隱私政策
我們對您的隱私承諾
當您使用我們的產品和服務時,您信任我們並願意向我們提供您的資訊。 我們認為這種關係非常重要,並向您承諾以下內容。
- 我們始終根據歐盟資料保護規則和其他適用的隱私法規處理您的資料,以防止未經授權的訪問,並確保安全的資料傳輸。
- 我們對如何使用從您那裡收集來的資料會保持透明。
- 我們會向您說明與我們共享您的資料有什麼好處,並使我們的通訊與您的需求和偏好相配對。
- 在整個荷航和合作夥伴航空公司的旅程中,我們會以通俗易懂的語言來闡明我們是如何操作的。
- 我們會讓您來控制您的資料,並將利用您的反饋不斷改進。
- 我們確保您的資料在我們這裡是安全的。 萬一您的資料被洩露,我們將確保盡快阻止洩漏並立即通知您。
- 如果我們需要在我們的組織之外披露您的資料,我們會在我們的隱私政策中明確說明這一點。 未經您的明確同意,我們不會將您的個人資訊共享、出售或提供給任何外部組織。
- 我們對您資料的處理值得信賴,並努力獲得國際認證(例如 ISO-27001)。
關於此隱私政策
4.1. 我們使用您個人資料的主要目的 (A) 向您提供服務 我們使用 2.1 (A) 到 (G) 中所述的內容來處理您的預約和預訂,以及安排您的旅程和購買服務。 例如,我們使用您的姓名、護照編號和其他身份識別資訊來簽發您的機票。 我們使用您的詳細聯絡資訊,才能通知您航班狀態的變更。
(G) 表現出不守規矩或濫用我們服務的乘客 i. i. 荷航保留有不守規矩行為或濫用我們服務的乘客名單(見上文 2.1 (J))。 根據行為的嚴重程度,荷航可以 (i) 在三年內對其登機附加附加條件,或 (ii) 在五年內(原則上)拒絕其登機。 如果出現加重情節(例如屢次不當行為),荷航可能會決定拒絕乘客五年以上。 在非常嚴重的情況下,荷航甚至可能決定永久拒絕乘客。 關於兒童的特殊資訊: 未滿 15 歲的兒童表現出不守規矩的行為,不在名單上。 對於 15 至 16 歲的兒童,荷航可能會附加條件,最長期限為一年。 乘客將被親自告知(如果可能,透過電子郵件)他們被列入名單的事實、被列入名單的原因、對他們實施了哪些安全措施、這些措施的有效期以及他們在哪裡可以對這種處理提出投訴或反對。 有關存取或更正此資料的更多資訊,請參見下文 8「您的權利」。 ii. 非法藥物:在阿姆斯特丹史基浦機場降落的乘客,如果被荷蘭皇家憲兵隊 (Royal Dutch Marechaussee) 發現其攜帶非法藥物,荷航會從荷蘭政府收到他們的姓名。 荷航可能在 3 年內拒絕與這些人簽訂任何從阿姆斯特丹機場到蘇利南、阿魯巴、博內爾、聖馬丁或庫拉索的直達航班,或者從這些國家到阿姆斯特丹史基浦機場之直達航班的運輸合約。 您可以向荷蘭皇家憲兵隊提交書面請求(其地址為 PO Box 90615, 2509 LP The Hague, The Netherlands),申請存取或更正此類資訊的許可。 如果居住在阿魯巴、荷屬安地列斯群島、蘇利南或者委內瑞拉,您在提出書面請求時必須附上自己護照的影本。
