Databehandlingstillägg

BAKGRUND

FCM Travel Solutions är en del av Flight Centre Travel Group (”FCTG”), en av världens största resebyråkoncerner.

Kunden och FCTG (gemensamt ”parterna”) har ingått ett avtal om tillhandahållande av rese- och evenemangstjänster av FCTG till kunden och i förekommande fall kundens partner (”Avtal för resetjänster”).

Vid fullgörandet av sina skyldigheter enligt avtalet för resetjänster behandlar FCTG personuppgifter för kundens räkning i enlighet med detta avtal och avtalet för resetjänster (”Avtal för databehandling”).  I enlighet med avtalet för databehandling är parterna överens om att FCTG är personuppgiftsbiträde och kunden personuppgiftsansvarig.

Detta Databehandlingstillägg (”DPA”) utgör en del av avtalet för resetjänster och anger parternas rättigheter och skyldigheter i enlighet med avtalet för databehandling. Detta Databehandlingstillägg ersätter inte några jämförbara eller ytterligare rättigheter avseende behandling av personuppgifter som ingår i Avtalet för resetjänster (inklusive befintliga databehandlingsavtal som kan ha ingåtts mellan kunden och FCTG).

Genom att godkänna Avtalet för resetjänster ingår kunden detta Databehandlingstillägg för sin egen räkning och, i den utsträckning som krävs enligt tillämpliga dataskyddslagstiftning, för dess partners räkning, om och i den utsträckning som FCTG behandlar persondata, för vilket sådana partner är behöriga som personuppgiftsansvarig.

Med hänsyn till parternas ömsesidiga rättigheter och skyldigheter som ska uppfyllas enligt Avtalet för resetjänster och Databehandlingstillägget, samtycker parterna till följande:

 

1. DEFINITIONER

Termer med inledande versaler som återfinns häri ska ha den betydelse som tilldelats dem i Avtalet för resetjänster eller i avsnitt 15  (Lista över definitioner) nedan.  Såvida inte något annat anges häri ska definitionerna i EU:s Allmänna dataskyddsförordning 2016/679 (”GDPR”), i synnerhet villkoren “Personuppgiftsansvarig”, ”Registrerad”, ”Medlemsland”, ”Personuppgifter”, ”Personuppgiftsincident”, ”Personuppgiftsbiträde”, ”Databehandling” och "Tillsynsmyndighet” tillämpas.

 

2. DPA:S ÄMNESOMRÅDE

2.1 FCTG ska behandla kundens personuppgifter i syfte att tillhandahålla kunden de tjänster som beskrivs i Avtalet för resetjänster (”avtalstjänster”) och andra eventuella tilläggstjänster enligt detta Databehandlingstillägg (”databehandlingstjänster”) (”tillåtet ändamål”).  Parterna är överens om och godkänner att kunden har behörighet som personuppgiftsansvarig och att FCTG har behörighet som personuppgiftsbiträde vid behandligen av kundens personuppgifter nedan.

2.2 Bilaga 2.2 fastställer detaljerna för

(a) databehandlingens ändamål

(b) databehandlingens varaktighet

(c) kategorier av kundens personuppgifter

(d) kategorier av registrerade som berörs av databehandlingen.

2.3 När behandling av kundens personuppgifter sker utanför EU:s eller EES territorium eller i samband med handlingar eller metoder avseende kundens personuppgifter där sådana handlingar eller metoder är föremål för dataskyddslagstiftning i en domsrätt utanför EU eller EEA, ska FCTG efterleva tillämpliga dataskyddslagstiftning och i synnerhet tillhandahålla lämpliga skyddsåtgärder för att säkerställa en adekvat dataskyddsnivå i enlighet med Art. 44 et seq GDPR.

2.4 FCTG ska endast behandla kundens personuppgifter på uppdrag av kunden och i strikt överensstämmelse med kundens skriftliga instruktioner, inklusive avseende överföring av personuppgifter till ett tredje land eller en internationell organisation, såvida inte detta krävs av lagar inom EU eller respektive medlemsstat, vilka FCTG är underställt.  I sådana fall ska FCTG informera kunden om att sådana juridiska krav föreligger innan databehandlingen påbörjas, såvida inte lagen förbjuder sådan information av skäl som rör allmänhetens intressen.  För att undvika tvivel: närhelst detta Avtal för databehandling eller Avtal för resetjänster innefattar bestämmelser förknippade med behandling av kundens personuppgifter (dvs. en skyldighet att avidentifiera vissa personuppgifter) ska sådan databehandling anses vara en anvisning från personuppgiftsansvarig i enlighet med detta Avtal för databehandling.

2.5 Databehandlingen ska alltid genomföras på ett professionellt sätt och i överensstämmelse med gällande principer för korrekt databehandling, Avtalet för resetjänster, detta Avtal för databehandling och gällande lagstiftning.

