Travel ID 隐私声明
2023 年 8 月
本《Travel ID 隐私声明》(下称“隐私声明”)的目的是向您说明,我们如何处理与您使用 Travel ID 相关的个人数据。
我们(汉莎航空集团航空公司与 Miles & More GmbH)作为 Travel ID 的运营商,希望以尽可能便捷的方式为您提供汉莎航空集团的服务,同时希望从您首次访问我们网站和其他触点开始直至您旅行结束之后,始终根据您及您的特殊愿望和期望为您提供量身定制的旅行体验。您可以选择通过 Travel ID 创建免费的客户个人资料,该个人资料适用于所有 Travel ID 运营商,并且允许您使用它们的多元化服务。
创建 Travel ID 个人资料以及为此提供所需的数据皆属自愿。但是,部分服务仅面向 Travel ID 客户提供。例如,这适用于在汉莎航空集团航空公司的预订平台上接收个性化航班优惠和附加服务的选项。
本数据保护声明符合适用的数据保护法规;根据适用范围,这些数据保护法规包括《通用数据保护条例》(GDPR) 以及未来任何其他国家/地区法定数据保护法律和法规。
数据保护法下的控制方
奥地利航空公司、布鲁塞尔航空公司、德国汉莎航空公司、欧洲之翼航空公司、EW Discover GmbH、瑞士国际航空公司等汉莎航空集团航空公司和 Miles & More GmbH 是 Travel ID 的运营商。
除非在本隐私声明中另行说明,否则“我们”或“Travel ID 运营商”应指依据欧盟《通用数据保护条例》(“GDPR”)第 26 条,共同负责处理您个人数据的汉莎航空集团航空公司以及 Miles & More GmbH(“联合控制方”)。
有关汉莎航空集团航空公司以及 Miles & More GmbH的更多信息和联系地址,请参阅相应 Travel ID 运营商的隐私声明。
您可以联系谁?
如果您有与 Travel ID 相关的数据保护问题,请联系以下人员:
德国汉莎航空公司、Miles & More GmbH、欧洲之翼航空公司以及 EW Discover GmbH 数据保护官:
Deutsche Lufthansa AG
Data Protection Officer
FRA CJ/D
Lufthansa Aviation Center
Airportring
60546 Frankfurt am Main
Germany
奥地利航空公司数据保护官:
Austrian Airlines AG
Legal office – Data Protection
Office Park 2
PO Box 100
1300 Vienna Airport
Austria
瑞士国际航空公司数据保护官:
Swiss International Air Lines AG
ZRH S/CJ
PO Box
8058 Zurich Airport
Switzerland
布鲁塞尔航空公司数据保护官:
Brussels Airlines
Data Protection Officer
Airport Bld. 26, General Aviation - Ringbaan
1831 Machelen
Belgium
创建 Travel ID 个人资料
您注册 Travel ID 时,我们需要的唯一强制性信息是您的电子邮件地址、称谓、姓名、出生日期和密码。在技术上可行的情况下,那么您的国家/地区和首选语言设置将使用您在各 Travel ID 运营商网站或其他触点输入的国家/地区和语言设置自动转入。该信息是创建 Travel ID 个人资料以及使用下文《Travel ID 使用条款及细则》详述的 Travel ID 服务所必需的。您可根据个人意愿自愿在 Travel ID 个人资料中添加其他信息。这可以是您的地址、手机号码、付款信息或者航班偏好(例如出发机场偏好)。
处理您的数据的法律依据是按照 GDPR 第 6 (1)(b) 条履行合同。
在取得您同意的情况下,您还可以选择在您的 Travel ID 个人资料中存储其他个人数据。您可以在本数据保护政策的相关章节找到与此相关的详细信息。
关于您的 Travel ID 个人资料的通知
如果出于履行合同的必要,我们会向您发送您的 Travel ID 个人资料的会员资格变更消息。这包括通过您的 Travel ID 个人资料上传的旅行证件有效期到期、付款方式或密码等。
