Travel ID 数据保护声明

奥地利航空公司、布鲁塞尔航空、德国汉莎航空集团、欧洲之翼公司、EW Discover 公司以及瑞士国际航空，后续将称为汉莎航空集团航空公司和 Miles & More 飞常里程汇公司，它们是 Travel ID 的运营商。

除非在本《数据保护声明》中另行说明，否则“我们”或“Travel ID 运营商”指依据《欧盟通用数据保护条例》（“GDPR”）第 26 条作为控制方共同负责处理您个人数据的汉莎航空集团航空公司以及 Miles & More 飞常里程汇公司（“联合控制方”）。

有关汉莎航空集团航空公司以及 Miles & More 飞常里程汇公司的更多信息和联系地址，请参阅相应 Travel ID 运营商的《数据保护声明》。

如果您有与 Travel ID 相关的数据保护问题，请联系以下人员：

德国汉莎航空集团、Miles & More 飞常里程汇公司、欧洲之翼公司以及 EW Discover 公司数据保护官：

德国汉莎航空集团
数据保护官
FRA CJ/D
Lufthansa Aviation Center
Airportring
60546 Frankfurt am Main
德国

奥地利航空公司数据保护官：

奥地利航空公司
Legal office – Data Protection
Office Park 2
PO box 100
1300 Vienna Airport
奥地利

瑞士国际航空数据保护官：

瑞士国际航空
ZRH S/CJ
PO box
8058 Zurich Airport
瑞士

布鲁塞尔航空数据保护官：

布鲁塞尔航空
数据保护官
Airport Bld. 26, General Aviation - Ringbaan
1831 Machelen
比利时

您注册 Travel ID 时，我们需要的唯一强制性信息是您的电子邮件地址、称谓、姓名、出生日期和密码。如果在技术上可行，那么您的国家/地区和首选语言设置将使用您在各 Travel ID 运营商网站或其他触点输入的国家/地区和语言设置自动转入。该信息是创建 Travel ID 个人档案以及使用下文《Travel ID 使用条款及细则》详述的 Travel ID 服务所必需的。您可根据个人意愿自愿向 Travel ID 个人档案补充其他信息。补充信息可以是您的地址、手机号码、付款信息或者航班偏好（例如出发机场偏好）。

处理您数据的法律依据是根据 GDPR 第 6 (1)(b) 条履行合同。

您也可以根据自己的意向（参见第 10 节）选择存储文档。

如果履行合同必须如此，那么我们会向您发送您的 Travel ID 个人档案的会员资格变更消息。这包括通过您的 Travel ID 个人档案上传的旅行证件有效期到期、付款方式或密码等。

如果您有三年未登录您的 Travel ID 个人档案，那么我们将要求您重新登录。如果六个月后我们看到您的 Travel ID 个人档案仍没有任何活动，则我们将删除您的 Travel ID 个人档案（请参阅“删除您的 Travel ID 个人档案”一节）。

处理您数据的法律依据是根据 GDPR 第 6 (1)(b) 条履行合同。

当您访问我们的网站以及使用我们的手机 App 应用程序和其他触点时，我们的目标是让您轻松、快捷地找到并使用与您相关的信息。因此，您可以选择使用您的 Travel ID 在那里注册来满足个人需求，例如接收与您的航班预订相关的信息。

当然，如果您不希望使用登录服务，您也可以在不登录的情况下使用网站/触点。在这种情况下，会显示相应内容但不是针对您的个性化内容。

处理您数据的法律依据是根据 GDPR 第 6 (1)(b) 条履行合同。

我们使用您在 Travel ID 个人档案中输入的数据预填表单，从而让您的预订流程更轻松。这可能是您注册时主动提供的数据、之后添加的数据，也可能是您之前预订时提供的与 Travel ID 个人档案相关的数据，您再订票时我们将自动考虑这些数据。我们还会使用您预订时提供的数据，为您提供适用于在线办理登机手续和自助办理登机手续系统的预填表单。如果您填写其他表单，例如参与幸运抽奖活动或者使用网站的任一电子反馈表给客户发送反馈，则所需的联系详情也会根据您的 Travel ID 个人档案预填。

