Aviso de Privacidade RGPD da Turkish Airlines para Miles & Smiles
1. Introdução.
Enquanto responsável pelo tratamento dos dados, a Türk Hava Yolları Anonim Ortaklığı (adiante designada por “THY”, “Turkish Airlines” ou “nós”), presta a máxima atenção à legalidade do tratamento dos dados pessoais relativos aos seus clientes.
O Aviso de Privacidade (RGPD) da THY para o Programa Miles & Smiles (“Aviso de Privacidade”) foi preparado de acordo com o Regulamento Geral sobre a Proteção de Dados da UE (Regulamento (UE) 2016/679) (“RGPD”) para garantir que os dados pessoais dos nossos clientes são tratados de forma transparente durante os processos realizados no âmbito do Programa Miles&Smiles (“Miles&Smiles”).
Mais concretamente, gostaríamos de o(a) informar sobre o tratamento dos dados pessoais relativos a si (adiante também designado(a) por “cliente”). A este respeito, prestamos-lhe informações sobre os dados pessoais que tratamos e para que finalidades e por quanto tempo o fazemos, os terceiros com os quais os seus dados são partilhados, os seus direitos e as formas de nos contactar.
O tratamento de dados é realizado de acordo com os princípios de “licitude, lealdade e transparência”, “limitação das finalidades”, “minimização dos dados”, “exatidão”, “limitação da conservação”, “integridade e confidencialidade”, “controlo do titular dos dados sobre os seus dados pessoais” e “responsabilidade”.
Reservamos o direito de atualizar este Aviso de Privacidade em qualquer momento, facultando-lhe um novo Aviso de Privacidade em caso de atualização substancial. Ocasionalmente, poderemos igualmente notificá-lo(a) de outras formas sobre o tratamento dos seus dados pessoais.
Poderá consultar o Aviso de Privacidade (RGPD) da Turkish Airlines publicado em: https://www.turkishairlines.com/en-tr/legal-notice/gdpr-privacy-notice para obter mais informações sobre o RGPD.
2. Que dados pessoais tratamos e como recolhemos os seus dados pessoais?
Os seus dados pessoais tratados no âmbito do tratamento, pela THY, de informações sobre a identidade e o passaporte, são os seguintes:
- Identidade e Contactos: dados pessoais como o nome, apelido, número de identificação pessoal, dados do passaporte e contactos como o endereço de correio eletrónico, a morada, o número de telefone e telemóvel ou os contactos de redes sociais que nos tiver fornecido durante: a criação de contas, a alteração do estatuto de membro, a reserva de bilhetes de avião ou a solicitação de serviços exclusivos oferecidos pela THY e pelos seus parceiros;
- Informações de Voo: informações sobre reservas ou bilhetes, ou outras informações relativas aos seus voos;
- Informação Antecipada sobre Passageiros (“API”): nome, nacionalidade, data de nascimento, sexo, tipo e número dos seus documentos de viagem e respetiva data de validade e país de emissão;
- Avaliações e Pedidos: informações sobre as suas avaliações, reclamações e pedidos relativos aos nossos serviços;
- Informações sobre Pagamentos: informação sobre cartões de crédito/débito, informação sobre conta bancária, informação sobre IBAN, informação sobre saldos e valores a receber e outros dados financeiros;
- Informações sobre o Programa de Afiliação: informação sobre os programas de afiliação Miles&Smiles e THY Corporate Club (caso seja membro), informação sobre o estatuto de membro e informação sobre o estado do Cartão Miles&Smiles;
- Pedidos de Serviço Especiais: após solicitação e aprovação pelo cliente, informações sobre doenças, incapacidade, alergias e regimes alimentares especiais, bem como as informações incluídas nos documentos relativos aos mesmos, para prestar o serviço de que o cliente necessita durante a sua viagem;
- Ofertas de Descontos Especiais: informações tratadas para beneficiar de descontos especiais oferecidos a estudantes ou pessoas com deficiência;
- Informações sobre o Agregado Familiar e Familiares: informações sobre o agregado familiar obtidas em caso de pedido de afiliação familiar, identidade e contactos dos seus familiares em caso de criação de uma aplicação complementar que permita realizar operações de bilhética rápidas.
