Miles & More飞常里程汇奖励计划隐私权保护政策

Miles & More飞常里程汇的运营商和发起者是Miles & More GmbH（“MMG”，地址为Unterschweinstiege 8, 60549 Frankfurt am Main）和德国汉莎航空公司（“汉莎航空”，地址为Deutsche Lufthansa AG, Linnicher Strasse 48, 50933 Cologne）。除非在本数据保护政策中另行说明，否则“我们”应指依据《欧盟通用数据保护条例》（“GDPR”）第26条和《德国联邦数据保护法案》（Bundesdatenschutzgesetz -“BDSG”），共同负责处理您个人数据的汉莎航空以及MMG（“联合控制方”）。为此，我们已经签订联合控制方协议。我们将很乐意回答您在这方面可能有的其他疑问。有关MMG和汉莎航空的更多信息可在其各自的法律声明中查找，网址分别为www.miles-and-more.com和www.lufthansa.com。

在本数据保护政策中，我们还对Lufthansa Group、联合运营商以及合作伙伴公司进行了区分，让您可以更清晰地了解哪些流程是在哪个公司的协助下进行的、哪些人有权限访问您的数据，以及访问程度如何，目的是什么（您可以在本数据保护政策的第4节找到更多详细信息）。

为了让您能够成为Miles & More飞常里程汇会员，我们会收集申请表中的个人数据。这些数据主要包括您的姓氏、名字、性别、地址和住所。此外，在某些流程中，您必须提供其他强制性信息，以便我们可以完成您的注册和任何后续流程，例如向您发送电子邮件确认函，以及注册Miles & More飞常里程汇会员帐户进行双因素验证。这些信息可能包括您的生日、电子邮件地址和手机号码等数据。此外，当您申请Miles & More飞常里程汇时或者在会员身份期内，您还可以自愿将其他数据告知我们，例如额外电话号码、您的学术职称或者其他航班相关偏好（出发机场、座位、餐饮偏好）。 为了免去您输入数据的麻烦，我们将直接从申请表中或者在处理流程中提取部分信息。这包括您的注册日期以及首选通讯语言。收集的所有这些关于您的数据称为“主数据”。

为了管理汉莎航空或联合运营商分配的身份（比如常旅客会员、Senator贵宾会员或HON Circle特级贵宾会员），我们还会保存管理此身份所需的数据，例如身份类型或者您获取的身份数或HON Circle里程数量（“身份数据”）。

当您开立里程账户时，我们将向您提供Miles & More飞常里程汇会员卡号。您的Miles & More飞常里程汇会员卡号是您的主数据的一部分。卡号将用于明确识别您的会员身份。

在会员身份期内，您的Miles & More飞常里程汇会员卡号可能发生变化。有多种原因会导致卡号发生变化，例如达到特定会籍级别或者会员卡遗失。通过在后台使用唯一识别号，我们可以继续安排将里程计入您的账户以及/或者让您消费里程。该唯一识别号由系统专门生成，可用于任何身份识别流程。如果您遗失会员卡，我们可通过唯一识别号冻结您的卡号，而您无需重新注册。

作为Miles & More飞常里程汇的一部分，当您获取或消费里程时，我们会记录所谓的“奖励计划数据”。

当您获取里程时，奖励计划数据包括获取里程记录以及Miles & More飞常里程汇的管理、持续发展和营销所需的所有信息。这包括关于您获取里程的Miles & More飞常里程汇合作伙伴公司信息，以及关于您的里程记录所对应的服务和所获取的里程数信息。

当您向某航空公司提供Miles & More飞常里程汇会员卡号以获取里程时，奖励计划数据还包括与您的预订有关的其他信息，尤其是航班航线、航班日期、航班编号、价格、航班运营航空公司以及预订舱位的相关信息。

当您通过其他Miles & More飞常里程汇合作伙伴公司获取里程时，奖励计划数据包括有关所请求的里程相关服务（尤其是关于所购买的产品或所使用的服务的信息，例如价格、数量、商品类别、购买时间、执行时间、租赁/住宿地点）的信息。

当您通过Miles & More飞常里程汇信用卡获取里程时，奖励计划数据包括您持Miles & More飞常里程汇信用卡所消费的金额的详细信息。如果您向银行授予其他权限，银行还可能收集其他数据。您可以在本数据保护政策的第7节找到与此相关的详细信息。

