波兰航空公司LOT的隐私政策和cookie政策。
最近更新时间 [28.10.2021]。
I. 一般信息
本隐私政策(「政策」)适用于总部设于华沙的波兰航空公司(「PLL LOT」或「我们」)的乘客(「乘客」),以及我们通过网站www.lot.com(「网站」)向其提供电子服务的人,以及我们处理使用移动应用程序、我们的社交媒体资料和接受我们提供其他在线内容或服务的一部分的个人(统称「用户」)的数据。所提供电子服务的服务条款内容可在此查阅。我们在下文中将网站、我们的移动应用程序和我们的社交媒体资料,以及我们可能提供的其他在线内容或服务统称为「网站服务」。
在相关适用的个人资料保护法的意义上,包括2016年4月27日欧洲议会和理事会关于个人资料处理方面保护自然人和此类资料的自由流动并废除第95/46/EC号指令《一般资料保护法》(RODO)的规定,用户的个人资料管理员是PLL LOT。
也可以通过填写联系表或写信至我们总部等方式与我们联系,地址为ul. Komitetu Obrony Robotników 43, 02-146 Warszawa。
我们已指派资料保护专员 - 用户可在所有与个人资料处理和行使与资料处理相关权利的有关事项上与该人联系。
可以通过电子邮件:iod@lot.pl, 或填写联系表等方式与资料保护专员联系,或以书面形式寄至我们总部:ul. Komitetu Obrony Robotników 43, 02-146 Warszawa。
II. 用户有哪些权利?
根据《一般资料保护法》第15-18条和第20-21条的规定,用户可以在任何时候行使以下权利:
a) 访问个人资料的权利。
b) 要求更正个人资料的权利。
c) 要求删除个人资料的权利。
d) 限制个人资料处理的权利。
e) 个人资料转移的权利 – 即从PLL LOT接收结构化的、通用的、机器可读IT格式的个人资料的权利;个人资料转移的权利适用于根据合同或同意而处理的资料。
f) 反对个人资料处理的权利 – 如果资料处理符合PLL LOT的合法权益。
此外,如果是在同意的基础上处理个人资料,用户有权在任何时候撤回对资料处理的同意。撤销同意并不影响在撤销同意之前基于同意进行的处理的合法性。
要行使上述权利,用户应电话联系24小时客户服务中心0 801 703 703、售票处或资料保护专员:iod@lot.pl。
用户也有权向负责个人资料保护的监督机构提出申诉。PLL LOT的监督机构为个人资料保护公署的署长。
III. 我们处理用户的哪些个人资料?
我们处理以下类别的个人资料:
· 技术数据:包括浏览器的类型和版本、用户使用的操作系统、用户被引荐到本网站的网站(引荐网站的URL),以及互联网服务提供商或移动网络运营商的数据、互联网协议(IP)地址、cookie和本政策第十一章中详细描述的类似技术、设备标识符、MAC物理地址、设备和浏览器设置等。
· 分析数据:有关网站使用的数据,包括访问的子页面、查看的内容、下载的文件、采取的其他行动、使用特定功能的方式、预订历史记录、与我们签订的合同和我们提供的服务,以及与我们、我们的内容或我们通信的其他互动,包括由第三方服务提供商(如Adobe)提供的在内。
· 其他来源的数据:人口数据、地理数据、与第三方服务供应商互动的数据。
· PLL LOT账户数据:包括职称、姓名、性别、手机号码、电子邮件地址、通信地址、忠诚计划卡号、预订历史记录、与我们签订的合同和服务、用户偏好等。
· 有关运输合同的数据:包括乘客的出生日期、乘客性别、乘客名字和姓氏、乘客国籍、乘客居住国、乘客旅行证件的有效期、乘客旅行证件的识别码、签发乘客旅行证件的国家、乘客旅行证件的类型、客户的名字和姓氏、客户的国籍、客户的电话号码等。
· 有关营销通信的数据,包括姓名和联系方式(电话号码、电子邮件地址)、先前的预订信息,如果乘客有未完成的预订 – 所选择的出发地和目的地机场、航班是单程还是来回、出发/到达日期和时间、乘客人数、选择的票价类型、总票价、乘客是否订阅通讯、预订类型、所选服务、在网站/应用程序上选择的语言等。
