Contract
Online TAAP-overeenkomst – Overeenkomst tussen verwerkingsverantwoordelijken (Controller to Controller, C2C), inclusief SCB's
De originele Engelse versie van deze C2C-overeenkomst kan zijn vertaald in andere talen. In het geval van inconsistentie of strijdigheden tussen de Engelstalige versie en een anderstalige versie van deze
Overeenkomst, prevaleert de Engelstalige versie.
TOEPASSINGSGEBIED: Wanneer zowel Expedia als u persoonsgegevens verwerken als onderdeel van een overeenkomst (die de vorm kan hebben van online clickwrap-voorwaarden) die is aangegaan met de andere partij (op grond waarvan u bent aangesteld als marketingpartner onder TAAP, en alle relevante activiteiten uitvoert die verband houden met een dergelijke activiteit, hier de ‘Relevante activiteiten’ genoemd), dan is deze wereldwijde overeenkomst tussen verwerkingsverantwoordelijken (‘C2C- overeenkomst’) een aanvulling op en van toepassing op een dergelijke overeenkomst tussen de partijen in verband met de Relevante activiteiten (de ‘Overeenkomst’). De C2C-overeenkomst omvat aanvullende voorwaarden, eisen en voorwaarden waaronder Expedia en u persoonsgegevens verwerken in verband met de Overeenkomst. In deze C2C-overeenkomst verwijzen ‘Expedia’, ‘wij’ en ‘ons’ naar Expedia, Inc. en/of enige andere Expedia Group-onderneming(en) die partij is/zijn bij de Overeenkomst. ‘U’ verwijst naar de entiteit vermeld op de aanvraag zoals beschreven in de Overeenkomst. Alle verwijzingen naar Expedia of u worden opgevat als meervoudige termen voor zover vereist door de Overeenkomst.
1. DEFINITIES EN INTERPRETATIE
1.1 Deze C2C-overeenkomst is onderworpen aan de voorwaarden van de Overeenkomst en is opgenomen in de Overeenkomst. Interpretaties en gedefinieerde termen vermeld in de Overeenkomst zijn van toepassing op de interpretatie van deze C2C-overeenkomst, tenzij anders bepaald in deze C2C-overeenkomst; en:
a. passende technische en organisatorische maatregelen, verwerkingsverantwoordelijke, persoonsgegevens, inbreuk in verband met persoonsgegevens, verwerken/verwerking en toezichthoudende autoriteit (of redelijkerwijs gelijkwaardige termen) hebben de betekenis die eraan wordt gegeven in de Toepasselijke Gegevensbeschermingswetgeving;
b. Toepasselijke Gegevensbeschermingswetgeving betekent alle toepasselijke wet- en regelgeving in elk relevant rechtsgebied met betrekking tot het gebruik of de verwerking van persoonsgegevens;
c. Toegelaten Doeleinde betekent de doeleinden van (i) het vervullen van boekingen; (ii) het bieden van ondersteuning voor boekingen; (iii) TAAP-registratie en
accountadministratie; (iv) betaling van Commissie en andere bedragen op grond van de Overeenkomst; (v) het genereren van rapporten voor u en elke verdere verwerking die vereist is voor verzoening, afhandeling van klachten en vergelijkbare activiteiten met betrekking tot de uitvoering van de Overeenkomst; (vi) ondersteuning voor TAAP-
accounts; (vii) communicatie aan TAAP-leden en subgebruikers; (viii) het verbeteren van onze diensten, met inbegrip van het optimaliseren van de boekingservaring; (ix) het
opstellen van rapporten voor statistieken, sectorexpertise en bedrijfsrapportage; (x) fraudepreventie; (xi) het reageren op verzoeken van wetshandhavingsinstanties en
fiscale autoriteiten; (xii) het faciliteren van zakelijke activatransacties (wat onder meer
fusies, overnames of de verkoop van activa kan betreffen); (xiii) het anderszins voldoen
aan onze verplichtingen op grond van de Overeenkomst, het privacybeleid van Expedia en toepasselijke wetgeving; en (xiv) het bepalen, berekenen en aangeven van reisbelastingen en andere toepasselijke fiscale doeleinden zoals van tijd tot tijd vereist kan zijn;
d. DPF betekent een EU-VS Data Privacy Framework-certificering van het Amerikaanse ministerie van Handel of een vervangend of aanvullend certificeringsmechanisme zoals van tijd tot tijd wordt goedgekeurd door de Europese Commissie (of een andere relevante nationale autoriteit), en omvat alle aanvullende adequaatheidsbesluiten die door een ander land worden uitgevaardigd en die de uitbreiding van de DPF tussen de VS en dat derde land mogelijk maken (bijvoorbeeld, maar niet beperkt tot, het Verenigd Koninkrijk en Zwitserland);
e. Land met beperkte doorgifte betekent elk land in de Europese Economische Ruimte, Zwitserland, het Verenigd Koninkrijk en Brazilië;
f. Gegevens met beperkte doorgifte zijn klantgegevens met betrekking tot een boeking die is gemaakt via een verkooppunt dat wij toegankelijk stellen voor klanten in een Land met beperkte doorgifte;
g. Standaardcontractbepalingen/SCB’s zijn de goedgekeurde
h. TAAP-persoonsgegevens betekent persoonsgegevens die u ons verstrekt via de TAAP- website of die anderszins worden verwerkt in verband met TAAP zelf of ter facilitering van boekingen via de TAAP-website.