当您消费里程时，奖励计划数据包括有关所请求的奖励以及所使用的里程数（对于航班奖励，包括特定的奖励航班类型、航班航线、航班日期和其他预订信息；对于其他奖励，包括奖励类型和产品信息，例如价格、数量、商品类型、购买时间、执行时间或租赁/住宿地点）的详细信息。

通过处理这些数据，我们可以确保里程记录的正确性、跟踪账户变化（尤其是防止欺诈），同时确保能够应要求提供详细信息并及时处理您可能提出的任何投诉。如果得到您的授权，上述数据还有可能用于广告目的（您可以在本数据保护政策的第5节找到更多相关详细信息）。

当您使用我们的网站、应用程序或其他通信媒介（如电子邮件）时，我们也会根据“Miles & More飞常里程汇网站和通信媒介应用程序”数据保护政策的第3节处理您的数据。

当您与我们的服务中心沟通时，我们也会处理您向我们提供的数据，以便处理您的疑问和改善我们的服务。

我们会处理您与Miles & More飞常里程汇相关的个人数据，即主数据、奖励计划数据、身份数据和上述其他数据，尤其是根据GDPR第6(1) b)节履行合同与合同前措施，从而

• 处理您的Miles & More飞常里程汇会员申请，以便给您发送Miles & More飞常里程汇会员卡和关于Miles & More飞常里程汇的其他合同相关信息，
• 使您能够获取和消费里程（也包括补计里程），特别是为了将您通过运营商和Miles & More飞常里程汇合作伙伴公司获取的里程计入里程账户，并且能够在您请求奖励时扣除里程，
• 便于我们时时核实在您获取里程时，正确的里程数已计入；以及在您从账户中扣除里程以购买奖励时，已计算出正确的里程数，
• 在您满足Miles & More飞常里程汇会员卡的适当标准的情况下，能够向您发送与您的身份有关的其他合同相关信息，
• 能够将Miles & More飞常里程汇的当前扩充或修改告知给您，
• 处理您的问题（通过电话、书面方式或在线方式提出）。

我们也会根据GDPR第6 (1) f)节，出于保护我们合法权益的目的处理您的个人数据，从而

• 在发生法律纠纷时执行合法要求，包括债务追收和辩护（法律辩护和执法方面的公司权益），
• 更新您的个人数据。为此，我们将使用更新服务，在您更改联系数据时获取您的新联系数据（与会员保持联系的公司权益），从而
• 便于我们通过短信向您告知使用Miles & More飞常里程汇卡号预订航班的相关进展详情（保证客户满意度和及时告知航班延误与取消相关信息的公司权益），
• 便于我们了解在您的个人档案中保存的偏好信息（尽可能为客户提供最佳服务的公司权益），
• 便于我们管理、进一步开发和推广Miles & More飞常里程汇（保持竞争力和计划相关性的公司权益），
• 便于我们简化在线商店（WorldShop、SWISS Shop）的注册程序。为此，在您输入自己的Miles & More飞常里程汇卡号和账户密码后，注册表将预填充（保持数据一致性和有效性的公司权益），
• 用于数据分析和编制统计数据以改进产品和服务（持续开发奖励计划的公司权益），
• 用于保护 IT 安全（保护其自身系统安全性的公司权益），
• 用于身份验证和预防欺诈（防止物质或非物质损坏的公司权益）。
  
• 合法化并明确识别您的身份（例如，如果您无法再访问Miles & More飞常里程汇会员帐户）。

通过处理您的数据，我们还能向您发送经过独立整理的Miles & More飞常里程汇相关优惠（前提是您已经单独向我们授予权限）；这样，我们才能确保所发送的信息与您相关。这种处理方式的法律依据是GDPR第6(1) a)节（授权）。您可以在本数据保护政策的第5节找到与此相关的详细信息。

我们有义务遵守法定商业和税收保留期。此外，在个别情况下，我们也有义务与各种国家和国际当局（税务和执法当局）合作。这种处理方式的法律依据是GDPR第6(1) c)节（法定义务）。

Miles & More 飞常里程汇的运营商可以指定在特定国家/地区挑选的合作伙伴公司，这些公司（“联合发行的合作伙伴”）可以将 Miles & More 飞常里程汇作为自己的奖励计划营销。联合发行的合作伙伴包括

