适用于团体销售协议的隐私条款

在没有欧洲委员会或其他相关机构的充分性决定的情况下，如果个人数据由欧洲经济区或英国以外的某一方转移进行处理，该方应根据GDPR和/或英国GDPR（如适用）提供适当的保障措施，并完全遵守控制者对控制者标准合同条款（“SCCs”）和/或英国附录。SCCs和英国附录在此通过引用并入，受以下条款约束：

• 各方拒绝纳入SCCs的第7条（对接条款）。

• 双方同意适用SCCs第17条（适用法律）选项。这些条款应受欧盟成员国之一的法律管辖，前提是该法律允许第三方受益权。双方同意适用爱尔兰法律，除非适用英国附录，在这种情况下，双方同意适用英格兰和威尔士的法律。

• 根据SCCs第18条（论坛和管辖权选择），因这些条款引起的任何争议应由爱尔兰法院解决，除非适用英国附录，在这种情况下，双方同意因这些条款引起的任何争议应由英格兰和威尔士的法院解决。

• 根据SCCs的附件1.A，双方同意酒店为“数据进口方”，集团销售客户为“数据出口方”，转移的详细信息在协议中提供。

• 双方同意纳入此处提供的附件II：

a. 数据进口方维持适当的安全程序和实践，以防止未经授权的访问、获取、销毁、修改、使用或披露个人数据。这些程序和实践至少符合这些条款和适用的数据保护要求。所有这些程序和实践都考虑到个人数据的性质以及与此类个人数据相关的相应风险。

b. 与上述内容一致，数据进口方：

i. 采用、实施、维护并监控一项书面的信息安全计划，其中包含管理、技术和物理保障措施，以 (A) 防止未经授权访问、获取、破坏、修改、使用或披露个人数据；(B) 确保处理系统和服务的持续保密性、完整性、可用性和弹性；以及 (C) 确保在发生物理或技术事件时，能够及时恢复个人数据的可用性和访问权限；

ii. 进行定期风险评估，以识别和评估对包含个人数据的电子、纸质和其他记录的安全性、保密性和完整性构成的合理可预见的内部和外部风险，并在必要时评估和改进其限制这些内部和外部风险的保障措施的有效性；

iii. 采取合理措施确保所有被提供访问个人数据权限的数据输入方员工、代理和分包商的可靠性；

iv. 确保其信息安全程序包括行业标准的密码、防火墙、操作系统、防病毒和恶意软件保护，以保护存储或以其他方式在计算机系统上处理的个人数据；

v. 使用行业标准的加密工具加密所有记录和文件 (A) 包含数据输入方通过无线或公共网络传输或发送的个人数据；以及 (B) 包含数据输入方的敏感个人数据：(1) 存储在笔记本电脑或存储介质上；(2) 存储在便携设备上；以及 (3) 存储在数据输入方的物理或逻辑访问控制之外的任何设备上；并保护与加密个人数据相关的所有加密密钥的安全性、机密性和完整性；

vi. 维护一个事件响应程序，当数据输入方有理由相信可能发生或已经发生数据安全漏洞时，规定其应采取的行动；以及

vii. 实施适用数据保护法律可能要求的其他安全措施。