, esso sarà il meccanismo concordato per i trasferimenti transfrontalieri di dati provenienti da un Paese con limiti al trasferimento verso Expedia negli Stati Uniti, e (b) nella misura in cui e fintanto che il DPF non sia ritenuto un metodo di trasferimento valido (anche per i trasferimenti di Dati con limiti al trasferimento verso un Paese che non è stato ritenuto "adeguato" ai sensi della Legge vigente sulla protezione dei dati del Paese di origine con limiti al trasferimento), a tali trasferimenti si applicheranno le CCS che verranno sottoscritte sulla base di quanto stabilito dalla Clausola 1.11 che segue. Laddove l'Affiliato sia anche in possesso di una certificazione DPF in corso di validità, i trasferimenti di Dati con limiti al trasferimento possono essere effettuati anche in base al DPF con CCS come meccanismo di ripiego, come sopra indicato.

1.8 Obblighi di flow-down del DPF: l'Affiliato si impegna a garantire ai Dati con limiti al trasferimento almeno lo stesso livello di protezione richiesto dal DPF e dovrà informare tempestivamente Expedia qualora stabilisca di non essere più in grado di fornire tale livello di protezione. In tal caso, o se comunque si può ragionevolmente ritenere che l'Affiliato non stia proteggendo i Dati con limiti al trasferimento secondo gli standard richiesti dal DPF, possiamo: (a) consigliarlo affinché adotti misure ragionevoli e appropriate per interrompere e porre rimedio a qualsiasi trattamento non autorizzato, nel qual caso si impegna a collaborare prontamente con Expedia in buona fede per identificare, concordare e attuare tali misure; (b) concordare una salvaguardia alternativa applicabile al trattamento ai sensi della Legge vigente sulla protezione dei dati; o (c) risolvere il presente Contratto C2C e il Contratto (o, a nostra scelta, le sezioni interessate dello stesso) senza alcuna penale, dandone opportuna comunicazione. Inoltre, se l'Affiliato è in possesso di una certificazione DPF in corso di validità, le disposizioni di cui sopra e quelle della Clausola 1.9 che segue saranno considerate applicabili come se gli obblighi fossero bidirezionali.

1.9 Obblighi di divulgazione DPF: l'Affiliato riconosce che possiamo divulgare il presente Contratto C2C e qualsiasi disposizione pertinente in materia di privacy contenuta nello stesso al Dipartimento del commercio degli Stati Uniti, alla Federal Trade Commission, a qualsiasi autorità europea per la protezione dei dati o a qualsiasi altro organo giudiziario o normativo degli Stati Uniti o dell'UE su loro richiesta e che tale divulgazione non sarà considerata una violazione della riservatezza.

1.10 Estensione delle CCS ai Paesi senza limiti al trasferimento: in relazione ai trasferimenti di Dati personali TAAP tra l'Affiliato ed Expedia provenienti da un Paese senza limiti al trasferimento ma comunque soggetto a salvaguardia che, secondo la Legge vigente sulla protezione dei dati, deve essere applicata prima di poter trasferire tali Dati personali TAAP al di fuori del Paese di origine (ciascuno un Paese senza limiti al trasferimento), l'Affiliato ed Expedia concordano che (a) le CCS di cui alla Clausola 1.11 che segue si riterranno estese ai trasferimenti aggiuntivi nella misura in cui tale presunta estensione soddisfi le misure di salvaguardia di quel particolare Paese; e/o (b) laddove le misure di cui alla Clausola 1.11 siano insufficienti o richiedano misure supplementari, le parti concordano di adottare tali misure supplementari, come, ad esempio, l'esecuzione di documenti pertinenti, la raccolta del consenso, l'effettuazione delle registrazioni richieste, come richiesto di volta in volta al fine di soddisfare la Legge vigente sulla protezione dei dati.

1.11 Fatta salva la Clausola 1.7 di cui sopra, con la presente l'Affiliato ed Expedia accettano di stipulare le CCS lasciandole invariate, salvo per quanto segue::

2. a. se l'Affiliato si trova in un Paese con limiti al trasferimento o comunque in un Paese ritenuto "adeguato" ai sensi dell'articolo 45 del GDPR, il Modulo uno (1) delle CCS si applicherà unilateralmente in relazione ai trasferimenti dall'Affiliato a Expedia. In caso contrario, le CCS del Modulo uno si applicano in modo bidirezionale per coprire sia i trasferimenti da Expedia all'Affiliato sia quelli dall'Affiliato a Expedia.
3. b. Ai fini della Clausola 11(a) delle CCS, la lingua opzionale viene eliminata.
4. c. Ai fini della Clausola 13 delle CCS, il relativo paragrafo è "L'autorità di vigilanza dello Stato membro in cui è stabilito il rappresentante ai sensi dell'articolo 27(1), del regolamento (UE) 2016/679, come indicato nell'allegato I.C, agisce come autorità di vigilanza competente".
5. d. Ai fini della Clausola 17 delle CCS, la legge applicabile è quella dell'Irlanda.
6. e. Ai fini della Clausola 18(b) delle CCS, la selezione è quella l'Irlanda.
7. f. Una nuova Clausola 19 è aggiunta alle CCS per coprire i trasferimenti di dati personali al di fuori del Regno Unito come segue:

"Clausola 19

GDPR e DPA del Regno Unito 2018

Le parti convengono che le presenti Clausole si estenderanno e si applicheranno, nella misura pertinente al trasferimento in questione, per coprire i trasferimenti transfrontalieri che rientrano nell'ambito di applicazione del GDPR del Regno Unito e del Data Protection Act 2018 ( trasferimento dal Regno Unito). Ai fini di tale trasferimento dal Regno Unito, le disposizioni dell'Addendum sul trasferimento internazionale di dati si applicano alle Clausole contrattuali standard versione B1.0 (come di volta in volta modificate, sostituite, integrate o rimpiazzate), come indicato nel modulo allegato come Addendum."

2. h. Una nuova Clausola 20 è aggiunta alle CCS per coprire i trasferimenti di dati personali al di fuori della Svizzera come segue:

"Clausola 20

Svizzera – LPD

Le parti convengono che le presenti Clausola si estenderanno e si applicheranno, nella misura pertinente al trasferimento in questione, per coprire i trasferimenti transfrontalieri che rientrano nell'ambito di applicazione della Legge federale sulla protezione dei dati (LPD) (indicati nella presente Clausola come trasferimenti svizzeri). Ai fini di tali trasferimenti svizzeri, la legge applicabile sarà quella dello Stato membro prescelto, la scelta del foro sarà quella dello Stato membro prescelto e l'Incaricato federale alla protezione dei dati e alla trasparenza (IFPDT) sarà l'autorità di controllo competente. Le Parti convengono inoltre che le ulteriori modifiche apportate alle Clausole in relazione a un trasferimento svizzero saranno considerate necessarie dall'IFPDT per conformarsi al GDPR e all'LPD del Regno Unito, e le Clausole saranno interpretate in conformità ai requisiti per i trasferimenti svizzeri derivanti da tali leggi o come altrimenti stabilito nelle linee guida emanate dall'IFPDT, senza che le parti debbano stipulare clausole contrattuali standard separate preparate appositamente per i loro trasferimenti dalla Svizzera. Le Parti si impegnano inoltre a compiere tutti gli atti e le azioni necessari a garantire il rispetto dell'LPD nel corso dei trasferimenti dalla Svizzera".

2. i. Una nuova Clausola 21 è aggiunta alle CCS per coprire i trasferimenti di dati personali al di fuori del Brasile come segue:

"Clausola 21

Brasile – LGPD

Le parti convengono che le presenti Clausole si estenderanno e si applicheranno, nella misura pertinente al trasferimento in questione, per coprire i trasferimenti transfrontalieri che rientrano nell'ambito di applicazione della legge brasiliana sulla protezione dei dati personali n. 13, 709/18 (Lei Geral de Proteção de Dados) (LGPD) (indicati nella presente Clausola come trasferimenti brasiliani). Ai fini di tali trasferimenti brasiliani, la legge applicabile sarà quella dello Stato membro prescelto, la scelta del foro sarà quella dello Stato membro prescelto e l'Autorità nazionale per la protezione dei dati (ANPD) sarà l'autorità di controllo competente. Le Parti convengono inoltre che le ulteriori modifiche apportate alle Clausole in relazione a un trasferimento brasiliano saranno considerate necessarie dall'ANPD per conformarsi all'LGPD, e le Clausole saranno interpretate in conformità ai requisiti per i trasferimenti brasiliani derivanti da tali leggi o come altrimenti stabilito nelle linee guida emanate dall'ANPD o altra autorità brasiliana competente, senza che le Parti debbano stipulare clausole contrattuali standard separate preparate appositamente per i loro trasferimenti dal Brasile. Le Parti si impegnano inoltre a compiere tutti gli atti e le azioni necessari a garantire il rispetto dell'LGPD nel corso dei trasferimenti dal Brasile."

2. j. Una nuova clausola 22 è aggiunta alle CCS per coprire i trasferimenti di dati personali da qualsiasi altro Paese finora non specificato, dove le CCS possono essere estese per garantire adeguate salvaguardie per i trasferimenti di dati personali provenienti da tale Paese a una parte situata al di fuori dello stesso, come segue:

"Clausola 22

Trasferimenti da altri Paesi terzi

Le Parti convengono che le presenti Clausole si estenderanno e si applicheranno, nella misura pertinente al trasferimento in questione, ai trasferimenti transfrontalieri che rientrano nell'ambito di applicazione di qualsiasi altra legge e regolamento applicabile in qualsiasi giurisdizione pertinente, in relazione all'utilizzo o al trattamento dei dati personali (Legge vigenti sulla protezione dei dati) che richiedono termini e tutele ampiamente equivalenti alle presenti Clausole al fine di trasferire i dati personali da tale Paese a un altro (indicato nella presente Clausola come trasferimento da un Paese terzo). Ai fini di tali trasferimenti da Paesi terzi, la legge applicabile sarà quella dello Stato membro prescelto, la scelta del foro sarà quella dello Stato membro prescelto e l'autorità per la protezione dei dati o l'organismo di regolamentazione di tale Paese sarà l'autorità di controllo competente. Le Parti convengono inoltre che le ulteriori modifiche apportate alle Clausole in relazione a un trasferimento da un Paese terzo saranno considerate necessarie da tale autorità di vigilanza per conformarsi alla Legge sulla protezione dei dati applicabile di detto Paese, e le Clausole saranno interpretate in conformità ai requisiti per i trasferimenti da Paesi terzi derivanti da tali leggi o come altrimenti stabilito nelle linee guida emanate dall'autorità di vigilanza competente, senza che le Parti debbano stipulare clausole contrattuali standard separate preparate appositamente per i loro trasferimenti da Paesi terzi. Le Parti si impegnano inoltre a compiere tutti gli atti e le azioni necessari a garantire il rispetto della Legge sulla protezione dei dati applicabile nel corso dei trasferimenti da Paesi terzi".

1.12 L'Allegato 1 (Panoramica sul trattamento delle CCS) al presente Contratto C2C costituisce l'Allegato 1 alle CCS. L'Allegato 2 (Misure tecniche e organizzative) al presente Contratto C2C costituisce l'Allegato 2 alle CCS e si applica solo a Expedia laddove l'Affiliato abbia fornito, e noi abbiamo accettato, misure tecniche e organizzative adeguate per soddisfare i requisiti dell'Allegato 2 alle CCS o, in caso contrario, l'Allegato 2 sarà interpretato come applicabile a entrambe le parti e tutti i riferimenti a Expedia e a Expedia Group saranno interpretati come riferimenti a ciascuna parte. L'Addendum al presente Contratto C2C costituisce l'Addendum per il Regno Unito ai fini delle CCS.

ALLEGATO I – PANORAMICA SUL TRATTAMENTO DELLE CCS

MODULO UNO: da titolare a titolare (dall'Affiliato a Expedia)

A. ELENCO DELLE PARTI

Esportatore(i) di dati:

Importatore(i) di dati: 

B. DESCRIZIONE DEL TRASFERIMENTO

C. AUTORITÀ DI VIGILANZA COMPETENTE

Identificare l'autorità o le autorità di vigilanza competenti in conformità alla Clausola 13 delle CCS

Autorità irlandese per la protezione dei dati

MODULO UNO: da titolare a titolare (da Expedia all'Affiliato)

A. ELENCO DELLE PARTI

Esportatore(i) di dati: 

La(le) Parte(i) identificata(e) come Importatore di dati nel Modulo uno (1) (dall'Affiliato a Expedia) di cui sopra. Vedi sopra per ulteriori dettagli.

Importatore(i) di dati:

La(le) Parte(i) identificata(e) come Esportatore di dati nel Modulo uno (1) (dall'Affiliato a Expedia) di cui sopra. Vedi sopra per ulteriori dettagli.

B. DESCRIZIONE DEL TRASFERIMENTO

C. AUTORITÀ DI VIGILANZA COMPETENTE

Come da Modulo uno (1)

ALLEGATO II - MISURE TECNICHE E ORGANIZZATIVE 

Le misure tecniche e organizzative che si applicano ai fini del Modulo uno (1) sono indicate di seguito.

Addendum sul trasferimento internazionale di dati alle Clausole contrattuali standard della Commissione europea (Addendum)

Il presente Addendum è stato emesso dal Commissario per le informazioni per le Parti che effettuano trasferimenti soggetti a limitazioni. Il Commissario per le informazioni ritiene che fornisca garanzie adeguate per i trasferimenti soggetti a limitazioni quando viene adottato come contratto legalmente vincolante.

Parte 1 Tabelle

Parte 2: Clausole obbligatorie

Clausole obbligatorie dell'Addendum approvato, ovvero il modello di Addendum B.1.0 emesso dall'ICO e depositato presso il Parlamento in conformità alla Sezione 119A del Data Protection Act 2018 il 2 febbraio 2022, in quanto rivisto ai sensi della Sezione 18 di dette Clausole obbligatorie.

Perjanjian Online TAAP – Perjanjian Pengontrol ke Pengontrol (termasuk SCC)

Versi asli bahasa Inggris dari Perjanjian C2C ini mungkin telah diterjemahkan ke dalam bahasa lain.  Apabila terdapat inkonsistensi atau perbedaan antara versi bahasa Inggris dan versi bahasa lain dari Perjanjian ini, versi bahasa Inggris yang akan berlaku.

RUANG LINGKUP: Jika Anda dan Expedia memproses data pribadi sebagai bagian dari perjanjian (yang mungkin dalam bentuk ketentuan clickwrap online) yang disepakati dengan pihak lain (sesuai dengan penunjukan Anda sebagai mitra pemasaran berdasarkan TAAP, dan semua aktivitas relevan yang terkait dengan aktivitas yang disebut di sini sebagai "Aktivitas yang Relevan"), maka perjanjian pengontrol ke pengontrol global ini ("Perjanjian C2C") merupakan pelengkap dan berlaku untuk perjanjian tersebut yang dibuat antara para pihak sehubungan dengan Aktivitas yang Relevan (“Perjanjian”), dan menetapkan syarat, persyaratan, dan ketentuan tambahan di mana Expedia dan Anda akan memproses data pribadi sehubungan dengan Perjanjian. Dalam Perjanjian C2C ini, “ Expedia”, “kita” dan “kami” mengacu pada Expedia, Inc. dan/atau setiap perusahaan Expedia Group/para pihak lainnya dalam Perjanjian. "Anda" mengacu pada entitas bernama yang dinyatakan pada Aplikasi seperti yang dijelaskan dalam Perjanjian (dan semua referensi ke Expedia atau Anda akan ditafsirkan sebagai istilah jamak sejauh yang diwajibkan oleh Perjanjian).

1. DEFINISI DAN INTERPRETASI

1.1 Perjanjian C2C ini tunduk pada ketentuan Perjanjian dan dimasukkan ke dalam Perjanjian. Interpretasi dan ketentuan yang ditetapkan dalam Perjanjian berlaku untuk interpretasi Perjanjian C2C ini kecuali jika ditentukan lain dalam Perjanjian C2C ini; dan:

1. a. setiap langkah-langkah teknis dan organisasi yang sesuai, pengontrol, data pribadi, pelanggaran data pribadi, proses/pemrosesan, dan otoritas pengawasan (atau ketentuan setara yang wajar) akan berarti diberikan kepada mereka dalam Undang-Undang Perlindungan Data yang Berlaku;
2. b. Undang-Undang Perlindungan Data yang Berlaku berarti setiap hukum dan peraturan yang berlaku di yurisdiksi relevan, yang berkaitan dengan penggunaan atau pemrosesan data pribadi;
3. c. Tujuan yang Diizinkan adalah tujuan dari (i) pemenuhan Pemesanan; (ii) pemberian dukungan untuk Pemesanan; (iii) pendaftaran TAAP dan administrasi akun; (iv) pembayaran Komisi dan jumlah lain yang sesuai dengan Perjanjian ini; (v) pembuatan laporan untuk Anda dan pemrosesan lebih lanjut yang diperlukan untuk rekonsiliasi, penanganan keluhan dan aktivitas serupa yang berhubungan dengan pelaksanaan Perjanjian (vi) dukungan akun TAAP; (vii) komunikasi dengan Member dan Subpengguna TAAP; (viii) perbaikan dan peningkatan layanan, termasuk mengoptimalkan pengalaman pemesanan; (ix) pembuatan laporan untuk analisis, kecerdasan bisnis, dan pelaporan bisnis; (x) pencegahan penipuan; (xi) menanggapi permintaan penegak hukum dan permintaan audit otoritas pajak; (xii) memfasilitasi transaksi aset bisnis (yang dapat meliputi hingga penyatuan, pengalihan, atau penjualan aset apa pun); dan (xiii) selain itu mematuhi kewajiban kami berdasarkan Perjanjian, kebijakan privasi Expedia, dan undang-undang yang berlaku (xiv) untuk penetapan, penghitungan, pelaporan Pajak Perjalanan dan tujuan pengenaan pajak lainnya yang berlaku sebagaimana dapat diwajibkan seiring waktu;
4. d. DPF adalah sertifikasi Kerangka Kerja Privasi Data UE-AS dengan Departemen Perdagangan AS atau mekanisme sertifikasi pengganti atau tambahan yang disetujui oleh Komisi Eropa (atau otoritas nasional terkait lainnya) seiring waktu; dan mencakup keputusan kecukupan tambahan yang dikeluarkan oleh negara lain mana pun yang mengizinkan perpanjangan DPF antara AS dan negara ketiga tersebut (misalnya, tanpa batasan, Inggris Raya, dan Swiss);
5. e. Negara Transfer Terbatas adalah negara mana pun di Wilayah Ekonomi Eropa, Swiss, Inggris Raya, dan Brasil;
6. f. Data Transfer Terbatas adalah Data Pelanggan yang berkaitan dengan Pemesanan yang dilakukan melalui point of sale yang dimaksudkan oleh kami untuk diakses oleh Pelanggan di Negara Transfer Terbatas;
7. g. Klausul Kontrak Standar/SCC berarti Klausul Kontrak Standar Komisi Eropa yang disetujui untuk transfer data pribadi dari Uni Eropa ke negara ketiga, sebagaimana dikeluarkan pada 4 Juni 2021, sebagaimana diubah, diganti, ditambah, atau digantikan dari waktu ke waktu, dan versi lengkap saat ini yang dapat ditemukan mengikuti tautan ini: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en; dan
8. h. Data Pribadi TAAP berarti data pribadi yang diberikan kepada kami oleh Anda melalui Situs Web TAAP atau diproses sehubungan dengan TAAP itu sendiri atau memfasilitasi Pemesanan yang dilakukan menggunakan Situs Web TAAP.

Hubungan para pihak

2. 1.2 Anda dan kami masing-masing mengumpulkan dan memproses data pribadi untuk memenuhi hak dan kewajiban kami masing-masing berdasarkan Perjanjian, serta tanggung jawab kita masing-masing berdasarkan undang-undang yang berlaku. Dengan demikian, tiap pihak akan: (i) memproses data pribadi sebagai pengontrol independen dan otonom; (ii) mematuhi Undang-Undang Perlindungan Data yang Berlaku; dan (iii) bertanggung jawab atas setiap tindakannya atau kelalaiannya dalam pelanggaran Undang-Undang Perlindungan Data yang Berlaku.

