Miles & Moreウェブサイト、アプリ、コミュニケーションメディアのデータ保護ポリシー

「当社」とは、Miles & More GmbH, Flughafen Frankfurt Tor 21, Airportring, Geb. 322, D-60546 Frankfurt am Main（「MMG」）を指し、欧州連合の一般データ保護規則（「GDPR」）およびドイツ連邦データ保護法（Bundesdatenschutzgesetz：「BDSG」）の意味において、お客様の個人データの処理について責任を負う組織です。

「運営者」とある場合は、Miles & Moreの顧客ロイヤルティプログラム（「Miles & More」）の運営者かつ発行者であるMMGとDeutsche Lufthansa AG（「ルフトハンザ」）を指し、顧客ロイヤルティプログラムに対し、GDPR第26条に定められるとおりに、共同で責任を負います。 共同管理者契約の主要な条項については、ご要望に応じて喜んで提供いたします。 これらの企業の詳細は、www.miles-and-more.comおよびwww.lufthansa.comの法的通知に記載されています。

当社のウェブサイトおよびアプリでは、個人データの処理を必要とするさまざまな機能をお客様に提供しています。 これらの機能には、例えばMiles & More会員がご自身の認証情報でログインした後にのみアクセスできます（ Miles & Moreサービスカード番号と暗証番号、またはユーザーIDとパスワードなど）。

ログインしたMiles & More会員のお客様は、以下の機能をご利用いただけます。

• プロフィールの表示／カスタマイズ
• アワードの請求
• マイルの利用や獲得のためのプラットフォームの利用
• カスタマイズされた情報やオファー
• アンケートや抽選への参加

特定の機能の利用に追加の個人データの提供が必要となる場合は、当社のウェブサイトまたはアプリ内でその旨が明確に示されます。 必須項目は明確に印が付けられており、その情報がないと、該当する機能をご利用いただけません。

基本的なMiles & Moreプログラムの機能（プロフィールの管理、アワードの請求、マイルの獲得および利用など）を使用する際の個人データの処理に関する法的根拠は、GDPR第6条第1項(1)(b)（会員規約の履行）です。

さらに、お客様の関心に合わせた情報やオファーを提供する場合、またはアンケートや抽選にご参加いただく場合、お客様のデータはGDPR第6条第1項(1)(a)に基づくお客様の同意に基づいて処理されます。 お客様は、いつでも同意を撤回でき、撤回はそれ以降について効力を有します。撤回までに処理されたデータの適法性は影響を受けません。

当社は、当社のウェブサイトおよびアプリで、ログインせずに使用できるものの、個人データの処理を必要とする機能を提供する場合もあります。 以下のような機能が含まれますが、ただしこれらに限りません。

• 問い合わせやコメントを当社に送信するためのお問い合わせフォームの利用

お問い合わせフォームで求められるデータの提供は、お客様のお問い合わせを処理し、回答するために必要です。

お客様のお問い合わせが契約の締結または履行に関連する範囲において、処理に関する法的根拠はGDPR第6条第1項(1)(b)となります。

その他のすべての場合において、処理はお問い合わせの処理におけるGDPR第6条第1項(1)(f)に基づく当社の正当な利益に基づいています。

お客様は、Miles & Moreプログラムに登録したり入会したりすることによって個人データを積極的に提供することなく、ウェブサイトを利用できます。 このデータの収集は、ウェブサイトへのアクセスを可能にするために技術的に必要であり、このデータを処理しなければ、ウェブサイトを利用することはできません。

当社のサーバーは以下のデータ（ログファイルの形式で）を自動的に記録します。

• ドメイン名
• アクセスの日時
• クライアントファイルのリクエスト（ファイル名およびURL）とHTTPレスポンスコード
• セッション中に転送されたバイト数
• お客様の端末のIPアドレス
• 端末のプロパティ（オペレーティングシステムなど）
• ウェブサイトのリファラー（当社のウェブサイトを閲覧する直前にアクセスしていたウェブサイトについての情報）
• 位置情報データ（同意が得られていない場合は地域のみ）