Relatie van de partijen
1.2 Zowel u als wij verzamelen en verwerken persoonsgegevens om te voldoen aan onze respectievelijke rechten en verplichtingen op grond van de Overeenkomst en aan uw en onze respectievelijke verantwoordelijkheden op grond van toepasselijke wetgeving. Derhalve dient elk van de partijen: (i) persoonsgegevens te verwerken als onafhankelijke en autonome verwerkingsverantwoordelijken; (ii) de Toepasselijke Gegevensbeschermingswetgeving na te leven; en (iii) verantwoordelijk te zijn voor elk van hun handelingen of nalatigheden in strijd met de Toepasselijke Gegevensbeschermingswetgeving.
Uw verantwoordelijkheden
1.3 U dient:
a. te voldoen aan een wettelijke grondslag om TAAP-persoonsgegevens aan ons ter beschikking te stellen ter verwerking voor de Toegelaten Doeleinden;
b. ervoor te zorgen dat klanten via uw privacybeleid en op enige andere passende wijze ervan op de hoogte worden gebracht dat hun persoonsgegevens met ons worden gedeeld voor de Toegelaten Doeleinden;
c. klanten naar ons privacybeleid te verwijzen voor meer informatie over onze behandeling van hun persoonsgegevens; en
d. met ons samen te werken en ons redelijke assistentie te verlenen om ons te helpen bij de naleving van de Toepasselijke Gegevensbeschermingswetgeving ten aanzien van onze verwerking van TAAP-persoonsgegevens in verband met de Overeenkomst.
Onze verantwoordelijkheden
1.4 Wij (en onze Groepsleden, indien van toepassing):
a. verwerken TAAP-persoonsgegevens uitsluitend in verband met een Toegelaten Doeleinde;
b. maken de TAAP-persoonsgegevens, geheel of gedeeltelijk, aan niemand bekend, behalve in verband met een Toegelaten Doeleinde;
c. werken samen met u en verlenen u redelijke assistentie om u te helpen bij de naleving van de Toepasselijke Gegevensbeschermingswetgeving ten aanzien van uw verwerking van TAAP-persoonsgegevens in verband met de Overeenkomst; en
d. tonen onze rechtmatige, actuele cookiemelding (indien vereist) en ons privacybeleid op de TAAP-website en leven deze na.
Klanten en derden
1.5 U erkent dat wij:
a. e-mails naar klanten kunnen sturen in verband met boekingen;
b. TAAP-persoonsgegevens (met inbegrip van bankgegevens) kunnen doorgeven aan onze externe dienstverleners ten behoeve van:
i. het toekennen, beheren en ondersteunen van uw TAAP-account, de TAAP-account van uw Vertegenwoordigers en de TAAP-account van uw Subgebruikers;
ii. het bieden van ondersteuning voor boekingen; en
iii. het betalen van Commissie en andere bedragen op grond van de Overeenkomst.
Gegevensbeveiliging
1.6 Beide partijen dienen in hun hoedanigheid van verwerkingsverantwoordelijke:
a. passende technische en organisatorische maatregelen te handhaven om de persoonsgegevens die zij verwerken te beschermen tegen inbreuken in verband met persoonsgegevens; en
b. in het geval van een bevestigde inbreuk in verband met persoonsgegevens in systemen die in het bezit zijn van of beheerd worden door die partij, de andere partij onverwijld op de hoogte te brengen indien de inbreuk in verband met persoonsgegevens (i) betrekking heeft op TAAP-persoonsgegevens die ook door de andere partij in het kader van de Overeenkomst worden verwerkt; en (ii) meldbaar is aan een toezichthoudende autoriteit, met volledige vermelding van de bijzonderheden ervan. In een dergelijk geval dienen beide partijen op redelijke wijze en te goeder trouw samen te werken om de gevolgen van de inbreuk in verband met persoonsgegevens te herstellen of te verminderen. De redelijke
kosten van een dergelijke samenwerking dienen te worden gedragen door de partij bij wie de inbreuk in verband met persoonsgegevens zich heeft voorgedaan.
Grensoverschrijdende doorgiften
1.7 Data Privacy Framework (DPF): U en wij komen overeen dat met betrekking tot doorgiften van Gegevens met beperkte doorgifte tussen u en ons naar de Verenigde Staten of naar een land dat niet als ‘adequaat’ wordt beschouwd volgens de Toepasselijke Gegevensbeschermingswetgeving van het Land met beperkte doorgifte van herkomst, (a) voor zover en zolang DPF door een relevante autoriteit is erkend als doorgeefmethode, DPF het overeengekomen mechanisme is voor grensoverschrijdende doorgifte van gegevens afkomstig uit een Land met beperkte doorgifte aan ons in de Verenigde Staten, en (b) voor zover en zolang DPF geen geldige doorgeefmethode is (inclusief voor doorgiften van Gegevens met beperkte doorgifte naar een land dat niet als ‘adequaat’ wordt beschouwd onder de Toepasselijke Gegevensbeschermingwetgeving van het oorspronkelijke Land met beperkte doorgifte), de SCB’s van toepassing zijn op dergelijke doorgiften en we ze zullen aangaan op basis van onderstaand artikel 1.11. Als u ook een geldige DPF- certificering heeft, kunnen doorgiften van Xxxxxxxx met beperkte doorgifte aan u op dezelfde manier worden gedaan in overeenstemming met DPF, met de SCB’s als terugvalmechanisme zoals hierboven is uiteengezet.
