Travel ID 隐私声明

奥地利航空公司、布鲁塞尔航空公司、德国汉莎航空公司、欧洲之翼航空公司、EW Discover GmbH、瑞士国际航空公司（统称“汉莎航空集团航空公司”）和 Miles & More GmbH 是 Travel ID 的运营商。

除非在本隐私声明中另行说明，否则“我们”、“我们的”或“Travel ID 运营商”应指依据 GDPR 第 26 条，共同负责处理您的个人数据的汉莎航空集团航空公司以及 Miles & More GmbH（“联合控制方”）。

有关汉莎航空集团航空公司和 Miles & More GmbH 的更多信息和联系地址，请参阅 Travel ID 运营商的相应隐私政策。

如果您对 Travel ID 有任何与隐私相关的疑问，请联系以下办事处：

德国汉莎航空公司、Miles & More GmbH、欧洲之翼航空公司以及 EW Discover GmbH 数据保护官：

Deutsche Lufthansa AG
Data Protection Officer
FRA CJ/D
Lufthansa Aviation Center
Airportring
60546 Frankfurt/Main
Germany

奥地利航空公司数据保护官：

Austrian Airlines AG
Legal Office – Data Protection
Office Park 2
Postbox 100
1300 Vienna Airport
Austria

瑞士国际航空公司数据保护官：

Swiss International Air Lines AG
ZRH S/CJ
Postfach
8058 Zurich Airport
Switzerland

布鲁塞尔航空公司数据保护官：

Brussels Airlines
Data Protection Officer
Airport Bld. 26, General Aviation - Ringbaan
1831 Machelen
Belgium

您注册 Travel ID 时，我们需要的强制性信息包括您的电子邮件地址、称谓、姓名、出生日期和密码。在技术上可行的情况下，将使用您在各 Travel ID 运营商网站或其他联络点输入的国家/地区和语言设置，自动转入您的国家/地区和首选语言设置。此信息是创建 Travel ID 个人资料，以及使用下文《Travel ID 使用条款及细则》详述的 Travel ID 服务所必需的。您可以随时自愿在 Travel ID 个人资料中添加其他信息。这可以是您的地址、手机号码、付款详情或者偏好（例如出发机场偏好）。

我们将根据您在自身 Travel ID 个人资料中关联的活动向您显示匿名统计数据（例如您在已飞行千米数排行榜上的位置）和/或徽章（例如在您达成某项目标时获得的奖励）。

如果您希望为自己的孩子创建 Travel ID 个人资料或您的孩子希望自行创建个人资料，但他们未满 18 岁，则需要父母或监护人的同意。在发送填妥的注册表后，孩子的父母或监护人将会收到一封电子邮件，要求他们通过确认邮件中附带的链接来同意创建 Travel ID 个人资料。如果孩子的父母或监护人没有在注册后特定的截止日期前给予同意，则已输入的所有个人数据都会被删除。

处理您的数据的法律依据是根据 GDPR 第 6(1)(b) 条履行合同。

您还可以选择在您许可的基础上将其他个人数据保存在您的 Travel ID 中。您可以在本隐私声明的相关章节找到更多详情。

如果出于履行合同的必要，我们会向您发送您的 Travel ID 个人资料的会员资格变更消息。这包括关于通过您的 Travel ID 个人资料上传的旅行证件有效期到期、付款方式或密码等的消息。

如果您三年未登录您的 Travel ID 个人资料，我们将要求您重新登录。如果六个月后我们仍未发现您的 Travel ID 个人资料有任何活跃迹象，我们会将其删除（请参阅“删除您的 Travel ID 个人资料”一节）。

处理您的数据的法律依据是根据 GDPR 第 6(1)(b) 条履行合同。

无论在地面还是机上，当您访问我们的网站以及使用我们的手机应用程序和其他触点时，我们的目标都是让您轻松、快捷地找到并使用与您相关的信息。因此，您可以选择使用您的 Travel ID 进行注册，以便获取个人通知，例如接收与您当前航班预订或您的 Miles & More 飞常里程汇会员资格匹配的信息。

