Una prenotazione per una crociera sul Bosforo coinvolge più di un biglietto — una barca, un orario di imbarco, un piano pasti per l'opzione cena, un host privato per lo yacht. Questa politica copre cosa raccogliamo per coordinare tutto questo, perché serve e chi altro lo vede. Linguaggio semplice. Allineato a GDPR + KVKK.
Questo sito è gestito da Istanbul Tourist Information Ltd., licenza TÜRSAB A-7812, partita IVA 3470891204. Sede legale: Sultanahmet Mah. Divan Yolu Cad. 17, 34122 Fatih, Istanbul. Responsabile dati: privacy@istanbul-tourist-information.com.
Copre bosphorus-tour.com — il sito di prenotazione per i quattro prodotti di crociera (Standard, Tramonto, Cena, Yacht privato). Non copre i siti propri degli operatori delle barche o dei rivenditori terzi.
Quattro categorie. Più dati per le prenotazioni dello yacht privato (l'host deve conoscere preferenze alimentari e profilo del gruppo), meno per la crociera diurna standard.
Dati di contatto e prenotazione — nome del titolare della carta, email, telefono, data di imbarco + slot, tipo di crociera, numero di ospiti, preferenze alimentari (opzione cena), note sull'occasione (yacht privato).
Dati di pagamento — carta inserita su Stripe. Ultime quattro cifre + brand conservati per la fattura.
Dati di utilizzo — quali pagine, referrer, classe di dispositivo. Anonimizzati.
Dati di supporto — email e risposta, conservazione 36 mesi.
Esecuzione del contratto — non possiamo informare il capitano e l'host senza i dati della prenotazione. Art. 6(1)(b) GDPR.
Obbligo legale — la legge fiscale turca richiede registri delle transazioni per 10 anni. Art. 6(1)(c) GDPR.
Interesse legittimo — analytics, rilevamento frodi, report di crash. Opt-out tramite il pannello cookie. Art. 6(1)(f) GDPR.
Consenso — marketing e newsletter, opt-in esplicito. Art. 6(1)(a) GDPR.
Direttamente da te. Non acquistiamo elenchi di dati, non arricchiamo con fonti terze, non facciamo fingerprinting dei dispositivi. I dati della carta vanno a Stripe; loro restituiscono un token.
Record della prenotazione: riferimento (prefisso BO-), tipo di crociera, data + ora di imbarco, nome del titolare della carta, email di contatto, telefono, numero di ospiti, preferenze alimentari (ove applicabile), note sull'occasione, importo IVA, totale pagato, storico rimborsi.
Visibili a: te, il nostro team di supporto, il capitano e l'host del giorno (solo nome, numero ospiti, preferenze alimentari e note sull'occasione — mai dati di contatto).
Front come helpdesk. 36 mesi. Non utilizzate per addestramento AI. Non condivise con il marketing.
GA4 con anonimizzazione IP, segnali pubblicitari disattivati, dati demografici disattivati. Sentry per i report di crash con rimozione dei PII. Vediamo cosa si è rotto, non per chi.
| Fornitore | Scopo | Dati conservati | Regione |
|---|---|---|---|
| Stripe | Pagamenti | Token della carta | UE + USA |
| API di vendita esterna | Inventario barche + blocco slot | Tipo di crociera, slot, quantità | Türkiye |
| Email transazionali | Conferma + voucher | Email, riepilogo | UE |
| Google Analytics 4 | Utilizzo anonimizzato | ID sessione anonimo | UE + USA |
| Meta Pixel | Attribuzione annunci (opt-in) | ID opaco | UE + USA |
| Sentry | Report di crash ripuliti | Trace di errore, nessun PII | UE |
| Hosting e CDN | Erogazione del sito | IP, user-agent (transitorio) | UE |
Ogni fornitore ha un DPA firmato, audit annuale.
Non vendiamo, affittiamo o condividiamo per marketing di partner. Solo i fornitori della sezione 08, su istruzioni del processore. Eccezione per ordini legali: vieni avvisato, salvo divieto.
Record di prenotazione — 10 anni. Supporto — 36 mesi. Analytics — 24 mesi. Report di crash — 14 giorni. Cookie marketing — 90 giorni o fino alla revoca.
Infrastruttura primaria: UE (Francoforte, Amsterdam). Stripe e Google instradano negli USA secondo l'EU-US Data Privacy Framework + clausole contrattuali standard.
TLS 1.3. Crittografia DB a riposo. 2FA per tutto lo staff. Pen-test trimestrali. Impegno di notifica violazioni entro 72 ore.
Otto diritti ai sensi di GDPR + KVKK.
Copia completa, SLA di 30 giorni.
Correzioni in giornata.
Oltre la conservazione di 10 anni.
Blocco durante le controversie.
Esportazione JSON/CSV.
Stop al trattamento per interesse legittimo.
Nessuno. Nessun profiling.
Direttamente al KVKK o al Garante UE.
Nessuna raccolta consapevole di dati di minori di 16 anni. Genitori che prenotano per i bambini: il titolare della carta è il genitore; sul voucher compare solo il nome.
Modifiche sostanziali: preavviso via email di 30 giorni. Modifiche minori: il numero di versione si incrementa nell'intestazione.
Una persona, interna. Prima risposta entro otto ore lavorative, 98% dei casi risolti in quindici giorni lavorativi.