このデータは処理され、90日間保持されます。セキュリティインシデントの確認が行われ、お客様が技術的にウェブサイトにアクセスできるようにするとともに、その安定性と安全性を確保します。 この処理に関する法的根拠は、当社ウェブサイトの安全で安定した運用におけるGDPR第6条第1項(1)(f)に基づく当社の正当な利益です。

さらに、当社のウェブサイトを社外からの攻撃（ハッカーによる攻撃、ボットネット攻撃、その他の不正行為の試みなど）から守るため、お客様のIPアドレスは仮名化された形式で処理されます。 お客様のIPアドレスはお客様のプロフィールと一緒に保存されることはなく、お客様個人を（相当かつ不相応な努力を払うことなく）遡って追跡することはできません。 この処理に関する法的根拠は、当社の情報技術システムのセキュリティにおけるGDPR第6条第1項(1)(f)に基づく当社の正当な利益です。

当社はまた、Cookieやローカルストレージなど、お客様のデバイスを認識するための技術を使用しています。 これについては第3.3項に詳細を説明しています。

第2.1項に説明する機能を使用するために、お客様はMiles & Moreサービスカード番号と暗証番号、またはユーザーIDとパスワードを使用して当社のウェブサイトにログインできます。 第3.1項に説明されているデータに加えて、お客様のマスターデータ、ステータスデータ、プログラムデータおよびその他のデータがログイン後に本データ保護ポリシーの説明に従い処理されます。

当社ウェブサイトへの「ログイン状態を維持する」オプションを提供しています。 ログイン時にこのオプションを選択すると、Cookieにアクセストークンが保存されます。当社ではこのトークンによりお客様を認識できるため、お客様が当社のウェブサイトに再度アクセスした際、再びログインしていただく必要がなくなります。 マイルの利用など、機密性が高くセキュリティに関連する機能についてのみ、ログイン認証情報の再入力をお願いしています。 このオプションの選択を外すか、ブラウザの設定ですべてのCookieを削除すると、Cookieが削除され、お客様は再度ログインする必要があります。 セキュリティ上の理由から、他の人がアクセスする可能性があるコンピューターまたはその他のデバイスでこの機能を利用することは推奨していません。

当社のウェブサイトをできる限り使いやすいものにするため、当社はCookieと呼ばれる技術や同様の追跡手法を使用しています。 これについてはCookieおよび同様の技術で詳細をご覧いただけます。

お客様は当社のアプリにゲストとしてアクセスできます。 ただし、特定のMiles & More機能は、お客様の認証データを使用してログインした後にのみご利用いただけます。

アプリのご利用時には、以下のデータが自動的に記録されます。

• ドメイン名
• アクセスの日時
• クライアントファイルのリクエスト（ファイル名およびURL）
• HTTPレスポンスコード
• セッション中に転送されたバイト数
• お客様の端末のIPアドレス
• 端末のプロパティ（オペレーティングシステムなど）
• アプリ間の参照リンク（当社のアプリを閲覧する直前にアクセスした、リンクされているアプリについての情報）
• 位置情報データ（同意が得られていない場合は地域のみ）

ゲストとしてサービスをご利用になる場合、一定期間に何名の訪問者が当社のアプリを利用したかを判断するなどの統計的な目的のために、仮名化した形式でのみ当社はこのデータを評価します。 この処理に関する法的根拠は、GDPR第6条第1項(1)(f)（正当な利益 – ウェブサイト、アプリ、オファーの継続的な開発における会社の利益）です。

求められるアクセスデータ（Miles & Moreサービスカード番号と暗証番号、またはユーザーIDとパスワード）の入力、またはMiles & Moreプログラムの登録を行うことで、当社アプリのすべての機能をご利用になれます。 お客様のアクセスデータはアプリの機能を使用できるようにするために必要です。 このデータがないと、ログインした会員としてアプリを使用することはできません。 このデータ処理に関する法的根拠は、GDPR第6条第1項(1)(b)（契約の履行と契約締結前の措置）です。

これとは別に、お客様がアプリを使用される際、当社はアプリの分析および開発の目的で、第4.1項に記載されているデータを仮名化した形式で処理します。 このデータはお客様のユーザープロフィールとは関連付けられません。 これに関する法的根拠は、アプリの分析およびさらなる開発におけるGDPR第6条第1項(1)(f)に基づく当社の正当な利益です。