· 与安全有关的数据,如用户姓名、地址、电话号码、IP地址、地理位置数据、预订和交易历史记录、信用卡/借记卡数据、索赔和投诉信息等。
特殊类别数据(敏感数据)处理:在某些情况下,LOT波兰航空公司会处理特殊类别的个人数据(敏感数据),如有特殊需求的行动不便乘客等与健康状况有关的数据。
IV. 我们处理个人资料的目的、依据和时间长度为何?
PLL LOT基于以下的法律依据,出于以下指明的多项目的处理用户的个人资料,并在以下指明期限内保存这些数据:
V. 自愿或义务提供数据
根据处理个人资料的目的,提供这些数据可能是合同签订的条件(例如签订运输合同),也可是自愿的,但对于我们在网站内所提供的服务使用,或者对于用户服务而言却是必要的,包括处理投诉或索赔。
以促销、广告和营销为目的所提供的个人资料是自愿性。
VI. 数据来源
一般来说,我们处理的数据是从用户那里收集的,用户通过填写适当的表格提供给我们,例如预订或创建LOT波兰航空公司账户时。我们还可以通过观察(例如网站的使用方式)或建立用户统计资料或用户档案来收集用户数据。我们还可能从我们的合作伙伴处获得用户数据,例如在营销或销售活动中,我们获得关于合作伙伴用于推广或销售我们的服务或我们针对用户的活动的有效性的数据(例如,通过合作伙伴的服务使用我们服务的用户的互联网ID),以及使我们能够对可能对我们产品感兴趣的用户进行营销或广告活动的数据(例如用户所属的人口、地理、兴趣或偏好群体等,以及使我们能向其显示内容的互联网ID)。
VII. 乘客的个人资料处理 – 补充信息
为了提供乘客安全且合法的旅程,在此通知您,PLL LOT波兰航空公司将处理乘客的个人资料,以履行法律规定的义务。乘客数据处理的目的:
i) 满足乘客的过境要求,包括目的国的移民、海关和其他过境要求。
ii) 防止和打击恐怖主义和其他国际犯罪,包括将乘客数据与对飞航安全构成威胁的乘客名单进行比对。
iii) 提供乘客安全的旅行,并针对欧盟和美国之间的旅行将美国安全列入考量。
在欧盟和美国之间旅行的乘客的个人资料的处理规则在本政策的第十二章中有详细说明。
VIII. 我们将用户数据保留多长时间?
用户个人资料的保留期限取决于处理的目的。我们在执行政策中规定的目的所需期限内存储个人资料,包括法律要求的期限或索赔时效期满。详细信息见本政策第四章。但请注意,在欧盟和美国之间旅行的乘客的行程和预订的个人资料被称为 "乘客姓名记录 "或 "PNR"(英语为 Passenger Name Record),以下简称为“PNR数据”将被保存在本政策第十二章规定的期限内)。
IX. 个人资料的转移
PLL LOT波兰航空公司可能会与其他个人、当局、机构和承运人共享用户的个人资料,这些人根据适用法律和国际协议获授权接收这些信息,或者是为实现波兰航空公司或数据接收者的合法合理目的而进行的转移,包括在满足目的国移民、海关和其他过境要求等。
PLL LOT也可能将用户的个人资料转移给其供应商,并将个人资料的处理外包给他们,例如托管服务的供应商,分析、广告和营销服务的供应商,发送营销通讯的工具或提供网站经营、维护和管理领域服务的实体等。这些实体通常会根据与PLL LOT的委托协议处理数据,并只按照其指示进行。基于合法权益或同意下,我们也可能与我们的广告和营销合作伙伴共享用户数据,包括分析和营销服务提供商在内,他们将作为独立管理人来处理这些数据。
如果我们在Facebook和Instagram社交网络上的PLL LOT个人资料中处理用户活动的统计数据,以及在网站或移动应用程序中使用Facebook像素或插件的情况下,用户数据将由PLL LOT和Facebook Ireland Limited共同管理,以创建这些网站的汇总统计数据。指定共同管理范围的安排,包括处理用户数据的责任原则,可以在以下网址找到:https://www.facebook.com/legal/terms/page_controller_addendum。根据这些原则,Facebook承诺承担为统计目的处理用户数据的主要责任,并遵守《一般资料保护法》中规定的其他相关义务。
我们可能会将用户数据传输给我们位于欧洲经济区("EEA")以外的合作伙伴、供应商和分包商。在此情况下,我们会采取特别的安全措施,尽一切努力将数据转移给经欧盟委员会认可的为个人资料提供充分保护的国家(名单见这里),或签署欧盟委员会批准的标准合同条款,并在适用情况下实施额外的合同、技术和组织措施(您可以按照本政策第一章的指定方式联系我们,以获得此类条款或其他安全措施的副本)。
X. 个人资料的保护
我们向您保证,我们将尽一切努力,确保在处理用户个人资料时,最大限度地尊重其隐私,并关注所处理的个人资料的安全性,尤其是确保我们已采取法律规定的所有措施,以保护所提供给我们的数据,包括以下各项:
a) 我们采用适当的技术和组织措施,确保所处理的个人资料的保护程度与数据被处理者的权利和自由受侵犯的风险相称。
b) 我们在确定处理方式(在所谓的 "设计阶段")和处理过程中都采取a)点所提到的措施,同时将技术水平、实施成本以及数据处理的性质、范围、背景和目的皆列入考量。
c) 我们依照默认的数据保护原则来处理数据。
d) 我们保护数据不受意外或非法破坏、丢失、修改、未经授权的披露或未经授权的个人资料访问。
e) 我们依法律规定保存文件,包括适当的数据保护政策。
f) 我们只允许有适当授权的人处理数据。
g) 我们保留授权处理个人资料的人员的记录。
h) 我们确保控制哪些个人数据,何时和由谁传送给我们,以及被传送给谁。
我们特别使用以下技术措施来防止未经授权者获得通过本网站处理的信息和个人资料:
a) 以VPN隧道和加密的SSH连接形式的加密措施。
b) 亚马逊防火墙系统。
c) 使用RSA和DSA密钥进行认证。
与使用电子服务相关的特定风险:未经授权访问有关用户的信息。
XI. Cookie和相关技术
此为小文本文件,通常包含匿名、独特的标识符。Cookie是在用户的浏览器加载网站时创建,网站向浏览器发送信息,然后浏览器创建文本文件。用户每次返回同一网站时,浏览器都会下载并向网站的服务器发送此类文件。关于使用cookie的更多信息见 https://wszystkoociasteczkach.pl/.
