隐私政策
我们对您的隐私承诺
当您使用我们的产品和服务时,您信任我们并愿意向我们提供您的信息。 我们认为这种关系非常重要,并向您承诺以下内容。
- 我们始终根据欧盟数据保护规则和其他适用的隐私法规处理您的数据,以防止未经授权的访问,并确保安全的数据传输。
- 我们对如何使用从您那里收集来的数据会保持透明。
- 我们会向您说明与我们共享您的数据有什么好处,并使我们的通讯与您的需求和偏好相匹配。
- 在整个荷航和合作伙伴航空公司的旅程中,我们会以通俗易懂的语言来阐明我们是如何操作的。
- 我们会让您来控制您的数据,并将利用您的反馈不断改进。
- 我们确保您的数据在我们这里是安全的。 万一您的数据被泄露,我们将确保尽快阻止泄漏并立即通知您。
- 如果我们需要在我们的组织之外披露您的数据,我们会在我们的隐私政策中明确说明这一点。 未经您的明确同意,我们不会将您的个人信息共享、出售或提供给任何外部组织。
- 我们对您数据的处理值得信赖,并努力获得国际认证(例如 ISO-27001)。
关于本隐私政策
4.1. 我们使用您的个人数据的主要目的 (A) 向您提供服务 我们使用 2.1 (A) 至 (G) 中所述的信息来处理您的预约和预订,并安排您的旅行和购买服务。 例如,我们使用您的姓名、护照号码和其他身份信息来出具您的机票。 我们使用您的详细联系信息来通知您航班状态的变化。
(G) 表现出不守规矩或滥用我们服务的旅客 i. i. 荷航保留有不守规矩行为或滥用我们服务的旅客名单 [见上文 2.1 (J)]。 根据行为的严重程度,荷航可以 (i) 在三年内对其登机附加附加条件,或 (ii) (原则上)在五年内拒绝其登机。 如果出现加重情节(例如屡次不当行为),荷航可能会决定拒绝旅客五年以上。 在非常严重的情况下,荷航甚至可能决定永久拒绝旅客。 关于儿童的特殊信息: 未满 15 岁的儿童表现出不守规矩的行为,不在名单上。 对于 15 至 16 岁的儿童,荷航可能会附加条件,最长期限为一年。 旅客将被亲自告知(如果可能,通过电子邮件)他们被列入名单的事实、被列入名单的原因、对他们实施了哪些安全措施、这些措施的有效期以及他们在哪里可以对这种处理提出投诉或反对。 有关访问或更正此数据的更多信息,请参见下文 8“您的权利”。 非法药物:在阿姆斯特丹史基浦机场下机且被荷兰皇家宪兵队(Royal Dutch Marechaussee)发现其携带非法药物的旅客,荷航会从荷兰政府收到他们的姓名。 荷航可能会在 3 年内拒绝与这些人签订任何从阿姆斯特丹史基浦机场到苏里南、阿鲁巴、博内尔、圣马丁或库拉索的直达航班或者从这些国家到阿姆斯特丹史基浦机场的直达航班的运输合同。 您可以通过向荷兰皇家宪兵队提交书面申请以请求访问或更正此数据,地址:PO Box 90615, 2509 LP The Hague, The Netherlands。 如果您居住在阿鲁巴、荷属安的列斯群岛、苏里南或者委内瑞拉,那么您在提交书面请求时,必须随附自己护照的复印件。