 

3. NÖDVÄNDIGA TEKNISKA OCH ORGANISATORISKA ÅTGÄRDER

3.1 FCTG ska göra alla rimliga ansträngningar för att säkerställa fortlöpande konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och -tjänsterna, liksom förmågan att omedelbart återställa tillgängligheten och åtkomsten till kundens personuppgifter i händelse av fysiska eller tekniska incidenter på ett sätt som är lämpligt för behandling av kundens personuppgifter enligt nedan och som krävs av gällande lagstiftning. Med hänsyn till den tekniska utvecklingen, kostnaden för genomförandet av sådana åtgärder och arten och omfattningen av och syftet med databehandlingen, liksom risker av varierande sannolikhet och allvarlighetsgrad för rättigheter och friheter för fysiska personer, ska FCTG vidta lämpliga tekniska och organisatoriska åtgärder för att:

(a) förhindra (i) obehörig eller olaglig behandling av kundens personuppgifter och (ii) oavsiktlig förlust eller förstörelse av, eller skada på, kundens personuppgifter

(b) säkerställa en lämplig säkerhetsnivå i förhållande till (i) den skada som kan uppstå från sådan obehörig eller olaglig behandling eller oavsiktlig förlust, förstörelse eller skada och (ii) arten av kundens personuppgifter som ska skyddas,
inklusive, i förekommande fall, de åtgärder som avses i dataskyddsförordningens artikel 32 (”Standarder för datasäkerhet”).

3.2 Utan att det påverkar allmängiltigheten av det som tidigare angivits definieras de datasäkerhetsstandarder som FCTG ska införa och upprätthålla i Bilaga 3.2.

3.3 Parterna är införstådda med att dessa datasäkerhetsstandarder är föremål för tekniska framsteg och teknisk utveckling och överens om att FCTG ska ha befogenhet att vidta adekvata alternativa tekniska och organisatoriska åtgärder, förutsatt att sådana åtgärder materiellt sett inte kommer till korta avseende de säkerhetsnivåer som anges av dessa datasäkerhetsstandarder, och även följer övriga krav och tillämpliga lagar.

 

4. REGISTRERADS RÄTTIGHETER

4.1 FCTG ska korrigera, radera, blockera eller på annat sätt behandla kundens personuppgifter och vidta andra åtgärder i samband med begäranden från de registrerade avseende deras rättigheter enligt tillämpliga lagar (”begäranden från registrerade”) men endast i enlighet med och med förbehåll för kundens skriftliga instruktioner.  FCTG ska omgående tillhandahålla efterfrågad information och på bästa sätt assistera kunden i hanteringen av eventuella begäranden från registrerade.

4.2 Kunden är ensamt ansvarig för hanteringen av begäranden från registrerade.  FCTG ska omgående meddela kunden om eventuella begäranden från registrerade eller andra frågor i förhållande till detta Avtal om databehandling utan att svara på sådana begäranden eller förfrågningar, såvida de inte uttryckligen erhållit instruktioner från kunden att göra det.

 

5. YTTERLIGARE SKYLDIGHETER FÖR FCTG

5.1 FCTG ska upprätta ett skriftlig register över alla kategorier av databehandlingsverksamhet som genomförs på uppdrag av en kund i enlighet med dataskyddsförordningens artikel 30.2.

5.2 FCTG ska på ett rimligt sätt bistå kunden avseende:

(a) förberedelse av registret för databehandlingsverksamhet i enlighet med dataskyddsförordningens artikel 30 i samband med databehandlingen under detta Avtal om databehandling och ska på begäran omedelbart tillhandahålla kunden den information som krävs för detta syfte i ett format som kunden rimligen kan begära

(b) konsekvensbedömning avseende dataskydd (DPIA) i enlighet med dataskyddsförordningens artikel 35

(c) alla begäranden från eller samråd med ansvariga tillsynsmyndigheter.

5.3 FCTG ska säkerställa att all personal som befattar sig med eller är delaktig i databehandlingen under detta Avtal om databehandling är korrekt kvalificerad och utbildad och förbinder sig att hålla kundens personuppgifter konfidentiella eller har en lagstadgad sekretesskyldighet i enlighet med gällande lagstiftning, som ska fortsätta äga giltighet efter att detta Avtal om databehandling avslutas.

5.4 FCTG har utsett ett dataskyddsombud. Dataskyddsombudet kan nås på: Data.Protection@uk.fcm.travel.

 

6. UNDERBITRÄDEN

6.1 FCTG ska endast vara behöriga att anlita underbiträdena i samband med avtalet om databehandling (”underbiträde”) i enlighet med och i den utsträckning som är tillåtet enligt tillämpliga lagar.