当然，如果您不希望使用登录服务，您也可以在不登录的情况下使用网站/联络点。在这种情况下，相应的内容将以非个性化的方式向您显示。

处理您的数据的法律依据是根据 GDPR 第 6(1)(b) 条履行合同。

我们可以使用您在 Travel ID 个人资料中输入的数据，通过预填充表格，让您的预订流程更加轻松。这可能是您在注册时主动提供的数据、之后添加的数据，或者是您在之前的预订中提供的与您的 Travel ID 相关、我们自动用于其他预订的数据。我们还会使用您在预订期间提供的数据，为您提供适用于在线办理登机手续和自助办理登机手续设备的预填充表格。如果您填写了其他表格（例如参与幸运抽奖活动），或者使用网站上的任一电子反馈表发送了客户反馈，则所需的必要联系详情也会根据您的 Travel ID 个人资料预先填充。

处理您的数据的法律依据是根据 GDPR 第 6(1)(b) 条履行合同。

如果您在登录状态下预订航班，则这些预订将自动保存至并显示在您的 Travel ID 个人资料中。如果您在预订航班后将其添加到您的 Travel ID 个人资料中，我们会检查该预订是否完整，并根据需要添加您保存在 Travel ID 个人资料中的信息。未经您的同意，任何数据都不会被覆盖。

您的航班预订概览时间范围为 10 年，并包括创建和显示航班统计数据等。
如果您将您之前在汉莎航空集团航空公司的客户个人资料变更为 Travel ID 个人资料，则您用以前的客户个人资料进行的航班预订也将显示在您的 Travel ID 个人资料中。

处理您的数据的法律依据是根据 GDPR 第 6(1)(b) 条履行合同。

我们使用您在 Travel ID 个人资料中输入的数据为您提供个性化服务。我们会处理您注册期间或之后在 Travel ID 个人资料中输入的数据，以及我们记录的数据，例如通过 Travel ID 进行航班预订时输入的数据。这其中也包括航班延迟、取消及行李问题。我们也会对因您向服务中心提出咨询以及其他互动（例如与飞机上的机组人员互动）而产生的数据进行处理

基于这些处理，我们能够改进投诉管理系统，并且在我们的所有联络点向作为 Travel ID 客户的您提供个性化服务。您向服务中心提交的查询将显示在 Travel ID 个人资料中，您可以对其进行管理。

处理您的数据的法律依据是根据 GDPR 第 6(1)(b) 条履行合同。

如果您通过您的 Travel ID 个人资料使用过 Travel ID 运营商提供的产品和服务，我们可能希望就这些服务与您取得联系，例如，在我们多次无法为您提供所承诺服务的情况下。为此，我们会使用关于任何问题和客户反馈、事件次数和严重程度、旅行和服务偏好，以及您 Miles & More 飞常里程汇会员资格相关事件等事项的数据。

处理您的数据的法律依据是我们根据 GDPR 第6(1)(1)(f) 条享有的正当利益。

如果您属于一个或多个客户群体（例如学生），您可以对您的客户群体会员身份进行验证，并将身份确认保存在您的 Travel ID 个人资料中。例如，如果您稍后在登录状态下预订行程，我们便可以使用您 Travel ID 个人资料中存储的客户群体身份状态来检查您是否有权申请特定客户群体礼遇。

处理您的数据的法律依据是您根据 GDPR 第 6(1)(a) 条授权的同意。

您有权随时撤销您对客户群体身份确认的同意，但该同意撤销后不会影响此前基于该同意已经执行的任何处理的合法性。您可以通过在 Travel ID 个人资料里的“客户群组”中删除确认信息来执行此操作。

您所享有的特殊条件以及减免优惠一经失效，将自动删除。

您可以选择将旅行证件（例如护照或签证）保存在您的 Travel ID 个人资料中。此类数据将会被单独保存在一个安全的数据库中。如果您登录并预订了需要您持有特定旅行证件的旅行，我们将使用在您的 Travel ID 个人资料中保存的信息来自动填充您的航班预订。如果您的航班预订中已经包含您的旅行证件详细信息，则不会触发该流程。

