TAAP-verkkosopimus – rekisterinpitäjien välinen sopimus (mukaan lukien vakiosopimuslausekkeet)
TAAP-verkkosopimus – rekisterinpitäjien välinen sopimus (mukaan lukien vakiosopimuslausekkeet)
Tämän rekisterinpitäjien välisen sopimuksen (C2C-sopimuksen) alkuperäinen englanninkielinen versio saattaa olla käännetty useille eri kielille. Mikäli tämän sopimuksen englanninkielisen version ja jollekin muulle kielelle käännetyn version välillä on ristiriitoja, on englanninkielinen versio ensisijainen.
SOVELTAMISALA: Kun sekä Expedia että sinä käsittelette henkilötietoja osana sopimusta (jotka voivat olla verkossa clickwrap-ehtojen muodossa), joka on tehty toisen osapuolen kanssa (jonka mukaisesti sinut on nimetty markkinointikumppaniksi TAAP-ohjelmaan, ja kaikki asiaan liittyvät toiminnot, jotka
liittyvät kyseiseen toimintaan, joita kutsutaan tässä ”asiaankuuluvaksi toiminnaksi”), silloin tämä maailmanlaajuinen rekisterinpitäjien välinen sopimus (”C2C-sopimus”) täydentää ja koskee tällaista sopimusta,joka on tehty osapuolten välillä liittyen asiaankuuluvaan toimintaan (”sopimus”). Se sisältää lisäehdot, vaatimukset ja ehdot, joiden mukaisesti Expedia ja sinä käsittelette henkilötietoja sopimuksen yhteydessä. Tässä C2C-sopimuksessa ”Expedia” ja ”me” viittaavat Expedia, Inc:iin ja/tai mihin tahansa muuhun Expedia Groupin yritykseen/yrityksiin, jotka ovat sopimuksen osapuolia. ”Sinä”viittaa sopimuksessa kuvattuun ja sovelluksessa mainittuun nimettyyn tahoon (ja kaikki viittaukset joko Expediaan tai sinuun tulkitaan monikkotermeiksi sopimuksen edellyttämässä laajuudessa).
1. MÄÄRITELMÄT JA TULKINTA
1.1 Tämä C2C-sopimus on sopimuksen ehtojen alainen, ja se sisältyy sopimukseen. Sopimuksessa esitetyt tulkinnat ja määritellyt termit koskevat tämän C2C-sopimuksen tulkintaa, ellei tässä C2C- sopimuksessa ole toisin määritelty ja:
a. Asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä, rekisterinpitäjällä, henkilötiedoilla, henkilötietojen rikkomuksella, käsittelyllä ja
valvontaviranomaisella (tai vastaavilla termeillä) on sama merkitys kuin mikä niillä on sovellettavassa tietosuojalaissa.
b. Sovellettava tietosuojalaki (sovellettavat tietosuojalait) tarkoittaa mitä tahansa sovellettavia lakeja ja määräyksiä millä tahansa asiaankuuluvalla lainkäyttöalueella, jotka liittyvät henkilötietojen käyttöön tai käsittelyyn.
c. Sallitulla tarkoituksella tarkoitetaan (i) varausten tekemistä; (ii) varausten tukemista; (iii) TAAP-ohjelmaan rekisteröitymistä ja tilinhallintaa; (iv) provision ja muiden summien maksamista sopimuksen mukaisesti; (v) raporttien laatimista sinulle ja muuta käsittelyä
täsmäytysten tekemiseksi, valitusten käsittelemiseksi ja muita vastaavia toimintoja varten, jotka liittyvät sopimuksen täytäntöönpanoon; (vi) TAAP-tilin tukea; (vii) TAAP- ohjelman jäsenten ja alikäyttäjien viestintää; (viii) palveluidemme parantamista, mukaan lukien varauskokemuksen optimointia; (ix) raporttien luomista analyysejä,
liiketoimintatietojen kokoamista sekä liiketoiminnan raportteja varten; (x) petosten
torjuntaa; (xi) vastaamista lainvalvontaviranomaisten pyyntöihin ja veroviranomaisten tarkastuspyyntöihin; (xii) liikeomaisuuden myymisen helpottamista (joka voi kattaa
fuusiot, yritysostot tai omaisuuden myynnin); ja (xiii) muutoin sopimuksen,
tietosuojakäytäntömme ja sovellettavien lakien mukaisten velvoitteidemme noudattamista ja (xiv) matkaverojen määrittämistä, laskentaa ja ilmoittamista ja muita sovellettavia verotarkoituksia, kuten ajoittain voi olla tarpeen.
d. DPF tarkoittaa Yhdysvaltain kauppaministeriön EU-USA Data Privacy Framework - sertifikaattia tai mitä tahansa korvaavaa tai täydentävää sertifiointimekanismia, jonka Euroopan komissio (tai muu asiaankuuluva kansallinen viranomainen) on kulloinkin
hyväksynyt; ja se sisältää minkä tahansa muun maan tekemät täydentävät riittävyyttä koskevat päätökset, jotka sallivat DPF:n laajentamisen Yhdysvaltojen ja kyseisen kolmannen maan välille (esimerkiksi mutta näihin kuitenkaan rajoittumatta Yhdistynyt kuningaskunta ja Sveitsi).
e. Rajoitetun siirron maa tarkoittaa mitä tahansa Euroopan talousalueen maata, Sveitsiä, Yhdistynyttä kuningaskuntaa ja Brasiliaa.
f. Rajoitetut siirtotiedot tarkoittavat asiakastietoja, jotka liittyvät varaukseen, joka on tehty sellaisen myyntipisteen kautta, jonka olemme tarkoittaneet rajoitetun siirron maassa olevien asiakkaiden käyttöön.
g. Vakiosopimuslausekkeet tarkoittavat Euroopan komission hyväksymiä vakiosopimuslausekkeita henkilötietojen siirtämiseksi Euroopan unionista kolmansiin maihin, sellaisina kuin ne on julkaistu 4.6.2021, sellaisina kuin ne on muutettu, korvattu
tai täydennetty. Vakiosopimuslausekkeiden täydellinen ajantasainen versio on luettavissa täällä: xxxxx://xxxxxxxxxx.xxxxxx.xx/xxx/xxx-xxxxx/xxxx-xxxxxxxxxx/xxxxxxxxxxxxx- dimension-data-protection/standard-contractual-clauses-scc_en.
h. TAAP-henkilötiedoilla tarkoitetaan henkilötietoja, jotka olet toimittanut meille TAAP- verkkosivuston kautta tai joita on muutoin käsitelty TAAP-ohjelman yhteydessä tai TAAP- verkkosivustolla tehtyjen varausten helpottamiseksi.