1.8 Uw DPF-verplichtingen: U stemt ermee in ten minste hetzelfde beschermingsniveau te bieden voor de Gegevens met beperkte doorgifte als vereist onder DPF. U dient ons onmiddellijk op de hoogte te stellen als u vaststelt dat u dit beschermingsniveau niet langer kunt bieden. In dat geval, of als we anderszins redelijkerwijs van mening zijn dat u de Gegevens met beperkte doorgifte niet beschermt zoals vereist onder DPF, kunnen we: (a) u gelasten om redelijke en passende stappen te ondernemen om elke ongeoorloofde verwerking te stoppen en te herstellen; in dat geval dient u onmiddellijk te goeder trouw met ons samen te werken om dergelijke stappen te identificeren, overeen te komen en uit te voeren; (b) een alternatieve bescherming overeenkomen die van toepassing kan zijn op de verwerking onder de Toepasselijke Gegevensbeschermingswetgeving; of (c) deze C2C-overeenkomst en de Overeenkomst (of, naar onze keuze, elk betrokken deel daarvan) zonder boete beëindigen door u hiervan op de hoogte te stellen. Als u ook een geldige DPF-certificering heeft, worden de bovenstaande bepalingen en die van onderstaand artikel 1.9 geacht van toepassing te zijn alsof de verplichtingen in beide richtingen gelden.
1.9 DPF-openbaarmakingsverplichtingen: U erkent dat we deze C2C-overeenkomst en alle relevante privacybepalingen in de Overeenkomst kunnen bekendmaken aan het Amerikaanse ministerie van Handel, de Federal Trade Commission, elke Europese gegevensbeschermingsautoriteit of elke andere gerechtelijke of regelgevende instantie in de VS of de EU als zij daarom verzoeken, en dat een dergelijke bekendmaking niet wordt beschouwd als een schending van de vertrouwelijkheid.
1.10 Uitbreiding van SCB’s naar Landen met niet-beperkte doorgifte: Met betrekking tot de doorgifte tussen u en ons van TAAP-persoonsgegevens die afkomstig zijn uit een land dat geen Land met beperkte doorgifte is, maar anderszins onderworpen is aan beschermingen die volgens de Toepasselijke Gegevensbeschermingswetgeving moeten worden toegepast voordat die TAAP- persoonsgegevens kunnen worden doorgegeven buiten het land van herkomst (elk een Land met niet-beperkte doorgifte), dan komen u en wij overeen dat (a) de SCB’s uiteengezet in onderstaand artikel 1.11 worden geacht ook te gelden voor dergelijke aanvullende doorgiften voor zover een dergelijke uitbreiding voldoet aan de beschermingen van het betreffende land; en/of (b) wanneer de maatregelen uiteengezet in artikel 1.11 onvoldoende zijn of aanvullende maatregelen vereisen, komen de partijen overeen om verdere maatregelen te nemen, waaronder bijvoorbeeld het ondertekenen van relevante documenten, het verkrijgen van toestemming of het indienen van de vereiste documenten, zoals van tijd tot tijd nodig kan zijn om te voldoen aan de Toepasselijke Gegevensbeschermingswetgeving.
1.11 Behoudens bovenstaand artikel 1.7 komen u en wij hierbij overeen om de SCB’s ongewijzigd aan te gaan, met uitzondering van de volgende keuzes:
a. Wanneer u zich bevindt in een Land met beperkte doorgifte of anderszins in een land dat als ‘adequaat’ wordt beschouwd in overeenstemming met artikel 45 van de AVG, is alleen Module één (1) van de SCB’s van toepassing in één richting met betrekking tot doorgiften van u naar Expedia. Anders is Xxxxxx één van de SCB’s in twee richtingen van toepassing om zowel doorgiften van ons naar u als van u naar ons te dekken.
b. Voor de toepassing van bepaling 11(a) van de SCB’s wordt de optionele tekst geschrapt.
c. Voor de toepassing van bepaling 13 van de SCB’s is de relevante paragraaf “De toezichthoudende autoriteit van de lidstaat waar de vertegenwoordiger in de zin van artikel 27, lid 1, van Verordening (EU) 2016/679 is gevestigd, zoals aangegeven in bijlage I.C, treedt op als de bevoegde toezichthoudende autoriteit.”
d. Voor de toepassing van bepaling 17 van de SCB’s is het toepasselijke recht dat van Ierland.
e. Voor de toepassing van bepaling 18(b) van de SCB’s is de selectie Ierland.
f. Een nieuwe bepaling 19 wordt toegevoegd aan de SCB’s om de doorgifte van persoonsgegevens van het Verenigd Koninkrijk naar buiten het Verenigd Koninkrijk als volgt te dekken:
“Bepaling 19
UK GDPR en DPA 2018
De partijen komen overeen dat deze bepalingen, voor zover relevant voor de betreffende
doorgifte, worden uitgebreid en van toepassing zijn op grensoverschrijdende doorgiften die vallen onder het toepassingsgebied van de UK GDPR en de Data Protection Xxx 0000 (VK-doorgifte). Voor de toepassing van een dergelijke VK-doorgifte gelden de bepalingen van het Addendum voor internationale doorgifte van gegevens bij de Standaardcontractbepalingen versie B1.0 (zoals van tijd tot tijd gewijzigd, vervangen, aangevuld of geüpdatet) zoals uiteengezet in het formulier dat is bijgevoegd als het Addendum.”
