隐私政策
1. 简介
本隐私声明(简称“声明”)阐述了 OSIRIS TRAVEL & EVENTS 如何保护我们员工、客户、合作伙伴或 OSIRIS TRAVEL & EVENTS 与其开展业务相关的任何其他实体的个人数据隐私。
作为一家旅行公司,OSIRIS TRAVEL & EVENTS 需要收集、使用和披露个人数据以履行业务职能和活动,包括代表客户进行和管理旅行预订。在 OSIRIS TRAVEL & EVENTS,我们致力于保护个人数据的隐私和机密性,并维护各种相关的物理、数字、人力和程序控制措施。
根据《通用数据保护条例》2016/679(简称“RGPD”),OSIRIS TRAVEL & EVENTS 是与我们在与客户或其他相关方的关系中共享的任何个人信息的“数据控制者”。
通过向我们提供个人数据,您同意本通知适用于我们处理个人数据的方式,并且您同意按照本通知中详细说明的方式收集、使用和披露个人数据。如果您不同意本通知的全部或部分内容,则不应向我们提供您的个人数据。如果您不向我们提供您的个人数据或根据本通知撤回您的同意,这可能会影响我们向您提供服务的能力或对所提供服务的质量产生负面影响。例如,大多数旅行预订必须使用旅行者的全名进行,并且必须包含联系方式和适当的身份证明(例如护照详细信息)。没有这些信息,我们将无法进行预订。在某些情况下,当地数据保护法可能规定比本通知中规定的做法更严格的处理措施。如果发生这种情况,我们将调整我们的数据处理实践以遵守此类当地数据保护法。
2. 我们收集哪些个人信息?
个人信息的含义由当地数据保护法赋予,在适用《通用数据保护条例》(GDPR)的情况下,则由GDPR赋予。个人信息通常指与可从该数据识别的在世个人相关的数据;或可通过将该数据与其他可用数据结合识别的在世个人相关的数据。
一般而言,我们收集的个人信息类型对于协助旅行安排、支持预订或代表客户安排旅行相关服务和/或产品至关重要。
为此,我们通常会处理以下类型的客户个人信息:
• 联系信息(例如姓名、家庭/邮寄地址、电话号码、电子邮件地址);
• 付款详情;
• 护照详情;
• 会员/常旅客计划详情;
• 有关饮食要求和健康状况的数据(如有);以及
• 与旅行安排相关或相关旅行服务提供商(例如航空公司、住宿或旅游提供商)要求的其他详情。
当我们的客户出于其他目的与我们联系时,我们也可能会收集与这些目的相关的个人数据。例如,我们可能会收集个人数据,以便就客户参加的比赛/活动与他们联系,或回复他们向我们提交的问题或评论。我们还收集 OSIRIS TRAVEL & EVENTS 及其关联实体业务活动所需的数据。这可能包括处理各种交易所需的财务信息、用于安全目的的视频监控图像或客户选择提供给我们的其他相关个人数据。
在某些情况下,我们可能会收集客户的个人数据,根据当地数据保护法,这些数据可能被视为敏感数据。敏感数据可能包括(但不限于)种族或族裔出身、哲学或宗教信仰或归属、性取向或性行为、犯罪记录和涉嫌犯罪行为、政治、专业或行业协会成员身份、生物特征和基因信息、财务数据和健康数据。我们仅会根据当地数据保护法,在获得数据主体明确同意的情况下,且在数据合理必要或与我们的一项或多项运营职能或活动(例如旅行)直接相关的情况下收集敏感数据,除非法律要求或允许。在当地数据保护法允许或要求的范围内,我们的客户同意我们仅出于收集数据的目的使用和披露其敏感数据,除非我们随后获得其用于其他目的的同意。例如,如果我们的客户向我们提供与其希望购买的旅行保险相关的健康信息,则他们同意我们在与推广此类旅行保险的实体的交易中代表他们使用和披露该健康信息。另一个例子是,当我们的客户因对某些度假套餐等感兴趣而披露其宗教信仰时,我们将使用和披露该信息以使其行程得以顺利进行。我们不会将敏感数据用于收集数据以外的其他目的,除非我们获得其用于其他目的的同意。
3. 我们如何收集个人信息?