Osapuolten suhde
1.2 Me ja sinä keräämme ja käsittelemme henkilötietoja täyttääksemme sopimuksen sekä kaikkien sovellettavien lakien mukaiset oikeudet ja velvollisuudet. Kummankin osapuolen on (i) käsiteltävä henkilötietoja riippumattomina ja itsenäisinä rekisterinpitäjinä, (ii) noudatettava sovellettavaa tietosuojalakia ja (iii) oltava vastuussa toiminnastaan tai sovellettavan tietosuojalain vastaisista laiminlyönneistään.
Sinun velvollisuutesi
1.3 Sinun on:
a. Täytettävä oikeusperusta, jotta TAAP-henkilötiedot olisivat käytettävissämme sallittuihin tarkoituksiin.
b. Varmistettava, että asiakkaille ilmoitetaan joko tietosuojakäytäntöjesi avulla tai muulla sopivalla tavalla, että heidän henkilötietojaan luovutetaan meille sallittuihin tarkoituksiin.
c. Osoitettava asiakkaille tietosuojakäytäntömme, jotta he saavat lisätietoja siitä, miten käsittelemme heidän henkilötietojaan.
d. Tehtävä yhteistyötä ja annettava meille kohtuullista apua auttaaksesi meitä noudattamaan sovellettavia tietosuojalakeja käsitellessämme TAAP-henkilötietoja sopimuksen nojalla.
Meidän velvollisuutemme
1.4 Me (ja tarvittaessa konsernimme jäsenet):
a. Käsittelemme TAAP-henkilötietoja vain sallittuun tarkoitukseen liittyen.
b. Emme paljasta TAAP-henkilötietoja kokonaisuudessaan tai osia niistä kenellekään muulle paitsi sallittuun tarkoitukseen liittyen.
c. Teemme yhteistyötä ja tarjoamme sinulle kohtuullista apua, jotta voimme auttaa sinua noudattamaan sovellettavia tietosuojalakeja, kun käsittelet TAAP-henkilötietoja sopimuksen nojalla.
d. Näytämme tarvittaessa laillisen ja ajan tasalla olevan evästeilmoituksen sekä tietosuojakäytäntömme TAAP-verkkosivustolla ja noudatamme niitä.
Asiakkaat ja kolmannet osapuolet
1.5 Hyväksyt, että:
a. Voimme lähettää asiakkaille sähköpostia varauksiin liittyen.
b. Voimme siirtää TAAP-henkilötietoja (mukaan lukien pankkitietoja) kolmannen osapuolen palveluntarjoajillemme seuraaviin tarkoituksiin:
i. Sinun, edustajiesi ja alikäyttäjiesi TAAP-tilien hallinnointia, hallintaa ja tukemista varten.
ii. Varausten tukemista varten.
iii. Provisioiden ja muiden maksujen maksamiseen sopimuksen mukaisesti.
Tietosuoja
1.6 Molempien osapuolten on rekisterinpitäjinä:
a. ylläpidettävä kaikkia asianmukaisia teknisiä ja organisatorisia toimenpiteitä varmistaakseen käsittelemiensä henkilötietojen suojaamisen henkilötietojen rikkomukselta ja sitä vastaan; ja
b. jos henkilötietojen tietoturvaloukkaus on vahvistettu osapuolen hallussa tai hallinnassa olevassa järjestelmässä, ilmoitettava asiasta viipymättä toiselle osapuolelle, jos henkilötietojen tietoturvaloukkaus (i) vaikuttaa TAAP-henkilötietoihin, joita toinen osapuoli myös käsittelee sopimuksen mukaisesti ja (ii) jos tietoturvaloukkauksesta on raportoitava valvontaviranomaiselle, ja tämän on toimitettava siitä yksityiskohtaiset tiedot. Tällöin osapuolet sopivat tekevänsä yhteistyötä kohtuullisesti ja hyvässä uskossa henkilötietojen rikkomuksen korjaamiseksi tai lieventämiseksi, ja yhteistyön kohtuullisista kustannuksista vastaa henkilötietojen rikkomuksesta kärsinyt osapuoli.
Rajat ylittävät siirrot
1.7 Data Privacy Framework (DPF): Sinä ja me sovimme, että rajoitettujen siirtotietojen siirtojen osalta sinun ja meidän välillämme Yhdysvaltoihin tai maahan, jota ei pidetä ”asianmukaisena” alkuperäisen siirron rajoitetun kohdemaan sovellettavien tietosuojalakien mukaisesti (a) siltä osin ja niin kauan kuin DPF on asianomaisen viranomaisen tunnustama siirtomenetelmä, DPF on sovittu mekanismi rajatylittävään tietojen siirtoon rajoitetun siirron maasta Yhdysvaltoihin ja (b) siltä osin ja niin kauan kuin DPF ei ole kelvollinen siirtotapa (mukaan lukien rajoitettujen siirtotietojen siirrot maahan, jota ei ole pidetty ”asianmukaisena” alkuperäisen rajoitetun siirron maan sovellettavien tietosuojalakien mukaisesti), vakiosopimuslausekkeet koskevat tällaisia siirtoja, ja me hyväksymme ne alla olevassa kohdassa 1.11 esitetyllä tavalla. Jos sinulla on myös nykyinen DPF-sertifikaatti, rajoitettujen siirtotietojen siirto sinulle voidaan tehdä vastaavasti DPF:llä, jolloin vakiosopimuslausekkeet ovat varamekanismi yllä kuvatulla tavalla.