この仮名化されたデータは、お客様が同意した場合にのみ、お客様のプロフィールデータと統合されます。 この処理に関する法的根拠は、GDPR第6条第1項(1)(a)に基づくお客様の同意です。 この同意はいつでも撤回できます。撤回はそれ以降について効力を有します。

お客様がアプリでお客様の位置情報へのアクセスを許可すると、アプリにお使いのモバイルデバイスの位置情報サービスへのアクセスを許可することになります。 お使いのデバイスの位置情報サービスは、モバイル、Wi-FiおよびGPSネットワーク、またはiBeaconからの情報を用いて、お客様のおおよその位置を特定します。 位置情報データの提供は任意であり、アプリの基本的な使用に影響を与えません。

アプリがお客様の最寄りの地域におけるオファーの表示など、位置情報に基づいた機能を提供できるようにするためには、お使いのデバイスの位置情報サービスへのアクセス許可が必要です。 アクセスを許可しない場合、位置情報に基づくコンテンツは限定的にしか表示されません。

iOSオペレーティングシステム搭載スマートフォン（AppleのiPhoneとiPad）の設定：
iOSの設定で、後から位置情報の許可をオンまたはオフに切り替えることもできます。 これを切り替えるには、iOSの「設定」アプリを開き、「プライバシーとセキュリティ」メニューで「位置情報サービス」を選択します。 次のメニューで、お客様のデバイスにインストールされている、位置情報ベースの機能を有するアプリがすべて表示されます。 Miles & Moreアプリを選択します。 次のメニューで、位置情報の利用を常に許可するか、一切許可しないかを選択できます。

Androidオペレーティングシステム搭載スマートフォン（Samsung、HTC、Sony、LGなどさまざまなメーカー）の設定：お使いのデバイスとオペレーティングシステムのバージョンに応じて、Androidの位置情報設定をいつでも変更できます。 変更するには、お使いのデバイスで「設定」アプリを開いてください。 「セキュリティと現在地情報」をタップして、次に「位置情報」をタップします（または「位置情報」のみをタップします。仕事用プロファイルでは「位置情報」、次に「詳細」をタップします）。 「アプリレベルの権限」をタップします。 変更したいアプリを探します。 アプリの位置情報の許可をオフにします。

当社のアプリは、お客様の同意なしにこのアクセス許可を利用することはありません。 位置情報サービスはお客様がアプリ内で明示的な許可を与えている場合にのみ、アクセスされます。 登録またはログインが完了すると、アプリから許可を求められます。 「許可する」と回答した場合にのみ、アプリは位置情報サービスにアクセスします。

処理に関する法的根拠は、GDPR第6条第1項(1)(a)に基づくお客様の同意です。 デバイスの設定で位置情報の許可をオフにすることにより、いつでも同意を撤回することができ、撤回はそれ以降について効力を有します。

当社はウェブサイトおよびアプリの両方で特定の分析ツールを使用します。 以下では、使用されている分析ツールとその用途について説明します。

当社のウェブサイト、アプリ、デジタルコミュニケーションメディアは、Adobe Systems Software Ireland Limited, 4-6 Riverwalk, Citywest Business Campus, Dublin 24, Irelandが提供するウェブ分析サービスであるAdobe Analytics（「Adobe Analytics」）を使用します。

Adobe Analyticsは、特にAdobeに属する2o7.netおよびomtrdc.netドメインのCookieを使用します。 Adobe Analyticsは、ウェブビーコンも使用します（第3.3.1項の最終段落もご参照ください）。 ウェブビーコンは、デジタルコンテンツに配置され、訪問者がいつコンテンツにアクセスしたかを検出する透明なグラフィック画像（通常は1ピクセル×1ピクセル）です。 ウェブビーコンを使用すると、ウェブビーコンが埋め込まれているウェブサイト、アプリ、またはコミュニケーションメディアを開いている訪問者のアクティビティを測定できるようになります。

