ファストブッキング社がホテル向けに公開しているドキュメントのようですが、ここでは自分たちは処理者なので、管理者であるホテル側に侵害時の通知などを行う責任があります、と明確に述べています。大手の各ホテル会社さん達が自ら顧客にメールしたのはこのためではないかと思います。実際のメールのサンプルらしきものは以下に載っています。（この手の情報収集・整理では業界内では定評のある方ですね）
http://d.hatena.ne.jp/Kango/20180627/1530106147

上記の通りファストブッキング社が処理者だとすれば、p-cのSCCフォーマットは欧州側から提供されていませんので（管理者が必ず欧州域内側にいる前提で契約書の雛形が作られている）、域外移転をどう手当したのかと思っていたのですが、上記のファイルを見ると

「ゲストデータが海外へ転送されることはありますか?
パートナーとの接続を構築する旨の書面による要請を皆様から受領後、契約を確実に履行するた めにデータをパートナーに転送することができます。 特定の状況下では、予約処理を目的として、データがEU圏外に転送されることがあります。」

と言っています。この根拠は大丈夫か？とも思うのですが、この辺りの是非も弁護士の先生方に伺ってみたいところです。また、仏CNIL（データ保護機関）がどう対応するのか、見守りたいと思います。(本来ペナルティを科すべき管理者は日本にいて、インシデントを起こしたのが自国の企業というややこしい状態ですね）

では、暑くなりましたが水分補給にお気をつけて。