1.1 欢迎使用埃塞俄比亚航空公司(“ EA ”)隐私声明。 我们尊重您的隐私并致力于保护您的个人数据。本隐私声明告知您我们作为 EA 客户、潜在客户和供应商 如何处理您的个人数据,并提供有关您的隐私权以及法律如何保护您的信息。我们是数据控制者并对您的个人数据负责。
1.2 我们已任命一名数据保护官(“ DPO ”) 负责监督与本隐私声明相关的问题。如果您对本隐私声明有任何疑问,包括任何行使您的合法权利的请求,请使用以下联系方式联系。
2.1 我们的详细信息如下:
法人实体全称:埃塞俄比亚航空集团
电子邮件地址: customerrelations@ethiopianairlines.com
邮寄地址:1755
2.2 您有权随时就数据保护问题向您所在国家/地区的监管机构提出投诉。但是,我们希望有机会在您联系相关数据保护机构之前解决您的疑虑,因此请首先使用上述联系方式与我们联系。
3.1 本版本最后更新时间为2018年5月24日,历史版本可联系我们获取。本版本取代所有以前的版本,自本隐私政策生效之日起生效;即 2018 年 5 月 24 日。
3.2 我们持有的关于您的个人数据必须是准确和最新的,这一点很重要。如果您的个人数据在您与我们的关系期间发生变化,请随时通知我们。
4.1 个人数据是指与已识别或可识别的自然人(“数据主体”)有关的任何信息;可识别的自然人是可以直接或间接识别的人,特别是通过参考诸如姓名、身份证号、位置数据、在线标识符或特定于身体、生理、该自然人的遗传、心理、经济、文化或社会身份。它不包括已删除身份的数据(匿名数据)。
4.2 敏感的个人数据包括揭示种族或民族血统、政治观点、宗教或哲学信仰或工会成员身份的数据,以及为唯一识别自然人而处理的基因数据、生物特征数据、有关健康的数据或有关自然人的性生活或性取向。
4.3 分析是对个人数据的任何形式的自动处理,包括使用个人数据以评估与个人相关的某些个人方面。
4.4 数据处理/处理是对个人数据或其集合执行的任何活动、操作或一组操作,无论应用的程序和手段(自动或非自动化)如何,例如收集、记录、组织、结构化、存储、调整或更改、检索、咨询、使用、修订、通过传输、传播或以其他方式提供的披露、对齐或组合、互连、阻止(锁定)、删除存档、查看和销毁个人数据。
4.5 数据文件是指任何结构化的个人数据集,这些数据集可以以能够从数据中推断出相关人员的方式访问。
4.6 披露意味着使个人数据可访问。
4.7 数据保护影响评估是识别、评估和记录个人数据处理活动对个人权利的风险和影响的系统过程。
4.8 数据控制者是决定和确定处理个人数据的目的和方式的法人。
4.9 数据处理者是代表数据控制者处理个人数据的自然人或法人。
5.1 我们的网站 ( www.ethiopianairlines.com ) 可能包含指向第三方网站、插件和应用程序的链接。单击这些链接或启用这些连接可能会允许第三方收集或共享有关您的数据。我们不控制这些第三方网站,因此 ET 不对他们的隐私声明负责。当您离开我们的网站时,我们鼓励您阅读您访问的每个网站的隐私声明。
6.1 我们可能会收集、使用、存储和传输关于您的不同类型的个人数据,我们将这些数据归类如下:
6.1.1 身份数据包括名字、婚前姓名、姓氏、用户名或类似标识符、婚姻状况、头衔、出生日期和性别。
6.1.2 联系数据包括账单地址、送货地址、电子邮件地址和电话号码。
6.1.3 财务数据包括银行账户和支付卡详细信息。
6.1.4 交易数据包括与您之间的付款详情以及您从我们这里购买的产品和服务的其他详情。