处理您的数据的法律依据是您根据 GDPR 第 6(1)(a) 条授权的同意。

您有权随时撤销您对使用旅行证件数据的同意，但此类撤销不会影响撤销之前基于此同意已经执行的任何处理的合法性。为此，您可以在您的 Travel ID 个人资料的“个人证件”中删除您的旅行证件。

您的旅行证件一旦失效，将自动删除。

如果您预订了航班，汉莎航空集团航空公司将联系您，告知您有关航班的可能的额外服务。这些额外服务可能包括汉莎航空集团航空公司的航班相关服务，例如高级餐食或升舱，还包括汉莎航空集团航空公司合作伙伴公司（汉莎航空集团航空公司合作伙伴公司的相关信息：奥地利航空公司、布鲁塞尔航空公司、欧洲之翼公司、Discover Airlines、汉莎航空公司、瑞士国际航空公司）的额外服务，以及租车或保险公司服务。为此，我们会对您的 Travel ID 个人资料和汉莎航空集团航空公司中存储的您的相关数据（例如航班数据和偏好）进行处理。

处理您的数据的法律依据是您根据 GDPR 第 6(1)(a) 条授权的同意。

您在注册过程中或之后在您的 Travel ID 个人资料中提供本同意，并可以随时在您的 Travel ID 个人资料中进行管理。

Travel ID 运营商的促销联系人

如同本隐私声明中“个性化优惠设置”章节所述，您可以选择授予同意以确定您感兴趣的主要领域，以此为基础通过数字通信渠道（例如通过电子邮件、短信/彩信、信使服务、搜索引擎、视频、网幅广告）、通过电话或汉莎航空集团航空公司的网站来发送汉莎航空集团航空公司及其各自的合作伙伴公司（汉莎航空集团航空公司合作伙伴公司的相关信息：​​奥地利航空、​布鲁塞尔航空、​欧洲之翼、Discover Airlines、​汉莎航空公司、​瑞士国际航空公司）的信息和个性化优惠。

此外，您可以向 Miles & More GmbH 授权，向您发送与 Miles & More 飞常里程汇奖励计划会员关系相关的优惠（如果您还不是 Miles & More 飞常里程汇奖励计划的会员）。

由于我们只想向您提供您真正感兴趣的信息和优惠，经您同意后，我们会处理汉莎航空集团航空公司存储的预订信息，例如旅行路线、旅行期限和预订舱位，以及保存在您的 Travel ID 个人资料中的偏好项。例如，我们可能会分析与您未来行程相关的信息，从而向您发送适合您旅程的附加服务或者旅行目的地可用服务的优惠或者优惠券。

通过比对客户数据（CRM 数据匹配）进行个性化广告宣传

在合作伙伴或广告商的网站上识别您的身份，是向您提供为您量身定制的个性化信息和优惠的方法之一。

为此，我们会用德国联邦安全办公室推荐的“强加密”方法（即 SHA 256 哈希算法加密）加密您的 Travel ID 个人资料中保存的电子邮件地址和/或电话号码，然后传输至“净室”。数据净室是不受外部技术影响、处理个人数据的安全环境。它旨在促进广告公司（在本隐私声明中，指 Travel ID 运营商和广告领域合作伙伴或提供商）之间的数据交换，同时尽可能保护各自客户的隐私。为此，合作伙伴或广告公司也使用相同的加密方法将客户数据提供给数据净室。作为数据比对的一部分，命中（数据匹配）将发送给所谓的受众（群体），它们最终可能由 Travel ID 运营商进行分析，并出于广告目的进行处理。我们将仅在相应数据处理合同签订后，向我们选择的广告领域合作伙伴和提供商授予访问我们向数据净室传输的数据的权限。