(H) 为开展我们的业务活动或履行法定义务 为进行我们的业务活动,我们会收集、使用及保留您的个人数据,例如为了保存记录、防范或打击欺诈行为,或解决争议。 如果发生欺诈或滥用我们服务的情况,我们可能会在内部欺诈控制和警告系统中输入您的个人数据。 因此,您的预订可能会受到严格的审查,在某些情况下会被拒绝或取消,或者可能不再欢迎您乘坐我们的飞机或仅在某些特定条件下才可登机(见上文 4.1 (G))。 我们还会收集和使用您的个人数据,以遵守我们的法律和税务义务。 4.2 特定服务、应用程序、竞赛或活动 对于特定服务、应用程序、竞赛或活动,我们可能会将您的数据用于本隐私政策中所述以外的其他目的。 当您注册服务、竞赛或活动,或下载相关应用程序时,我们将通知您该目的内容。 4.3 法律依据 我们只有在有法律依据的情况下,我们才会收集和使用您的个人数据。 在很多情况下,我们需要您的个人数据来接收您的预订、安排您的航班或购买服务、帮助您成为忠诚会员或回答您的问题(请参阅上文的 4.1 (A) 到 (B) 和 (F))。 在这些情况下,处理您数据的法律依据为“合同执行的必需性”。 如果您已同意收集和使用您的个人数据(可以随时撤回该同意,请参阅下文的 8“您的权利”),我们将根据该同意收集和使用您的数据。 在某些情况下,如果我们或第三方拥有使用您个人数据的合法利益,则我们可能会使用您的个人数据。 我们将始终认真考虑所有人的利益: 您的利益、他人的利益、以及荷航的利益。 在此法律基础上,我们将收集和使用您的数据用于,例如,飞行安全、统计研究或直接营销目的,或为您提供个性化的折扣和优惠(请参阅上文的 4.1 (C)、(D)、(E) 和 (G) 了解更多信息)。 我们可能有收集和使用您数据的法律义务,例如办理移民手续。(参见上文的 4.1 (H))。 如果您拒绝提供我们履行与您签订的合同或履行法律义务所需的个人信息,我们可能无法提供您向我们请求的全部服务。 因此,我们可能不得不取消您的航班,或者我们可能无法为您提供所请求的额外服务。 如果您提供的信息不完整或不准确,那么我们可能不得不拒绝您登机或进入外国领土。
5.1. 一般性条款 我们可能会在以下情形中,与第三方分享您的个人数据: (A) 便于完成您的预订和行程 为了处理您的预约和预订并安排您的行程和购买的服务,多数情况想我们经常需要向伙伴航空公司、机场运营商和参与协助实施您行程的其他公司分享您的个人数据。(参阅上文的 3.1 (B),“我们如何收集您的数据”)。 (B) 用于我们的 bluebiz 公司忠诚计划 如需了解更多信息,请参阅“我们是谁”及“如何收集您的数据”下的 3.1 (C) 项的内容。 (C) 公司账号 如果您使用雇主的公司账户预订航班,则您的雇主将可以访问某些预订详细信息,比如机票价格、旅行日期以及您的目的地。 您的雇主对如何收集和使用您的个人数据以及将其告知您负有独立责任。 (D) 用于支持或额外服务 为提供我们的服务,我们会使用第三方的支持或额外服务,如 IT 供应商、社交媒体供应商、营销机构和筛选服务提供商。 我们会要求所有这些第三方充分保护您的个人数据,并只按照我们的指示使用这些数据。 法航荷航集团使用中央数据库和系统来进行业务运作。 这些中央数据库和系统可能会由一家集团成员公司为其他集团成员公司托管或管理。 此外,出于效率目的,一家集团成员公司可能会为其他集团成员公司执行某些运营职能。 这意味着我们的集团成员公司可能会出于这些目的访问您的个人数据。 我们的集团成员公司只可根据相关业务职能及本隐私政策使用您的个人数据。 (E) 支付服务 为了处理您对旅程和购买服务的支付行为,我们可能会与提供支付服务的第三方合作。 多数情况下,这类支付服务提供商同样会进行欺诈检查。 他们根据使用您的个人数据的方式执行自己的隐私政策。 (F) 通过社交媒体平台进行个性化营销 如需了解更多信息,请参阅“我们使用您的数据用于什么目的”下的 4.1 (E)。 (G) 方便我们的合作伙伴为您量身定制行程 我们可能会与提供额外服务(如酒店住宿、租车服务)的合作伙伴共享您的非个性化信息(目的地、旅行日期和旅途持续时间),以便其为您提供量身定制的优惠行程。 我们的合作伙伴根据使用您的个人数据的方式执行自己的隐私政策。 5.2. 特定服务、应用程序、竞赛或活动 对于特定的服务、应用程序、竞赛或活动,我们可能会与本隐私政策中未说明的第三方共享您的数据,例如,与合作伙伴合作组织活动,或者将合作伙伴的服务集成至我们的应用程序。 当您注册服务、竞赛或活动,或下载应用程序时,我们将通知您相关信息。 5.3. 与泛航航空的数据交换
航空公司有义务保证飞行安全。 为此,荷航采取了某些(必要的)安全措施。 例如,荷航保留一份在地面或机上表现出不守规矩行为的旅客名单 [见上文 2.1. (J) 和 4.2 (G)]。 根据此列表,荷航可以 (i) 在三年内对其登机附加附加条件,或 (ii) 在一段时间内拒绝他们登机。 荷航的子公司泛航航空也有一份类似的名单。 为扩大所采取的内部安全措施的范围,荷航和泛航航空会交换已决定必须拒绝登机的旅客的个人数据 [见上文 4.1. (G)]。 被荷航拒绝的人现在也将被泛航航空拒绝登机(反之亦然)。 如果您表现出不守规矩的行为,并因此被列入名单,发生这种不守规矩行为所在的航空公司将亲自通知您。
5.4 政府机构 (一) 一般性条款 我们可能会被法律要求在您前往另一个国家之前收集您的个人数据,并与行程中的国家/地区政府机构共享您的个人数据。 例如,出于边境管制、移民手续、入境或打击恐怖主义或其他严重犯罪的目的,法律可能要求我们收集您的身份数据以及您的预订和旅行信息并与这些机构共享(见下文 5.4 (B))。 出于公共卫生目的,我们可能还被法律要求与您行程中的国家/地区的政府机构共享您的健康数据(请参阅上文的 2.1 (D))。 (B) PNR 和 API 数据 i. 一般:根据欧盟法规 2016/679 和 2004/82 以及适用的当地法律法规,我们必须将 PNR 和 API 详细信息传递给政府机构,包括各个国家的旅客信息部门 (PIU)。 API(预报旅客信息)涉及有关您航班的信息和护照详细信息。 PNR(旅客订座记录)涉及有关您的预订的所有信息,例如航班信息、预订的乘客和付款信息。 我们会将所有航班的这些 PNR 详细信息传递给荷兰的旅客信息部门 (Pi-NL)。 当需要这样做时,我们还将 API 和 PNR 详细信息传递给荷兰以外国家/地区的主管部门。 ii. 国家/地区详细信息: - 法国:根据《法国国土安全法》第 L 237 - 7 条的规定,荷航可能需要将您的预订、检查和登机数据 (API / PNR) 传输给法国国家公共服务部门和主管当局,以达到并满足以下条件:2014年9月26日第 2014-1095 号法令,由2018年8月3日第 2018/714 号法令修订。 5.5. 第三方网站 我们的网站和移动应用程序中包含第三方网站的链接。 如果您点击这些链接,您将离开我们的网站或移动应用程序。 本隐私政策不适用于第三方网站。 有关他们如何处理您的个人数据的更多信息,请查看他们的隐私政策及/或 Cookie 政策(如可用)。
