隱私政策
在我們的隱私政策中,我們解釋了當您與我們一起旅行時、訪問我們的網站時、使用我們的移動應用程式或以其他方式與我們互動時,我們如何收集和使用您的個人資料。 確保仔細閱讀該政策。
關於此隱私政策
1. 我們是誰
2. 我們收集和使用的個人資料類型
3. 我們如何收集您的資料
4. 我們使用您資料的目的
4.1. 我們使用您的個人資料的主要目的 (A) 為您提供服務 我們使用 2.1 (A) 到( G) 中所述的內容來處理您的預約和預訂,以及安排您的旅程和購買服務。 例如,我們使用您的姓名、護照編號和其他身份識別資訊來發出您的機票。 我們使用您的詳細聯絡資訊,才能通知您航班狀態的變更。
(G) 不守規矩的行為 i. 在地面或在我們的飛機上行為不守規矩或濫用我們服務的乘客可能被禁最長五年,或僅在特定條件下才能登機。 荷航會保留一份不守規矩乘客的名單(請參閱上文的 2.1 (J))。 被列入名單的乘客將被親自告知(如果可能的話,會採用書面形式)他們被列入名單的事實、原因、荷航對他們採取了什麼措施,以及這些特別安全措施會持續多久。 如欲瞭解有關如何存取或更正此類資料的更多資訊,請查看下列的 8「您的權利」。 ii. 非法藥物:在阿姆斯特丹史基浦機場降落的乘客,如果被荷蘭皇家憲兵隊(Royal Dutch Marechaussee)發現其攜帶非法藥物,荷航會從荷蘭政府收到他們的姓名。 荷航可能在 3 年內拒絕與這些人簽訂任何從阿姆斯特丹機場到蘇利南、阿魯巴、博內爾、聖馬丁或庫拉索的直達航班或者從這些國家到史基普機場的直達航班的運輸合約。 您可以向荷蘭皇家憲兵隊提交書面請求(其地址為 PO Box 90615, 2509 LP The Hague, The Netherlands),申請存取或更正此類資訊的許可。 如果居住在阿魯巴、荷屬安地列斯群島、蘇利南或者委內瑞拉,您在提出書面請求時必須附上自己護照的影本。
(H) 為了進行我們的商業活動或遵從法定責任 我們收集、使用和保留您的個人資料以進行我們的商業活動,例如:保存紀錄、防止或打擊詐騙、或解決糾紛。 如果發生欺詐或濫用我們服務的情況,我們可能會在內部欺詐控制和警告系統中輸入您的個人資料。 因此,您的預訂可能會受到嚴格的審查,在某些情況下會被拒絕或取消,或者可能不再歡迎您乘坐我們的飛機或僅在某些特定條件下才可登機(見上文 4.1 (G))。 我們亦收集和使用您的個人資料以遵守我們的法律和稅務責任。 4.2 特定服務、應用程式、活動或比賽 針對特定服務、應用程式、活動或比賽,我們可能使用您的個人資料於除此隱私政策所列明者之外的其他目的。 當您註冊服務、活動或比賽,或在您下載相關應用程式時,我們將就此類目的通知您。 4.3 法律基礎 只有在有法律依據的情況下,我們才可能收集和使用您的個人資料。 在很多情況下,我們需要您的個人資料來接收您的預訂、安排您的航班或購買服務、幫助您成為忠誠會員或回答您的問題(請參閱上文的 4.1 (A) 到 (B) 和 (F))。 在此類情況下,處理您資料的法律基礎為「履行合約所必要」。 如果您已同意收集和使用您的個人資料(可以隨時撤回該同意,請參閱下文的 8「您的權利」),我們將根據該同意收集和使用您的資料。 在特定情況下,如果我們或第三方具備合法利益,我們亦可能使用您的個人資料。 我們將始終認真考慮所有人的利益: 您的利益、他人的利益、以及荷航的利益。 在此法律基礎上,我們將收集和使用您的資料以用作例如:安全、統計研究、直接營銷目的,或提供個人化折扣和優惠(請參閱上文的 4.1 (C),(D) 和 (G),瞭解更多資訊)。 我們可能有法定義務要收集和使用您的資料,例如:以滿足移民手續。(參見上文的 4.1 (H))。 如果您拒絕向我們提供我們履行與您制訂的合約或法定義務所需的個人資料,我們可能無法為您提供您向我們請求的全部服務。 因此,我們可能不得不取消您的航班、或我們可能無法向您提供您要求的額外服務。 如果您提供的資料不完整或不準確,我們可能會被迫拒絕您進行登機或進入境外領域。
5. 向第三方提供存取權限或分享資料