6.1.5 技术数据包括互联网协议(IP)地址、您的登录数据、浏览器类型和版本、时区设置和位置、浏览器插件类型和版本、操作系统和平台以及您用于访问的设备上的其他技术这个网站。
6.1.6 个人资料数据包括您的用户名和密码、您的购买或订单、您的兴趣、偏好、反馈和调查回复。
6.1.7 使用数据包括有关您如何使用我们的网站、产品和服务的信息。
6.1.8 营销和通信数据包括您从我们和我们的第三方接收营销的偏好以及您的通信偏好。
6.2 我们有时会收集有关您的敏感个人数据,例如 有关您的种族或民族、宗教或哲学信仰的详细信息、有关您的健康和基因数据以及刑事定罪和犯罪的信息。
7.1 当您与我们一起旅行、使用我们的网站或使用我们的服务时,我们会在您使用我们的服务(无论是由我们直接提供的服务还是由其他公司或代表我们的代理人直接提供的服务)时收集您的个人数据。呼叫中心或移动应用程序。
8.1 我们只会在法律允许的情况下使用您的个人数据。最常见的是,我们将在以下情况下使用您的个人数据:
8.1.1 我们需要履行我们即将与您签订或已经签订的合同和/或为了在签订合同之前应数据主体的要求采取措施,
8.1.2 为我们(或第三方)的合法利益所必需,且您的利益和基本权利不凌驾于这些利益之上;
8.1.3 我们需要遵守法律或监管义务的地方;
8.1.4 为保护数据主体或其他自然人的切身利益,
8.1.5 为执行为公共利益或行使 EA 赋予的官方权力而执行的任务,
8.1.6 为您提供量身定制的服务;
8.1.7 出于管理和行政目的;
8.1.8 进行分析和市场调查;
8.1.9 进行营销并让您了解产品和服务;
8.1.10 出于网站改进、产品和服务的目的;
8.1.11 出于商业目的;和/或
8.1.12 用于检测可疑金融交易。
8.2 一般而言,除了通过电子邮件或短信向您发送第三方直接营销通信,或我们处理上文第6.2段所述的敏感个人数据时,我们不会将同意作为处理您的个人数据的法律依据 。您有权随时使用上文第2段中列出的联系方式与我们联系,撤回对营销的同意。
9.1 我们在下面列出了我们计划使用您的个人数据的所有方式的描述,以及我们这样做所依赖的法律依据。我们还在适当的情况下确定了我们的合法利益。
9.2 请注意,根据我们使用您的数据的具体目的,我们可能会出于多个合法理由处理您的个人数据。如果您需要有关我们处理您的个人数据所依据的特定法律依据的详细信息,请联系我们,其中下表列出了多个依据。
目的/活动
| 数据类型
| 处理的合法依据,包括合法利益的依据 |
将您注册为新客户 | (a) 身份 (b) 联系方式 | 履行与您的合同 |
处理和交付您的订单,包括: (a) 管理付款、费用和收费 (b) 收取并追回欠我们的款项
| (a) 身份 (b) 联系方式 (c) 财务 (d) 交易 (e) 营销和传播 | (a) 履行与您的合同 (b) 为我们的合法利益所必需(收回欠我们的债务)
|
管理我们与您的关系,其中包括: (a) 通知您我们的条款或隐私声明的更改 (b) 要求您发表评论或参加调查 | (a) 身份 (b) 联系方式 (c) 简介 (d) 营销和传播 | (a) 履行与您的合同 (b) 必须遵守法律义务 (c) 为我们的合法利益所必需(更新我们的记录并研究客户如何使用我们的产品/服务) |
使您能够参加抽奖、比赛或完成调查
| (a) 身份 (b) 联系方式 (c) 简介 (d) 使用 (e) 营销和传播 | (a) 履行与您的合同 (b) 为了我们的合法利益(研究客户如何使用我们的产品/服务、开发它们和发展我们的业务)所必需的 |
管理和保护我们的业务和网站(包括故障排除、数据分析、测试、系统维护、支持、报告和数据托管)