如果您有三年未登录您的 Travel ID 个人资料,那么我们将要求您重新登录。如果六个月后我们看到您的 Travel ID 个人资料仍没有任何活动,则我们将删除您的 Travel ID 个人资料(请参阅“删除您的 Travel ID 个人资料”章节)。
处理您的数据的法律依据是按照 GDPR 第 6 (1)(b) 条履行合同。
网站和其他触点的个性化使用
如果出于履行合同的必要,我们会向您发送您的 Travel ID 个人资料的会员资格变更消息。这包括通过您的 Travel ID 个人资料上传的旅行证件有效期到期、付款方式或密码等。
如果您有三年未登录您的 Travel ID 个人资料,那么我们将要求您重新登录。如果六个月后我们看到您的 Travel ID 个人资料仍没有任何活动,则我们将删除您的 Travel ID 个人资料(请参阅“删除您的 Travel ID 个人资料”章节)。
处理您的数据的法律依据是按照 GDPR 第 6 (1)(b) 条履行合同。
当您访问我们的网站以及使用我们的手机应用程序和其他触点时,我们的目标是让您轻松、快捷地找到并使用与您相关的信息。因此您可以选择使用您的 Travel ID 进行注册,以便获取个人通知,以及接收与您当前航班预订匹配的信息等。
当然,如果您不希望使用登录服务,您也可以在不登录的情况下使用网站/触点。在这种情况下,会显示相应内容但不是针对您的个性化内容。
处理您的数据的法律依据是按照 GDPR 第 6 (1)(b) 条履行合同。
预填表单
我们使用您在 Travel ID 个人资料中输入的数据预填表单,从而让您的预订流程更轻松。这可能是您注册时主动提供的数据、之后添加的数据,也可能是您之前预订时提供的与 Travel ID 个人资料相关的数据,您再次订票时我们将自动考虑这些数据。我们还会使用您预订时提供的数据,为您提供例如适用于在线办理登机手续和自助办理登机手续系统的预填表单。如果您填写其他表单,例如参与幸运抽奖活动或者使用网站的任一电子反馈表发送客户反馈,则所需的联系详情也会根据您的 Travel ID 个人资料预填。
处理您的数据的法律依据是按照 GDPR 第 6 (1)(b) 条履行合同。
预订概览
欲获得您通过 Travel ID 运营商进行的预订概览,自您注册Travel ID 以来进行的预订都将显示在您的 Travel ID 个人资料中。如果您将您之前在汉莎航空集团某航空公司的客户个人资料变更为 Travel ID 个人资料,则您用以前的客户个人资料进行的预订也将显示在您的 Travel ID 个人资料中。
您的预订概览包括创建和显示航班统计数据等。如果您在登录状态下进行预订,则这些预订将自动保存至您的 Travel ID 个人资料中。您也可以之后向您的个人资料中添加预订信息。Travel ID 个人资料可显示过去 10 年的预订信息。
处理您的数据的法律依据是按照 GDPR 第 6 (1)(b) 条履行合同。
联系我们的员工和触点时获得个性化服务
我们使用存储在您 Travel ID 个人资料中的数据以便能够为您提供个性化服务。我们会处理您注册期间或之后在 Travel ID 个人资料中输入的数据,以及我们记录的数据,例如通过 Travel ID 进行航班预订输入的数据。这其中也包括航班延迟、取消及行李问题。我们还会处理您向服务中心提出的请求中的数据。
通过此类处理,我们可以改进投诉管理,并在我们的所有触点为 Travel ID 客户提供针对性服务。您向我们服务中心提交的询问将显示在您的 Travel ID 个人资料中,您可以在那里对其进行管理。
处理您的数据的法律依据是按照 GDPR 第 6 (1)(b) 条履行合同。
就合同约定服务进行联系
如果我们一直无法向您提供承诺的服务,那么我们可能希望通过电子或邮寄方式联系您,或者我们的员工可能会单独联系您。我们出于此目的使用与任何问题和客户疑虑有关的数据,以及事件数量和严重程度相关数据。
我们处理您数据的法律依据是我们根据 GDPR 第 6 (1)(f) 条享有的合法权益。
审核旅行和健康证件
旅行证件