1.8 DPF Flow-down -velvoitteet: Hyväksyt, että tarjoat vähintään samantasoisen suojauksen rajoitetuille siirtotiedoille kuin DPF edellyttää, ja sinun tulee ilmoittaa meille viipymättä, jos toteat, että et voi enää tarjota tätä suojaustasoa. Tällaisessa tapauksessa tai jos muuten kohtuudella uskomme, että et suojaa rajoitettuja siirtotietoja DPF:n edellyttämällä tavalla, voimme joko: (a) kehottaa sinua ryhtymään kohtuullisiin ja asianmukaisiin toimiin luvattoman käsittelyn lopettamiseksi ja korjaamiseksi, jolloin teet viipymättä yhteistyötä kanssamme vilpittömässä mielessä tällaisten vaiheiden tunnistamiseksi, myöntämiseksi ja toteuttamiseksi; (b) sopia vaihtoehtoisesta suojaustoimenpiteestä, jota voidaan soveltaa sovellettavan tietosuojalain mukaiseen käsittelyyn tai (c) irtisanoa tämän C2C-sopimuksen ja sopimuksen (tai meidän valintamme mukaan sen osan, johon se vaikuttaa) ilman rangaistusta ilmoittamalla siitä sinulle. Jos sinulla on myös nykyinen DPF-sertifikaatti, yllä olevien ja jäljempänä olevan kohdan 1.9 määräyksien katsotaan pätevän ikään kuin velvoitteet olisivat kaksisuuntaisia.
1.9 DPF-luovutusvelvollisuudet: Hyväksyt, että voimme luovuttaa tämän C2C-sopimuksen ja kaikki sopimukseen kuuluvat tietosuojamääräykset Yhdysvaltain kauppaministeriölle, Federal Trade Commissionille, mille tahansa Euroopan tietosuojaviranomaiselle tai mille tahansa muulle Yhdysvaltain tai EU:n oikeus- tai sääntelyelimelle niiden esittämän pyynnön mukaisesti ja että tällaista tietojen luovuttamista ei pidetä luottamusvelvollisuuden rikkomuksena.
1.10 Vakiosopimuslausekkeiden laajentaminen rajoittamattomien siirtojen maihin: TAAP- henkilötietojen siirtoihin sinun ja meidän välillämme, jotka ovat peräisin maasta, joka ei ole rajoitetun siirron maa, mutta johon muutoin sovelletaan suojaustoimia, joita sovellettavan tietosuojalain mukaan on sovellettava ennen kuin kyseiset TAAP-henkilötiedot voidaan siirtää alkuperämaan ulkopuolelle (kukin siirron rajoittamaton kohdemaa), silloin sinä ja me sovimme, että (a) alla olevassa kohdassa 1.11 määriteltyjen vakiosopimuslausekkeiden katsotaan kattavan tällaiset lisäsiirrot siltä osin kuin se täyttäisi kyseisen maan suojaustoimet; ja/tai (b) jos kohdassa
1.11 esitetyt toimenpiteet ovat riittämättömiä tai edellyttävät lisätoimenpiteitä, osapuolet sopivat ryhtyvänsä lisätoimenpiteisiin, mukaan lukien esimerkiksi asiaankuuluvien asiakirjojen täytäntöönpano, suostumuksen pyytäminen, vaadittujen ilmoitusten tekeminen, kuten voidaan vaatia sovellettavan tietosuojalain noudattamiseksi.
1.11 Ellei yllä olevasta lausekkeesta 1.7 muuta johdu, sinä ja me hyväksymme vakiosopimuslausekkeet muuttumattomina, lukuun ottamatta seuraavia kohtia:
a. Jos olet rajoitetun siirron maassa tai muuten maassa, joka katsotaan ”sopivaksi” GDPR:n artiklan 45 mukaisesti, vain vakiosopimuslausekkeiden moduulia yksi (1) sovelletaan yksisuuntaisesti siirtoihin sinulta Expedialle. Muussa tapauksessa moduulin yksi vakiosopimuslausekkeet koskevat sekä siirtoja meiltä sinulle ja sinulta meille.
b. Vakiosopimuslausekkeiden lauseketta 11(a) varten valinnainen kieli poistetaan.
c. Vakiosopimuslausekkeiden lauseketta 13 sovellettaessa asianomainen kohta on ”Toimivaltainen valvontaviranomainen on liitteessä I.C mainittu sen jäsenvaltion valvontaviranomainen, johon asetuksen (EU) 2016/679 27 artiklan 1 kohdassa tarkoitettu edustaja on sijoittautunut.”
d. Vakiosopimuslausekkeiden lausekkeen 17 mukaisesti sovelletaan Irlannin lainsäädäntöä.
e. Vakiosopimuslausekkeiden lausekkeen 18(b) mukainen valinta on Irlanti.
f. Vakiosopimuslausekkeisiin lisätään uusi lauseke 19, joka kattaa henkilötietojen siirrot Yhdistyneestä kuningaskunnasta Yhdistyneen kuningaskunnan ulkopuolelle seuraavasti:
”Lauseke 19
Yhdistynyt kuningaskunta – GDPR ja Data Protection Act 2018 (DPA)
Osapuolet sopivat, että nämä lausekkeet laajennetaan ja niitä sovelletaan kyseisen siirron kannalta merkityksellisissä määrin rajatylittäviin siirtoihin, jotka kuuluvat Yhdistyneen kuningaskunnan GDPR:n ja Data Protection Act 2018:n soveltamisalaan (Yhdistynyttä kuningaskuntaa koskeva siirto). Tällaista Yhdistynyttä kuningaskuntaa koskevaa siirtoa varten sovelletaan vakiosopimuslausekkeiden version B1.0 kansainvälisen tiedonsiirtolisäyksen määräyksiä (joita saatetaan ajoittain muuttaa, korvata tai täydentää) liitteenä olevan lisäyslomakkeen mukaisesti.”
