Retningslinjer for personvern

Scandinavian Airlines System Denmark-Norway-Sweden er behandlingsansvarlig for behandlingen beskrevet nedenfor. I disse retningslinjene viser «SAS» til Scandinavian Airlines System Denmark-Norway-Sweden. «SAS Group» betyr alle selskaper der SAS AB (publ) direkte eller indirekte, fra tid til annen, eier eller kontrollerer mer enn 50 prosent av aksjene.

Personvernombud

SAS har oppnevnt et personvernombud for å hjelpe SAS med å sikre at dine personopplysninger blir beskyttet på rett måte. Du kan kontakte vårt personvernombud med spørsmål eller forespørsler om vår behandling av personopplysningene dine ved å sende en epost til [email protected].

SAS innhenter personopplysninger om deg som du oppgir til oss når du benytter våre nettsider eller tjenester, for eksempel når du bestiller en tur og reiser, når du kontakter vår kundeservice eller bruker vår mobil-app. Vi kan også samle inn personopplysninger om deg fra informasjonskapslene på nettstedet vårt. Du kan lese mer om informasjonskapsler i våre Retningslinjer for informasjonskapsler.

Avhengig av hvordan og i hvilken utstrekning du bruker SAS sine nettsider og SAS sine tjenester, vil SAS kunne behandle ulike kategorier av informasjon om deg.

I avsnittet nedenfor finner du informasjon om SAS’ behandling av dine personopplysninger, hvilke typer opplysninger vi behandler, formålet med behandlingen, det juridiske grunnlaget for behandlingen og lagringstiden for personopplysningene.

Aktiviteter der SAS behandler personopplysninger

Bestilling og reiser med SAS

Opplysningstype

• Identifikasjons- og kontaktinformasjon, f.eks. navn, fødselsdato, kjønn, adresse, e-postadresse, informasjon om reisedokumenter (passnummer, nasjonalitet osv.) Reiseinformasjon, f.eks. flynummer, reiseklasse, avgang og destinasjon, måltider, forespørsler om spesialtjenester, bagasjeinformasjon, uregelmessigheter i reisen.

• Økonomisk og betalingsinformasjon, f.eks. kredittkortinformasjon, transaksjonsdata.

• Passenger name record (PNR) er personopplysninger som gis av passasjerer og samles inn og lagres av flyselskaper. Det inkluderer følgende personopplysninger: navn på passasjeren, passdetaljer, reisedatoer, reiseruter, seter, bagasje, kontaktinformasjon, bonusnummer, betalingsmåter og forespørsler om spesialtjenester (SSR) som krav til måltider og/eller assistanse.

Formålet med behandlingen

Formålet med behandlingen av opplysningene i denne aktiviteten er at SAS skal administrere og utføre reisen du har bedt om. Dette inkluderer varsler og kommunikasjon relatert til reisen din. PNR-opplysninger er nødvendig for å kunne levere tjenestene vi tilbyr som flyselskap.

Juridisk grunnlag

• Det juridiske grunnlaget for å behandle personopplysningene som er utelukkende relatert til bestillingen din, er for å oppfylle våre kontraktsforpliktelser overfor deg når du bestiller en reise med oss, se GDPR art. 6 nr. 1 b.

• Det juridiske grunnlaget for f.eks. innsjekkingspåminnelser, er vår legitime interesse i å tilby deg tjenester, se GDPR art. 6 nr. 1 f. Når SAS bruker vår legitime interesse som juridisk grunnlag, dokumenterer vi SAS' legitime interesse i å levere aktiviteten og personens rett til integritet i en legitim interessevurdering (LIA).

• Det juridiske grunnlaget for å dele noen av opplysningene om deg med myndigheter for formål knyttet til blant annet innvandring, politi og tollkontroller er en del av vår juridiske forpliktelse, se GDPR art. 6 nr. 1 c.

• Det juridiske grunnlaget for håndtering og lagring av økonomiske opplysninger er vår juridiske forpliktelse overfor regnskapslovverket, se GDPR art. 6 nr. 1 c.

Lagringstid

• Hvis du bestiller en tur med SAS, vil vi lagre dine data i ti år etter at turen er fullført for å oppfylle juridiske krav og behandle eventuelle klager.

• Informasjon om SAS' håndtering av urolige passasjerer og behandling av personopplysninger i forbindelse med slike tilfeller finnes i artikkel 24 i SAS' regler og vilkår.

Markedsføring, kundestøtte og service

Opplysningstype

Kommunikasjon, f.eks. kontakt med kundestøtte, opptak av telefonsamtaler, markedsføringsmeldinger, nyhetsbrev, tilbakemeldingsskjemaer, klager, refusjoner.

Formålet med behandlingen

Formålet med denne behandlingen er å utvikle, analysere og markedsføre våre tjenester og støtte våre kunder i ulike oppgaver.