您可以选择根据您订购机票的入境或过境规定,审核您的旅行证件(如护照或签证)。为此,您可以通过您的 Travel ID 个人资料将相关旅行证件上传至独立的安全数据库。然后,它们将自动传输至我们的旅行证件审核流程并在您的旅行开始之前完成审核。
处理您数据的法律依据是您根据 GDPR 第 6 (1)(a) 条规定授权的许可。
您有权随时撤销您对使用您旅行证件数据的同意,但此类撤销不会影响之前基于此同意已经执行的任何处理的合法性。为此,您可以在您的 Travel ID 个人资料的“个人证件”中删除您的旅行证件。
您的旅行证件一旦失效,将自动删除。
健康证件
您可以选择使用健康证件检查流程来检查您的健康相关证件对入境或过境国家/地区是否有效。为此,您可以通过您的 Travel ID 个人资料,将您的健康相关证件(例如疫苗接种证书或康复证明)上传至安全数据库。健康证件检查流程是“旅行证件”章节中所述旅行证件检查的一部分,但因为要处理健康数据,因此需要您单独授权许可。
处理您数据的法律依据是您根据 GDPR 第 9 (2)(a) 条以及第 6 (1)(a) 条单独授权的许可。
您有权随时撤销您对处理健康相关数据的同意,但此类撤销不会影响之前基于此同意已经执行的任何处理的合法性。为此,您可以在您的 Travel ID 个人资料的“个人证件”中删除您的健康证件。
健康相关证件也会到期后自动删除,最迟不会晚于上传后 12 个月。
保存付款方式
您可以在 Travel ID 个人资料中保存您的首选付款方式。您可以随时在 Travel ID 个人资料中执行此操作。您也可以在预订过程中选择将所输入的付款方式保存至 Travel ID 个人资料,以在将来预订付款时使用。
如果您已将付款方式保存至 Travel ID 个人资料,并在登录的情况下使用 Travel ID 个人资料进行预订,我们将预填充您的首选付款方式,或为您提供选项。
您可以随时编辑或删除您的付款方式。
处理您数据的法律依据是您根据 GDPR 第 6 (1)(a) 条规定授权的许可。
您有权随时撤销对保存您付款方式的许可,撤销许可不会影响在撤销许可之前基于此许可执行的任何存储的合法性。您可在 Travel ID 个人资料的“付款方式”中删除付款方式。
个性化优惠设置
如果您预订了航班,那么汉莎航空集团航空公司将联系您,告知您有关您航班的可能额外服务。这些额外服务可能包括汉莎航空集团航空公司的航班相关服务,例如高级餐食或升舱,还包括汉莎航空集团航空公司合作伙伴公司(汉莎航空集团航空公司合作伙伴公司的相关信息:奥地利航空、布鲁塞尔航空、欧洲之翼、Discover Airlines、汉莎航空、瑞士国际航空)的额外服务,例如租车或保险公司。为此,将处理您的 Travel ID 个人资料中和汉莎航空集团航空公司存储的您的相关数据(例如航班数据、偏好)。
处理您数据的法律依据是您根据 GDPR 第 6 (1)(a) 条规定授权的许可。
本许可是您在注册过程中或后来在您的 Travel ID 个人资料中提供的,您可以随时在您的 Travel ID 个人资料中进行管理。
个性化广告宣传
Travel ID 运营商的广告宣传
根据本隐私声明“个性化优惠设置”章节所述,您可以选择向我们授权许可,以帮助我们确定您感兴趣的主要领域,并以此为基础通过数字通信渠道(例如通过电子邮件、短信/彩信、Messenger 服务、搜索引擎、视频、横幅),通过电话或者汉莎航空集团航空公司的网站来发送汉莎航空集团航空公司及其各自合作伙伴公司(汉莎航空集团航空公司合作伙伴公司的相关信息:奥地利航空、布鲁塞尔航空、欧洲之翼、Discover Airlines、汉莎航空、瑞士国际航空)的服务信息和个性化优惠。
此外,您可以授权 Miles & More GmbH 给您发送与您的 Miles & More 飞常里程汇奖励计划会员相关的优惠(如果您还不是 Miles & More 飞常里程汇奖励计划的会员)。
因为我们只想向您提供您真正感兴趣的信息和优惠,因此,经您同意后,我们会处理汉莎航空集团航空公司存储的预订信息,例如旅行路线、旅行期限和预订舱位以及您的 Travel ID 个人资料中存储的偏好。例如,我们可能会分析与您未来行程相关的信息,从而向您发送适合您旅行的附加服务或者适合您旅行目的地的可用服务优惠或者优惠券。
通过客户数据匹配 (CRM Datamatch) 发送个性化广告