• Air Dolomiti
• Austrian Airlines
• Brussels Airlines
• Croatia Airlines
• Eurowings
• Frankfurt Airport
• LOT Polish Airlines
• Luxair
• Swiss International AirLines

在下列情况中，我们可能与联合发行的合作伙伴共享数据，以便他们根据第 3 节将 Miles & More 飞常里程汇作为自己的奖励计划进行管理、持续发展和营销：

• 如果您通过联合发行的合作伙伴注册了 Miles & More 飞常里程汇，那么我们可能会与联合发行的合作伙伴共享您的主数据、Miles & More 飞常里程汇会员卡号或唯一用户名以及与联合发行的合作伙伴的服务相关的奖励计划数据。
• 如果联合发行的合作伙伴为航空公司，且您的住所位于该联合发行的合作伙伴本国市场，我们将与该联合发行的合作伙伴共享您的主数据、Miles & More 飞常里程汇会员卡号和计划数据。
• 如果联合发行的合作伙伴为航空公司，并且您搭乘由该联合发行的合作伙伴运营的航班，则我们可能与该联合发行的合作伙伴共享您的主数据和奖励计划数据。
• 如果您已获得联合发行的合作伙伴授予的会员身份，则除了主数据以及与联合发行的合作伙伴提供的服务相关的奖励计划数据以外，我们也可能与联合发行的合作伙伴共享您的身份数据。

为了确保我们能够计入里程，联合发行的合作伙伴将根据本数据保护政策的第 3 节向我们发送奖励计划数据。此项处理的法律依据是 GDPR 第 6(1)(1)(b) 节（合同履行与合同前措施）。

对于Miles & More飞常里程汇合作伙伴公司（包括联合运营商和Star Alliance航空公司），我们只在您已经通过我们请求Miles & More飞常里程汇合作伙伴公司的某项服务（如奖励）（GDPR第6(1) b)节）或提供授权（如登录时）（GDPR第6(1) a)节）的情况下，才会传输您的个人数据。这也适用于由Points提供支持的“Hotels & Cars”平台和由Cadooz提供支持的“Gift Cards by cadooz”平台。在此情况下，请注意相应合作伙伴的相关数据保护政策。

对于部分合作伙伴，您可以选择在其合作伙伴网站上输入自己的Miles & More飞常里程汇卡号和账户密码，验证自己的Miles & More飞常里程汇会员身份，以便查看面向Miles & More飞常里程汇会员的特殊优惠和适时消费里程。在这些情况下，合作伙伴会向我们发送您输入的会员卡号和账户密码以进行比较。如果数据正确，我们将予以确认。我们也会自动将您的里程账户结余发送给协助您消费里程的合作伙伴。为了让您能够查看合作伙伴的优惠和消费里程，此过程是必需的。在此情况下处理数据的法律依据是GDPR第6(1) b)节（合同履行与合同前措施）。

如果您向我们提出奖励计划相关问题（例如，您与Miles & More飞常里程汇合作伙伴公司完成了交易，正在等待里程记录计入），我们会将您的问题转至相应的合作伙伴公司，以便其及时处理。在此情况下转交问题的法律依据是GDPR第6(1) b)节（合同履行与合同前措施）。

为了让我们能够分配里程记录，Miles & More飞常里程汇合作伙伴公司将向我们转发本数据隐私政策第2.3节所列的奖励计划数据。

您可以在此处查看我们合作伙伴的概览。

隶属于Lufthansa Group的航空公司（如www.miles-and-more.com/mitherausgeber中所示）已联合其客户忠诚度活动。这意味着由Lufthansa Group 航空公司获取的会员的主数据和身份及奖励计划数据在所有Lufthansa Group 航空公司的联合数据库中接受统一管理。未经您单独授权，这些数据仅以匿名形式处理和使用（也就是说，不可能明确具体的会员身份），以便用于分析目的以及管理、持续发展和营销Miles & More飞常里程汇。如果您已提供授权，我们也可能会出于营销目的以个人为基础使用数据（另请参见本数据保护政策的第5节）。

