Retningslinjer for personvern

Scandinavian Airlines System Denmark-Norway-Sweden er behandlingsansvarlig for behandlingen beskrevet nedenfor. I disse retningslinjene viser «SAS» til Scandinavian Airlines System Denmark-Norway-Sweden. «SAS Group» betyr alle selskaper der SAS AB (publ) direkte eller indirekte, fra tid til annen, eier eller kontrollerer mer enn 50 prosent av aksjene.

SAS har oppnevnt et personvernombud for å hjelpe SAS med å sikre at dine personopplysninger blir beskyttet på rett måte. Du kan kontakte vårt personvernombud med spørsmål eller forespørsler om vår behandling av personopplysningene dine ved å sende en epost til dataprotectionofficer@sas.se.

SAS innhenter personopplysninger om deg som du oppgir til oss når du benytter våre nettsider eller tjenester, for eksempel når du bestiller en tur og reiser, når du kontakter vår kundeservice eller bruker vår mobil-app.

Vi kan også samle inn personopplysninger om deg fra informasjonskapslene på nettstedet vårt. Du kan lese mer om informasjonskapsler i våre Retningslinjer for informasjonskapsler.

Avhengig av hvordan og i hvilken utstrekning du bruker SAS sine nettsider og SAS sine tjenester, vil SAS kunne behandle ulike kategorier av informasjon om deg.

I avsnittet nedenfor finner du informasjon om SAS’ behandling av dine personopplysninger, hvilke typer opplysninger vi behandler, formålet med behandlingen, det juridiske grunnlaget for behandlingen og lagringstiden for personopplysningene.

Aktiviteter der SAS behandler personopplysninger

Bestilling og reiser med SAS

**Opplysningstype:
**Identifikasjons- og kontaktinformasjon, f.eks. navn, fødselsdato, kjønn, adresse, e-postadresse, informasjon om reisedokumenter (passnummer, nasjonalitet osv.)
Reiseinformasjon, f.eks. flynummer, reiseklasse, avgang og destinasjon, måltider, forespørsler om spesialtjenester, bagasjeinformasjon, uregelmessigheter i reisen.

Økonomisk og betalingsinformasjon, f.eks. kredittkortinformasjon, transaksjonsdata.

Passenger name record (PNR) er personopplysninger som gis av passasjerer og samles inn og lagres av flyselskaper. Det inkluderer følgende personopplysninger: navn på passasjeren, passdetaljer, reisedatoer, reiseruter, seter, bagasje, kontaktinformasjon, bonusnummer, betalingsmåter og forespørsler om spesialtjenester (SSR) som krav til måltider og/eller assistanse.

**Formålet med behandlingen:
**Formålet med behandlingen av opplysningene i denne aktiviteten er at SAS skal administrere og utføre reisen du har bedt om. Dette inkluderer varsler og kommunikasjon relatert til reisen din. PNR-opplysninger er nødvendig for å kunne levere tjenestene vi tilbyr som flyselskap.

**Juridisk grunnlag:
**Det juridiske grunnlaget for å behandle personopplysningene som er utelukkende relatert til bestillingen din, er for å oppfylle våre kontraktsforpliktelser overfor deg når du bestiller en reise med oss, se GDPR art. 6 nr. 1 b.

Det juridiske grunnlaget for f.eks. innsjekkingspåminnelser, er vår legitime interesse i å tilby deg tjenester, se GDPR art. 6 nr. 1 f. Når SAS bruker vår legitime interesse som juridisk grunnlag, dokumenterer vi SAS' legitime interesse i å levere aktiviteten og personens rett til integritet i en legitim interessevurdering (LIA).

Det juridiske grunnlaget for å dele noen av opplysningene om deg med myndigheter for formål knyttet til blant annet innvandring, politi og tollkontroller er en del av vår juridiske forpliktelse, se GDPR art. 6 nr. 1 c.

Det juridiske grunnlaget for håndtering og lagring av økonomiske opplysninger er vår juridiske forpliktelse overfor regnskapslovverket, se GDPR art. 6 nr. 1 c.

Lagringstid: Hvis du bestiller en tur med SAS, vil vi lagre dine data i ti år etter at turen er fullført for å oppfylle juridiske krav og behandle eventuelle klager.

Markedsføring, kundestøtte og service.

Opplysningstype:
Kommunikasjon, f.eks. kontakt med kundestøtte, opptak av telefonsamtaler, markedsføringsmeldinger, nyhetsbrev, tilbakemeldingsskjemaer, klager, refusjoner.

Formålet med behandlingen:
Formålet med denne behandlingen er å utvikle og markedsføre våre tjenester, og gi støtte til våre kunder gjennom ulike prosesser.

Juridisk grunnlag:
Det juridiske grunnlaget for å kontakte deg om tjenestene våre etter at du nylig har bestilt en reise med oss, er vår legitime interesse i å markedsføre tjenestene våre, se GDPR art. 6 nr. 1 f. Du vil alltid ha mulighet til å velge bort denne kommunikasjonen.

Det juridiske grunnlaget for direkte markedsføring er ditt samtykke, se GDPR art. 6 nr. 1 a.

Det juridiske grunnlaget for behandling av dine opplysninger for formål knyttet til kundestøtte og kundeservice er våre kontraktsforpliktelser og regulatoriske krav, se GDPR art. 6 nr. 1 b og GDPR art. 6 nr. 1 c.

