ITAエアウェイズのデータ保護

最終更新日：2025年1月21日

Italia Trasporto Aereo S.p.A.（以下「ITAエアウェイズ」または「データ管理者」）は、規則（EU）2016/679号（以下「GDPR」）および 立法令第196/2003号（以下「プライバシー法」）に基づくデータ管理者として、当社ウェブサイト利用者の個人データの機密性の保護に取り組んでいます。GDPR第13条および第14条に基づき、本プライバシー通知は、ウェブサイト​www.ita-airways.com（以下「本ウェブサイト」）またはそのサービスの利用者に対し、本ウェブサイトを通じて取得された個人データの処理方法についてお知らせすることを目的としています。本プライバシー通知は、本ウェブサイト上のリンクを通じてアクセスされる他のウェブサイトには適用されません。

さらに、GDPR第14条に基づき、本プライバシー通知は、本ウェブサイトでの航空券予約時または本ウェブサイトで提供されるその他のサービスに関連して、データ主体により提供された他の旅客の個人データにも適用されます。これには、未成年者または制限行為能力者の個人データが含まれ、利用者がこれらの旅客に対して恒常的または一時的に親権または法定後見権を行使する立場にある場合を含みます。

すべての個人データは、GDPR第5条に定める公正性、適法性、透明性、目的限定および保存期間の制限、データ最小化、正確性、完全性および機密性の原則ならびに説明責任の原則に従って処理されます。

「個人データの処理」とは、個人データ（または個人データの集合）に関して、自動化された手段によるか否かを問わず行われるあらゆる操作（または一連の操作）をいい、例えば、収集、記録、整理、構造化、保存、修正または変更、検索、閲覧、利用、送信や配布による開示、その他の方法による提供、照合または結合、制限、消去または破棄を含みます。

本プライバシー通知におけるデータ管理者は、Italia Trasporto Aereo S.p.A.であり、その時点における法定代表者により代表されます。登記上の本店所在地は、via XX Settembre 97, 00187 Rome（イタリア）です。また、納税者番号（codice fiscale）および商業登記番号は15907661001です。登録電子メールアドレス（PEC）は、[email protected]です。

ITAエアウェイズのデータ保護責任者（DPO）へのご連絡は、上記のデータ管理者の所在地宛て、または電子メール（[email protected]The link will be opened in a new browser tab）にて承ります。

ITAエアウェイズが処理する個人データには、氏名、識別番号、位置データ、オンライン識別子などの識別子、または、利用者が要請するサービスの内容に応じて、識別された、または識別可能な個人に関する身体的、生理学的、心理的、経済的、文化的、社会的特性その他の情報が含まれる場合があります。

以下は、本ウェブサイトの利用に関連して処理されるデータの種類の概要です。

a. ナビゲーションデータ

通常、本ウェブサイトの運営に用いられるコンピュータシステムおよびソフトウェア手続は、インターネット通信プロトコルの仕組みに基づき、利用者に関する個人データを自動的に取得します。これらの情報は、特定のデータ主体に関連付ける目的で収集されるものではありませんが、その性質上、第三者が保有する他のデータと照合・関連付けるなどの処理を通じて、利用者の特定に用いられる可能性があります。このカテゴリのデータには、本ウェブサイトを閲覧する利用者が使用するコンピュータのIPアドレスまたはドメイン名、要請されたリソースのURI（Uniform Resource Identifier）アドレス、要請時刻、要請をサーバーへ送信する方法、応答として取得されたファイルのサイズ、サーバーから返された応答のステータス（成功、エラー等）を示す数値コード、ならびにオペレーティングシステムおよび利用者のコンピュータ環境に関するその他の各種パラメータが含まれます。これらのデータは、本ウェブサイトの利用状況に関する匿名の統計情報を取得し、あわせて本ウェブサイトが適切に動作していることを確認するという目的に限り、データ管理者により利用されます。また、本ウェブサイトまたは第三者に対するサイバー犯罪が発生した場合には、責任の所在を特定するために当該データが利用されることがあります。