- Prevenção de Fraudes: informações sobre o ID do dispositivo, nome do dispositivo, sistema operativo, ID de instalação, endereço IP, dados de localização, data de início de sessão, tipo de navegador;
Os seus dados pessoais podem ser recolhidos no âmbito dos serviços que prestamos no programa Miles&Smiles através de canais online da THY, formulários, serviços de vendas, balcões de check-in, quiosques, call centers, serviços internet disponibilizados no interior do avião e produtos de entretenimento durante o voo (IFE), opinião dos membros, pontos de admissão no avião, agências de viagem autorizadas para a venda de produtos e serviços da THY, GDSs, canais de vendas online, atividades de avaliação, parceiros do programa e outras companhias aéreas, na forma verbal, escrita ou digital. Em qualquer caso, os seus dados pessoais apenas podem ser recolhidos e tratados de acordo com as disposições da legislação nacional/internacional, em especial com os princípios básicos consagrados no artigo 5.º do RGPD, apenas quando se verifique uma ou mais das condições estipuladas pelo RGPD.
3. Para que finalidades tratamos os seus dados pessoais?
Os seus dados pessoais são tratados em conformidade com o RGPD e outra legislação pertinente para as seguintes finalidades:
- para oferecer milhas (“Milhas”) de voos com a THY e com companhias aéreas parceiras do programa;
- para facultar um código de segurança pessoal (“Código PIN”) e um cartão para cada membro;
- para conceber e prestar serviços especiais a membros do programa por intermédio de mais de cem parceiros do programa (https://www.turkishairlines.com/en-nl/miles-and-smiles/program-partners/index.html ), operando num vasto leque de setores, tais como companhias aéreas, empresas de aluguer de automóveis, bancos que fornecem os cartões de crédito utilizados para acumular Milhas, hotéis, companhias de seguros, prestadores de serviços de saúde, empresas turísticas, empresas que prestam serviços de compras e entretenimento, empresas de telecomunicações, instituições de ensino e empresas do setor da energia;
- As autoridades aeroportuárias nacionais e internacionais e/ou a Star Alliance podem proceder ao tratamento dos dados biométricos do cliente com base no seu consentimento explícito, com a finalidade de prestar aos membros serviços fáceis e fast track nos aeroportos através de aplicações digitais. (A THY não trata os seus dados biométricos);
- para gastar Milhas em https://www.shopandmiles.com;
- para que os nossos membros detentores de um cartão de crédito Miles&Smiles possam beneficiar de Milhas em taxas diferentes consoante o setor;
- para permitir aos nossos membros e aos seus familiares e amigos preferidos beneficiar de várias vantagens (tais como bilhetes de prémio, upgrades de cabina, Cash&Miles) com as Milhas Miles&Smiles acumuladas de acordo com o estatuto de membro;
- para realizar transações, tais como acumular Milhas, transferir Milhas, ativar Milhas que estejam desatualizadas, pagar impostos sobre bilhetes com Milhas e resgatar Milhas;
- para permitir reservar um bilhete a partir do website e das aplicações móveis, conceber campanhas especiais para os membros do programa Miles&Smiles através de vários inquéritos, oferecer oportunidades especiais nos aniversários dos nossos membros, fazer bolos de celebração, organizar surpresas e serviços especiais para os nossos membros, tais como valet parking e serviço de motorista privado.
- para realizar operações THY My-Pass;
- caso tenha solicitado uma Afiliação Familiar, para tomar as medidas necessárias em relação às Milhas recolhidas por membros da família. Se o cliente criar uma conta de afiliação familiar, todos os membros da família podem ver os movimentos de conta dos restantes membros da família;
- se o cliente tiver um cartão de bagagem RFID, para informá-lo por SMS sobre o estado da sua bagagem no aeroporto;
- para recompensar os membros fiéis no âmbito de programas de lealdade e acompanhar os comportamentos dos membros para personalizar o programa de acordo com as expectativas dos mesmos;
- para realizar operações de venda e prestar serviços de apoio pós-venda através do site https://www.shopandmiles.com;
- para realizar as nossas operações de gestão das relações com os clientes;
- para prevenir, investigar e/ou denunciar situações de fraude, terrorismo, falsas declarações, incidentes de segurança ou crimes, em conformidade com a legislação aplicável;
- para exercer atividades em conformidade com a legislação;
Poderemos fornecer-lhe um aviso mais específico em relação a alguns dos tratamentos acima descritos e, caso necessitemos do seu consentimento, solicitá-lo-emos no momento em que recolhermos os seus dados pessoais.
Não são tomadas decisões automatizadas, incluindo a definição de perfis, na aceção do artigo 22.º do RGPD. Em caso de alteração, a THY notificará o cliente e cumprirá os requisitos exigidos pelo RGPD.
