隐私政策 | North Santorini

1. 引言

体验North Santorini（以下简称“我们”）致力于保护您的个人数据。本隐私政策解释了当您使用我们的网站时，我们如何收集、使用、存储和共享您的信息。 experience-northsantorini.com （“网站”）及相关服务。

根据《通用数据保护条例》(EU) 2016/679（“GDPR”），我们是数据控制者。我们的联系方式已在[此处应填写联系方式]中提供。联系我们以下部分。

2. 我们收集的数据

类别	具体数据	目的	法律依据
账户信息	电子邮件、姓名、电话号码	创建和管理您的帐户	合同履行
预订数据	日期、宾客人数、偏好、特殊要求	处理并完成您的预订	合同履行
联系表格	姓名、邮箱、电话、留言	回复您的询问	合法权益
支付数据	银行卡信息（由 Viva 处理，我们绝不会存储）	安全处理支付	合同履行
技术数据	IP地址、浏览器类型、设备信息、访问页面	安全、性能监控、滥用预防	合法权益
错误监控	JavaScript 错误、堆栈跟踪、匿名会话重放	识别并解决技术问题	合法权益
分析	页面浏览量、引荐来源、匿名访客指标、匿名 IP 地址（Google Analytics）	了解网站使用情况并改进我们的服务	同意

3. 我们如何使用您的数据

我们处理您的个人数据用于以下目的：

完成预订 — 处理您的体验、餐饮、水疗、游轮和接送预订。
处理付款 — 我们通过 Viva 安全地处理交易。我们绝不会将您的银行卡信息存储在我们的服务器上。
交易邮件 — 通过 Resend 发送预订确认、提醒和取消通知。
网站安全 — 使用 Cloudflare 和 Cloudflare Turnstile 防止滥用、机器人攻击和欺诈活动。
错误监控 — 通过 Sentry 识别和修复错误（所有文本均已屏蔽，不收集个人身份信息）。
分析 — 通过 Google Analytics 4（启用 IP 匿名化）和 Vercel Analytics（仅在您同意的情况下）了解访客如何使用我们的网站。
媒体传播 — 通过 Cloudflare R2 和 Mux 提供优化的图像和视频。

4. Cookie 和追踪

我们使用 Cookie 和类似技术来运营我们的网站。您可以随时点击页脚中的“Cookie 设置”来管理您的偏好设置，或者 .

绝对必要的 Cookie

这些 Cookie 对于网站正常运行至关重要，无法禁用。它们包括身份验证令牌（Supabase）、购物车和行程规划存储（localStorage）以及您的 Cookie 同意偏好设置。

分析型 Cookie

经您同意，我们使用 Google Analytics 4 和 Vercel Analytics 来了解访客如何使用我们的网站。Google Analytics 会收集匿名数据（IP 地址已匿名化），并设置诸如 _ga 和 _ga_* 之类的 Cookie 来区分不同的访客。Vercel Analytics 收集匿名页面浏览数据，不使用 Cookie。我们不会与任何第三方共享任何个人信息。您可以随时通过 Cookie 设置选择退出。

功能性 Cookie

经您同意，Sentry可能会录制匿名会话回放，以帮助我们诊断技术问题。所有文本内容和媒体在采集任何数据之前都会被屏蔽。

5. 第三方服务

我们会与以下第三方服务提供商共享数据，根据 GDPR，每个服务提供商都是数据处理者：

服务	共享数据	目的	地点
Supabase	Account data, bookings, profiles	Database and authentication	EU (Frankfurt)
Viva	Payment card details, billing info	Payment processing	EU / US
Vercel	Anonymous page views (with consent)	Hosting and analytics	Global edge network
Google Analytics	Anonymised IP, page views, referrer, device info (with consent)	Website analytics	US (EU DPF certified)
Sentry	Error logs, masked session replays (with consent)	Error monitoring	US (EU DPF certified)
Resend	Email address, name	Transactional emails	US (EU DPF certified)
Cloudflare	IP address, request metadata	CDN, DDoS protection, bot management	Global edge network
Cloudflare R2	Uploaded files (admin only)	Image storage and delivery	Global edge network
Upstash	IP-based identifiers (hashed)	Rate limiting to prevent abuse	EU (Frankfurt)
Mux	IP address, playback metrics	Video streaming and delivery	US (EU DPF certified)

6. 数据保留

我们仅在实现收集您个人数据的目的所必需的时间内保留您的个人数据：

数据类型	保留期限
Account data	While your account is active, plus 30 days after deletion request
Booking records	7 years (Greek tax and accounting requirements)
Contact form submissions	12 months
IP addresses (rate limiting)	24 hours (auto-expire in Upstash)
Error logs (Sentry)	90 days
Analytics data	12 months (aggregated and anonymised)
Payment records	As required by Viva; we do not store card details

7. 您在GDPR下的权利

作为《通用数据保护条例》(GDPR)下的数据主体，您拥有以下关于您个人数据的权利：

访问权 — 请求获取我们持有的关于您的个人数据副本。
更正权 — 请求更正不准确或不完整的数据。
删除权 — 请求删除您的个人数据（但须遵守法律规定的保留义务）。
限制权 — 要求我们限制处理您数据的方式。
数据可移植权 — 以结构化、机器可读格式接收您的数据。
反对权 — 反对基于合法利益的处理。
撤回同意的权利 — 随时撤回对基于同意的处理（例如分析 cookie）的同意，但不影响撤回前处理的合法性。
投诉权 — 您可以向希腊数据保护局 (HDPA) 提出投诉。 www.dpa.gr或您当地的欧盟监管机构。

如需行使上述任何权利，请联系我们：infonorthsantorini.com我们将在30天内回复。

8. 国际数据传输

我们的一些服务提供商会在欧洲经济区 (EEA) 以外处理数据。在这种情况下，我们会确保采取适当的保障措施：

EU-US Data Privacy Framework — Google, Sentry, Resend, Mux, and Vercel are certified under the EU-US Data Privacy Framework.
Standard Contractual Clauses (SCCs) — where the DPF does not apply, we rely on EU-approved Standard Contractual Clauses.
EU-based processing — our primary database (Supabase) and rate limiting infrastructure (Upstash) are hosted in the EU (Frankfurt).

9. 数据安全

我们采取适当的技术和组织措施来保护您的个人数据：

Encryption in transit — all connections use HTTPS/TLS, enforced by Cloudflare.
Password security — passwords are hashed using bcrypt via Supabase Auth.
Row Level Security — database access is restricted so users can only access their own data.
Rate limiting — API endpoints are rate-limited to prevent brute-force and abuse attacks.
Bot protection — Cloudflare Turnstile verifies human users on sensitive forms.
Error monitoring — Sentry provides real-time alerting with all PII masked.

10. 儿童隐私

我们的服务不面向18岁以下人士。我们不会故意收集儿童的个人数据。如果您认为我们无意中收集了儿童的数据，请与我们联系，我们将立即删除。

11. 本政策的变更

我们可能会不时更新本隐私政策，以反映我们做法或适用法律的变更。如有重大变更，我们将更新本页面顶部的“最后更新日期”。对于重大变更，我们可能还会通过电子邮件或在我们网站上发布醒目通知的方式告知您。

12. 联系我们

如果您对本隐私政策有任何疑问，或希望行使您的数据保护权利，请联系我们：

Experience North Santorini
圣托里尼岛皮尔戈斯 847 00
希腊基克拉迪群岛

电子邮件: infonorthsantorini.com
电话: +30 22860 71234

返回顶部