此外，我们只会与Lufthansa Group旗下公司共享您的主数据和计划数据，以防止欺诈（第6(1)节第f小节）和签发会员卡（GDPR第6(1) b)节）。

为了能够向您提供产品和服务，我们将根据GDPR第28节使用服务供应商（比如服务中心、印刷商、信件公司或IT服务供应商）作为处理方。这些服务供应商均经过精心挑选，并将按照我们的指示开展工作。他们能够充分保证履行其数据保护法相关义务。

在委托处理过程中，如果有其他第三方委托我们处理数据，我们同样会收到来自该第三方的数据。例如，在处理奖励计划合作伙伴的客户服务问题时，会发生这种情况。

为了保护您的个人数据，我们将根据法律规定（尤其是欧盟充分性决定和使用欧盟标准合同条款。您可以在欧盟网站上找到关于欧盟标准合同条款的信息），在传输此类个人数据的过程中采取适当的保护措施。

向处理方传输数据的法律依据载于本数据保护政策的第3节法律依据以及GDPR第26节。

此外，在某些情况下，我们有法定义务将个人数据提交给德国和国际当局；具体请参见GDPR第6(1) c)节（法定义务）。

您可以单独选择向MMG和汉莎航空授予权限，以便我们处理以下内容：

• 制定和发送关于您的里程账户结余的信息和Miles & More飞常里程汇新闻简报，
• 为您整理的综合优惠，以便您获取和消费里程，以尊享运营商、联合运营商以及Miles & More飞常里程汇合作伙伴公司的服务，
• 市场调研/客户满意度问卷调查，以便我们改进Miles & More飞常里程汇以及运营商、联合运营商和Miles & More飞常里程汇合作伙伴公司的优惠

权限授予可能包括以下通信渠道：

• 电子邮件
• 短信服务
• 电话

WorldShop目录、Lufthansa Exclusive或Woman’s World等信息和优惠将以邮寄方式呈送，除非您拒绝接收此类信息和优惠。

此外，您可以选择单独向某个联合运营商授予权限，以便其处理以下内容：

• 市场调研/客户满意度问卷调查——您对各联合运营商（包括合作伙伴公司，如适用）及其设施、优惠和服务的看法
• 各联合运营商（及其合作伙伴公司，如适用）的信息和优惠，
• 各联合运营商（及其合作伙伴公司，如适用）的常规信息，尤其是与航空公司、汽车制造商、金融服务、酒店、交通、生活方式、购物和电信行业相关的特别优惠和重要提示
• 有关特定伙伴航空公司服务和产品的信息

权限授予可能包括以下通信渠道：

• 电子邮件
• 短信服务
• 电话

信息和优惠将以邮寄方式呈送，除非您拒绝接收此类信息和优惠。

有关联合运营商授权的更多详细信息，请参阅其各自的隐私政策。 有关Lufthansa Group的航空公司（瑞士国际航空、奥地利航空和汉莎航空），请参见

• 德国汉莎航空公司
• 瑞士国际航空公司
• 奥地利航空
  

您可以在申请Miles & More飞常里程汇会员的过程中、我们的网站上或任何Miles & More飞常里程汇通讯媒介中授予上述所有权限。您也可以通过联合运营商自己通讯渠道向其授予与之相关的部分权限。

如果您向我们授予权限，则我们可以评估您的个人数据，以便通过所有通信渠道为您提供与您相关并且针对您的兴趣量身定制的个性化Miles & More飞常里程汇奖励计划信息。例如，通过这种方式，我们可以使用您的居住地、年龄、会籍级别和最近的里程记录，从而根据您的需求调整Miles & More飞常里程汇新闻简报中关于获取/消费里程的优惠。如果我们在授权中提及“个人数据”，则该术语是指本数据保护政策第2节定义的所有类型的数据。

如果您向某联合运营商授予权限，则后者可能评估其拥有的与您相关的所有数据，以便向您发送具有独特相关性且根据您的兴趣量身定制的个性化信息。这包括根据本数据保护政策的第4节共享的Miles & More飞常里程汇奖励计划数据及其自己收集的数据，例如航班数据。

有关联合运营商数据使用情况的更多详细信息，请参阅其各自的隐私政策。 有关Lufthansa Group的航空公司（瑞士国际航空、奥地利航空和汉莎航空），请参见

• 德国汉莎航空公司
• 瑞士国际航空公司
• 奥地利航空

处理数据的法律依据是GDPR第6(1) a)节（授权）。

您可以随时在www.miles-and-more.com上编辑您的客户账号中的通信设置，及/或完全或部分撤销和/或限制您的同意（例如，通过致电Miles & More飞常里程汇服务中心）。此外，您可以在相应的Miles & More飞常里程汇应用程序中禁用发送到移动端设备的推送通知。