6.2 Allt anlitande av ett underbiträde kräver ett dokumenterat förhandsgodkännande från kunden, vilket inte får undanhållas på orimliga grunder.  Kunden godkänner härmed att FCTG fortsätter att använda FCTG:s partnerföretag och alla underbiträden som redan anlitats av FCTG vid datumet för detta tillägg (en fullständig lista kan erhållas genom att kontakta FCTG:s dataskyddsombud).  Kunden ska omgående vidta alla rimliga åtgärder som krävs eller är lämpliga för att underlätta eller stödja all överföring av kundens personuppgifter till godkända underbiträden (t.ex. vid uppdatering av register hos tillsynsmyndigheter). 

6.3 FCTG ska tillhandahålla en mekanism på fcm.travel/trust-and-compliance för prenumeration på aviseringar om nya underbiträden, på vilken kunden ska prenumerera, och om kunden prenumererar ska FCTG tillhandahålla avseringar om eventuella nya underbiträden.  Om kunden inom två veckor från mottagandet av en sådan avisering skriftligen meddelar FCTG om eventuella invändningar mot den föreslagna utnämningen av juridiska skäl ska FCTG i god tro samarbeta med kunden för att vidta rimliga åtgärder för att hantera de invändningar som kunden gjort, och om sådana åtgärder inte kan överenskommas inom tre veckor från att FCTG mottagit meddelandet från kunden, oavsett vad som anges i Avtalet för resetjänster, har kunden rätt att skriftligen meddela FCTG att Avtalet för resetjänster ska avslutas med omedelbar verkan i den utsträckning det gäller avtalstjänster som kräver användning av det föreslagna underbiträdet.  ”Legitima skäl” ska anses föreligga om det finns en indikation baserad på objektiva fakta som rimligen stöder antagandet att anlitandet av ett underbiträde skulle utgöra ett lagbrott eller brott mot detta DPA.

6.4 Om FCTG anlitar ett underbiträde för att utföra specifika databehandlingsaktiviteter på uppdrag av kunden kommer FCTG att ingå ett skriftligt avtal med underbiträdet, vilket innefattar villkor som erbjuder åtminstone samma skyddsnivå för kundens personuppgifter som de som anges i detta Avtal om databehandling och uppfyller kraven i dataskyddsförordningens artikel 28.3.  Överenskommelsen med ett underbiträde ska innefatta direkt revisionsrätt för kunden eller annan lämplig revisionsmekanism (t.ex. tredjepartsrevisioner eller revisioner som utförs av FCTG på uppdrag av kunden).

6.5 FCTG ska utföra regelbundna revisioner som krävs enligt gällande lagstiftning för att säkerställa att det andra underbiträdet efterlever dataskyddsnormerna, tillämpliga lagar och övriga avtalsförpliktelser.

6.6 Om underbiträdet inte uppfyller sina avtalsförpliktelser avseende kundens personuppgifter är FCTG helt ansvarigt för skador som åsamkas kunden på grund av sådan underlåtenhet att fullgöra sådana förpliktelser och ska hålla kunden skadeslös från alla fordringar eller skador i samband med eller som en följd av anlitandet av underbiträdet.

 

7. BEGRÄNSADE ÖVERFÖRINGAR

7.1 Parterna kommer omgående, på rimlig begäran från endera parten eller innan en begränsad överföring påbörjas, (i) att ingå standardparagraferna som anges i Kommissionens beslut av den 5 februari 2010 (2010/87/EU) och/eller (ii) ingå eller etablera andra lämpliga redskap eller åtaganden som krävs enligt gällande lagstiftning för att genomföra en sådan begränsad överföring utan att bryta mot sådan gällande lagstiftning.  Om så skulle krävas enligt gällande lagstiftning, ska FCTG få alla underbiträden att ingå sådana redskap eller åtaganden direkt med kunden eller ingå sådana instrument eller åtaganden med underbiträdet i kundens namn och på dennes uppdrag utifrån en lämplig fullmakt som omgående utfärdas av kunden på begäran av FCTG:

7.2 ”Begränsad överföring” betyder all överföring av kundens personuppgifter av eller till någon av parterna eller ett underbiträde som skulle vara förbjuden enligt gällande lagstiftning i frånvaro av de instrument eller åtaganden som avses i avsnitt 7.1 ovan.

7.3 När kundens personuppgifter behandlas utanför EU:s eller EES territorium eller i samband med någon handling eller metod avseende kundens personuppgifter där en sådan handling eller metod är föremål för dataskyddslagstiftning i domsrätter utanför EU:s eller EES territorium ska FCTG efterleva denna dataskyddslagstiftning och, i synnerhet, tillhandahålla lämpliga säkerhetsåtgärder för att säkerställa en adekvat dataskyddsnivå i enlighet med dataskyddsförordningens artikel 44 och följande artiklar.

 

8. INSPEKTIONER OCH REVISIONER

8.1 FCTG ska på begäran tillgängliggöra för kunden all information som är nödvändig för att uppvisa efterlevnad av detta Avtal om databehandling, och ska tillåta och bidra till revisioner i samband med behandlingen av kundens personuppgifter, inklusive inspektioner av FCTG:s databehandlingsanläggningar, av kunden eller en revisor bemyndigad av kunden, i den utsträckning som krävs enligt gällande lagstiftning och i enlighet med detta avsnitt 8. 