Juridisk grunnlag

• Det juridiske grunnlaget for å kontakte deg om våre tjenester etter at du nylig har bestilt en reise hos oss, er vår berettigede interesse i å markedsføre våre tjenester, se GDPR art. 6 nr. 1 f. Du vil alltid ha muligheten til å melde deg av denne kommunikasjonen.

• Det juridiske grunnlaget for direkte markedsføring er ditt samtykke, se GDPR art. 6 nr. 1 a.

• Det juridiske grunnlaget for behandling av dine opplysninger for formål knyttet til kundestøtte og kundeservice er våre kontraktsforpliktelser og regulatoriske krav, se GDPR art. 6 nr. 1 b og GDPR art. 6 nr. 1 c.

• Det juridiske grunnlaget for analyse av kundeservicedata er vår berettigede interesse i å tilby deg tjenester, se GDPR art. 6 nr. 1 f. Når SAS bruker det juridiske grunnlaget legitim interesse, dokumenterer vi SAS' berettigede interesse i å utføre aktiviteten og den enkeltes rett til integritet i en berettiget vurdering av interesse (lia).

Lagringstid

• Vi vil lagre dine personopplysninger så lenge det er nødvendig med hensyn til formålet med behandlingen.

• Vi lagrer opplysningene dine i 12 måneder etter en fullført reise for å ha mulighet til å sende deg informasjon om lignende tjenester.

Analysering, statistikk og brukertester

Opplysningstype

• Vi kan behandle dine personopplysninger som reisehistorikk, bestillingsinformasjon og kundebehandlingsdata. I brukertester behandler vi kontaktinformasjonen og svarene du gir i brukertestene. **Formålet med behandlingen:**Formålet med behandlingen er at det er nødvendig for å utvikle og optimalisere vårt kundetilbud, kundeservice, flygningsnettverk, digitale plattformer, forretningsmodell og prissetting. Vår bruk av opplysninger for statistiske og analytiske formål vil forekomme utelukkende på et aggregert nivå. Dette betyr at vi ikke analyserer opplysningene dine på et individuelt nivå.

• Formålet med brukertester er å forbedre våre produkter, tjenester og tilbud.

Juridisk grunnlag

• Det juridiske grunnlaget for behandling av personopplysninger for analyse- og statistikkformål er vår legitime interesse i å optimalisere våre tjenester og forretningsmodell, se GDPR art. 6 nr. 1 f. Når SAS bruker vår legitime interesse som juridisk grunnlag, dokumenterer vi SAS' legitime interesse i å levere aktiviteten og personens rett til integritet i en legitim interessevurdering (LIA).

• Det juridiske grunnlaget for brukertester er ditt samtykke, som vi ber om før du starter brukertesten, se GDPR art. 6 nr. 1 a, eller det juridiske grunnlaget vår legitime interesse i å forbedre våre produkter og tjenester, se GDPR art. 6 nr. 1 f. Når SAS bruker vår legitime interesse som juridisk grunnlag, dokumenterer vi SAS' legitime interesse i å levere aktiviteten og personens rett til integritet i en legitim interessevurdering (LIA).

Lagringstid

Vi vil lagre dine personopplysninger så lenge det er nødvendig med hensyn til formålet med behandlingen.

Nettatferd

Opplysningstype

Digitale detaljer og atferd, f.eks. påloggingsinformasjon, IP-adresse, bruk av nettsidene (krever samtykke).

Formålet med behandlingen

Formålet med denne behandlingen er å gi deg en tilpasset opplevelse av nettstedet vårt.

Juridisk grunnlag

Det juridiske grunnlaget er ditt samtykke, som du har gitt på nettstedet vårt, se GDPR art. 6 nr. 1 a.

Lagringstid

Se våre retningslinjer for informasjonskapsler for lagringstider.

Profilkonto

Opplysningstype

Informasjon du gir oss når du registrerer en profilkonto, for eksempel navn, adresse, e-postadresse, telefonnummer osv.

Formålet med behandlingen

Formålet med behandlingen er å gi kunder muligheten til å registrere en profilkonto hos SAS og administrere tjenesten.

Juridisk grunnlag

Det juridiske grunnlaget for denne behandlingen er vår forpliktelse til å overholde vilkårene for profilkontoinnehavere, se GDPR art. 6 nr. 1 b.

Lagringstid

SAS lagrer disse opplysningene så lenge du har en profilkonto.

Rekruttering

Opplysningstype

Rekrutteringsinformasjon når du søker jobb hos SAS, f.eks. kontaktinformasjon, tidligere erfaring og referanser.

Formålet med behandlingen

Formålet med denne behandlingen er å legge til rette for rekrutteringsprosessen.