我们仅根据当地数据保护法收集个人信息。我们通常会在与客户交易的过程中收集个人信息。除非情况不合理或不切实际,否则我们会直接从客户处获取这些信息。
一般而言,客户在以下情况下会收集个人信息:
• 通过电话、信函或电子邮件亲自联系我们;
• 访问我们的网站;或
• 通过社交媒体联系我们。
我们也可能会在客户进行以下活动时收集个人信息:
• • 购买或咨询旅行安排或其他产品和服务;
• 参加比赛或注册活动/促销活动;
• 注册接收营销信息(例如电子通讯);
• 索取宣传册或其他信息。
除非客户选择使用假名或匿名方式,否则我们也可能会在客户调查或提供反馈时收集个人信息。
在某些情况下,我们可能需要通过第三方收集客户的个人信息。这包括个人代表他人进行旅行预订的情况(例如,家庭预订、团体预订或雇主预订)。在这种情况下,我们已获得旅行预订人员的授权,代表预订中的其他旅客行事,并已获得该人员的同意,可根据本声明收集、使用和披露个人信息。如果客户发现其个人信息未经其同意被他人提供,或在向我们提供他人个人信息之前未获得其同意,则必须立即通知我们。
我们竭尽全力维护所存储个人信息的准确性和完整性,并确保所有个人信息均为最新信息。但是,任何感兴趣的人士如果其个人信息发生任何变更,或发现我们持有的个人信息不准确,均可立即联系我们(请参阅下文第13节)。对于因利益相关方或代表其行事的任何人提供的不准确、不正确、有缺陷或不完整的个人信息而造成的任何损失,我们概不负责。
4. 我们如何使用个人信息?
我们仅在以下情况下处理个人信息:
• 您已同意此类处理(您可以随时撤回,详见下文第8节);
• 处理对于提供我们的服务而言是必要的;
• 处理对于履行法律义务而言是必要的;和/或
• 处理对于我们或接收个人信息的第三方的合法利益而言是必要的(详见下文第5节和第6节)。
当客户就旅行咨询或预订与我们联系时,我们收集其个人信息的目的通常是为了向他们提供旅行建议和/或帮助他们预订旅行相关产品和服务。但是,收集个人信息的目的可能因本声明中规定的具体情况而异(例如,为参加比赛、提供反馈等而收集个人信息)。
当客户通过我们的支持进行预订或安排旅行相关产品和服务时,我们通常作为旅行服务提供商(例如酒店)的代理。在这种情况下,我们会根据需要处理个人数据以提供所需的服务。这通常包括为本声明中所述的内部目的以及为我们代理的旅行服务提供商(例如提供合同服务)收集个人数据。例如,如果您通过 OSIRIS TRAVEL & EVENTS 预订航班,我们将使用个人数据帮助您预订航班,并将个人数据披露给航空公司,以便他们提供航班服务。
我们可能会与我们的旅行服务提供商(酒店、航空公司、租车公司或其他与旅行预订相关的供应商)共享数据。这些旅行服务提供商也可能根据其各自的隐私政策使用个人数据,以获取更多信息,以方便预订行程或提供所需的服务。我们建议客户查看通过 OSIRIS TRAVEL & EVENTS 购买服务的任何旅行服务提供商的隐私政策。我们将根据要求提供旅行服务提供商所有相关条款、条件和隐私政策的副本。
我们作为全球数千家旅行服务提供商的代理或代表,因此本声明无法提及我们为其运营的所有旅行服务提供商(尤其是其所在地)。有关向 GDPR 范围之外的旅行服务提供商披露个人数据的更多信息,请参阅下文第 6 节。
如果您对将个人数据转移给旅行服务提供商有任何疑虑,或需要更多信息,请参阅本声明第 13 节。
我们收集个人数据的目的还包括:
• 提供客户选择使用的服务或工具(例如,将旅行偏好保存在我们网站的愿望清单中,或存储个人数据以便预先填写在线表格);
• 识别欺诈或错误;
• 遵守法律或法规;
• 开发和改进我们的产品和服务;