4. Qual é o nosso fundamento jurídico para o tratamento dos seus dados pessoais?
Nos termos do RGPD, apenas podem ser tratados dados pessoais quando se verifique pelo menos um dos fundamentos de licitude previstos no artigo 6.º do mesmo diploma.
A este respeito, a THY pode invocar vários fundamentos jurídicos nos termos do RGPD, incluindo os seguintes:
- se o cliente nos der o seu consentimento, conforme previsto no artigo 6.º, n.º 1, alínea a) do RGPD. Se for este o caso, os dados pessoais serão tratados apenas no âmbito do consentimento livre e explícito do cliente. O cliente pode retirar o seu consentimento explícito em qualquer momento. Caso decida retirar o seu consentimento, o cliente deve ter em atenção as seguintes implicações: a Turkish Airlines deixará de utilizar os dados pessoais do cliente para as respetivas finalidades para as quais este último tenha retirado o seu consentimento. Consequentemente, poderemos ficar impossibilitados de lhe prestar serviços ou funcionalidades que dependam do tratamento dos seus dados pessoais com base no consentimento. Por exemplo, atualmente os serviços do programa Miles & Smiles baseiam-se no seu consentimento como fundamento jurídico para o tratamento dos seus dados pessoais. Contudo, mesmo após ter retirado o seu consentimento, poderemos, ainda assim, conservar certos dados pessoais conforme for exigido ou permitido por lei, ou para outras finalidades legítimas. Em especial, conservaremos a documentação relativamente à qual nos tenha dado previamente o seu consentimento, porquanto a retirada do consentimento não compromete a licitude do tratamento efetuado com base no consentimento previamente dado.
- se for necessário para estabelecer uma relação contratual e/ou cumprir as obrigações que nos incumbem nos termos de um contrato (serviços de transporte aéreo e outros serviços conexos, entre outros) conforme previsto no artigo 6.º, n.º 1, alínea b) do RGPD;
- conforme previsto na lei ou para finalidades exigidas por lei, como o cumprimento de obrigações jurídicas previsto no artigo 6.º, n.º 1, alínea c) do RGPD;
- conforme for necessário para exercer a nossa atividade e prosseguir os nossos interesses legítimos, caso esses interesses não tenham um impacto negativo sobre os direitos e liberdades fundamentais dos nossos clientes, conforme previsto no artigo 6.º, n.º 1, alínea f) do RGPD.
5. O fornecimento de dados pessoais é um requisito legal ou contratual, ou é necessário para celebrar um contrato? Quais são as consequências do não fornecimento de dados pessoais?
Caso necessitemos que forneça dados pessoais para cumprir obrigações legais ou contratuais, o fornecimento desses dados é obrigatório. Se esses dados não forem fornecidos, não poderemos estabelecer uma relação consigo.
Nos restantes casos, o fornecimento dos dados pessoais solicitados é facultativo. Nestas circunstâncias, se não fornecer os dados pessoais pertinentes ser-lhe-ão claramente explicadas as consequências nessa altura.
6. Como é que mantemos os dados pessoais seguros e por quanto tempo os conservamos?
Adotámos medidas de segurança adequadas para impedir que os seus dados pessoais sejam objeto de perda acidental, ou de utilização, acesso, alteração ou divulgação não autorizados. Além disso, limitamos o acesso aos seus dados pessoais aos trabalhadores, agentes, prestadores de serviços e outros terceiros que tenham uma necessidade de os conhecer. Tais pessoas apenas procederão ao tratamento dos seus dados pessoais sob as nossas instruções específicas, encontrando-se sujeitas a um dever de confidencialidade.
Implementámos procedimentos para lidar com eventuais suspeitas de violação da segurança dos dados e notificaremos o cliente e as entidades reguladoras competentes das suspeitas de violação sempre que estivermos obrigados por lei a fazê-lo.
A THY está sujeita a obrigações legais relativas aos períodos de conservação de dados nos termos da legislação turca, da legislação europeia e, dependendo do país onde o cliente residir ou da legislação que for aplicável, da legislação nacional de um país (por exemplo, EUA, Alemanha, Itália, Espanha, Suíça, entre outros). Uma vez que a THY, enquanto empresa global, tem presença em vários países, com diferentes legislações, os períodos de conservação podem variar de país para país.