Tanggung jawab Anda

1.3 Anda harus: 

2. a. memenuhi dasar hukum untuk memberikan Data Pribadi TAAP kepada kami untuk diproses untuk Tujuan yang Diizinkan;
3. b. memastikan Pelanggan diberi tahu, melalui kebijakan privasi Anda dan dengan cara lain yang sesuai, bahwa data pribadi mereka akan dibagikan dengan kami untuk Tujuan yang Diizinkan;
4. c. mengarahkan Pelanggan ke kebijakan privasi kami untuk informasi lebih lanjut tentang penanganan data pribadi mereka oleh kami; dan
5. d. bekerja sama dan menyediakan bantuan yang wajar kepada kami untuk membantu kami mematuhi undang-undang Perlindungan Data yang Berlaku selama pemrosesan Data Pribadi TAAP dalam kaitannya dengan Perjanjian ini.

Tanggung jawab kami

1.4 Kami (dan Anggota Grup kami, apabila berlaku) akan: 

• a. memproses Data Pribadi TAAP hanya dalam hubungannya dengan Tujuan yang Diizinkan;
• b. tidak akan membocorkan seluruh atau sebagian Data Pribadi TAAP ke orang lain, kecuali sehubungan dengan Tujuan yang Diizinkan;
• c. bekerja sama dan menyediakan bantuan yang wajar kepada Anda untuk membantu Anda mematuhi Undang-Undang Perlindungan Data yang Berlaku selama Pemrosesan Data Pribadi TAAP dalam kaitannya dengan Perjanjian ini; dan
• d. menampilkan dan mematuhi pemberitahuan cookie yang sah dan terbaru (bila diperlukan) dan kebijakan privasi kami di Situs web TAAP.

Pelanggan dan Pihak Ketiga

1.5 Anda mengakui bahwa kami:

2. a. dapat mengirim email yang berhubungan dengan Pemesanan kepada Pelanggan;
3. b. dapat mentransfer Data Pribadi TAAP (termasuk data bank) ke penyedia layanan pihak ketiga kami untuk tujuan:
   2. i. melaksanakan, mengelola, dan mendukung Akun TAAP milik Anda, Perwakilan, dan Subpengguna;
   3. ii.memberikan dukungan untuk Pemesanan; dan
   4. iii. membayar Komisi dan jumlah lain yang sesuai dengan Perjanjian.

Keamanan data

1.6 Kedua belah pihak, dalam kapasitas mereka sebagai pengontrol, akan:

2. a. melakukan langkah-langkah teknis dan operasional yang sesuai untuk melindungi data pribadi yang masing-masing mereka proses terhadap pelanggaran data pribadi; dan
3. b. jika terjadi pelanggaran data pribadi yang terkonfirmasi dalam sistem di bawah kepemilikan atau kendali pihak tersebut, segera beri tahu pihak lain jika pelanggaran data pribadi (i) memengaruhi Data Pribadi TAAP yang juga diproses oleh pihak lain berdasarkan Perjanjian; dan (ii) dapat dilaporkan ke otoritas pengawas, dengan memberikan rincian lengkap perihal tersebut. Jika hal tersebut terjadi, kedua pihak akan bekerja sama secara wajar dan dengan iktikad baik untuk memulihkan dan memitigasi akibat dari pelanggaran data pribadi, dan biaya yang wajar dari kerja sama tersebut akan ditanggung oleh pihak yang mengalami pelanggaran data pribadi.

Transfer lintas negara 

1.7 Kerangka Kerja Privasi Data (DPF, Data Privacy Framework): Anda dan kami setuju bahwa sehubungan dengan pentransferan Data Transfer Terbatas antara Anda dan kami ke Amerika Serikat atau ke negara yang belum dianggap "memadai" berdasarkan Undang-Undang Perlindungan Data yang Berlaku dari Negara Transfer Terbatas asal (a) sejauh dan selama DPF merupakan metode transfer yang diakui oleh otoritas yang relevan, DPF akan menjadi mekanisme yang disepakati untuk transfer data lintas negara yang berasal dari Negara Transfer Terbatas kepada kami di Amerika Serikat, dan (b) sejauh dan selama DPF bukan merupakan metode transfer yang sah (termasuk untuk pentransferan Data Transfer Terbatas ke negara yang belum dianggap "memadai" berdasarkan Undang-Undang Perlindungan Data yang Berlaku dari Negara Transfer Terbatas asal), SCC akan berlaku untuk transfer tersebut dan kami akan melakukan transfer tersebut berdasarkan yang ditetapkan dalam Klausul 1.11 di bawah ini. Jika Anda juga memiliki sertifikasi DPF terbaru, pentransferan Data Transfer Terbatas kepada Anda juga dapat dilakukan berdasarkan DPF dengan SCC sebagai mekanisme cadangan sebagaimana ditetapkan di atas.

1.8 Kewajiban Flow-down DPF: Kewajiban Pengungkapan DPF: Anda menyatakan bahwa kami dapat mengungkapkan Perjanjian C2C ini dan ketentuan privasi apa pun yang relevan dalam Perjanjian kepada Departemen Perdagangan AS, Komisi Perdagangan Federal, otoritas perlindungan data Eropa mana pun, atau badan yudisial atau regulator AS atau UE lainnya atas permintaan mereka dan bahwa pengungkapan tersebut tidak akan dianggap sebagai pelanggaran kerahasiaan.

1.9 Kewajiban Pengungkapan DPF:: Anda menyatakan bahwa kami dapat mengungkapkan Perjanjian C2C ini dan ketentuan privasi apa pun yang relevan dalam Perjanjian kepada Departemen Perdagangan AS, Komisi Perdagangan Federal, otoritas perlindungan data Eropa mana pun, atau badan yudisial atau regulator AS atau UE lainnya atas permintaan mereka dan bahwa pengungkapan tersebut tidak akan dianggap sebagai pelanggaran kerahasiaan.

1.10 Perluasan SCC ke Negara Transfer Tidak Terbatas: Sehubungan dengan pentransferan Data Pribadi TAAP antara Anda dan kami yang berasal dari negara yang bukan merupakan Negara Transfer Terbatas tetapi tunduk pada pengamanan yang, menurut Undang-Undang Perlindungan Data yang Berlaku, harus diterapkan sebelum pentransferan Data Pribadi TAAP tersebut dapat dilakukan di luar negara asal (masing-masing Negara Transfer Tidak Terbatas), maka Anda dan kami setuju bahwa (a) SCC yang diatur dalam Klausul 1.11 di bawah ini akan dianggap diperluas untuk transfer tambahan tersebut sejauh dianggap perluasan tersebut akan memenuhi perlindungan dari negara tertentu; dan/atau (b) apabila tindakan yang diatur dalam Klausul 1.11 tidak memadai atau memerlukan tindakan tambahan, para pihak setuju untuk mengambil tindakan lebih lanjut tersebut, termasuk, misalnya, pelaksanaan dokumen yang relevan, pengumpulan persetujuan, pembuatan pengajuan yang diperlukan, sebagaimana mungkin diperlukan dari waktu ke waktu untuk memenuhi Undang-Undang Perlindungan Data yang Berlaku.

1.11 Berdasarkan Klausul 1.7 di atas, Anda dan kami dengan ini setuju untuk menyepakati SCC tanpa perubahan untuk pilihan berikut:

2. a. jika Anda berada di Negara Transfer Terbatas atau sebaliknya di negara yang dianggap "memadai" sesuai dengan Pasal 45 GDPR, hanya Modul satu (1) SCC yang akan berlaku satu arah terkait transfer dari Anda ke Expedia. Jika tidak, Modul Satu SCC berlaku dua arah untuk mencakup transfer dari kami ke Anda, dan dari Anda ke kami.
3. b. Untuk keperluan klausul 11(a) SCC, bahasa opsional dihapus.
4. c. Untuk tujuan klausul 13 SCC, paragraf yang relevan adalah “Otoritas pengawasan Negara Anggota di mana perwakilan dalam arti Pasal 27(1) Peraturan (UE) 2016/679 didirikan, sebagaimana ditunjukkan dalam Lampiran IC, akan bertindak sebagai otoritas pengawas yang kompeten.”
5. d. Untuk tujuan klausul 17 SCC, hukum yang mengatur adalah hukum Irlandia.
6. e. Untuk tujuan klausul 18(b) SCC, pilihannya adalah Irlandia.
7. f. Klausul 19 baru ditambahkan ke SCC untuk mencakup pentransferan data pribadi dari Inggris Raya ke luar Inggris Raya sebagai berikut:

"Klausul 19

DPA dan GDPR Inggris Raya 2018

Para Pihak setuju bahwa Klausul ini akan diperluas dan berlaku, sejauh relevan dengan pentransferan yang dimaksud, untuk mencakup pentransferan lintas negara yang termasuk dalam ruang lingkup GDPR Inggris Raya dan Undang-Undang Perlindungan Data 2018 (transfer Inggris Raya). Untuk tujuan pentransferan Inggris tersebut, ketentuan Adendum Transfer Data Internasional untuk Klausul Kontrak Standar Versi B1.0 (sebagaimana diubah, diganti, ditambah, atau dibatalkan dari waktu ke waktu) akan berlaku sebagaimana ditetapkan dalam formulir terlampir sebagai Adendum.”

2. h. Klausul 20 yang baru ditambahkan ke SCC untuk mencakup pentransferan data pribadi dari Swiss ke luar Swiss sebagai berikut;

"Klausul 20

Swiss – FADP

Para Pihak setuju bahwa Klausul ini akan diperluas dan berlaku, sejauh relevan dengan pentransferan yang dimaksud, untuk mencakup pentransferan lintas negara yang termasuk dalam ruang lingkup Undang-Undang Federal Perlindungan Data (FADP, Federal Act of Data Protection) (disebut dalam Klausul ini sebagai transfer Swiss). Untuk tujuan pentransferan di Swiss tersebut, hukum yang mengatur akan dianggap sebagai Negara Anggota yang dipilih, pilihan forum adalah Negara Anggota yang dipilih dan Komisi Informasi dan Perlindungan Data Federal (FDPIC, Federal Data Protection and Information Commissioner) adalah otoritas pengawas yang berkompeten. Para Pihak selanjutnya setuju bahwa perubahan lebih lanjut tersebut akan ditafsirkan untuk dibuat pada Klausul sehubungan dengan transfer Swiss sebagaimana dianggap perlu oleh FCPIC untuk mematuhi GDPR dan FADP Inggris Raya, dan Klausul harus ditafsirkan sesuai dengan persyaratan untuk transfer Swiss yang timbul berdasarkan undang-undang tersebut atau sebagaimana ditetapkan dalam panduan yang dikeluarkan oleh FDPIC, tanpa Pihak harus membuat klausul kontrak standar terpisah yang disiapkan khusus untuk transfer Swiss mereka. Para Pihak selanjutnya akan melakukan semua tindakan dan hal-hal yang mungkin diperlukan untuk memastikan kepatuhan terhadap FADP saat terlibat dalam transfer Swiss.”

2. i. Klausul 21 yang baru ditambahkan ke SCC untuk mencakup pentransferan data pribadi dari Brasil ke luar Brasil sebagai berikut:

"Klausul 21

Brasil – LGPD

Para Pihak setuju bahwa Klausul ini akan diperluas dan berlaku, sejauh relevan dengan transfer yang dimaksud, untuk mencakup transfer antara negara yang masuk dalam ruang lingkup Undang-Undang Perlindungan Data Umum Brasil No. 13,709/18 (Lei Geral de Proteção de Dados) (LGPD) (yang disebutkan dalam Klausul ini sebagai transfer Brasil). Untuk tujuan transfer Brasil tersebut, hukum yang mengatur akan dianggap sebagai Negara Anggota yang dipilih, pilihan forum adalah Negara Anggota yang dipilih dan Otoritas Perlindungan Data Nasional Brasil (ANPD, Brazil’s National Data Protection Authority) adalah otoritas pengawas yang berkompeten. Para Pihak selanjutnya setuju bahwa perubahan lebih lanjut tersebut akan ditafsirkan untuk dibuat pada Klausul sehubungan dengan transfer Swiss sebagaimana dianggap perlu oleh ANPD untuk mematuhi LGPD, dan Klausul harus ditafsirkan sesuai dengan persyaratan untuk transfer Brasil yang timbul berdasarkan undang-undang tersebut atau sebagaimana ditetapkan dalam panduan yang dikeluarkan oleh ANPD atau otoritas Brasil yang relevan lainnya, tanpa Para Pihak harus menandatangani klausul kontrak standar terpisah yang disiapkan khusus untuk transfer Brasil mereka. Para Pihak selanjutnya akan melakukan semua tindakan dan hal-hal yang mungkin diperlukan untuk memastikan kepatuhan terhadap LGPD saat terlibat dalam transfer Brasil.”

2. j. Klausul 22 baru ditambahkan ke SCC untuk mencakup transfer data pribadi dari negara lain yang hingga sekarang tidak ditentukan, di mana SCC dapat diperluas untuk memastikan perlindungan yang sesuai untuk transfer data pribadi yang berasal dari negara tersebut ke pihak yang berlokasi di luar negara tersebut sebagaimana berikut:

"Klausul 22

Transfer negara ketiga lainnya

Para Pihak setuju bahwa Klausul ini akan diperluas dan berlaku, sejauh relevan dengan transfer yang dimaksud, untuk mencakup transfer lintas negara yang masuk dalam ruang lingkup undang-undang dan peraturan lain yang berlaku di yurisdiksi yang relevan, terkait penggunaan atau pemrosesan data pribadi (Undang-undang Perlindungan Data yang Berlaku) yang memerlukan ketentuan dan perlindungan yang secara luas setara dengan Klausul ini untuk mentransfer data pribadi dari negara tersebut ke negara lain (disebut dalam Klausul ini sebagai transfer Negara Ketiga). Untuk tujuan transfer Pihak Ketiga tersebut, hukum yang mengatur akan dianggap sebagai Negara Anggota yang dipilih, pilihan forum adalah Negara Anggota yang dipilih, dan otoritas perlindungan data atau badan pengatur negara tersebut adalah otoritas pengawas yang kompeten. Para Pihak selanjutnya setuju bahwa perubahan lebih lanjut tersebut akan ditafsirkan untuk dibuat pada Klausul sehubungan dengan transfer Pihak Ketiga sebagaimana dianggap perlu oleh otoritas pengawasan tersebut untuk mematuhi Undang-Undang Perlindungan Data yang berlaku di negara tersebut, dan Klausul harus ditafsirkan sesuai dengan persyaratan untuk transfer Pihak Ketiga yang timbul berdasarkan undang-undang tersebut atau sebagaimana ditetapkan dalam panduan yang dikeluarkan oleh otoritas pengawasan yang relevan, tanpa Para Pihak harus menandatangani klausul kontrak standar terpisah yang disiapkan khusus untuk transfer Pihak Ketiga mereka. Para Pihak selanjutnya akan melakukan semua tindakan dan hal-hal yang mungkin diperlukan untuk memastikan kepatuhan terhadap Undang-Undang Perlindungan Data yang Berlaku saat terlibat dalam transfer Pihak Ketiga."

1.12 Lampiran 1 (Tinjauan Pemrosesan SCC) pada Perjanjian C2C ini merupakan Lampiran 1 dari SCC. Lampiran 2 (Langkah-Langkah Teknis dan Organisasi) pada Perjanjian C2C ini merupakan Lampiran 2 dari SCC dan hanya berlaku untuk Expedia jika Anda telah memberikan, dan kami telah menerima, langkah-langkah teknis dan organisasi yang memadai untuk memenuhi persyaratan Lampiran 2 SCC Anda atau, jika tidak demikian halnya, Lampiran 2 akan ditafsirkan berlaku untuk kedua belah pihak dan semua referensi ke Expedia dan Expedia Group akan ditafsirkan untuk merujuk salah satu pihak sebagaimana mestinya. Adendum Perjanjian C2C ini merupakan Adendum Inggris Raya untuk tujuan SCC.

LAMPIRAN I – IKHTISAR PEMROSESAN SCC

MODUL SATU: Pengontrol ke Pengontrol (Anda ke kami)

A. DAFTAR PARA PIHAK

Pengekspor data:

Pengimpor data: 

B. DESKRIPSI TRANSFER

C. OTORITAS PENGAWAS YANG BERKOMPETEN

Identifikasikan otoritas pengawas yang berkompeten sesuai dengan Klausul 13 SCC

Otoritas Perlindungan Data Irlandia

MODUL SATU: Pengontrol ke Pengontrol (kami ke Anda)

A. DAFTAR PARA PIHAK

Pengekspor data: 

Pihak/para pihak yang diidentifikasi sebagai Pengimpor Data di Modul satu (1) (Anda ke kami) di atas. Lihat di atas untuk lebih jelasnya.

Pengimpor data:

Pihak/para pihak yang diidentifikasi sebagai Pengekspor Data di Modul satu (1) (Anda ke kami) di atas. Lihat di atas untuk lebih jelasnya.

B. DESKRIPSI TRANSFER

C. OTORITAS PENGAWAS YANG BERKOMPETEN

Sesuai Modul satu (1)

LAMPIRAN II - LANGKAH-LANGKAH TEKNIS DAN ORGANISASI 

Langkah-langkah teknis dan organisasi yang berlaku untuk tujuan Modul satu (1) ditetapkan di bawah ini.

Adendum Transfer Data Internasional untuk Klausul Kontrak Standar Komisi UE (Adendum)

Adendum ini telah diterbitkan oleh Komisi Informasi untuk Para Pihak yang melakukan Transfer Terbatas. Komisi Informasi menganggap bahwa adendum menyediakan Pengamanan yang Sesuai untuk Transfer Terbatas apabila disepakati sebagai kontrak yang mengikat secara hukum.

Bagian 1 Tabel

Bagian 3: Klausul Wajib

Klausul Wajib dari Adendum yang Disetujui, adalah template Adendum B.1.0 yang dikeluarkan oleh ICO dan diajukan ke hadapan Parlemen sesuai dengan Bagian 119A Undang-Undang Perlindungan Data 2018 tanggal 2 Februari 2022, sebagaimana direvisi berdasarkan Bagian 18 dari Klausul Wajib tersebut.

