TAAP 在线协议– 控制方到控制方协议(包括SCC)
TAAP 在线协议– 控制方到控制方协议(包括SCC)
x C2C 协议的英文原始版本可能已翻译成其他语言。如果本协议的英文版本与任何其他语言译本之间存在不一致或矛盾的情况,应以英文版本为准。
范围:当 Expedia 和贵方各自根据与另一方签订的协议(可能采用在线点击生效条款的形式)处理个人数据(根据该协议,贵方已被指定为 TAAP 下的营销合作伙伴),以及与该活动相关的所有相关活动(在此称为“相关活动”)时,本全球控制方到控制方协议(以下简称“C2C 协议”)是对双方就相关活动达成的此类协议(以下简称“协议”)的补充并适用于此类协议,还规定了 Expedia 和贵方各自处理与协议相关的个人数据的附加条款、要求和条件。在本“C2C 协议”中,“Expedia”、“我们”和“我方”是指 Expedia, Inc. 和/或“协 议”涉及的任何其他 Expedia Group 旗下公司。“贵方”是指“协议”中所述的App 中声明的指定实体。
1. 定义与解释
1.1 本“C2C 协议”受“协议”条款约束,并纳入协议。除非本“C2C 协议”另有规定,否则“协议”中规定的解释及定义的术语适用于本“C2C 协议”的解释;并且:
a. 每个恰当的技术和组织措施、控制方、个人数据、个人数据泄露、处理、监管机构(或合理对等术语)应具有适用数据保护法律赋予其的含义;
b. 适用数据保护法律是指任何相关司法管辖区中与个人数据的使用或处理有关的任何适用的法律和法规;
c. 获准用途指下述用途:(i) 履行预订;(ii) 提供预订支持;(iii) TAAP 注册和帐户管理;(iv) 根据“协议”支付佣金和其他款项;(v) 为贵方生成报告以及与服务“协议”相关的对账、投诉处理和类似活动所需的任何进一步处理;(vi) TAAP 帐户支持;(vii) 与 TAAP 成员和子用户的通信;(viii) 改进我方的服务,包括优化预订体验;(ix) 为分析、商业情报和业务报告创建报告;(x) 预防欺诈;(xi) 回应执法协查要求和税务机关审计要求;(xii) 促进业务资产交易(可扩展至任何兼并、收购或资产出售);(xiii) 以其他方式遵照我方在“协议”、Expedia隐私政策和适用法律下的义务,以及 (xiv) 用于确定、计算、报告旅行税和其他可能不时要求的适用税务用途;
d. DPF 指美国商务部的欧盟-美国数据隐私框架认证或欧盟委员会(或其他相关国家机构)不时批准的任何替代或补充认证机制;并包括任何其他国家/地区发布的允许在美国和该第三国家/地区(例如但不限于英国和瑞士)之间扩展 DPF 的任何补充的充分性决定;
e. 受限转移国家/地区是指欧洲经济区内的任何国家/地区、瑞士、英国和巴西;
f. 受限转移数据是指与通过我方用于供受限转移国家/地区的客户访问的销售网站进行的预订相关的客户数据;
g. 标准合同条款/SCC 指于 2021 年 6 月 4 日发布的、经批准的欧盟委员会关于从欧盟向第三国家/地区传输个人数据的标准合同条款,并不时修订、替换、补充或取代,其完整的最新版本可以通过以下链接找到:xxxxx://xxxxxxxxxx.xxxxxx.xx/xxx/xxx-xxxxx/xxxx-
protection/international-dimension-data-protection/standard-contractual-clauses- scc_en;
h. TAAP 个人数据指贵方通过 TAAP 网站或其他与 TAAP 本身相关或有助于推动✲用 TAAP
网站进行预订而提供给我方的个人数据。
双方关系