Os seus dados pessoais são apagados assim que deixam de ser necessários para as finalidades indicadas. Contudo, teremos por vezes de continuar a armazenar os seus dados até ao final dos prazos e períodos de conservação definidos pelo legislador ou pelas autoridades de controlo, que podem ir até aos 30 anos, nos termos do Código Comercial Turco, do Código Tributário, do Código das Obrigações Turco, de outra legislação europeia aplicável e da legislação nacional de um país da UE. Também poderemos conservar os seus dados até ao final dos prazos de prescrição (até 30 anos, em alguns casos), se tal for necessário para efeitos de declaração, exercício ou defesa de um direito num processo judicial. Após essa data, os dados pertinentes são sistematicamente apagados ou anonimizados.
Se tratarmos dados pessoais para efeitos de marketing ou com o seu consentimento, procederemos ao tratamento dos dados até que nos peça para o interromper e por um curto período após esse pedido, para nos permitir implementá-lo. Também mantemos um registo do facto de nos ter solicitado para não lhe enviarmos materiais de marketing direto ou para tratar os seus dados de modo a podermos respeitar o seu pedido no futuro.
7. A quem transferimos os seus dados pessoais e porquê?
Em certas situações, para as finalidades acima enunciadas, poderemos transferir os seus dados pessoais que tratarmos a terceiros, localizados na Turquia ou no estrangeiro, em conformidade com a legislação nacional e internacional e com o artigo 44.º e seguintes do RGPD. Os terceiros para os quais podemos transferir os seus dados pessoais inserem-se nas seguintes categorias:
- Os nossos parceiros comerciais domiciliados na Turquia ou no estrangeiro: por ex., empresas de aluguer de automóveis, hotéis, prestadores de serviços de operação em terra em aeroportos, agências, prestadores de serviços de transporte, sistemas de distribuição global, companhias aéreas parceiras que lhe prestem serviços durante voos de ligação, no âmbito da acumulação de milhas, diferenciações de produtos, ofertas personalizadas e tarifação dinâmica; resgate de milhas (bilhetes de prémio, upgrades de cabina)
- Empresas do grupo: certos serviços oferecidos pela THY são prestados pelas nossas entidades afiliadas. Neste contexto, os seus dados pessoais podem ser partilhados com as nossas entidades afiliadas em questão. Poderá obter informações mais detalhadas sobre as empresas do nosso grupo através da seguinte ligação: https://www.turkishairlines.com/en-tr/press-room/about-us/index.html;
- Fornecedores: por exemplo, empresas de software que nos prestam serviços técnicos, empresas de pesquisa, agências que prestam serviços no âmbito de campanhas especiais para membros, empresas de segurança, prestadores de serviços de transporte;
- Países de destino do transporte e instituições públicas e privadas autorizadas pela legislação nacional ou internacional: de acordo com a legislação nacional e/ou internacional ou com os regulamentos da aviação civil, as autoridades relevantes e os organismos autorizados do país de partida da sua viagem, ou que sobrevoar; instituições públicas nacionais e internacionais que possam tomar decisões que afetem a THY e/ou as operações da THY; autoridades da aviação civil nacionais e internacionais, tais como o Directorate General of Civil Aviation, a International Air Transport Association, o Office of Foreign Assets Control, o Bureau of Industry and Security, a Transportation Security Administration, entre outros, e para o United States National Security Council, entre outros, quando se viaja para os Estados Unidos da América ou utiliza o respetivo espaço aéreo;
- Autoridades governamentais e/ou agentes da autoridade: os seus dados pessoais podem ser partilhados com autoridades governamentais, agentes da autoridade e/ou organismos executivos ou judiciais (por exemplo, organismos públicos e privados autorizados) se tal for exigido por lei ou for necessário para a proteção dos nossos interesses legítimos em conformidade com a legislação aplicável e/ou em relação a investigações em curso.
Os seus dados pessoais são geralmente tratados na Turquia, na Alemanha e noutros países europeus.
Apenas procedemos à transferência dos seus dados pessoais para fora do EEE em circunstâncias excecionais, caso existam garantias adequadas da existência de um nível de proteção adequado. Em regra, baseamo-nos nas seguintes garantias:
1. Decisão de adequação da Comissão Europeia, atualmente: destinatários em Andorra, Argentina, Canadá, Ilhas Faroé, Guernsey, Israel, Ilha de Man, Japão, Jersey, Nova Zelândia, Suíça, Uruguai e Reino Unido (a lista atualizada e outras informações estão disponíveis em
https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en);
2.1. se tiver explicitamente dado o seu consentimento à transferência prevista, após ter sido informado dos possíveis riscos de tal transferência devido à falta de uma decisão de adequação e das garantias adequadas;
2.2. se a transferência for necessária para a execução de um contrato entre o titular dos dados e a THY;
2.3. se a transferência for necessária para a celebração ou execução de um contrato celebrado no seu interesse;
2.4. se a transferência for necessária por razões importantes de interesse público e/ou outras condições mencionadas no artigo 49.º do RGPD.