处理您数据的法律依据是根据 GDPR 第 6 (1)(b) 条履行合同。

欲获得您通过 Travel ID 运营商进行的预订概览，自您注册Travel ID 以来进行的预订都将显示在您的 Travel ID 个人档案中。如果您将您之前在汉莎航空集团某航空公司的客户资料变更为Travel ID 个人档案，则您用以前的客户资料进行的预订也将显示在您的 Travel ID 个人档案中。

您的预定概览包括创建和显示航班统计数据等。如果您预订时已经登录，则这些预订将自动保存至您的 Travel ID 个人档案中。您也可以之后向您的个人档案中添加预订信息。您的 Travel ID 个人档案显示过去 10 年的预订信息。

处理您数据的法律依据是根据 GDPR 第 6 (1)(b) 条履行合同。

我们使用存储在您 Travel ID 个人档案中的数据以便能够为您提供个性化服务。我们会处理您注册期间或之后在 Travel ID 个人档案中输入的数据，以及我们记录的数据，例如通过Travel ID 进行航班预订输入的数据。这也包括航班延误或取消以及行李问题。我们还会处理您向服务中心提出的请求中的数据。

进行这种处理后我们可以改进我们的投诉或客户服务管理，并在我们的所有触点为您提供 Travel ID 客户定制服务。您向我们服务中心提交的查询将显示在您的 Travel ID 个人档案中并且您可以在那里进行管理。

处理您数据的法律依据是根据 GDPR 第 6 (1)(b) 条履行合同。

如果我们一再无法向您提供承诺的服务，那么我们可能希望通过电子或邮寄方式联系您，或者我们的员工可能会单独联系您。为此，我们使用与任何问题和客户疑虑以及事件数量和严重程度有关的数据。

我们处理您数据的法律依据是我们根据 GDPR 第 6 (1)(1)(f) 条享有的合法权益。

您可以选择根据您订购机票的入境或过境规定，审核您的旅行证件（如护照或签证）。为此，您可以通过您的 Travel ID 个人档案将相关旅行证件上传至独立的安全数据库。然后，它们将自动传输至我们的旅行证件审核流程并在您的旅行开始之前完成审核。

处理您数据的法律依据是您根据 GDPR 第 6 (1)(a) 条规定授权的许可。

您有权随时撤销授权使用您旅行证件数据的许可，但许可撤销前基于许可已经执行的任何处理的合法性不会影响。为此，您可以在您的 Travel ID 个人档案的“个人证件”中删除您的旅行证件。

旅行证件到期将自动删除。

您可以选择使用健康证件检查流程来检查您的健康相关证件对入境或过境国家/地区是否有效。为此，您可以通过您的 Travel ID 个人档案，将您的健康相关证件（例如疫苗接种证书或康复证明）上传至安全数据库。健康证件检查流程是第 10.1 节所述旅行证件检查的一部分，但因为处理健康数据，因此需要您单独授权许可。

处理您数据的法律依据是您根据 GDPR 第 9 (2)(a) 条以及第 6 (1)(a) 条单独授权的许可。

您有权随时撤销授权处理您个人健康相关数据的许可，但许可撤销前基于许可已经执行的任何处理的合法性不受影响。为此，您可以在您的 Travel ID 个人档案的“个人证件”中删除您的健康证件。

健康相关证件也会到期后自动删除，最迟不会晚于上传后 12 个月。

如果您预订了航班，那么汉莎航空集团航空公司将联系您，告知您有关您航班的可能额外服务。这些额外服务可能包括汉莎航空集团航空公司的航班相关服务，例如高级餐食或升舱，但还包括汉莎航空集团航空公司合作伙伴公司（汉莎航空集团航空公司合作伙伴公司的相关信息：奥地利航空、布鲁塞尔航空、欧洲之翼、Discover Airlines、汉莎航空、瑞士国际航空）的额外服务，例如租车或保险公司。为此，将处理您的 Travel ID 个人档案中和汉莎航空集团航空公司存储的您的相关数据（例如航班数据、偏好）。