8.2 FCTG ska, på kundens skriftliga begäran, tillhandahålla kunden en sammanfattning av resultatet av deras senaste interna datasäkerhetsrevision.  FCTG kommer dessutom, på kundens begäran och inte mer än en gång per år, att i kundens regi genomföra en skriftlig enkät om informationssäkerhet som utvärderar FCTG:s efterlevnad av dataskyddsnormerna. 

8.3 Kundens informations- och revisionsrättigheter enligt avsnitt 8.1 ska endast uppkomma under detta avsnitt om och i den utsträckning som (i) Avtal för resetjänster inte på annat sätt kan tillhandahålla information och revisionsrättigheter som uppfyller relevanta krav i tillämplig lag (inklusive dataskyddsförordningens artikel 28.3h) och (ii) om informationen som finns under Avsnitt 8.2 inte är tillräcklig för att kunden ska kunna uppfylla sina inspektions- och revisionsskyldigheter enligt tillämplig lag.

8.4 Kunden ska ge FCTG minst tre (3) veckors varsel om alla revisioner och inspektioner som ska genomföras och ska undvika att orsaka skador eller störningar på FCTG:s lokaler, utrustning, personal eller verksamhet.  FCTG behöver inte ge tillgång till sina lokaler för en sådan revision eller inspektion:

(a) till någon person såvida inte han eller hon kan uppvisa rimliga bevis på identitet och myndighet

(b) för mer än en revision eller inspektion per kalenderår, utom vid extra revisioner eller inspektioner som kunden ska utföra på begäran av en övervakningsmyndighet eller liknande tillsynsmyndighet, som är ansvarig för att upprätthålla tillämpliga lagar.

8.5 Om kunden identifierar några brister eller avvikelser när det gäller behandlingen av kundens personuppgifter kommer FCTG att diskutera dylika upptäckter med kunden, och parterna ska arbeta tillsammans för att utarbeta en ömsesidigt godtagbar förbättringsplan.  Om och i den grad som tillämplig lag uttryckligen kräver eller kommer att kräva förändringar av det föregående eller att ytterligare revisionsrättigheter ska beviljas kunden ska detta Databehandlingstillägg tolkas och/eller ändras på sådant sätt att det uppfyller sådana tillkommande krav.  FCTG ska omedelbart informera kunden om det anser att en instruktion i detat avsnitt strider mot denna förordning eller mot andra av unionens eller medlemsstaternas dataskyddsbestämmelser (dataskyddsförordningen artikel 28.3).

8.6 Ingen dokumentation eller information får kopieras, delas, överföras eller avlägsnas från FCTG:s lokaler, förutom enligt ömsesidig överenskommelse eller om så krävs enligt tillämplig lag.  All icke-offentlig dokumentation och information som visas för kunden i enlighet med detta avsnitt ska anses vara FCTG:s proprietära och konfidentiella information.  Kunden får inte visa sådan dokumentation eller information för tredje part eller använda densamma i några som helst syften annat än för att utvärdera överensstämmelsen mellan FCTG och dess datasäkerhetsstandard.

 

9. PERSONUPPGIFTSINCIDENT OCH INCIDENTER

9.1 Parterna är medvetna om att tillämplig lag kan innebära en plikt för kunden att informera kompetent övervakningsmyndighet och den registrerade vid eventuella personuppgiftsincidenter som påverkar kundens personuppgifter.  Sådana incidenter måste därför meddelas kunden oberoende av dess ursprung.  FCTG ska omedelbart underrätta kunden om alla tekniska och organisatoriska incidenter eller andra typer av incidenter (inklusive incidenter hos underbiträden), som har resulterat i eller kan resultera i personuppgiftsincidenter i den mening som beskrivs i dataskyddsförordningens artikel 33.1, som påverkar kundens personuppgifter ("Datasäkerhetsincidenter").  Datasäkerhetsincidenter inkluderar i synnerhet, men är inte begränsade till, följande:

(a) faktisk eller misstänkt obehörig åtkomst, röjande, förlust, nedladdning, stöld, blockering, kryptering eller radering på grund av skadliga program eller andra otillåtna åtgärder avseende kundens personuppgifter av obehörig tredje part

(b) faktiska eller misstänkta operativa incidenter som påverkar behandlingen av kundens personuppgifter

(c) faktiska eller misstänkta brott mot detta Databehandlingstillägg eller mot tillämplig lag av FCTG, dess anställda eller konsulter, i den grad att sådana brott påverkar kundens personuppgifters integritet och säkerhet eller har väsentlig negativ inverkan på FCTG:s skyldigheter enligt detta Databehandlingstillägg

(d) varje juridiskt bindande begäran om information eller beslagtagning av kundens personuppgifter från en brottsbekämpande eller annan offentlig myndighet, såvida inte FCTG förhindras enligt lag att meddela sådana händelser till kunden.