h. Vakiosopimuslausekkeisiin lisätään uusi lauseke 20, joka kattaa henkilötietojen siirrot Sveitsistä Sveitsin ulkopuolelle seuraavasti:
”Lauseke 20
Sveitsi – liittovaltion tietosuojalaki (FADP)
Osapuolet sopivat, että nämä lausekkeet laajennetaan ja niitä sovelletaan kyseisen siirron kannalta merkityksellisissä määrin rajatylittäviin siirtoihin, jotka kuuluvat liittovaltion tietosuojalain soveltamisalaan (lausekkeessa viitataan Sveitsiä koskevaan siirtoon). Tällaisten Sveitsiä koskevien siirtojen osalta sovellettavan lainsäädännön katsotaan olevan valitun jäsenvaltion lainsäädäntö, käytettävä tuomioistuin on valitun jäsenvaltion tuomioistuin ja toimivaltainen valvontaviranomainen on liittovaltion tietosuoja- ja tietovaltuutettu. Osapuolet sopivat lisäksi, että sellaiset lisämuutokset tulkitaan tehdyiksi Sveitsiä koskevien siirtojen lausekkeisiin, jotka
liittovaltion tietosuoja- ja tietovaltuutettu pitää tarpeellisina Yhdistyneen kuningaskunnan GDPR:n ja FADP:n noudattamiseksi. Lausekkeita tulkitaan Sveitsiä koskevien siirtojen vaatimusten mukaisesti sekä kyseisten lakien tai muutoin FDPIC:n antamien ohjeiden mukaisesti ilman, että osapuolten on tehtävä erillisiä vakiosopimuslausekkeita, jotka on laadittu erityisesti Sveitsiä koskevia siirtoja varten. Osapuolet tekevät lisäksi kaikki toimenpiteet, jotka voivat olla tarpeen FADP:n noudattamisen varmistamiseksi Sveitsiä koskeviin siirtoihin osallistuessaan.”
i. Vakiosopimuslausekkeisiin lisätään uusi lauseke 21, joka kattaa henkilötietojen siirrot Brasiliasta Brasilian ulkopuolelle seuraavasti:
”Lauseke 21
Brasilia – LGPD
Osapuolet sopivat, että nämä lausekkeet laajennetaan ja niitä sovelletaan kyseisen siirron kannalta merkityksellisissä määrin rajat ylittäviin siirtoihin, jotka kuuluvat Brasilian
yleisen tietosuojalain nro 13,709/18 (Lei Geral de Proteção de Dados) (LGPD) soveltamisalaan (lausekkeessa viitataan Brasiliaa koskevaan siirtoon). Tällaisten Brasiliaa koskevien siirtojen osalta sovellettavan lainsäädännön katsotaan olevan valitun jäsenvaltion lainsäädäntö, käytettävä tuomioistuin on valitun jäsenvaltion tuomioistuin ja toimivaltainen valvontaviranomainen on Brasilian kansallinen tietosuojaviranomainen (ANPD). Osapuolet sopivat lisäksi, että sellaiset lisämuutokset tulkitaan tehdyiksi Brasiliaa koskevien siirtojen lausekkeisiin, jotka ANPD pitää
tarpeellisina LGPD-lainsäädännön noudattamiseksi. Lausekkeita tulkitaan Brasiliaa koskevien siirtojen vaatimusten mukaisesti sekä kyseisten lakien tai muutoin ANPD:n tai muiden Brasilian viranomaisten antamien ohjeiden mukaisesti ilman, että osapuolten on tehtävä erillisiä vakiosopimuslausekkeita, jotka on laadittu erityisesti Brasiliaa koskevia siirtoja varten. Osapuolet
tekevät lisäksi kaikki toimenpiteet, jotka voivat olla tarpeen LGPD:n noudattamisen varmistamiseksi Brasiliaa koskeviin siirtoihin osallistuessaan.”
j. Vakiosopimuslausekkeisiin on lisätty uusi lauseke 22, joka kattaa henkilötietojen siirrot muista maista, joita ei ole tähän mennessä määritelty. Vakiosopimuslausekkeita voidaan laajentaa asianmukaisten suojatoimenpiteiden varmistamiseksi kyseisestä maasta peräisin olevien henkilötietojen siirroille kyseisen maan ulkopuolella sijaitsevalle osapuolelle seuraavasti:
”Lauseke 22
Muut kolmansien maiden siirrot
Osapuolet sopivat, että nämä lausekkeet laajennetaan ja niitä sovelletaan kyseisen siirron kannalta merkityksellisissä määrin rajat ylittäviin siirtoihin, jotka kuuluvat minkä tahansa asiaankuuluvan lainkäyttöalueen muiden sovellettavien lakien ja määräysten soveltamisalaan, jotka koskevat henkilötietojen käyttöä tai käsittelyä (sovellettavat tietosuojalait), jotka edellyttävät näitä lausekkeita yleisesti vastaavia ehtoja ja suojaa henkilötietojen siirtämiseksi
kyseisestä maasta toiseen (tässä lausekkeessa viitataan kolmannen maan siirtoon). Tällaisten kolmansien maiden siirtojen osalta sovellettavan lainsäädännön katsotaan olevan valitun jäsenvaltion lainsäädäntö, käytettävä tuomioistuin on valitun jäsenvaltion tuomioistuin ja kyseisen maan tietosuojaviranomainen tai sääntelyelin on toimivaltainen valvontaviranomainen. Osapuolet sopivat lisäksi, että sellaiset lisämuutokset tulkitaan tehdyiksi kolmansien maiden siirtojen lausekkeisiin, jotka kyseinen valvontaviranomainen pitää tarpeellisina kyseisen maan
sovellettavan tietosuojalainsäädännön noudattamiseksi. Lausekkeita tulkitaan kolmansien maiden siirtojen vaatimusten mukaisesti sekä kyseisten lakien tai muutoin valvontaviranomaisten
antamien ohjeiden mukaisesti ilman, että osapuolten on tehtävä erillisiä vakiosopimuslausekkeita, jotka on laadittu erityisesti kolmansien maiden siirtoja varten. Osapuolet tekevät lisäksi kaikki
toimenpiteet, jotka voivat olla tarpeen sovellettavien tietosuojalakien noudattamisen varmistamiseksi kolmansia maita koskeviin siirtoihin osallistuessaan.”