| (a) 身份 (b) 联系方式 (c) 技术
| (a) 为我们的合法利益(经营我们的业务、提供管理和 IT 服务、网络安全、防止欺诈以及在业务重组或集团重组活动的背景下)所必需 (b) 必须遵守法律义务 |
向您提供相关的网站内容和广告,并衡量或了解我们为您提供的广告的有效性
| (a) 身份 (b) 联系方式 (c) 简介 (d) 使用 (e) 营销和传播 (f) 技术 | 为我们的合法利益所必需(研究客户如何使用我们的产品/服务、开发它们、发展我们的业务并为我们的营销策略提供信息)
|
使用数据分析来改善我们的网站、产品/服务、营销、客户关系和体验
| (a) 技术 (b) 使用
| 为我们的合法利益所必需(为我们的产品和服务定义客户类型,保持我们的网站更新和相关,发展我们的业务并告知我们的营销策略) |
就您可能感兴趣的商品或服务向您提出建议和建议
| (a) 身份 (b) 联系方式 (c) 技术 (d) 使用 (e) 简介 | 为了我们的合法利益(开发我们的产品/服务和发展我们的业务)所必需的
|
10.1 我们只会将您的个人数据用于我们收集它的目的, 除非我们合理地认为我们需要出于其他原因使用它并且该原因与原始目的相一致。如果您希望获得有关新目的的处理如何与原始目的兼容的解释,请与我们联系。
10.2 如果我们需要将您的个人数据用于不相关的目的,我们会通知您并解释允许我们这样做的法律依据。 请注意,在法律要求或允许的情况下,我们可能会在您不知情或不同意的情况下,按照上述规则处理您的个人数据。
11.1 我们的网站使用“cookie”和“网络信标”技术。我们使用 cookie 和网络信标将您与其他访问者区分开来,跟踪您的 IP 地址和我们网站的使用情况,并赔偿您链接到我们网站的网站名称。此信息用于履行与我们的业务合作伙伴的合同,并通过改进我们的网站设计以及我们的产品、服务和促销来帮助我们更好地为您服务。我们不会以其他方式跟踪有关您使用其他网站的任何信息。通过 cookie 和网络信标获得的非个人数据或匿名/假名信息可能会代表我们与服务提供商共享或由其获取。
11.2 cookie 是当您访问网站时放置在您计算机硬盘上的一个小型数据文件。当您结束会话(即关闭浏览器)时,“会话 cookie”会立即过期。“持久 cookie”将信息存储在硬盘驱动器上,因此当您结束会话并在以后返回同一网站时,cookie 信息仍然可用。网络信标是代表清晰图形图像的一小段代码,与 cookie 一起使用。
11.3 当您访问我们的网站时,我们可能会使用会话和持久 cookie。这个 EA 放置的 cookie 可能包含用于跟踪您对我们网站的使用情况的信息(例如唯一的用户 ID),在某些情况下,还包含您的电子邮件地址。只有在您向我们注册时,您的电子邮件地址才会保存在这个 EA 放置的 cookie 中。网络信标使我们能够捕获有关访问者在网站上的行为的某些其他类型的信息,例如访问者的 cookie 编号、时间、日期、持续时间和页面浏览次数、放置网络信标的页面的描述,以及有关已购买的任何物品的详细信息。
11.4 如果您向我们注册,该 EA 放置的 cookie 允许我们在您返回我们的网站时识别您,并为您提供访问您的帐户信息的权限。如果您保存您的信息或从我们这里购买航班,我们也可能使用 cookie 来监控和维护有关您使用我们网站的信息。如果您没有向我们保存或向我们订购您的信息,我们可能会以无法识别您身份的方式监控和维护有关您使用我们网站的信息。