TAAP 網上協議 – 管控方之間協議 (包括 SCC)

本 C2C 協議的英文原版或會翻譯成其他語言。本協議的英文版本與任何其他語言譯本如有不一或歧義，概以英文版本為準。

適用範圍：當 Expedia 與你彼此簽訂協議 (可採用網上點擊生效條款形式) 處理個人資料 (你據 TAAP 獲指定為營銷合作夥伴，而與該活動相關的一切活動在此稱為「相關活動」)，則本全球管控方之間協議 (「 C2C 協議」) 會補充並適用於雙方就相關活動達成之該協議 (「 協議」)，並訂明 Expedia 與你各自處理與協議相關的個人資料時需遵循的額外條款、規定及細則。在本 C2C 協議中，「Expedia」、「我們」及「我方」是指 Expedia, Inc. 及/或協議中的任何其他 Expedia Group 旗下公司。「你」是指協議所述應用程式中列出的指定實體。

1. 定義及詮釋

1.1 本 C2C 協議受協議條款約束，並納入協議之中。除本 C2C 協議另有規定外，協議所列詮釋及已定義詞彙適用於解讀本 C2C 協議；及：

1. a. 恰當技術及組織措施、管控方、個人資料、個人資料洩露、程序/處理及監管機構 (或在合理程度上意思相等的詞彙) 各應具有適用資料保護法例所賦予的含意；
2. b. 適用資料保護法例是指任何相關司法管轄區內關於個人資料的使用或處理的任何適用法例及規定；
3. c. 許可用途是指以下用途：(i) 完成預訂；(ii) 為預訂提供支援；(iii) TAAP 註冊和帳戶管理；(iv) 據協議支付佣金及其他款項；(v) 為你製作報告及採取任何進一步所需程序，以便對帳、處理投訴，並進行與履行協議相關的類似活動；(vi) TAAP 帳戶支援；(vii) 與 TAAP 成員及子用戶通訊；(viii) 提升我方服務，包括改善預訂體驗；(ix) 為分析、商業情報及業務報告製作報告；(x) 防止詐騙；(xi) 回應執法要求及稅務機關審核要求；(xii) 促進商業資產交易 (可延伸至任何合併、收購或資產出售事宜)；(xiii) 履行協議、Expedia 私隱權政策及適用法例規定的其他義務，以及 (xiv) 判斷、計算及報告旅遊稅，並按不時可能提出的要求作其他適用稅務用途；
4. d. DPF 是指美國商務部的歐盟-美國資料私隱框架認證，或歐盟委員會 (或其他相關國家機構) 不時核准的任何替代或補充認證機制，並包括任何其他國家/地區頒佈、允許將 DPF 適用範圍延伸至美國與該第三國 (包括但不限於英國及瑞士) 之間的任何補充充分性決定；
5. e. 限制傳輸國家/地區是指歐洲經濟區內的任何國家/地區、瑞士、英國及巴西；
6. f. 限制傳輸資料是指與以下預訂相關的旅客資料：此等預訂透過我方打算提供予限制傳輸國家/地區旅客使用的銷售點作出；
7. g. 標準合約條款/SCC 是指 2021 年 6 月 4 日頒佈經核准的歐盟委員會標準合約條款，適用於從歐盟傳輸個人資料至第三國的情況，可不時修訂、替換、補充或取代，而當前完整版本可於以下連結查閱： https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en；及
8. h. TAAP 個人資料是指你透過 TAAP 網站向我方提供或處理的個人資料，或其他與 TAAP 本身相關、或為促進使用 TAAP 網站進行預訂之流程而向我方提供或處理的個人資料。

各訂約方關係

2. 1.2 你與我方將各自收集及處理個人資料，以履行雙方據協議規定各自擁有的權利和義務，以及你與我方據適用法律各須承擔的責任。因此，雙方應：(i) 以獨立自主管控方身分處理個人資料；(ii) 遵循適用的資料保護法例；(iii) 對違反適用資料保護法例的一切行為及不作為負責。

你的責任

1.3 你必須： 

2. a. 滿足向我們提供任何 TAAP 個人資料的法律基礎，以便我方按許可用途進行處理；
3. b. 透過你的私隱權政策及任何其他恰當方式確保旅客知悉其個人資料將向我方披露，用於許可用途；
4. c. 指示旅客參閱我方私隱權政策，進一步了解我們處理其個人資料的方式；及
5. d. 在處理與協議相關的 TAAP 個人資料的過程中，與我方合作並提供合理支援，以助我們遵循適用的資料保護法例。

我方的責任

1.4 我們 (以及我方集團成員公司，如適用)： 

2. a. 僅處理與許可用途相關的 TAAP 個人資料；
3. b. 不向任何人洩露 TAAP 個人資料的全部或任何部分，惟與許可用途相關則除外；
4. c. 在你處理與協議相關的 TAAP 個人資料的過程中，與你合作並提供合理支援，以助你遵循適用的資料保護法例；
5. d. 在 TAAP 網站上展示並遵循我們的最新合法 Cookie 通知 (如適用) 及私隱權政策。

旅客及第三方

1.5 你確認我們：

2. a. 可向旅客發送與預訂相關的電郵；
3. b. 可將 TAAP 個人資料 (包括銀行資料) 轉交我方的第三方服務供應商，用於以下用途：
   2. i. 處理、管理及支援你本人、你代表及子用戶的 TAAP 帳戶；
   3. ii. 提供預訂支援；及
   4. iii. 據協議支付佣金及其他款項。

資料安全

1.6 雙方均須以管控方身分：

2. a. 沿用恰當技術及組織措施，保障其各自處理的個人資料免遭洩露；及
3. b. 萬一確認該方管有或控制的系統內發生個人資料洩露事故，並出現以下情況，請從速知會另一方：(i) 個人資料洩露事故影響另一方據協議處理的 TAAP 個人資料；及 (ii) 個人資料洩露事故須向監管機關報告，並提供全部相關細節。在此情況下，雙方應合理、真誠地合作，以補救或減輕個人資料洩露的影響。此類合作的合理費用應由發生個人資料洩露事故的一方承擔。

跨境傳輸 

資料私隱框架 (DPF): 如你我雙方之間傳輸限制傳輸資料到美國、或未被始發限制傳輸國家/地區適用資料保護法例視為「充分」的國家/地區，你與我們均同意：(a) 在 DPF 屬相關機構認可傳輸方式的範圍內，DPF 應成為從限制傳輸國家/地區向我們跨境傳輸資料到美國的商定機制，以及 (b) 在 DPF 不屬有效傳輸方法的範圍內 (包括將限制傳輸資料傳輸到未被始發限制傳輸國家/地區適用資料保護法例視為「充分」的國家/地區)，此等傳輸應受 SCC 約束，而我們將根據下文第 1.11 條所訂基礎簽訂協議。如你另持有當前生效的 DPF 認證，則同樣可根據 DPF 向你傳輸限制傳輸資料，並以 SCC 作為後備機制，如上所述。

1.8 DPF 分包流程義務: 你同意為限制傳輸資料提供至少與 DPF 規定程度相同的保障；如你決定不再提供此程度的保障，應從速通知我們。在這種情況下，又或若我們有其他理由認為你未有根據 DPF 要求的標準保護限制傳輸資料，我們可以：(a) 指示你採取合理適當措施，停止及糾正任何未經授權的處理程序，而你在此情況下須立即與我們真誠合作，以識別、認同並實施此類步驟；(b) 同意據適用資料保護法例，對處理程序採取替代防護措施；(c) 在向你發出通知後終止本 C2C 協議及協議 (或由我們選擇其中任何受影響的部分)，而無需承受任何罰則。如你另持有當前生效的 DPF 認證，則上述條款及下文第 1.9 條的規定應被視為適用，達到雙向義務的程度。

1.9 DPF 披露義務: 你確認我們可應美國商務部、聯邦貿易委員會、任何歐洲資料保護機關、或任何其他美國或歐盟司法或監管機構要求，向對方披露本 C2C 協議和協議中的任何相關私隱條款，且任何此等披露行為均不應視為違反保密規定。

1.10 將 SCC 延伸至非限制傳輸國家/地區: 如你我雙方傳輸 TAAP 個人資料的始發國家/地區並非限制傳輸國家/地區，但須據適用資料保護法例採用防護措施，方可將該 TAAP 個人資料傳輸至始發國家/地區以外的國家/地區 (各為非限制傳輸國家/地區)，則你與我方均同意：(a) 下文第 1.11 條所訂的 SCC 應被視為延伸至適用於此等額外傳輸行為，大前提是此延伸範圍符合該個別國家/地區的防護規定；及/或 (b) 若第 1.11 條所訂措施不足，或須採取補充措施，則雙方同意按不時可能提出的要求採取進一步措施，包括簽訂相關文件、收集同意書、進行必要備案，以符合適用資料保護法例規定。

1.11 根據上文第 1.7 條，你與我方特此同意：除以下選擇外，於不變基礎上簽訂 SCC：:

2. a. 如你身處限制傳輸國家/地區，或根據 GDPR 第 45 條被視為「充分」的其他國家/地區，則只須就你向 Expedia 傳輸資料的行為單向實施 SCC 的第一 (1) 節。否則，SCC 第一節將雙向實施，涵蓋我們向你、以及你向我們傳輸資料的行為。
3. b. 就 SCC 第 11(a) 條而言，自選語言已刪除。
4. c. 就 SCC 第 13 條而言，相關段落如下：「設有 (EU) 2016/679 規定第 27(1) 條含意所指之代表的成員國監管機關，應如附件 I.C 所示充當主管監管機關。」
5. d. 就 SCC 第 17 條而言，以愛爾蘭法律為準據法。
6. e. 就 SCC 第 18(b) 條而言，已選擇愛爾蘭。
7. f. SCC 新增第 19 條，涵蓋從英國傳輸資料到英國境外的情況，如下所示：

「第 19 條

英國 GDPR 與 DPA 2018

雙方同意，此等條款於相關傳輸範圍內延伸並適用，涵蓋受英國 GDPR 及《2018 年資料保護法案》約束的跨境傳輸情況 (英國傳輸)。就此類英國傳輸情況而言，標準合約條款 B1.0 版的國際資料傳輸附錄條款 (不時修訂、替換、補充或取代) 應按附錄表格所訂實施。」

2. h. SCC 新增第 20 條，涵蓋從瑞士傳輸資料到瑞士境外的情況，如下所示：

「第 20 條

瑞士 – FADP

雙方同意，此等條款於相關傳輸範圍內延伸並適用，涵蓋受《聯邦資料保護法案 (FADP)》約束的跨境傳輸情況 (在本款中即為瑞士傳輸)。就此類瑞士傳輸情況而言，應以所選成員國的法律為準據法，選擇所選成員國的法院，並以聯邦資料保護及資訊委員會 (FDPIC) 為主管監管機關。雙方進一步同意，在 FCPIC 視為必要的情況下，須就瑞士傳輸行為對條款進行進一步更改，以遵循英國 GDPR 及 FADP，且條款應按該等法律或 FDPIC 另行頒佈指引的瑞士傳輸規定詮釋，雙方無需另行簽訂專門為瑞士傳輸情況準備的標準合約條款。雙方應進一步採取一切可能必要的行動及措施，以確保從事瑞士傳輸行為時遵循 FADP。」

2. i. SCC 新增第 21 條，涵蓋從巴西傳輸資料到巴西境外的情況，如下所示：

「第 21 條

巴西 – LGPD

雙方同意，此等條款於相關傳輸範圍內延伸並適用，涵蓋受《巴西一般資料保護法例第 13,709/18 號 (Lei Geral de Proteção de Dados) (LGPD)》約束的跨境傳輸情況 (在本款中即為巴西傳輸)。就此類巴西傳輸情況而言，應以所選成員國的法律為準據法，選擇所選成員國的法院，並以巴西國家資料保護機關 (ANPD) 為主管監管機關。雙方進一步同意，在 ANPD 視為必要的情況下，須就巴西傳輸行為對條款進行進一步更改，以遵循 LGPD，且條款應按該等法律、又或 ANPD 或巴西其他相關機關另行頒佈指引的巴西傳輸規定詮釋，雙方無需另行簽訂專門為巴西傳輸情況準備的標準合約條款。雙方應進一步採取一切可能必要的行動及措施，以確保從事巴西傳輸行為時遵循 LGPD。」

2. j. SCC 新增第 22 條，涵蓋由本文未有指定之任何其他國家/地區始發的個人資料傳輸情況，SCC 適用範圍可延伸，以確保由該國家/地區傳輸個人資料到該國家/地區以外一方時受恰當保障，詳情如下：

「第 22 條

其他第三國傳輸

雙方同意，此等條款於相關傳輸範圍內延伸並適用，涵蓋受任何相關司法管轄區內任何其他關於個人資料使用或處理之適用法例及規定 (適用資料保護法例) 約束的跨境傳輸情況，並要求條款及保障與此等條款大致相同，方可將個人資料從該國家/地區傳輸至另一國家/地區 (在本款中即為第三國傳輸)。就此類第三國傳輸情況而言，應以所選成員國的法律為準據法，選擇所選成員國的法院，並以該國家/地區的資料保護機關或監管機構為主管監管機關。雙方進一步同意，在此等監管機關視為必要的情況下，須就第三國傳輸行為對條款進行進一步更改，以遵循該國家/地區的適用資料保護法例，且條款應按該等法律或相關監管機關另行頒佈指引的第三國傳輸規定詮釋，雙方無需另行簽訂專門為第三國傳輸情況準備的標準合約條款。雙方應進一步採取一切可能必要的行動及措施，以確保從事第三國傳輸行為時遵循適用資料保護法例。」

1.12 本 C2C 協議的附件 1 (SCC 處理程序概要) 構成 SCC 附件 1。本 C2C 協議的附件 2 (技術及組織措施) 構成 SCC 附件 2，並在以下情況中僅適用於 Expedia：你提供而我方接受充分的技術及組織措施，符合你在 SCC 附錄 2 下的要求；否則，附錄 2 將詮釋為適用於雙方，而提及 Expedia 及 Expedia Group 的所有內容均應解讀為相應提及另一方。就 SCC 而言，本 C2C 協議的附錄構成英國附錄。

附件 I – SCC 處理程序概要

第一節：管控方之間 (由你傳輸至我方)

A. 訂約方名單

資料匯出方：

資料匯入方： 

B. 傳輸說明

C. 主管監管機關

根據 SCC 第 13 條確定主管監管機關

愛爾蘭資料保障機關

第一節：管控方之間 (由我方傳輸至你)

A. 訂約方名單

資料匯出方： 

上文第一 (1) 節 (由你傳輸至我方) 中確定為資料匯入方的訂約方，詳情請見上文。

資料匯入方：

上文第一 (1) 節 (由你傳輸至我方) 中確定為資料匯出方的訂約方，詳情請見上文。

B. 傳輸說明

C. 主管監管機關

如第一 (1) 節所訂

附件 II - 技術及組織措施 

適用於第一 (1) 節的技術及組織措施如下。

歐盟委員會標準合約條款的國際資料傳輸附錄 (附錄)

本附錄由進行限制傳輸之各方的資料委會員頒佈。資料委會員認為，簽訂具有法律約束力的合約後，即已為限制傳輸內容提供恰當保障。

第 1 部分 表格

第 3 部分： 強制性條款

核准附錄的強制性條款乃 ICO 頒佈的附錄 B.1.0 範本，其根據《2018 年資料保護法案》第 119A 條於 2022 年 2 月 2 日提交議會，並按此等強制性條款第 18 條進行修訂。

TAAP-onlineaftale – Aftale mellem dataansvarlige (herunder standardkontraktbestemmelserne)

Den originale engelske version af denne aftale mellem dataansvarlige er muligvis blevet oversat til andre sprog. I tilfælde af en uoverensstemmelse mellem den engelske version af denne aftale og enhver anden sprogversion af denne aftale, skal den engelsksprogede version have forrang.

OMFANG: Hvor Expedia og du behandler personoplysninger som en del af en aftale (som kan være i form af online "clickwrap"-vilkår eller "klik og accepter"-vilkår), der er indgået med den anden part (i henhold til hvilken du er blevet udpeget som marketingpartner under TAAP, og alle relevante aktiviteter, der er forbundet med en sådan aktivitet, som heri betegnes "relevante aktiviteter"), er denne globale aftale mellem dataansvarlige ("aftale mellem dataansvarlige") et supplement til og gælder for en sådan aftale indgået mellem parterne i forbindelse med de relevante aktiviteter ("aftalen") og beskriver yderligere vilkår, krav og betingelser, hvorunder Expedia og du hver især behandler personoplysninger i forbindelse med aftalen. I denne aftale mellem dataansvarlige henviser "Expedia", "vi" og "os" til Expedia, Inc. og/eller andre Expedia Group-virksomheder, der er en part i aftalen. "Du" henviser til den navngivne enhed, der er angivet på applikationen som beskrevet i aftalen (og alle referencer til enten Expedia eller dig vil blive fortolket som flertalsbegreber i det omfang, det kræves af aftalen).

1. DEFINITIONER OG FORTOLKNING

1.1 Denne aftale mellem dataansvarlige er underlagt vilkårene i aftalen og er inkorporeret i aftalen. Fortolkninger og definerede begreber angivet i aftalen gælder for fortolkningen af denne aftale mellem dataansvarlige, medmindre andet er defineret i denne aftale mellem dataansvarlige.

1. a. Begreberne passende tekniske og organisatoriske foranstaltninger, dataansvarlig, personoplysninger, persondatabrud, behandle/behandler og tilsynsmyndighed (eller rimeligt tilsvarende begreber) skal have den betydning, der tilskrives dem i den gældende databeskyttelseslovgivning.
2. b. Gældende databeskyttelseslovgivning betyder alle gældende love og regler i enhver relevant jurisdiktion, der vedrører brugen eller behandlingen af personoplysninger.
3. c. Tilladt formål omfatter følgende formål: (i) at gennemføre reservationer, (ii) at yde support i forbindelse med reservationer, (iii) TAAP-registrering og kontoregistrering, (iv) at betale provisionsbeløb og andre beløb i henhold til denne aftale, (v) at oprette rapporter til dig og enhver anden behandling, der er påkrævet i forbindelse med afstemning, klagehåndtering og lignende aktiviteter med henblik på at opfylde aftalen, (vi) TAAP-kontosupport, (vii) at kommunikere med TAAP-medlemmer og underbrugere, (viii) at forbedre vores tjenester, herunder at optimere reservationsoplevelsen, (ix) at oprette rapporter til analyser, rådgivning og forretningsrapporter, (x) at forebygge svindel, (xi) at forholde sig til henvendelser fra politiet og skattemyndighederne, (xii) at formidle transaktioner af forretningsaktiver (dette kan omfatte fusioner, opkøb eller salg af aktiver), (xiii) på anden måde at overholde vores forpligtelser i henhold til denne aftale, Expedias privatlivspolitik og gældende lovgivning og (xiv) med henblik på fastsættelse, beregning og indberetning af rejseskatter og andre gældende skatteformål, som kan være påkrævet fra tid til anden.
4. d. DPF (EU-USA-databeskyttelsesramme) står for EU-US Data Privacy Framework-certificeringen med det amerikanske handelsministerium (U.S. Department of Commerce) eller enhver tilsvarende eller supplerende certificeringsmekanisme, der godkendes af Europa-Kommissionen (eller en anden relevant national myndighed) fra tid til anden, og inkluderer eventuelle supplerende beslutninger om tilstrækkelighed, der er udstedt af andre lande, som tillader udvidelse af DPF mellem USA og det pågældende tredjeland (f.eks., men ikke begrænset til, Storbritannien og Schweiz).
5. e. Lande med begrænset overførsel betyder alle lande i Det Europæiske Økonomiske Samarbejdsområde, Schweiz, Storbritannien og Brasilien.
6. f. Data med begrænset overførsel betyder kundedata vedrørende en reservation foretaget via et salgssted, som er beregnet til brug af kunder i lande med begrænset overførsel.
7. g. Standardkontraktbestemmelser betyder Europa-Kommissions godkendte standardkontraktbestemmelser for overførsel af personoplysninger fra Den Europæiske Union til tredjelande, som blev udstedt den 4. juni 2021, og som ændres, erstattes, suppleres eller afløses fra tid til anden. Den fulde aktuelle version af bestemmelserne kan findes ved at følge dette link: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en.
8. h. TAAP-personoplysninger betyder personoplysninger, som gives til os af dig via TAAP-hjemmesiden eller på anden måde behandles i forbindelse med selve TAAP eller formidlingen af reservationer foretaget ved brug af TAAP-hjemmesiden.

Parternes forhold

1. 1.2 Du og vi skal hver især indsamle og behandle personoplysninger for at opfylde vores respektive rettigheder og forpligtelser i henhold til aftalen samt dit og vores respektive ansvar i henhold til gældende lovgivning. Som sådan skal hver af parterne: (i) behandle personoplysninger som selvstændige og autonome dataansvarlige, (ii) overholde gældende databeskyttelseslovgivning og (iii) være ansvarlige for alle egne handlinger eller undladelser i strid med gældende databeskyttelseslovgivning.

Dine forpligtelser

1.3 Du skal: 

1. a. opfylde et retsgrundlag for at stille TAAP-personoplysninger til rådighed for os til behandling med henblik på de tilladte formål.
2. b. sikre, at kunder gøres opmærksomme på, via din privatlivspolitik og på anden passende måde, at deres personoplysninger deles med os med henblik på de tilladte formål.
3. c. henvise kunder til vores privatlivspolitik for yderligere oplysninger om vores behandling af deres personoplysninger.
4. d. samarbejde med og yde rimelig assistance til os for at hjælpe os med at overholde gældende databeskyttelseslovgivning under vores behandling af TAAP-personoplysninger i forbindelse med aftalen.

Vores forpligtelser

1.4 Vi (og vores koncernmedlemmer, hvor det er relevant) skal: 

1. a. udelukkende behandle TAAP-personoplysninger med henblik på tilladte formål.
2. b. ikke videregive alle eller en del af TAAP-personoplysningerne til andre, undtagen med henblik på de tilladte formål.
3. c. samarbejde med og yde rimelig assistance til dig for at hjælpe dig med at overholde gældende databeskyttelseslovgivning under din behandling af TAAP-personoplysninger i forbindelse med aftalen.
4. d. vise og overholde vores lovlige og ajourførte cookiepolitik (hvis det er påkrævet) og vores privatlivspolitik på TAAP-hjemmesiden.

Kunder og tredjeparter

1.5 Du anerkender, at vi:

1. a. kan sende e-mails til kunder vedrørende reservationer.
2. b. kan overføre TAAP-personoplysninger (herunder bankoplysninger) til vores tredjepartstjenesteudbydere med det formål at:
   1. i. administrere og understøtte din TAAP-konto, dine repræsentanters TAAP-konto og dine underbrugeres TAAP-konto.
   2. ii. yde support til reservationer.
   3. iii. betale provision og andre beløb i henhold til denne aftale.