1.2 贵方和我方将各自收集和处理客户数据,以行✲贵方和我方根据“协议”分别具有的权利并履行相关的义务,以及贵方和我方根据适用的数据保护法各自应承担的责任。因此,各方应:(i) 作为独立自主的控制方处理个人数据;(ii) 遵照适用的数据保护法;且 (iii) 对自身在违反适用的数据保护法方面的任何作为或不作为负责。
xx的责任
1.3 贵方必须:
a. 满足法律要求,以便能够为我方提供任何 TAAP 个人数据,以便我们出于获准用途对其进行处理;
b. 确保通过贵方隐私政策以及任何其他适当手段,让客户知道他们的个人数据将共享给我方用于获准用途;
c. 将客户定向至我方的隐私政策,以便客户了解关于我方处理其个人数据的更多信息;并且
d. 配合我方并向我方提供合理协助,以协助我方在处理与“协议”相关的 TAAP 个人数据的过程中遵照适用的数据保护法。
我方的责任
1.4 我方(及我方集团成员,视情况而定)应:
a. 仅处理与获准用途有关的 TAAP 个人数据;
b. 不得向任何人泄露 TAAP 个人数据的全部或任何部分,但与获准用途有关的泄露除外;
c. 配合贵方并向贵方提供合理协助,以协助贵方在处理与“协议”相关的 TAAP 个人数据过程中遵照适用的数据保护法律。
d. 在 TAAP 网站上显示并遵照合法且最新的 cookie 通知(如需要)和我方的隐私政策。
客户和第三方
1.5 贵方确认,我方:
a. 可向客户发送预订相关的电子邮件;
b. 可出于以下目的向我方的第三方服务提供商传输 TAAP 个人数据(包括银行数据):
i. 提供、管理和支持贵方的 TAAP 帐户、贵方代表的 TAAP 帐户和贵方子用户的 TAAP
帐户;
ii. 提供预订支持;及
iii. 根据“协议”支付佣金和其他款项。
数据安全
1.6 作为控制方,双方应:
a. 继续采取恰当的技术和组织措施以保护各方处理的个人数据免遭个人数据泄露;且
b. 在一方拥有或控制的系统中,如果确认个人数据已泄露,且个人数据泄露涉及以下两种情况,则及时通知另一方:(i) 影响到根据“协议”还会由另一方处理的 TAAP 个人数据;并且
(ii) 应向监管机构报告,并提供该数据泄露的完整详情。在此情况下,双方应当合理善意地配合以补救或减轻个人数据泄露的影响,且此类配合的合理费用应由遭遇个人数据泄露的一方承担。
跨境传输
1.7 数据隐私框架 (DPF):贵方和我方同意,将贵方和我方之间的受限传输数据传输至美国或根据美国 适用数据保护法未被视为“适当”的国家/地区时,(a) 如果 DPF 是相关机构认可的传输方法,DPF 就 应成为从受限传输国家/地区向我方在美国的机构跨境传输数据的商定机制,以及 (b) 如果 DPF 不 是有效的传输方法(包括将受限传输数据传输到原始受限传输国家/地区的适用数据保护法未被视 为“适当”的国家/地区),SCC 应适用于此类传输,我方将根据下文第 1.11 条的规定签订这些条款。如果贵方还持有最新的 DPF 认证,则同样可以根据 DPF 向贵方传输受限传输数据,并将 SCC 作 为后备机制,如上所述。
1.8 DPF 传输义务:贵方同意将为受限传输数据提供至少与 DPF 要求级别相同的保护;如果贵方确定 无法再提供此类级别的保护,贵方应立即通知我方。在这种情况下,或者如果我方有理由认为贵方 没有按照 DPF 要求的标准保护受限传输数据,我方可以:(a) 指示贵方采取合理且适当的措施来停 止和纠正任何未经授权的处理,在这种情况下,贵方需要立即真诚地与我方合作,确定、同意并实 施此类步骤;(b) 同意根据适用的数据保护法可能适用于处理的替代保障措施;(c) 通过向贵方发出 通知终止本“C2C 协议”和“协议”(或由我方选择终止其任何受影响的部分),而不需要支付罚金。 如果贵方还持有有效的 DPF 认证,则应适用上述规定和下文第 1.9 条的规定,因为义务是双向的。