h. Een nieuwe bepaling 20 wordt toegevoegd aan de SCB’s om de doorgifte van persoonsgegevens van Zwitserland naar buiten Zwitserland als volgt te dekken:
“Bepaling 20
Zwitserland - FADP
De partijen komen overeen dat deze bepalingen, voor zover relevant voor de betreffende
doorgifte, worden uitgebreid en van toepassing zijn op grensoverschrijdende doorgiften die vallen onder het toepassingsgebied van de Federal Act of Data Protection (FADP) (in deze bepaling Zwitserse doorgiften genoemd). Voor de doeleinden van dergelijke Zwitserse doorgiften wordt de toepasselijke wet geacht die van de geselecteerde lidstaat te zijn, de forumkeuze de
geselecteerde lidstaat en de Federal Data Protection and Information Commissioner (FDPIC) de bevoegde toezichthoudende autoriteit. De partijen komen verder overeen dat verdere wijzigingen dienen te worden aangebracht aan de bepalingen met betrekking tot een Zwitserse doorgifte
zoals noodzakelijk wordt geacht door de FCPIC om te voldoen aan de UK GDPR en FADP, en de bepalingen zullen worden geïnterpreteerd in overeenstemming met de vereisten voor Zwitserse doorgiften die voortvloeien uit die wetten of zoals anderszins uiteengezet in richtlijnen uitgegeven door de FDPIC, zonder dat de partijen afzonderlijke Standaardcontractbepalingen hoeven aan te gaan die specifiek zijn opgesteld voor hun Zwitserse doorgiften. De partijen zullen verder alle handelingen en zaken doen die nodig zijn om naleving van de FADP te waarborgen bij het
uitvoeren van Zwitserse doorgiften.”
i. Een nieuwe bepaling 21 wordt toegevoegd aan de SCB’s om de doorgifte van persoonsgegevens van Brazilië naar buiten Brazilië als volgt te dekken:
“Bepaling 21
Brazilië - LGPD
De partijen komen overeen dat deze bepalingen, voor zover relevant voor de betreffende
doorgifte, worden uitgebreid en van toepassing zijn op grensoverschrijdende doorgiften die vallen onder het toepassingsgebied van de Braziliaanse algemene gegevensbeschermingswet
13,709/18 (Lei Geral de Proteção de Dados, LGPD) (in deze bepaling Braziliaanse doorgifte genoemd). Voor de doeleinden van dergelijke Braziliaanse doorgiften wordt de toepasselijke wet geacht die van de geselecteerde lidstaat te zijn, de forumkeuze de geselecteerde lidstaat en de Braziliaanse nationale gegevensbeschermingsautoriteit (ANPD) de bevoegde toezichthoudende autoriteit. De partijen komen verder overeen dat verdere wijzigingen dienen te worden aangebracht aan de bepalingen met betrekking tot een Braziliaanse doorgifte zoals noodzakelijk wordt geacht door de ANPD om te voldoen aan de LGPD, en de bepalingen zullen worden
geïnterpreteerd in overeenstemming met de vereisten voor Braziliaanse doorgiften die voortvloeien uit die wetten of zoals anderszins uiteengezet in richtlijnen uitgegeven door de ANPD of een andere relevante Braziliaanse autoriteit, zonder dat de partijen afzonderlijke Standaardcontractbepalingen hoeven aan te gaan die specifiek zijn opgesteld voor hun
Braziliaanse doorgiften. De partijen zullen verder alle handelingen en zaken doen die nodig zijn om naleving van de LGPD te waarborgen bij het uitvoeren van Braziliaanse doorgiften.”
j. Er wordt als volgt een nieuwe bepaling 22 toegevoegd aan de SCB’s om de doorgifte van persoonsgegevens te dekken vanuit elk ander land dat tot nu toe niet is gespecificeerd, waarbij de SCB’s kunnen worden uitgebreid om passende bescherming te bieden voor doorgiften van persoonsgegevens vanuit dat land naar een partij buiten dat land:
“Bepaling 22
Doorgiften vanuit andere derde landen
De partijen komen overeen dat deze bepalingen worden uitgebreid en van toepassing zijn, voor zover relevant voor de betreffende doorgifte, om grensoverschrijdende doorgiften te dekken die vallen onder het toepassingsgebied van andere toepasselijke wet- en regelgeving in een relevant rechtsgebied met betrekking tot het gebruik of de verwerking van persoonsgegevens (Toepasselijke Gegevensbeschermingswetgeving) die voorwaarden en bescherming vereist die in grote lijnen gelijk zijn aan deze bepalingen, om persoonsgegevens van dat land naar een ander land door te geven (in deze bepaling Doorgifte vanuit een derde land genoemd). Voor de doeleinden van dergelijke Doorgiften vanuit derde landen wordt de toepasselijke wet geacht die van de geselecteerde lidstaat te zijn, de forumkeuze de geselecteerde lidstaat en de gegevensbeschermingsautoriteit of regelgevende instantie van dat land de bevoegde
toezichthoudende autoriteit. De partijen komen verder overeen dat verdere wijzigingen dienen te
worden aangebracht aan de bepalingen met betrekking tot een Doorgifte vanuit derde landen zoals noodzakelijk wordt geacht door de toezichthoudende autoriteit om te voldoen aan de Toepasselijke Gegevensbeschermingswetgeving van dat land, en de bepalingen zullen worden geïnterpreteerd in overeenstemming met de vereisten voor Doorgiften vanuit derde landen die voortvloeien uit die wetten of zoals anderszins uiteengezet in richtlijnen uitgegeven door de relevante toezichthoudende autoriteit, zonder dat de partijen afzonderlijke
Standaardcontractbepalingen hoeven aan te gaan die specifiek zijn opgesteld voor hun Doorgiften vanuit derde landen. De partijen zullen verder alle handelingen en zaken doen die
nodig zijn om naleving van de Toepasselijke Gegevensbeschermingswetgeving te waarborgen bij het uitvoeren van Doorgiften vanuit derde landen.”