Datasikkerhed

1.6 Begge parter skal i kraft af deres rolle som dataansvarlige:

1. a. opretholde passende tekniske og organisatoriske foranstaltninger for at beskytte de personoplysninger, de hver især behandler, mod persondatabrud.
2. b. i tilfælde af et bekræftet persondatabrud inden for systemer, der er under den ene parts besiddelse eller kontrol, straks give den anden part besked, hvis persondatabruddet både (i) påvirker TAAP-personoplysninger, som også behandles af den anden part i henhold til aftalen, og (ii) skal indberettes til en tilsynsmyndighed, med komplette oplysninger herom. I dette tilfælde skal begge parter samarbejde med rimelighed og i god tro for at afhjælpe eller mindske konsekvenserne af persondatabruddet, og de rimelige omkostninger ved dette samarbejde skal påtages af den part, der blev udsat for persondatabruddet.

Overførsler på tværs af grænser 

1.7 Data Privacy Framework (DPF): Du og vi accepterer, at i forbindelse med overførsler af data med begrænset overførsel mellem dig og os til USA eller et land, der ikke anses for "tilstrækkeligt" i henhold til gældende databeskyttelseslovgivning i det oprindelige land med begrænset overførsel, (a) i det omfang og så længe, at DPF er en anerkendt overførselsmetode ifølge en relevant myndighed, vil DPF være den aftalte mekanisme for overførsler på tværs af landegrænser af data, der overføres fra et land med begrænset overførsel, til os i USA, og (b) i det omfang og så længe, at DPF ikke er en gyldig overførselsmetode (herunder for overførsler af data med begrænset overførsel til et land, der ikke anses for "tilstrækkeligt" i henhold til gældende databeskyttelseslovgivning i det oprindelige lande med begrænset overførsel), skal standardkontraktbestemmelserne gælde for sådanne overførsler, og vi vil indgå dem på det grundlag, der er angivet i afsnit 1.11 nedenfor. Når du samtidig har en opdateret DPF-certificering, kan overførsler af data med begrænset overførsel til dig ske på samme måde i henhold til DPF, mens standardkontraktbestemmelserne fungerer som en reservemekanisme som beskrevet ovenfor.

1.8 Nedstrømsforpligtelser i henhold til DPF: Du accepterer, at du som minimum vil give data med begrænset overførsel det samme beskyttelsesniveau, som er påkrævet i henhold til DPF, og at du straks vil underrette os, hvis du finder ud af, at du ikke længere kan yde dette beskyttelsesniveau. I sådanne tilfælde, eller hvis vi på anden måde med rimelighed mener, at du ikke beskytter data med begrænset overførsel til den standard, der er påkrævet i henhold til DPF, kan vi enten: (a) anmode dig om at træffe rimelige og passende foranstaltninger for at afslutte og udbedre enhver uautoriseret behandling, hvilket betyder, at du straks og i god tro vil samarbejde med os for at identificere, acceptere og implementere sådanne foranstaltninger, (b) aftale en alternativ sikkerhedsforanstaltning, der kan gælde for behandlingen i overensstemmelse med gældende databeskyttelseslovgivning, eller (c) opsige denne aftale mellem dataansvarlige og aftalen (eller berørte dele af aftalen efter vores skøn) uden straf ved at give dig besked herom. Hvis du også har en aktuel DPF-certificering, vil ovenstående bestemmelser og bestemmelserne i afsnit 1.9 nedenfor anses for at være gældende, som hvis forpligtelserne gælder begge veje.

1.9 Forpligtelser til at videregive oplysninger i henhold til DPF: Du anerkender, at vi kan videregive denne aftale mellem dataansvarlige og alle relevante fortrolighedsbestemmelser i aftalen til det amerikanske handelsministerium (U.S. Department of Commerce), Federal Trade Commission, enhver europæisk databeskyttelsesmyndighed eller ethvert andet retsligt eller regulerende organ i USA eller EU på deres anmodning, og at en sådan videregivelse ikke kan betragtes som et brud på fortroligheden.

1.10 Udvidelse af standardkontraktbestemmelserne til lande uden begrænset overførsel: I forbindelse med overførsler af TAAP-personoplysninger mellem dig og os fra et land uden begrænset overførsel, men som i øvrigt er underlagt sikkerhedsforanstaltninger, der i henhold til gældende databeskyttelseslovgivning skal være anvendt, inden TAAP-personoplysningerne kan overføres uden for oprindelseslandet (hver især et land uden begrænset overførsel), accepterer du og vi, at (a) standardkontaktbestemmelserne angivet i afsnit 1.11 nedenfor skal anses for at gælde for sådanne supplerende overførsler i det omfang, at den forventede udvidelse vil opfylde det specifikke lands krav til sikkerhedsforanstaltninger, og/eller (b) når foranstaltningerne angivet i afsnit 1.11 er utilstrækkelige eller kræver yderligere foranstaltninger, accepterer parterne at implementere sådanne yderligere foranstaltninger, herunder f.eks. ved at udfærdige relevante dokumenter, indhente samtykke og udføre obligatorisk arkivering, der kan være påkrævet fra tid til anden for at overholde gældende databeskyttelseslovgivning.

1.11 Med forbehold for afsnit 1.7 ovenfor accepterer du og vi hermed at indgå standardkontraktbestemmelserne på uændret grundlag, med undtagelse af følgende valg::

1. a. Hvor du befinder dig i et land med begrænset overførsel eller på anden måde i et land, der anses for "tilstrækkeligt" i overensstemmelse med artikel 45 i GDPR, vil kun Modul et (1) af standardkontraktbestemmelserne gælde den ene vej med hensyn til overførsler fra dig til Expedia. Ellers gælder Modul et (1) i standardkontraktbestemmelserne begge veje for både at dække overførsel fra os til dig samt fra dig til os.
2. b. For så vidt angår bestemmelse 11(a) i standardkontraktbestemmelserne, slettes det valgfrie sprog.
3. c. For så vidt angår bestemmelse 13 i standardkontraktbestemmelserne, er det relevante afsnit: "Tilsynsmyndigheden i den medlemsstat, hvor repræsentanten som omhandlet i artikel 27, stk. 1, i forordning (EU) 2016/679 er etableret, jf. bilag I.C, fungerer som kompetent tilsynsmyndighed."
4. d. For så vidt angår bestemmelse 17 i standardkontraktbestemmelserne, er værnetinget Irland.
5. e. For så vidt angår bestemmelse 18(b) i standardkontraktbestemmelserne, er valget Irland.
6. f. En ny bestemmelse 19 føjes til standardkontraktbestemmelserne for at dække overførsler af personoplysninger fra Storbritannien til lande uden for Storbritannien som følger:

"Bestemmelse 19

Storbritanniens persondataforordning (UK GDPR) og Data Protection Act 2018 (DPA 2018)

Parterne er enige om, at disse bestemmelser vil udvide og gælde i det omfang, det er relevant for den pågældende overførsel, for at dække overførsler på tværs af landegrænser, der falder ind under anvendelsesområdet for UK GDPR og DPA 2018 (en britisk overførsel). Med henblik på en sådan britisk overførsel skal bestemmelserne i tillægget til standardkontraktbestemmelserne for internationale dataoverførsler version B1.0 (som ændres, erstattes, suppleres eller erstattes fra tid til anden) gælde som beskrevet i formularen vedlagt som tillægget."

1. h. En ny bestemmelse 20 er føjet til standardkontraktbestemmelserne for at dække overførsel af personoplysninger fra Schweiz til lande uden for Schweiz, som følger:

"Bestemmelse 20

Schweiz – Bundesgesetz über den Datenschutz (DSG)

Parterne er enige om, at disse bestemmelser vil udvide og gælde i det omfang, det er relevant for den pågældende overførsel, for at dække overførsler på tværs af landegrænser, der falder ind under anvendelsesområdet for den schweiziske forbundslov om databeskyttelse (Bundesgesetz über den Datenschutz) (DSG) (betegnet i dette afsnit som en schweizisk overførsel). Med henblik på sådanne schweiziske overførsler skal værnetinget anses for at være den valgte medlemsstat, valget af forum skal være den valgte medlemsstat, og den føderale databeskyttelses- og informationskommissær, Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), skal være den kompetente tilsynsmyndighed. Parterne accepterer desuden, at sådanne supplerende ændringer skal fortolkes som værende foretaget i bestemmelserne i forbindelse med schweiziske overførsler, som EDÖB anser for nødvendige for at overholde UK GDPR og DSG, og bestemmelserne skal fortolkes i overensstemmelse med kravene til schweiziske overførsler, der opstår i henhold til disse love eller som på anden måde angivet i vejledning udstedt af EDÖB, uden at parterne behøver at indgå separate standardkontraktbestemmelser, der er udarbejdet specifikt for deres schweiziske overførsler. Parterne skal endvidere udføre alle sådanne handlinger og foranstaltninger, som måtte være nødvendige for at sikre overholdelse af DSG, når de deltager i schweiziske overførsler."

1. i. En ny bestemmelse 21 er føjet til standardkontraktbestemmelserne for at dække overførsel af personoplysninger fra Brasilien til lande uden for Brasilien, som følger:

"Bestemmelse 21

Brasilien – Lei Geral de Proteção de Dados (LGPD)

Parterne er enige om, at disse bestemmelser vil udvide og gælde i det omfang, det er relevant for den pågældende overførsel, for at dække overførsler på tværs af landegrænser, der falder ind under anvendelsesområdet for den brasilianske generelle databeskyttelseslov nr. 13.709/18 (Lei Geral de Proteção de Dados) (LGPD) (betegnet i dette afsnit som en brasiliansk overførsel). Med henblik på sådanne brasilianske overførsler skal værnetinget anses for at være den valgte medlemsstat, valget af forum skal være den valgte medlemsstat, og Brasiliens nationale databeskyttelsesmyndighed, Autoridade Nacional de Proteção de Dados (ANPD), skal være den kompetente tilsynsmyndighed. Parterne accepterer desuden, at sådanne supplerende ændringer skal fortolkes som værende foretaget i bestemmelserne forbindelse med brasilianske overførsler, som ANPD anser for nødvendige for at overholde LGPD, og bestemmelserne skal fortolkes i overensstemmelse med kravene til brasilianske overførsler, der opstår i henhold til disse love eller som på anden måde angivet i vejledning udstedt af ANPD eller en anden relevant brasiliansk myndighed, uden at parterne behøver at indgå separate standardkontraktbestemmelser, der er udarbejdet specifikt for deres brasilianske overførsler. Parterne skal endvidere udføre alle sådanne handlinger og foranstaltninger, som måtte være nødvendige for at sikre overholdelse af LGPD , når de deltager i brasilianske overførsler."

1. j. En ny bestemmelse 22 føjes til standardkontraktbestemmelserne for at dække overførsler af personoplysninger fra ethvert andet land, der ikke hidtil er specificeret, hvor standardkontraktbestemmelserne kan udvides for at sikre passende sikkerhedsforanstaltninger for overførsler af personoplysninger, der stammer fra det pågældende land til en part, der er beliggende uden for dette land, som følger:

"Bestemmelse 22

Andre overførsler mellem tredjelande

Parterne accepterer, at disse bestemmelser vil udvide og gælde i det omfang, det er relevant for den pågældende overførsel, til at dække overførsler på tværs af landegrænser, der falder ind under anvendelsesområdet for andre gældende love og regler i enhver relevant jurisdiktion, der vedrører brugen eller behandlingen af personoplysninger (gældende databeskyttelseslovgivning), som kræver vilkår og beskyttelse, der i store træk svarer til disse bestemmelser, med henblik på at overføre personoplysninger fra det pågældende land til et andet land (betegnet i dette afsnit som en tredjelandsoverførsel). Med henblik på sådanne tredjelandsoverførsler skal værnetinget anses for at være den valgte medlemsstat, valget af forum skal være den valgte medlemsstat, og landets databeskyttelsesmyndighed eller regulerende myndighed skal være den kompetente tilsynsmyndighed. Parterne accepterer desuden, at sådanne supplerende ændringer skal fortolkes som værende foretaget i bestemmelserne forbindelse med tredjelandsoverførsler, som tilsynsmyndigheden anser for nødvendige for at overholde den gældende databeskyttelseslov i landet, og bestemmelserne skal fortolkes i overensstemmelse med kravene til tredjelandsoverførsler, der opstår i henhold til disse love eller som på anden måde angivet i vejledning udstedt af den relevante tilsynsmyndighed, uden at parterne behøver at indgå separate standardkontraktbestemmelser, der er udarbejdet specifikt for deres tredjelandsoverførsler. Parterne skal endvidere udføre alle sådanne handlinger og foranstaltninger, som måtte være nødvendige for at sikre overholdelse af gældende databeskyttelseslovgivning, når de deltager i tredjelandsoverførsler.

1.12 Bilag I (Behandlingsoversigt for standardkontraktbestemmelserne) til denne aftale mellem dataansvarlige udgør Bilag I til standardkontraktbestemmelserne. Bilag II (Tekniske og organisatoriske foranstaltninger) til denne aftale mellem dataansvarlige udgør Bilag II til standardkontraktbestemmelserne og gælder kun for Expedia, hvor du har tilvejebragt, og vi har accepteret, tilstrækkelige tekniske og organisatoriske foranstaltninger til at opfylde dine forpligtelser i henhold til Bilag 2 i standardkontraktbestemmelserne eller, hvor dette er ikke tilfældet, vil Bilag II blive fortolket til at gælde for begge parter, og alle henvisninger til Expedia og Expedia Group vil blive fortolket til at henvise til begge parter i overensstemmelse hermed. Tillægget til denne aftale mellem dataansvarlige udgør Storbritanniens tillæg, for så vidt angår standardkontraktbestemmelserne.

BILAG I – BEHANDLINGSOVERSIGT FOR STANDARDKONTRAKTBESTEMMELSERNE

MODUL ET: Overførsel fra dataansvarlig til dataansvarlig (dig til os)

A. LISTE OVER PARTER

Dataeksportør(er):

Dataimportør(er): 

B. BESKRIVELSE AF OVERFØRSLEN

C. KOMPETENT TILSYNSMYNDIGHED

Identificer den eller de kompetente tilsynsmyndigheder i overensstemmelse med bestemmelse 13 i standardkontraktbestemmelserne

Den irske databeskyttelsesmyndighed

MODUL ET: Overførsel fra dataansvarlig til dataansvarlig (os til dig)

A. LISTE OVER PARTER

Dataeksportør(er): 

Den eller de parter, der er identificeret som dataimportører i Modul et (1) (dig til os) ovenfor. Se flere oplysninger ovenfor.

Dataimportør(er):

Den eller de parter, der er identificeret som dataeksportører i Modul et (1) (dig til os) ovenfor. Se flere oplysninger ovenfor.

B. BESKRIVELSE AF OVERFØRSLEN

C. KOMPETENT TILSYNSMYNDIGHED

I henhold til Modul et (1).

BILAG II – TEKNISKE OG ORGANISATORISKE FORANSTALTNINGER 

De tekniske og organisatoriske foranstaltninger, der gælder i forbindelse med Modul et (1), er beskrevet nedenfor.

Tillæg til Europa-Kommissionens standardkontraktbestemmelser for internationale dataoverførsler (tillæg)

Dette tillæg er udstedt af informationskommissæren for parter, der foretager overførsler med begrænsninger. Informationskommissæren mener, at tillægget medfører passende sikkerhedsforanstaltninger for overførsler med begrænsninger, når det indgås som en juridisk bindende kontrakt.

Del 1: Tabeller

Del 2: Obligatoriske bestemmelser

Obligatoriske bestemmelser i det godkendte tillæg, som er skabelontillæg B.1.0 udstedt af ICO og forelagt parlamentet i overensstemmelse med afsnit 119A i Data Protection Act 2018 den 2. februar 2022, som revideret i henhold til afsnit 18 i disse obligatoriske bestemmelser.

Acuerdo online del TAAP - Acuerdo de responsable del tratamiento a responsable del tratamiento (incluidas las CCT)

Es posible que la versión original redactada en inglés del presente Acuerdo de responsable del tratamiento a responsable del tratamiento se haya traducido a otros idiomas. En caso de incoherencia o discrepancia entre la versión en inglés de este Acuerdo y la redactada en cualquier otro idioma, prevalecerá la versión en inglés.

ALCANCE: Si Expedia o tú procesáis datos personales como parte de un acuerdo (el cual podría presentarse a modo de condiciones de aceptación online) celebrado entre Expedia y tú (de conformidad con lo cual se te considera un colaborador de marketing en el TAAP, y todas las actividades relevantes relacionadas con el procesamiento de datos referido se denominarán en lo sucesivo las "Actividades relevantes"), este acuerdo global de responsable del tratamiento a responsable del tratamiento (en lo sucesivo, el "Acuerdo de responsable del tratamiento a responsable del tratamiento") se vuelve complementario y se aplica a dicho acuerdo celebrado entre las partes en lo que respecta a las Actividades relevantes (en lo sucesivo, el "Acuerdo"). Asimismo, el Acuerdo de responsable del tratamiento a responsable del tratamiento estipula condiciones y requisitos adicionales de conformidad con los cuales Expedia y tú procesaréis datos personales en relación con el Acuerdo. En el presente Acuerdo de responsable del tratamiento a responsable del tratamiento, "Expedia", "nosotros" y cualquier mención en primera persona del plural se referirá a Expedia, Inc. o a toda sociedad de Expedia Group que sea partes del Acuerdo. En cambio, "tú" y toda mención en segunda persona del singular se refiere a la entidad nombrada que se indica en la solicitud según se describe en el Acuerdo. Finalmente, toda referencia a Expedia o a ti se interpretará en sentido plural en la medida en la que lo requiera el Acuerdo.

1. DEFINICIONES E INTERPRETACIÓN

1.1 El presente Acuerdo de responsable del tratamiento a responsable del tratamiento está sujeto a las condiciones estipuladas en el Acuerdo y se incorpora a este. Las interpretaciones y los términos definidos en el Acuerdo se aplican a la interpretación del presente Acuerdo de responsable del tratamiento a responsable del tratamiento, a menos que se definan de otra forma en este Acuerdo, y:

1. a. Los términos "medidas técnicas y organizativas adecuadas", "responsable del tratamiento", "datos personales", "vulneración de la seguridad de los datos personales", " proceso" o "procesamiento" y "autoridad de supervisión" (o términos equivalentes en la medida de lo razonable) tendrán los mismos significados que se les atribuyen en las Leyes aplicables en materia de protección de datos;
2. b. Las Leyes aplicables en materia de protección de datos se refieren a toda ley y normativa en relación con el uso o el procesamiento de datos personales aplicable en toda jurisdicción pertinente;
3. c. Objetivo permitido se refiere a los objetivos siguientes: (i) hacer reservas; (ii) prestar asistencia para reservas; (iii) registrarse en el TAAP y gestionar la cuenta; (iv) pagar comisiones y otros importes relacionados con el Acuerdo; (v) generar informes para ti, así como hacer todo el procesamiento adicional requerido para fines de conciliación, tratamiento de quejas y actividades parecidas en relación con el cumplimiento del Acuerdo; (vi) prestar asistencia para la cuenta del TAAP; (vii) comunicarse con los miembros del TAAP y los usuarios secundarios; (viii) mejorar nuestros servicios, como la optimización del proceso de reserva; (ix) crear informes para análisis, inteligencia comercial y generación de informes comerciales; (x) prevenir fraudes; (xi) responder a solicitudes de cumplimiento de la ley y auditorías de la autoridad fiscal; (xii) facilitar transacciones de activos comerciales (que pueden incluir fusiones, adquisiciones o ventas de activos); (xiii) cumplir de cualquier otra forma con nuestras obligaciones en virtud del Acuerdo, la política de privacidad de Expedia y las leyes aplicables; y (xiv) determinar, calcular y notificar los impuestos de viaje y demás fines fiscales según se requiera eventualmente;
4. d. DPF es una sigla en inglés que se refiere a una certificación del Marco de Privacidad de Datos UE-EE. UU. con el Departamento de Comercio de Estados Unidos o cualquier mecanismo de certificación complementario o de reemplazo aprobado por la Comisión Europea (u otra autoridad nacional pertinente) cuando proceda, e incluye toda decisión complementaria de adecuación emitida por cualquier otro país que permita la extensión del DPF entre Estados Unidos y ese tercer país (por ejemplo, el Reino Unido y Suiza, entre otros);
5. e. País de transferencia restringida significa cualquier país del Espacio Económico Europeo, Suiza, el Reino Unido y Brasil;
6. f. Datos de transferencia restringida son los datos de clientes relacionados con una reserva hecha a través de un punto de venta destinado por nosotros para que los clientes accedan a él desde un País de transferencia restringida;
7. g. Cláusulas contractuales tipo o CCT son las Cláusulas contractuales tipo aprobadas por la Comisión Europea para la transferencia de datos personales de la Unión Europea a terceros países, en su versión vigente según se emitieron el 4 de junio de 2021, con las respectivas modificaciones, sustituciones, complementos e invalidaciones que hayan tenido; la versión vigente completa se puede consultar (en inglés) en este enlace: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en; y
8. h. Datos personales del TAAP son los datos personales que nos facilitas a través del sitio web del TAAP, o bien los datos procesados de alguna otra forma en relación directa con el TAAP o que faciliten las reservas hechas a través del sitio web del TAAP.