处理您数据的法律依据是您根据 GDPR 第 6 (1)(a) 条规定授权的许可。

本许可是您在注册过程中或后来在您的 Travel ID 个人档案中提供的，您可以随时在您的 Travel ID 个人档案中进行管理。

根据本《数据保护声明》第 11 节"个性化优惠设置所述"，您可以选择授权许可来确定您感兴趣的主要领域并以此为基础通过数字通信渠道（例如通过电子邮件、短信/彩信、信使服务、搜索引擎、视频、横幅），通过电话或者汉莎航空集团航空公司的网站来发送汉莎航空集团航空公司及其各自合作公司（汉莎航空集团航空公司合作伙伴公司相关信息：​奥地利航空公司、​布鲁塞尔航空、​欧洲之翼公司、Discover Airlines、​汉莎航空、​瑞士国际航空）的服务信息和个性化报价。

此外，您可以授权 Miles & More 飞常里程汇公司给您发送与您的 Miles & More 飞常里程汇奖励计划会员相关的优惠（如果您还不是 Miles & More 飞常里程汇奖励计划的会员）。

因为我们只想向您提供您真正感兴趣的信息和优惠，因此经您同意后我们会处理汉莎航空集团航空公司存储的预订信息，例如旅行路线、旅行期限和预订舱位以及您的 Travel ID 个人档案中存储的偏好。例如，我们可能会分析与您未来行程相关的信息，从而向您发送适合您旅行的附加服务或者适合您旅行目的地的可用服务的优惠或者优惠券。

为您提供量身定制个性化信息和优惠的一种方法是，在合作伙伴网站或广告商网站上识别您的身份。

为此，我们将您的 Travel ID 个人档案中用 SHA 256 算法加密、联邦安全办公室推荐的"强密码"保存的电子邮件地址和/或电话号码传输至所谓的净室。数据净室是不受外部技术影响，处理个人数据的安全环境。它旨在促进广告公司（在本声明中，指 Travel ID 运营商和广告领域合作伙伴或提供商）之间的数据交换同时尽可能保护各自客户的隐私。为此，合作伙伴或广告公司也使用相同加密方法将客户数据提供给数据净室。作为数据匹配的一部分，命中 (Datamatch) 将发送给所谓的受众（人群），它们最终可能将由 Travel ID 运营商进行分析并用于广告目的。我们向数据净室传输的数据的访问权限，将仅在相应数据处理合同签订后授予我们选择的广告领域的合作伙伴和提供商。

取决于技术开发和营销商的支持技术，我们确保会使用更强大、更安全的加密和/或扩展技术。

通过 Google Customer Match 进行 CRM 数据匹配时，我们按照第 12.2 节所述的程序将加密数据传输至 Google 运营的数据净室。在这个数据净室，Google 将我们提供的数据与使用相同的 SHA 256 哈希算法加密的 Google 帐户客户的数据进行比对。之后 Google 会将匹配项添加到称为“受众”的列表中。这个过程完成后（最多 48 小时），加密数据将被立即删除。如果您属于此类受众，那么当您使用 Google 平台上网时，Google 能识别出您的身份并向您展示我们的个性化广告。

在 Google Customer Match 中处理您个人数据的另一先决条件是，您拥有 Google 帐户并且已授权 Google 在其中显示个性化广告。您可以在 Google 用户帐户的数据保护选项卡下修改此设置来适应您的偏好。

在 GDPR 定义的 Google Ads/Google Customer Match 范畴内处理个人数据的控制方是 Ireland Ltd, Gordon House, Barrow Street, Dublin 4, Ireland。Google Ireland Ltd 是 Google LLC 的子公司，其注册办事处设在美国加利福尼亚州，受加利福尼亚州法律管辖，因此可能也有为在美国境外处理的数据提供访问权限的义务。

您可以在《Google 数据保护声明》中找到有关 Google 处理您个人数据的更多信息。

处理第 12 节"个性化广告宣传"中列出的您的所有数据的法律依据是您根据 GDPR 第 6 (1)(a) 条授权的许可。

本许可是您在注册过程中或后来在您的 Travel ID 个人档案中提供的，您可以随时在您的 Travel ID 个人档案中进行管理。

您还可以通过调整宣传设置，自行决定您希望接收我们提供的信息和个人优惠的程度。您也可以在 Travel ID 个人档案中撤销对个别领域（例如对电子邮件新闻简报）的营销宣传授权。