1.12 Tämän C2C-sopimuksen liite 1 (Vakiosopimuslausekkeiden käsittelyn yleiskuvaus) on vakiosopimuslausekkeiden liite 1. Tämän C2C-sopimuksen liite 2 (Tekniset ja organisatoriset
toimenpiteet) muodostaa vakiosopimuslausekkeiden liitteen 2 ja koskee vain Expediaa, jos olet toimittanut ja olemme hyväksyneet riittävät tekniset ja organisatoriset toimenpiteet täyttääksesi vakiosopimuslausekkeiden liitteen 2 vaatimukset tai mikäli näin ei ole, liitteen 2 katsotaan koskevan molempia osapuolia, ja kaikki viittaukset Expediaan ja Expedia Groupiin katsotaan viittaavan vastaavasti jompaankumpaan osapuoleen. Tämän C2C-sopimuksen lisäys on Yhdistyneen kuningaskunnan lisäys vakiosopimuslausekkeita varten.
LIITE I – VAKIOSOPIMUSLAUSEKKEIDEN KÄSITTELYN YLEISKUVAUS
MODUULI YKSI: rekisterinpitäjältä rekisterinpitäjälle (sinä meille)
A. XXXXXXXX XXXXXXXXXXX Tietojen viejä(t):
Osapuoli | Osapuoli/osapuolet, joista käytetään nimitystä ”sinä”, TAAP- jäsen tai muu vastaava nimitys |
Osoite | Sopimuksen mukaisesti |
Yhteyshenkilön nimi, asema ja yhteystiedot kaikille Expedia Groupin osapuolille | Account Manager, joka käyttää sähköpostiosoitetta, josta lähetetään ajoittain ilmoituksia Expedian yhteyshenkilölle |
Vakiosopimuslausekkeiden mukaisesti siirrettäviin tietoihin liittyvät toiminnot | Varaukset, jotka on tehty TAAP-verkkosivuston kautta, jonka olemme antaneet käyttöösi sopimuksen mukaisesti |
Rooli | Rekisterinpitäjä |
Tietojen tuoja(t):
Osapuoli | EU:n ulkopuoliset osapuolet, joista käytetään sopimuksessa nimitystä ”me” tai ”Expedia” |
Osoite | Sopimuksen mukaisesti |
Yhteyshenkilön nimi, asema ja yhteystiedot | Account Manager, joka käyttää sähköpostiosoitetta, josta lähetetään ajoittain ilmoituksia TAAP-jäsenelle |
Näiden lausekkeiden mukaisesti siirrettäviin tietoihin liittyvät toiminnot | Varaukset, jotka on tehty TAAP-verkkosivuston kautta, jonka olemme antaneet käyttöösi sopimuksen mukaisesti |
Rooli | Rekisterinpitäjä |
B. SIIRTOJEN KUVAUS
Rekisteröityjen luokat | Asiakkaat ja TAAP-jäsenet ja heidän alikäyttäjänsä |
Henkilötietojen luokat | Tunnistetiedot: o etu- ja sukunimet (sekä virkailija että matkustaja) o syntymäaika o sukupuoli o kirjautumistiedot (virkailija) Yhteystiedot: |
o postiosoite o sähköpostiosoite o puhelinnumerot (lankaliittymä- ja matkapuhelinnumerot) o faksinumero o muut yhteystiedot o syntymäaika (lentoja varten) o sukupuoli (lentoja varten) o kansalaisuus (passista) o TSA:n tiedot Taloudelliset tiedot: o pankkitilin numero o pankkitiedot o maksukortin tiedot Matkatiedot: varaushistoria ja matkustusasetukset Vain veroneuvojien yhteydessä: o verotunnus Muut TAAP-jäsenen pyytämät ja hänen kanssaan sovitut tiedot, mukaan lukien rajoituksetta henkilötiedot, joita vaaditaan liittyen seuraaviin: • raportointi, seuranta ja analyysit • kertakirjautuminen, kanta-asiakasohjelmat | |
Arkaluonteiset tiedot | Ei mitään, ellei henkilö toimita niitä vapaaehtoisesti matkustamista koskevien esteettömyystarpeidensa täyttämiseksi. |
Siirron tiheys (esim. siirretäänkö tietoja kertaluonteisesti vai jatkuvasti) | Jatkuvasti tai tapauskohtaisesti TAAP-jäsenen liiketoiminnan tarpeiden mukaan |
Käsittelyn luonne | Kaikki käsittelytoimet, joita tarvitaan alla lueteltujen tarkoitusten helpottamiseksi |
Tietojen siirron ja jatkokäsittelyn tarkoitus/tarkoitukset | Sallitut käyttötarkoitukset, sellaisina kuin ne on määritelty sopimuksessa |
Aika, joka henkilötietoja säilytetään tai jos se ei ole mahdollista, kyseisen ajanjakson määrittämisessä käytettävät kriteerit | Expedia Groupin säilytyskäytännön mukaisesti, mikäli TAAP- henkilötietoja säilytetään sopimuksen päättymisen jälkeen varmuuskopiointiin tai oikeudellisista syistä, Expedia jatkaa tällaisten henkilötietojen suojaamista sopimuksen mukaisesti |
Jos siirto tehdään (ali)käsittelijöille, määritä myös käsittelyn aihe, luonne ja kesto | xxxxx://xxxxxxx.xxx.xxx/xx/xx-xx/xxxxxxxx/000000000000- EAN-Data-Services-Vendor-List, päivitetään ajoittain |
C. TOIMIVALTAINEN VALVONTAVIRANOMAINEN
Määritä toimivaltainen valvontaviranomainen/-viranomaiset vakiosopimuslausekkeiden lausekkeen 13 mukaisesti
Irlannin tietosuojaviranomainen
MODUULI YKSI: rekisterinpitäjältä rekisterinpitäjälle (me sinulle)
A. XXXXXXXX XXXXXXXXXXX Tietojen viejä(t):
Osapuoli/osapuolet, jotka on määritetty tietojen tuojiksi moduulissa yksi (1) (sinä meille) edellä. Katso lisätietoja edeltä.