9.2 FCTG:s meddelande om en datasäkerhetsincident till kunden måste vara fullständigt och särskilt innehålla sådan information som är nödvändig enligt dataskyddsförordningen artikel 33.3 och/eller krävs enligt tillämpliga lagar.

9.3 Meddelandet ska skickas per e-post till den kontakt som anges i Avtal för resetjänster och, där kunden har gett FCTG relevanta kontaktuppgifter, till kundens dataskyddsombud.

9.4 Om FCTG enligt tillämplig lag är skyldigt att meddela en datasäkerhetsincident till en tillsynsmyndighet eller annan myndighet, berörda registrerade eller någon annan tredje part (t.ex. om datasäkerhetsincidenten resulterar i en personuppgiftsincident för vilket FCTG självt är ansvarigt som personuppgiftsansvarigt) ska FCTG, i den grad som tillåts enligt tillämplig lag och enligt vad som rimligen är möjligt, samordna och koordinera med kunden innan sådana underrättelser görs.  Parterna ska göra sitt yttersta för att komma överens om ett gemensamt tillvägagångssätt för att förhindra motsägelsefulla eller ofullständiga meddelanden.  Detta inbegriper att ge varandra information om eventuella meddelanden och datum och tid för när dessa meddelanden kommer att skickas.

9.5 Skulle en datasäkerhtesincident inträffa ska FCTG genast vidta alla nödvändiga åtgärder enligt gällande lag och tekniska standarder för att återställa kundens personuppgifters konfidentialitet, integritet och tillgänglighet samt behandlingssystemens och tjänsternas motståndskraft samt mildra risken för skada och/eller skadliga konsekvenser för de registrerade som påverkats eller potentiellt påverkas av datasäkerhetsincidenten.

9.6 Parterna ska göra sitt yttersta för att stödja varandra vid revisioner, undersökningar, utredningar eller andra förfaranden som påbörjas av en tillsynsmyndighet eller ett offentligt organ avseende Avtal för databehandling.  I den utsträckning det är tillåtet enligt tillämplig lag ska endera part genast meddela den andra parten om sådant förfarande.

 

10. KOSTNADER FÖR BEHANDLINGSTJÄNSTER

10.1 Om inte annat uttryckligen anges här eller i Avtalet för resetjänster ska kunden genast då den får fakturan från FCTG ersätta FCTG för alla kostnader och utgifter som rimligen kan ha uppkommit och varit nödvändiga för att utföra behandlingstjänsterna här nedan (d.v.s. tjänster utöver Avtal om tjänster som inte baseras på FCTG:s lagstadgade skyldigheter).

10.2 Det föregående ska inte gälla immateriella engångskostnader som parterna rimligen kan förvänta sig ska täckas av de avgifter som betalas enligt Avtalet för resetjänster.  För tydlighetens skull inkluderar detta inga behandlingstjänster som tillhandahålls enligt avsnitten 4 – 8.

 

11. KUNDENS SKYLDIGHETER

11.1 Kunden ska genast vidta alla nödvändiga åtgärder för att uppfylla sina skyldigheter under tillämplig lag avseende behandlingen av kundens personuppgifter här nedan (d.v.s. utfärda alla nödvändiga meddelanden till de registrerade).

11.2 Kunden garanterar att (i) den har rätt att engagera och förse FCTG med kundens personuppgifter och (ii) att behandlingen av kundens personuppgifter, förutsatt att FCTG efterlever gällande lagar och bestämmelser i detta Avtal om databehandling, inte strider mot en eventuell tredje parts rättigheter.

 

12. ÅTERLÄMNANDE OCH RADERANDE AV KUNDENS PERSONUPPGIFTER

12.1 Vid uppsägning av Avtalet för resetjänster eller när som helst på kundens begäran ska FCTG genast radera och säkerställa raderingen av alla kopior av kundens personuppgifter.  Om och i den utsträckning en radering inte är rimligt genomförbar ska FCTG säkerställa att kundens berörda personuppgifter anonymiseras eller permanent blockeras och skyddas mot obehörig åtkomst, röjande eller användning.  Kunden får i sin absoluta diskretion via skriftligt meddelande kräva att FCTG returnerar en fullständig kopia av kundens samtliga personuppgifter till kunden via säker filöverföring i ett sådant format som kunden rimligen meddelat FCTG om.  FCTG ska uppfylla varje sådan skriftliga begäran.

12.2 FCTG får behålla kundens personuppgifter i den utsträckning som lagen kräver och endast i den utsträckning och så länge som krävs enligt lagen och alltid under förutsättning att FCTG säkerställer att bevarandet av kundens personuppgifter (i) hålls konfidentiellt och skyddat mot obehörig åtkomst, röjande eller användning och (ii) att de endast behandlas i den mån det behövs för det/de ändamål som det anges i den lag i vilken det föreskrivs att de ska sparas, och inte för något annat ändamål.