如果您有 Travel ID 个人档案并且您的 Travel ID 个人档案未关联至 Miles & More 飞常里程汇会员账户，则汉莎航空集团航空公司将相互交换您的数据，以便为您提供《Travel ID 使用条款及细则》中规定的服务。Miles & More 飞常里程汇公司将仅向您接收管理您 Travel ID 个人档案所需的数据（例如联系方式、出生日期和您自愿存储的个人档案数据）并且不会出于自行目的处理这些数据。

如果您已将您的 Travel ID 个人档案与您的 Miles & More 飞常里程汇会员账户关联，则 Travel ID 运营商将会相互交换您的数据，以便为您提供《Travel ID 使用条款及细则》中规定的服务。您可以自行决定是否进行关联。创建关联时将在您的 Travel ID 个人档案和 Miles & More 飞常里程汇账户之间进行数据匹配。具体而言，您在两个账户中存储的数据将按以下方式传输：

所有主数据（如姓名、出生日期、邮政地址、电话）和偏好（如首选出发机场）都自动来自您的 Miles & More 飞常里程汇账户。电子邮件地址将从您的 Travel ID 个人档案中提取。

传输您的数据的法律依据是按照 GDPR 第 6 (1)(b) 条履行您与我们签订的常旅客合同。

如果您已根据第 12 节的规定授权 Miles & More 飞常里程汇公司进行个性化广告宣传，则为实现此目的 Miles & More 飞常里程汇公司也将处理您的航班数据（例如您的航线、旅行舱等、出发机场、目的地机场）。

您首次登录 Travel ID 运营商的网站或其他触点时，会要求您输入详细信息进行登录。为了在您会话期间识别您，我们使用“登录”Cookie。此 Cookie 允许您无需再次使用您的 Travel ID 凭据登录即可访问其他Travel ID 运营商的网站。

登录 Travel ID 运营商的网站时，您还可以选择主动启用“保持登录”功能，这意味着您结束会话后重新访问网站时无需再次登录。

为此，我们还使用 Cookie 这样您返回网站/触点时，系统可自动识别您的身份。

“保持登录”功能到期后需要您再次登录。此外，如果您正在执行需要增强安全级别的活动，系统将一直提示您重新登录。

处理您数据的法律依据是您根据 GDPR 第 6 (1)(a) 条规定授权的许可。

如果您不再希望使用 Travel ID 服务，则您可以随时删除您的 Travel ID 个人档案。我们收集的与您使用 Travel ID 相关的个人数据将立即删除，但可能须遵守相互冲突的法定保留要求。

您可以登录您的 Travel ID 个人档案，自行删除Travel ID 个人档案以及您在其中提供的任何特定数据项。

如果您未在确认电子邮件所述的期限内确认注册或者您请求发送含激活链接的确认电子邮件三次以上而并未使用，则我们也将删除您的临时性 Travel ID 个人档案。

同样地，经过一段特定静止期后，我们也会删除您的个人档案（参见第 4 节）。

我们在本《数据保护声明》所述处理程度和时间范围内处理您的数据。

如果处理您数据的目的不再适用，则这些数据将删除，但实现以下目的需要保留这些数据的情形除外：

• 履行商业法或税法下的义务可能需要遵守的法定保留期；这些期间可能长达十年
• 合法要求的主张、行使或抗辩

在这些情况下，处理您的数据将受到限制（“冻结”），因此不能再处理您的数据用于其他目的。

作为数据主体，您可以在存在相应法定条件的前提下行使以下权利：

• 知情权，GDPR 第 15 条
  
• 修正权，GDPR 第 16 条
• 删除权（“被遗忘权”）、GDPR 第 17 条（另请参阅本《Travel ID 数据保护声明》第 16 节）
• 限制处理权，GDPR 第 18 条
• 数据迁移权，GDPR 第 20 条
• 反对权，GDPR 第 21 条（另请参阅本《Travel ID 数据保护声明》第 18 节）