Tietojen tuoja(t):
Osapuoli/osapuolet, jotka on määritetty tietojen viejiksi moduulissa yksi (1) (sinä meille) edellä. Katso lisätietoja edeltä.
B. SIIRTOJEN KUVAUS
• Rekisteröityjen luokat • Henkilötietojen luokat • Arkaluonteiset tiedot | Moduulin yksi (1) mukaan |
• Siirron tiheys • Käsittelyn luonne • Tarkoitukset | Moduulin yksi (1) mukaan |
Aika, joka henkilötietoja säilytetään tai jos se ei ole mahdollista, kyseisen ajanjakson määrittämisessä käytettävät kriteerit | TAAP-jäsenen säilytyskäytännön mukaisesti |
Jos siirto tehdään (ali)käsittelijöille, määritä myös käsittelyn aihe, luonne ja kesto | – |
C. TOIMIVALTAINEN VALVONTAVIRANOMAINEN
Moduulin yksi (1) mukaan
LIITE II – TEKNISET JA ORGANISATORISET TOIMENPITEET
Moduulin yksi (1) tarkoituksiin sovellettavat tekniset ja organisatoriset toimenpiteet on esitelty alla.
AIHE | TOIMENPIDE |
Toimenpiteet henkilötietojen pseudonymisoimiseksi ja salaamiseksi | • Expedia Group tukee alan standardien mukaisia tiedonsiirron salausprotokollia, jotka perustuvat Expedia Groupin tietojen luokittelu- ja käsittelystandardiin. • Tietojen käsittelyä koskevat vaatimukset perustuvat kategorisuuteen. Expedia Groupilla on käytössä erilaisia suojausvaatimuksia käsiteltävistä tiedoista riippuen. Esimerkiksi luottokorttitietoja pidetään erittäin arkaluonteisina , ja ne on salattava sekä siirron että säilytyksen aikana. • Expedia Group pseudonymisoi (ja anonymisoi) asiakkaan (ja sen työntekijöiden) henkilötiedot mahdollisuuksien mukaan ja Expedia Groupin tieto-, luokitus- ja käsittelystandardien mukaisesti. • Luottokorttinumerot tokenisoidaan/pseudonymisoidaan selkotekstisten luottokorttinumeroiden käsittelyn estämiseksi. • Expedia Group käyttää salattuja VPN- ja SSL-yhteyksiä sekä monivaiheista tunnistautumista. |
Toimenpiteet käsittelyyn käytettävien järjestelmien ja palvelujen jatkuvan luottamuksellisuuden, eheyden, käytettävyyden ja joustavuuden varmistamiseksi | • Expedia Group on vastuussa ja ylläpitää menettelyjä, jotka koskevat kaikkien tietojenkäsittelytoimintojen hallintaa ja käyttöä. Näin varmistetaan tietojen kattava, asianmukainen ja tarkka käsittely. • Keskeisiä käsittelytoimintoja valvotaan SOX-ohjelmalla, jolla tietojenkäsittelyn ja eheyden valvontaa testataan todistettavasti jatkuvasti. • Expedia Groupin järjestelmissä on käytössä alan standardien mukainen lokijärjestelmä ja valvonta luvattoman käytön, muuttamisen ja/tai poistamisen estämiseksi. • Expedia Group ylläpitää palvelun resilienssiä redundantin arkkitehtuurin, tietojen replikaation ja eheyden tarkistuksen avulla. |
Toimenpiteet, joilla varmistetaan mahdollisuus palauttaa henkilötietojen käytettävyys | • Expedia Groupin järjestelmät on suunniteltu erityisesti estämään tai ehkäisemään yleisiä hyökkäyksiä ja varmistamaan käytettävyys käyttöä, valvontaa ja ylläpitoa varten. Tätä tarkoitusta varten Expedia Group suorittaa |
viipymättä fyysisen tai teknisen vaaratilanteen sattuessa | säännöllisesti simuloituja testejä ja tarkastuksia varmistaakseen, että järjestelmät ovat käytettävissä. • Palvelimet on suojattu Expedia Groupin kattavalla suojauskäytännöllä ja alan standardien mukaisilla AV-/AM- ohjelmilla. Expedia Groupin järjestelmien ylläpito varmistetaan lisäksi haavoittuvuusarvioinneilla, perusteellisilla testauksilla ja verkkotarkastuksilla. • Käytettävyyden ja luotettavuuden valvontaa käytetään sen varmistamiseksi, että Expedia-sivustot ovat käytettävissä verkossa mahdollisimman vähäisin palvelukatkoksin. • Expedia Groupilla on käytössä Disaster Recovery Plan - suunnitelma, jossa on huomioitu hätätilanteet ja varasuunnitelmat. Sillä varmistetaan asiakaspalvelun keskeytyksettömyys kunkin tilanteen vakavuuden mukaan, ja asiakaspalvelua testataan säännöllisesti sen toimintakyvyn varmistamiseksi. |
Prosessit teknisten ja organisatoristen toimenpiteiden tehokkuuden testaamiseksi ja arvioimiseksi säännöllisesti käsittelyn turvallisuuden varmistamiseksi | • Ulkopuoliset toimijat auditoivat Expedia Groupin tekniset ja organisatoriset toimenpiteet vuosittain. Käytössä on lisäksi kattava sisäinen testaus. • Expedia Group tekee vuosittaisia PCI-arviointeja käyttämällä kolmannen osapuolen arvioijaa ja varmistaa PCI-vaatimusten jatkuvan noudattamisen. • Expedia Groupin kattava sisäinen testausmenettely koostuu neljännesvuosittaisesta haavoittuvuustestauksesta, sisäisestä ja ulkoisesta läpäisytestauksesta sekä verkko-, järjestelmä- ja palomuuritarkastuksista. Lisäksi sisäisen tarkastuksen osasto tekee vuosittaisia riskiarviointeja priorisoidakseen toiminnan tarkastuksia. |