Adobe Analyticsでは、お客様のIPアドレスは切り捨てられ、匿名化されます。その後は匿名化された形式でのみ使用されます。

Cookieまたはウェブビーコンによって取得される情報は、欧州連合加盟国内またはその他の欧州経済領域の協定加盟国内にあるAdobeのデータセンターにのみ送信されます。 Adobeは当社に代わり、かつ上記の目的にのみこの情報を使用します。

Adobe Analyticsによる、Cookieを使用したこのような情報の収集および使用を希望されない場合は、こちらから拒否できます。 当社のアプリを使用する際に、データ保護ポリシーの最後にあるボタンを無効化することで、このようなデータ収集をオプトアウト（拒否）できます。 その後、オプトアウトCookieがお客様のデバイスに配置されます。 これには追跡値は含まれず、お客様の異議を示し、それ以降、追跡目的でAdobeのサーバーにデータが送信されないようにするためにのみ使用されます。

また、通常、すべてのCookieを拒否するようにウェブブラウザを設定することで、Adobe Analyticsによるデータ収集を防ぐこともできます。 同様に、「トラッキング拒否（Do Not Track）」機能や、ウェブビーコンの画像表示を無効にすることもできます。 設定はブラウザにより異なりますので、ご利用のウェブブラウザの機能管理に関する説明を参照してください。

Adobe AnalyticsおよびAdobeのデータ保護についての詳細はwww.adobe.com/privacy.htmlでご覧いただけます。

当社のウェブサイトでは、Googleによる「CAPTCHA」の機能（「Google reCAPTCHA」）を使用します。 これは、特定の操作が人間によって行われたか、不適切にコンピューターによって行われたかを判断する機能です。 CAPTCHAは、Completely Automated Public Turing test to tell Computers and Humans Apart（コンピューターと人間を区別する完全に自動化されたチューリングテスト）を意味します。

このGoogleのセキュリティチェックは、主に以下の情報に基づいています。

• お客様の端末のIPアドレス
• ブラウザのプロパティ（ブラウザの種類やバージョン、画面解像度、言語、アクセスの日時など）
• お客様のGoogleアカウント（ログインしている場合）
• ウェブサイト上でのお客様の閲覧アクティビティ
• お客様の入力アクティビティ（reCAPTCHAフィールドでのマウスの動きなど）
• 適切な場合、画像の特定に関わるタスク

Googleデータ保護に関する詳細はhttps://policies.google.com/privacy?hl=de&gl=xxからご覧いただけます。

ウェブサイトの分析、最適化、およびセキュリティの目的で第5.1項（Adobe Analytics）および第5.2項（Google reCAPTCHA）に記載されている処理に関する法的根拠は、GDPR第6条第1項(1)(f)（ウェブサイトの開発、システムセキュリティ、および悪用からの保護における正当な利益）です。

分析中に処理される仮名化されたデータは、お客様が同意した場合にのみ、お客様のマスターデータおよびプログラムデータと統合されます。 この処理に関する法的根拠は、GDPR第6条第1項(1)(a)に基づくお客様の同意です。 この同意はいつでも撤回できます。撤回はそれ以降について効力を有します。

当社ウェブサイトおよびアプリでは、ソーシャルネットワーク（FacebookやTwitterなど）に関する機能を統合することができます。

現在、ソーシャルネットワークにおいて、Miles & Moreからのオファーへのリンクを使用しています。 当社のウェブサイトとアプリはいずれも、これらのリンクを使用せずにアクセスし、利用することができます。 これらの追加機能をご利用になる場合、個人データの取り扱いについて、次のポリシーを十分にご確認ください。

当社のウェブサイトがソーシャルネットワーク内（Facebookのページ、YouTubeチャンネル、またはTwitterアカウントなど）の当社のオファーのいずれかにリンクされる場合、これは該当するソーシャルネットワークのページへの単純なリンクとなります。 お客様がこのようなリンクを使用する際、当社はこれらのソーシャルネットワーク提供者といかなる個人情報も共有しません。 ただし、これらの提供者は基本的にユーザーがどこから訪問したかを識別することができます。 当社はこれらの提供者のデータ処理について、いかなる影響力も持ちません。 本データ保護ポリシーはこれらの提供者のオファーには適用されません。 詳細は通常、それぞれの提供者のデータ保護ポリシーにてご覧いただけます。