Relación entre las partes

1. 1.2 Tanto tú como nosotros recopilaremos y procesaremos datos personales para cumplir con los respectivos derechos y obligaciones de cada parte en virtud del Acuerdo, así como con las respectivas responsabilidades de conformidad con las leyes aplicables. Por lo tanto, cada una de las partes (i) procesará datos personales como responsable del tratamiento independiente y autónomo; (ii) cumplirá con las Leyes aplicables en materia de protección de datos; y (iii) será responsable de todos sus actos u omisiones que infrinjan las Leyes aplicables en materia de protección de datos.

Tus responsabilidades

1.3 Debes:

1. a. cumplir con unos fundamentos jurídicos para facilitarnos Datos personales del TAAP con el propósito de tratarlos para los Objetivos permitidos;
2. b. asegurarte de que los clientes tengan conocimiento, a través de tu política de privacidad y cualquier otro medio apropiado, de que sus datos personales se compartirán con nosotros para los Objetivos permitidos;
3. c. dirigir a los clientes a nuestra política de privacidad para que puedan informarse sobre cómo gestionamos sus datos personales; y
4. d. colaborar con nosotros y prestarnos una asistencia razonable a fin de ayudarnos a cumplir con las Leyes aplicables en materia de protección de datos en el transcurso de nuestro procesamiento de los datos personales del TAAP en relación con el Acuerdo.

Nuestras responsabilidades

1.4 Nosotros (y nuestros Miembros del Grupo, según corresponda): 

1. a. únicamente procesaremos los Datos personales del TAAP que tengan relación con un Fin permitido;
2. b. no divulgaremos a nadie, ni en su totalidad ni en parte, los Datos personales del TAAP, salvo en relación con un Objetivo permitido;
3. c. colaboraremos contigo y te prestaremos una asistencia razonable a fin de ayudarte a cumplir con las Leyes aplicables en materia de protección de datos en el transcurso de tu procesamiento de los Datos personales del TAAP en relación con el Acuerdo; y
4. d. mostraremos nuestro aviso lícito y actualizado sobre el uso de cookies (si fuese necesario) y nuestra política de privacidad en el sitio web del TAAP, y cumpliremos con ellos.

Clientes y terceros

1.5 Reconoces que es posible que nosotros:

1. a. Enviemos correos electrónicos a los clientes en relación con las reservas;
2. b. Transfiramos Datos personales del TAAP (incluidos datos bancarios) a nuestros proveedores externos de servicios con el propósito de:
   1. i. administrar, gestionar y respaldar su Cuenta del TAAP y las de sus Representantes y Usuarios secundarios;
   2. ii. prestar asistencia para las reservas; y
   3. iii. pagar comisiones y otros importes relacionados con el Acuerdo.

Seguridad de los datos

1.6 Ambas partes, en calidad de responsables del tratamiento, deberán:

1. a. Implementar medidas técnicas y organizativas adecuadas para proteger los datos personales que procesen contra vulneraciones de la seguridad de tales datos; y
2. b. En el caso de una vulneración de la seguridad de los datos personales confirmada en los sistemas de la parte en cuestión o controlados por esta, notificar de inmediato a la otra parte si esta vulneración de la seguridad (i) afecta a los Datos personales del TAAP que también procesa la otra parte en virtud del Acuerdo y (ii) debe notificarse a una autoridad de supervisión, facilitando todos los detalles de esta vulneración. En tal caso, ambas partes cooperarán de forma razonable y de buena fe con el fin de solucionar o mitigar los efectos de la vulneración de los datos personales. Asimismo, los costes razonables de dicha cooperación correrán a cargo de la parte que haya sufrido dicha vulneración de los datos personales.

Transferencias transfronterizas 

1.7 Marco de Privacidad de Datos (DPF): tú y nosotros estamos de acuerdo en que, con respecto a las transferencias de Datos de transferencia restringida entre tú y nosotros a Estados Unidos o a un país que no se haya considerado "adecuado" según las Leyes aplicables en materia de protección de datos del País de transferencia restringida de origen (a) mientras y en la medida en la que el DPF sea un método de transferencia reconocido por una autoridad pertinente, el DPF será el mecanismo acordado para las transferencias transfronterizas de datos que se originen en un País de transferencia restringida hacia nosotros en Estados Unidos, y (b) mientras y en la medida en la que el DPF no sea un método válido de transferencia (como las transferencias de Datos de transferencia restringida a un país que no se haya considerado "adecuado" según las Leyes aplicables en materia de protección de datos del País de transferencia restringida de origen), las CCT se aplicarán a dichas transferencias y tú y nosotros las celebraremos sobre la base establecida en la cláusula 1.11 más adelante. Si también tienes una certificación vigente del DPF, las transferencias de Datos de transferencia restringida a ti se pueden hacer de forma parecida en virtud del DPF con CCT como un mecanismo alternativo según lo estipulado anteriormente.

1.8 Obligaciones derivativas del DPF: estás de acuerdo en ofrecer al menos el mismo nivel de protección que se requiere en el DPF a los Datos de transferencia restringida, así como en notificarnos de inmediato si determinas que ya no puedes ofrecer este nivel de protección. En tal caso, o si tenemos razones para creer que no estás protegiendo los Datos de transferencia restringida en la medida que exige el DPF, podemos (a) indicarte que tomes medidas razonables y apropiadas para detener y subsanar todo procesamiento no autorizado, en cuyo caso colaborarás con nosotros de buena fe para identificar, establecer e implementar tales pasos; (b) acordar una salvaguardia alternativa que se pueda aplicar al procesamiento en virtud de las Leyes aplicables en materia de protección de datos; o (c) rescindir sin penalización el presente Acuerdo de responsable del tratamiento a responsable del tratamiento y el Acuerdo (o, a nuestra elección, cualquier sección afectada de este) cuando te lo notifiquemos. Si también tienes una certificación vigente del DPF, se considerará que las disposiciones antedichas y las de la cláusula 1.9 más adelante se aplicarán como si las obligaciones fueran en ambos sentidos.

1.9 Obligaciones de divulgación en virtud del DPF: reconoces que podemos divulgar el presente Acuerdo de responsable del tratamiento a responsable del tratamiento y toda disposición de privacidad pertinente en el Acuerdo al Departamento de Comercio de Estados Unidos, la Comisión Federal de Comercio, cualquier autoridad europea de protección de datos o cualquier otro organismo judicial o normativo estadounidense o europeo cuando estos lo soliciten, y convienes en que dicha divulgación no se considerará una vulneración de la confidencialidad.

1.10 Extensión de las CCT a países de transferencia sin restricciones: en relación con las transferencias de Datos personales del TAAP entre tú y nosotros que se originen en un país distinto a los Países de transferencia restringida, pero que esté sujeto a salvaguardias que, de acuerdo con las Leyes aplicables en materia de protección de datos, deban aplicarse antes de que se puedan transferir tales Datos personales del TAAP fuera del país de origen (cada uno de ellos un "País de transferencia sin restricciones"), tú y nosotros estamos de acuerdo en que (a) las CCT establecidas en la cláusula 1.11 más adelante se considerarán ampliadas a dichas transferencias adicionales en la medida en la que dicha ampliación satisfaga las salvaguardias de ese país en particular, o (b) cuando las medidas establecidas en la cláusula 1.11 sean insuficientes o requieran medidas complementarias, las partes convienen en tomar tales medidas adicionales, que incluyen, por ejemplo, la suscripción de los documentos pertinentes, la obtención del consentimiento y la presentación de documentos requeridos, según se solicite en su momento para cumplir con las Leyes aplicables en materia de protección de datos.

1.11 De conformidad con la anterior cláusula 1.7, tú y nosotros estamos de acuerdo en celebrar las CCT sin cambios, excepto por las selecciones siguientes::

1. a. Si te encuentras en un País de transferencia restringida o en un país que se considere "adecuado" de conformidad con el artículo 45 del RGPD, solo el Módulo uno (1) de las CCT se aplicará en un solo sentido con respecto a las transferencias que hagas a Expedia. De lo contrario, las CCT del Módulo uno se aplicarán en ambos sentidos para cubrir las transferencias tanto de nosotros a ti como de ti a nosotros.
2. b. A efectos de la cláusula 11(a) de las CCT, se elimina el idioma opcional.
3. c. A efectos de la cláusula 13 de las CCT, el párrafo pertinente es, traducido al español, "la autoridad de supervisión del Estado miembro en el que esté establecido el representante en el sentido del artículo 27(1) del Reglamento (UE) 2016/679, tal como se indica en el Anexo I.C, actuará como autoridad de supervisión competente".
4. d. A efectos de la cláusula 17 de las CCT, la legislación aplicable es la de Irlanda.
5. e. A efectos de la cláusula 18(b) de las CCT, la selección es Irlanda.
6. f. Se añade una nueva cláusula 19 a las CCT para cubrir las transferencias de datos personales del Reino Unido hacia fuera de este país de la forma siguiente:

"Cláusula 19

RGPD y DPA (2018) del Reino Unido

Las Partes están de acuerdo en que estas cláusulas se ampliarán y aplicarán, en la medida en la que sea pertinente para la transferencia en cuestión, para cubrir las transferencias transfronterizas que se encuentren dentro del alcance del RGPD y la Ley de Protección de Datos (DPA, por sus siglas en inglés) de 2018 del Reino Unido (en lo sucesivo, "Transferencias británicas"). A efectos de dichas Transferencias británicas, se aplicarán las disposiciones de la versión B1.0 del Apéndice de transferencia internacional de datos para las Cláusulas contractuales tipo (según se hayan modificado, sustituido, complementado o invalidado en su momento) tal como se establece en el formulario adjunto como apéndice".

1. g. Se añade una nueva cláusula 20 a las CCT para cubrir las transferencias de datos personales de Suiza hacia fuera de este país de la forma siguiente:

"Cláusula 20

Suiza - FADP

Las partes están de acuerdo en que estas cláusulas se ampliarán y aplicarán, en la medida en la que sea pertinente para la transferencia en cuestión, para cubrir las transferencias transfronterizas que se encuentren dentro del alcance de la Ley Federal de Protección de Datos (FADP, por sus siglas en inglés) de Suiza (en lo sucesivo, "Transferencias suizas"). A efectos de dichas Transferencias suizas, se considerará que la legislación aplicable y la elección del foro son aquellas del Estado miembro seleccionado, y el Comisionado Federal de Información y Protección de Datos (FDPIC, por sus siglas en inglés) será la autoridad de supervisión competente. Las partes también están de acuerdo en que tales cambios adicionales se interpretarán como realizados en las cláusulas con respecto a las Transferencias suizas según lo considere necesario el FCPIC para cumplir con el RGPD del Reino Unido y la FADP; las cláusulas se interpretarán de acuerdo con los requisitos para las Transferencias suizas que surjan en virtud de esas leyes o según lo establecido en las pautas emitidas por el FDPIC, sin que las partes tengan que celebrar cláusulas contractuales tipo separadas que se hayan preparado específicamente para sus Transferencias suizas. Las partes se encargarán también de todos los actos y cuestiones que sean necesarios para garantizar el cumplimiento de la FADP cuando realicen Transferencias suizas".

1. h. Se añade una nueva cláusula 21 a las CCT para cubrir las transferencias de datos personales de Brasil hacia fuera de este país de la forma siguiente:

"Cláusula 21

Brasil - LGPD

Las partes están de acuerdo en que estas cláusulas se ampliarán y aplicarán, en la medida en la que sea pertinente para la transferencia en cuestión, para cubrir las transferencias transfronterizas que se encuentren dentro del alcance de la Ley General de Protección de Datos n.º 13 709/18 (Lei Geral de Proteção de Dados, LGPD) de Brasil (en lo sucesivo, "Transferencias brasileñas"). A efectos de dichas Transferencias brasileñas, se considerará que la legislación aplicable y la elección del foro son aquellas del Estado miembro seleccionado, y la Autoridad Nacional de Protección de Datos (ANPD) de Brasil será la autoridad de supervisión competente. Las partes también están de acuerdo en que tales cambios adicionales se interpretarán como realizados en las cláusulas con respecto a las Transferencias brasileñas según lo considere necesario la ANPD para cumplir con la LGPD; las cláusulas se interpretarán de acuerdo con los requisitos para las Transferencias brasileñas que surjan en virtud de esas leyes o según lo establecido en las pautas emitidas por la ANPD u otra autoridad brasileña pertinente, sin que las partes tengan que celebrar cláusulas contractuales tipo separadas que se hayan preparado específicamente para sus Transferencias brasileñas. Las partes se encargarán también de todos los actos y cuestiones que sean necesarios para garantizar el cumplimiento de la LGPD cuando realicen Transferencias brasileñas".

1. i. Se añade una nueva cláusula 22 a las CCT para cubrir las transferencias de datos personales desde cualquier otro país no especificado hasta ahora al que puedan ampliarse las CCT a fin de garantizar las salvaguardias adecuadas para tales transferencias originadas en ese país a una parte ubicada fuera de dicho país como se indica a continuación:

"Cláusula 22

Otras transferencias a terceros países

Las partes están de acuerdo en que estas cláusulas se ampliarán y aplicarán, en la medida en que sea pertinente a la transferencia en cuestión, para cubrir las transferencias transfronterizas que se incluyan en el alcance de cualquier otra ley o normativa aplicables en toda jurisdicción pertinente en relación con el uso o el procesamiento de datos personales (Leyes aplicables en materia de protección de datos) que requieran condiciones y protecciones ampliamente equivalentes a estas cláusulas a fin de transferir datos personales del país en cuestión a otro (lo que se denomina en esta cláusula una "Transferencia de terceros países"). A efectos de dichas Transferencias de terceros países, se considerará que la legislación aplicable y la elección del foro son aquellas del Estado miembro seleccionado, y la autoridad o el organismo normativo de protección de datos de tal país será la autoridad de supervisión competente. Las partes también están de acuerdo en que tales cambios adicionales se interpretarán como realizados en las cláusulas con respecto a las Transferencias de terceros países según lo considere necesario la autoridad de supervisión correspondiente para cumplir con las Leyes aplicables en materia de protección de datos de dicho país; las cláusulas se interpretarán de acuerdo con los requisitos para las Transferencias de terceros países que surjan en virtud de esas leyes o según lo establecido en las pautas emitidas por la autoridad de supervisión pertinente, sin que las partes tengan que celebrar cláusulas contractuales tipo separadas que se hayan preparado específicamente para sus Transferencias de terceros países. Las partes se encargarán también de todos los actos y cuestiones que sean necesarios para garantizar el cumplimiento de las Leyes aplicables en materia de protección de datos cuando realicen Transferencias de terceros países".

1.12 El Anexo 1 (Aspectos generales del procesamiento de las CCT) de este Acuerdo de responsable del tratamiento a responsable del tratamiento constituye el Anexo 1 de las CCT. El Anexo 2 (Medidas técnicas y organizativas) del presente Acuerdo de responsable del tratamiento a responsable del tratamiento constituye el Anexo 2 de las CCT y se aplica solo a Expedia cuando tú hayas proporcionado, y nosotros hayamos aceptado, medidas técnicas y organizativas adecuadas para satisfacer tus requisitos del Anexo 2 de las CCT. Si este no fuera el caso, se interpretará que el Anexo 2 se aplica a ambas partes, y todas las referencias a Expedia y Expedia Group se interpretarán como referencias a cualquiera de las partes en consecuencia. El Apéndice de este Acuerdo de responsable del tratamiento a responsable del tratamiento constituye el Apéndice del Reino Unido a efectos de las CCT.

ANEXO I: ASPECTOS GENERALES DEL PROCESAMIENTO DE LAS CCT

MÓDULO UNO: de responsable del tratamiento a responsable del tratamiento (de ti a nosotros)

A. LISTA DE PARTES

Exportadores de datos:

Importadores de datos: 

B. DESCRIPCIÓN DE LA TRANSFERENCIA

C. AUTORIDAD DE SUPERVISIÓN COMPETENTE

Identifica a las autoridades de supervisión competentes de conformidad con la cláusula 13 de las CCT.

Autoridad irlandesa de protección de datos

MÓDULO UNO: de responsable del tratamiento a responsable del tratamiento (de nosotros a ti)

A. LISTA DE PARTES

Exportadores de datos: 

Partes identificadas como importadores de datos en el anterior Módulo uno (1) (de ti a nosotros). Consulta más arriba para obtener más información.

Importadores de datos:

Partes identificadas como exportadores de datos en el anterior Módulo uno (1) (de ti a nosotros). Consulta más arriba para obtener más información.

B. DESCRIPCIÓN DE LA TRANSFERENCIA

C. AUTORIDAD DE SUPERVISIÓN COMPETENTE

De conformidad con el Módulo uno (1)

ANEXO II: MEDIDAS TÉCNICAS Y ORGANIZATIVAS 

A continuación se detallan las medidas técnicas y organizativas aplicables para los objetivos del Módulo uno (1).

Apéndice de transferencia internacional de datos para las cláusulas contractuales tipo de la Comisión Europea (Apéndice)

El Comisionado de Información ha emitido este Apéndice para las partes que realizan transferencias restringidas. Según el Comisionado, el Apéndice ofrece garantías adecuadas para las transferencias restringidas cuando se suscribe como un contrato legalmente vinculante.

Parte 1 Tablas

Part 3: Cláusulas obligatorias

Cláusulas obligatorias del Apéndice aprobado, es decir, el modelo de Apéndice B.1.0 emitido por la ICO y presentado ante el Parlamento de conformidad con la sección 119A de la Ley de protección de datos de 2018 el 2 de febrero de 2022, según la revisión del Apartado 18 de dichas cláusulas obligatorias.

TAAP 온라인 계약 - 컨트롤러 간 계약(SCC 포함)

본 C2C 계약의 영어 원본이 다른 언어로 번역되었을 수 있습니다. 본 계약의 영어 버전과 다른 언어 버전 간에 불일치나 차이가 발생할 경우 영어 버전이 우선 적용됩니다.

범위: 각 Expedia와 귀사가 상대방과 체결한 계약(TAAP에 따라 귀사가 마케팅 파트너로 지정된 계약에 따라 온라인 클릭랩 약관의 형식일 수 있음)의 일부로 개인정보를 처리하는 경우(이에 따라 귀사는 TAAP에 따라 마케팅 파트너로 지정되었으며 이러한 활동과 관련된 모든관련 활동을 "관련 활동"이라고 함), 이 글로벌 컨트롤러 간 계약("C2C 계약")은 관련 활동과 관련하여 당사자 간에 체결된 계약("계약")을 보완하고 이에 적용되며, Expedia와 귀사가 계약과 관련하여 개인 데이터를 처리하는 추가 조건, 요구 사항 및 조건을 명시합니다. 이 C2C 계약에서 "Expedia", "우리" 및 "당사"는 계약 당사자인 Expedia, Inc. 및/또는 기타 Expedia Group 회사를 의미합니다. "귀사"는 계약에 설명된 대로 앱에 명시된 명명된 법인을 의미합니다(또한 Expedia 또는 귀사에 대한 모든 참조는 계약에서 요구하는 범위 내에서 복수 용어로 해석됩니다).

1. 정의 및 해석

1.1 본 C2C 계약은 계약 조건의 적용을 받으며 계약에 통합됩니다. 본 C2C 계약에서 달리 정의하지 않는 한 본 계약에 명시된 해석 및 정의된 용어가 본 C2C 계약의 해석에 적용됩니다. 또한 다음과 같습니다.