Toimenpiteet käyttäjän tunnistamiseksi ja valtuuttamiseksi, toimenpiteet tietojen suojaamiseksi siirtojen aikana, toimenpiteet tietojen suojaamiseksi säilytyksen aikana | • Expedia Groupin järjestelmät ovat alan parhaiden käytäntöjen mukaisia, ja niissä käytetään tiedonsiirtokäytäntöjä, kuten aikakatkaisuistuntoja, lukitusprotokollia sekä salasanojen ja todennuksen vahvaa hallintaa. • Expedia Groupilla on käytössä tilin luomista ja valvontaa koskevia vaatimuksia, joilla estetään Expedia Groupin tietojen luvaton käyttö tai väärinkäyttö. Lisäksi Expedia Group käyttää tarvittaessa alan parhaita käytäntöjä, kuten vähimpien oikeuksien periaatetta, yksilöllisiä tunnuksia ja monivaiheista tunnistautumista vahvaa tunnistautumista varten. |
Toimenpiteet henkilötietojen käsittelypaikkojen fyysisen turvallisuuden varmistamiseksi | • Security Operations Center toimii ympärivuorokautisesti, ja virallinen poikkeuksellisia tapauksia koskeva suunnitelma tarkistetaan ja testataan vähintään kerran vuodessa. • Ulkopuoliset palveluntarjoajat valvovat ja testaavat säännöllisesti kaikkia järjestelmiä. • Jokainen Expedia Groupin asiakas saa oman asiakastunnuksensa. Kaikki kyseisen asiakkaan tietojoukot tallennetaan tälle tunnukselle ja kaikki asiakastiedot erotetaan loogisesti. Hallintaoikeuksista ja tietokantarakenteista johtuen asiakas pääsee käsiksi vain kyseiselle käyttäjätunnukselle ja datakeskuksille/AWS- järjestelmille määriteltyihin tietojoukkoihin. • Vain Expedian nimenomaisesti valtuuttamilla henkilöillä, joilla on ”tarve tietää”, on pääsy henkilötietoihin. Hallintaa ja valvontaa käytetään vähimpien oikeuksien periaatteen toteuttamiseksi ja järjestelmän luvattomien käyttöyritysten estämiseksi. |
Toimenpiteet tapahtumien kirjaamisen varmistamiseksi | Expedia Groupilla on käytössä kattavia loki- ja valvontavaatimuksia, joilla varmistetaan kirjatusta tapahtumasta seuraavat tiedot: kuka, mitä, missä, milloin, kohde, lähde ja kirjatun tapahtuman onnistuminen/epäonnistuminen. |
Toimenpiteet järjestelmän konfiguroinnin varmistamiseksi, mukaan lukien oletuskonfigurointi, toimenpiteet sisäisen IT-järjestelmän ja IT- turvallisuuden hallintaan, toimenpiteet prosessien ja tuotteiden sertifioimiseksi/vakuuttamiseksi | • Expedia Groupin (EG) tietoturvaohjelma on alan vaatimusten ja standardien mukainen. Sen riskinhallintaohjelmalla varmistetaan tietoturvan kattava taso. Expedia Groupilla on käytössä turvallisia toimintaprosesseja ympäristön ja asiakkaiden tietojen turvallisuuden, käytettävyyden, eheyden ja luottamuksellisuuden varmistamiseksi. • Expedia Groupin koontistandardit mahdollistavat vain sellaiset järjestelmäkomponentit, palvelut ja protokollat, jotka palvelevat liiketoiminnan vaatimuksia. Käyttöjärjestelmien, tietokantojen ja valmiiden sovellusten on vastattava lakisääteisiä ja säännösten mukaisia auditointivaatimuksia, niiden on tuettava konfiguroinnin hallintatyökaluja tai käytettävä konfigurointihallintaa, jossa noudatetaan vaadittavia suojaustoimia, niiden on sallittava salaus kaikelle järjestelmän järjestelmänvalvojan etäkäytölle, näytettävä järjestelmän oikea käyttö, järjestelmää valvotaan virheellisen käytön ja muun laittoman toiminnan havaitsemiseksi eikä järjestelmää käytettäessä ole yksityisyyttä koskevia odotuksia. • Expedia Groupilla on käytössä tietoturvaan monitasoinen / perusteellisen puolustuksen strategia. Kriittisiä ominaisuuksia ja hallintatoimia on käytössä kaikkialla |
yrityksessä (esim. haittaohjelmien torjunta, WAF, verkon segmentointi, DLP jne.). Ne hyödyntävät erilaisia käytäntöjä, toimintoja ja tekniikoita sen varmistamiseksi, että ympäristöä valvotaan keskeisellä suojausorganisaatiolla ja hälytyksillä, joihin reagoidaan vastaavasti. • Expedian järjestelmiä isännöidään Amazon Web Servicesissä (AWS) ja palvelinkeskuksissa, jotka toimittavat Expedia Groupille vuosittaiset SOC 2 -raportit vaatimustenmukaisuuden varmistamiseksi. | |