Juridisk grunnlag

Det juridiske grunnlaget for behandling av rekrutteringsdata er behovet for å gjennomføre en avtale som den berørte personen er en del av, for å iverksette tiltak for å oppfylle en kontrakt, se GDPR art. 6 nr. 1 b.

Lagringstid

Hvis du søker jobb hos SAS, lagrer vi søknaden din i 24 måneder, i samsvar med regulatoriske krav.

Tilskudd og pensjonsklubb

Opplysningstype

Informasjon når du søker tilskudd fra våre stiftelser eller informasjon om ditt medlemskap i pensjonsklubben.

Formålet med behandlingen

Formålet med behandlingen av disse opplysningene er at SAS skal administrere og utføre aktivitetene.

Juridisk grunnlag

Det juridiske grunnlaget for behandling av disse personopplysningene er fordi det er nødvendig for å oppfylle våre vilkår for tilskuddssøknader og medlemskap, se GDPR art. 6 nr. 1 b. For andre aktiviteter er det juridiske grunnlaget vår legitime interesse i å tilby deg tjenester, se GDPR art. 6 nr. 1 f. Når SAS bruker vår legitime interesse som juridisk grunnlag, dokumenterer vi SAS' legitime interesse i å levere aktiviteten og personens rett til integritet i en legitim interessevurdering (LIA).

Lagringstid

SAS lagrer disse opplysningene i syv år, i henhold til regulatoriske krav.

SAS for work

Opplysningstype

Navn, e-postadresse, telefonnummer, reiseinformasjon: flydetaljer (bestilt og gjennomført reise), kjøpte tilleggstjenester. SAS Travel Pass: produktinformasjon, reisehistorikk, betalingsinformasjon.

Formålet med behandlingen

Formålet med behandlingen er å legge til rette for selskaper tilknyttet SAS’ Bedriftsprogram og de reisende som reiser gjennom denne avtalen.

Juridisk grunnlag

Det juridiske grunnlaget for behandling av disse personopplysningene er for å oppfylle våre kontraktsforpliktelser overfor selskaper tilknyttet SAS' Bedriftsprogram når en reise er bestlt med oss, se GDPR art. 6 nr. 1 b.

Lagringstid

Hvis du bestiller en tur med SAS for work, vil vi lagre dine data i ti år etter at turen er fullført for å oppfylle juridiske krav og behandle eventuelle klager.

Spesielle kategorier av personopplysninger

Noen spesielle kategorier av personopplysninger er spesielt sensitive og trenger ekstra beskyttelse, f.eks. helseopplysninger. Formålet med SAS’ behandling av sensitive opplysninger som gis av reisende er å gi den samme servicen til alle reisende og levere tjenestene som er kjøpt. Dette betyr at SAS også deler sensitive opplysninger med tredjeparter under reiser. Disse opplysningene kalles for SSR-informasjon («special service request») og følger en IATA-standard som brukes på tvers av flyselskapbransjen. Sensitive opplysninger behandlet av SAS:

• Behov for rullestol, båre eller seng på flyplassen og/eller inflight

• Medisinske behov og egnethet for reiser

• Funksjonshemninger og behov for spesialassistanse og/eller tjenestedyr

• Spesielle måltider basert på medisinske behov eller religiøse overbevisninger

• Passasjerer som reiser inkognito eller i varetekt

• Reisende som er deportert

Denne behandlingen av personopplysninger er nødvendig for å oppfylle våre kontraktsforpliktelser overfor deg når du bestiller en reise med oss, se GDPR art. 6 nr. 1 b.

Opplysninger knyttet til mindreårige under 18 år

SAS behandler ingen opplysninger om reisende under 18 år for noen andre formål enn en spesifikk reise eller for å administrere en profilkonto eller EuroBonus-konto.

Bruk av SAS-mobilappen

Du kan laste ned mobilappen vår for å blant annet søke etter flygninger og bestille reise, hotell eller leiebil, administrere bestillingen din og sjekke inn. Vi vil behandle dine personopplysninger i vår mobilapp på samme måte og for samme formål som beskrevet i disse retningslinjene for personvern og tabellen ovenfor. SAS-appen («SAS App») inneholder imidlertid noen tilleggsfunksjoner sammenlignet med nettstedet som er beskrevet i dette avsnitt 8. For de fleste slike tilleggsfunksjoner har vi vurdert at vi har en legitim interesse i å behandle dine personopplysninger for å levere en nyttig app. Når en aktivitet i stedet er basert på ditt samtykke, vil vi be om det før funksjonen brukes.

Markedsføring, arrangementer og informasjon

Opplysningstype

Navn og e-post.

Formålet med behandlingen

Formålet med behandlingen er å informere og markedsføre våre tjenester og tilbud til relevante bedriftskunder og agenter.