• 维护或增强与客户的关系,特别是通过创建和维护客户档案,使我们能够提供符合其偏好的服务;
• 市场调研,评估客户满意度并提供对我们所提供服务的反馈;
• 促进客户参与忠诚度计划;
• 与我们的业务和服务相关的分析,包括但不限于销售趋势和旅行目的地偏好;
• 内部组织和会计;
• 遵守适用于旅行的适用法律义务或海关/移民要求;以及
• 法律授权或要求的其他目的(例如,防止对生命、健康或安全的威胁,或行使 OSIRIS TRAVEL & EVENTS 的合法权利)。
在当地数据保护法允许的情况下,我们可能会使用个人数据开展与我们的(以及第三方)产品和服务相关的营销活动,我们认为这些活动可能引起客户的兴趣,除非客户要求不接收此类信息。此类活动可能包括但不限于电子邮件营销活动、数字营销和其他电子通知。如果客户选择接收数字营销材料(包括电子通讯、电子邮件、短信、彩信和即时通讯),个人数据将用于发送此类材料。客户可以通过点击我们网站上的相关链接或咨询我们的工作人员来注册接收电子通讯和其他促销/数字材料。
任何不希望接收我们发送的促销/营销材料、参与市场调研或接收其他类型通讯的人士,请参阅本通知的第 8 和 13 条。
5. 哪些个人信息会披露给第三方?
在 OSIRIS TRAVEL & EVENTS,我们不会出售、出租或交换个人信息。个人信息仅会根据本声明的规定以及当地数据保护法向第三方披露(注:本声明中的“披露”包括以口头或书面形式传输、共享、发送或向其他个人或实体提供数据)。
个人信息可能会披露给以下类型的第三方:
• 承包商、供应商和服务提供商,包括:
- 在第 4 节(“我们如何使用个人信息?”)中描述的每种情况下;
- 支持我们提供产品和服务的信息技术解决方案提供商(例如我们可能使用的任何第三方数据托管提供商);
- 营销材料的出版商、印刷商和分销商;
- 活动和展览组织者;
- 营销或市场咨询机构;
- 快递或送货服务;以及
- 外部顾问(例如律师、会计师、审计师或招聘顾问);
• 旅行服务提供商,例如旅行社、航空公司、酒店、汽车租赁公司、接送服务商和其他相关服务提供商;
• 我们向其转让或转移任何权利或义务的任何第三方;
• 代表他人进行旅行预订的人士(例如,家人、朋友或同事);
• 雇主,在公司、商务或政府旅行的背景下;
• 在无法联系到客户时,如果我们认为联系符合客户的最佳利益(例如,当该人关心客户的福祉或由于不可预见的情况需要代表客户采取行动时),我们会联系相关人员(例如,家人);
• 根据适用法律的要求或授权,并遵守 OSIRIS TRAVEL & EVENTS 的法律义务;
• 海关或移民服务机构,以遵守旅行相关的适用法律义务;
• 政府机构或公共机构,以遵守有效且授权的请求,包括法院命令或其他有效的法律程序;
• 监管或执法机构,包括出于欺诈保护和安全相关目的;以及
• 在怀疑存在非法活动且个人数据是调查或报告相关情况的必要组成部分的情况下,监管机构。
除上述情况外,未经同意,我们不会披露个人信息,除非我们认为披露对于减少或防止对个人生命、健康或安全、公共健康或安全的威胁,或为了采取行动(例如,预防、侦查、调查或惩治犯罪),或法律(包括适用的数据保护/隐私法)授权或要求披露是必要的。
在 OSIRIS TRAVEL & EVENTS 网站或社交媒体渠道上,用户可以选择使用我们合作的某些第三方功能。这些功能(可能包括社交媒体和地理定位工具)由第三方运营,并有明确的标识。这些第三方可能会根据其自身的隐私政策使用或共享个人数据。如果您认为这些工具相关,我们建议您查阅第三方的隐私政策。
6. 哪些个人数据会被转移到海外?