我们确保会使用更强大、更安全的加密和/或扩展技术，具体取决于技术开发和营销商的支持技术。

通过 Google Customer Match 进行 CRM 数据匹配

就通过 Google Customer Match 进行 CRM 数据匹配而言，我们会根据“通过客户数据匹配（CRM 数据匹配）发送个性化广告”部分中描述的流程，向 Google 运营的数据净室提供加密数据。在该数据净室中，Google 将把我们提供的数据与使用相同的 SHA 256 哈希算法加密的 Google 账户客户的数据进行比对。之后，Google 会将匹配项汇总到被称为“受众”的列表中。这个过程完成后（最多 48 小时），加密数据将被立即删除。如果您属于此类受众，那么当您使用 Google 平台上网时，Google 能识别出您的身份并向您展示我们的个性化广告。

在 Google Customer Match 中处理您个人数据的前提条件是，您拥有一个 Google 账户并且已授权 Google 在其中显示个性化广告。您可以在 Google 用户账户的隐私选项卡下依照自己的偏好来变更此设置。

在 GDPR 定义的 Google Ads/Google Customer Match 范畴内处理个人数据的控制方是 Google Ireland Ltd (Gordon House, Barrow Street, Dublin 4, Ireland)。Google Ireland Ltd 是 Google LLC 的子公司，其总部设在美国加利福尼亚州，受加利福尼亚州法律管辖，因此可能也必须授予对在美国境外处理的数据的访问权限。

您可以在《Google 隐私声明》中找到有关 Google 处理您的个人数据的更多信息。

通过 Meta 进行客户数据匹配，来发送个性化广告

为了面向潜在的新客户或 Facebook 和 Instagram 等 Meta 平台上的潜在客户显示个性化广告，并衡量我们的广告活动的表现，我们会同时通过 Meta Conversion API 使用 Meta Platforms Ireland Limited（4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Ireland，下称“Facebook”）推出的 Meta Pixel 技术。为此，我们会记录对我们网站的访问以及您的航班搜索和预订，并使用 SHA 256 哈希算法将这些数据以加密形式传输给 Facebook。Facebook 会使用这些数据自行确认拥有类似兴趣的客户群体，让我们可以在 Facebook 和 Instagram 上向这些客户群体展示广告。我们还可以选择向尚未做出决定的客户展示航班搜索相关的优惠。

Meta Platforms Ireland Limited 是 Meta Platforms Inc. 的子公司，其注册总部位于美国加利福尼亚州，受加利福尼亚州法律管辖。因此可能也有义务提供对在欧盟境外处理的数据的访问权限。
我们与 Meta 是在此过程中收集和传输数据的联合控制方。我们与 Meta 签署了相应的协议，管理我们作为联合控制方的责任。

您可以在《Facebook 隐私声明》中找到有关 Facebook 处理您的个人数据的更多信息。

您可以通过 Facebook 提供的在线联系表单联系 Facebook 的数据保护官。

处理“个性化广告宣传”部分中所列的您的所有数据的法律依据是您根据 GDPR 第 6 (1)(a) 条授权的同意。

您在注册过程中或之后在您的 Travel ID 个人资料中提供本同意，并可以随时在您的 Travel ID 个人资料中进行管理。
您还可以通过调整宣传设置，自行决定您希望接收我们提供的信息和个人优惠的程度。您也可以在 Travel ID 个人资料中撤销您对个别领域（例如对电子邮件新闻简报）的营销宣传的同意。

如果您有 Travel ID 个人资料，且您的 Travel ID 个人资料未关联至 Miles & More 飞常里程汇会员账户，则汉莎航空集团航空公司将相互交换您的数据，以便为您提供《Travel ID 使用条款及细则》中规定的服务。Miles & More GmbH 将仅从您那里接收有关管理您的 Travel ID 个人资料所需的数据（例如联系方式、出生日期和您自愿存储的个人资料数据），并且不会出于自身目的处理这些数据。

如果您已将您的 Travel ID 个人资料与您的 Miles & More 飞常里程汇会员账户关联，则 Travel ID 运营商将会相互交换您的数据，以便为您提供《Travel ID 使用条款及细则》中规定的服务。您可以自行决定是否进行关联。关联之后，Travel ID 个人资料和 Miles & More 飞常里程汇账户将执行数据同步。具体而言，您在两个账户中储存的数据将按照以下方式传输：