Juridisk grunnlag

Det juridiske grunnlaget for behandling av disse personopplysningene er SAS’ berettigede interesse i å markedsføre tjenestene våre, se GDPR art. 6 nr. 1 f. Du vil alltid ha mulighet til å velge bort denne kommunikasjonen.

Lagringstid

Vi vil lagre dine personopplysninger så lenge det er nødvendig med hensyn til formålet med behandlingen, eller inntil du melder deg ut.

KI

SAS bruker noen ganger KI-teknologi for å forbedre tjenestene våre og kommunikasjonen vår med deg. Når det brukes KI-verktøy, vil du alltid få informasjon om dette i forbindelse med bruken.

SAS vil bare dele dine personopplysninger med selskaper innen SAS Group bortsett fra i de unntakstilfellene som beskrives nedenfor.

Internasjonale myndigheter og rettshåndhevende organer

På grunn av obligatoriske krav fra utenlandske myndigheter og for å muliggjøre gjennomføring av de reiseplanene du har valgt, kan SAS være underlagt en forpliktelse til å gi utenlandske myndigheter tilgang til visse PNR-data og Advanced Passenger Information («API»), med hensyn til passasjerer som flyr til, fra eller over land både i og utenfor EU og Det europeiske økonomiske samarbeidsområdet («EØS»), inkludert USA. Slike data brukes primært for å forhindre og bekjempe terrorisme og annen alvorlig kriminalitet. I tillegg styres PNR og API gjennom direktiv 2016/681/EU.

Underleverandører og tredjeparter

Hvis det er nødvendig for at vi skal være i stand til å gjennomføre din flygning og tilby våre tjenester i samsvar med våre vilkår og betingelser for reiser, vil dine personopplysninger også bli delt med:

• Andre flyselskap og selskaper som er involvert i leveringen av tjenesten du ønsker å benytte deg av.

• Selskaper som er del av bestillingen og gjennomføringen av flygningen din, f.eks. reisebyråer, fraktspeditører og agenter.

• IT-leverandører og utviklere som sørger for driften og sikkerheten til våre IT-systemer på vegne av SAS.

• Kredittkortselskaper som SAS samarbeider med for å tilby ulike betalingsløsninger.

• Sikkerhetsfirmaer og virksomheter som arbeider med å forebygge og bekjempe bedrageri og nettangrep;

• Andre partnere som selskaper som tilbyr tjenester som du kan vurdere å kjøpe i forbindelse med reisen din, for eksempel hotellkjeder, bilutleiefirmaer og forsikringsbyråer.

Felles behandlingsansvar

Personopplysninger blir også delt med våre forretningspartnere for å koordinere datatilbud, aktiviteter og analyse. I noen tilfeller har vi felles behandlingsansvar med våre partnere. Dette betyr at vi og partneren vår har felles behandlingsansvar for dine personopplysninger og fastsetter formålene med behandling. Nedenfor kan du se våre nåværende felles kontrollører og besøke deres personvernregler for å lære mer om deres håndtering av personopplysninger.

• Meta

• Google

• Snapchat

• LinkedIn

• TikTok

• Adform

Hvis du bestiller en reise med SAS via nettsidene og/eller SAS’ kanaler eller via et reisebyrå, vil SAS og SAS EuroBonus AB («EB») behandle e-postadressen du oppga da du bestilte, som fellesansvarlige, for å bekrefte om du er medlem av EuroBonus-programmet eller ikke. Denne begrensede behandlingen av personopplysninger er basert på våre legitime interesser i administreringen av EuroBonus-programmet, se GDPR art. 6 nr. 1 f. Hvis du ikke er medlem av EuroBonus-programmet, vil ingen videre behandling bli gjort av SAS og EB som felles behandlingsansvarlige.

Overføringer av personopplysninger innenfor SAS-konsernet

Personopplysninger vil bli overført mellom selskaper i SAS Group, inkludert for iverksetting av våre internasjonale flygninger, for å administrere og opprettholde din konto og ditt medlemskap og for statistiske formål.

Overføringer til land utenfor EU/EØS

Personopplysninger som blir delt innenfor SAS Group eller med underleverandører og tredjeparter som beskrevet i avsnitt 4.2, vil noen ganger bli overført til land som ikke er medlemmer av EU eller EØS, og som ikke sørger for et tilfredsstillende nivå av sikkerhet for personopplysninger. Slike overføringer vil bli utført i samsvar med gjeldende lovverk om personvern, som f.eks. adekvansbeslutninger og andre kontraktsklausuler. SAS Group overfører personopplysninger til følgende land utenfor EU/EØS for sporadiske tjenester knyttet til våre prosesser som flyselskap: USA, Kina, India, Indonesia, Brasil, De forente arabiske emirater, Tyrkia, Albania, Montenegro, Sør-Afrika, Peru, Etiopia, Ukraina, Libanon, Colombia, El Salvador, Costa Rica, Mexico, Australia, Thailand, Egypt, Russland, Taiwan og Singapore.