b. 利用者が任意に提供するデータ

本ウェブサイト上で別段の定めがない限り、ITAエアウェイズの本通知は、本ウェブサイトの利用者に関する個人データの処理、ならびに、データ管理者が本ウェブサイト上で提供する連絡先（電子メールアドレス等）および／またはコールセンターの窓口を通じて、ITAエアウェイズのカスタマーセンターに対する支援要請および／または情報提供の要請に関連して、利用者が任意に提供した個人データ（電子メールアドレス、個人情報、本人確認情報、フライト情報等）の処理にも適用されます。この場合、利用者には、要請内容の処理に厳密に必要な個人データのみを提供していただくようお願いします。したがって、無関係なデータおよび／またはいわゆる「特別なカテゴリの個人データ」（GDPR第9条にいう、データ主体の人種または民族的出自、政治的見解、宗教上または哲学上の信条、労働組合への加入、遺伝子データ、自然人を一意に識別し得る生体認証データ、健康に関するデータ、性生活または性的指向に関するデータを明らかにする情報）は提供しないでください。もっとも、支援要請の処理に当該データが厳密に必要な場合（移動に制限のある方や障がいのある方への特別支援、食事制限・医療上または宗教上の理由に対応する特別食の手配等）には、この限りではありません。データ管理者は、要請内容の処理に関連しない、または厳密に必要でない個人データについては処理を行わず、速やかに削除します。

GDPR第14条に基づき、データ管理者は、上記の個人データが、支援要請／情報提供要請に関連して提供されたものである場合、未成年者および／または制限行為能力者を含む他の旅客に関する情報を含む可能性があることをデータ主体に通知します。

本プライバシー通知は、オンラインフォームを通じたITAエアウェイズのニュースレターの任意購読に関連して提供される個人データの処理にも適用されます。この場合、購読者の個人データ（氏名等）ならびに連絡先データ（特に電子メールアドレス）が処理されます。

c. オンラインサービスに関連して処理されるデータ

本ウェブサイト上に別段の定めがない限り、本プライバシー通知は、以下のような、オンラインサービスに関連して利用者が提供したデータの処理にも適用されます。

• オンライン発券およびこれに付随する管理業務（購入済みフライトの詳細や変更情報に関する連絡を、利用者が提供した電子メールアドレス宛てに送信すること等）。この場合、以下のデータが処理されることがあります。すなわち、個人データ（氏名、生年月日および出生地、codice fiscale／納税者識別番号、国籍、旅券情報、居住地情報等）、連絡先データ（電子メールアドレス、携帯電話番号等）、フライト情報（出発地および目的地、出発／到着日時、座席番号、受託手荷物、識別コード、特別割引や優待制度の適用対象かどうか、「Volare」ロイヤリティプログラム会員かどうか等）、支払情報（クレジットカード／デビットカード情報、ギフトカードによる支払い、銀行振込の場合の銀行情報等。これには、クレジットカード／デビットカード、銀行振込、PayPal等、選択された支払方法に関連する支払取引情報を含みます。）。この点に関して、GDPR第14条に基づき、銀行またはPayPalは、それぞれ独立したデータ管理者として、支払状況に関する情報をITAエアウェイズに開示します。また、データ主体の同意がある場合（GDPR第9条第2項(a)）には、予約手続および／または航空券の管理に必要な範囲で、「特別なカテゴリの個人データ」（GDPR第9条の意味におけるもの）も処理されることがあります。これには、当事者および／または同一便の他の旅客に特別な配慮を要する事情を生じさせ得る健康状態に関する情報（移動に制限があることおよび／または障がい、食物アレルギー／不耐性、救命用医薬品、電子医療機器・装置を含むその他の健康関連情報）や、特別機内食の要請（コーシャ食、ムスリム食、ヒンドゥー食等）に関連して宗教上の所属が推知され得る情報が含まれます。GDPR第14条に基づき、データ管理者は、本ウェブサイトの利用者に対し、上記の個人データには、未成年者および／または制限行為能力者を含む他の旅客、または航空券購入に使用されたクレジットカードの名義人等の第三者に関する情報が含まれる場合があり、航空券の予約および購入に関連して提供され得ることを通知します。したがって、利用者は、これらの当事者が本プライバシー通知を読み、ITAエアウェイズによる個人データの取扱い方法を理解していることを確認する必要があります。
• WEBチェックイン、航空券の変更、払い戻し、アップグレード、運賃の据置（価格ブロック）サービス、およびこれらに付随する管理業務（搭乗券を添付した電子メール、申請された変更・払い戻しに関する案内、申請されたアップグレードや価格ブロックに関する案内等の通知を、利用者が提供した電子メールアドレス宛てに送信すること等）。これらに関連して、購入したフライトに関する情報（予約番号、航空券識別番号等）、旅客情報、連絡先情報が処理されることがあります。
• オンラインによる申告および苦情申立てサービス。このサービスの利用にあたっては、個人データ、連絡先データ、フライトデータ（予約番号、便名、航空会社番号、日時、出発地および目的地等）、紛失手荷物に関する情報（関連する識別コードであるP.I.R.コードを含みます。）、申告された不具合および／またはサービス上の問題に関する情報、ならびに苦情を裏付けるために提出される各種資料が処理されることがあります。報告および／または苦情申立てに関連する書類をアップロードする際、データ主体は、第三者に関する情報、または要請内容の処理に無関係であり、もしくは厳密に必要でない情報を提供しないでください。そのような情報が提供された場合、データ管理者は当該データを処理せず、速やかに削除します。