Lagringstid:
Vi vil lagre dine personopplysninger så lenge det er nødvendig med hensyn til formålet med behandlingen.

Vi lagrer opplysningene dine i 12 måneder etter en fullført reise for å ha mulighet til å sende deg informasjon om lignende tjenester.

Analysering, statistikk og brukertester

Opplysningstype:
Vi kan behandle dine personopplysninger som reisehistorikk, bestillingsinformasjon og kundebehandlingsdata. I brukertester behandler vi kontaktinformasjonen og svarene du gir i brukertestene.

Formålet med behandlingen:
Formålet med behandlingen er at det er nødvendig for å utvikle og optimalisere vårt kundetilbud, kundeservice, flygningsnettverk, digitale plattformer, forretningsmodell og prissetting. Vår bruk av opplysninger for statistiske og analytiske formål vil forekomme utelukkende på et aggregert nivå. Dette betyr at vi ikke analyserer opplysningene dine på et individuelt nivå.

Formålet med brukertester er å forbedre våre produkter, tjenester og tilbud.

Juridisk grunnlag:
Det juridiske grunnlaget for behandling av personopplysninger for analyse- og statistikkformål er vår legitime interesse i å optimalisere våre tjenester og forretningsmodell, se GDPR art. 6 nr. 1 f. Når SAS bruker vår legitime interesse som juridisk grunnlag, dokumenterer vi SAS' legitime interesse i å levere aktiviteten og personens rett til integritet i en legitim interessevurdering (LIA).

Det juridiske grunnlaget for brukertester er ditt samtykke, som vi ber om før du starter brukertesten, se GDPR art. 6 nr. 1 a, eller det juridiske grunnlaget vår legitime interesse i å forbedre våre produkter og tjenester, se GDPR art. 6 nr. 1 f. Når SAS bruker vår legitime interesse som juridisk grunnlag, dokumenterer vi SAS' legitime interesse i å levere aktiviteten og personens rett til integritet i en legitim interessevurdering (LIA).

Lagringstid:
Vi vil lagre dine personopplysninger så lenge det er nødvendig med hensyn til formålet med behandlingen.

Nettatferd

Opplysningstype:
Digitale detaljer og atferd, f.eks. påloggingsinformasjon, IP-adresse, bruk av nettsidene (krever samtykke).

Formålet med behandlingen:
Formålet med denne behandlingen er å gi deg en tilpasset opplevelse av nettstedet vårt.

Juridisk grunnlag:
Det juridiske grunnlaget er ditt samtykke, som du har gitt på nettstedet vårt, se GDPR art. 6 nr. 1 a.

**Lagringstid:
**Se våre retningslinjer for informasjonskapsler for lagringstider.

Profilkonto

Opplysningstype:
Informasjon du gir oss når du registrerer en profilkonto, for eksempel navn, adresse, e-postadresse, telefonnummer osv.

Formålet med behandlingen:
Formålet med behandlingen er å gi kunder muligheten til å registrere en profilkonto hos SAS og administrere tjenesten.

Juridisk grunnlag:
Det juridiske grunnlaget for denne behandlingen er vår forpliktelse til å overholde vilkårene for profilkontoinnehavere, se GDPR art. 6 nr. 1 b.

Lagringstid:
SAS lagrer disse opplysningene så lenge du har en profilkonto.

Rekruttering

Opplysningstype:
Rekrutteringsinformasjon når du søker jobb hos SAS, f.eks. kontaktinformasjon, tidligere erfaring og referanser.

Formålet med behandlingen:
Formålet med denne behandlingen er å legge til rette for rekrutteringsprosessen.

Juridisk grunnlag:
Det juridiske grunnlaget for behandling av rekrutteringsdata er behovet for å gjennomføre en avtale som den berørte personen er en del av, for å iverksette tiltak for å oppfylle en kontrakt, se GDPR art. 6 nr. 1 b.

**Lagringstid:
**Hvis du søker jobb hos SAS, lagrer vi søknaden din i 24 måneder, i samsvar med regulatoriske krav.

Tilskudd og pensjonsklubb

Opplysningstype:
Informasjon når du søker tilskudd fra våre stiftelser eller informasjon om ditt medlemskap i pensjonsklubben.

Formålet med behandlingen:
Formålet med behandlingen av disse opplysningene er at SAS skal administrere og utføre aktivitetene.

Juridisk grunnlag:
Det juridiske grunnlaget for behandling av disse personopplysningene er fordi det er nødvendig for å oppfylle våre vilkår for tilskuddssøknader og medlemskap, se GDPR art. 6 nr. 1 b. For andre aktiviteter er det juridiske grunnlaget vår legitime interesse i å tilby deg tjenester, se GDPR art. 6 nr. 1 f. Når SAS bruker vår legitime interesse som juridisk grunnlag, dokumenterer vi SAS' legitime interesse i å levere aktiviteten og personens rett til integritet i en legitim interessevurdering (LIA).

Lagringstid:
SAS lagrer disse opplysningene i syv år, i henhold til regulatoriske krav.

SAS For Business

Opplysningstype:
Navn, e-post, telefonnummer, reisedetaljer: flygningsdetaljer (bestilte og fullførte reiser), kjøpte tilleggstjenester. SAS Travel Pass: produktinformasjon, reisehistorikk, betalingsdetaljer.