12.3 På kundens skriftliga begäran ska FCTG tillhandahålla ett skriftligt intyg till kunden om att FCTG till fullo har uppfyllt detta avsnitt.

 

13. ÖVERTRÄDELSE MOT DETTA AVTAL OM DATABEHANDLING

Vid överträdelse mot detta Avtal om databehandling ska relevanta bestämmelser i Avtalet för resetjänster gälla.

 

14. TILLÄGG TILL DATASKYDDSEFTERLEVNAD

14.1 Endera part får, med ett skriftligt meddelande minst två veckor i förväg till den andra parten, föreslå, till detta Avtal om databehandling, ändringar som parten rimligen anser vara nödvändiga för att tillgodose kraven i tillämplig lag. Om någon part gör ett sådant meddelande ska parterna genast samarbeta (och säkerställa att alla berörda underbiträden genast samarbetar) för att säkerställa att lämpliga ändringar görs för att åtgärda de krav som identifierats i meddelandet så snart som det rimligtvis är möjligt.

14.2 Skulle en gällande lag eller riktlinjer ändras av en tillsynsmyndighet eller om en tillsynsmyndighet skulle ge särskilda instruktioner eller regler avseende detta Avtal om databehandling ska parterna genast ändra detta Avtal om databehandling enligt vad som krävs och är passande för att säkerställa att sådana ändringar av lagenliga krav efterlevs.

 

15. LISTA ÖVER DEFINITIONER

"Tillåtet ändamål" har den innebörd som det tilldelats i Avsnitt 2.1.

”Dotterbolag" innebär alla juridiska enheter som direkt eller indirekt kontrollerar eller kontrolleras av eller står under direkt eller indirekt gemensam kontroll med den angivna enheten. "Kontroll", för denna definitions syften, innebär makten att styra ledningen och policyer för en sådan enhet, direkt eller indirekt, antingen via ägandet av rösträtt, enligt kontrakt (inbegripet franchise- eller varumärkeslicensavtal) eller på annat sätt.

"Kund" innebär den enhet som har ingått ett Avtal för resetjänster med FCTG och, endast för detta avtals syfte, och, förutom där det anges något annat, inbegriper kundens dotterbolag.

"Kundens personuppgifter" innebär alla personuppgifter som behandlas av FCTG på uppdrag av kunden enligt eller i samband med Avtal för resetjänster.

"Databehandlingskontrakt" har den innebörd som tilldelats begreppet i avsnittet Bakgrund.

"Kontrakttjänster" har den innebörd som tilldelats begreppet i avsnitt 2.1.

"Datasäkerhetsincident" har den innebörd som tilldelats begreppet i avsnitt 9.1.

"Datasäkerhetsstandarder" har den innebörd som tilldelast begreppet i avsnitt 3.1.

"Registrerads begäranden" har den innebörd som tilldelats begreppet i avsnitt 4.1.

"Databehandlingstillägg" har den innebörd som ges i avsnittet Bakgrund.

"EEA" betyder European Economic Area (Europeiska ekonomiska samarbetsområdet – EES)

"FCTG" betyder Flight Centre Travel Group-enheten som är en part i Avtalet för resetjänster och detta Avtal om databehandling, som ett eller flera av följande enheter som bedriver sin verksamhet som FCM Travel Solutions; Flight Centre (Storbritannien) Limited, Flight Centre Travel Group (Irland) Limited, Flight Centre Travel Group (Tyskland) GmbH, Flight Centre Travel Group (Europa) AB, Flight Centre Travel Group (Nederländerna) B.V., och, i den utsträckning något dotterbolag till ovan nämnda enheter behandlar personuppgifter för kundens räkning inom EES i EU, ska "FCTG" betyda och inbegripa detta dotterbolag.

"GDPR" har den innebörd som tilldelats begreppet i avsnitt 1.

"Behandlingstjänster" har den innebörd som tilldelats begreppet i avsnitt 2.1.

"Underbiträde" har den innebörd som tilldelats begreppet i avsnitt 6.1.

"Tredje land" betyder de länder som inte är medlemmar i EU eller EES och inte har erkänts av EU-kommissionen som ett land där en adekvat skyddsnivå för personuppgifter kan ges. Bland dessa länder fanns i november 2017 Andorra, Argentina, Kanada, Färöarna, Guernsey, Israel, Isle of Man, Jersey, Nya Zeeland, Schweiz och Uruguay.

"Avtal för resetjänster" har den innebörd som som ges i avsnittet Bakgrund.