個人データの取得元については、主として、本ウェブサイトの閲覧時および本ウェブサイトを通じて提供されるオンラインサービスの利用時に収集されます。ただし、場合によっては、いわゆる「経路変更」および「共同運航」サービスに関連して他の航空会社から、または税関・出入国管理当局等の第三者から個人データを取得することもあります。これらの第三者は、データ主体および他の旅客の個人データおよび連絡先データ、ならびにフライト情報（出発地および目的地、出発／到着日時、座席番号、受託手荷物、便および航空券の識別コード等）を、ITAエアウェイズに開示する場合があります。

また、データ主体がやり取りする提携先事業者から、ITAエアウェイズへの開示について同意が得られていることを条件として、ITAエアウェイズが個人データを受領することがあります。

本ウェブサイトには、ITAエアウェイズの提携先が提供するオンラインサービス（レンタカー、ホテル予約、空港駐車場、Shop&Fly、空港送迎、eSIM、Limoline、RadicalStorage等）へのリンクが掲載されています。これらのサービスは提携先のウェブサイトにより直接提供されるものであり、本ウェブサイトに統合されて表示されている場合であっても、ITAエアウェイズが提供するものではありません。したがって、これらのサービスを利用する場合、提携先は独立したデータ管理者として利用者の個人データを処理します。そのため、本ウェブサイトに表示されている提携先サイトへのリンクをクリックし、各提携先のプライバシーポリシーを確認することをおすすめします。

本ウェブサイトを通じて利用できる会員専用エリアは、Italia Trasporto Aereo S.p.A.およびVolare Loyalty S.p.A.が共同で推進するVolare Loyalty Programme（以下「本プログラム」）に登録した利用者専用です。利用者が本ウェブサイトを通じて本プログラムにサインインし利用する場合、ITAエアウェイズおよびVolare Loyalty S.p.A.は共同データ管理者として、関連するプライバシー通知に従い、利用者の個人データを収集します。詳細については当該プライバシー通知をご参照ください。

d. 第三者の個人データ

本ウェブサイトで利用可能なオンラインサービスを利用する場合、利用者は、要請されたサービスの提供にあたりITAエアウェイズにとって厳密に必要でない第三者の個人データを提供しないでください。

いずれにせよ、第三者の個人データが提供された場合、当該データを提供する者は、当該個人データに関するデータ管理者として取り扱われ、これに伴う一切の法的義務および責任を負うものとします。また、適用されるデータ保護法令に違反して本ウェブサイトの機能を利用した結果、第三者の個人データが処理されたことに起因して、当該第三者からITAエアウェイズに対して提起または申し立てられるあらゆる請求、責任追及、訴訟、損失、損害等について、データ提供者はITAエアウェイズを補償し損害から免責するものとします。いずれにせよ、データ主体が本ウェブサイトの利用に際して第三者の個人データを提供し、またはその他の方法で処理する場合、データ主体はITAエアウェイズに対し、当該第三者の個人データが、当該第三者の同意を得て、またはその他の適法な処理根拠に基づいて処理されていることを表明し、保証し、これを約束するものとします。

e. Cookieおよびその他の追跡技術

本ウェブサイトで使用されるCookieに関する情報（Cookie設定の管理方法に関する情報を含みます。）については、​こちらに掲載されているCookieポリシーをご参照ください。

本通知では、個人データに該当するものを総称して「個人データ」といいます。

すべての個人データは、必要に応じて、データ主体の明確な同意を前提として、以下の目的のために処理されます。

a) 本ウェブサイトを効果的かつ安全に閲覧および利用すること（「本ウェブサイトの閲覧目的」）。

b) 本ウェブサイトを通じてITAエアウェイズが提供する各種サービス（フライトの予約および発券サービス、ならびにこれに付随するWEBチェックイン、航空券の変更、払い戻し、アップグレード、運賃の据置（価格ブロック）サービス等）を効果的かつ安全に利用すること、ならびに、支払処理および管理、請求、苦情対応等を含む関連する契約上、管理上、会計上の業務を遂行すること、また、本ウェブサイトに掲載された電子メールおよび／または電話の連絡先を通じて受領するフライト予約、発券、航空券の変更および払い戻し、販売前後のサポート、特別支援および付帯サービスに関する情報提供・支援の個別要請（販売前・販売後サポートを含みます。）について、ITAエアウェイズの専任チームがフォローアップおよび管理できるようにすること（「発券サービス目的」）。