Formålet med behandlingen:
Formålet med behandlingen er å legge til rette for selskaper tilknyttet SAS' Bedriftsprogram og de reisende som reiser gjennom denne avtalen.

Juridisk grunnlag:
Det juridiske grunnlaget for behandling av disse personopplysningene er for å oppfylle våre kontraktsforpliktelser overfor selskaper tilknyttet SAS' Bedriftsprogram når en reise med oss bastille, se GDPR art. 6 nr. 1 b.

Lagringstid:
Hvis du bestiller en tur med SAS For Business, vil vi lagre dine data i ti år etter at turen er fullført for å oppfylle juridiske krav og behandle eventuelle klager.

Spesielle kategorier av personopplysninger

Noen spesielle kategorier av personopplysninger er spesielt sensitive og trenger ekstra beskyttelse, f.eks. helseopplysninger. Formålet med SAS’ behandling av sensitive opplysninger som gis av reisende er å gi den samme servicen til alle reisende og levere tjenestene som er kjøpt. Dette betyr at SAS også deler sensitive opplysninger med tredjeparter under reiser. Disse opplysningene kalles for SSR-informasjon («special service request») og følger en IATA-standard som brukes på tvers av flyselskapbransjen. Sensitive opplysninger behandlet av SAS:

• Behov for rullestol, båre eller seng på flyplassen og/eller inflight

• Medisinske behov og egnethet for reiser

• Funksjonshemninger og behov for spesialassistanse og/eller tjenestedyr

• Spesielle måltider basert på medisinske behov eller religiøse overbevisninger

• Passasjerer som reiser inkognito eller i varetekt

• Reisende som er deportert

Denne behandlingen av personopplysninger er nødvendig for å oppfylle våre kontraktsforpliktelser overfor deg når du bestiller en reise med oss, se GDPR art. 6 nr. 1 b.

Opplysninger knyttet til mindreårige under 18 år

SAS behandler ingen opplysninger om reisende under 18 år for noen andre formål enn en spesifikk reise eller for å administrere en profilkonto eller EuroBonus-konto.

Bruk av SAS-mobilappen

Du kan laste ned mobilappen vår for å blant annet søke etter flygninger og bestille reise, hotell eller leiebil, administrere bestillingen din og sjekke inn. Vi vil behandle dine personopplysninger i vår mobilapp på samme måte og for samme formål som beskrevet i disse retningslinjene for personvern og tabellen ovenfor. SAS-appen («SAS App») inneholder imidlertid noen tilleggsfunksjoner sammenlignet med nettstedet som er beskrevet i dette avsnitt 8. For de fleste slike tilleggsfunksjoner har vi vurdert at vi har en legitim interesse i å behandle dine personopplysninger for å levere en nyttig app. Når en aktivitet i stedet er basert på ditt samtykke, vil vi be om det før funksjonen brukes.

SAS vil bare dele dine personopplysninger med selskaper innen SAS Group bortsett fra i de unntakstilfellene som beskrives nedenfor.

Internasjonale myndigheter og rettshåndhevende organer

På grunn av obligatoriske krav fra utenlandske myndigheter og for å muliggjøre gjennomføring av de reiseplanene du har valgt, kan SAS være underlagt en forpliktelse til å gi utenlandske myndigheter tilgang til visse PNR-data og Advanced Passenger Information («API»), med hensyn til passasjerer som flyr til, fra eller over land både i og utenfor EU og Det europeiske økonomiske samarbeidsområdet («EØS»), inkludert USA. Slike data brukes primært for å forhindre og bekjempe terrorisme og annen alvorlig kriminalitet. I tillegg styres PNR og API gjennom direktiv 2016/681/EU.

Underleverandører og tredjeparter

Hvis det er nødvendig for at vi skal være i stand til å gjennomføre din flygning og tilby våre tjenester i samsvar med våre vilkår og betingelser for reiser, vil dine personopplysninger også bli delt med:

• Andre flyselskap og selskaper som er involvert i leveringen av tjenesten du ønsker å benytte deg av;

• Selskaper som er del av bestillingen og gjennomføringen av flygningen din, f.eks. reisebyråer, fraktspeditører og agenter;

• IT-leverandører og utviklere som sørger for driften og sikkerheten til våre IT-systemer på vegne av SAS;

• Kredittkortselskaper som SAS samarbeider med for å tilby ulike betalingsløsninger.

• Sikkerhetsfirmaer og virksomheter som arbeider med å forebygge og bekjempe bedrageri og nettangrep;

• Andre partnere som selskaper som tilbyr tjenester som du kan vurdere å kjøpe i forbindelse med reisen din, for eksempel hotellkjeder, bilutleiefirmaer og forsikringsbyråer.

Hvis du bestiller en reise med SAS via nettsidene og/eller SAS’ kanaler eller via et reisebyrå, vil SAS og SAS EuroBonus AB («EB») behandle e-postadressen du oppga da du bestilte, som fellesansvarlige, for å bekrefte om du er medlem av EuroBonus-programmet eller ikke.

Denne begrensede behandlingen av personopplysninger er basert på våre legitime interesser i administreringen av EuroBonus-programmet, se GDPR art. 6 nr. 1 f. Hvis du ikke er medlem av EuroBonus-programmet, vil ingen videre behandling bli gjort av SAS og EB som felles behandlingsansvarlige.