此外,我们还使用其他技术(如跟踪脚本(像素、网络信标),以及应用程序中的所谓软件开发工具包(通常缩写为SDK))来执行类似的功能,使我们能够监测和改进服务和电子邮件通信。当我们在本政策中提到cookie时,该术语也包括此类类似技术。用户可以在本政策的其他章节找到更多我们在数据和隐私保护做法上的信息,以及通过cookie收集的个人资料的处理目的。
根据使用目的不同,我们使用的cookie可以分为以下几类:
a) 不可或缺的cookie文件
这些文件为网站提供基本功能所必须,没有它们,就无法使用所要求的服务,如登录波兰航空公司账户或填写预订表格等。如果关闭这些cookie文件,用户可能就无法使用网站的部分内容(例如登录波兰航空公司账户、填写预订表格等)。这些文件为确保网站使用安全所必须。
b) cookie分析性文件
这些文件帮助我们改善和优化与使用网站相关的用户体验,使我们能够衡量网站的使用方式,以便能改善其性能和适用舒适度(包括测试新功能或修复错误)。这些文件用于收集技术和分析数据,如最近访问的网站页面、访问的页面数量、查看电子邮件通信的信息、对网站和电子邮件通信特定部分的点击信息,以及点击之间的时间等。
c) cookie功能性文件
我们可使用一些并非使用网站所必需的cookie文件,但它们允许使用某些功能。这些文件收集有关用户与网站上所提供服务的互动信息,并可用于记忆用户的偏好(如语言/货币选择)、兴趣和页面呈现方式(如字体大小)等。当用户想要使用某网站上的特定功能时,我们可能会征求其同意使用此类cookie文件。
d) cookie广告文件
我们使用这些文件来收集有关使用网站的信息,以便依照用户的潜在兴趣或偏好定制广告。它们还用于限制同一广告的显示次数,并衡量广告活动的有效性。我们可能会与协助管理在线广告的第三方共享这些信息 - 更多详细信息请参阅以下《第三方》内文。
第三方
用户对网站的使用可能会导致使用某些我们无法控制的cookie文件。这可能发生在用户访问的网站部分使用第三方工具进行数据分析或营销自动化/管理,或包含从第三方网站,如YouTube或Facebook等所显示的内容。建议阅读这些服务的隐私政策和cookies政策,以了解这些实体如何使用cookie,以及来自cookie的用户数据是否会转移至第三国。以下提供在网站上放置cookie的第三方列表。
目的 |
第三方 |
保存期 |
分析 |
24个月 |
|
24 个月 |
||
|
24个月 |
|
|
24个月 |
|
功能 |
[] |
[] |
广告 |
12个月 |
|
13个月 |
||
|
24个月 |
|
|
24个月 |
|
|
12个月 |
|
|
12个月 |
|
社交媒体 |
[] |
我们将在多长时间内处理您的数据?
我们将从cookie中收集的信息保留[最长期限为24个月]。
您可以如何管理cookie?