Toimenpiteet tietojen minimoinnin varmistamiseksi, toimenpiteet tietojen laadun varmistamiseksi, toimenpiteet tietojen rajoitetun säilyttämisen varmistamiseksi, toimenpiteet vastuuvelvollisuuden varmistamiseksi | • Minimointi: Expedia Group varmistaa, että tietoja kerätään, käsitellään ja tallennetaan mahdollisimman vähän. Käytämme tiedoista tunnistettavaa muotoa vain tarvittaessa. • Säilytys: Expedia Groupin tietojen säilytyskäytännössä määritellään erilaisia säilytysjaksoja ja varajärjestelmiä tietojen luokasta riippuen, mukaan lukien kaikki lakisääteiset velvoitteet tai muut poikkeukset, jotka edellyttävät tällaisten tietojen säilyttämistä, kunnes tietyt lailliset velvoitteet, kuten verotus- ja kirjanpitotarkoitukset, on täytetty. • Laatu: Expedia Groupilla on virallinen laadunhallintaohjelma, Customer Experience Management (CEM) -ohjelma. Pyrimme aina tekemään parannuksia Expedia Groupin ympäristössä ja tehostamaan prosesseja, jotka johtavat johdonmukaisiin, korkealaatuisiin palveluihin ja vuorovaikutukseen kumppaneidemme, asiakkaidemme ja matkustajien kanssa. • Vastuuvelvollisuus: Expedia Group varmistaa vastuuvelvollisuuden valvonnan käytäntöjen, alan säädösten/kehysten ja lakivaatimusten johdonmukaisella täytäntöönpanolla ylläpitämällä virallista hallinto-ohjelmaa ja laki-/tietosuojaelintä. |
Toimenpiteet tietojen siirrettävyyden mahdollistamiseksi ja poistamisen varmistamiseksi | • Expedia Group on suoraan vastuussa tietosuojalainsäädännön noudattamisesta (mukaan lukien rekisteröityjen pyyntöjen osalta). Expedia Group vastaa kaikkiin rekisteröityjen pyyntöihin, mukaan lukien pääsyä, poistamista ja siirrettävyyttä koskeviin pyyntöihin sovellettavan tietosuojalain mukaisesti. • Expedia Groupin tietojen säilytyskäytännössä määritellään erilaisia säilytysjaksoja ja varajärjestelmiä tietojen luokasta riippuen, mukaan lukien kaikki lakisääteiset velvoitteet tai muut poikkeukset, jotka edellyttävät tällaisten tietojen säilyttämistä, kunnes tietyt lailliset velvoitteet, kuten verotus- ja kirjanpitotarkoitukset, on täytetty. Jos Expedia Group ei pysty tuhoamaan henkilötietoja, Expedia Group jatkaa tällaisia |
henkilötietoja koskevan sopimuksen suojan noudattamista osapuolten välillä ja lopettaa kaiken jatkokäsittelyn. | |
Kun kyseessä ovat siirrot (ali)käsittelijöille, kuvaile myös erityiset tekniset ja organisatoriset toimenpiteet, jotka (ali)käsittelijän on toteutettava voidakseen auttaa rekisterinpitäjää , ja tietojen käsittelijältä alikäsittelijälle tapahtuvissa siirroissa tietojen viejää | • Expedia Group tutkii alihankkijoidensa tietoturvakäytännöt ja vaatii alihankkijoita noudattamaan kattavia turvallisuusvaatimuksia, mukaan lukien velvollisuudet, jotka edellyttävät alihankkijoilta asianmukaisia teknisiä ja organisatorisia toimenpiteitä. • Expedia Group on virallisesti vahvistanut yksityiskohtaisen turvallisuusvaikutusten arvioinnin (”SIA”). Kaikki uudet alihankkijat, jotka pääsevät käsiksi tietoihin, tarkistetaan ennen sopimuksen tekemistä ja tarvittaessa sopimuskauden aikana. • Lisäksi Expedia Groupilla on myös kattavat alihankkijoiden tietojen käsittelijöitä koskevat ehdot, joita kaikkien alihankkijoiden on noudatettava, mikä varmistaa kaikkien velvoitteiden siirtymisen myös mahdollisille alikäsittelijöille. |
Kansainvälisen tiedonsiirron lisäys EU:n komission vakiosopimuslausekkeisiin (lisäys)
Tämän lisäyksen on julkaissut rajoitettuja siirtoja tekevien osapuolten tietosuojavaltuutettu. Tietovaltuutettu katsoo, että se tarjoaa asianmukaiset takeet rajoitetuille siirroille, kun se tehdään oikeudellisesti sitovana sopimuksena.
Osa 1 Taulukot
Taulukko 1: Osapuolet | ||
Aloituspäivä | Niiden vakiosopimuslausekkeiden päivämäärä, joihin ne on liitetty (EU:n vakiosopimuslausekkeet). | |
Osapuolet Ensisijainen yhteyshenkilö | Viejä: EU:n vakiosopimuslausekkeiden mukaisesti. | Tuoja: EU:n vakiosopimuslausekkeiden mukaisesti. |
Taulukko 2: Valitut vakiosopimuslausekkeet, moduulit ja valitut lausekkeet | ||
EU:n vakiosopimuslausekkeiden lisäys | Hyväksyttyjen EU:n vakiosopimuslausekkeiden versio, jonka liitteenä tämä lisäys on. | |
Taulukko 3: Liitetiedot | ||
”Liitetiedot” tarkoittaa tietoja, jotka on toimitettava valituista moduuleista hyväksyttyjen EU:n vakiosopimuslausekkeiden (muiden kuin sopimuspuolten) liitteen mukaisesti, ja jotka tämän lisäyksen osalta on esitetty seuraavissa: | ||
Liite IA: Luettelo osapuolista Liite IB: Siirtojen kuvaus Liite II: Tekniset ja organisatoriset toimenpiteet | EU:n vakiosopimuslausekkeiden mukaisesti | |
Taulukko 4: Tämän lisäyksen päättäminen, kun hyväksyttyyn lisäykseen tehdään muutoksia | ||
Kumpi osapuoli voi päättää tämän lisäyksen lausekkeen 19 mukaisesti | Ei kumpikaan osapuoli | |
Osa 2: Pakolliset lausekkeet
Hyväksytyn lisäyksen pakolliset lausekkeet, jotka ovat ICO:n julkaisema lisäys B.1.0, joka esitettiin parlamentille vuoden 2018 tietosuojalain kohdan s119A mukaisesti 2. helmikuuta 2022, sellaisena kuin se on tarkistettu näiden pakollisten lausekkeiden osion 18 mukaisesti.