Personopplysninger vil bli overført mellom selskaper i SAS Group, inkludert for iverksetting av våre internasjonale flygninger, for å administrere og opprettholde din konto og ditt medlemskap og for statistiske formål.

Personopplysninger som blir delt innenfor SAS Group eller med underleverandører og tredjeparter som beskrevet i avsnitt 4.2, vil noen ganger bli overført til land som ikke er medlemmer av EU eller EØS, og som ikke sørger for et tilfredsstillende nivå av sikkerhet for personopplysninger. Slike overføringer vil bli utført i samsvar med gjeldende lovverk om personvern, som f.eks. adekvansbeslutninger og andre kontraktsklausuler. SAS Group overfører personopplysninger til følgende land utenfor EU/EØS for sporadiske tjenester knyttet til våre prosesser som flyselskap: USA, Kina, India, Indonesia, Brasil, De forente arabiske emirater, Tyrkia, Albania, Montenegro, Sør-Afrika, Peru, Etiopia, Ukraina, Libanon, Colombia, El Salvador, Costa Rica, Mexico, Australia, Thailand, Egypt, Russland, Taiwan og Singapore.

Når personopplysninger overføres til et land utenfor EU/EØS som ikke har tilfredsstillende nivåer av beskyttelse for personopplysninger, vil vi iverksette passende tiltak, vanligvis ved å inkludere en standard kontraktsklausul som er etablert av Europakommisjonen. De standard kontraktsklausulene kan leses via følgende lenke: Standard kontraktsklausuler (SCC) (europa.eu)

Hvis både en beslutning om tilstrekkelige nivåer av beskyttelse av EU-kommisjonen og etablerte passende sikkerhetstiltak i form av standard kontraktsklausuler i samsvar med det ovennevnte mangler, vil vi kun overføre dine personopplysninger når det er nødvendig for å oppfylle våre kontraktsforpliktelser overfor deg, se GDPR art. 49 nr. 1 b, for eksempel for å utføre dine reiser eller for å utføre våre forpliktelser i henhold til EuroBonus- og profilkontovilkårene.

Vi har iverksatt omfattende tekniske og organisatoriske tiltak for å beskytte dine data mot tap, misbruk og uautorisert tilgang. Behandling og overføring av data mellom din nettleser og vår server blir grundig beskyttet gjennom kryptering og vi oppdaterer kontinuerlig våre sikkerhetstiltak.

Når du betaler for noen av våre tjenester ved hjelp av et kort, blir alle opplysninger sendt via en sikker forbindelse for å sikre at dine personopplysninger ikke kan leses av tredjeparter. De aktørene vi samarbeider med når det gjelder kortbetalinger er alle sertifiserte i samsvar med den internasjonale sikkerhetsstandarden PCI-DSS, som innebærer et svært høyt nivå av sikkerhet for behandlingen av dine kortdetaljer.

Analyse og nettadferd

Vi bruker visse teknologifunksjoner (lignende informasjonskapsler) som unike identifikatorer knyttet til enheten din i SAS-appen for å hjelpe til med å administrere appen og forbedre opplevelsen din og tjenestene våre. Slike funksjoner kan leveres av tredjeparter. Etter at du har lastet ned SAS-appen, vil vi be om ditt samtykke til å aktivere slike funksjoner. Hvis du velger å tillate slike funksjoner, kan du når som helst kontrollere innstillingene i SAS- appen under Varslinger. Det juridiske grunnlaget for denne behandlingen er ditt samtykke, se GDPR art. 6 nr. 1 a. Opplysningene lagres så lenge vi har ditt samtykke.

Mobil pushvarslinger

Med ditt samtykke bruker vi pushvarsler for å sende deg direkte meldinger med flyrelatert tjenesteinformasjon som åpning av innsjekking, endring av utgang eller forsinkelser osv., samt reklame og spesialtilbud. Du kan når som helst kontrollere innstillingene dine i SAS-appen under «varslinger». Vi lagrer enhetens ID-bakstykke for å aktivere pushvarslinger. Det juridiske grunnlaget for denne behandlingen er ditt samtykke, se GDPR art. 6 nr. 1 a. Opplysningene lagres så lenge vi har ditt samtykke.

Lagrede reisende

Du har muligheten til å lagre personopplysninger om deg selv og personer du reiser med lokalt på mobilenheten din i SAS-appen. Dette sikrer at den nødvendige informasjonen er forhåndsutfylt under bestillingen eller innsjekkingsprosessen for å muliggjøre en mer praktisk prosess. Personopplysninger som lagres på enheten din behandles kun lokalt i appen, og vil ikke bli samlet inn av SAS.

Teknisk støtte / appstøtte

Vi har en appstøttefunksjon som kan hjelpe deg med eventuelle tekniske problemer eller feil som oppstår når du bruker SAS-appen eller sender tilbakemeldinger. Vi vil kun behandle dine personopplysninger i den grad det er nødvendig for å løse saken din. Vi vil også lagre visse opplysninger om bruk av SAS-appen for å kunne feilsøke tekniske problemer. Det juridiske grunnlaget for denne behandlingen er vår legitime interesse i å tilby deg service og støtte, se GDPR art. 6 nr. 1 f. SAS lagrer disse opplysningene så lenge som trengs for å løse saken din.