所有主数据（如姓名、出生日期、邮政地址、电话）和偏好（如首选出发机场）都自动由您的 Miles & More 飞常里程汇账户传出。电子邮件地址将从您的 Travel ID 个人资料中提取。

传输您的数据的法律依据是根据 GDPR 第 6(1)(b) 条履行合同。

如果您已授权 Miles & More GmbH 进行个性化广告宣传（参阅“个性化广告宣传”章节），则为实现此目的，Miles & More GmbH 也将处理您的航班数据（例如您的航线、客舱等级、出发机场、目的地机场）。

您的客户群体身份状态由我们委托的数据处理商 SheerID, Inc. 进行验证，其注册办公室位于美国。数据根据《欧盟-美国数据隐私框架》进行传输，SheerID, Inc.已在此框架下获得美国商务部的认证。

原则上，您的个人数据也将在欧盟范围内进行处理。

您首次登录 Travel ID 运营商的网站或其他联络点时，我们会要求您输入详细的访问信息。为了在会话期间识别您，我们设置了一个“登录”Cookie。借助此 Cookie，您无需再次输入您的 Travel ID 登录凭据，即可访问其他 Travel ID 运营商的网站。

登录 Travel ID 运营商的网站时，您还可以选择主动启用“保持登录”功能，这意味着您结束会话后重新访问网站时无需再次登录。

为此，我们还使用 Cookie 来在您再次访问网站/触点时自动识别您的身份。

“保持登录”功能到期后，您需要再次登录。此外，如果您正在执行需要增强安全级别的活动，系统都将提示您重新登录。

处理您的数据的法律依据是您根据 GDPR 第 6(1)(a) 条授权的同意。

我们在本隐私声明所述处理目的所需的范围和时间内处理您的数据。

如果处理您的数据的目的不再适用，这些数据将会被删除，但为实现以下目的而需要保留这些数据的情形除外：

• 遵守因商业法或税法规定的义务而确定的法定保留期限。这些期限可能长达十年。
• 合法要求的主张、行使或抗辩

在这些情况下，处理您的数据的方式将受到限制（“冻结”），我们无法继续出于其他目的处理该数据。

如果您不再希望使用 Travel ID 服务，则可以随时删除您的 Travel ID 个人资料。我们收集的与您使用 Travel ID 相关的个人数据将被立即删除，但可能存在与法定保留要求以及义务相冲突的情况。

您可以登录 Travel ID 个人资料，并自行删除 Travel ID 个人资料，以及您在 Travel ID 个人资料中提供的任何特定数据项。

如果您未在确认电子邮件中所述期限内确认注册，或者您收到了含激活链接的确认电子邮件三次以上而您仍未确认，则我们也将删除您的临时 Travel ID 个人资料。

经过一段特定静止期后，我们也会删除您的个人资料（查看“关于您的 Travel ID 个人资料的通知”一节）。

您的权利

作为数据主体，您可以在存在相应法定条件的前提下行使以下权利

• 知情权，GDPR 第 15 条
• 修正权，GDPR 第 16 条
• 删除权（“被遗忘权”），GDPR 第 17 条（同样参见本《Travel ID 隐私声明》的“删除您的 Travel ID 个人资料”一节）
• 限制处理权，GDPR 第 18 条
• 数据迁移权，GDPR 第 20 条
• 反对权，GDPR 第 21 条（同样参见本《Travel ID 隐私声明》的“GDPR 第 21 条的反对权”部分）

如果我们在征得您同意的基础上处理您的数据，您有权随时撤销同意，但此类撤销不会影响之前基于此同意已经执行的任何处理的合法性。

如需行使您的权利，您可以通过本隐私声明中的“您可以联系谁”部分联系相应的 Travel ID 运营商。为了处理您的申请并识别您的身份，我们将根据 GDPR 第 6 (1)(c) 条处理您的个人数据。