用户可以随时通过点击[这里]访问和更改其cookie偏好。
浏览器设置
用户可以通过浏览器设置决定是否同意在其设备上也保存cookie。用户可在以下最受欢迎的浏览器的链接中找到更多关于浏览器所提供选项的信息,包括如何更改cookie保存设置以及如何删除已保存的文件等:
a) Microsoft Edge
b) Mozilla Firefox
c) Chrome
d) Opera
e) Safari
如果用户希望在电子邮件通信中避免使用cookie(网络信标),可以在电子邮件阅读程序的设置中进行更改,关闭能远程加载图像的功能并避免点击链接。
XII. 处理在欧盟和美国之间旅行的乘客数据的具体原则
鉴于波兰航空公司的乘客在欧盟和美国之间旅行,以下我们列出处理其个人资料的具体原则
a) 根据美国法律和欧盟与美国之间的国际协议,波兰航空公司将向美国国土安全部(以下简称'DHS')转移PNR数据。这些数据依照本政策第四章中所规定的目的进行转移。
b) 波兰航空公司将在旅行前收集的乘客信息(Advance Passenger Information - API,尤其是在办理登机手续时所收集的乘客护照信息)传送给边境管制当局。这些数据依照政策第四章中所规定的目的转移。
c) 关于DHS如何处理有关欧盟和美国之间航班的PNR数据的全面说明,请参阅美国联邦公报第64卷第131号第41543页所发布的国土安全部承诺("PNR承诺")。
d) 因欧盟和美国之间的航班而获得的PNR数据可能会与其他负责反恐或执行本政策第四章中规定的执法目的的国内外政府当局共享。
e) 部分属于《一般资料保护法》第9条所指的特殊类别的PNR数据可传输至PNR,如果其从航空承运人的共同预订或离境控制系统转移到DHS时。这种属于特殊类别的PNR数据包括有关乘客的种族或民族血统、政治观点、宗教信仰、健康或性取向的某些信息。DHS承诺不使用其从欧盟航空承运人的预订或离境控制系统收到的属于特殊类别的任何PNR数据。DHS已实施自动过滤程序,可防止使用特殊类别的PNR数据。
f) 来自欧盟和美国之间航班的PNR数据将由美DHS保留三年零六个月,除非在此期间DHS对这些特定的PNR数据进行手动访问。在这种情况下,PNR数据将在DHS额外保留8年时间。此外,与特定使用记录相关的信息将由DHS保留直至该记录存档。
g) 确保DHS所有部门以符合相关法律的方式处理个人信息的责任由DHS首席隐私官(The Department of Homeland Security Chief Privacy Officer)承担。DHS所有理事会,其调查结果对整个部门具有约束力。为确保DHS严格遵守规定并采取适当的安全措施,他将对该计划进行全面监督。
h) 任何乘客都可以要求DHS提供有关提供给DHS的PNR数据类型的额外信息,并要求提供DHS数据库中的数据副本。在《信息自由法(Freedom of Information Act)》和其他法律、法规和政策允许的范围内,无论乘客的国籍或居住国为何,DHS皆将对文件的申请要求列入考虑,包括DHS持有的PNR文件在内。DHS可以在某些情况下拒绝或推迟披露PNR数据的全部或部分内容(例如,如果有理由相信此作为将干扰进行中的法律程序或泄露执法机构在调查中使用的技术和程序)。如果DHS根据《信息自由法》规定的例外情况拒绝PNR数据访问,可以就该决定向DHS首席隐私官提出行政上诉,其代表DHS负责隐私保护和数据披露规则。根据美国法律,最终决定要接受司法审查。
i) 乘客可以通过联系以下办公室,要求更正其在DHS数据库中的PNR数据。DHS将其认为合理且有充分根据的纠正请求列入考量。
j) 有关提供给DHS的PNR数据的查询,或对DHS所持有与申请人相关的数据提供请求应邮寄至:Freedom of Information Act (FOIA) Request, U.S. Customs and Border Protection, 1300 Pennsylvania Avenue, N.W., Washington, D.C. 20229。,美国海关和边境保护局,1300 Pennsylvania Avenue, N.W., Washington, D.C. 有关提交此类请求程序的进一步信息,请参阅《联邦法规》第19条第103.5款。 如果有人想报告有关PNR数据的问题或投诉、提交更正请求,可邮寄至:Customs and Border Protection, 1300 Pennsylvania Avenue, N.W., Washington, D.C. 20229。20229。DHS的决定须经DHS首席隐私官审查,Washington,20528。查询、投诉或纠正PNR数据的请求也可向有关乘客的欧盟成员国的数据保护机构提出,以便日后可能的审议。
k) 如果投诉不能由DHS解决,投诉人可以写信至DHS的首席隐私官:Chief Privacy Officer of the Department of Homeland Security, Washington, DC 20528。首席隐私官将评估情况并致力解决争议,也可以通过国家数据保护机构(以下简称 "OOD")进行投诉,即个人资料保护署署长(UODO署长)。如果欧盟居民授权OOD处理其案件,首席隐私官承诺将代表欧盟居民处理从欧盟成员国数据保护机构所收到的投诉。
l) 关于航空公司如何使用个人资料的更多信息,可直接从特定国家的航空公司取得。
尽管有上述规定,向欧洲经济区以外的国家转移个人资料都必须遵守《一般资料保护法》第五章所规定的原则。