1. a. 각각의 적절한 기술적 및 조직적 조치, 컨트롤러, 개인정보, 개인정보 침해, 프로세스/처리 및 감독 기관(또는 합리적으로 동등한 용어)은 관련 데이터 보호법에서 부여된 의미를 갖습니다.
2. b. 관련 데이터 보호법은 개인정보의 사용 또는 처리와 관련하여 관련 관할권의 적용 가능한 법률 및 규정을 의미합니다.
3. c. 허용된 목적이란 (i) 예약 이행, (ii) 예약 지원 제공, (iii) TAAP 등록 및 계정 관리, (iv) 본 계약에 따른 커미션 및 기타 금액 지불, (v) 귀사를 위한 보고서 생성 및 조정, 불만 사항 처리 및 계약 서비스와 관련된 유사한 활동에 필요한 추가 처리, (vi) TAAP 계정 지원, (vii) TAAP 회원 및 하위 사용자에 대한 커뮤니케이션, (viii) 당사 서비스 개선(고객의 예약 경험 최적화 포함), (ix) 분석, 비즈니스 인텔리전스 및 비즈니스 보고를 위한 보고서 작성, (x) 사기 방지, (xi) 법 집행 요청 및 세무 당국 감사 요청에 대한 응대, (xii) 사업 자산 거래 촉진(합병, 인수 또는 자산 매각으로 확대될 수 있음), (xiii) (xiv) 본 계약, Expedia의 개인정보 처리방침 및 관련 법률에 따른 의무 준수 및 (xiv) 때때로 필요할 수 있는 여행세 및 기타 적용 가능한 과세 목적의 결정, 계산, 보고 목적을 말합니다.
4. d. DPF는 미국 상무부의 EU-미국 데이터 보호 프레임워크 인증 또는 때때로 유럽 위원회(또는 기타 관련 국가 기관)에서 승인하는 대체 또는 보완 인증 메커니즘을 의미하며, 여기에는 미국과 해당 제3국(예: 영국과 스위스) 간의 DPF 연장을 허용하는 다른 국가에서 발행한 보충적 적절성 결정이 포함됩니다.
5. e. 전송 제한 국가는 유럽 경제 지역, 스위스, 영국 및 브라질의모든 국가를 의미합니다.
6. f. 전송 제한 데이터는 전송 제한 국가의 고객이 액세스할 수 있도록 당사가 의도한 POS를 통해 이루어진 예약과 관련된 고객 데이터를 의미합니다.
7. g. 표준 계약 조항/ SCC는 유럽 연합에서 제3국으로의 개인정보 전송에 대한 승인된 유럽 위원회의 표준 계약 조항을 의미하며, 2021년 6월 4일에 발표되었고 수시로 수정, 교체, 보완 또는 대체됩니다. 전체 최신 버전은 https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en에서 확인할 수 있습니다.
8. h. TAAP 개인정보는 TAAP 웹사이트를 통해 또는 TAAP 자체 또는 TAAP 웹사이트를 사용한 예약 촉진과 관련하여 귀사가 당사에 제공한 개인정보를 의미합니다.

당사자 간의 관계

1. 1.2 귀사와 당사는 본 계약에 따른 각자의 권리·의무 및 관련 법률에 따른 책임의 이행을 위해 개인정보를 각각 수집 및 처리합니다. 따라서 각 당사자는 (i) 독립적이고 자율적인 컨트롤러로서 개인정보를 처리하고 (ii) 관련 데이터 보호법을 준수하며 (iii) 관련 데이터 보호법을 위반하는 모든 행동 또는 부작위에 대한 책임을 져야 합니다.

귀사의 책임

1.3 귀사의 책임은 다음과 같습니다. 

1. a. 당사가 모든 TAAP 개인정보를 허용된 목적에 맞게 처리할 수 있도록 법적 근거를 충족합니다.
2. b. 귀사의 개인정보 보호정책 및 기타 적절한 수단을 통해 고객의 개인정보가 허용된 목적을 위해 당사와 공유된다는 사실을 고객에게 알립니다.
3. c. 당사의 개인정보 취급에 대한 자세한 정보를 위해 고객에게 당사의 개인정보 보호정책을 알려줍니다.
4. d. 본 계약과 관련하여 당사의 TAAP 개인정보 처리 과정에서 당사가 관련 데이터 보호법을 준수할 수 있도록 협조하고 합리적인 지원을 제공합니다.

당사의 책임

1.4 당사(및 해당되는 경우 당사의 그룹사)는 다음을 수행합니다. 

1. a. 허용된 목적과 관련해서만 TAAP 개인정보를 처리합니다.
2. b. 허용된 목적과 관련된 경우를 제외하고 TAAP 개인정보의 전체 또는 일부를 누구에게도 누설하지 않습니다.
3. c. 본 계약과 관련하여 귀사의 TAAP 개인정보 처리 과정에서 귀사가 관련 데이터 보호법을 준수할 수 있도록 협조하고 합리적인 지원을 제공합니다.
4. d. TAAP 웹사이트에 적법한 최신의 쿠키 고지(필요한 경우)와 당사의 개인정보 보호정책을 표시하고 이를 준수합니다.

고객 및 제3자

1.5 귀사는 다음을 인정합니다.

1. a. 당사는 예약과 관련하여 고객에게 이메일을 전송할 수 있습니다.
2. b. 당사는 다음 목적을 위해 제3자 서비스 공급업체에 TAAP 개인정보(은행 데이터 포함)를 전달할 수 있습니다.
   1. i. 귀사 및 귀사의 담당자와 하위 사용자의 TAAP 계정 관리 및 지원
   2. ii. 예약 지원 제공
   3. iii. 본 계약에 따른 커미션 및 기타 금액 지불

데이터 보안

1.6 양 당사자는 컨트롤러 자격으로 다음을 수행합니다.

1. a. 개인정보 침해로부터 각자 처리하는 개인정보를 보호하기 위해 적절한 기술적 및 조직적 조치를 유지합니다.
2. b. 당사자가 소유하거나 통제하는 시스템 내에서 개인정보 침해가 확인된 경우, 개인정보 침해가 (i) 본 계약에 따라 상대방도 처리하는 TAAP 개인정보에 영향을 미치고 (ii) 동일한 세부 정보를 제공하여 감독 기관에 보고할 수 있는 경우 즉시 상대방에게 통보합니다. 이러한 경우 양 당사자는 개인정보 침해에 따른 영향을 제거하거나 완화하기 위해 성실하게 합리적으로 협력해야 하며, 이러한 협력에 따른 합당한 비용은 개인정보 침해 피해를 입은 당사자가 부담해야 합니다.

국경 간 전송 

1.7 데이터 보호 프레임워크(DPF): 귀사와 당사는 귀사와 당사 간의 전송 제한 데이터 전송과 관련하여 전송 제한 국가의 관련 데이터 보호법에 따라 미국 또는 "적절한" 것으로 간주되지 않는 국가로의 전송에 대해 다음과 같이 동의합니다. (a) DPF가 관련 당국에 의해 인정된 전송 방법인 경우, DPF가 전송 제한 국가에서 미국에 있는 당사로 데이터를 국경 간 전송하기 위해 합의된 메커니즘입니다. 또한 (b) DPF가 유효한 전송 방법이 아닌 경우(전송 제한 국가의 관련 데이터 보호법에 따라 전송 제한 데이터를 "적절한" 것으로 간주되지 않은 국가로 전송하는 경우 포함), SCC가 이러한 전송에 적용되며 당사는 아래 1.11항에 명시된 기준에 따라 SCC를 체결합니다. 귀사가 현재 DPF 인증을 보유하고 있는 경우, 귀사로의 전송 제한 데이터 전송도 DPF를 사용하여 유사하게 수행할 수 있으며, 위에서 설명한 대로 SCC를 대체 메커니즘으로 사용할 수 있습니다.

1.8 DPF 전달 의무: 귀사는 전송 제한 데이터에 대해 DPF에서 요구하는 것과 동일한 수준 이상의 보호를 제공할 것에 동의합니다. 더 이상 이러한 수준의 보호를 제공할 수 없다고 결정하는 경우 즉시 당사에 알려야 합니다. 그러한 경우 또는 귀사가 전송 제한 데이터를 DPF에서 요구하는 표준으로 보호하지 않는다고 당사가 달리 합리적으로 믿는 경우 당사는 다음 중 하나를 수행할 수 있습니다. (a) 승인되지 않은 처리를 중단하고 개선하기 위해 합리적이고 적절한 조치를 취하도록 지시합니다. 이 경우 귀사는 그러한 조치를 식별, 동의 및 구현하기 위해 신의성실하게 당사와 신속하게 협력합니다. (b) 관련 데이터 보호법에 따라 처리에 적용될 수 있는 대체 보호 장치에 동의합니다. 또는 (c) 귀사에 통지함으로써 위약금 없이 본 C2C 계약 및 계약(또는 당사의 선택에 따라 영향을 받는 부분)을 종료합니다. 현재 DPF 인증도 보유하고 있는 경우 위 조항과 아래 1.9항의 조항은 의무가 양방향인 것처럼 적용되는 것으로 간주됩니다.

1.9 DPF 공개 의무: 귀사는 당사가 미국 상무부, 연방 무역 위원회, 유럽 데이터 보호 당국 또는 기타 미국 또는 EU 사법 또는 규제 기관의 요청에 따라 본 C2C 계약 및 계약의 관련 개인정보 보호 조항을 공개할 수 있으며, 그러한 공개는 기밀 유지 위반으로 간주되지 않음을 인정합니다.

1.10 전송 미제한 국가로의 SCC 확장: 귀사와 당사 간의 TAAP 개인정보 전송과 관련하여, 전송 제한 국가는 아니지만 관련 데이터 보호법에 따라 해당 TAAP 개인정보를 원래 국가 외부로 전송하기 전에 보호 조치를 적용해야 하는 국가(각각 전송 미제한 국가)에서 개인정보를 외부로 전송하는 경우, 귀사와 당사는 (a) 아래 1.11항에 명시된 SCC가 해당 국가의 안전 조치를 충족하는 범위 내에서 이러한 추가 전송까지 확장되는 것으로 간주하며, 및/또는 (b) 1.11항에 명시된 조치가 불충분하거나 추가 조치가 필요한 경우 당사자는 예를 들어 관련 문서의 실행, 동의 수집, 필요한 서류 작성을 포함하여 관련 데이터 보호법을 충족하기 위해 필요할 수 있는 추가 조치를 취하는 데 동의합니다.

1.11 위의 1.7항에 따라 귀사와 당사는 다음 선택 사항을 제외하고 변경 없이 SCC를 체결하는 데 동의합니다.:

1. a. 귀사가 전송 제한 국가에 있거나 GDPR 45조에 따라 "적절한" 것으로 간주되는 국가에 있는 경우 SCC 중 모듈 1은 귀사에서 Expedia로의 전송에만 적용됩니다. 그렇지 않은 경우 모듈 1 SCC가 양방향으로 적용되어 당사에서 귀사로, 귀사에서 당사로의 전송을 모두 처리합니다.
2. b. SCC의 11(a)항의 목적에 따라 선택적 언어는 삭제됩니다.
3. c. SCC 13항의 목적에 따라 관련 단락은 "규정(EU) 2016/679의 27(1)조의 의미 내에서 대표가 설립된 회원국의 감독 기관은 부속서 I.C에 명시된 대로 관할 감독 기관의 역할을 해야 합니다."
4. d. SCC 17항의 목적에 따라 준거법은 아일랜드입니다.
5. e. SCC 18(b)항의 목적에 따라 선택 국가는 아일랜드입니다.
6. f. 다음과 같이 영국에서 영국 외부로의 개인정보 전송에 적용되는 새로운 조항 19가 SCC에 새로 추가되었습니다.

"19항

영국 GDPR 및 DPA 2018

양 당사자는 영국 GDPR 및 데이터 보호법 2018의 범위에 해당하는 국경 간 전송(영국 전송)을 포함하도록 해당 전송과 관련된 범위까지 해당 조항을 확대 적용하는 데 동의합니다. 이러한 영국 전송의 목적을 위해 표준 계약 조항 버전 B1.0에 대한 국제 데이터 전송 부록의 조항(때때로 수정, 교체, 보충 또는 대체됨)은 다음과 같이 부록으로 첨부된 양식에 명시된 대로 적용됩니다."

1. h. 다음과 같이 스위스에서 스위스 외부로의 개인정보 전송에 적용되는 새로운 조항 20이 SCC에 새로 추가되었습니다.

"20항

스위스 - FADP

양 당사자는 본 조항이 연방 데이터 보호법(FADP)의 범위에 해당하는 국경 간 전송(본 조항에서 스위스 전송이라고 함)을 포함하도록 해당 전송과 관련된 범위까지 해당 조항을 확대 적용하는 데 동의합니다. 이러한 스위스 전송의 목적을 위해 준거법은 선택된 회원국으로 간주되고, 법정지는 선택된 회원국이 되며, 연방 데이터 보호 및 정보 위원회(FDPIC)가 관할 감독 기관이 됩니다. 양 당사자는 영국 GDPR 및 FADP를 준수하기 위해 FCPIC가 필요하다고 간주하는 경우 스위스 전송 관련 조항에 이러한 추가 변경이 이루어질 수 있다는 데 추가로 동의합니다. 또한 이 조항은 양 당사자가 스위스 전송을 위해 특별히 준비된 별도의 표준 계약 조항을 체결할 필요 없이 해당 법률에 따라 발생하는 스위스 전송에 대한 요구 사항에 따라 또는 FDPIC가 발행한 지침에 달리 명시된 대로 해석됩니다. 양 당사자는 스위스 전송과 관련하여 FADP 준수를 보장하는 데 필요할 수 있는 모든 행위와 일을 추가로 수행해야 합니다."

1. i.다음과 같이 브라질에서 브라질 외부로의 개인정보 전송에 적용되는 새로운 조항 21이 SCC에 새로 추가되었습니다.

"21항

브라질 - LGPD

양 당사자는 이러한 조항이 브라질 일반 데이터 보호법 No. 13,709/18(Lei Geral de Proteção de Dados)(LGPD)의 범위에 해당하는 국경 간 전송을 포함하도록 해당 전송(본 조항에서 브라질 전송이라고 함)과 관련된 범위까지 해당 조항을 확대 적용하는 데 동의합니다. 이러한 브라질 전송의 목적을 위해 준거법은 선택된 회원국으로 간주되고, 법정지는 선택된 회원국이 되며, 브라질의 국가 데이터 보호 당국(ANPD)이 관할 감독 기관이 됩니다. 양 당사자는 LGPD를 준수하기 위해 ANPD가 필요하다고 간주하는 경우 브라질 전송 관련 조항에 이러한 추가 변경이 이루어질 수 있다는 데 추가로 동의합니다. 또한 이 조항은 양 당사자가 브라질 전송을 위해 특별히 준비된 별도의 표준 계약 조항을 체결할 필요 없이 해당 법률에 따라 발생하는 브라질 전송에 대한 요구 사항에 따라 또는 ANPD 또는 기타 관련 브라질 당국이 발행한 지침에 달리 명시된 대로 해석됩니다. 양 당사자는 브라질 전송과 관련하여 LGPD 준수를 보장하는 데 필요할 수 있는 모든 행위와 일을 추가로 수행해야 합니다."

1. j. 여기에 지정되지 않은 다른 국가로부터의 개인정보 전송에 적용되는 새로운 조항 22가 SCC에 추가되었습니다. SCC는 다음과 같이 해당 국가에서 발생한 개인정보를 해당 국가 외부에 있는 당사자에게 전송하기 위한 적절한 보호 조치를 보장하도록 확장될 수 있습니다.

"22항

기타 제3국 전송

양 당사자는 본 조항이 해당 국가에서 다른 국가로 개인정보를 전송(본 조항에서는 제3국 전송이라고 함)하기 위해 본 조항과 동등한 약관과 보호를 필요로 하는 개인정보의 사용 또는 처리와 관련하여 모든 관련 관할권의 적용 가능한 법률 및 규정(관련 데이터 보호법)의 범위에 속하는 국경 간 전송을 포함하도록 해당 전송과 관련된 범위까지 해당 조항을 확대 적용하는 데 동의합니다. 이러한 제3국 전송의 목적을 위해 준거법은 선택된 회원국으로 간주되고, 법정지는 선택된 회원국이 되며, 해당 국가의 데이터 보호 당국 또는 규제 기관이 관할 감독 기관이 됩니다. 양 당사자는 해당 국가의 관련 데이터 보호법을 준수하기 위해 이러한 해당 감독 기관이 필요하다고 간주하는 경우 제3국 전송 관련 조항에 이러한 추가 변경이 이루어질 수 있다는 데 추가로 동의합니다. 또한 이 조항은 양 당사자가 제3국 전송을 위해 특별히 준비된 별도의 표준 계약 조항을 체결할 필요 없이 해당 법률에 따라 발생하는 제3국 전송에 대한 요구 사항에 따라 또는 관련 감독 기관이 발행한 지침에 달리 명시된 대로 해석됩니다. 양 당사자는 제3국 전송과 관련하여 관련 데이터 보호법 준수를 보장하는 데 필요할 수 있는 모든 행위와 일을 추가로 수행해야 합니다."

1.12 본 C2C 계약의 부속서 1(SCC 처리 개요)은 SCC의 부속서 1을 구성합니다. 본 C2C 계약의 부속서 2(기술 및 조직적 조치)는 SCC의 부속서 2 요구 사항을 충족하기 위해 귀사가 제공하고 당사가 수락한 적절한 기술적 및 조직적 조치가 있는 Expedia에만 적용됩니다. 그렇지 않은 경우 부속서 2는 양 당사자에게 적용되는 것으로 해석되며 그에 따라 Expedia 및 Expedia Group에 대한 모든 언급은 각 당사자를 참조하는 것으로 해석됩니다. 이 C2C 계약에 대한 부록은 SCC의 목적을 위한 영국 부록을 구성합니다.

부속서 I - SCC 처리 개요

모듈 1: 컨트롤러 간(귀사 - 당사)

A. 당사자 목록

데이터 익스포터:

데이터 임포터: 

B. 전송에 대한 설명

C. 관할 감독 기관

SCC의 13항에 따라 관할 감독 기관을 식별합니다.

아일랜드 데이터 보호 당국

모듈 1: 컨트롤러 간(당사 - 귀사)

A. 당사자 목록

데이터 익스포터: 

위의 모듈 1(귀사 - 당사)에서 식별된 데이터 임포터. 자세한 내용은 위를 참조하십시오.

데이터 임포터:

위의 모듈 1(귀사 - 당사)에서 식별된 데이터 익스포터. 자세한 내용은 위를 참조하십시오.

B. 전송에 대한 설명

C. 관할 감독 기관

모듈 1에 따라

부속서 II - 기술적 및 조직적 조치 

모듈 1의 목적에 적용되는 기술적 및 조직적 조치는 아래에 설명되어 있습니다.

EU 위원회 표준 계약 조항에 대한 국제 데이터 전송 부록(부록)

이 부록은 정보 위원회가 제한 전송을 수행하는 당사자를 위해 발행한 것입니다. 정보 위원회는 법적 구속력이 있는 계약을 체결할 때 제한 전송에 대한 적절한 보호 조치를 제공한다고 생각합니다.