您也可以随时在您的 Travel ID 个人资料中，自行查看大多数主数据的当前状态。如有任何更改（例如更改了电子邮件地址或电话号码），请立即更新您的个人数据。要删除您的 Travel ID 个人资料，您也可以按照“删除您的 Travel ID 个人资料”一节所述进行操作。

您还有权根据 GDPR 第 77 条向监管当局投诉。

相关监管当局

您可在下方找到负责 Travel ID 运营商的所有数据保护机构的列表。

德国汉莎航空公司、EW Discover GmbH 和 Miles & More GmbH 的相关监管当局为：

The Officer for Data Protection and Freedom of Information of the State of Hesse
Postfach 3163
65021 Wiesbaden
Germany

电话：+49 - 611 - 14 08 - 0
传真：+49 - 611 - 14 08 - 900 或 - 901

电子邮箱：poststelle@datenschutz.hessen.de

欧洲之翼航空公司的主管监管当局为：

Regional Officer for Data Protection and Freedom of Information
State of North Rhine-Westphalia
Postfach 20 04 44
40102 Dusseldorf
Germany

电话：+49 - 211 - 38 424 - 0
传真：+49 - 211 - 38 424 - 999

电子邮箱：poststelle@ldi.nrw.de

奥地利航空公司的主管监管当局为：

Austrian Data Protection Authority
Barichgasse 40-42
1030 Vienna
Austria

电话：+43 - 52 - 152 - 0

电子邮箱：dsb@dsb.gv.at

瑞士国际航空公司的主管监管当局为：

Federal Data Protection and Information Commissioner
Feldeggweg 1
3003 Bern
Switzerland

电话：+41 - 58 - 46 24 395
传真：+41 - 58 - 46 59 996

对于受 GDPR 约束的数据处理：

The Officer for Data Protection and Freedom of Information of the State of Hesse
Postfach 3163
65021 Wiesbaden
Germany

电话：+49 - 611 - 14 08 - 0
传真：+49 - 611 - 14 08 - 900 或 - 901

电子邮箱：poststelle@datenschutz.hessen.de

布鲁塞尔航空公司的主管监管当局为：

Autorité de protection des données
Gegevensbeschermingsautoriteit
Data Protection Authority
Rue de la presse 35, 1000 Brussels
Belgium

电话：+32 - 2 - 27 44 800

电子邮箱：contact@apd-gba.be

您有权根据自身的具体情况，随时对基于 GDPR 第 6(1)(f) 条处理您的个人数据表示反对。

如果您提出反对，我们将不再处理与您有关的个人数据，除非我们能够证明处理数据时存在超过您的利益、权利和自由的强制性法定处理理由，或者如果处理数据是为了执行、行使或捍卫合法要求。

如果您反对我们出于直接营销目的处理您的个人数据，则我们将不再出于这些目的处理您的个人数据。

您可以随时反对处理您的个人数据，例如，通过“您可以联系谁”一节中指定的联系人。

我们使用技术和组织安全措施，以保护您的数据免遭意外或故意篡改、丢失、删除或未经授权人员的访问。随着新技术的不断涌现，我们的安全措施也在日益改进。

对于本《Travel ID 隐私声明》所述的处理操作，我们可能会向以下类别的接收方披露您的数据：

• 我们根据 GDPR 第 28(3) 条，基于委托处理合同与之合作的服务供应商；
• 政府机构和当局，例如因警务活动和调查活动。

在此背景下，个人数据可能会在全球范围内被传输至第三国/地区或国际组织。为了保护您及您的个人数据，我们将根据并遵守法律规定，对此类数据传输采取适当的安全措施。

如果此类传输是向欧盟委员会或相关当局尚未发布适当性决定的第三国/地区进行，则我们将使用欧盟标准合同条款。关于欧盟标准合同条款的信息，请参阅欧盟网站。

在特殊情况下，例如基于同意、与法律诉讼有关或签署合同所必要的情形下，向没有充分保护的国家/地区传输也是受到允许的。

我们将定期审核本《Travel ID 隐私声明》并根据需要进行更新。如果本《Travel ID 隐私声明》有重大变更，我们将告知您（例如通过我们的网站）。