(H) 為了開展我們的業務活動或履行法定義務 我們收集、使用和保留您的個人資料以進行我們的商業活動,例如:保存紀錄、防止或打擊詐騙、或解決糾紛。 如果發生欺詐或濫用我們服務的情況,我們可能會在內部欺詐控制和警告系統中輸入您的個人資料。 因此,您的預訂可能會受到嚴格的審查,在某些情況下會被拒絕或取消,或者可能不再歡迎您乘坐我們的飛機或僅在某些特定條件下才可登機(見上文 4.1 (G))。 我們亦收集和使用您的個人資料以遵守我們的法律和稅務責任。 4.2 特定服務、行動應用程式、活動、競賽或行銷活動 針對特定服務、行動應用程式、活動、競賽或行銷活動,我們可能使用您的個人資料於除此隱私政策列明類別以外的其他目的。 當您註冊服務、活動、競賽或行銷活動,或在您下載相關應用程式時,我們將就此類目的通知您。 4.3 法律基礎 我們只有在有法律依據的情況下,才會收集和使用您的個人資料。 在很多情況下,我們需要您的個人資料來接收您的預訂、安排您的航班或購買服務、幫助您成為忠誠會員或回答您的問題(請參閱上文的 4.1 (A) 到 (B) 和 (F))。 在此類情況下,處理您資料的法律基礎為「履行合約所必要」。 如果您已同意收集和使用您的個人資料(可以隨時撤回該同意,請參閱下文的 8「您的權利」),我們將根據該同意收集和使用您的資料。 在特定情況下,如果我們或第三方具備合法利益,我們亦可能使用您的個人資料。 我們將始終認真考慮所有人的利益: 您的利益、他人的利益、以及荷航的利益。 在此法律基礎上,我們將收集和使用您的資料以用作例如:飛行安全、統計研究、直接營銷目的,或提供個人化折扣和優惠(請參閱上文的 4.1 (C)、(D)、(E) 和 (G),瞭解更多資訊)。 我們可能有法定義務要收集和使用您的資料,例如:以滿足移民手續(參見上文的 4.1 (H))。 如果您拒絕向我們提供我們履行與您制訂的合約或法定義務所需的個人資料,我們可能無法為您提供您向我們請求的全部服務。 因此,我們可能不得不取消您的航班、或我們可能無法向您提供您要求的額外服務。 如果您提供的資料不完整或不準確,我們可能會被迫拒絕您進行登機或進入境外領域。
5.1. 一般 我們可能在以下情況,向第三方分享您的個人資料: (A) 便於完成您的預訂和旅程 為了處理您的預約和預訂並安排您的旅程和所訂購的服務,在很多情況下,我們經常需要向我們的夥伴航空公司、機場營運商和參與協助營運您旅程的其他公司分享您的個人資料。(參閱上文的 3.1 (B),「我們如何收集您的資料」)。 (B) 用於我們的 bluebiz 公司忠誠計劃 如欲瞭解更多資訊,請參見「我們是誰」和 3.1(三)「我們如何收集您的資料」。 (C) 公司帳號 如果您使用您雇主的公司帳號預訂了航班,您的雇主將可存取特定預訂資訊,例如:機票價格、旅行日期、以及您的目的地。 您的雇主對如何收集和使用您的個人資料以及將其告知您負有獨立責任。 (D) 用於支援或額外服務 為了提供我們的服務,我們使用第三方的支援和額外服務,例如:IT 供應商、社交媒體供應商、營銷機構、以及篩查服務供應商。 我們要求所有這些第三方充分保護您的個人資料,並只按照我們的指示使用這些資料。 法航荷航集團使用中央資料庫和系統來進行我們的商業操作。 此類中央資料庫和系統可能由一個集團公司為其他集團公司託管或管理。 另外,出於效率目的,一個集團公司可以為其他集團公司執行某些操作功能。 這意味著我們的集團公司可能會出於這些目的存取您的個人資料。 我們的集團公司僅可根據相關商業功能所需,遵照此隱私政策使用您的個人資料。 (E) 支付服務 為了處理您的旅程和訂購付款,我們可能與提供付款服務的第三方合作。 在很多情況下,此類付款服務供應商亦將進行詐騙檢查。 他們根據使用您個人資料的方式執行自己的隱私政策。 (F) 透過社交媒體平台進行個人化營銷 如需瞭解更多資訊,請參閱「我們使用您個人資料的目的」下的 4.1 (E)。 (G) 為了允許我們合作夥伴根據您的旅程訂製其服務 我們可能將您的非個人化資訊(目的地、旅行日期和旅程日數)與提供額外服務(例如:酒店住宿、汽車租賃服務)的合作夥伴分享,以讓他們可為您提供根據您旅程訂製的優惠方案。 