如果我们在征得您授权的基础上处理您的数据，您有权随时撤销此授权，撤销授权不会影响授权撤销前基于此授权已经执行的任何处理的合法性。

欲行使您的权利，您可以通过本《数据保护声明》“您可以联系谁”一节联系相应的 Travel ID 运营商。为了能够处理您的申请并识别您的身份，我们将根据 GDPR 第 6 (1)(c) 条处理您的个人数据。

您也可以随时在您的 Travel ID 个人档案中，自行查看大多数主数据的当前状态。进行任何更改（比如您的邮政地址、电子邮件地址或电话号码）后请及时更新您的个人数据。要删除您的 Travel ID 个人档案，您也可以按照“删除您的 Travel ID 个人档案”一节所述进行删除。

此外，您还有权根据 GDPR 第 77 条向监管机构投诉。

您可以在下方找到负责 Travel ID 运营商的所有数据保护当局的列表。

德国汉莎航空集团、Discover Airlines、和 Miles & More 飞常里程汇公司的主管监管当局为：

黑森州数据保护和信息自由专员
Postfach 3163
65021 Wiesbaden
德国

电话：+49 (0)611 1408-0
传真：+49 (0)611 1408-900 或 -901

电子邮箱 ：poststelle@datenschutz.hessen.de

欧洲之翼公司的主管监管当局为：

数据保护与信息自由地区官员
State of North Rhine-Westphalia
Postfach 20 04 44
40102 Dusseldorf
Germany

电话：+49 - 211 - 38 424 - 0
传真：+49 (0)211 38 424-999

电子邮箱 ：poststelle@ldi.nrw.de

奥地利航空公司的主管监管当局为：

奥地利数据保护机构
Barichgasse 40-42
1030 Vienna
奥地利

电话：+43 (0)52 152-0

电子邮箱 ：​dsb@dsb.gv.at

瑞士国际航空的主管监管当局为：

联邦数据保护与信息专员
Feldeggweg 1
3003 Berne
瑞士

电话：+41 （0）58 46 24 395
传真：+41 （0）58 46 59 996

对于受 GDPR 约束的数据处理：

黑森州数据保护和信息自由专员
Postfach 3163
65021 Wiesbaden
德国

电话：+49 (0)611 1408-0
传真：+49 (0)611 1408-900 或 -901

电子邮箱 ：poststelle@datenschutz.hessen.de

布鲁塞尔航空的主管监管当局为：

Autorité de protection des données
Gegevensbeschermingsautoriteit
Data Protection Authority
Rue de la presse 35, 1000 Brussels
比利时

电话：+32 (0)2 27 44 800

电子邮箱 ：contact@apd-gba.be

您有权因为自己的特殊情况随时依据 GDPR 第 6 (1)(f) 条反对处理您的个人数据。

如果您提出反对，那么我们将不再处理与您有关的个人数据，除非我们能够证明存在超过您的利益、权利和自由的强制性处理理由或者处理数据是为了执行、行使或捍卫合法要求。

如果我们处理您的个人数据用于直接营销目的并且您反对这种处理，则我们将不再出于这些目的处理与您相关的个人数据。

您可以随时反对处理您的个人数据，例如通过使用“您可以联系谁？” 中指定的联系人。

我们使用技术和组织安全措施来保护您的数据免遭意外或故意篡改、丢失、删除或越权存取。随着新技术的不断涌现，我们的安全措施也在日益改进。

就本《Travel ID 数据保护声明》所述的处理操作而言，我们可能会向以下类别的接收者披露您的数据：

• 我们根据 GDPR 第 28(3) 条基于数据处理协议开展合作的服务供应商
• 政府机构和当局，例如因为警务活动和调查活动

在这种情况下，个人数据可能传输至第三国或国际组织。为了保护您及您的个人数据，我们将根据法律要求，对该等数据传输提供适当的安全措施。

如果此类传输是向欧盟委员会或主管当局尚未发布适当性决定的第三国进行，则我们将使用欧盟的标准合同条款。关于欧盟的标准合同条款，请参阅欧盟网站。

在特殊情况下，向没有充分保护的国家/地区传输也是允许的，例如基于授权、与法律诉讼有关或执行合同要求必需进行传输。