c) 関連する契約締結前および契約上の販売・サポート義務を履行するために、航空輸送サービスならびに旅行に伴うニーズの管理および支援サービスを効果的に提供すること。これには、いわゆる「リルーティング」および「コードシェア」サービス（これらに関連して、ITAエアウェイズが他の航空会社に対して個人データを移転し、または他の航空会社から個人データを受領する場合があります。）が含まれます。また、利用者が提供した電子メールアドレス宛てに、購入済みフライトの詳細および更新情報を含むサービス上の通知を送信することや、継続中の健康上の緊急事態を効果的に管理し、または搭乗手続を円滑に行うために必要となり得る情報を提供することも含まれます（「航空輸送目的」）。

d) 購入したフライトに関連して、ITAエアウェイズの保険提携先が提供する必須および／または任意の旅行保険に加入する場合、保険サービスの管理および提供を目的として、独立したデータ管理者として行動する当該保険会社に個人データを開示すること（「旅行保険目的」）。

e) 本ウェブサイト上の専用オンラインフォームを通じてデータ管理者が受領した申告および苦情について、対応し処理すること（「申告・苦情対応目的」）。

f) 一般運送約款に基づき、ITAエアウェイズが提供する航空サービスに関するフィードバックを得るため、フライト後アンケートおよび旅客満足度調査票を電子メールで送付すること。これにより、ITAエアウェイズは、航行法第783条ならびにイタリア民間航空局（ENAC）が発行する「Guidelines on Airline Service Quality: Standard Service Charters（航空サービス品質に関するガイドライン：標準サービス憲章）」に定める義務を遵守し、航空会社サービス憲章の作成に資することができます（「旅行体験調査目的」）。

ウェブサイトの閲覧、発券サービス、航空輸送、申告・苦情対応および旅行体験調査の目的で「特別なカテゴリの個人データ」に該当しない個人データを処理する法的根拠は、GDPR第6条第1項(b)です。これは、当該処理が、データ主体に対する契約締結前の義務の履行、契約関係の成立、要請されたサービスの提供、ならびに一般に、ITAエアウェイズが適用する一般運送約款に従ってデータ管理者との間で締結された契約関係の履行および管理に必要であるためです。

一般運送約款に基づき「旅行体験調査目的」のためにフライト後の旅客満足度アンケートを送信する場合、ITAエアウェイズは、データ主体に対し、アンケート機能を当該連絡内で無効化する方法、または[email protected]The link will be opened in a new browser tab宛てに当該連絡の停止を求める申請を行う方法により、いつでも配信停止できる機会を提供します。

発券サービス、航空輸送および申告・苦情対応の目的で、GDPR第9条の意味における「特別なカテゴリの個人データ」を処理する場合、当該処理の法的根拠は、GDPR第9条第2項(a)に基づきデータ主体から取得する同意となります。未成年者および／または制限行為能力者の健康データが提供される場合、その処理に対する明示的な同意は、恒常的または一時的に親権または法定後見権を行使する者が与えなければなりません。

GDPR第9条第2項(a)に基づく「特別なカテゴリの個人データ」の処理に対する同意は、撤回前に行われた処理の適法性に影響を及ぼすことなく、いつでも撤回することができます。

旅行保険目的のために「特別なカテゴリの個人データ」に該当しない個人データを処理する法的根拠は、GDPR第6条第1項(b)です。これは、ITAエアウェイズが、保険金受取人である旅客に代わる保険契約者として、被保険者の個人データ、フライトの詳細、および当該保険の補償内容／制度に関する情報を保険会社に開示する契約上の義務を負うためです。さらに、ITAエアウェイズは、受益者であるデータ主体に代わって締結された保険契約を適切に管理できるようにするため、GDPR第9条第2項(a)に基づきデータ主体から個別の同意を取得した場合に限り、「特別なカテゴリの個人データ」（特に健康データ）を保険提携先に開示することがあります。

上記a)～e)の目的のための個人データの提供は任意です。ただし、当該データが提供されない場合、データ管理者が、要請されたサービスを開始・提供できない、またはデータ管理者が受領した申告および／または苦情について対応・処理を行えないことがあります。