5.1. 一般 我們可能在以下情況,向第三方分享您的個人資料: (A) 用於處理您的預訂和旅程 為了處理您的預訂並安排您的旅程和所訂購的服務,在很多情況下,我們經常需要向我們的夥伴航空公司、機場營運商和參與協助營運您旅程的其他公司分享您的個人資料。(參閱上文的 3.1 (B),「我們如何收集您的資料」)。 (B) 用於我們的 bluebiz 公司忠誠計劃 如欲瞭解更多資訊,請參見「我們是誰」和 3.1 (C)「我們如何收集您的資料」。 (C) 公司帳號 如果您使用您雇主的公司帳號預訂了航班,您的雇主將可存取特定預訂資訊,例如:機票價格、旅行日期、以及您的目的地。 您的雇主對如何收集和使用您的個人資料以及將其告知您負有獨立責任。 (D) 為了支援或額外服務 為了提供我們的服務,我們使用第三方的支援和額外服務,例如:IT 供應商、社交媒體供應商、營銷組織、以及篩查服務供應商。 我們要求所有這些第三方充分保護您的個人資料,並只按照我們的指示使用這些資料。 法航-荷航集團使用中央資料庫和系統來進行我們的商業操作。 此類中央資料庫和系統可能由一個集團公司為其他集團公司託管或管理。 另外,出於效率目的,一個集團公司可以為其他集團公司執行某些操作功能。 這意味著我們的集團公司可能會出於這些目的存取您的個人資料。 我們的集團公司僅可根據相關商業功能所需,遵照此隱私政策使用您的個人資料。 (E) 付款服務 為了處理您的旅程和訂購付款,我們可能與提供付款服務的第三方合作。 在很多情況下,此類付款服務供應商亦將進行詐騙檢查。 他們根據使用您的個人資料的方式執行自己的隱私政策。 (F) 透過社交媒體平台進行的個人化營銷 如欲瞭解更多資訊,請參見「我們使用您資料的目的」下的 4.1 (E) 。 (G) 為了允許我們的合作夥伴根據您的旅程訂製其服務 我們可能將您的非個人化資訊(目的地、旅行日期和旅程日數)與提供額外服務(例如:酒店住宿、汽車租賃服務)的合作夥伴分享,以讓他們可為您提供根據您的旅程訂製的優惠方案。 我們的合作夥伴根據使用您的個人資料的方式執行自己的隱私政策。 5.2. 特定服務、應用程式、活動或比賽 針對特定服務、應用程式、活動或比賽,我們可能與除了在此隱私政策列明者之外的第三方分享您的資料,例如:在我們與合作夥伴組織活動時,或在我們將其服務納入我們的應用程式時。 當您註冊服務、活動或比賽,或在您下載應用程式時,我們將通知您相關資訊。 5.3. 政府機構 (A) 一般 我們可能會被法律要求在您前往另一個國家之前收集您的個人資料,並與旅程中的國家/地區政府機構共享您的個人資料。 例如,出於邊境管控、移民手續、入境或打擊恐怖主義或其他嚴重犯罪的目的,法律可能要求我們收集您的身份資料以及您的預訂和旅行資訊並與這些機構共享(見下文 5.3 (B) )。 出於公共衛生目的,我們可能還被法律要求與您旅程中的國家/地區的政府機構共享您的健康資料(請參閱上文的 2.1 (D))。 (B) PNR 和API 資料 i. 常規:根據歐盟法規 2016/679 和 2004/82 以及適用的當地法律法規,我們必須將 PNR 和 API 詳細資料傳遞給政府機構,包括各個國家的旅客資訊部門 (PIUs)。 API(預報旅客資訊)涉及有關您航班的資訊和護照詳細資訊。 PNR(旅客訂座記錄)涉及有關您的預訂的所有資訊,例如航班資訊、預訂的乘客和付款資訊。 我們會將所有航班的這些 PNR 詳細資訊傳遞給荷蘭的旅客資訊部門 (Pi-NL)。 當需要這樣做時,我們還將 API 和 PNR 詳細資訊傳遞給荷蘭以外國家/地區的主管部門。 ii. 國家/地區詳細資訊: - 法國: 根據《法國國土安全法》第 L 237 - 7 條的規定,荷航可能需要將您的預訂、檢查和登機資料 (API / PNR) 傳輸給法國國家公共服務部門和主管當局,以達到並滿足以下條件:2014 年 9 月 26 日第 2014-1095 號法令,由 2018 年 8 月 3 日第 2018/714 號法令修訂。 5.4. 第三方網站 我們的網站和手機應用程式中包含第三方網站的連結。 如果您點按此類連結,您將離開我們的網站或手機應用程式。 本隱私政策不適用於第三方網站。 有關他們如何處理您的個人資料的更多資訊,請查閱他們的隱私政策和/或 Cookie 政策(如果可用)。