当社のウェブサイトではGoogleリマーケティングを使用しています。 Googleリマーケティングは、Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland（「Google」）のオンラインマーケティングプログラムです。 当社はGoogle広告内でリマーケティング機能を使用しています。 この機能を活用し、当社はGoogle広告ネットワーク内の他のウェブサイト／アプリで、お客様の興味に関連する広告を提示することができます。 このために、当社はお客様がどのオファーを閲覧したかなど、当社ウェブサイト上でのお客様の閲覧行動を分析します。これにより、お客様が当社のウェブサイトを訪問した後も、Googleのオンライン検索エンジン自体（Google広告）とその他のウェブサイト／アプリの両方で、パーソナライズされた広告を引き続き表示することができます。 Googleはこのような目的で、お客様がGoogleのサービスやGoogle広告ネットワーク内のウェブサイトを訪問する際に、お客様のブラウザにCookieを保存します。 このCookieは、お客様の訪問を追跡するために使用されます。 Cookieは、お客様のウェブブラウザを明確に識別するためにのみ使用され、お客様個人を特定することはありません。

このサービスの利用は、GDPR第6条第1項(a)およびドイツの電気通信テレメディアデータ保護法（Telekommunikation-Telemedien-Datenschutz-Gesetz：TTDSG）第25条第1項に従ったお客様の同意に基づきます。 お客様は将来いつでも同意を撤回することができます。 お客様は、当社のCookie同意管理機能（Cookie Consent Manager）を使用して同意することができます。また、各ページの下部にある「Cookie設定」リンクを使用し、いつでも同意を撤回できます。

Googleは、この収集されたデータを、Googleが収集したお客様に関するデータと組み合わせて、自身のネットワーク上の広告をパーソナライズすることができます。 Googleアカウントをお持ちの場合、https://www.google.com/settings/ads/onweb/からパーソナライズ広告を拒否することもできます。 詳細については、Googleのプライバシーポリシーhttps://policies.google.com/technologies/ads?hl=deでご確認いただけます。

当社は、お客様の関心に合わせたオファーをお送りしたいと考えています。 そのため、当社はお客様のユーザー行動に基づいて、お客様が該当する可能性のあるグループを定義します。

ドイツ連邦情報セキュリティ局によって「暗号的に強度が高い」方式として推奨されているSHA-256の暗号化を採用し、当社はお客様のEメールアドレスに基づいた属性を生成します。 当社は、この暗号化された属性のリストをGoogleに転送します。

Googleカスタマーマッチを使用して、Googleは当社が提供している暗号化された属性と、Googleが同じ暗号化方式を使用して自社のGoogleアカウントの顧客から作成する属性を比較します。 マッチしたものは、Googleによって、オーディエンスと呼ばれるリストに追加されます。 この処理が完了次第（最大48時間）、暗号化されたデータは削除されます。 お客様がこのようなオーディエンスに属する場合、お客様がGoogleのプラットフォームでインターネットを閲覧している際に、Googleはお客様を特定し、当社のパーソナライズされた広告をお客様に表示することができます。

このサービスの利用は、GDPR第6条第1項(a)およびドイツの電気通信テレメディアデータ保護法（Telekommunikation-Telemedien-Datenschutz-Gesetz：TTDSG）第25条第1項に従ったお客様の同意に基づきます。 お客様は将来いつでも同意を撤回することができます。 お客様は、当社のCookie同意管理機能（Cookie Consent Manager）を使用して同意することができます。また、各ページの下部にある「Cookie設定」リンクを使用し、いつでも同意を撤回できます。

Googleカスタマーマッチでお客様の個人データを処理するためのもう一つの前提条件は、お客様がGoogleアカウントを持ち、パーソナライズされた広告を表示する許可をGoogleに与えていることです。 この設定は、Googleユーザーアカウントのプライバシーのタブでご自身のご希望に合わせて変更することができます。

Googleは、この収集されたデータを、Googleが収集したお客様に関するデータと組み合わせて、自身のネットワーク上の広告をパーソナライズすることができます。 Googleアカウントをお持ちの場合、https://www.google.com/settings/ads/onweb/からパーソナライズ広告を拒否することもできます。 詳細は、Googleのプライバシーポリシーhttps://policies.google.com/technologies/ads?hl=deでご確認いただけます。