1.9 DPF 披露义务:贵方承认,我方可以应美国商务部、联邦贸易委员会、任何欧洲数据保护机构或任何其他美国或欧盟司法或监管机构的要求,向其披露本“C2C 协议”和“协议”中的任何相关隐私条款,并且任何此类披露均不应被视为违反保密规定。
1.10 将 SCC 扩展到非受限传输国家/地区:关于贵方与我方之间来自非受限传输国家/地区但受 相关措施保障的传输,根据适用的数据保护法,在将该 TAAP 个人数据传输到来源国之外(每个非 限制传输国家/地区)之前必须适用的保障措施。此外,贵方和我方同意 (a) 下文第 1.11 条规定的 SCC 应被视为扩展到此类额外传输,前提是此类扩展将满足该特定国家/地区的保障措施;和/或 (b)如果第 1.11 条规定的措施不足或需要补充措施,双方同意采取进一步措施,例如,签署相关文件、收集同意、进行必要的备案,以满足适用的数据保护法不时的要求。
1.11 根据上述第 1.7 条,贵方和我方特此同意在保持不变的基础上签订 SCC,但以下情况除外:
a. 如果贵方位于受限传输国家/地区或根据 GDPR 第 45 条被视为“适当”的国家/地区,则仅 SCC 模块一 (1) 将单向适用于从贵方到 Expedia 的传输。否则,模块一 SCC 适用于从我方到贵方以及从贵方到我方的双向传输。
b. 依据 SCC 第 11 (a),删除了可选语言。
c. 依据 SCC 第 13 条,相关段落是“主管监管机构应为按照法规 (EU) 2016/679 第 27 (1) 条的含义设立了代表的成员国所在的监管机构,如附件 I.C 所示。”
d. 依据 SCC 第 17 条,管辖法律是爱尔兰法律。
e. 依据 SCC 第 18(b) 条,所选国家/地区是爱尔兰。
f. 在 SCC 中新增了第 19 条,以涵盖从英国到英国境外的个人数据传输,如下所示:
“第 19 条
英国 GDPR 和 DPA 2018
双方同意,这些条款将在与相关传输相关的范围内扩展和适用,以涵盖属于英国 GDPR 和《2018年数据保护法》范围的跨境传输(英国传输)。就此类英国传输而言,标准合同条款 B1.0 版的国际数据传输附录(不时修订、替换、补充或取代)的规定应按照附录所附表格中的规定适用。
h. 在 SCC 中新增了第 20 条,以涵盖从瑞士到瑞士境外的个人数据传输,如下所示:
“第 20 条瑞士 – FADP
双方同意,这些条款将在与相关传输相关的范围内扩展和适用,以涵盖属于《联邦数据保护法》 (FADP)范围的跨境传输(在本条款中称为瑞士传输)。就此类瑞士传输而言,管辖法律应为所选成员国的法律,所选法院应为所选成员国的法院,联邦数据保护和信息专员 (FDPIC) 应为主管监管机构。双方进一步同意,此类进一步变更应解释为 FCPIC 认为有必要为遵照英国 GDPR 和 FADP 而对有关瑞士传输的条款进行此类变更,并且这些条款应根据这些法律对瑞士传输的要求或 FDPIC 发布的指南中规定的其他要求进行解释,双方无需签订专门为其瑞士传输准备的单独标准合同条款。双方应进一步采取一切可能必要的行动和措施,以确保在进行瑞士传输时遵照
FADP。”
i. 在 SCC 中新增了第 21 条,以涵盖从☎西到☎西境外的个人数据传输,如下所示:
“第 21 条
☎西 – LGPD
双方同意,这些条款将在与相关传输相关的范围内扩展和适用,以涵盖属于☎西第 13,709/18 号