为您提供量身定制的个性化信息和优惠的一种方法是,在合作伙伴网站或广告商网站上识别您的身份。
为此,我们将您 Travel ID 个人资料中用 SHA 256 算法加密、联邦安全办公室推荐的强密码保存的电子邮件地址和/或电话号码传输至所谓的净室。数据净室是不受外部技术影响、处理个人数据的安全环境。它旨在促进广告公司(在本隐私声明中,指 Travel ID 运营商和广告领域合作伙伴或提供商)之间的数据交换,同时尽可能保护各自客户的隐私。为此,合作伙伴或广告公司也使用相同加密方法将客户数据提供给数据净室。作为数据匹配的一部分,命中 (Datamatch) 将发送给所谓的受众(人群),它们最终可能将由 Travel ID 运营商进行分析并用于广告目的。我们向数据净室传输的数据的访问权限,将仅在相应数据处理合同签订后授予我们选择的广告领域的合作伙伴和提供商。
取决于技术开发和营销商的支持技术,我们确保会使用更强大、更安全的加密和/或扩展技术。
通过 Google Customer Match 进行 CRM 数据匹配
在通过 Google Customer Match 进行 CRM 数据匹配的情况下,我们将按照“通过客户数据匹配 (CRM Datamatch) 发送个性化广告”章节中所述流程,向 Google 运营的数据净室提供加密数据。在这个数据净室,Google 将我们提供的数据与使用相同的 SHA 256 哈希算法加密的 Google 账户客户的数据进行比对。之后 Google 会将匹配项添加到称为“受众”的列表中。这个过程完成后(最多 48 小时),加密数据将被立即删除。如果您属于此类受众,那么当您使用 Google 平台上网时,Google 能识别出您的身份并向您展示我们的个性化广告。
在 Google Customer Match 中处理您个人数据的另一先决条件是,您拥有 Google 账户并且已授权 Google 在其中显示个性化广告。您可以在 Google 用户账户的数据保护选项卡下依照您的偏好修改此设置。
在 GDPR 定义的 Google Ads/Google Customer Match 范畴内处理个人数据的控制方是 Ireland Ltd, Gordon House, Barrow Street, Dublin 4, Ireland。Google Ireland Ltd 是 Google LLC 的子公司,其总部设在美国加利福尼亚州,受加利福尼亚州法律管辖,因此可能也有义务提供对在美国境外处理的数据的访问权限。
您可以在《Google 隐私声明》中找到有关 Google 处理您的个人数据的更多信息。
处理“个性化广告宣传”章节中列出的您的所有数据的法律依据是您根据 GDPR 第 6 (1)(a) 条授权的许可。
本许可是您在注册过程中或后来在您的 Travel ID 个人资料中提供的,您可以随时在您的 Travel ID 个人资料中进行管理。
您还可以通过调整宣传设置,自行决定您希望接收我们提供的信息和个人优惠的程度。您也可以在 Travel ID 个人资料中撤销对个别领域(例如对电子邮件新闻简报)的营销宣传授权。
Travel ID 运营商之间的数据传输
如果您有 Travel ID 个人资料并且您的 Travel ID 个人资料未关联至 Miles & More 飞常里程汇会员账户,则汉莎航空集团航空公司之间将相互交换您的数据,以便为您提供《Travel ID 使用条款及细则》中规定的服务。Miles & More GmbH 将仅从您那里接收管理您的 Travel ID 个人资料所需的数据(例如联系方式、出生日期和您自愿存储的个人资料数据),并且不会出于自身目的处理这些数据。
如果您已将您的 Travel ID 个人资料与您的 Miles & More 飞常里程汇会员账户关联,则 Travel ID 运营商之间将会相互交换您的数据,以便为您提供《Travel ID 使用条款及细则》中规定的服务。您可以自行决定是否进行关联。创建关联时将在您的 Travel ID 个人资料和 Miles & More 飞常里程汇账户之间进行数据匹配。具体而言,您在两个账户中存储的数据将按以下方式传输:
所有主数据(如姓名、出生日期、邮政地址、电话)和偏好(如首选出发机场)都自动由您的 Miles & More 飞常里程汇账户传输。电子邮件地址将从您的 Travel ID 个人资料中提取。
传输您的数据的法律依据是按照 GDPR 第 6 (1)(b) 条履行合同。
如果您已授权 Miles & More GmbH 接收个性化广告宣传(查看“个性化广告宣传”章节),则为实现此目的,Miles & More 飞常里程汇有限责任公司也将处理您的航班数据(例如您的航线、旅行舱等、出发机场、目的地机场)。
“登录”和“保持登录”功能
您首次登录 Travel ID 运营商的网站或其他触点时,会要求您输入详细信息进行登录。为了在您会话期间识别您,我们使用“登录”Cookie。此 Cookie 允许您无需再次使用您的 Travel ID 凭据登录即可访问其他 Travel ID 运营商的网站。
登录 Travel ID 运营商的网站时,您还可以选择主动启用“保持登录”功能,这意味着您结束会话后重新访问网站时无需再次登录。
我们也会出于此目的使用 Cookie,这样您返回网站/触点时,系统可自动识别您的身份。
“保持登录”功能到期后需要您再次登录。此外,如果您正在执行需要增强安全级别的活动,系统将一直提示您重新登录。
处理您数据的法律依据是您根据 GDPR 第 6 (1)(a) 条规定授权的许可。
存储期
我们在本隐私声明所述处理程度和时间范围内处理您的数据。
如果处理您数据的目的不再适用,则这些数据将删除,但实现以下目的需要保留这些数据的情形除外:
- 履行商业法或税法下的义务可能需要遵守法定保留期要求;这些期限可能长达十年
- 合法要求的主张、行使或抗辩
在这些情况下,处理您的数据将受到限制(“冻结”),因此不能再出于其他目的处理您的数据。
删除您的 Travel ID 个人资料
如果您不再希望使用 Travel ID 服务,则可以随时删除您的 Travel ID 个人资料。我们收集的与您使用 Travel ID 相关的个人数据将立即删除,但可能须遵守相互冲突的法定保留要求。
您可以登录您的 Travel ID 个人资料,自行删除 Travel ID 个人资料以及您在其中提供的任何特定数据项。
如果您未在确认电子邮件所述的期限内确认注册或者您请求发送含激活链接的确认电子邮件三次以上而并未使用,则我们也将删除您的临时性 Travel ID 个人资料。
经过一段特定静止期后,我们也会删除您的个人资料(查看“关于您的 Travel ID 个人资料的通知”章节)。
您作为数据主体的权利
您的权利
作为数据主体,您可以在存在相应法定条件的前提下行使以下权利:
- 知情权,GDPR 第 15 条
- 修正权,GDPR 第 16 条
- 删除权(“被遗忘权”)、GDPR 第 17 条(另请参阅本 Travel ID 隐私声明中“删除您的 Travel ID 个人资料”章节)
- 限制处理权,GDPR 第 18 条
- 数据迁移权,GDPR 第 20 条
- 反对权,GDPR 第 21 条(另请参阅本 Travel ID 隐私声明中“GDPR 第 21 条反对权”章节)
如果我们在征得您同意的基础上处理您的数据,您有权随时撤销同意,但此类撤销不会影响之前基于此同意已经执行的任何处理的合法性。
如需行使您的权利,您可以通过本隐私声明中的“您可以联系谁”部分联系相应的 Travel ID 运营商。为了处理您的申请并识别您的身份,我们将根据 GDPR 第 6 (1)(c) 条处理您的个人数据。
您也可以随时在您的 Travel ID 个人资料中,自行查看大多数主数据的当前状态。进行任何更改(比如您的邮政地址、电子邮件地址或电话号码)后请及时更新您的个人数据。要删除您的 Travel ID 个人资料,您也可以按照“删除您的 Travel ID 个人资料”章节所述进行删除。
此外,您还有权根据 GDPR 第 77 条向监管当局投诉。
监管当局
您可以在下方找到负责 Travel ID 运营商的所有数据保护当局的列表。
德国汉莎航空公司、EW Discover GmbH 和 Miles & More GmbH 的主管监管当局为:
Commissioner for Data Protection and Freedom of Information of the State of Hesse