1부 표

2부: 필수 조항

2022년 2월 2일 데이터 보호법 2018의 119A에 따라 ICO에서 발행하고 의회에 제시된 템플릿 부록 B.1.0인 승인된 부록의 필수 조항(필수 조항의 18절에 따라 개정됨)

エクスペディア TAAP「クマの手」オンライン契約 – 管理者間契約 (SCC を含む)

本 C2C 契約の原文である英語版は、他の言語に翻訳されている場合があります。本契約の英語版と他言語版との間に不一致または相違がある場合は、英語版が優先されるものとします。

範囲: このグローバル管理者間契約 (以下「本 C2C 契約」といいます) は、相手方当事者と締結した契約 (オンラインクリックラップ契約の形式をとることがあります) (エクスペディア TAAP「クマの手」に基づくマーケティング パートナーとして貴社を指名している契約、この活動に関係したすべての関連アクティビティを本 C2C 契約において以下「関連活動」といいます) の一環として、エクスペディアと貴社がそれぞれ個人データを処理する場合に、関連アクティビティに関係して両当事者間で締結された当該契約 (以下「原契約」といいます) を補足し、原契約に適用されるものであり、原契約に関連したエクスペディアと貴社それぞれによる個人データの処理に関する規約、要件、および条件を定めたものです。本 C2C 契約において、「 エクスペディア」および「当社」とは、原契約の当事者である Expedia, Inc. および / またはその他の Expedia Group 企業を指します。また、「貴社」とは、原契約で説明されているように、アプリケーションに記載されている指定された事業体を指します (「エクスペディア」または「貴社」への言及は、原契約で要求される範囲において、すべて複数形として解釈されるものとします)。

1. 定義および解釈

1.1 本 C2C 契約は、原契約の条項に従い、原契約に組み込まれます。原契約で定められている解釈および定義された用語は、本 C2C 契約で別途定義されている場合を除き、本 C2C 契約でも同様に解釈されるものとします。

1. a. 適切な技術上および組織上の措置、管理者、個人データ、個人データ侵害、処理、 および監督機関 (ならびに合理的にこれらと同等の用語) はそれぞれ、適用データ保護法令においてこれらの用語に付与されている意味を有するものとします。
2. b. 適用データ保護法令とは、関連する法域において適用される、個人データの利用または処理に関連する法律および規制を意味します。
3. c. 許容される目的とは、(i) 予約の履行、(ii) 予約に関するサポートの提供、(iii) エクスペディア TAAP「クマの手」の登録およびアカウント管理、(iv) 原契約に基づくコミッションおよび他の金額の支払い、(v) 貴社向けのレポートの作成および原契約の履行に関連した消し込み、苦情の処理、および類似した活動のために必要になる追加の処理、(vi) エクスペディア TAAP「クマの手」アカウントのサポート、(vii) エクスペディア TAAP「クマの手」会員およびサブユーザーへの連絡、(viii) サイトの使いやすさの最適化を含む、当社のサービスの改善、(ix) 分析、ビジネス インテリジェンス、事業報告用のレポートの作成、(x) 不正防止、(xi) 法執行機関からの要請および税務当局からの監査要請への対応、(xii) 事業上の資産の取引の促進 (合併、買収、または資産の売却に及ぶ場合があります)、(xiii) その他の態様での、原契約、エクスペディアのプライバシーポリシー、および適用法令に基づく当社の義務の遵守、ならびに (xiv) 旅行税の決定、計算、および報告ならびに随時要請されるその他の該当する税務目的を意味します。
4. d. DPF とは、米国商務省による EU-米国間データ プライバシー フレームワーク認定、または欧州委員会 (もしくはその他の関連する国内機関) によって随時承認される代替または補足の認定メカニズムを意味します。これには、米国と第三国間 (英国およびスイスを含みますが、これらに限定されません) への DPF の拡張を許可しているその他の国により発行された補足的な十分性認定が含まれます。
5. e. 制限付き移転対象国とは、欧州経済領域のすべての加盟国、スイス、英国、およびブラジルを意味します。
6. f. 制限付き移転データとは、制限付き移転対象国の顧客がアクセスすることを当社が意図した販売サイトを介して行われた予約に関連する顧客データを意味します。
7. g. 標準契約条項 / SCC とは、2021 年 6 月 4 日に発行され、随時、修正、置換、補足、または取って代わられる、欧州連合から第三国への個人データの移転に関する承認された欧州委員会の標準契約条項を意味し、最新版の標準契約条項全文は、https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en で確認することができます。
8. h. エクスペディア TAAP「クマの手」の個人データとは、エクスペディア TAAP「クマの手」ウェブサイトを介して貴社によって当社に提供された個人データ、またはエクスペディア TAAP「クマの手」それ自体、もしくはエクスペディア TAAP「クマの手」ウェブサイトを利用してなされた予約の円滑化に関連してその他の方法で処理された個人データを意味します。

当事者の関係

1. 1.2 貴社および当社は、それぞれ、原契約に基づく各当事者の権利および義務、ならびに適用法令に基づく貴社および当社の責任を履行するために、個人データを収集および処理するものとします。そのため、各当事者は、(i) 独立した自律的な管理者として個人データを処理し、(ii) 適用データ保護法令を遵守し、(iii) 適用データ保護法令の違反における自己の作為または不作為について責任を負うものとします。

貴社の責任

1.3 貴社は、以下を遵守します。 

Your responsibilities

1. a. 当社が許容される目的のためにエクスペディア TAAP「クマの手」の個人データを処理できるようにするための法的根拠を満たすこと。
2. b. 貴社のプライバシーポリシーおよび他の適切な手段を通じて、エンドカスタマーの個人データが、許容される目的のために当社と共有されることを、顧客が確実に認識しているようにすること。
3. c. 当社による顧客の個人データの取扱いに関する詳細について、当社のプライバシーポリシーを確認するよう顧客に案内すること。
4. d. 原契約に関連するエクスペディア TAAP「クマの手」の個人データの当社による処理の過程において、当社による適用データ保護法令の遵守を支援するために、当社に協力し、合理的なサポートを提供すること。

当社の責任

1.4 当社 (および該当する場合は当社のグループ企業) は、以下を遵守するものとします。 

1. a. 許容される目的に関連してのみ、エクスペディア TAAP「クマの手」の個人データを処理すること。
2. b. 許容される目的に関連する場合を除き、エクスペディア TAAP「クマの手」の個人データの全部または一部をいかなる個人に対しても漏えいしないこと。
3. c. 原契約に関連するエクスペディア TAAP「クマの手」の個人データの貴社による処理の過程において、貴社による適用データ保護法令の遵守を支援するために、貴社に協力し、合理的なサポートを提供すること。
4. d. エクスペディア TAAP「クマの手」ウェブサイトにおいて、当社の適法かつ最新の Cookie 通知 (必要な場合) および当社のプライバシーポリシーを表示および遵守すること。

顧客および第三者

1.5 貴社は、当社が以下のとおりであることを了承するものとします。

1. a. 予約に関して顧客にEメールを送信する場合があること。
2. b. エクスペディア TAAP「クマの手」の個人データ (銀行に関するデータを含みます) を以下の目的で当社の第三者であるサービスプロバイダーに移転する場合があること。
   1. i. 貴社、貴社の代表者、およびサブユーザーのエクスペディア TAAP「クマの手」アカウントの管理およびサポート
   2. ii. 予約のためのサポートの提供
   3. iii. 原契約に基づくコミッションおよび他の金額の支払い

データセキュリティ

1.6 両当事者は、管理者としての権能において、以下を行うものとします。

1. a. 各当事者が処理する個人データを個人データ侵害から保護するための適切な技術上および組織上の措置を維持すること。
2. b. 当事者の保有または管理下にあるシステム内で個人データ侵害が確認された場合、その個人データ侵害が (i) 原契約に基づいて他方当事者によっても処理されているエクスペディア TAAP「クマの手」の個人データに影響するか否か、および (ii) 監督機関に報告すべきものであるか否かの両方について、当該侵害の完全な詳細を含めて、他方当事者にすみやかに通知すること。当該場合、両当事者は、合理的かつ誠実に協力し、その個人データ侵害の影響の是正または緩和に努めるものとし、当該協力の合理的な費用は、その個人データ侵害の被害を受けた当事者が負担するものとします。

越境移転 

1.7 データ プライバシー フレームワーク (DPF) : 貴社と当社は、貴社と当社の間における米国または移転元の制限付き移転対象国の適用データ保護法令において「十分性」が認められていない国への制限付き移転データの移転に関して、(a) DPF が関係機関によって認められた移転方法である限りにおいては、制限付き移転対象国から米国内の当社へのデータの越境移転のために合意したメカニズムを DPF とすること、また (b) DPF が有効な移転方法ではない限りにおいては (移転元の制限付き移転対象国の適用データ保護法令において「十分性」が認められていないへの制限付き移転データの移転を含む)、SCC がかかる移転に適用され、当社が以下の第 1.11 条の規定に基づいて SCC を締結することに同意するものとします。貴社が最新の DPF 認定も保有している場合、貴社への制限付き移転データの移転も同様に、DPF に基づいて、かつ上記に定めるとおり SCC を代替メカニズムとして行うことができます。

1.8 DPF フローダウン義務: 貴社は、貴社が DPF で求められているのと同じレベルの保護を制限付き移転データに提供することに同意するものとし、貴社が同じレベルの保護を提供できなくなったと判断した場合は、その旨をすみやかに当社に通知するものとします。当該場合、または貴社が制限付き移転データを DPF で求められている基準に従って保護していないと当社が別途合理的に判断した場合、当社は (a) 不正な処理を停止および是正するための合理的かつ適切な措置を講じるよう貴社に指示する (その場合、貴社は当該措置を特定し、それに同意し、それを導入するためにすみやかに誠意をもって当社に協力するものとします)、(b) 適用データ保護法令に基づく処理に適用される可能性がある代替の保護措置に同意する、または (c) 貴社に通知することにより、本 C2C 契約および原契約 (または当社の選択により、それらの影響を受ける部分) をペナルティなしに解除することができます。貴社が最新の DPF 認定も保有している場合、上記の規定および以下の第 1.9 条の規定は、双方向の義務として適用されるものとみなされます。

1.9 DPF 開示義務 : 貴社は、当社が米国商務省、連邦取引委員会、欧州のデータ保護機関、またはその他の米国もしくは EU の司法機関もしくは規制機関の要請に応じて、これらの機関に対し、本 C2C 契約および原契約の関連するプライバシー規定を開示できること、また当該開示が秘密保持義務の違反とはみなされないことを了承するものとします。

1.10 非制限付き移転対象国への SCC の拡張: 制限付き移転対象国ではないが、適用データ保護法令に従って、エクスペディア TAAP「クマの手」の個人データを移転元の国以外の国に移転する前に適用する必要がある保護措置の対象となっている国 (以下、それぞれを「 非制限付き移転対象国」といいます) を移転元とするエクスペディア TAAP「クマの手」の個人データの貴社と当社の間の移転に関連して、貴社と当社は、(a) その特定の国の保護措置を満たしている限りにおいて、以下の第 1.11 条に定められている SCC が当該の付加的な移転にも拡張されるものとみなされること、および / または (b) 第 1.11 条に定められている措置が不十分である、もしくは補足的な措置が必要である場合は、そうした追加の措置 (適用データ保護法令を満たすために随時求められることがある、関連文書の締結、同意の収集、必要な申請の実施など) を講じることに同意するものとします。

1.11 上記の第 1.7 条に従って、貴社と当社は、本 C2C 契約により、以下の選択を除き、変更なしで SCC を締結することに同意するものとします。:

1. a. 貴社が制限付き移転対象国またはその他 GDPR 第 45 条に従って「十分性」が認められている国に所在している場合、SCC のモジュール 1 は貴社からエクスペディアへの移転に関して一方向にのみ適用されるものとします。それ以外の場合、SCC のモジュール 1 は双方向 (当社から貴社への移転および貴社から当社への移転の両方) に適用されます。
2. b. SCC の第 11 条 (a) の目的において、オプションの言語は削除されます。
3. c. SCC の第 13 条の目的において、関連する段落は「付属書類 I.C に示されているように、規則 (EU) 2016/679 の第 27 条 (1) の意味における代表者が設置されている加盟国の監督機関が管轄監督機関として行動するものとします」です。
4. d. SCC の第 17 条の目的において、準拠法はアイルランドの法律です。
5. e. SCC の第 18 条 (b) の目的において、選択はアイルランドです。
6. f. 英国から英国外への個人データの移転を対象とするために、以下の第 19 条が SCC に新たに追加されます。

「第 19 条

英国の GDPR と DPA 2018

両当事者は、英国の GDPR および 2018 年データ保護法の範囲に該当する越境移転 (以下「英国からの移転」といいます) を対象とするために、問題となっている移転に関連する範囲で、本条項が拡張および適用されることに同意するものとします。こうした英国からの移転の目的において、標準契約条項バージョン B1.0 の国際データ移転に関する補遺 (随時、修正、置換、補足、または取って代わられるものを含む) として添付された文書に定められているとおりに、当該補遺の規定が適用されるものとします。」

1. g. スイスからスイス国外への個人データの移転を対象とするために、以下の第 20 条が SCC に新たに追加されます。

「第 20 条

スイス – FADP

両当事者は、データ保護に関する連邦法 (以下「 FADP」といいます) の範囲に該当する越境移転 (本条項では、以下「 スイスからの移転」といいます) を対象とするために、問題となっている移転に関連する範囲で、本条項が拡張および適用されることに同意するものとします。こうしたスイスからの移転の目的において、準拠法は選択された加盟国の法律とみなされるものとし、裁判地の選択は選択された加盟国とし、連邦データ保護情報コミッショナー (以下「FDPIC」といいます) を管轄監督機関とするものとします。さらに、両当事者は、両当事者がスイスからの移転向けに特別に作成した個別の標準契約条項を締結しなくて済むように、スイスからの移転について、英国の GDPR および FADP を遵守するために FCPIC が必要とみなす、当該のさらなる変更が本条項に加えられるものと解釈すること、また、当該法律に基づいて生じるスイスからの移転に関する要件に従って、または FDPIC が発行するガイダンスで別途定められているように、本条項を解釈することに同意するものとします。加えて、両当事者は、スイスからの移転を行う際に、FADP を確実に遵守するために必要になるすべてのことを行うものとします。」

1. h. ブラジルからブラジル国外への個人データの移転を対象とするために、以下の第 21 条が SCC に新たに追加されます。

「第 21 条

ブラジル – LGPD

両当事者は、ブラジルの一般データ保護法 (法律番号 13,709/18、Lei Geral de Proteção de Dados) (以下「LGPD」といいます) の範囲に該当する越境移転 (本条項では、以下「ブラジルからの移転」といいます) を対象とするために、問題となっている移転に関連する範囲で、本条項が拡張および適用されることに同意するものとします。こうしたブラジルからの移転の目的において、準拠法は選択された加盟国の法律とみなされるものとし、裁判地の選択は選択された加盟国とし、ブラジルの国家データ保護機関 (以下「 ANPD」といいます) を管轄監督機関とするものとします。さらに、両当事者は、両当事者がブラジルからの移転向けに特別に作成した個別の標準契約条項を締結しなくて済むように、ブラジルからの移転について、LGPD を遵守するために ANPD が必要とみなす、当該のさらなる変更が本条項に加えられるものと解釈すること、また、当該法律に基づいて生じるブラジルからの移転に関する要件に従って、または ANPD もしくはその他のブラジルの関連機関が発行するガイダンスで別途定められているように、本条項を解釈することに同意するものとします。加えて、両当事者は、ブラジルからの移転を行う際に、LGPD を確実に遵守するために必要になるすべてのことを行うものとします。」

1. i. SCC の拡張対象となり得る、上記に指定されていないその他の国からの個人データの移転を対象とし、当該国から当該国以外の国に所在する当事者への個人データの移転に対して適切な保護措置が講じられるようにするために、以下の第 22 条が SCC に新たに追加されます。

「第 22 条

その他の第三国への移転

両当事者は、本条項とほぼ同等の条件および保護を求めている、関連する法域において適用される、個人データの利用または処理に関連するその他の法律および規制 (以下「適用データ保護法令」といいます) の範囲に該当する越境移転を対象とし、当該国から別の国に個人データを移転 (本条項では、以下「第三国からの移転」といいます) するために、問題となっている移転に関連する範囲で、本条項が拡張および適用されることに同意するものとします。こうした第三国からの移転の目的において、準拠法は選択された加盟国の法律とみなされるものとし、裁判地の選択は選択された加盟国とし、第三国のデータ保護機関または規制機関を管轄監督機関とするものとします。さらに、両当事者は、両当事者が第三国からの移転向けに特別に作成した個別の標準契約条項を締結しなくて済むように、第三国からの移転について、第三国の適用データ保護法令を遵守するために当該監督機関が必要とみなす、当該のさらなる変更が本条項に加えられるものと解釈すること、また、当該法律に基づいて生じる第三国からの移転に関する要件に従って、または関連監督機関が発行するガイダンスで別途定められているように、本条項を解釈することに同意するものとします。加えて、両当事者は、第三国からの移転を行う際に、適用データ保護法令を確実に遵守するために必要になるすべてのことを行うものとします。」

1.12 本 C2C 契約の付属書類 1 (SCC 処理の概要) は、SCC の付属書類 1 を構成します。本 C2C 契約の付属書類 2 (技術上および組織上の措置) は SCC の付属書類 2 を構成し、貴社が SCC の付属書類 2 にある要件を満たすための十分な技術上および組織上の措置を提供し、それを当社が受け入れた場合にのみ、エクスペディアに適用されます。これに該当しない場合、付属書類 2 は両当事者に適用されるものと解釈し、「エクスペディア」および「Expedia Group」への言及は、すべて状況に応じたいずれかの当事者を指すものと解釈するものとします。SCC の目的において、本 C2C 契約の補遺は英国の補遺を構成します。

付属書類 I – SCC 処理の概要

モジュール 1 : 管理者と管理者の間 (貴社から当社)

A. 当事者リスト

データ輸出者 :

データ輸入者 : 

B. 移転の説明

C. 管轄監督機関

SCC の第 13 条に従って、管轄監督機関を特定してください。

アイルランドのデータ保護機関

モジュール 1 : 管理者と管理者の間 (当社から貴社)

A. 当事者リスト

データ輸出者 : 

上記のモジュール 1 (貴社から当社) で、データ輸入者として特定されている当事者。詳細については上記を参照してください。

データ輸入者 :

上記のモジュール 1 (貴社から当社) で、データ輸出者として特定されている当事者。詳細については上記を参照してください。

B. 移転の説明

C. 管轄監督機関

モジュール 1 のとおり

付属書類 II - 技術上および組織上の措置 

モジュール 1 の目的に適用される技術上および組織上の措置は、以下のとおりです。

欧州委員会の標準契約条項の国際データ移転に関する補遺 (補遺)

本補遺は、制限付き移転を行う当事者のために情報コミッショナーによって発行されたものです。情報コミッショナーは、法的拘束力のある契約として締結された場合に制限付き移転に対して適切な保護措置が用意されているとみなします。

第 1 部 表

第 2 部 : 必須条項

承認された補遺の必須条項。ICO によって発行され、2018 年データ保護法の第 119A 条に従って 2022 年 2 月 2 日に議会に提出されたテンプレート補遺 B.1.0 であり、当該必須条項の第 18 条に基づいて改訂されたものを含みます。

Accord en ligne TAAP - Accord entre responsables du traitement (y compris les CCT)

La version originale en anglais du présent Accord entre responsables du traitement peut avoir été traduite dans d’autres langues.  En cas d’incohérence ou de divergence entre la version anglaise et la version dans une autre langue du présent Accord, la version anglaise prévaudra.

CHAMP D’APPLICATION: lorsqu’Expedia et vous-même traitez des données à caractère personnel dans le cadre d’un accord (qui peut prendre la forme de conditions avec accord par clic en ligne) conclu avec l’autre partie (en vertu duquel vous avez été nommé partenaire marketing en vertu du TAAP, et toutes les activités pertinentes liées à cette activité désignées dans les présentes comme les « Accord entre responsables du traitement») est complémentaire et s’applique à cet accord conclu entre les parties dans le cadre des Activités pertinentes (l’« Accord ») et énonce les termes, exigences et conditions supplémentaires selon lesquels Expedia et vous traiterez chacun les données à caractère personnel dans le cadre de l’Accord. Dans le présent Accord entre responsables du traitement, «  Expedia » et «  nous  » font référence à Expedia, Inc. et/ou à toute autre société d’Expedia Group partie à l’Accord. « Vous  » fait référence à l’entité nommée indiquée sur la Candidature telle que décrite dans l’Accord (et toutes les références à Expedia ou à vous seront interprétées comme des termes au pluriel dans la mesure requise par l’Accord).