1.12 Bijlage 1 (Overzicht verwerking volgens SCB’s) bij deze C2C-overeenkomst vormt Bijlage 1 van de SCB’s. Bijlage 2 (Technische en organisatorische maatregelen) bij deze C2C-overeenkomst vormt Bijlage 2 van de SCB’s en is alleen van toepassing op Expedia wanneer u passende
technische en organisatorische maatregelen heeft verstrekt en wij deze hebben geaccepteerd om te voldoen aan uw eisen van Bijlage 2 van de SCB’s. Wanneer dit niet het geval is, wordt Bijlage 2 opgevat als van toepassing op beide partijen en worden alle verwijzingen naar Expedia en Expedia Group opgevat als verwijzingen naar een van beide partijen. Het addendum bij deze C2C-overeenkomst vormt het VK-addendum voor de doeleinden van de SCB’s.
BIJLAGE I – OVERZICHT VERWERKING VOLGENS SCB’s
MODULE ÉÉN: Tussen twee verwerkingsverantwoordelijken (van u aan ons)
A. LIJST VAN PARTIJEN Gegevensexporteur(s):
Partij | De partij(en) geïdentificeerd als ‘u’, TAAP-lid of een gelijkwaardige term |
Adres | Zoals gespecificeerd in de Overeenkomst |
Naam, functie en contactgegevens van de contactpersoon voor alle Expedia Group-partijen | Accountmanager die het e-mailadres gebruikt dat van tijd tot tijd aan de Expedia-contactpersoon wordt doorgegeven |
Activiteiten die relevant zijn voor gegevensdoorgifte onder de SCB’s | Boekingen gemaakt via de TAAP-website die wij aan u beschikbaar stellen in overeenstemming met de Overeenkomst |
Functie | Verwerkingsverantwoordelijke |
Gegevensimporteur(s):
Partij | De niet-EU-partijen geïdentificeerd als ‘ons’ of ‘Expedia’ in de Overeenkomst |
Adres | Zoals gespecificeerd in de Overeenkomst |
Naam, functie en contactgegevens van de contactpersoon | Accountmanager die het e-mailadres gebruikt dat van tijd tot tijd aan het TAAP-lid wordt doorgegeven |
Activiteiten die relevant zijn voor de gegevensdoorgifte onder deze bepalingen | Boekingen gemaakt via de TAAP-website die wij aan u beschikbaar stellen in overeenstemming met de Overeenkomst |
Functie | Verwerkingsverantwoordelijke |
B. BESCHRIJVING VAN DOORGIFTE
Categorieën van betrokkenen | Klanten en TAAP-leden en hun subgebruikers |
Categorieën van persoonsgegevens | Identificatiegegevens: o voor- en achternaam (medewerker en reiziger) o geboortedatum o gender o aanmeldingsgegevens (medewerker) |
Contactgegevens: o postadres o e-mailadres o telefoonnummers (vast en mobiel) o faxnummer o andere contactgegevens o geboortedatum (voor vluchten) o gender (voor vluchten) o nationaliteit (volgens paspoort) o TSA-gegevens Financiële gegevens: o bankrekeningnummer o bankgegevens o betaalpasgegevens Reisinformatie: boekingsgeschiedenis en reisvoorkeuren In het geval van belastingmedewerkers alleen: o btw-nummer Andere informatie zoals gevraagd door en overeengekomen met het TAAP-lid, inclusief maar niet beperkt tot persoonsgegevens die nodig zijn in verband met: • Rapportage, controle en analyse • Eenmalige aanmelding, loyaliteitsprogramma's | |
Gevoelige gegevens | Geen, tenzij vrijwillig verstrekt door een persoon om te voorzien in hun toegankelijkheidsbehoeften tijdens het reizen. |
De frequentie van de doorgifte (bv. of de gegevens eenmalig of continu worden doorgegeven) | Continu of ad hoc in overeenstemming met de behoeften van de activiteiten van het TAAP-lid |
Aard van de verwerking | Alle verwerkingsactiviteiten die nodig zijn om de hieronder uiteengezette doeleinden mogelijk te maken |
Xxxxxxxxx(n) van de gegevensdoorgifte en verdere verwerking | Toegelaten Doeleinden, zoals gedefinieerd in de Overeenkomst |
De periode gedurende welke de persoonsgegevens zullen worden bewaard, of indien dat niet mogelijk is, de criteria om die termijn te bepalen | In overeenstemming met het bewaarbeleid van Expedia Group, op voorwaarde dat, voor zover TAAP-persoonsgegevens worden bewaard na de beëindiging van de Overeenkomst voor back-up of om juridische redenen, Expedia dergelijke persoonsgegevens blijft beschermen in overeenstemming met de Overeenkomst |
Voor doorgiften aan (sub)verwerkers ook het | xxxxx://xxxxxxx.xxx.xxx/xx/xx-xx/xxxxxxxx/000000000000- EAN-Data-Services-Vendor-List, zoals van tijd tot tijd bijgewerkt |
onderwerp, de aard en de duur van de verwerking opgeven |
C. BEVOEGDE TOEZICHTHOUDENDE AUTORITEIT
De bevoegde toezichthoudende autoriteiten identificeren in overeenstemming met bepaling 13 van de SCB’s
Ierse gegevensbeschermingsautoriteit
MODULE ÉÉN: Tussen twee verwerkingsverantwoordelijken (van ons aan u)
A. LIJST VAN PARTIJEN Gegevensexporteur(s):
De Partij(en) die hierboven zijn geïdentificeerd als Gegevensimporteurs in Module één (1) (van u aan ons). Zie boven voor verdere details.