《通用数据保护法》 (LGPD)范围内的跨境传输(本条款中称为☎西传输)。就此类☎西传输而言,管辖法律应为所选成员国的法律,所选法院应为所选成员国的法院,☎西国家数据保护局 (ANPD) 应为主管监管机构。双方进一步同意,此类进一步变更应解释为 ANPD 认为有必要为遵照 LGPD 而对有关☎西传输的条款进行此类变更,并且这些条款应根据这些法律对☎西瑞士传输的要求或 ANPD 或其他相关☎西机构发布的指南中规定的其他要求进行解释,双方无需签订专门为其
☎西传输准备的单独标准合同条款。双方应进一步采取一切可能必要的行动和措施,以确保在进行
☎西传输时遵照 LGPD。”
j. 在 SCC 中新增了第 22 条,以涵盖来自迄今为止未指定的任何其他国家/地区的个人数据传输。可以将 SCC 扩展到这些国家/地区,以确保从该国家/地区向位于该国家/地区以外的一方传输个人数据时提供适当的保障,如下所示:
“第 22 条
其他第三国家/地区传输
双方同意,这些条款将在与相关传输相关的范围内扩展和适用,以涵盖属于任何相关司法管辖区的任何其他适用法律和法规范围的跨境传输,这些法律和法规与个人数据的✲用或处理有关(适用的数据保护法),需要与这些条款大致相同的条款和保护,以便将个人数据从该国家/地区传输到另一个国家/地区(在本条款中称为第三国家/地区传输)。就此类第三国家/地区传输而言,管辖法律应为选定成员国的法律,所选法院应为所选成员国的法院,该国家/地区的数据保护机构或监管机构应为主管监督机构。双方进一步同意,此类进一步变更应解释为对该监管机构认为有必要为遵照该国家/地区适用的数据保护法而对有关第三国家/地区传输的条款进行此类变更,并且这些条款应根据这些法律对第三国家/地区传输的要求或相关监管机构发布的指南中规定的其他要求进行解
释,双方无需签订专门为其第三国家/地区传输准备的单独标准合同条款。双方应进一步采取一切可能必要的行动和措施,以确保在进行第三国家/地区传输时遵照适用的数据保护法。”
1.12 本“C2C 协议”的附件 1(SCC 处理概述)构成 SCC 的附件 1。本“C2C 协议”的附件 2(技术和组织措施)构成 SCC 的附件 2,如果贵方已提供(且我方已接受)充分的技术和组织措施以满足 SCC 附件 2 要求,则仅适用于 Expedia;如果情况并非如此,附件 2 将解释为适用于双方,并且所有提及 Expedia 和 Expedia Group 的内容将解释为相应地提及任何一方。对于 SCC 而言,x “C2C 协议”的附录构成英国附录。
附件I – SCC 处理概述
模块一:控制方到控制方(贵方到我方)
A. 缔约方名单
数据导出方:
缔约方 | 规定为“贵方”、TAAP 成员或同等术语的各方 |
地址 | 如“协议”所述 |
Expedia Group 所有各方的联 系人姓名、职位和详细联系信息 | 客户经理✲用不时通知 Expedia 联系人的邮箱地址 |
与根据 SCC 进行传输的数据相关的活动 | 我方根据“协议”通过 TAAP 网站提供给贵方下单的预订 |
角色 | 控制方 |
数据导入方:
缔约方 | “协议”中规定为“我方”或“Expedia”的非欧盟方 |
地址 | 如“协议”所述 |
联系人姓名、职位和详细联系信息 | 客户经理✲用不时通知 TAAP 会员的邮箱地址 |
与根据这些条款进行传输的数 据相关的活动 | 我方根据“协议”通过 TAAP 网站提供给贵方下单的预订 |
角色 | 控制方 |
B. 传输说明
数据主体类别 | 客户和TAAP 会员及其子用户 |
个人数据的类别 | 身份证明数据: o 名字和姓氏(代理和旅客) o 出生日期 |