Sikkerhetstiltak for internasjonale dataoverføringer

Når personopplysninger overføres til et land utenfor EU/EØS som ikke har tilfredsstillende nivåer av beskyttelse for personopplysninger, vil vi iverksette passende tiltak, vanligvis ved å inkludere en standard kontraktsklausul som er etablert av Europakommisjonen. De standard kontraktsklausulene kan leses via følgende lenke: Standard kontraktsklausuler (SCC) (europa.eu)

Overføringer basert på kontraktsmessig nødvendighet

Hvis både en beslutning om tilstrekkelige nivåer av beskyttelse av EU-kommisjonen og etablerte passende sikkerhetstiltak i form av standard kontraktsklausuler i samsvar med det ovennevnte mangler, vil vi kun overføre dine personopplysninger når det er nødvendig for å oppfylle våre kontraktsforpliktelser overfor deg, se GDPR art. 49 nr. 1 b, for eksempel for å utføre dine reiser eller for å utføre våre forpliktelser i henhold til EuroBonus- og profilkontovilkårene.

Vi har iverksatt omfattende tekniske og organisatoriske tiltak for å beskytte dine data mot tap, misbruk og uautorisert tilgang. Behandling og overføring av data mellom din nettleser og vår server blir grundig beskyttet gjennom kryptering og vi oppdaterer kontinuerlig våre sikkerhetstiltak. Når du betaler for noen av våre tjenester ved hjelp av et kort, blir alle opplysninger sendt via en sikker forbindelse for å sikre at dine personopplysninger ikke kan leses av tredjeparter. De aktørene vi samarbeider med når det gjelder kortbetalinger er alle sertifiserte i samsvar med den internasjonale sikkerhetsstandarden PCI-DSS, som innebærer et svært høyt nivå av sikkerhet for behandlingen av dine kortdetaljer.

Analyse og nettadferd

Vi bruker visse teknologifunksjoner (lignende informasjonskapsler) som unike identifikatorer knyttet til enheten din i SAS-appen for å hjelpe til med å administrere appen og forbedre opplevelsen din og tjenestene våre. Slike funksjoner kan leveres av tredjeparter. Etter at du har lastet ned SAS-appen, vil vi be om ditt samtykke til å aktivere slike funksjoner. Hvis du velger å tillate slike funksjoner, kan du når som helst kontrollere innstillingene i SAS- appen under Varslinger. Det juridiske grunnlaget for denne behandlingen er ditt samtykke, se GDPR art. 6 nr. 1 a. Opplysningene lagres så lenge vi har ditt samtykke.

Mobil pushvarslinger

Med ditt samtykke bruker vi pushvarsler for å sende deg direkte meldinger med flyrelatert tjenesteinformasjon som åpning av innsjekking, endring av utgang eller forsinkelser osv., samt reklame og spesialtilbud. Du kan når som helst kontrollere innstillingene dine i SAS-appen under «varslinger». Vi lagrer enhetens ID-bakstykke for å aktivere pushvarslinger. Det juridiske grunnlaget for denne behandlingen er ditt samtykke, se GDPR art. 6 nr. 1 a. Opplysningene lagres så lenge vi har ditt samtykke.

Lagrede reisende

Du har muligheten til å lagre personopplysninger om deg selv og personer du reiser med lokalt på mobilenheten din i SAS-appen. Dette sikrer at den nødvendige informasjonen er forhåndsutfylt under bestillingen eller innsjekkingsprosessen for å muliggjøre en mer praktisk prosess. Personopplysninger som lagres på enheten din behandles kun lokalt i appen, og vil ikke bli samlet inn av SAS.

Teknisk støtte / appstøtte

Vi har en appstøttefunksjon som kan hjelpe deg med eventuelle tekniske problemer eller feil som oppstår når du bruker SAS-appen eller sender tilbakemeldinger. Vi vil kun behandle dine personopplysninger i den grad det er nødvendig for å løse saken din. Vi vil også lagre visse opplysninger om bruk av SAS-appen for å kunne feilsøke tekniske problemer. Det juridiske grunnlaget for denne behandlingen er vår legitime interesse i å tilby deg service og støtte, se GDPR art. 6 nr. 1 f. SAS lagrer disse opplysningene så lenge som trengs for å løse saken din.

Historiske flygninger

SAS-appen har en funksjon som viser flyhistorikken din hos SAS, der du kan se detaljer om hver flygning, som opprinnelse og destinasjon, dato, fly-kilometer, setenummer og om du har vært ombord i flygningen. Det juridiske grunnlaget for denne behandlingen er vår legitime interesse i å tilby deg denne funksjonen, se GDPR art. 6 nr. 1 f.