Gegevensimporteur(s):
De Partij(en) die hierboven zijn geïdentificeerd als Gegevensexporteurs in Module één (1) (van u aan ons). Zie boven voor verdere details.
B. BESCHRIJVING VAN DOORGIFTE
• Categorieën van betrokkenen • Categorieën van persoonsgegevens • Gevoelige gegevens | Volgens Module één (1) |
• Frequentie van doorgifte • Aard van de verwerking • Doeleinden | Volgens Module één (1) |
De periode gedurende welke de persoonsgegevens zullen worden bewaard, of indien dat niet mogelijk is, de criteria om die termijn te bepalen | In overeenstemming met het bewaarbeleid van het TAAP-lid |
Voor doorgiften aan (sub)verwerkers ook het onderwerp, de aard en de duur van de verwerking opgeven | Niet van toepassing |
C. BEVOEGDE TOEZICHTHOUDENDE AUTORITEIT
Volgens Module één (1)
BIJLAGE II - TECHNISCHE EN ORGANISATORISCHE MAATREGELEN
De technische en organisatorische maatregelen die van toepassing zijn voor de doeleinden van Module één (1) worden hieronder uiteengezet.
ONDERWERP | MAATREGEL |
Maatregelen betreffende de pseudonimisering en versleuteling van persoonsgegevens | • Expedia Group past versleutelingsprotocollen voor gegevensdoorgifte toe die voldoen aan de industriestandaard, op basis van de norm voor classificatie en verwerking van informatie van Expedia Group (Information Classification and Handling Standard). • De vereisten voor gegevensverwerking zijn gebaseerd op categorieën. Afhankelijk van de gegevens die worden verwerkt, gelden binnen Expedia Group verschillende beveiligingsvereisten. Creditcardgegevens worden bijvoorbeeld als zeer gevoelig beschouwd en moeten zowel tijdens de doorgifte als in rust worden versleuteld. • Persoonsgegevens van klanten (en hun werknemers) worden gepseudonimiseerd (en geanonimiseerd) door Expedia Group, waar mogelijk en zoals vereist volgens EG's normen voor classificatie en verwerking van informatie (Information Classification and Handling Standards). • Creditcardnummers worden getokeniseerd/gepseudonimiseerd zodat creditcardnummers niet in leesbare tekst worden verwerkt. • Expedia Group maakt gebruik van versleutelde verbindingen via VPN, SSL, enz. en van meervoudige- authenticatiemechanismen. |
Maatregelen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en - diensten te garanderen | • Expedia Group handhaaft verantwoordelijkheden en procedures voor het beheer en de werking van alle informatieverwerkingsfaciliteiten om volledige, geldige en nauwkeurige gegevensverwerking te garanderen. • Er is toezicht op de belangrijkste verwerkingsfaciliteiten, met een robuust SOX-programma waarin controles op gegevensverwerking en integriteit doorlopend worden getest en bevestigd. • De systemen van EG gebruiken aanmeld- en controlemethoden die voldoen aan de industriestandaard, om te beschermen tegen ongeoorloofde toegang, wijziging en/of verwijdering. |
• Expedia Group handhaaft de veerkracht van de diensten door middel van redundante architectuur, gegevensreplicatie en integriteitscontroles. | |
Maatregelen om het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen te waarborgen | • De systemen van Expedia Group zijn specifiek ontworpen om veelvoorkomende aanvallen te belemmeren of te voorkomen en om beschikbaarheid voor werking, controle en onderhoud te garanderen. Hiertoe voert Expedia Group regelmatig gesimuleerde testen en audits uit om te bevestigen dat hun systemen beschikbaar blijven. • Servers worden gepatcht volgens het robuuste patchingbeleid van Expedia Group en worden beschermd door antivirus- en antimalwareprogramma's die voldoen aan de industriestandaard. Daarnaast worden kwetsbaarheidsbeoordelingen, grondige testen en netwerkbeoordelingen uitgevoerd om ervoor te zorgen dat de systemen van EG worden gehandhaafd. • Er is toezicht op de beschikbaarheid en betrouwbaarheid om ervoor te zorgen dat Expedia-sites online blijven, met minimale onderbrekingen van de service. • Expedia Group handhaaft een noodherstelplan dat rekening houdt met noodsituaties en rampenplannen om ervoor te zorgen dat de klantenservice ononderbroken blijft in overeenstemming met de xxxxx. Deze worden regelmatig getest om de uitvoerbaarheid te waarborgen. |
Procedures voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking | • De technische en organisatorische maatregelen van Expedia Group worden jaarlijks gecontroleerd door externe beoordelaars en door middel van robuuste interne testen. • EG voert jaarlijkse PCI-beoordelingen uit met behulp van een externe beoordelaar en zorgt voor voortdurende naleving van PCI. • De uitgebreide interne testfunctie van EG bestaat uit driemaandelijkse kwetsbaarheidstesten, interne en externe penetratietesten, netwerk-, systeem- en firewallscanning en beoordelingen. Daarnaast voert een interne auditafdeling jaarlijkse risicobeoordelingen uit om de operationele audits te prioriteren. |