我们可能会向以下所述的某些海外接收者披露个人信息。我们确保此类国际转移对于履行我们客户与海外第三方之间的合同是必要的,或根据当地数据保护法(例如《通用数据保护条例》(GDPR))的要求,受到适当或充分的保障措施的约束。我们将根据要求提供相关保障文件的副本(请参阅下文第 13 节)。
个人数据可能会被转移到位于无法保证与《通用数据保护条例》(GDPR)规定的数据保护水平相当的司法管辖区的外国实体。在这种情况下,OSIRIS TRAVEL & EVENTS 对此类接收者处理、存储和处理个人数据的方式不承担任何责任。
a) 海外关联实体
OSIRIS TRAVEL & EVENTS 开展全球业务,业务遍及各大洲。个人数据可能会被披露给我们在海外的关联实体,以支持您预订行程和/或使我们能够提供行政、咨询或技术服务,包括此类数据的存储和处理。
b) 位于海外的旅行服务提供商
为了提供我们的服务,我们可能需要向海外的相关旅行服务提供商披露个人数据。我们与全球众多旅行服务提供商合作,因此相关旅行服务提供商的所在地取决于所提供的旅行服务。在大多数情况下,相关旅行服务提供商将在其提供服务的国家/地区或其公司所在地接收个人数据。
c) 我们位于海外的服务提供商
我们可能还需要向位于海外的服务提供商披露个人数据,以支持服务的提供,包括此类数据的存储和处理。我们通常会在旅行预订的背景下向此类海外接收者披露个人信息,以及/或使其能够代表我们提供行政和技术服务。
如果您对个人数据可能被发送到何处或发送给谁有任何具体疑问,请参阅本通知的第 13 部分。
7. 信息安全
在 OSIRIS TRAVEL & EVENTS,我们致力于保护个人数据,并实施和维护适当的技术和组织控制措施,以确保安全级别与以下风险相符:意外或非法销毁;丢失;未经授权的更改或披露;或对传输、存储或处理的个人数据的不当访问。OSIRIS TRAVEL & EVENTS 定期监控和审查安全控制措施,并努力以保护敏感商业信息的方式保护个人数据。
当个人数据不再与其业务相关或法律要求时,OSIRIS TRAVEL & EVENTS 会销毁或非个人化处理个人数据。
8. 与我们收集的个人数据相关的权利
如果 OSIRIS TRAVEL & EVENTS 收集了其个人数据的任何利害关系人希望:
• 更新、修改、删除个人数据或获取个人数据副本;或
• 限制或阻止 OSIRIS TRAVEL & EVENTS 使用任何个人信息,包括撤回先前授予的对此类信息处理的任何同意;或
• 获取已基于同意或履行合同所需而处理的个人信息副本。
利害关系人应通过本通知第 13 部分中列出的联系方式正式向 OSIRIS TRAVEL & EVENTS 提交请求。收到请求后,我们将提供请求证明,并告知您信息提供时间范围。
OSIRIS TRAVEL & EVENTS 将尽一切努力在一个月或更短的时间内回复此类请求,但对于复杂的请求,可能需要延长此期限。
此外,OSIRIS TRAVEL & EVENTS 保留因适用法律允许的任何原因拒绝访问信息的权利。如果访问或更正信息的请求被拒绝,我们将始终以书面形式告知拒绝的理由,除非这样做不合理或当地数据保护法有要求。
所有关于访问个人数据请求的沟通都必须以书面形式正式提交给数据保护官,联系方式见本通知第 13 节。
如果 OSIRIS TRAVEL & EVENTS 被要求通过撤回先前授予的个人数据处理同意来限制或停止使用个人数据,则提供服务的能力或服务质量可能会受到影响。例如,大多数旅行预订必须使用旅行者的全名进行,并提供联系方式和适当的身份证明(例如护照信息),如果没有这些信息,预订将无法进行。
与 OSIRIS TRAVEL & EVENTS 共享的个人数据必须准确无误,并且个人同意在必要时更新这些数据。此外,他们同意,如果未进行任何更新,OSIRIS TRAVEL & EVENTS 可假定所提供的数据是正确的。
任何个人均可随时要求 OSIRIS TRAVEL & EVENTS 停止发送营销信息,并可使用营销邮件中提供的取消订阅链接或通过本通知第 13 部分所示的联系方式进行取消订阅。