PO Box 3163
65021 Wiesbaden
Germany
电话:+49 - 611 - 14 08 - 0
传真:+49 - 611 - 14 08 - 900 或 -901
电子邮件:poststelle@datenschutz.hessen.de
欧洲之翼航空公司的主管监管当局为:
Regional Officer for Data Protection and Freedom of Information
State of North Rhine-Westphalia
PO Box 20 04 44
40102 Dusseldorf
Germany
电话:+49 - 211 - 38 424 - 0
传真:+49 - 211 - 38 424 - 999
电子邮件:poststelle@ldi.nrw.de
奥地利航空公司的主管监管当局为:
Austrian Data Protection Authority
Barichgasse 40-42
1030 Vienna
Austria
电话:+43 - 52 152 - 0
电子邮件:dsb@dsb.gv.at
瑞士国际航空公司的主管监管当局为:
Federal Data Protection and Information Commissioner
Feldeggweg 1
3003 Bern
Switzerland
电话:+41 - 58 46 24 395
传真:+41 - 58 46 59 996
对于受 GDPR 约束的数据处理:
Commissioner for Data Protection and Freedom of Information of the State of Hesse
PO Box 3163
65021 Wiesbaden
Germany
电话:+49 - 611 1408 - 0
传真:+49 - 611 - 14 08 - 900 或 -901
电子邮件:poststelle@datenschutz.hessen.de
布鲁塞尔航空公司的主管监管当局为:
Autorité de protection des données
Gegevensbeschermingsautoriteit
Data Protection Authority
Rue de la presse 35, 1000 Brussels
Belgium
电话:+32 - 2 - 27 44 800
电子邮件:contact@apd-gba.be
GDPR 第 21 条反对权
您有权因为自己的特殊情况随时依据 GDPR 第 6 (1)(f) 条反对处理您的个人数据。
如果您提出反对,那么我们将不再处理与您有关的个人数据,除非我们能够证明存在超过您的利益、权利和自由的强制性处理理由或者处理数据是为了执行、行使或捍卫合法要求。
如果我们处理您的个人数据用于直接营销目的并且您反对这种处理,则我们将不再出于这些目的处理与您相关的个人数据。
您可以随时反对处理您的个人数据,例如通过使用“您可以联系谁?”章节中所述的联系方式。
数据安全
我们使用技术和组织安全措施来保护您的数据免遭意外或故意篡改、丢失、删除或越权存取。随着新技术的不断涌现,我们的安全措施也在日益改进。
数据接收人
对于本《Travel ID 隐私声明》所述的处理操作,我们可能会向以下类别的接收人披露您的数据:
- 我们根据 GDPR 第 28(3) 条基于委托提供的数据处理协议开展合作的服务供应商;
- 政府机构和当局,例如因为警务活动和调查活动
在这种情况下,个人数据可能传输至第三国或国际组织。为了保护您及您的个人数据,我们将根据并遵循法律要求,对该等数据传输提供适当的安全措施。
如果此类传输是向欧盟委员会或主管当局尚未发布适当性决定的第三国进行,则我们将使用欧盟的标准合同条款。关于欧盟的标准合同条款,请参阅欧盟网站。
在特殊情况下,向没有充分保护的国家/地区传输也是允许的,例如基于授权、与法律诉讼有关或执行合同要求必需进行传输。
更新本 Travel ID 隐私声明
我们定期审查本 Travel ID 隐私声明,并将根据需要进行更新。如果本《Travel ID 隐私声明》有重大变更,我们将告知您(例如通过我们的网站)。