11.5 我们可能会使用 Flash Cookie(也称为本地存储对象)或其他类似技术。Flash cookie 是使用 Adobe Flash 技术放置在计算机中的小型数据文件,可能内置在您的计算机中或由您下载到您的计算机中。我们使用这些技术来个性化和增强您的在线体验、促进流程、个性化和存储您的设置。例如,Flash cookie 可以帮助我们的网站访问者设置与视频体验相关的音量偏好。它们通过衡量客户最感兴趣的区域来帮助我们改进我们的网站。我们不会将 Flash cookie 用于营销或行为定位目的。Flash cookie 与浏览器 cookie 不同,您的浏览器提供的 cookie 管理工具不会删除 Flash cookie。如果您禁用 Flash cookie 或其他类似技术,请注意您可能无法访问某些使您的在线体验更加高效和愉快的功能和服务。
11.6 您可以随时使用浏览器选项禁用cookies;但是,如果您关闭 cookie,我们将无法跟踪您的购买或使您无法从我们的网站进行购买。此外,我们将无法将您识别为注册用户以允许您访问您的帐户信息。您可以通过以下链接了解更多关于 cookie 的信息:https ://ico.org.uk/for-the-public/online/cookies/ 。
12.1 我们不会故意从 16 岁以下的任何人那里收集任何信息。我们的网站、产品和服务均面向年满 16 岁或以上的人群。
12.2 如果您未满 16 岁,请勿在本网站上或在本网站上或通过本网站的任何功能/注册时使用或提供任何信息、通过本网站进行任何购买或向我们提供有关您自己的任何信息,包括您的姓名、地址、电话号码或电子邮件地址。
12.3 如果我们得知我们收集或收到了 16 岁以下儿童的个人数据,我们将删除该信息。
12.4 如果您认为我们可能有来自或关于 16 岁以下儿童的任何信息,请与我们联系。
13.1 为了最好地为您服务,我们可能会与为我们提供支持服务或帮助我们营销我们的产品和服务的服务提供商共享您的个人数据。服务提供商是代表我们提供服务的第三方。除了帮助我们向您提供 EA 提供的产品和服务外,他们受到合同限制,不得以任何方式使用您的信息。
13.2 特别是为了方便您的旅行安排,我们经常需要与第三方共享您的个人数据,例如参与安排您的旅行的航空公司、机场运营商、海关、移民当局和旅行社。我们还与向您或我们提供服务的第三方共享您的个人数据,例如提供机场协助的公司。
13.3 我们可能会向 第三方披露您的个人数据,我们可能会选择向其出售、转让或合并我们的部分业务或资产。或者,我们可能会寻求收购其他业务或与他们合并。如果我们的业务发生变化,那么新所有者可以按照本隐私声明中规定的相同方式使用您的个人数据。
13.4 当您要求我们这样做或我们认为法律要求时,我们也可能会向第三方披露您的个人数据。
14.1 我们用于存储和保护您的信息安全的服务器位于埃塞俄比亚。但是,我们有许多位于其他国家/地区的 EA 员工和服务提供商。 每当我们将您的个人数据转移出欧洲经济区 (“ EEA ”) 时,我们都会通过确保至少实施以下一项保护措施来确保为其提供类似程度的保护:
当我们将您的个人数据传输到埃塞俄比亚时,我们会根据包含标准合同条款并确保欧盟委员会可接受的保护水平的内部集团内部数据传输协议这样做。有关更多信息,请参阅https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_en 。
我们只会将您的个人数据传输到欧盟委员会认为对个人数据提供足够保护水平的国家。有关详细信息,请参阅欧盟委员会:非欧盟国家个人数据保护的充分性 。