Bagasje-sporing

Med denne funksjonen kan du spore innsjekket bagasje og se hvor bagasjen din befinner seg for øyeblikket, basert på hvor bagasjelappen sist ble skannet.

Sted

SAS-appen kan med ditt samtykke innhente informasjon om din geografiske plassering. Denne funksjonen brukes når du bestiller en flygning i SAS-appen, slik at vi kan vise deg den nærmeste flyplassen for avreise ved å bruke plasseringen til enheten din. Slike data samles ikke inn eller lagres av SAS, og du kan kontrollere ditt samtykke i innstillingene til SAS-appen på enheten din. Det juridiske grunnlaget for denne behandlingen er ditt samtykke, se GDPR art. 6 nr. 1 a. Opplysningene lagres så lenge vi har ditt samtykke.

Du har flere rettigheter knyttet til dine personopplysninger. Du kan utøve dine rettigheter ved å gå til «administrer personopplysninger».

Tilbakekalling av samtykke

Hvis vi behandler informasjon om deg basert på ditt samtykke, for eksempel gjennom informasjonskapsler eller SAS App, kan du velge å trekke tilbake samtykket ditt når som helst. Vi vil deretter avslutte behandlingen av de personopplysningene som er basert på ditt samtykke.

Korrigering

Hvis personopplysningene som SAS behandler er feil eller ufullstendige, kan du ringe vår kundeservice, som vil hjelpe deg med å korrigere eller fullføre opplysningene dine. Du finner kontaktinformasjonen til vår kundeservice her.

Rett til å begrense behandlingen

Under visse omstendigheter har du rett til sette grenser for dine personopplysninger, noe som betyr at du kan begrense hva SAS bruker dine personopplysninger til. Dette er et alternativ til å be om sletting av opplysningene dine, se nedenfor. Dette betyr at SAS kun vil lagre opplysningene dine, og ikke bruke dem.

Rett til innsyn

Du har rett til å be om en kopi av dine personopplysninger. Bruk lenken nedenfor for å be om innsyn i personopplysningene dine. Hvis du har problemer med å bruke malen på nettet, kan du kontakte personvernombudet. Du kan lese mer om dette på nettstedet vårt, under «administrer mine opplysninger».

Rett til å klage

Det er viktig for oss at du føler deg trygg på at SAS behandler personopplysningene dine med respekt. Hvis du har spørsmål eller tilbakemeldinger om hvordan SAS behandler dine personopplysninger, kan du gjerne kontakte vårt personvernombud. Du har også muligheten til å sende inn en klage til den svenske personvernmyndigheten eller personvernmyndighetene i landet ditt, som Datatilsynet i Norge.

Rett til innsigelse

Du har rett til når som helst å fremme en innsigelse mot behandlingen av dine personopplysninger når behandlingen er basert på våre legitime interesser. Hvis SAS ikke kan påvise overbevisende legitime grunner for behandlingen av dine data som oppveier dine interesser, rettigheter og friheter eller at behandlingen er utført for å etablere, utøve eller forsvare rettslige krav, vil SAS ikke lenger behandle dine personopplysninger.

Rett til dataoverførbarhet

Du har rett til å be om å motta dine personopplysninger som vi behandler i et maskinlesbart format, som du har rett til å overføre til et annet selskap. Dette kan gjøres hvis du ønsker å benytte personopplysningene dine for andre formål på tvers av ulike tjenester.

Retten til å bli glemt

Din rett til sletting betyr at du kan be om at vi sletter opplysningene vi har lagret om deg. Vi vil gjøre dette uten unødig forsinkelse, med mindre vi er lovpålagt å behandle informasjonen, f.eks. for økonomiske eller regnskapsmessige formål, eller vi har en annen lovlig grunn til å fortsette å behandle opplysningene, f.eks. for å levere en forespurt reise. Du kan utøve din rett her.

Vi kan oppdatere disse retningslinjene etter eget skjønn fra tid til annen. Den nyeste versjonen vil alltid være tilgjengelig på SAS sine hjemmesider.

Behandling av personopplysninger i Kina

Dette avsnittet gjelder for kunder i Folkerepublikken Kina (heretter Kina) og beskriver hvordan vi samler inn, bruker, lagrer, deler og offentliggjør dine personopplysninger i Kina og supplerer andre generelt gjeldende deler av denne personvernerklæringen. Hvis det oppstår uoverensstemmelser eller avvik, har bestemmelsene i dette Kina-avsnittet forrang over bestemmelser som er fastsatt i andre generelt gjeldende avsnitt i denne personvernerklæringen. Det gjelder for personopplysninger vi samler inn fra eller om deg når du bruker SAS sine tjenester, besøker SAS sine nettsteder, SAS WeChat offisiell konto eller bruker andre nettsteder som drives av SAS som kan være knyttet til denne personvernerklæringen, eller kontakter vårt kundeserviceteam via telefoner, e-post osv. Ved å fortsette å bruke våre tjenester, godtar du innsamling og bruk av dine personopplysninger i samsvar med bestemmelsene i denne personvernerklæring.