Historiske flygninger

SAS-appen har en funksjon som viser flyhistorikken din hos SAS, der du kan se detaljer om hver flygning, som opprinnelse og destinasjon, dato, fly-kilometer, setenummer og om du har vært ombord i flygningen. Det juridiske grunnlaget for denne behandlingen er vår legitime interesse i å tilby deg denne funksjonen, se GDPR art. 6 nr. 1 f.

Bagasje-sporing

Med denne funksjonen kan du spore innsjekket bagasje og se hvor bagasjen din befinner seg for øyeblikket, basert på hvor bagasjelappen sist ble skannet.

Sted

SAS-appen kan med ditt samtykke innhente informasjon om din geografiske plassering. Denne funksjonen brukes når du bestiller en flygning i SAS-appen, slik at vi kan vise deg den nærmeste flyplassen for avreise ved å bruke plasseringen til enheten din. Slike data samles ikke inn eller lagres av SAS, og du kan kontrollere ditt samtykke i innstillingene til SAS-appen på enheten din. Det juridiske grunnlaget for denne behandlingen er ditt samtykke, se GDPR art. 6 nr. 1 a. Opplysningene lagres så lenge vi har ditt samtykke.

Du har flere rettigheter knyttet til dine personopplysninger. Du kan utøve dine rettigheter ved å gå til «administrer personopplysninger».

Tilbakekalling av samtykke

Hvis vi behandler informasjon om deg basert på ditt samtykke, for eksempel gjennom informasjonskapsler eller SAS App, kan du velge å trekke tilbake samtykket ditt når som helst. Vi vil deretter avslutte behandlingen av de personopplysningene som er basert på ditt samtykke.

Korrigering

Hvis personopplysningene som SAS behandler er feil eller ufullstendige, kan du ringe vår kundeservice, som vil hjelpe deg med å korrigere eller fullføre opplysningene dine. Du finner kontaktinformasjonen til vår kundeservice her.

Rett til å begrense behandlingen

Under visse omstendigheter har du rett til sette grenser for dine personopplysninger, noe som betyr at du kan begrense hva SAS bruker dine personopplysninger til. Dette er et alternativ til å be om sletting av opplysningene dine, se nedenfor. Dette betyr at SAS kun vil lagre opplysningene dine, og ikke bruke dem.

Rett til innsyn

Du har rett til å be om en kopi av dine personopplysninger. Bruk lenken nedenfor for å be om innsyn i personopplysningene dine. Hvis du har problemer med å bruke malen på nettet, kan du kontakte personvernombudet. Du kan lese mer om dette på nettstedet vårt, under «administrer mine opplysninger».

Rett til å klage

Det er viktig for oss at du føler deg trygg på at SAS behandler personopplysningene dine med respekt. Hvis du har spørsmål eller tilbakemeldinger om hvordan SAS behandler dine personopplysninger, kan du gjerne kontakte vårt personvernombud. Du har også muligheten til å sende inn en klage til den svenske personvernmyndigheten eller personvernmyndighetene i landet ditt, som Datatilsynet i Norge.

Rett til innsigelse

Du har rett til når som helst å fremme en innsigelse mot behandlingen av dine personopplysninger når behandlingen er basert på våre legitime interesser. Hvis SAS ikke kan påvise overbevisende legitime grunner for behandlingen av dine data som oppveier dine interesser, rettigheter og friheter eller at behandlingen er utført for å etablere, utøve eller forsvare rettslige krav, vil SAS ikke lenger behandle dine personopplysninger.

Rett til dataoverførbarhet

Du har rett til å be om å motta dine personopplysninger som vi behandler i et maskinlesbart format, som du har rett til å overføre til et annet selskap. Dette kan gjøres hvis du ønsker å benytte personopplysningene dine for andre formål på tvers av ulike tjenester.

Retten til å bli glemt

Din rett til sletting betyr at du kan be om at vi sletter opplysningene vi har lagret om deg. Vi vil gjøre dette uten unødig forsinkelse, med mindre vi er lovpålagt å behandle informasjonen, f.eks. for økonomiske eller regnskapsmessige formål, eller vi har en annen lovlig grunn til å fortsette å behandle opplysningene, f.eks. for å levere en forespurt reise. Du kan utøve din rett her.

Vi kan oppdatere disse retningslinjene etter eget skjønn fra tid til annen. Den nyeste versjonen vil alltid være tilgjengelig på SAS sine hjemmesider.

Behandling av personopplysninger i Kina

Dette avsnittet gjelder for kunder i Folkerepublikken Kina (heretter Kina) og beskriver hvordan vi samler inn, bruker, lagrer, deler og offentliggjør dine personopplysninger i Kina og supplerer andre generelt gjeldende deler av denne personvernerklæringen. Hvis det oppstår uoverensstemmelser eller avvik, har bestemmelsene i dette Kina-avsnittet forrang over bestemmelser som er fastsatt i andre generelt gjeldende avsnitt i denne personvernerklæringen.

Det gjelder for personopplysninger vi samler inn fra eller om deg når du bruker SAS sine tjenester, besøker SAS sine nettsteder, SAS WeChat offisiell konto eller bruker andre nettsteder som drives av SAS som kan være knyttet til denne personvernerklæringen, eller kontakter vårt kundeserviceteam via telefoner, e-post osv. Ved å fortsette å bruke våre tjenester, godtar du innsamling og bruk av dine personopplysninger i samsvar med bestemmelsene i denne personvernerklæring.