提供された個人データは、さらに、以下の目的のためにITAエアウェイズにより処理される場合があります。

g) データ管理者としての法的義務を履行すること（「法令遵守目的」）。これには、国内法およびEU法に基づく義務の履行、ならびに権限ある監督当局および／または管轄権を有する司法当局および／または行政当局により課される措置への対応が含まれます。具体的には、とりわけ会計・税務上の義務、規則（EC）261/2004号および規則（EC）1107/2006号等の航空による旅客運送に関する適用法令に基づき求められる義務および監督・管理、2005年5月9日付第96号立法令（以下「航行法」）、いわゆる「NO FLY Programme」に基づき旅客の保護を可能な限り確保するための措置（詳細については、本プライバシー通知の「NO FLY Programme」の項をご参照ください）、ならびに公衆衛生および安全、犯罪の検知および取締り、公の秩序および市民保護（犯罪およびテロ対策を含みます）に関する適用法令への対応を含みます。「法令遵守目的」に係る処理の法的根拠は、GDPR第6条第1項(c)に基づく個人データの適法な処理です。また、特にデータ主体の健康に関する情報等の「特別なカテゴリの個人データ」を処理する可能性がある場合の法的根拠は、GDPR第9条第2項(g)およびプライバシー法第2-sexies条第2項(u)に基づきます。

h) 本ウェブサイトおよび関連サービスの利用に関連して、データ管理者に対して行われる詐欺的行為、濫用行為および違法行為を予防し、検知し、訴追し、ならびにこれらに対処すること（「不正防止目的」）。この場合の処理の法的根拠は、GDPR第6条第1項(f)に基づくデータ管理者および／またはその顧客の正当な利益であり、管轄監督当局が発出する措置を遵守しつつ、詐欺的行為、濫用行為および違法行為に対する効果的な保護を確保することを目的とします。

i) 債権回収を含む司法手続または裁判外手続において、法的請求を立証し、行使し、または防御すること（「紛争対応目的」）。これは、GDPR第6条第1項(f)および第9条第2項(f)に基づくデータ管理者の正当な利益を追求するためであり、個人データが提供された後は、裁判所における請求の立証、行使、防御、または管轄司法当局がその権限を行使する場合に当該処理が必要となることがあるためです。

j) プライバシー法第130条第4項およびGDPR第6条第1項(f)に基づき、また、2008年6月19日付のデータ保護当局の措置で定められた範囲内で、データ主体の同意を得ることなく、データ主体が購入した商品および／またはサービスと同種の商品および／またはサービスに関するダイレクトマーケティングの案内を、ITAエアウェイズが電子メールで送信できるようにすること。GDPR第21条に基づき、データ主体は、当初の連絡時であるかその後の連絡時であるかを問わず、いつでも、かかる目的のために自己に関する個人データが処理されることに対して、容易かつ無料で異議を申し立てる権利を有します。この異議申立ては、本プライバシー通知第7項に記載の連絡先宛てにデータ管理者またはDPOへ書面で申し出る方法、または電子メール案内の末尾にあるリンクを利用する方法でも行うことができます（「ソフトスパムによる案内送信目的」）。

k) 航空券または付帯サービスの購入に関心を示し、購入手続を開始したものの完了していない利用者に対し、購入前の段階で提供された電子メールアドレス宛てにリマインダーを送信し、購入手続の完了を促すこと（いわゆる「カゴ落ちからの購入促進」）。
この目的のためのデータ処理は、技術的な問題等により購入手続が未完了となっている場合も含め、未完了の購入手続について利用者に注意喚起するという、ITAエアウェイズおよび利用者の正当な利益のために必要です。

さらに、提供された後のデータ主体の個人データは、GDPR第6条第1項(a)に基づき、データ主体の同意がある場合に限り、以下の目的のために処理されることがあります。

l) ITAエアウェイズのニュースレターを購読し、そのサービス、商品およびオファーに関するダイレクトマーケティングの案内を電子メールで受信すること（「ニュースレター購読目的」）。

ニュースレター購読目的に係る処理の法的根拠は、GDPR第6条第1項(a)に基づき、ニュースレター購読時にデータ主体が与える自由意思による特定の同意です。

データ主体がニュースレター配信を目的とする自己のデータの処理に異議を申し立てたい場合は、本プライバシー通知第7項に記載の連絡先宛てにデータ管理者および／またはDPOへ連絡する方法、または電子メールの末尾にあるリンクを利用する方法により、いつでも行うことができます。