Googleは、当社のウェブサイトを通じて収集されるお客様のユーザー行動に関して収集されるデータを、独自の目的、または他のGoogleの顧客のため（パーソナライズされた第三者広告を表示するためなど）に使用する場合があります。

このような場合、Google Ireland Limitedは、こうした形式でお客様のデータを処理するとともに、当社がデータをGoogleに転送した後のデータを処理する責任を負う唯一のデータ管理者となります。

Google Ireland Ltdは、米国カリフォルニア州に本社を置き、同州の法律の適用を受けるGoogle LLCの子会社です。そのため、米国外で処理されるデータへのアクセスを提供する義務を負う場合もあります。 Google Ireland Ltdは、Google LLCをサービス提供会社として利用し、これに関連してデータを米国に移転する場合もあります。

米国に関して、欧州司法裁判所は、同国におけるデータ保護の水準がEU内の水準と一致していないと判断しています。 特に、米国のセキュリティ機関は、お客様に対する十分な法的救済措置を用意せず、お客様のデータへのアクセス権を得る場合があるといった可能性が考えられます。

当社ウェブサイトおよびアプリでは、ソーシャルネットワーク（FacebookやTwitterなど）に関する機能を統合することができます。

当社は現在、ソーシャルネットワークにおいて、Miles & Moreのオファーへのリンクのみを使用しています。 当社のウェブサイトとアプリはいずれも、これらのリンクを使用せずにアクセスし、利用することができます。 これらの追加機能をご利用になる場合、お客様の個人データの取り扱いについて、以下の情報を十分にご確認ください。

当社のウェブサイトが、当社のソーシャルメディアチャンネル（Facebookのページ、YouTubeチャンネル、またはTwitterアカウントなど）のいずれかにリンクされている場合、これは該当するソーシャルネットワークのページへの単純なリンクです。 お客様がこのようなリンクを使用する際、当社はこれらのソーシャルネットワーク提供者といかなる個人データも共有しません。 ただし、これらの提供者は通常、こうしたリンクが使用される際に、少なくとも参照元を特定する機能を有することにご注意ください。 当社はこれらの提供者のデータ処理について、いかなる影響力も持ちません。 本データ保護ポリシーは、これらの提供者のネットワークには適用されません。 詳細は通常、それぞれの提供者のデータ保護ポリシーにてご覧いただけます。

お客様は、当社のウェブサイトにおけるリンクを介して、当社が運営していない第三者のウェブサイトを訪問することができます。 例えば、お客様がマイルを獲得できるパートナー会社のウェブサイトや、Miles & More会員に対する特別オファーが提供されているパートナー会社のウェブサイトなどがあります。 このような第三者のウェブサイトにおける個人データの処理について、当社は影響力を持ちません。該当するウェブサイトの提供者によって情報が取り扱われます。 そのため、これらのウェブサイトにおける個人データの処理に関する詳細な情報については、これらのウェブサイトの利用規約およびプライバシー情報をお読みください。

当社は、お客様のデータを契約および法律に定められた義務を遂行するために必要な期間、処理します。 お客様のデータを処理する目的が適用されなくなった場合は、以下の目的でデータを保存する必要がなければ、かかるデータは削除されます。

• ドイツ商法（Handelsgesetzbuch）やドイツ租税通則法（Abgabenordnung）などによる、商法および税法上の保存期間を満たす目的。これらの期間は最長10年となる可能性があります。
• 出訴期限に関する規定に従って証拠を保存するという目的。 ドイツ民法典（Bürgerliches Gesetzbuch：BGB）の第195条以降に基づくと、これらの出訴期限は最長30年となる可能性がありますが、標準的な出訴期限は3年です。

当社のサービスをご提供するため、当社はGDPR第28条に従い、サービスセンター、ウェブホスト、その他のITサービス提供会社などの事業者をデータ処理者として利用しています。 これらのサービス提供会社は慎重に選定されており、当社の指示に従ってのみ業務を行います。 また、これらのサービス提供会社は、データ保護法に基づく自らの義務を遵守することについて十分な保証を提供します。