我們的合作夥伴根據使用您的個人資料的方式執行自己的隱私政策。 5.2. 特定服務、行動應用程式、活動、競賽或行銷活動 針對特定服務、行動應用程式、活動、競賽或行銷活動,我們可能與除了在此隱私政策列明類別的第三方分享您的資料,例如:在我們與合作夥伴組織行銷活動時,或在我們將其服務納入我們的應用程式時。 當您註冊服務、活動、競賽或行銷活動,或在您下載應用程式時,我們將通知您相關資訊。 5.3. 與泛航航空的資料交換
航空公司有義務保證飛行安全。 為此,荷航採取了某些(必要的)安全措施。 例如,荷航保留一份在地面或機上表現出不守規矩行為的乘客名單(見上文 2.1. (J) 和 4.2 (G))。 根據此列表,荷航可以 (i) 在三年內對其登機附加附加條件,或 (ii) 在一段時間內拒絕他們登機。 荷航的子公司泛航航空也有一份類似的名單。 為擴大所採取的內部安全措施的範圍,荷航和泛航航空會交換已決定必須拒絕登機的乘客的個人資料(見上文 4.1. (G))。 被荷航拒絕的人現在也將被泛航航空拒絕登機(反之亦然)。 如果您表現出不守規矩的行為,並因此被列入名單,發生這種不守規矩行為所在的航空公司將親自通知您。
5.4 政府機構 (A) 一般 我們可能會被法律要求在您前往另一個國家之前收集您的個人資料,並與旅程中的國家政府機構共享您的個人資料。 例如,出於邊境管控、移民手續、入境或打擊恐怖主義或其他嚴重犯罪的目的,法律可能要求我們收集您的身份資料以及您的預訂和旅行資訊並與這些機構共享(見下文 5.4 (B) )。 出於公共衛生目的,我們可能還被法律要求與您旅程中國家的政府機構共享您的健康資料(請參閱上文的 2.1 (D))。 (B) PNR 和 API 資料 i. 一般:根據歐盟法規 2016/679 和 2004/82 以及適用的當地法律法規,我們必須將 PNR 和 API 詳細資料傳遞給政府機構,包括各個國家的旅客資訊部門 (PIUs)。 API(預報旅客資訊)涉及有關您航班的資訊和護照詳細資訊。 PNR(旅客訂座記錄)涉及有關您的預訂的所有資訊,例如航班資訊、預訂的乘客和付款資訊。 我們會將所有航班的這些 PNR 詳細資訊傳遞給荷蘭的旅客資訊部門 (Pi-NL)。 當需要這樣做時,我們還將 API 和 PNR 詳細資訊傳遞給荷蘭以外國家的主管部門。 ii. 特定國家規定: - 法國:根據《法國國土安全法》第 L 237 - 7 條的規定,荷航可能需要將您的預訂、檢查和登機資料 (API / PNR) 傳輸給法國國家公共服務部門和主管當局,以達到並滿足以下條件:2014 年 9 月26 日第 2014-1095 號法令,由 2018 年 8 月 3 日第 2018/714 號法令修訂。 5.5. 第三方網站 我們的網站和行動應用程式中包含第三方網站的連結。 如果您點按此類連結,您將離開我們的網站或行動應用程式。 本隱私政策不適用於第三方網站。 有關他們如何處理您的個人資料的更多資訊,請查閱他們的隱私政策和/或 Cookie 政策(如果可用)。