Oppdateringer

SAS forbeholder seg retten til å endre Kina-avsnittet av denne personvernerklæringen og vil legge ut en oppdatert versjon av denne personvernerklæringen i samsvar med lover og forskrifter om databeskyttelse i Kina. I den grad SAS vesentlig endrer Kina-avsnittet av denne personvernerklæringen, vil SAS informere deg om slike endringer, og i den grad dette påvirker formålene og behandlingen vi har innhentet ditt samtykke for, vil vi søke ditt samtykke på nytt. For utøvelse av personvernrettigheter og/eller hvis du har spørsmål eller kommentarer angående dette Kina-avsnittet av personvernerklæringen, er du velkommen til å kontakte vårt personvernombud på [email protected].

Hvordan innhenter og mottar SAS opplysningene dine?

Denne delen supplerer «Når og hvordan behandler vi dine personopplysninger» i denne personvernerklæringen og avsnitt 3 i dette Kina-avsnittet. SAS vil kunne samle inn og motta personopplysninger fra appens brukere i Kina gjennom Software Development Tools (SDK-er) distribuert i SAS App. Avhengig av SDK, kan typen personopplysninger som samles inn og mottas via SDK-ene inkludere, uten begrensning, appbrukerens navn, e-postadresse, telefonnummer, postadresse, EuroBonus-nummer, kredittkortinformasjon (i den grad en kredittkorttransaksjon foretas gjennom appen), passasjerflyinformasjon, appbruksmetrikk og enhetsinformasjon som IP-adresse. SAS kan bruke slik informasjon til å verifisere og autorisere kredittkorttransaksjoner, til å motta tilbakemeldinger om appen og tjenestene og til å spore og analysere bruken av appen. Nedenfor finner du en liste over SDK-er som for tiden er distribuert i SAS App og som opererer i Kina. SAS kan oppdatere denne listen over SDK-er fra tid til annen hvis det skjer endringer.

• Liste over SDK-er distribuert i SAS App som opererer i Kina per 1. november 2021: SDK-er

Hvordan SAS bruker opplysningene dine

Denne delen beskriver hvilke personopplysninger vi samler inn om eller fra deg, formålene vi bruker dem til, og hvorfor vi bruker dem til våre grunnleggende og utvidede forretningsfunksjoner. Dine personopplysninger vil bli samlet inn og behandlet i samsvar med personvernlovgivningen («PIPL») som trådte i kraft fra og med 1. november 2021, og alle andre lover og forskrifter i Kina som styrer dette området. All behandling av personopplysninger vi utfører er i samsvar med bestemmelsene i personvernlovgivningen i Kina, og disse dataene kan kun brukes til de begrensede formålene som er diskutert i denne delen. Scandinavian Airlines System Denmark-Norway-Sweden er ansvarlig for behandlingen av dine personopplysninger via SAS sine nettsider og i forbindelse med bruken av SAS sine tjenester. For å kunne tilby deg billetttjenester og andre SAS-tjenester og -produkter, må vi samle inn og bruke visse personopplysninger. Nedenfor listes opp personopplysningene vi kan be deg om å gi oss, eller som vi kan samle inn og bruke om deg. Vær klar over at enkelte tjenestefunksjoner krever noen personopplysninger før de kan leveres. Etter at du har utøvd din rett til å protestere, vil vi ikke lenger kunne fortsette å levere tjenesten som samsvarer med personopplysningene involvert i innvendingen, og vi vil ikke lenger behandle dine tilsvarende personopplysninger. Vi kan be deg om å gi oss følgende personopplysninger:

Identifikasjons- og kontaktinformasjon

Kjønn, fødselsdato, ID-nr., passnr., statsborgerskap, navn, adresse, telefonnr., e-postadresse og personopplysninger om andre personer du reiser med (inkludert deres kontaktinformasjon). Slik informasjon vil brukes til å sende deg eller din kontaktperson meldinger på flygninger og bestillinger (inkludert flyavgang, sikkerhetskontroll, ombordstigning, refusjon, flyforsinkelse, forsikringstjenester og melding om ulykke), organisere reiseruten din, sende reiserute eller andre produkter til deg via e-post, bekrefte identiteten din, motta dine kommentarer om servicekvalitet, motta dine klager og forslag, tilby deg SAS-tjenester og -produkter, og sende reklame- og markedsføringsmeldinger til deg med ditt samtykke. Vær oppmerksom på at når du bestiller de relevante tjenestene for andre, må du oppgi disse passasjerenes personopplysninger, og før du gir oss deres informasjon, må du sørge for at passasjerene forstår og samtykker i denne personvernerklæringen.

