Privacy, dati personali e contatti

Vengono raccolte solo le informazioni necessarie per prenotare, gestire e seguire il viaggio.

• Contatto prenotazione: Nome completo, email, telefono o WhatsApp e paese di residenza.
• Biglietteria e obblighi legali: Numero passaporto, nazionalità e data di nascita quando richiesti per voli interni.
• Pagamenti: I dati carta sono gestiti dalla banca autorizzata in ambiente PCI-DSS. Sono visibili solo token di conferma e ultime 4 cifre; numero completo e CVV non vengono conservati.
• Operatività: Categoria hotel, esigenze alimentari, accessibilità, messaggi sul tour e feedback.
• Analitica sito: Cookie anonimi di performance, non cookie identificativi personali.

I dati personali non vengono venduti. Sono usati per prenotazioni, biglietti, hotel, autisti, conferme, promemoria e newsletter opzionali con possibilità di disiscrizione.

Sì. Il trattamento dei dati segue la normativa turca sulla privacy e, per i viaggiatori idonei, diritti equivalenti europei.

• KVKK, legge turca n. 6698: Quadro principale per una società con sede in Turchia e relativi obblighi di titolare del trattamento.
• GDPR: Applicato ai residenti UE e Regno Unito, inclusi diritti di portabilità e opposizione quando pertinenti.
• FADP svizzera: Le richieste dei residenti svizzeri sono gestite con protezioni allineate al livello GDPR.
• Privacy California: Le richieste “do not sell” sono rispettate, anche se i dati personali non vengono venduti.

Non devi citare una legge per fare una richiesta. Un’istruzione chiara come “cancellate i miei dati” o “inviate i miei dati” è sufficiente; viene applicata la protezione più forte pertinente.

I dati personali vengono condivisi solo con fornitori che ne hanno bisogno per erogare la prenotazione, e solo per quello scopo.

• Compagnie aeree: Nome passeggero, numero passaporto e data di nascita per l’emissione del biglietto.
• Hotel: Nome, date soggiorno, note camera e informazioni alimentari quando necessarie.
• Operatori locali e autisti: Nome, telefono, punto di pickup e dimensione del gruppo.
• Processore pagamenti: La banca autorizzata gestisce la transazione; i dati completi della carta non passano dai server locali.
• Autorità: Solo quando richiesto dalla legge o da un ordine giudiziario.

I dati non vengono condivisi con data broker, inserzionisti terzi, società di marketing o partner affiliati di vendita. I dati UE/UK trattati in Turchia sono protetti tramite Clausole Contrattuali Standard e garanzie equivalenti.

Il periodo di conservazione dipende dal tipo di dato e dagli obblighi legali.

• Registri prenotazione e storico pagamenti: Conservati per 7 anni per requisiti fiscali e di audit turchi.
• Riferimenti carta tokenizzati: La banca può conservarli fino a 7 anni secondo PCI-DSS e norme bancarie.
• Copie passaporto: Cancellate dopo il tour. Può restare solo il numero di passaporto nel registro prenotazione per audit fiscale.
• Feedback e reclami: Conservati per 2 anni dopo la risoluzione.
• Lista email marketing: Fino alla disiscrizione; la rimozione avviene di solito entro 24 ore.
• Cookie analitici anonimi: Massimo 13 mesi.

La cancellazione anticipata è possibile per i dati non richiesti dalla legge. Una richiesta di minimizzazione privacy viene di solito completata entro 10 giorni lavorativi.

Puoi esercitare gratuitamente i diritti privacy secondo KVKK, GDPR o il quadro applicabile più protettivo.

• Accesso: Ricevere una copia dei dati conservati su di te.
• Correzione: Sistemare dati di contatto, passaporto o prenotazione errati.
• Cancellazione: Eliminare dati salvo conservazione obbligatoria per registri prenotazione o fiscali.
• Limitazione e opposizione: Sospendere o opporti a determinate attività di trattamento.
• Portabilità: Residenti UE/UK possono richiedere dati in formato JSON o CSV.
• Revoca consenso: Ritirare consensi dati in precedenza per usi futuri.
• Reclami: Puoi rivolgerti al KVKK o alla tua autorità dati locale UE.

Le richieste sono gestite entro 1 mese. I casi complessi possono essere estesi fino a 2 mesi aggiuntivi con spiegazione scritta.

Se una violazione dei dati personali crea rischio per i viaggiatori, l’incidente viene gestito secondo le regole di notifica KVKK e GDPR.

• Rilevamento: Monitoraggio, log di accesso e segnalazioni interne aiutano a identificare attività sospette.
• Contenimento: I sistemi coinvolti vengono isolati e la via della violazione bloccata il prima possibile.
• Valutazione: Entro circa 24 ore vengono analizzati tipi di dati e persone interessate.
• Notifica ai regolatori: KVKK e, se pertinenti, autorità UE vengono informati entro 72 ore dalla consapevolezza quando la legge lo richiede.
• Avviso agli utenti: Se il rischio è alto, i viaggiatori interessati ricevono dettagli e passi consigliati.
• Rimedio: Può includere reset password, coordinamento con banche o supporto di monitoraggio identità dove appropriato.

Le misure di sicurezza includono SSL, database cifrati, accesso per ruoli, audit, nessuna conservazione di CVV o numero carta completo e ambienti produzione/sviluppo separati.

Le richieste privacy possono essere inviate tramite il modulo di contatto su https://cappadociahotairballoon.com/, via email a [email protected], oppure via WhatsApp a +90 505 932 7978, +90 533 554 8555, +90 536 709 5098 e +90 532 450 8227. Le risposte vengono fornite nella lingua preferita del viaggiatore quando possibile.

• Email: Usa [email protected] e inserisci “Privacy request” nell’oggetto.
• Telefono / WhatsApp: Usa i numeri WhatsApp +90 505 932 7978, +90 533 554 8555, +90 536 709 5098 e +90 532 450 8227 tutti i giorni dalle 09:00 alle 18:00 (Istanbul, GMT+3) per questioni privacy urgenti.
• Indirizzo postale: Usa Kocamustafapasa Mah., Kocamustafapasa Cad. No: 107, Fatih / Istanbul / TURKIYE.
• Gestione privacy: Le richieste di protezione dati sono gestite dal team responsabile di direzione e operations.

Richieste semplici come disiscrizione o correzione di un errore vengono spesso gestite entro 24 ore. Accesso e cancellazione sono normalmente processati entro 10 giorni lavorativi, mentre casi complessi con più prenotazioni possono arrivare al massimo legale di 30 giorni.