Oppdateringer

SAS forbeholder seg retten til å endre Kina-avsnittet av denne personvernerklæringen og vil legge ut en oppdatert versjon av denne personvernerklæringen i samsvar med lover og forskrifter om databeskyttelse i Kina. I den grad SAS vesentlig endrer Kina-avsnittet av denne personvernerklæringen, vil SAS informere deg om slike endringer, og i den grad dette påvirker formålene og behandlingen vi har innhentet ditt samtykke for, vil vi søke ditt samtykke på nytt.

For utøvelse av personvernrettigheter og/eller hvis du har spørsmål eller kommentarer angående dette Kina-avsnittet av personvernerklæringen, er du velkommen til å kontakte vårt personvernombud på dataprotectionofficer@sas.se.

Hvordan innhenter og mottar SAS opplysningene dine?

Denne delen supplerer «Når og hvordan behandler vi dine personopplysninger» i denne personvernerklæringen og avsnitt 3 i dette Kina-avsnittet. SAS vil kunne samle inn og motta personopplysninger fra appens brukere i Kina gjennom Software Development Tools (SDK-er) distribuert i SAS App. Avhengig av SDK, kan typen personopplysninger som samles inn og mottas via SDK-ene inkludere, uten begrensning, appbrukerens navn, e-postadresse, telefonnummer, postadresse, EuroBonus-nummer, kredittkortinformasjon (i den grad en kredittkorttransaksjon foretas gjennom appen), passasjerflyinformasjon, appbruksmetrikk og enhetsinformasjon som IP-adresse. SAS kan bruke slik informasjon til å verifisere og autorisere kredittkorttransaksjoner, til å motta tilbakemeldinger om appen og tjenestene og til å spore og analysere bruken av appen.

Nedenfor finner du en liste over SDK-er som for tiden er distribuert i SAS App og som opererer i Kina. SAS kan oppdatere denne listen over SDK-er fra tid til annen hvis det skjer endringer.

Liste over SDK-er distribuert i SAS App som opererer i Kina per 1. november 2021:

SDK-er (PDF, 101KB)

Hvordan SAS bruker opplysningene dine

Denne delen beskriver hvilke personopplysninger vi samler inn om eller fra deg, formålene vi bruker dem til, og hvorfor vi bruker dem til våre grunnleggende og utvidede forretningsfunksjoner. Dine personopplysninger vil bli samlet inn og behandlet i samsvar med personvernlovgivningen («PIPL») som trådte i kraft fra og med 1. november 2021, og alle andre lover og forskrifter i Kina som styrer dette området. All behandling av personopplysninger vi utfører er i samsvar med bestemmelsene i personvernlovgivningen i Kina, og disse dataene kan kun brukes til de begrensede formålene som er diskutert i denne delen.

Scandinavian Airlines System Denmark-Norway-Sweden er ansvarlig for behandlingen av dine personopplysninger via SAS sine nettsider og i forbindelse med bruken av SAS sine tjenester.

For å kunne tilby deg billetttjenester og andre SAS-tjenester og -produkter, må vi samle inn og bruke visse personopplysninger. Nedenfor listes opp personopplysningene vi kan be deg om å gi oss, eller som vi kan samle inn og bruke om deg. Vær klar over at enkelte tjenestefunksjoner krever noen personopplysninger før de kan leveres. Etter at du har utøvd din rett til å protestere, vil vi ikke lenger kunne fortsette å levere tjenesten som samsvarer med personopplysningene involvert i innvendingen, og vi vil ikke lenger behandle dine tilsvarende personopplysninger.

Vi kan be deg om å gi oss følgende personopplysninger:

Identifikasjons- og kontaktinformasjon

Kjønn, fødselsdato, ID-nr., passnr., statsborgerskap, navn, adresse, telefonnr., e-postadresse og personopplysninger om andre personer du reiser med (inkludert deres kontaktinformasjon). Slik informasjon vil brukes til å sende deg eller din kontaktperson meldinger på flygninger og bestillinger (inkludert flyavgang, sikkerhetskontroll, ombordstigning, refusjon, flyforsinkelse, forsikringstjenester og melding om ulykke), organisere reiseruten din, sende reiserute eller andre produkter til deg via e-post, bekrefte identiteten din, motta dine kommentarer om servicekvalitet, motta dine klager og forslag, tilby deg SAS-tjenester og -produkter, og sende reklame- og markedsføringsmeldinger til deg med ditt samtykke. Vær oppmerksom på at når du bestiller de relevante tjenestene for andre, må du oppgi disse passasjerenes personopplysninger, og før du gir oss deres informasjon, må du sørge for at passasjerene forstår og samtykker i denne personvernerklæringen.

Informasjon om EuroBonus-medlemmer

Ditt Eurobonus-nummer, flyinformasjon, informasjon om mottaker av poenginnløsning og informasjon om det mindreårige medlemmets verge. Slik informasjon vil brukes til å opprettholde deg som vårt EuroBonus-medlem, verifisere medlemsidentitet og behandle din akkumulering, belønning og innløsning av poeng og andre tjenester.

Profilkontoeierinformasjon

Ditt profilkontonummer, navn, alder, adresse og kontaktinformasjon. Slik informasjon vil brukes til å opprettholde deg som vår profilkontoinnehaver og administrere din konto og reiser.