o 性别 o 登录详细信息(代理) 详细联系信息: o 通讯地址 o 邮箱地址 o 电话号码(固定电话号码和手机号码) o 传真号码 o 其他联系信息 o 出生日期(适用于航班) o 性别(适用于航班) o 国籍(以护照为准) o TSA 详细信息财务详细信息: o 银行帐号 o 银行信息 o 支付卡详细信息 旅行信息:预订历史记录和旅行偏好 对于税务代理,只有: o 税号 TAAP 成员要求并同意的其他信息,包括但不限于与以下方面相关的个人数据: • 报告、监控和分析 • 单点登录、会员计划 | |
敏感数据 | 无,除非个人自愿提供用于满足其旅行的无障碍需求。 |
传输频率(例如,数据是一次性 传输还是持续传输)。 | 根据 TAAP 会员的业务需要,持续或临时传输 |
处理的性质 | 为实现以下目的所需的所有处理操作 |
数据传输和进一步处理的目的 | “协议”中定义的获准用途 |
个人数据的保留期限,或者用于 确定该期限的标准(如果不能保留数据) | 根据 Expedia Group 的保留政策,如果在“协议”终止后出于 备份或法律原因保留任何TAAP 个人数据,Expedia 将继续根据“协议”保护此类个人数据 |
对于到(子)处理方的传输,还 需指定处理的主题、性质和持续时间 | xxxxx://xxxxxxx.xxx.xxx/xx/xx-xx/xxxxxxxx/000000000000- EAN-Data-Services-Vendor-List,不时更新 |
C. 主管监管机构
根据SCC 第 13 条明确主管监管机构
爱尔兰数据保护局
模块一:控制方到控制方(我方到贵方)
A. 缔约方名单
数据导出方:
上述模块一 (1)(贵方到我方)中规定为数据导入方的一方。请参阅上文了解更多详情。
数据导入方:
上述模块一 (1) (贵方到我方)中规定为数据导出方的一方。请参阅上文了解更多详情。
B. 传输说明
• 数据主体类别 • 个人数据的类别 • 敏感数据 | 遵照模块一 (1) 的要求 |
• 传输频率 • 处理的性质 • 用途 | 遵照模块一(1) 的要求 |
个人数据的保留期限,或者用于 确定该期限的标准(如果不能保留数据) | 符合TAAP 会员保留政策 |
对于到(子)处理方的传输,还 需指定处理的主题、性质和持续时间 | 不适用 |
C. 主管监管机构
遵照模块一 (1) 的要求
附件II - 技术和组织措施适用于模块一(1) 目的的技术和组织措施如下。
主题 | 措施 |
个人数据的假名化处理和加密措施 | • Expedia Group 支持基于Expedia Group 的信息分类和处理 标准的行业标准数据传输加密协议。 • 数据处理要求以数据类别为基础。根据所处理的数据, Expedia Group 制定了不同的安全要求。例如,信用卡数据属于高度敏感数据,在传输过程中和存储时都需要进行加密。 • Expedia Group 将根据 EG 的信息、分类和处理标准的要求,在可能的情况下对客户(及其员工)的个人数据进行假名化(和匿名化)处理。 • 对信用卡卡号标记化/假名化处理,以消除对明文信用卡卡号的处理。 • Expedia Group 通过 VPN、SSL 等方式采用加密连接,并采用多因素身份验证机制。 |
确保处理系统和服务持续保密性、完整性、可用性和韧性的措施 | • Expedia Group 维护所有信息处理设施的管理和运营的责 任和流程,以确保完整、有效、准确地处理数据。 • 对关键处理设施进行监控,并通过强大的 SOX 计划对数据处理和完整性的控制进行持续测试和验证。 • EG 的系统采用行业标准的日志记录和监控,确保安全并防止未经授权的访问、修改和/或删除。 • Expedia Group 通过冗余架构、数据复制和完整性检查来保持服务韧性。 |
确保在发生物理或技术事件 时,能够及时恢复个人数据的可用性和访问权限的措施 | • Expedia Group 的系统经过专门设计,旨在阻止或防止常 见攻击,并确保操作、监控和维护的可用性。为此, Expedia Group 定期进行模拟测试和审核,以确认其系统保持可用性。 |