在上述任何情况下,均可要求提供有效的身份证明,以证明请求者的身份,从而确保 OSIRIS TRAVEL & EVENTS 履行其安全义务并防止未经授权披露个人数据。
OSIRIS TRAVEL & EVENTS 保留对任何明显毫无根据或过度的个人数据访问请求或任何额外个人数据副本请求收取合理行政费用的权利。
9. 社交媒体集成
OSIRIS TRAVEL & EVENTS 网站和移动应用程序可能会使用社交媒体功能和工具(例如“点赞”和“分享”按钮),简称“社交媒体功能”(SM)。这些功能由第三方公司(例如 Facebook)提供和运营,并由第三方公司托管或直接在我们的网站或移动应用程序上托管。社交媒体功能可能会收集与网站/移动应用程序上访问的页面相关的数据、您的 IP 地址,并可能设置 Cookie 以使 SM 功能正常运行。
如果您已激活社交媒体账户,您可能会与您的社交媒体账户共享您访问和使用我们网站或移动应用程序的数据。同样,与 SM 功能的互动也可能会被第三方记录。此外,第三方可能会根据其政策与 OSIRIS TRAVEL & EVENTS 共享个人数据,例如姓名、个人资料图片、好友列表或您选择提供的任何其他信息,我们也可能会通过社交媒体平台与第三方共享数据,用于定向营销目的。用户可以在社交媒体平台的隐私设置中管理数据共享并选择退出定向营销。
所有与社交媒体功能的互动均受提供这些功能的第三方的隐私政策约束。如需了解更多关于这些公司数据保护措施的信息,请直接查阅这些公司的隐私政策。
10. IP 地址
当用户访问网站、使用任何移动设备或数字组合时,OSIRIS TRAVEL & EVENTS 的服务器可能会记录与用户所用设备或网络相关的数据,包括 IP 地址。IP 地址是用于标识计算机的一串数字,通常在访问互联网时分配。
OSIRIS TRAVEL & EVENTS 可能会使用 IP 地址来管理系统、调查安全问题以及收集有关网站和/或移动应用程序使用情况的匿名数据。IP 地址还可能与其他个人数据相关联,用于上述目的(例如,在用户选择接收数字营销信息的情况下,更好地定制营销和广告材料)。
11. 跟踪技术/Cookie
OSIRIS TRAVEL & EVENTS 可能会在其网站和移动应用程序上使用外部提供商的网络分析服务,例如“Cookie 政策”中列出的服务。这些服务提供商可能会使用 Cookie 和网络信标等技术来帮助分析访问者在网站和应用程序上的行为。
有关 Cookie 和追踪技术使用的信息,请参阅 OSIRIS TRAVEL & EVENTS 的 Cookie 政策。
12. 链接网站
OSIRIS TRAVEL & EVENTS 网站可能包含指向第三方网站的链接,OSIRIS TRAVEL & EVENTS 对这些网站没有控制权。我们对任何链接网站的隐私惯例或内容概不负责。OSIRIS TRAVEL & EVENTS 建议您阅读所访问的任何链接网站的隐私政策,因为它们的隐私政策和惯例可能与 OSIRIS TRAVEL & EVENTS 的隐私政策和惯例有所不同。
13. 反馈/投诉/联系方式
如果您对本声明或个人数据处理有任何疑问、意见或投诉;如果您希望告知 OSIRIS TRAVEL & EVENTS 个人数据的变更或更正;如果您希望获取 OSIRIS TRAVEL & EVENTS 处理的个人数据信息;或有任何与数据保护相关的投诉或意见,请通过以下联系方式联系 OSIRIS TRAVEL & EVENTS 的数据保护官:
姓名:卡洛斯.席尔瓦
邮箱: geral@osiris.pt
地址:Av. Marquês de Tomar nº 35A, 1050-153 Lisbon, Portugal
OSIRIS TRAVEL & EVENTS 将尽快回复收到的所有问题或投诉。
14. 声明变更
本声明可能会不时变更。如果本声明有任何变更,修订版本将在 OSIRIS TRAVEL & EVENTS 网站上发布并注明日期。如有必要,除更新本声明外,还可能要求您就某些类型的处理征求同意。
本隐私声明最后更新于 2018 年 5 月 25 日。