Maatregelen voor de identificatie en autorisatie van gebruikers – Maatregelen voor de bescherming van gegevens tijdens verzending – Maatregelen | • De systemen van Expedia Group zijn afgestemd op de best practices in de branche en hebben communicatiepraktijken zoals time-outsessies, vergrendelingsprotocollen en robuuste wachtwoord- en authenticatiecontroles. • Expedia Group handhaaft vereisten voor accountregistratie en -toezicht om ongeoorloofde toegang tot of misbruik van |
voor de bescherming van gegevens tijdens de opslag | Expedia Group-informatie te voorkomen en maakt waar nodig gebruik van best practices uit de branche, zoals het principe van het minste voorrecht, unieke ID's en meervoudige authenticatie met het oog op sterke authenticatie. |
Maatregelen om de fysieke beveiliging van locaties waar persoonsgegevens worden verwerkt te waarborgen | • Een Security Operations Center biedt 24x7 dekking, met een formeel incidentresponsplan dat ten minste jaarlijks wordt beoordeeld en getest. • Alle systemen worden regelmatig gecontroleerd en getest door externe dienstverleners. • Elke klant van Expedia Group ontvangt een eigen klant-ID. Alle datasets van de betreffende klant worden onder die ID opgeslagen en alle klantgegevens worden logisch gescheiden. Vanwege beheerrechten en databasestructuren heeft de klant alleen toegang tot datasets die zijn toegewezen aan die gebruikers-ID en datacenter/AWS- controles. • Alleen personen die uitdrukkelijk door Expedia zijn geautoriseerd en een ‘noodzaak tot kennisneming’ hebben, hebben toegang tot persoonsgegevens. Er is controle en toezicht om toegang op basis van het minste voorrecht te garanderen en ongeautoriseerde toegangspogingen tot het systeem te verhinderen. |
Maatregelen om het opslaan van gebeurtenisinformatie te garanderen | Expedia Group handhaaft robuuste registratie- en toezichtvereisten om rekenschap te geven van het wie, wat, waar, wanneer, het doel, de bron en het al dan niet slagen van de geregistreerde gebeurtenis. |
Maatregelen om de systeemconfiguratie, waaronder de standaardconfiguratie, te beschermen – Maatregelen voor het bestuur en beheer van de interne IT en de IT-veiligheid – Maatregelen voor de certificering/garantie van processen en producten | • Het informatiebeveiligingsprogramma van Expedia Group (EG) is afgestemd op de kaders en normen van de branche via een risicobeheerprogramma om een robuuste en uitgebreide beveiliging te waarborgen. Expedia Group handhaaft veilige werkingsprocedures ter ondersteuning van de beveiliging, beschikbaarheid, integriteit en vertrouwelijkheid van de omgeving en de gegevens van klanten. • De opbouwnormen van Expedia Group maken alleen systeemcomponenten, diensten en protocollen mogelijk die aan een zakelijke behoefte voldoen. Besturingssystemen, databases en kant-en-klare toepassingen moeten vindbaar zijn om te voldoen aan wettelijke en regelgevende auditvereisten, tools voor configuratiebeheer ondersteunen of configuratiebeheer implementeren dat met succes beveiligingscontroles afdwingt, codering toelaten voor alle externe administratieve toegang tot een systeem, correct |
gebruik van het systeem aantonen en het systeem moet worden gecontroleerd om oneigenlijk gebruik en andere ongeoorloofde activiteiten te detecteren. Er is geen verwachting van privacy tijdens het gebruik van het systeem. • Expedia Group hanteert een gelaagde/verdediging in de diepte-beveiligingsstrategie. Kritieke capaciteiten en controles zijn geïmplementeerd in de hele onderneming (bv.: anti-malware, WAF, netwerksegmentatie, DLP enz.), waarbij gebruik wordt gemaakt van een reeks beleidsregels, bewerkingen en technologieën om ervoor te zorgen dat de omgeving wordt bewaakt via een centrale beveiligingsorganisatie en er dienovereenkomstig wordt gereageerd op waarschuwingen. • De systemen van Expedia worden gehost op Amazon Web Services (AWS) en in datacenters die Expedia Group voorzien van jaarlijkse SOC 2-rapporten om naleving te garanderen. | |