• 服务器根据 Expedia Group 可靠的修补政策进行修补,并受到行业标准 AV/AM 计划的保护。此外,我方还进行漏洞评估、全面测试和网络检查,以确保 EG 的系统正常运行。 • 采用可用性和可靠性监控,以确保 Expedia 网站保持在线状态,并最大限度地减少服务中断。 • Expedia Group 制定了灾难恢复计划,以应对紧急情况和应急计划,从而确保不中断客户服务(视严重程度而定),并定期进行测试以确保可行性。 | |
定期测试、评估和评价技术和组织措施有效性的流程,以确保处理的安全性 | • Expedia Group 的技术和组织措施每年都会由外部评估员进行审计并会进行严格的内部测试。 • EG 借助第三方评估机构进行年度 PCI 评估,并确保始终 遵守PCI 的要求。 • EG 全面的内部测试功能包括季度漏洞测试,内部和外部渗透测试,网络、系统和防火墙扫描和检查。此外,内部审计部门每年都会进行风险评估,以确定运营审计的优先级。 |
用户识别和授权措施,传输期间数据保护措施,存储期间数据保护措施 | • Expedia Group 系统符合行业最佳实践,并具有超时会话、锁定协议以及严格的密码和身份验证控制等通信实践。 • Expedia Group 始终遵守帐户配置和监督要求,以防止未经授权的访问或滥用 Expedia Group 信息,并根据需要✲用行业最佳实践(例如最低权限访问原则、唯一 ID 和多因素身份验证)以实现强身份验证目的。 |
确保个人数据处理地点的物理安全的措施 | • 安全运营中心提供 24x7 全天候服务,并至少每年检查和 测试正式的事件响应计划。 • 所有系统均由外部服务提供商定期控制和测试。 • 每个 Expedia Group 客户都会收到自己的客户 ID。相应客 户的所有数据集都存储在该 ID 下,并且所有客户数据在 逻辑上都是隔离的。由于管理权限和数据库结构的原 |
因,客户只能访问分配给该用户 ID 和数据中心/AWS 控件的数据集。 • 只有获得了 Expedia 明确授权且“有必要了解”的人员才能访问个人数据。采用控制和监控,确保对系统的最低权限访问并阻止未经授权的访问尝试。 | |
确保事件记录的措施 | Expedia Group 始终遵守严格的日志记录和监控要求,以说明所记录活动的人员、内容、地点、时间、目标、来源以及成功/失败。 |
确保系统配置(包括默认配 置)的措施,适用于内部IT 和 IT 安全治理和管理的措施,适 用于流程和产品认证/保证的措施 | • Expedia Group (EG) 的信息安全计划符合行业框架和标准,通过其风险管理计划确保稳健、全面的安全态势。 Expedia Group 始终保持安全的运营流程,以支持环境和客户数据的安全性、可用性、完整性和保密性。 • Expedia Group 的构建标准仅支持满足业务需求的系统组件、服务和协议。操作系统、数据库和现成的应用程序必须是可发现的,以满足法律和法规的审计要求;支持配置管理工具,或部署成功实施安全控制的配置管理;必须为系统的所有远程管理访问启用加密;显示系统的正确✲用;需要监控系统以检测不当✲用和其他非法活动,因此在✲用系统时无法兼顾隐私需求。 • Expedia Group 对安全采取分层/纵深防御策略。整个企业都部署了关键功能和控制(例如:反恶意软件、WAF、网络分段、DLP 等),利用一整套政策、操作和技术来确保通过中央安全组织监控环境并相应地发出警报进行响应。 • Expedia 的系统托管在 Amazon Web Services (AWS) 和数据中心中,它们每年各为Expedia Group 提供 1 份 SOC 报告以确保合规性。 |