Data og bilder av identitetsdokumenter som kreves i forretningsbehandling

ID-kort, pass, visumside, papirer som myndighetene krever for å ta en flyvning, gyldighetsperiode, utstedelsesmyndigheter, alder eller fødselsdato, kjønn og tilhørende bilder. Slik informasjon og bilder vil brukes, i samsvar med lover og forskrifter, til å bekrefte identiteten din når du bestiller en billett, sjekker inn, tar en flyvning, behandler formaliteter ved innreise/utreise, kjøper luftforsikring, benytter deg av SAS-tjenester og andre tjenester.

Betalingsinformasjon

Ditt kredittkortnummer, faktureringsadresse, kredittkortgyldighet, ordre- og driftsposter, logg og informasjon om risikokontroll. Slik informasjon vil brukes når du kjøper en billett, for å opprettholde betalingsinformasjonen din, bekrefte identiteten din og gi deg SAS-tjenester.

Informasjon for å forbedre reise og andre tjenester

Kontaktperson i nødssituasjoner, spesielle servicekrav og hva personen liker og misliker (måltider om bord, plassering av seter i kabinen, tjenester om bord). Slik informasjon vil brukes til å forbedre og promotere tjenesten vår slik at vi kan tilby tjenester som bedre dekker dine behov, og kan sende deg kampanje- og markedsføringsmeldinger med ditt samtykke.

Informasjon som kreves av offentlige helsemyndigheter eller andre offentlige etater eller som er innhentet for å demonstrere din egnethet til å fly.

Kontaktinformasjon, informasjon om tilstedeværelse eller fravær av mulige COVID-19- eller andre globale pandemisymptomer; informasjon om potensiell eksponering for COVID-19 eller annen global pandemi; informasjon innhentet av vårt bakke- eller reservasjonspersonell i henhold til direktiver fra offentlige helseorganisasjoner eller andre offentlige organer. Slik informasjon vil brukes til å overholde juridiske og regulatoriske krav, fastslå din egnethet til å reise i samsvar med gjeldende offentlige forskrifter og retningslinjer.

Alle andre personopplysninger

vi innhenter for å: gjøre og drive forbindelser mellom flere flyvninger og fremskynde bagasjeklarering over internasjonale grenser; overholdelse av visse regulatoriske krav angående nødssituasjoner og ellers i forbindelse med passasjerflygninger; å overholde visse regulatoriske krav for å verifisere og autentisere identiteten din og ha en legitim forretningsinteresse i å overholde gjeldende juridiske og regulatoriske krav; bruke denne informasjonen til å utføre vår kontrakt med deg; å overholde visse krav i allmennhetens interesse, for eksempel å beskytte mot risiko for passasjerer og offentlig helse, og passasjer- og flysikkerhet.

Vær oppmerksom på at vi vil innhente, lagre, bruke og overføre dine sensitive personopplysninger for de formålene de ble gitt for og ellers i samsvar med vilkårene i denne personvernerklæringen hvis du gir ditt uttrykkelige samtykke på tidspunktet for innsamlingen.

På hvilket juridisk grunnlag behandler SAS dine personopplysninger?

Vårt juridiske grunnlag for behandling av personopplysningene dine som beskrives ovenfor, vil avhenge av personopplysningene og de spesifikke omstendighetene der vi behandler dem. Og vi vil i alminnelighet kun innhente personopplysninger fra deg når:

• vi har innhentet ditt samtykke til å gjøre det;

• slike opplysninger er nødvendige for at vi skal kunne gjennomføre en kontrakt med deg;

• behandlingen er i vår rettslige interesse og ikke overstyres av dine rettigheter;

• vi har juridiske forpliktelser til å behandle dine personopplysninger fra deg eller på annen måte trenger personopplysningene for å beskytte dine eller andre personers vitale interesser;

• det er nødvendig for å reagere på en offentlig helsekrise eller for å beskytte liv, helse og eiendomssikkerhet til en fysisk person;

• handlinger, så som nyhetsrapportering og tilsyn av offentlige meninger, utføres for allmennhetens interesse, og behandlingen av personopplysninger er innenfor et rimelig omfang;

• det er nødvendig å behandle personopplysningene som oppgis av personen det gjelder, eller andre personopplysninger som er blitt lovlig offentliggjort i et rimelig omfang i samsvar med bestemmelsene i PIPL og tilknyttede lover og forskrifter; og

• andre forhold som fastsettes av lover og administrative forskrifter.

Hvem deler SAS informasjonen din med?

Vi kan dele dine personopplysninger som vi samler inn eller mottar med:

• Andre flyselskap og andre selskaper som er involvert i levering av den tjenesten du vil gjøre bruk av;

• Selskaper som er del av bestillingen og gjennomføringen av flyvningen din, f.eks. reisebyråer, fraktspeditører og agenter;

• IT-leverandører og utviklere som sørger for driften og sikkerheten til våre IT-systemer på vegne av SAS;

• Kredittkortselskaper som SAS samarbeider med for å tilby ulike betalingsløsninger, så som MasterCard;

• Sikkerhetsfirmaer og virksomheter som arbeider med å forebygge og bekjempe bedrageri; og

• Selskaper i SAS Group, inkludert men ikke begrenset til SAS EuroBonus AB, SAS Link AB, Scandinavian Airlines Ireland Ltd, SAS Ground Handling A/S, SAS Ground Handling AS, SAS Ground Handling AB, SAS Cargo Group A/S, SAS Cargo Norway AS og SAS Cargo Sweden AB.