1. DÉFINITIONS ET INTERPRÉTATION

1.1 Le présent Accord entre responsables du traitement est soumis aux conditions de l’Accord et est intégré à celui-ci. Les interprétations et les termes définis énoncés dans l’Accord s’appliquent à l’interprétation du présent Accord entre responsables du traitement, sauf indication contraire dans le présent Accord entre responsables du traitement ; et :

1. a. chacun des termes «mesures techniques et organisationnelles appropriées », « responsable du traitement », « données à caractère personnel », « violation de données à caractère personnel », « traiter »/« traitement » et « autorité de contrôle »(ou des termes raisonnablement équivalents) ont les significations qui leur sont données dans les Lois applicables en matière de protection des données ;
2. b. Loi(s) applicable(s) en matière de protection des données désigne toutes les lois et réglementations applicables dans toute juridiction concernée, relatives à l’utilisation ou au traitement des données à caractère personnel ;
3. c. Fin autorisée signifie aux fins suivantes : (i) accomplissement de Réservations ; (ii) assistance pour les Réservations ; (iii) administration des inscriptions et comptes TAAP ; (iv) paiement des Commissions et autres montants en vertu du présent Accord ; (v) création de rapports pour vous et tout autre traitement requis pour la réconciliation, la gestion des réclamations et autres activités similaires associées à l’exécution de l’Accord ; (vi) assistance aux comptes TAAP ; (vii) communications aux Membres et aux Sous-utilisateurs TAAP ; (viii) amélioration de nos services, y compris l’optimisation de l’expérience de réservation ; (ix) création de rapports pour les analyses, l’intelligence économique et le reporting d’entreprise ; (x) prévention des fraudes ; (xi) réponse aux demandes pour l’application des lois et aux demandes d’audit des autorités fiscales ; (xii) facilitation des transactions d’actifs d’entreprises (pouvant s’étendre à toute fusion, acquisition ou vente d’actifs) ; et (xiii) toute autre façon de remplir nos obligations en vertu du présent Accord, de la politique sur la protection des données d’Expedia et de la législation en vigueur ; et (xiv) pour la détermination, le calcul, la déclaration des Taxes de voyage et d’autres fins de taxation applicables pouvant être requises de temps à autre ;
4. d. DPF désigne une certification du Data Privacy Framework (cadre de protection des données) UE-États-Unis auprès du Département américain du commerce ou tout mécanisme de certification de remplacement ou supplémentaire approuvé par la Commission européenne (ou toute autre autorité nationale compétente) de temps à autre ; et comprend toutes les décisions d’adéquation supplémentaires émises par tout autre pays qui permettent l’extension du DPF entre les États-Unis et ce pays tiers (par exemple, sans s’y limiter, le Royaume-Uni et la Suisse) ;
5. e. Pays de transfert restreint désigne tout pays de l’Espace économique européen, la Suisse, le Royaume-Uni et le Brésil ;
6. f. Données à transfert restreint désigne les Données client relatives à une Réservation effectuée via un point de vente destiné par nous à être accessible aux Clients dans un Pays de transfert restreint ;
7. g. Clauses contractuelles types/ CCT désigne les clauses contractuelles types approuvées de la Commission européenne pour le transfert de données à caractère personnel de l’Union européenne vers des pays tiers, telles que publiées le 4 juin 2021, telles que modifiées, remplacées ou complétées de temps à autre, et dont la version actuelle complète peut être consultée en suivant ce lien : https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en; et
8. h. Données personnelles TAAP signifie les données à caractère personnel que vous nous fournissez par l’intermédiaire du Site Internet TAAP ou traitée de toute autre façon relativement à TAAP ou facilitant les Réservations effectuées en utilisant le Site Internet TAAP.

Relation entre les parties

2. 1.2 Vous vous engagez et nous nous engageons à collecter et à traiter des données à caractère personnel pour remplir nos droits et obligations respectifs en vertu du présent Accord, ainsi que nos responsabilités respectives en vertu de la législation en vigueur. De ce fait, chaque partie s’engage à : (i) traiter les données à caractère personnel en tant que responsable du traitement indépendant et autonome ; (ii) respecter la Loi applicable en matière de protection des données ; et (iii) être responsable de chacun de ses actes ou omissions en violation de la Loi applicable en matière de protection des données.

Vos responsabilités

1.3 Vous êtes tenu : 

Your responsibilities

2. a. de respecter une base juridique pour mettre à notre disposition toute Donnée personnelle TAAP, en vue de notre traitement aux Fins autorisées ;
3. b. de vous assurer que les Clients sont informés, par l’intermédiaire de votre politique sur la protection des données et de tout autre moyen approprié, que leurs données à caractère personnel sont partagées avec nous aux Fins autorisées ;
4. c. d’orienter les Clients vers notre politique sur la protection des données pour qu’ils obtiennent plus d’informations sur notre traitement de leurs données à caractère personnel ; et
5. d. de coopérer avec nous et de nous apporter une assistance raisonnable pour nous aider à respecter les Lois applicables en matière de protection des données au cours de notre traitement des Données personnelles TAAP en vertu du présent Accord.

Our responsibilities

1.4 We (and our Group Members, where applicable) shall:

2. a. traiter les Données personnelles TAAP uniquement aux Fins autorisées ;
3. b. ne divulguer à personne les Données personnelles TAAP, en totalité ou en partie, sauf aux Fins autorisées ;
4. c. coopérer avec vous et vous apporter une assistance raisonnable pour vous aider à respecter les Lois applicables en matière de protection des données au cours de votre Traitement des Données personnelles TAAP en vertu du présent Accord ; et
5. d. afficher et respecter notre notification légale et à jour sur les cookies (le cas échéant) et notre politique sur la protection des données sur le Site Internet TAAP.

Clients et tierces parties

1.5 Vous reconnaissez que :

2. a. nous pouvons envoyer des e-mails aux Clients concernant les Réservations ;
3. b. nous pouvons transférer des Données personnelles TAAP (y compris des données bancaires) à nos prestataires de service tiers aux fins suivantes :
   2. i. administration, gestion et assistance pour votre Compte TAAP, ainsi que les Comptes TAAP de vos Représentants et Sous-utilisateurs ;
   3. ii. assistance pour les Réservations ; et
   4. iii. paiement de Commissions et d’autres montants en vertu du présent Accord.

Sécurité des données

1.6 Les deux parties, en leur capacité de responsables du traitement, s’engagent à :

2. a. respecter des mesures techniques et organisationnelles appropriées pour protéger contre toute violation les données à caractère personnel qu’elles traitent chacune ; et
3. b. en cas de violation confirmée de données à caractère personnel dans des systèmes détenus ou contrôlés par la partie concernée, informer rapidement l’autre partie si ladite violation (i) affecte des Données personnelles TAAP également traitées par l’autre partie en vertu du présent Accord ; et (ii) doit être signalée à une autorité de contrôle en fournissant tous les détails de ladite violation. Dans ce cas, les deux parties s’engagent à coopérer raisonnablement et de bonne foi pour remédier aux effets de la violation de données à caractère personnel ou les limiter, et les coûts raisonnables de ladite coopération doivent être supportés par la partie ayant subi la violation de données à caractère personnel.

Transferts transfrontaliers 

1.7 Data Privacy Framework (DPF): vous et nous convenons qu’en ce qui concerne les transferts de Données à transfert restreint entre vous et nous vers les États-Unis ou vers un pays qui n’a pas été jugé « adéquat » en vertu des Lois applicables en matière de protection des données du Pays de transfert restreint d’origine (a) dans la mesure où et aussi longtemps que le DPF est une méthode de transfert reconnue par une autorité compétente, le DPF sera le mécanisme convenu pour les transferts transfrontaliers de données provenant d’un Pays de transfert restreint vers nous aux États-Unis, et (b) dans la mesure où et aussi longtemps que le DPF n’est pas une méthode de transfert valide (y compris pour les transferts de Données à transfert restreint vers un pays qui n’a pas été jugé « adéquat » en vertu des Lois applicables en matière de protection des données du Pays de transfert restreint d’origine), les CCT s’appliqueront à ces transferts et nous les conclurons sur la base énoncée à la Clause 1.11 ci-dessous. Lorsque vous détenez également une certification DPF en cours, les transferts de Données à transfert restreint vers vous peuvent également être effectués dans le cadre du DPF avec des CCT comme mécanisme de secours, comme indiqué ci-dessus.

1.8 Obligations de transfert du DPF: vous acceptez de fournir au moins le même niveau de protection pour les Données à transfert restreint que celui requis en vertu du DPF ; et vous devez nous informer rapidement si vous déterminez que vous ne pouvez plus fournir ce niveau de protection. Dans un tel cas, ou si nous pensons raisonnablement que vous ne protégez pas les Données à transfert restreint conformément à la norme requise par le DPF, nous pouvons : (a) vous demander de prendre des mesures raisonnables et appropriées pour arrêter et remédier à tout traitement non autorisé, auquel cas vous coopérerez rapidement avec nous de bonne foi pour identifier, accepter et mettre en œuvre ces mesures ; (b) convenir d’une autre garantie susceptible de s’appliquer au traitement en vertu de la Loi applicable en matière de protection des données ; ou (c) résilier le présent Accord entre responsables du traitement et l’Accord (ou, à notre discrétion, toute partie affectée de celui-ci) sans pénalité en vous donnant un préavis. Si vous détenez également une certification DPF en cours, les dispositions ci-dessus et celles de la clause 1.9 ci-dessous seront réputées s’appliquer comme si les obligations étaient réciproques.

1.9 Obligations de divulgation du DPF: vous reconnaissez que nous pouvons divulguer le présent Accord entre responsables du traitement et toutes les dispositions relatives à la protection des données pertinentes de l’Accord au département américain du commerce, à la Commission fédérale du commerce, à toute autorité européenne de protection des données ou à tout autre organisme judiciaire ou réglementaire américain ou européen sur leur demande et qu’une telle divulgation ne sera pas considérée comme une violation de la confidentialité.

1.10 Extension des CCT aux Pays de transfert non restreint: en ce qui concerne les transferts de Données personnelles TAAP entre vous et nous provenant d’un pays qui n’est pas un Pays de transfert restreint, mais qui est par ailleurs soumis à des garanties qui, conformément à la Loi applicable en matière de protection des données, doivent être appliquées avant qu’un transfert de ces Données personnelles TAAP puisse être effectué en dehors du pays d’origine (chacun un Pays de transfert non restreint), alors vous et nous convenons que (a) les CCT énoncés à la clause 1.11 ci-dessous seront réputés s’étendre à ces transferts supplémentaires dans la mesure où cette prolongation réputée satisferait aux garanties de ce pays particulier ; et/ou (b) lorsque les mesures énoncées à la Clause 1.11 sont insuffisantes ou nécessitent des mesures supplémentaires, les parties conviennent de prendre ces mesures supplémentaires, y compris, par exemple, la signature des documents pertinents, le recueil du consentement, la réalisation des documents comme cela peut être requis de temps à autre afin de satisfaire à la Loi applicable en matière de protection des données.

1.11 Sous réserve de la Clause 1.7 ci-dessus, vous et nous convenons par la présente de conclure les CCT sur une base inchangée, à l’exception des sélections suivantes ::

2. a. lorsque vous vous trouvez dans un Pays de transfert restreint ou autrement dans un pays jugé « adéquat » conformément à l’article 45 du RGPD, seul le Module un (1) des CCT s’appliquera à sens unique en ce qui concerne les transferts de votre part vers Expedia. Sinon, les CCT du Module un s’appliquent dans les deux sens pour couvrir à la fois les transferts de nous vers vous et de vous vers nous.
3. b. Aux fins de l’article 11(a) des CCT, la langue facultative est supprimée.
4. c. Aux fins de l’article 13 des CCT, le paragraphe pertinent est « L’autorité de contrôle de l’État membre dans lequel le représentant au sens de l’article 27, paragraphe 1, du règlement (UE) 2016/679 est établi, telle qu’indiquée à l’annexe I.C, agit en qualité d’autorité de contrôle compétente. »
5. d. Aux fins de l’article 17 des CCT, la loi applicable est celle de l’Irlande.
6. e. Aux fins de l’article 18(b) des CCT, la sélection est l’Irlande.
7. f. Une nouvelle clause 19 est ajoutée aux CCT pour couvrir les transferts de données à caractère personnel du Royaume-Uni vers l’extérieur du Royaume-Uni comme suit :

“Clause 19

RGPD et DPA 2018 au Royaume-Uni

Les parties conviennent que ces clauses s’étendront et s’appliqueront, dans la mesure pertinente au transfert en question, pour couvrir les transferts transfrontaliers qui relèvent du champ d’application du RGPD au Royaume-Uni et du Data Protection Act 2018 (un Transfert depuis le Royaume-Uni). Aux fins d’un tel Transfert depuis le Royaume-Uni, les dispositions de l’addendum sur le transfert international de données aux clauses contractuelles types version B1.0 (telles que modifiées, remplacées ou complétées de temps à autre) s’appliqueront comme indiqué dans le formulaire ci-joint de l’addendum. »

2. h. Une nouvelle clause 20 est ajoutée aux CCT pour couvrir les transferts de données à caractère personnel de la Suisse vers l’extérieur de la Suisse comme suit :

“Clause 20

Suisse – LPD

Les parties conviennent que ces clauses s’étendront et s’appliqueront, dans la mesure pertinente au transfert en question, pour couvrir les transferts transfrontaliers qui relèvent du champ d’application de la Loi fédérale sur la protection des données (LPD) (désignés dans la présente clause comme un Transfert depuis la Suisse). Aux fins de ces Transferts depuis la Suisse, le droit applicable est réputé être celui de l’État membre sélectionné, le for choisi est l’État membre sélectionné et le Préposé fédéral à la protection des données et à la transparence (PFPDT) est l’autorité de contrôle compétente. Les Parties conviennent en outre que les modifications ultérieures seront interprétées comme étant apportées aux clauses relatives à un Transfert depuis la Suisse si elles sont jugées nécessaires par le PFPDT pour se conformer au RGPD du Royaume-Uni et à la LPD, et les clauses doivent être interprétées conformément aux exigences pour les Transferts depuis la Suisse découlant de ces lois ou autrement définies dans les directives émises par le PFPDT, sans que les parties aient à conclure des clauses contractuelles types distinctes préparées spécifiquement pour leurs Transferts depuis la Suisse. Les Parties accompliront en outre tous les actes et toutes les opérations qui pourraient être nécessaires pour assurer le respect de la LPD lorsqu’elles s’engagent dans des Transferts depuis la Suisse. »

1. i. Une nouvelle clause 21 est ajoutée aux CCT pour couvrir les transferts de données à caractère personnel du Brésil vers l’extérieur du Brésil comme suit :

“Clause 21

Brésil – LGPD

Les Parties conviennent que ces clauses s’étendront et s’appliqueront, dans la mesure pertinente au transfert en question, pour couvrir les transferts transfrontaliers qui relèvent du champ d’application de la Loi brésilienne sur la protection générale des données N° 13,709/18 (Lei Geral de Proteção de Dados) (LGPD) (désignés dans la présente clause comme un Transfert depuis le Brésil). Aux fins de ces Transferts depuis le Brésil, le droit applicable est réputé être celui de l’État membre sélectionné, le for choisi est l’État membre sélectionné et l’autorité brésilienne chargée de la protection nationale des données (ANPD) est l’autorité de contrôle compétente. Les Parties conviennent en outre que les modifications ultérieures seront interprétées comme étant apportées aux clauses relatives à un Transfert depuis le Brésil si elles sont jugées nécessaires par l’ANPD pour se conformer à la LGPD, et les clauses doivent être interprétées conformément aux exigences pour les Transferts depuis le Brésil découlant de ces lois ou autrement définies dans les directives émises par l’ANPD ou une autre autorité brésilienne pertinente sans que les Parties aient à conclure des clauses contractuelles types distinctes préparées spécifiquement pour leurs Transferts depuis le Brésil. Les Parties accompliront en outre tous les actes et toutes les opérations qui pourraient être nécessaires pour assurer le respect de la LGPD lorsqu’elles s’engagent dans des Transferts depuis le Brésil. »

2. j. Une nouvelle clause 22 est ajoutée aux CCT pour couvrir les transferts de données à caractère personnel depuis tout autre pays non spécifié jusqu’ici, où les CCT peuvent être étendues pour assurer des garanties appropriées pour les transferts de données à caractère personnel en provenance de ce pays vers une partie située en dehors de ce pays comme suit :

“Clause 22

Autres transferts vers des pays tiers

Les Parties conviennent que les présentes Clauses s’étendront et s’appliqueront, dans la mesure pertinente au transfert en question, pour couvrir les transferts transfrontaliers qui relèvent du champ d’application de toute autre loi et réglementation applicable dans toute juridiction concernée, relative à l’utilisation ou au traitement des données à caractère personnel (Lois applicables en matière de protection des données) nécessitant des conditions et des protections largement équivalentes à ces Clauses afin de transférer des données à caractère personnel de ce pays vers un autre (appelé dans cette Clause Transfert depuis un pays tiers). Aux fins de ces Transferts ves un pays tiers, le droit applicable est réputé être celui de l’État membre sélectionné, le for choisi est l’État membre sélectionné et l’autorité chargée de la protection des données ou l’organisme réglementaire de ce pays est l’autorité de contrôle compétente. Les Parties conviennent en outre que les modifications ultérieures seront interprétées comme étant apportées aux Clauses relatives à un Transfert depuis un pays tiers si elles sont jugées nécessaires par l’autorité de contrôle concerné pour se conformer à la Loi applicable en matière de protection des données de ce pays, et les clauses doivent être interprétées conformément aux exigences pour les transferts vers un pays tiers découlant de ces lois ou autrement définies dans les directives émises par l’autorité de contrôle pertinente sans que les Parties aient à conclure des clauses contractuelles types distinctes préparées spécifiquement pour leurs Transferts depuis un pays tiers. Les Parties accompliront en outre tous les actes et toutes les opérations qui pourraient être nécessaires pour assurer le respect de la ou des Lois applicables en matière de protection des données lorsqu’elles s’engagent dans des Transferts depuis un pays tiers. »

1.12 L’Annexe 1 (Aperçu du traitement des CCT) du présent Accord entre responsables du traitement constitue l’Annexe 1 des CCT. L’Annexe 2 (Mesures techniques et organisationnelles) du présent Accord entre responsables du traitement constitue l’Annexe 2 des CCT et s’applique uniquement à Expedia lorsque vous avez fourni, et que nous avons accepté, des mesures techniques et organisationnelles adéquates pour satisfaire aux exigences de l’Annexe 2 des CCT ou, lorsque ce n’est pas le cas, l’Annexe 2 sera interprétée comme s’appliquant aux deux parties et toutes les références à Expedia et Expedia Group seront interprétées comme faisant référence à l’une ou l’autre des parties en conséquence. L’Addendum au présent Accord entre responsables du traitement constitue l’addendum britannique aux fins des CCT.

ANNEXE I – APERÇU DU TRAITEMENT DES CCT

MODULE UN : de responsable du traitement à responsable du traitement (de vous à nous)

A. LISTE DES PARTIES

Exportateur(s) de données :

Data importer(s):

B. DESCRIPTION DU TRANSFERT

C. AUTORITÉ DE CONTRÔLE COMPÉTENTE

C. AUTORITÉ DE CONTRÔLE COMPÉTENTE Identifier la ou les autorité(s) de contrôle compétente(s) conformément à la Clause 13 des CCT

Autorité irlandaise de protection des données

MODULE UN : de responsable du traitement à responsable du traitement (de nous à vous)

A. LISTE DES PARTIES

Exportateur(s) de données : 

La ou les Parties identifiées comme Importateurs de données sous le Module un (1) (de vous à nous) ci-dessus. Voir ci-dessus pour plus de détails.

Importateur(s) de données :

La ou les Parties identifiées comme Exportateurs de données sous le Module un (1) (de vous à nous) ci-dessus. Voir ci-dessus pour plus de détails.

B. DESCRIPTION DU TRANSFERT

C. AUTORITÉ DE CONTRÔLE COMPÉTENTE

Conformément au Module un (1)

ANNEXE II - MESURES TECHNIQUES ET ORGANISATIONNELLES 

Les mesures techniques et organisationnelles qui s’appliquent aux fins du Module un (1) sont décrites ci-dessous.

Addendum sur le transfert international de données aux clauses contractuelles types de la Commission européenne (Addendum)

Cet Addendum a été publié par le Commissaire à l’information pour les parties effectuant des Transferts restreints. Le Commissaire à l’information considère que celui-ci fournit des garanties appropriées pour les Transferts restreints lorsqu’il est conclu en tant que contrat juridiquement contraignant.

Partie 1 Tableaux

Part 3: clauses obligatoires

Clauses obligatoires de l’Addendum approuvé, qui est le modèle d’addendum B.1.0 émis par l’ICO et déposé devant le Parlement conformément à l’article 119A du Data Protection Act 2018 le 2 février 2022, tel qu’il est révisé en vertu de l’article 18 de ces Clauses obligatoires.