6.1. 安全性 (A) 我们的承诺 确保您个人数据的安全性和机密性是我们的首要任务。 考虑到您的个人数据的性质和处理的风险,我们已根据适用法律规定(尤其是《通用数据保护条例》(GDPR) 第 32 条)的要求,采取了所有适当的技术和组织措施。确保适当的安全级别,特别是防止对这些数据的任何意外或非法破坏、丢失、更改、披露、入侵或未经授权的访问。 (B) 我们已采取的安全措施 i. 银行交易: 我们必须遵守 PCI 安全标准委员会 (PCI SSC) 发行的支付卡行业数据安全标准(PCI DSS 标准)。 创建该标准是为了增强对持卡人信息的控制,从而减少对支付工具的欺诈性使用。 处理银行卡数据所需的所有荷航服务提供商必须遵守 PCI DSS 标准。 我们努力打击互联网上的身份盗用。 因此,例如,我们使用一种检测欺诈性付款的设备,旨在在您的银行卡丢失或被盗时保护您。 ii. 组织措施: 我们已经实施并维持了各种组织措施,旨在增强员工的意识和责任感。 我们已经制定了一些计划,以确保提高认识,并促进良好做法和安全标准的分享。 在这方面,我们向员工提供了大量有关信息安全挑战和隐私保护的文件。 iii. 技术措施: 我们严格控制对托管或处理您的个人数据的内部服务器的物理和逻辑访问。 我们使用最先进的硬件设备(防火墙、IDS、DLP 等)保护我们的网络 以及架构(包括 TLS 1.2 等安全协议),以防止和限制网络犯罪风险。 (C) 我们安全系统的进展 为了维持适当的安全级别,我们根据最佳标准(尤其是 ISO 27000 系列标准)制定了内部流程。 我们依靠专业的专家来保证最佳的保护水平。 在这方面,我们与 NCSC(国家网络安全中心)保持着特权关系。
(D) 如何保护自己 个人数据的安全性和机密性取决于每个人的最佳做法。 预订时,您会收到文件参考。 这些预订参考必须始终保密。 向其他乘客公开这些信息可能使他们能够通过我们的系统或参与您的旅程的第三方(例如旅行社或在线搜索和预订网站)访问您的预订信息。 如果您与他人一起旅行并且不希望向他人透露您的个人信息,我们建议您单独预订。 我们还建议您不要将用于访问我们的服务的密码透露给第三方,系统地注销您的个人资料和社交账号(特别是有关联账户的情况下),以及在会话结束时关闭浏览器窗口,尤其是当您使用公用计算机访问互联网时。 这将防止其他用户访问您的个人数据。 为了避免黑客攻击的风险,我们建议您对每项在线服务使用不同的密码。 如果您的数据在非我们管理的平台上被窃取,我们将不承担任何责任。 此外,我们强烈建议您不要向第三方分发由荷航签发的包含您个人数据(您的登机牌、机票号码等)的文件 或与您的旅行有关的其他信息,或将其发布在社交网络上。 如果您决定在社交媒体上发布这些文件,则您有责任咨询和了解适用于这些第三方社交网络的一般使用条件、信息安全惯例以及隐私政策。 对于这些平台如何处理、存储或披露数据,我们不承担责任。 要了解有关我们的 IT 安全措施的更多信息,请查阅我们的 IT 安全门户网站。 (E) 安全事件的管理 没有所谓的“零风险”,即使我们实施了所有适当的安全措施,也可能发生无法预料的事情。 我们有特定的程序和资源,可以在最佳条件下管理安全事件。 我们还建立了特定的程序,以评估可能导致意外或非法破坏、丢失、更改、未经授权披露或访问您的个人数据的违反安全行为,在适用法律规定的期间内通知主管监督机构,以及在违反行为可能导致您的权利和自由面临高风险时发出警告。 定期进行测试,以核实安全设施的运作情况以及所部署的程序和设备是否充分。 6.2. 保留
对您的个人数据的保留时间不会超过必要的时间。 您的个人数据保留时间,视处理数据的目的及适用的法定保留期限而定。
9.1. 本隐私政策于 2022 年 9 月 15 日生效,并取代了我们之前 2020 年 8 月 20 日发布的隐私政策。 本隐私政策会不时修订。 如有任何更改内容,我们会在生效前予以通知。