6. 安全和保留
6.1. 安全性 (A) 我們的承諾 確保您個人資料的安全性和機密性是我們的首要任務。 考慮到您的個人資料的性質和處理的風險,我們已根據適用法律規定(尤其是《通用資料保護條例》(GDPR) 第 32 條)的要求,採取了所有適當的技術和組織措施。確保適當的安全級別,特別是防止對這些資料的任何意外或非法破壞、丟失、更改、披露、入侵或未經授權的存取。 (B) 我們已採取的安全措施 i. 銀行交易: 我們必須遵守 PCI 安全標準委員會 (PCI SSC) 發行的支付卡行業資料安全標準(PCI DSS 標準)。 建立該標準是為了增強對持卡人資訊的控制,從而減少對支付工具的欺詐性使用。 處理銀行卡資料所需的所有荷航服務提供商必須遵守 PCI DSS 標準。 我們努力打擊網路上的身份盜用。 因此,例如,我們使用一種檢測欺詐性付款的設備,旨在於您的銀行卡丟失或被盜時保護您。 ii. 組織措施: 我們已經實施並維持了各種組織措施,旨在增強員工的意識和責任感。 我們已經制定了一些計劃,以確保提高認識,並促進良好做法和安全標準的分享。 在這方面,我們向員工提供了大量有關資料安全挑戰和隱私保護的文件。 iii. 技術措施: 我們嚴格控制對託管或處理您的個人資料的內部服務器的物理和邏輯存取。 我們使用最先進的硬件設備(防火牆、IDS、DLP 等)保護我們的網路 以及架構(包括 TLS 1.2 等安全協議),以防止和限制網路犯罪風險。 (C) 我們安全系統的進展 為了維持適當的安全級別,我們根據最佳標準(尤其是 ISO 27000 系列標準)制定了內部流程。 我們依靠專業的專家來保證最佳的保護水準。 在這方面,我們與 NCSC(國家網路安全中心)保持著特權關係。
(D) 如何保護自己 個人資料的安全性和機密性取決於每個人的最佳做法。 預訂時,您會收到文件參考。 這些預訂參考必須始終保密。 向其他乘客公開這些資訊可能使他們能夠透過我們的系統或參與您的旅程的第三方(例如旅行社或線上搜索和預訂網站)存取您的預訂資訊。 如果您與他人一起旅行並且不希望向他人透露您的個人資訊,我們建議您單獨預訂。 我們還建議您不要將用於存取我們服務的密碼透露給第三方,系統地註銷您的個人資料和社交帳號(特別是有關聯帳戶的情況下),以及在工作階段結束時關閉瀏覽器視窗,尤其是當您使用公用電腦存取網路時。 這將防止其他用戶存取您的個人資料。 為了避免黑客攻擊的風險,我們建議您對每項線上服務使用不同的密碼。 如果您的資料在非我們管理的平台上被竊取,我們將不承擔任何責任。 此外,我們強烈建議您不要向第三方分發由荷航簽發的包含您個人資料(您的登機證、機票號碼等)的文件 或與您的旅程有關的其他資訊,或將其發佈在社交網路上。 如果您決定在社交媒體上發布這些文件,則您有責任諮詢和瞭解適用於這些第三方社交網路的一般使用條件、資訊安全慣例以及隱私政策。 對於這些平台如何處理、儲存或披露資料,我們不承擔責任。 要瞭解有關我們的 IT 安全措施的更多資訊,請查閱我們的 IT 安全入口網站。 (E) 安全事件的管理 沒有所謂的「零風險」,即使我們實施了所有適當的安全措施,也可能發生無法預料的事情。 我們有特定的程序和資源,可以在最佳條件下管理安全事件。 我們還建立了特定的程序,以評估可能導導致意外或非法破壞、丟失、更改、未經授權披露或存取您的個人資料的違反安全行為,在適用法律規定的期間內通知主管監督機構,以及在違反行為可能導致您的權利和自由面臨高風險時發出警告。 定期進行測試,以核實安全設施的運作情況以及所部署的程式和設備是否充分。 6.2. 保留
我們不會在所需的時間之後繼續保留您的個人資料。 您個人資料的保留時間取決於資料的處理目的,以及適用的法定保留時限。
7. 資料的國際傳輸
8. 您的權利
9. 此隱私政策的更新方式
9.1. 本隱私政策於 2020 年 8 月 20 日生效,並取代了我們之前的 2019 年 9 月 20 日的隱私政策。 此隱私政策將適時進行修訂。 我們將在相關修訂生效前就任何變更通知您。