 

16. SLUTBESTÄMMELSER

16.1 Rangordning I detta Avtal för databehandling är villkoren annorlunda än i Avtalet för resetjänster, och bestämmelserna i detta Avtal för databehandling finns med i och är en del av Avtalet för resetjänster som framställdes de i sin helhet i Avtalet för resetjänster.  I händelse av konflikt eller motsägelse ska bestämmelserna i detta Avtal om databehandling ha företräde framför bestämmelserna i Avtal för resetjänster.  I övrigt ska bestämmelserna i Avtal för resetjänster förbli giltiga.

16.2 Skriftlig form. Inga ändringar av eller tillägg till detta Avtal för databehandling eller dess villkor är giltiga och bindande såvida de inte görs skriftligen och uttryckligen är en ändring av eller ett tillägg till detta Avtal för databehandling.  Ovanstående ska även gälla en avsägelse av denna obligatoriska skriftliga form.

16.3 Avskiljande. Skulle någon bestämmelse i detta Avtal för databehandling vara ogiltig eller inte kunna genomdrivas ska återstoden av detta Avtal för databehandling förbli giltigt. Den bestämmelse som är ogiltig och inte kan genomdrivas ska antingen (i) ändras efter behov för att säkerställa att den är giltig och kan genomdrivas, samtidigt som parternas avsikter inte ändras eller, om detta inte är möjligt, (ii) tolkas som om den del som är ogiltig eller inte kan verkställas aldrig varit en del av avtalet.  Detta ska alltså gälla i händelse av oavsiktliga brister.


Bilaga 2.2

Behandlingens ändamål, behandlingens varaktighet, kategorier av kundens personuppgifter och registrerade som berörs av behandlingen

1. BEHANDLINGENS ÄNDAMÅL

All behandling härunder ska utföras endast i syfte att genomföra Avtalet för resetjänster(begränsning av tillåtligt syfte).

 

2. BEHANDLINGENS VARAKTIGHET

Detta Avtal för databehandlings varaktighet (löptid) motsvarar löptiden för Avtalet för resetjänster, och detta Avtal för databehandling upphör automatiskt när Avtalet för resetjänster upphör, med undantag för bestämmelser som är avsedda att fortsätta gälla efter uppsägning av detta eller Avtalet för resetjänster.  Eventuella rättigheter att säga upp detta Avtal för databehandling separat före ett uppsägningsdatum ska uteslutas i den utsträckning gällande lag så tillåter.

 

3. KATEGORIER AV KUNDENS PERSONUPPGIFTER

• Resandeprofilens personuppgifter Namn, bostadsadress, telefonnummer, e-postadress, jobbtitel, kontorsadress, anställningsnummer, pass- och visuminformation (inklusive födelsedatum, nationalitet, födelseort, passnummer och utgångsdatum), körkortsnummer och -information, miltal och bonusprogram-/gästkortnummer.

• Passageraruppgifter (“PNR”). Reseprofilers personuppgifter som behandlats i PNR-format i samband med reservationsuppgifter, inbegripet flygdatum och rutter, flygnummer, hotellbokningar, bokning av hyrbil, tågbokningar, biljettinformation, bemyndigandelösningar och reseriskhantering.

• Betalningsuppgifter. Kredit- och kontokortsuppgifter och bankuppgifter (om det krävs enligt avtal om ersättning i Avtalet för resetjänster).

• Information om kost och särskilda behov.   Tillhandahålls i samband med researrangemang (som måltidsbeställning eller särskilda behov) som kan beröra hälsa och religiös tro.

• Kontaktuppgifter i nödsituation Namn på och telefonnummer till den resandes partner och/eller kontaktpersoner vid nödsituation.

 

4. KATEGORIER AV BERÖRDA REGISTRERADE

• Anställda, agenter och entreprenörer(“Personal”) hos kunden och kundens dotterbolag.

• Kundens personals/kundens dotterbolags personals kontaktpersoner vid nödsituation och/eller partner.


Bilaga 3.2

STANDARDER FÖR DATASÄKERHET

1. DATASÄKERHETSSTYRNING

FCTG upprätthåller interna organisationella och styrande rutiner för att på lämpligt sätt hantera information under dess livscykel.  FCTG testar, bedömer och utvärderar regelbundet hur effektiva deras standarder för datasäkerhet är.

 

2. FYSISK ÅTKOMSTKONTROLL

FCTG använder olika åtgärder för att förhindra obehörig åtkomst till de fysiska lokaler där personuppgifter behandlas.  Dessa åtgärder inbegriper:

• Centraliserad nyckel- och kodhantering, kortnyckelrutiner

• Batchkortsystem, inbegripet lämpliga inloggnings- och varningsmekanismer

• Övervakningssystem, inbegripet larm och, i förekommande fall, CCTV-övervakning

• Policyer för receptionister och besökanden

• Låsning av serverrack och säkrade utrustningsrum inne på datacentrer

 

3. VIRTUELL ÅTKOMSTKONTROLL

FCTG implementerar lämpliga åtgärder för att förhindra att dess system används av obehöriga personer. Detta uppnås genom:

• Individuell, identifierbar och rollbaserad tilldelning av användarkonton

• Rollbaserade och lösenordsskyddade åtkomst- och behörighetsrutiner

• Centraliserad, standardiserad lösenordshantering samt centraliserade och standardiserade lösenordspolicyer (minimilängd/lägst antal tecken, byte av lösenord)

• Inaktivering av användarkonton efter fem misslyckade inloggningsförsök

• Automatisk utloggning vid inaktivitet

• Antivirusprogram

 

4. KONTROLL AV UPPGIFTSÅTKOMST

Individer som får använda FCTG:s system kan bara få åtkomst till de uppgifter som de måste ha åtkomst till på grund av sitt arbete och i den utsträckning detta täcks av deras respektive åtkomsttillstånd (behörighet), och sådana uppgifter kan inte läsas, kopieras, ändras eller tas bort utan särskilt tillstånd. Detta uppnås genom:

• Verifiering på operativsystemsnivå

• Separat verifiering på tillämpningsnivå

• Verifiering mot centralt styrt verifieringssystem

• Åtskillnad av skyldigheter och bemyndiganden mellan användare, administratörer och systemutvecklare

• Ändra kontrollrutiner som styr hanteringen av ändringar (tillämpning eller OS) inom miljön

• Fjärråtkomst endast via VPN, inbegripet lämplig behörighet och verifiering

• Loggning av system- och nätverksaktiviteter för att skapa en granskningslogg ifall systemet missbrukas

 

5. UTLÄMNANDEKONTROLL

FCTG implementerar lämpliga åtgärder för att förhindra att uppgifter läses, kopieras, ändras eller raderas av obehöriga personer under elektronisk överföring och under transport av datalagringsmedia. FCTG implementerar även lämpliga åtgärder för att verifiera till vilka enheter uppgifter överförs. Detta uppnås genom:

• Uppgiftsöverföringsprotokoll som inbegriper kryptering för databärare/media

• Profilinställning uppgiftsöverföring via Secure File Transfer Protocol (filöverföringsprotokoll)

• Krypterad VPN

• Inga fysiska förflyttningar av media för säkerhetskopiering

 

6. KONTROLL AV UPPGIFTSINMATNING

FCTG implementerar lämpliga åtgärder för att övervaka huruvida uppgifter har matats in, ändrats eller tagits bort (raderats) och av vem. Detta uppnås genom:

• Dokumentering av administrationsaktiviteter (inställning av användarkonton, ändringshantering, åtkomst- och behörighetsrutiner)

• Arkivering av begäranden om lösenordsåterställning och åtkomst

• Systemloggfiler aktiverade som standard

• Lagring av revisionsloggar för definierade tidsperioder för analys av revisionslogg

• Centralisering av revisionsloggar för att korrelera incidenter över systemen

 

7. INSTRUKTIONSKONTROLL

FCTG implementerar lämpliga åtgärder för att säkerställa att uppgifter endast får behandlas enligt kundens instruktioner. Dessa åtgärder inbegriper:

• Bindande policyer och rutiner för FCTG:s anställda

• Där underbiträden anlitas för behandlingen av uppgifter, inbegripet lämpliga avtalsbestämmelser med underbiträden för att upprätthålla rätten till kontroll över instruktioner

 

8. TILLGÄNGLIGHETSKONTROLL

FCTG upprätthåller lämpliga nivåer av redundans- och feltolerans för oavsiktlig förstörelse eller förlust av data, inbegripet:

• Extensiva och omfattande system för säkerhetskopiering och återhämtning

• Dokumenterad återhämtning vid datorhaveri samt planer och system för verksamhetskontinuitet

• Policyer för lagring och arkivering

• Antivirus-, antispam- och brandväggssystem och hantering, inklusive policyer

• Datacentrer är lämpligt utrustade för att hantera risker, inbegripet fysiskt separerade centrer för säkerhetskopiering, avbrottssäker strömförsörjning (reservgeneratorer), reservmaskinvara och nätverkssystem samt larm- och säkerhetssystem (rök, brand, vatten)

• Nätverk byggt för redundansnivåer på N+1 genomgående

• Serverklustring används i de flesta program för att skydda mot hårdvaruhaveri

• Hårddiskspegling används i alla system (t.ex. RAID), både i lokal lagring och SAN-baserade lagringsmiljöer

• UPS-system på plats ger avbrottsfri strömförsörjning till plattformar och generatorsystem på plats ger långsiktig strömförsörjning vid långvariga strömavbrott

• Alla kritiska system har reservtjänster som körs parallellt på ett sekundärt datacenter

 

9. SEPARERINGSKONTROLL

FCTG implementerar lämpliga åtgärder för att säkerställa att uppgifter som är avsedda för olika ändamål behandlas åtskilda. Detta uppnås genom:

• Processer för begäran om åtkomst och bemyndigande ger varumärkeskunden separering av data (logisk programbaserad segregation)

• Separering av funktioner (produktion/testning)