Maatregelen om gegevensminimalisering te garanderen – Maatregelen om gegevenskwaliteit te waarborgen – Maatregelen om beperkte bewaring van gegevens te garanderen – Maatregelen om verantwoording te waarborgen | • Minimalisering: Expedia Group zorgt ervoor dat slechts een minimale hoeveelheid gegevens wordt verzameld, verwerkt en opgeslagen. We gebruiken alleen een identificeerbaar formaat waar nodig. • Bewaring: Het gegevensbewaringsbeleid van Expedia Group bepaalt verschillende bewaartermijnen en back-ups afhankelijk van de gegevenscategorie, rekening houdend met eventuele wettelijke verplichtingen of andere vrijstellingen die vereisen dat dergelijke gegevens worden bewaard totdat bepaalde wettelijke verplichtingen, zoals fiscale en boekhoudkundige doeleinden, zijn nagekomen. • Kwaliteit: Expedia Group heeft een geformaliseerd kwaliteitsmanagementprogramma, het Customer Experience Management (CEM)-programma. We streven altijd naar verbetering binnen de omgeving van EG en proberen processen te stroomlijnen om ze efficiënter te maken, wat resulteert in consistente, hoogwaardige diensten en interacties met onze partners, klanten en reizigers. • Verantwoording: Expedia Group zorgt voor toezicht op verantwoording met consistente implementatie van beleidsregels, branchevoorschriften/kaders en wettelijke vereisten door een geformaliseerd governanceprogramma en een juridische/privacy-afdeling te handhaven. |
Maatregelen om gegevensoverdraagbaarheid | • Expedia Group is rechtstreeks verantwoordelijk voor het waarborgen van de naleving van de wetgeving inzake gegevensbescherming (ook met betrekking tot verzoeken van betrokkenen). Expedia Group reageert op alle verzoeken van |
mogelijk te maken en wissing te garanderen | betrokkenen, waaronder toegang, wissing en overdraagbaarheid in overeenstemming met de Toepasselijke Gegevensbeschermingswetgeving. • Het gegevensbewaringsbeleid van EG bepaalt verschillende bewaartermijnen en back-ups afhankelijk van de gegevenscategorie, rekening houdend met eventuele wettelijke verplichtingen of andere vrijstellingen die vereisen dat dergelijke gegevens worden bewaard totdat bepaalde wettelijke verplichtingen, zoals fiscale en boekhoudkundige doeleinden, zijn nagekomen. In het geval dat Expedia Group niet in staat is om persoonsgegevens te vernietigen, zal Expedia Group de relevante bescherming van de Overeenkomst tussen de partijen die van toepassing is op dergelijke persoonsgegevens blijven bieden en verdere verwerking beëindigen. |
Voor doorgiften aan (sub)verwerkers ook de specifieke technische en organisatorische maatregelen beschrijven die de (sub)verwerker moet nemen om bijstand te kunnen verlenen aan de verwerkingsverantwoordelijke en, voor doorgiften van een verwerker aan een subverwerker, aan de gegevensexporteur | • Expedia Group voert een due diligence-onderzoek uit naar de informatiebeveiligingspraktijken van haar leveranciers en vereist van leveranciers dat zij voldoen aan uitgebreide beveiligingsvereisten, waaronder verplichtingen die van leveranciers vereisen dat zij passende technische en organisatorische maatregelen treffen en handhaven. • Expedia Group heeft een gedetailleerde Security Impact Assessment (SIA)-procedure geformaliseerd. Alle nieuwe leveranciers die toegang krijgen tot gegevens worden op voorhand gescreend en waar nodig ook gedurende de looptijd. • Daarnaast heeft Expedia Group robuuste gegevensverwerkingsvoorwaarden die aan alle leveranciers worden opgelegd, waardoor verplichtingen ook op al hun subverwerkers van toepassing zijn. |
Addendum voor internationale doorgifte van gegevens bij de Standaardcontractbepalingen van de Europese Commissie (Addendum)
Dit Addendum is uitgegeven door de Information Commissioner voor partijen die beperkte doorgiften uitvoeren. De Information Commissioner is van mening dat het passende bescherming biedt voor
beperkte doorgiften wanneer het wordt aangegaan als een wettelijk bindend contract.
Deel 1 Tabellen
Tabel 1: Partijen | ||
Startdatum | De datum van de SCB’s waarbij dit Addendum is gevoegd (EU- SCB’s). | |
Partijen Voornaamste contactpersoon | Exporteur: Volgens EU-SCB’s. | Importeur: Volgens EU-SCB’s. |
Tabel 2: Geselecteerde SCB’s, modules en geselecteerde bepalingen | ||
Addendum bij EU-SCB’s | De versie van de goedgekeurde EU-SCB’s waarbij dit Addendum is gevoegd. | |
Tabel 3: Bijlage-informatie | ||
‘Bijlage-informatie’ betekent de informatie die moet worden verstrekt voor de geselecteerde modules zoals uiteengezet in de bijlage van de goedgekeurde EU-SCB’s (anders dan de partijen), en die voor dit Addendum is uiteengezet in: | ||
Bijlage IA: Lijst van partijen Bijlage IB: Beschrijving van doorgifte Bijlage II: Technische en organisatorische maatregelen | Volgens EU-SCB’s | |
Tabel 4: Beëindiging van dit Addendum wanneer het Goedgekeurde addendum verandert | ||
Welke partijen dit Addendum kunnen beëindigen zoals beschreven in sectie 19 | Geen van de partijen | |
Deel 2: Verplichte bepalingen
Verplichte bepalingen van het Goedgekeurde addendum, namelijk het modeladdendum B.1.0
uitgegeven door de ICO en voorgelegd aan het parlement in overeenstemming met sectie 119A van de Data Protection Xxx 0000 op 2 februari 2022, zoals herzien onder sectie 18 van die verplichte bepalingen.