您也可以随时在各电子邮件底部撤销授权，不再接收通过电子邮件发送的Miles & More飞常里程汇新闻简讯和其他营销通讯。

如果您没有授予权限，则不会收到来自MMG和Lufthansa Group 航空公司的信息。您可以在www.miles-and-more.com上您的客户账号中查找有关里程账户结余的信息（包括有关里程过期的提前提醒）。

MMG和汉莎航空可以向您发送有关Miles & More飞常里程汇奖励计划的法律相关信息（例如，对参加条款及细则的更改），而无论您是否已给予或撤销同意。在此情况下处理数据的法律依据是GDPR第6(1) b)节（合同履行与合同前措施）。

如果您拥有某德国汉莎航空集团航空公司的ID账号，则可能需要将其与您的Miles & More飞常里程汇账户相关联。这主要用于通过各种账户明确识别您的身份。之所以采用这种方式，主要是因为如果无法明确识别您的身份，我们就无法集中管理您对Lufthansa Group授予的权限，同时为您省去在各账户中重复输入或更改数据的麻烦。如果您并未创建关联，那么我们必须指出，很遗憾，我们无法将您在单个账户中激活的设置转移到其他账户（尤其是关于您的授权）。

法律依据为GDPR第6 (1) a)节（授权）。您可以在此了解关于关联的详细信息。

当您申请Miles & More飞常里程汇信用卡时，发卡银行将收集其他个人数据（如您的职业、婚姻状况和收入）。此类补充性数据仅限发卡银行处理和使用，并且不会与运营商或联合运营商共享。我们只会接收因使用Miles & More飞常里程汇信用卡而产生的奖励计划数据、您的Miles & More飞常里程汇会员卡号，以及向您（作为会员）分配奖励计划数据（以便您可以获取里程）所需的其他主数据。在此情况下处理数据的法律依据是GDPR第6 (1) b)节（合同履行与合同前措施）。如果您向发卡银行授予进一步权限，则发卡银行还可能与我们共享其他个人数据（如用卡时间和地点，以及销售情况说明），我们将根据本数据保护政策所述的目的使用此数据。共享此数据的法律依据为GDPR第6 (1) a)节（授权）。

对于汉莎航空Miles & More飞常里程汇信用卡（“信用卡”），Miles & More GmbH（地址Unterschweinstiege 8, 60549 Frankfurt am Main，“MMG”）和Deutsche Kreditbank AG（地址Taubenstraße 7-9, 10117 Berlin，“DKB”）联合负责GDPR第26条定义的特定处理操作（“联合控制方”）。为此，MMG和DKB已经签订联合控制方协议。此处的联合处理个人数据特指提供信用卡和所有相关处理活动，以及计入里程记录。MMG在此主要负责与会员计划和里程计划相关的所有方面。例如，它将信用卡与Miles & More飞常里程汇里程帐户关联，以使会员能够获取里程。DKB则主要负责与发放信用卡及信用卡相关特定银行服务相关的所有方面。其签订合同并发放信用卡。

您可以针对MMG和DKB行使GDPR赋予您的权利。为此，联合控制方必须能够在其提供答复所必需的情况下，交换与您的询问有关的信息。

您也可以使用Miles & More飞常里程汇访问权限数据登录选定的第三方网站。我们希望让您以熟悉的登录权限数据更便利地登录第三方网站，而无需记住新的登录详情。在所有情况下，您的登录权限数据都保留在 MMG 系统中。

出于以下及其他目的，并且依照以下法律依据，我们向您提供Miles & More飞常里程汇登录信息：

• 获取/消费里程（GDPR第6(1) b)条 - 合同履行与合同前措施）
• 注册合作伙伴网站（GDPR第6(1) a)条 - 授权）
  
• 预填充合作伙伴网站上的其他表单（GDPR第6(1) a)条 - 授权）

使用Miles & More飞常里程汇登录时，第三方网站会将您链接至我们的Miles & More飞常里程汇网站，您可以在我们的网站上照常登录。在任何情况下，都会显示一条通知，告知您对于您所处的情况，第三方可能出于何种目的访问哪些数据。若要在第三方网站上注册，您必须授权将您的数据传输给第三方。我们将存储您的授权，以便您下次登录第三方网站时无需再次授权。然后，我们会向第三方授权我们系统的有限访问密钥，以使其可出于所需的目的访问相关个人数据。 访问密钥在有限时间内有效，除非您同意访问密钥的有效时间没有限制。