6.1. 安全性 (A) 我們的承諾 確保您個人資料的安全性和機密性是我們的首要任務。 考慮到您的個人資料的性質和處理的風險,我們已根據適用法律規定(尤其是《通用資料保護條例》(GDPR) 第 32 條)的要求,採取了所有適當的技術和組織措施。確保適當的安全級別,特別是防止對這些資料的任何意外或非法破壞、丟失、更改、披露、入侵或未經授權的存取。 (B) 我們已採取的安全措施 i. 銀行交易: 我們必須遵守 PCI 安全標準委員會 (PCI SSC) 發行的支付卡行業資料安全標準(PCI DSS 標準)。 建立該標準是為了增強對持卡人資訊的控制,從而減少對支付工具的欺詐性使用。 處理銀行卡資料所需的所有荷航服務提供商必須遵守 PCI DSS 標準。 我們努力打擊網路上的身份盜用。 因此,例如,我們使用一種檢測欺詐性付款的設備,旨在於您的銀行卡丟失或被盜時保護您。 ii. 組織措施: 我們已經實施並維持了各種組織措施,旨在增強員工的意識和責任感。 我們已經制定了一些計劃,以確保提高認識,並促進良好做法和安全標準的分享。 在這方面,我們向員工提供了大量有關資料安全挑戰和隱私保護的文件。 iii. 技術措施: 我們嚴格控制對託管或處理您的個人資料的內部服務器的物理和邏輯存取。 我們使用最先進的硬件設備(防火牆、IDS、DLP 等)保護我們的網路 以及架構(包括 TLS 1.2 等安全協議),以防止和限制網路犯罪風險。 (C) 我們安全系統的進展 為了維持適當的安全級別,我們根據最佳標準(尤其是 ISO 27000 系列標準)制定了內部流程。 我們依靠專業的專家來保證最佳的保護水準。 在這方面,我們與 NCSC(國家網路安全中心)保持著特權關係。
(D) 如何保護自己 個人資料的安全性和機密性取決於每個人的最佳做法。 預訂時,您會收到文件參考。 這些預訂參考必須始終保密。 向其他乘客公開這些資訊可能使他們能夠透過我們的系統或參與您的旅程的第三方(例如旅行社或線上搜索和預訂網站)存取您的預訂資訊。 如果您與他人一起旅行並且不希望向他人透露您的個人資訊,我們建議您單獨預訂。 我們還建議您不要將用於存取我們服務的密碼透露給第三方,系統地註銷您的個人資料和社交帳號(特別是有關聯帳戶的情況下),以及在工作階段結束時關閉瀏覽器視窗,尤其是當您使用公用電腦存取網路時。 這將防止其他用戶存取您的個人資料。 為了避免黑客攻擊的風險,我們建議您對每項線上服務使用不同的密碼。 如果您的資料在非我們管理的平台上被竊取,我們將不承擔任何責任。 此外,我們強烈建議您不要向第三方分發由荷航簽發的包含您個人資料(您的登機證、機票號碼等)的文件 或與您的旅程有關的其他資訊,或將其發佈在社交網路上。 如果您決定在社交媒體上發布這些文件,則您有責任諮詢和瞭解適用於這些第三方社交網路的一般使用條件、資訊安全慣例以及隱私政策。 對於這些平台如何處理、儲存或披露資料,我們不承擔責任。 要瞭解有關我們的 IT 安全措施的更多資訊,請查閱我們的 IT 安全入口網站。 (E) 安全事件的管理 沒有所謂的「零風險」,即使我們實施了所有適當的安全措施,也可能發生無法預料的事情。 我們有特定的程序和資源,可以在最佳條件下管理安全事件。 我們還建立了特定的程序,以評估可能導導致意外或非法破壞、丟失、更改、未經授權披露或存取您的個人資料的違反安全行為,在適用法律規定的期間內通知主管監督機構,以及在違反行為可能導致您的權利和自由面臨高風險時發出警告。 定期進行測試,以核實安全設施的運作情況以及所部署的程式和設備是否充分。 6.2. 保留
我們不會在所需的時間之後繼續保留您的個人資料。 您個人資料的保留時間取決於資料的處理目的,以及適用的法定保留時限。
9.1. 本隱私政策於 2022 年 9 月 15 日生效,並取代了我們之前 2020 年 8 月 20 日發佈的隱私政策。 此隱私政策將適時進行修訂。 我們將在相關修訂生效前就任何變更通知您。