与えられた同意は、撤回前に行われた処理の適法性に影響を及ぼすことなく、いつでも撤回することができます。

ニュースレター購読を目的とする個人データの提供は任意です。当該データの提供を拒否しても、ITAエアウェイズが提供するサービスにいかなる不利益も生じません。

個人データは、本プライバシー通知第3項に定める目的のため、以下の者に提供または開示される場合があります。

• GDPR第29条および第32条ならびにプライバシー法第2-quaterdecies条に基づき、データ管理者から個人データの処理権限を付与された者（営業担当者、管理・会計担当者、販売前後のサポート担当者、CRM担当者、情報システム管理担当者、搭乗手続および受付担当者等）。
• 各種サービスを提供する第三者（技術サービス、サポートおよびアシスタンスサービス、セキュリティサービス、決済サービスの提供者、会計、管理、法務、税務に関する支援および助言を提供する個人／企業／専門事務所、債権回収および不正防止分野で活動する個人および企業、技術保守サービス提供者、ITインフラならびにIT支援・コンサルティングサービス（ソフトウェアおよびウェブサイトの設計・開発を含みます。）を提供する提携先企業、カスタマーサービスを含めITAエアウェイズが提供するサービスのカスタマイズおよび最適化に資するサービス提供会社、コミュニケーションプロジェクトの企画・運営を専門としITAエアウェイズに代わってマーケティング活動を管理する会社等）は、通常、GDPR第28条に基づくデータ処理者として取り扱われます。データ管理者は、当該データ処理者の最新の一覧を保持しており、データ主体は、上記の事業所において、または本プライバシー通知第7項に記載の宛先に申請することにより、当該一覧を閲覧することができます。
• 航空輸送活動に厳密に関連し、またはそれを補助する機能を遂行するにあたり、契約締結前および契約上の販売・支援義務を効果的に履行できるようにする目的で、独立したデータ管理者として行動する第三者。これらの第三者に対しては、フライトの運航ならびに「経路変更」および「共同運航」サービスの実施を含む目的のために、個人データが開示される場合があります（他の航空会社、顧客および利用者の利益のための場合を含め、ITAエアウェイズの業務について管理・監査・認証を行う機関等）。
• ITAエアウェイズの保険提携先が提供する必須および／または任意の保険を付帯して航空券が購入された場合、独立したデータ管理者として行動する保険会社に対して個人データが開示される場合があります。
• 適用法令に基づき、または権限ある当局の指示により、ITAエアウェイズが個人データの開示先とする義務を負う個人、団体または当局（監督当局を含み、いずれも独立したデータ管理者として行動します）。これには、例えば、移民中央局、国境警察、フライトの到着国または出発国である加盟国の旅客情報ユニット（UIP）のデータベース（航空会社としてのITAエアウェイズが、テロ犯罪および重大犯罪の予防、検知、捜査および訴追を目的として、旅客予約記録（PNR）データの利用に関する2016年4月27日付EU指令2016/681号第8条に基づき、旅客予約記録（PNR）データを移転する義務を負う対象）等が含まれます。

上記の当事者を総称して「個人データ受領者」といいます。

本ウェブサイトを通じて収集された個人データは、欧州経済領域（EEA）内に設置されたサーバーを有するデータ管理者の情報システムにおいて処理および保存されます。ITAエアウェイズは、世界各国に旅客を輸送する国際航空会社です。そのため、航空輸送サービスの提供に伴い、業務を適切に遂行し、またデータ主体からの特定の要請に対応するために、個人データを第三国に移転する必要が生じる場合があります。個人データの移転は、データ主体とITAエアウェイズとの間で締結された契約の履行のために必要となる場合があり、また場合によっては、データ管理者としての法的義務を遵守するために必要となることもあります。EEA域外に所在する個人データ受領者に個人データを移転する場合、データ管理者は、GDPR第44条以下の規定に厳格に従って移転が行われることを保証します。これには、例えば、欧州委員会が承認した標準契約条項（SCC）の採用、データの自由な移転に関する国際的な枠組みに参加する主体の選定、または欧州委員会が十分性を認める国に所在する主体の選定等が含まれます。これらの措置は、欧州データ保護会議（EDPB）が2020年11月10日に採択した「勧告01/2020」に沿って講じられます。データ主体は、自己の個人データの移転およびこれに関する保障措置についての追加情報を求める場合、本プライバシー通知第7項に記載の連絡先宛てにデータ管理者および／またはDPOへ申請することができます。