您可以随时在Miles & More飞常里程汇网站上管理这方面的设置，并且，举例而言，您可以通过您的Miles & More飞常里程汇个人资料撤销授权，这将对未来的情况生效。在此情况下，所有发给合作伙伴公司的访问密钥都将撤回。

登录第三方网站时，MMG 将了解您对哪些网站感兴趣，并且可能将这些信息用于Miles & More飞常里程汇的管理、持续开发和营销。此项处理的法律依据是GDPR第6(1) f)条（保持竞争力和计划相关性的公司权益）。MMG 不会收到合作伙伴公司的任何个人数据。

相关第三方全权负责数据的合法处理和安全。

我们将在需要履行合同及法定义务时处理您的数据。在此必须指出，Miles & More飞常里程汇奖励计划的会员资格没有限期，因此可能会维持多年，直到本奖励计划取消或终止。
如果处理您的数据的目的不再适用，我们将删除这些数据，除非需要根据以下目的保留这些数据：

• 满足商法典或税法规定的商业法和税法保留期限要求；相关期限可能长达10年
• 作为时效期限规定的一部分保留证据。根据民法典（Bürgerliches Gesetzbuch - BGB）的§§ 195 ff.，这些时效期限可能长达30年，而标准时效期限为三年。

在这些情况下，您的数据将被冻结，无法因其他目的而得到处理。

作为数据主体，您可以在存在相应法定条件的前提下行使以下权利：

• 访问权，GDPR 第 15 条
• 修正权，GDPR 第 16 条
• 删除权（“被遗忘权”），GDPR 第17 条
• 限制处理权，GDPR 第 18 条
• 数据迁移权，GDPR 第 20 条
• 反对权，GDPR第21条

若要行使权利，您可以使用我们的联系表。这样，我们就能处理您的申请并识别您的身份。请注意，我们将根据GDPR第6 (1) c)节使用您的个人数据。

您也可以随时在我们网站上的客户资料中，自行查看大多数主数据的当前状态。如有任何更改（比如您的邮政地址、电子邮件地址或电话号码），请及时更新您的个人数据。

根据GDPR第77条和BDSG第19条，您还有权向监管当局提出投诉。

MMG和汉莎航空的主管监管当局为：

黑森数据保护专员
Postfach 3163
65021 Wiesbaden

Gustav-Stresemann-Ring 1
65189 Wiesbaden

电话：0611/1408-0
传真：0611/1408-900 or -901
电子邮件：poststelle@datenschutz.hessen.de

出于具体情况下产生的原因，您随时有权对基于GDPR第6 (1) e)节或6 (1) f)节处理个人数据提交反对。

我们将不再处理与您有关的个人数据，除非我们能够证明处理数据时存在值得保护并且超过您的利益、权利和自由的强制性理由，或者如果处理数据是为了执行、行使或捍卫合法要求。

如果处理您的个人数据是为了投放直接广告，则您随时有权提出反对，禁止出于此类广告目的处理您的个人数据。

如果您反对出于投放直接广告的目的处理您的数据，则我们将不再出于这些目的处理与您有关的个人数据。

尽管存在指令2002/58/EC，您仍可以选择行使反对权，禁止我们使用信息公司的自动化程序服务（使用了技术参数）。

您可以随时针对您的个人数据处理行使反对权，例如，通过使用本数据保护政策第10节所述联系表。

我们使用技术和组织安全措施，以保护您的数据免遭意外或故意篡改、丢失、删除或越权存取。随着新技术的不断涌现，我们的安全措施也在日益改进。
我们将您的个人数据存储在德国、欧盟成员国或已签署欧洲经济区协议的成员国的服务器上。

我们定期检查这些数据保护政策并且在必要时更新。如果本数据保护政策有重大更新，我们将告知您（比如在我们的网站上或在我们的应用程序中）。