在我们使用某些服务提供商的情况下,我们可能会使用欧盟委员会批准的特定合同,这些合同为个人数据提供与欧洲相同的保护。有关详细信息,请参阅欧盟委员会:将个人数据传输到第三国的合同范本 。
在我们使用位于美国的提供商的情况下,如果他们是隐私护盾的一部分,我们可能会将数据传输给他们,这要求他们为欧洲和美国之间共享的个人数据提供类似的保护。有关详细信息,请参阅欧盟委员会:欧盟-美国隐私护盾 。
埃塞俄比亚航空 (EA) 可出于每个国家/地区的国家法律规定的目的和条件,将从乘客 (API/PNR) 收集的预订、检查和登机数据传输给欧洲和其他国家/地区的主管当局。
14.2 如果您想进一步了解我们在将您的个人数据转移出 EEA 时使用的具体机制,请与我们联系。
15.1 当引入新的数据处理系统时,我们会确保高标准的数据保护。特别是,任何新的系统和流程都必须遵守以下原则:
必须采取技术和组织措施,确保对个人数据从收集到处理再到删除进行系统和安全的生命周期管理,
数据处理系统必须旨在收集尽可能少的个人数据,以实现收集数据的目的,
如果匿名化数据不妨碍数据处理目的,则必须以数据主体不再可识别的方式匿名呈现个人数据,
在个人数据无法匿名的情况下,必须采取适合数据性质的安全措施,例如假名化、加密或访问限制,
应根据“需要知道”的原则授予对个人数据的访问权限,这意味着只有那些需要它来履行其指定角色和职责的人才能访问个人数据,
个人数据的系统质量检查必须成为数据生命周期管理的一部分,以确保高数据质量。特别是,必须建立流程来检测和纠正虚假或不完整的个人数据,
必须通过技术和组织措施充分保护数据处理系统免受未经授权的访问,
必须向数据主体提供对其个人数据的透明、用户友好和有效的控制手段。
16.1 我们以自动应用最严格的隐私设置的方式设置数据处理系统。
16.2 只有在数据主体明确同意扩展处理时,我们才允许对个人数据进行更广泛的处理。
17.1 我们已采取适当的安全措施,以防止您的个人数据意外丢失、被未经授权使用或访问、更改或披露。此外,我们将访问您的个人数据的权限仅限于那些有业务需要了解的员工、代理、承包商和其他第三方。他们只会按照我们的指示处理您的个人数据,并承担保密义务。
17.2 我们已制定处理任何涉嫌个人数据泄露的程序,并将在法律要求我们这样做的情况下通知您和任何适用的监管机构。
18.1 我们只会在必要时保留您的个人数据,以实现我们收集数据的目的,包括满足任何法律、会计或报告要求的目的。
18.2 为确定个人数据的适当保留期限,我们会考虑个人数据的数量、性质和敏感性、未经授权使用或披露您的个人数据可能造成的损害风险、我们处理您的个人数据的目的以及我们是否可以通过其他方式实现这些目的,以及适用的法律要求。
18.3 您的个人数据不同方面的保留期限详情可在我们的保留政策中找到,您可以通过联系我们向我们索取。
18.4 在某些情况下,您可以要求我们删除您的数据:请参阅下面的请求删除以获取更多信息。在某些情况下,我们可能会出于研究或统计目的对您的个人数据进行匿名化(使其不再与您相关联),在这种情况下,我们可能会无限期地使用这些信息,恕不另行通知。
19.1 您有权:
19.1.1 请求访问您的个人数据(通常称为“数据主体访问请求”)。这使您能够收到我们持有的关于您的个人数据的副本,并检查我们是否合法地处理它。
19.1.2 要求更正 我们持有的关于您的个人数据。这使您能够更正我们持有的关于您的任何不完整或不准确的数据,但我们可能需要验证您提供给我们的新数据的准确性。