• offentlige etater og myndigheter, politimyndigheter, domstoler; eller

• Tredjeparter: (a) hvis vi mener at offentliggjøring kreves av gjeldende lov, forskrift eller juridisk prosess (slik som i henhold til rettslig ordre); eller (b) for å beskytte og forsvare våre rettigheter, eller rettighetene eller sikkerheten til tredjeparter, inkludert å etablere, foreta eller forsvare mot juridiske krav.
  

Utøvelse av dine rettigheter

SAS respekterer din rett til å vite, få innsyn i, korrigere, begrense behandlingen av, slette dine personopplysninger osv.

Rett til innsyn

Du har rett til å få bekreftelse fra oss om hvorvidt personopplysninger om deg blir behandlet, og der det er tilfelle, å be om innsyn i personopplysningene. Tilgangsinformasjonen inkluderer formålene med behandlingen, hvilke kategorier av personopplysninger det gjelder, og mottakere eller kategorier av mottakere som personopplysningene har blitt eller vil bli avslørt til.

Du har rett til å få en kopi av personopplysningene som behandles. Hvis du ber om flere kopier, kan vi kreve et rimelig gebyr basert på våre kostnader.

Rett til å korrigere

Du har rett til å få unøyaktige personopplysninger om deg korrigert av oss. Avhengig av formålene med behandlingen, har du rett til å få ufullstendige personopplysninger fullført, herunder ved å gi en supplerende erklæring.

Rett til å slette

Du har rett til å be oss slette dine personopplysninger.

Rett til innsigelse

Du har rett til når som helst å protestere mot vår behandling av dine personopplysninger for visse formål. Hvis du utøver denne retten til å protestere, vil vi ikke lenger behandle personopplysningene dine for slike formål. Det påløper ingen kostnader for å utøve denne retten.

En slik rett til å protestere eksisterer imidlertid ikke under visse omstendigheter, f.eks. hvis behandlingen av dine personopplysninger er nødvendig for å ta skritt før inngåelse av en kontrakt eller for å gjennomføre en kontrakt som allerede er inngått.

Rett til å kansellere konto

Du har rett til når som helst å kansellere en tidligere registrert konto. Når kontoen din er slettet eller anonymisert, vil vi ikke lenger innhente, bruke eller gi tredjeparter personopplysninger knyttet til kontoen. Likevel må informasjonen du oppgir eller som genereres under bruken av tjenestene våre beholdes av oss i den aktuelle perioden når lover og forskrifter krever det, og myndighetene vil ha rett til å få tilgang til slik informasjon i henhold til loven i løpet av den juridiske oppbevaringsperioden.

For å utøve disse rettighetene, kan du sende en e-post til securedata@sas.se med forespørsler. For at vi skal kunne verifisere identiteten din, bør din skriftlige forespørsel inkludere navnet ditt og adressen din og annen slik informasjon som vil hjelpe oss med å identifisere deg, så som:

• En e-postadresse du har brukt i kommunikasjon med SAS

• EuroBonus-nummer eller TravelPass-nummer

• Et telefonnummer du har brukt i kommunikasjon med SAS (for eksempel kundeservice-saker)

• Bestillingsnummer og/eller flynummer og dato.

SAS må alltid sørge for at det er den rette personen som mottar opplysningene om hvordan personopplysningene behandles. SAS vil kun offentliggjøre personopplysninger hvis vi kan verifisere din identitet i samsvar med det ovennevnte. Etter at vi har mottatt en forespørsel om å utøve en av disse rettighetene, vil vi gi informasjon om vår reaksjon på anmodningen uten unødig forsinkelse og i alle tilfeller innen 30 dager etter mottak av forespørselen. Denne tiden kan under visse omstendigheter forlenges med ytterligere 30 dager, for eksempel når forespørsler er komplekse eller tallrike.

Sikkerhetskontroll

Informasjonssikkerhet er viktig for SAS. Vi har innført hensiktsmessige tiltak som separat lagring, kryptering, tilgangskontroll, avidentifisering osv. i samsvar med kravene til dataklassifisering og -kategorisering, for å beskytte din informasjonssikkerhet mot uautorisert tilgang, avsløring, tap, misbruk, endring og urettmessig bruk av din informasjon og unngå negativ innvirkning på dine personlige rettigheter og interesser.

Mindreårige

SAS legger stor vekt på beskyttelse av mindreåriges personopplysninger. Hvis du er mindreårig under 14 år, bør du innhente skriftlig samtykke fra dine foreldre eller verger før du bruker våre produkter og/eller tjenester. For innsamling av personopplysninger for mindreårige med samtykke fra deres foreldre eller juridiske verger, vil vi kun bruke eller offentliggjøre denne informasjonen når loven tillater det, når det er gitt uttrykkelig samtykke fra deres foreldre eller verger eller når det er nødvendig for å beskytte de mindreårige. Hvis en mindreårig har gitt oss personopplysninger uten samtykke fra foreldre eller foresatte, kan forelderen eller vergen kontakte oss ved å sende en e-post til securedata@sas.se. Vi vil fjerne informasjonen og avslutte abonnementet på barnet fra alle våre elektroniske markedsføringslister.