さらに、他の第三者が当社にデータ処理を委託している場合には、当社はそのデータ処理の範囲内で当該第三者からデータを受領することがあります。 これは、例えばプログラムパートナーに関するカスタマーサービスのお問い合わせを処理する場合などに該当します。
個人データが第三国に移転される場合には、法令の規定、GDPR第45条、第46条（特に、EUの十分性認定およびEU標準契約条項の使用。EU標準契約条項に関する情報は、欧州連合のウェブサイトでご確認いただけます）に従い、お客様の個人データを保護するための適切な保護措置が講じられます。

処理者へのデータ移転に関する法的根拠は、GDPR第28条とあわせて、本データ保護ポリシー第3条に定める法的根拠となります。
さらに、一定の場合には、GDPR第6条第1項(1)(c)（法的義務）に従って、ドイツおよび各国の当局に個人データを提供することが、当社に法的に義務付けられる場合があります。

データ主体として、お客様は、それぞれの各法定条件が存在する場合、以下の権利を行使することができます。

• データへのアクセスの権利（GDPR第15条）
• 訂正する権利（GDPR第16条）
• 消去の権利（「忘れられる権利」）（GDPR第17条）
• データ処理の制限の権利（GDPR第18条）
• データポータビリティの権利（GDPR第20条）
• 異議を唱える権利（GDPR第21条）

お客様は権利の行使のために、当社のお問い合わせフォームを使用することができます。 お客様のリクエストを扱い、お客様の本人確認を行うために、当社はGDPR第6条1項(1)(c)に従ってお客様の個人データを処理することにご留意ください。

お客様のマスターデータの大半についての現在の状況は、いつでも当社ウェブサイトのお客様プロフィールにおいてご自身でご確認いただけます。 何か変更（住所、Eメールアドレス、電話番号など）が生じた場合は、すみやかに個人データを更新していただくようお願いいたします。

お客様は、GDPR第77条および連邦データ保護法（Bundesdatenschutzgesetz）第19条に従い、監督当局に苦情を申し立てる権利も有します。

MMGおよびルフトハンザの管轄監督機関は以下のとおりです。

The Data Protection Commissioner of Hesse
PO Box 3163
D-65021 Wiesbaden

Gustav-Stresemann-Ring 1
D-65189 Wiesbaden

電話：06 11 14 080
Fax：06 11 14 08 900または06 11 14 08 901
Eメール：[email protected]

お客様は、GDPR第6条第1項(e)または(f)に基づいて行われるご自身の個人データの処理に対して、いつでもご自身特有の状況に関する理由によって異議を申し立てる権利を有します。

異議の申し立てを受けると、当社は、当該処理がお客様の利益、権利および自由に優先すること、または当該処理が法的請求権の確立、行使もしくは弁護のために必要であることについて説得力のある正当な根拠を示すことができない限り、お客様の個人データを処理しません。

ダイレクトマーケティングの目的のためにお客様の個人データが処理される場合、お客様はいつでも当該マーケティングを目的とするお客様の個人データの処理に異議を唱える権利を有します。

お客様が、ダイレクトマーケティングを目的とするご自身の個人データの処理に異議を唱えた場合、このデータが当該目的で処理されることはなくなります。

お客様は、情報社会サービスの利用に関連して、そしてEU指令2002/58/ECにかかわらず、技術仕様を利用した自動的手段により異議を唱える権利を行使することができます。

お客様はいつでも、このデータ保護ポリシーの第11条に記載されたお問い合わせフォームの使用等により、お客様の個人データの処理に関して異議を唱えることができます。

当社はお客様のデータを処理する際、お客様のデータを偶発的または意図的な改ざん、損失、破壊、もしくは権限のない人物によるアクセスから保護するために、技術的、組織的なセキュリティ措置を講じています。 セキュリティ措置は新しい技術の発展にともない、継続的に改善されます。
当社はドイツ、別の欧州連合加盟国、または欧州経済領域の協定加盟国にあるサーバーにお客様の個人データを保管します。

当社は、本データ保護ポリシーを定期的に見直し、必要に応じて更新します。 本データ保護ポリシーに重要な変更が加えられる場合は、（当社のウェブサイトまたはアプリなどで）お客様にお知らせいたします。