确保数据最小化的措施,确保数据质量的措施,确保有限数据保留的措施,确保问责制的措施 | • 最小化:Expedia Group 确保仅收集、处理和存储最少量的数据。我方仅在必要时✲用可识别的格式。 |
• 保留:Expedia Group 数据保留政策根据数据类别(包括根据任何法律义务要求保留此类数据)规定了不同的保留期限和备份,直至某些法律义务(例如税务和会计目的)取消或有其他豁免。 • 质量:Expedia Group 拥有正式的质量管理计划,即客户体验管理(CEM) 计划。我们始终致力于改善EG 的环境,并寻求简化流程以提高效率,从而为我们的合作伙伴、客户和旅客提供一致、高质量的服务和互动。 • 问责制:Expedia Group 始终拥有正式的治理计划和法律/隐私机构,通过一致的政策实施、行业法规/框架和法律要求来确保问责制监督。 | |
允许数据可移植性和确保删除的措施 | • Expedia Group 对确保遵照数据保护法(包括与数据主体的请求相关的法律)负有直接责任。Expedia Group 根据适用的数据保护法响应所有主题请求,包括访问、删除和可移植性。 • EG 数据保留政策根据数据类别(包括根据任何法律义务要求保留此类数据)规定了不同的保留期限和备份,直至某些法律义务(例如税务和会计目的)取消或有其他豁免。如果 Expedia Group 无法销毁个人数据,Expedia Group 将继续扩大双方之间关于此类个人数据的“协议”的相关保护,并终止任何进一步的处理。 |
针对向(子)处理方的传输,还应描述(子)处理方要采取的具体技术和组织措施,以便能够为控制方以及在从处理方到子处理方和从处理方到数据导出方的传输过程中提供支持 | • Expedia Group 对其供应商的信息安全实践进行尽职调查,并要求供应商满足全面的安全要求,包括要求供应商采取并保持适当的技术和组织措施的义务。 • Expedia Group 已正式制定详细的安全影响评估 ("SIA") 流程。会在签约前和合约期限内(如有必要)对所有访问数据的新供应商进行筛选。 • 此外,Expedia Group 还为所有供应商制定了严格的供应商处理条款,确保其任何子处理方也承担相应的义务。 |
欧盟委员会标准合同条款的国际数据传输附录(附录)
本附录由进行受限传输各方的信息专员发布。信息专员认为,当本附录作为具有法律约束力的合同签订时,可为受限传输提供适当的保障措施。
第 1 部分 表格
表 1:缔约方 | ||
开始日期 | 将这些附加到 SCC 的日期(欧盟SCC)。 | |
缔约方 主要联系人 | 导出方:遵照欧盟 SCC。 | 导入方:遵照欧盟 SCC。 |
表 2:所选的 SCC、模块和所选的条款 | ||
附录 EU SCC | 本附录所附的是已批准的欧盟 SCC 的版本。 | |
表 3:附录信息 | ||
“附录信息”是指必须为已批准的欧盟 SCC(缔约方除外)附录中列出的所选模块提供的信息, 本附录中列出了这些信息: | ||
附件 IA:缔约方名单 附件IB 传输说明 附件 II - 技术和组织措施 | 遵照欧盟 SCC | |
表 4:当已批准的附录发生变化时终止本附录 | ||
哪方可以按照第 19 条的规定 终止本附录 | 任何一方都不可以 | |
第 2 部分: 强制性条款
已批准附录的强制性条款是ICO 发布的模板附录B.1.0,并根据《2018 年数据保护法》119A 部分的规定,于 2022 年 2 月 2 日提交议会,还根据这些强制性条款的第 18 条进行了修订。