特に、本プライバシー通知第3項(b)および(c)に定める「発券サービス目的」および「航空輸送目的」に関連して、GDPR第45条第3項に基づく十分性認定がなされていないEU域外の国へのフライトにおける旅客の個人データの移転、またはGDPR第46条に基づく適切な保護措置がない場合の当該移転は、GDPR第49条第1項(b)に基づき行われます。これは、当該移転が、データ主体とデータ管理者との間の運送契約の履行、またはデータ主体の要請により講じられる契約締結前の措置の履行に必要であるためです。

詳細は、本プライバシー通知第7項に記載の連絡先宛てに、データ管理者および／またはDPOへ書面で申請することにより入手できます。

収集されたすべての個人データは、GDPR第5条第1項(c)および(e)に定めるデータ最小化および保存期間の制限の原則に従って保存されます。ITAエアウェイズは、データの滅失、違法または不適切な利用、および無権限のアクセスを防止するため、適切なセキュリティ対策を講じています。

本プライバシー通知第3項a)、b)、c)、d)、e)、f)の目的で処理される個人データは、当該目的を達成するために厳密に必要な期間に限り、すなわち、法令により求められる保存期間も考慮したうえで、要請されたサービスを提供するために必要な期間のみ保存されます。

上記第3項l)に定めるニュースレター購読目的に関しては、データ主体の本人確認情報および連絡先情報は、GDPR第7条に基づき同意が撤回されるまで、またはGDPR第21条に基づき当該データの処理に異議が申し立てられるまで処理されます（2020年10月15日付の個人データ保護当局の決定に整合します）。

ソフトスパムによる案内送信目的（本プライバシー通知第3項(j)）のために処理される本人確認情報および連絡先情報は、データ主体が、各ソフトスパムメールの末尾にあるリンクを通じて、または上記第7項に記載のその他の方法により当該処理に異議を申し立てるまで、ITAエアウェイズにより保存されます。また、ソフトスパム（第3項(j)）の定義の範囲内で購入され、かつ処理されたフライトおよびサービスに関する個人データは、登録日から12か月間保存されます。ただし、この期間の満了前に当該処理に対する異議申立てが行われる可能性を妨げるものではありません。

一般に、データ管理者は、管轄当局への個人データの提出に関する義務または命令を含む法的義務を履行するために必要な期間、または権利保全・防御上の必要性に対応するために必要な期間、当該データを保存する権利を留保します。「NO FLY Programme」に関連して提供される個人データの保存期間については、航行法に定める義務に従い、下記第9項をご参照ください。

個人データの滅失、違法または不適切な利用、ならびに無権限のアクセスを防止するため、具体的なセキュリティ対策が講じられています。いずれにせよ、データ管理者は、保存の必要性を定期的に確認することにより、すべての個人データが、GDPRにより求められる適切性、関連性およびデータ最小化の原則に従って処理されることを表明し、保証します。

データが収集・処理された目的が達成された場合、ITAエアウェイズは、当該データを自社のシステムおよび記録から削除し、またはデータ主体を特定できないようにするため、当該データを匿名化するための適切な措置を講じます。

データの保存期間および当該期間を決定するために用いられる基準に関する詳細は、本プライバシー通知第7項に記載の連絡先宛てに、データ管理者および／またはDPOへ書面で申請することにより入手できます。

データ主体は、以下に記載する連絡先宛てにデータ管理者および／またはDPOへ連絡することにより、自己の権利を行使し、または自己のデータの処理に関する情報を請求することができます。この際、可能であれば、「Request to exercise data protection rights」（データ保護に関する権利行使の申請）という件名を記載してください。

データ主体は、いつでも以下の権利を行使することができます。

1. 同意を撤回する権利（GDPR第7条）— データ主体は、いつでも自己の同意を撤回する権利を有します。同意の撤回は、撤回前に与えられた同意に基づく処理の適法性に影響を及ぼしません。

2. アクセス権（GDPR第15条）— データ主体は、自己に関する個人データが処理されているか否かについて確認を得る権利、ならびに当該処理に関する情報を取得する権利を有します。

3. 訂正を求める権利（GDPR第16条）— データ主体は、不正確な個人データの訂正、または不完全な個人データの補完を求める権利を有します。

4. 消去を求める権利（GDPR第17条）— 一定の場合、データ主体は、データ管理者の記録から自己に関する個人データの消去を求める権利を有します。

5. 処理を制限する権利（GDPR第18条）— 一定の場合、データ主体は、自己に関する個人データの処理の制限を求める権利を有します。

6. ポータビリティの権利（GDPR第20条）— データ主体は、自己に関する個人データを、構造化され、一般的に利用され、かつ機械可読な形式で、他のデータ管理者に移転する権利を有します。

