Avtale om felles behandlingsansvar

Vi, Scandinavian Airlines System Danmark-Norge-Sverige («SAS») og SAS EuroBonus AB («EB»), bestemmer i fellesskap formålene og metodene for behandling av personopplysninger relatert til SAS’ lojalitetsprogram, SAS EuroBonus («EuroBonus-programmet»).

Ved å bestemme formålene og metodene for behandling i fellesskap, har SAS og EB et felles behandlingsansvar under personvernforordningen. Vi har inngått en avtale om felles behandlingsansvar når det gjelder deling av personopplysninger relatert til EuroBonus-programmet.
Formålet med denne informasjonen er å gi deg essensen i avtalen vår, en spesifikk beskrivelse av hvordan vi har bestemt og tildelt våre aktuelle ansvarsområder for samsvar med forpliktelsene under personvernforordningen.

Merk at denne oppsummeringen kun tilbys for informasjonsformål og ikke representerer avtalen om felles behandlingsansvar i sin helhet. Den bør ikke tolkes slik at den pålegge SAS eller EB noen forpliktelser i forbindelse med noen datasubjekter. Hvis du vil ha informasjon om behandling av personopplysninger relatert til EuroBonus-programmet, kan du se retningslinjene for personvern eller kontakte personvernombudet.

Under tildelingen av ansvarsområder for samsvar med forpliktelsene under personvernforordningen har vi tatt følgende faktorer med i beregningen: hvilken enhet som er best posisjonert til å utføre forpliktelsen, fysisk tilgang til personopplysningene, avgjørende makt over designet og innholdet i EuroBonus-programmet, datasubjekters forventninger, hvilken enhet som har avtaler med partnerorganisasjoner og hvilken enhet som har avtaler med behandlere.

Både SAS og EB vil til enhver tid overholde de respektive forpliktelsene under alle gjeldende lover relatert til personvern og vern av personopplysninger i hver relevante jurisdiksjon.

1 Forordning (EU) 2016/679 fra Europaparlamentet og Rådet av 27. april 2016 om vern av fysiske personer med hensyn til behandling av personopplysninger og om den frie bevegelse for slike data og opphevelse av direktiv 95/46/EF (Personvernforordningen).

Vi har i fellesskap bestemt formålene med metodene for behandling av personopplysninger under avtalen om felles behandlingsansvar. Både SAS og EB har gjort tiltak for å sikre at personopplysninger kun innhentes for spesifikke, eksplisitte og legitime formål, og er adekvat, relevant og begrenset til det som er nødvendig for å oppfylle hvert formål.

Under behandlingen av personopplysninger er både SAS og EB ansvarlige for å sørge for at personopplysninger: behandles rettferdig og lovlig; ikke behandles ytterligere på en måte som ikke samsvarer med formålene de ble innhentet for; holdes nøyaktige til enhver tid; ikke beholdes eller behandles lengre enn nødvendig for å utføre de avtalte formålene med mindre dette er påkrevd under gjeldende lov; kun behandles på en måte som sikrer passende sikkerhetskontroll for personopplysninger.

Både SAS og EB vil sørge for at de har en passende rettslig grunnlag etter gjeldende datavernlover for behandling av personopplysninger, og at de vil rådføre seg med hverandre før de gjør noen endringer i det rettslige grunnlaget.

SAS og EB erkjenner forpliktelsen til å informere datasubjekter om behandlingen av deres personopplysninger etter artikkel 13 og 14 i personvernforordningen, og har godtatt at all slik informasjon til enhver tid må gjenspeiles i retningslinjene for personvern. SAS er ansvarlig for til enhver tid å ivareta retningslinjene for personvern, som er tilgjengelige på www.flysas.com/en/legal-info, og EB er ansvarlig for å sørge for at innholdet i retningslinjene for personvern gjenspeiler behandlingen av personopplysninger under EuroBonus-programmet på en korrekt måte.

Dersom SAS eller EB behandler personopplysninger basert på samtykke, er det enheten som får samtykket fra datasubjektet som er ansvarlig for å gi datasubjektet relevant informasjon før de innhenter personopplysninger, inkludert informasjon om hvordan man trekker tilbake samtykket.

SAS og EB har blitt enige om at SAS er ansvarlig for å sørge for at datasubjekter kan utøve rettighetene sine etter gjeldende lover for datavern. Dette inkluderer å ha dokumenterte rutiner for tilgangsforespørsler fra datasubjekter og prosedyrer for å svare på forespørsler innen tidsgrensene som er gitt av gjeldende lover for datavern.

Dessuten har vi blitt enige om at datasubjekter som ønsker å utøve sine rettigheter under gjeldende lover for datavern, bør sende forespørselen til kontaktpunktet på dataprotectionofficer@sas.se og som spesifisert i retningslinjene for personvern.

I henhold til avtalen om felles behandlingsansvar kan personopplysninger deles med tredjeparter som beskrevet i retningslinjene for personvern. Når det gjelder behandlere og tredjepartskontrollører, er det enheten, SAS eller EB, som har inngått avtalen om databehandling eller som overfører personopplysninger til en tredjepartskontrollør som er ansvarlig for samsvar med gjeldende lover for datavern i henhold til behandleren eller tredjepartskontrolløren, inkludert forskrifter for lovlig overføring av personopplysninger til land utenfor EU/EØS.

Vi har utnevnt et personvernombud for SAS og EB til å være kontaktpunktet for datasubjekter og mot enhver tilsynsmyndighet for behandlingsaktiviteter i henhold til avtalen om felles behandlingsansvar. Kontaktpunktet kan nås på dataprotectionofficer@sas.se. Imidlertid anerkjenner vi at datasubjekter og eventuelle tilsynsmyndigheter kan kommunisere med enten SAS eller EB hvis de foretrekker det.