19.1.3 请求删除 您的个人数据。这使您可以要求我们删除或删除我们没有充分理由继续处理的个人数据。您也有权要求我们删除或删除您已成功行使反对处理权的个人数据(见下文),我们可能非法处理您的信息或我们需要删除您的个人数据以遵守当地法律。但是请注意,由于特定的法律原因,我们可能无法始终满足您的删除请求,如果适用,我们会在您提出请求时通知您。
19.1.4 反对 在我们依赖合法利益(或第三方利益)的情况下处理 您的个人数据,并且您的特定情况使您想反对基于此的处理,因为您认为它会影响关于您的基本权利和自由。您还有权反对我们出于直接营销目的处理您的个人数据。在某些情况下,我们可能会证明我们有令人信服的合法理由来处理您的信息,这些信息凌驾于您的权利和自由之上。
19.1.5 请求限制处理 您的个人数据。这使您可以在以下情况下要求我们暂停处理您的个人数据:(a) 如果您希望我们确定数据的准确性;(b) 我们对数据的使用是非法的,但您不希望我们将其删除;(c) 您需要我们保存数据,即使我们不再需要它,因为您需要它来确立、行使或捍卫法律主张;或 (d) 您反对我们使用您的数据,但我们需要验证我们是否有压倒一切的合法理由来使用这些数据。
19.1.6 请求将 您的个人数据传输给您或第三方。我们将以结构化、常用、机器可读的格式向您或您选择的第三方提供您的个人数据。请注意,此权利仅适用于您最初同意我们使用或我们使用该信息与您签订合同的自动化信息。
19.1.7 在我们依赖同意处理您的个人数据的任何时候撤回同意。 但是,这不会影响在您撤回同意之前进行的任何处理的合法性。如果您撤回同意,我们可能无法向您提供某些产品或服务。我们会在您撤回同意时告知您是否属于这种情况。
19.2 如果您想行使上述任何权利,请使用我们的联系方式与我们联系,并填写此处链接中的表格。
20.1 您无需支付费用即可访问您的个人数据(或行使任何其他权利)。但是,如果您的请求明显没有根据、重复或过度,或者如果您要求提供您的个人数据的额外副本,我们可能会收取合理的费用。或者,在这些情况下,我们可能会拒绝遵守您的要求。
21.1 我们可能需要向您索取特定信息,以帮助我们确认您的身份并确保您有权访问您的个人数据(或行使您的任何其他权利)。这是一项安全措施,以确保不会将个人数据透露给任何无权接收的人。我们也可能与您联系,要求您提供与您的请求有关的更多信息,以加快我们的响应速度。
22.1 我们尽量在一个月内回复所有合法请求。如果您的请求特别复杂或您提出了许多请求,有时我们可能需要一个多月的时间。在这种情况下,我们会通知您并及时通知您。
23.1 数据控制者
EA 负责合法处理个人数据并遵守本政策或适用法律规定的数据保护和数据安全要求。特别是,对于:
23.2 数据 处理器
数据处理者负责根据从数据控制者收到的指令处理个人数据。此外,数据处理者有责任立即通知数据控制者数据保护漏洞,特别是在 24 小时内。
数据处理者的处理应受合同约束,该合同对 EA 的处理者具有约束力,并规定了处理的主题和持续时间、处理的性质和目的、个人数据的类型和数据主体的类别以及控制者的义务和权利。该合同涵盖以下所有要素:
但是,EA 作为数据控制者,仍然是对相关人员,尤其 是数据主体和当局的最终责任方。
23.3 行政管理 _
EA 的执行管理层负责实施本政策,并应提供必要的人员和财务资源。EA 的经理必须在其职责范围内执行该政策,并确保他们负责的员工、个人和实体了解、理解并遵守该政策的要求,并接受适当的培训以充分履行职责这个责任。
本政策取代了我们之前可能向您提供的有关我们的信息实践的所有披露。在法律允许的情况下,我们保留更改本政策 以及对先前收集的信息进行任何更改的权利。如果将来本政策发生重大变化或我们的信息实践发生变化,我们将通过在我们的网站上发布政策变化来通知您。