7. 異議申立ての権利（GDPR第21条）— データ主体は、自己の個別の状況に関連する理由に基づき、自己に関する個人データの処理に異議を申し立てる権利を有します。データ管理者は、当該申立てを審査する権利を留保します。なお、データ主体の利益、権利および自由に優先する処理上の重大な正当な理由がある場合には、当該申立てが認められないことがあります。さらに、データ主体は、受信した商用電子メールの末尾に記載された専用リンクを利用することにより、いわゆる「ソフトスパム」通信に異議を申し立て、当該通信の受信を停止することができます。いずれの場合においても、データ主体は、以下に記載する連絡先宛てにデータ管理者および／またはDPOへ書面で連絡することにより、当該権利をいつでも行使することができます。

8. 監督当局に対する苦情申立ての権利（GDPR第77条）— 下記に示す手続に従い、自己に関する個人データの処理がGDPRに違反しているとデータ主体が考える場合、当該データ主体は、自己の常居所または勤務先のある加盟国の監督当局、または違反が生じたとされる場所を管轄する監督当局に対し、苦情を申し立てることができます。

9. 効果的な司法救済を受ける権利（GDPR第79条）。

上記の権利を行使するため、データ主体は、法定代表者を通じてデータ管理者に連絡することができ、登記上の本店所在地（Via XX Settembre 97, 00187 Rome, Italy）宛てに書面を送付する方法、または登録電子メールアドレス（PEC）[email protected]The link will be opened in a new browser tab宛てに連絡する方法があります。

または、データ主体は、ITAエアウェイズのデータ保護責任者宛てに、Via XX Settembre 97, 00187 Rome, Italyへ書面を送付するか、[email protected]The link will be opened in a new browser tab宛てに電子メールを送信することにより、以下の情報を記載のうえ連絡することができます。

• 氏名、郵送先住所。
• 請求内容の詳細。
• 予約番号または便名および搭乗日（ITAエアウェイズが運航する便に関する請求の場合）。

データ管理者は、適用法令の変更を含め、本プライバシー通知の全部または一部を変更または更新する権利を留保します。そのため、利用者は、本ポリシーの最新版をご確認いただくため、本項を定期的にご参照ください。

ITAエアウェイズは、航行法に基づき、運航者として、またその代表者および／または担当者を通じて、旅客および当社に対する高度な保護を確保するため、迅速な安全上の判断を行う義務を負っていることを利用者にお知らせします。このため、ITAエアウェイズは「NO FLY Programme」を設けており、次のいずれかに該当する旅客をブラックリストに登録し、自社便への搭乗を禁止することができます。

a. 攻撃的、虐待的、またはその他の反社会的行為を行った者。

b. 当社の財産を損壊した、または損壊しようとした者。

c. 提供されたサービスを不正に利用した者、またはより一般に、飛行の安全を危険にさらすおそれのある行為を行った者。

旅客の行為の重大性を総合的に評価した結果、ITAエアウェイズは、当該旅客による自社便への搭乗を禁止する場合があります。「NO FLY Programme」に登録された旅客に対する搭乗禁止期間は、3か月から18か月までとし、飛行の安全および／または会社資産に関わる極めて重大な行為があった場合には、最長5年までとすることがあります。搭乗禁止措置が解除された後も、当該旅客の氏名は、専ら管轄の法執行機関への対応、または訴訟が生じた場合の防御目的のため、さらに5年間保存されます。5年の保存期間が経過した後、当該データは完全に削除されます。

本ウェブサイトを通じて提供されるサービスを利用するには、利用者は14歳以上である必要があります。14歳未満の未成年者の個人データは、恒常的または一時的に親権もしくは法定後見権を行使する者の承認がある場合に限り、適法に処理されます。詳細については、「​旅行の計画」ページをご参照ください。

本ウェブサイトでは、掲載情報の参照および閲覧を支援する目的で、バーチャルチャットによるサポートサービスを提供しています。リアルタイムのチャットサポートは、利用者のプロフィールやITAエアウェイズの顧客管理システムと連携していないため、個人データを処理するものではありません。したがって、フライト番号等の情報を含め、チャットの利用にあたり個人データを入力する必要はありません。なお、チャットではこれらの個別情報に基づく対応はできませんので、個人データの入力はお控えください。万一、誤って個人データを入力された場合には、当該データは直ちに削除または匿名化されます。

バーチャルチャットで提供される質問および回答は、ウェブサイトの利便性および掲載内容の改善を目的とするビジネスインテリジェンス分析のために、集計・匿名化された形式でのみ、ITAエアウェイズによって利用されます。