3. Exceções ao abrigo do artigo 49.º do RGPD: outros destinatários.
Pode obter mais informações sobre as referidas transferências ou cópias das referidas medidas através dos contactos adiante indicados no Aviso de Privacidade.
8. Quais são os seus direitos enquanto titular dos dados?
Nos termos do RGPD, assistem-lhe os seguintes direitos:
- Direito de acesso (artigo 15.º do RGPD);
- Direito de retificação (artigo 16.º do RGPD);
- Direito ao apagamento (artigo 17.º do RGPD);
- Direito à limitação do tratamento (artigo 18.º do RGPD);
- Direito de portabilidade dos dados (artigo 20.º do RGPD);
- Direito de oposição (artigo 21.º do RGPD).
Tem o direito de se opor a qualquer momento, por motivos relacionados com a sua situação particular, ao tratamento dos dados pessoais que lhe digam respeito com base no artigo 6.º, n.º 1, alínea e) ou f) do RGPD, incluindo a definição de perfis com base nessas disposições. Cessaremos o tratamento dos dados pessoais, a não ser que apresentemos razões imperiosas e legítimas para esse tratamento que prevaleçam sobre os interesses, direitos e liberdades do titular dos dados, ou para efeitos de declaração, exercício ou defesa de um direito num processo judicial.
Quando os dados pessoais forem tratados para efeitos de marketing direto, tem o direito de se opor a qualquer momento ao tratamento dos dados pessoais que lhe digam respeito para os efeitos do referido marketing, o que abrange a definição de perfis na medida em que esteja relacionada com o marketing direto. Caso se oponha ao tratamento para efeitos de marketing direto, os seus dados pessoais deixam de ser tratados para esse fim.
No contexto da utilização dos serviços da sociedade da informação, e sem prejuízo da Diretiva 2002/58/CE, pode exercer o seu direito de oposição por meios automatizados, utilizando especificações técnicas.
- Direito de retirar o consentimento (artigo 7.º do RGPD);
Nos termos do RGPD ou das leis nacionais, estes direitos podem ser limitados, por exemplo, se o cumprimento do seu pedido revelar dados pessoais sobre outra pessoa ou infringir os direitos de terceiros (incluindo os nossos direitos), ou se nos solicitar para apagar informações que somos obrigados por lei a conservar ou que temos interesses legítimos imperiosos em conservar. Estão previstas exceções relevantes no RGPD ou na legislação nacional aplicável. O cliente será informado das exceções relevantes que invocamos ao responder a qualquer pedido que nos apresente.
Caso entenda que não cumprimos a rlegislação sobre proteção de dados ao tratar os seus dados pessoais, pode apresentar uma reclamação junto da autoridade de controlo competente, em conformidade com o disposto no artigo 77.º do RGPD. A autoridade de controlo competente pode ser identificada através da lista disponibilizada em: https://edpb.europa.eu/about-edpb/board/members_en.
A autoridade de controlo competente em Portugal é a “Comissão Nacional de Proteção de Dados”, que pode ser encontrada em: www.cnpd.pt.
Para obter mais informações sobre os seus direitos, consulte: https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/my-rights_en.
Pode obter informações mais detalhadas no Aviso de Privacidade (RGPD) da Turkish Airlines.
9. Responsável pelo tratamento de dados e contactos:
Se pretender exercer os seus direitos enquanto titular dos dados, tiver alguma questão sobre a forma como tratamos os seus dados, pretender comunicar pedidos ou exercer o seu direito de oposição no caso de marketing direto, com base na legislação que lhe é aplicável, pode contactar as seguintes entidades:
Sede da THY:
https://www.turkishairlines.com/tr-tr/bilgi-edin/musteri-iliskileri/geribildirim/
+90 212 444 0 849; +90 212 463 63 63
Türk Hava Yolları A.O. Genel Yönetim Binası, Yeşilköy Mah. Havaalanı Cad. No:3/1 34149 Istanbul, Turquia