Informasjon om EuroBonus-medlemmer

Ditt Eurobonus-nummer, flyinformasjon, informasjon om mottaker av poenginnløsning og informasjon om det mindreårige medlemmets verge. Slik informasjon vil brukes til å opprettholde deg som vårt EuroBonus-medlem, verifisere medlemsidentitet og behandle din akkumulering, belønning og innløsning av poeng og andre tjenester.

Profilkontoeierinformasjon

Ditt profilkontonummer, navn, alder, adresse og kontaktinformasjon. Slik informasjon vil brukes til å opprettholde deg som vår profilkontoinnehaver og administrere din konto og reiser.

Data og bilder av identitetsdokumenter som kreves i forretningsbehandling

ID-kort, pass, visumside, papirer som myndighetene krever for å ta en flyvning, gyldighetsperiode, utstedelsesmyndigheter, alder eller fødselsdato, kjønn og tilhørende bilder. Slik informasjon og bilder vil brukes, i samsvar med lover og forskrifter, til å bekrefte identiteten din når du bestiller en billett, sjekker inn, tar en flyvning, behandler formaliteter ved innreise/utreise, kjøper luftforsikring, benytter deg av SAS-tjenester og andre tjenester.

Betalingsinformasjon

Ditt kredittkortnummer, faktureringsadresse, kredittkortgyldighet, ordre- og driftsposter, logg og informasjon om risikokontroll. Slik informasjon vil brukes når du kjøper en billett, for å opprettholde betalingsinformasjonen din, bekrefte identiteten din og gi deg SAS-tjenester.

Informasjon for å forbedre reise og andre tjenester

Kontaktperson i nødssituasjoner, spesielle servicekrav og hva personen liker og misliker (måltider om bord, plassering av seter i kabinen, tjenester om bord). Slik informasjon vil brukes til å forbedre og promotere tjenesten vår slik at vi kan tilby tjenester som bedre dekker dine behov, og kan sende deg kampanje- og markedsføringsmeldinger med ditt samtykke.

Informasjon som kreves av offentlige helsemyndigheter eller andre offentlige etater eller som er innhentet for å demonstrere din egnethet til å fly.

Kontaktinformasjon, informasjon om tilstedeværelse eller fravær av mulige COVID-19- eller andre globale pandemisymptomer; informasjon om potensiell eksponering for COVID-19 eller annen global pandemi; informasjon innhentet av vårt bakke- eller reservasjonspersonell i henhold til direktiver fra offentlige helseorganisasjoner eller andre offentlige organer. Slik informasjon vil brukes til å overholde juridiske og regulatoriske krav, fastslå din egnethet til å reise i samsvar med gjeldende offentlige forskrifter og retningslinjer.

Alle andre personopplysninger

vi innhenter for å: gjøre og drive forbindelser mellom flere flyvninger og fremskynde bagasjeklarering over internasjonale grenser; overholdelse av visse regulatoriske krav angående nødssituasjoner og ellers i forbindelse med passasjerflygninger; å overholde visse regulatoriske krav for å verifisere og autentisere identiteten din og ha en legitim forretningsinteresse i å overholde gjeldende juridiske og regulatoriske krav; bruke denne informasjonen til å utføre vår kontrakt med deg; å overholde visse krav i allmennhetens interesse, for eksempel å beskytte mot risiko for passasjerer og offentlig helse, og passasjer- og flysikkerhet. Vær oppmerksom på at vi vil innhente, lagre, bruke og overføre dine sensitive personopplysninger for de formålene de ble gitt for og ellers i samsvar med vilkårene i denne personvernerklæringen hvis du gir ditt uttrykkelige samtykke på tidspunktet for innsamlingen.

På hvilket juridisk grunnlag behandler SAS dine personopplysninger?

Vårt juridiske grunnlag for behandling av personopplysningene dine som beskrives ovenfor, vil avhenge av personopplysningene og de spesifikke omstendighetene der vi behandler dem. Og vi vil i alminnelighet kun innhente personopplysninger fra deg når:

• vi har innhentet ditt samtykke til å gjøre det;

• slike opplysninger er nødvendige for at vi skal kunne gjennomføre en kontrakt med deg;

• behandlingen er i vår rettslige interesse og ikke overstyres av dine rettigheter;

• vi har juridiske forpliktelser til å behandle dine personopplysninger fra deg eller på annen måte trenger personopplysningene for å beskytte dine eller andre personers vitale interesser;

• det er nødvendig for å reagere på en offentlig helsekrise eller for å beskytte liv, helse og eiendomssikkerhet til en fysisk person;

• handlinger, så som nyhetsrapportering og tilsyn av offentlige meninger, utføres for allmennhetens interesse, og behandlingen av personopplysninger er innenfor et rimelig omfang;

• det er nødvendig å behandle personopplysningene som oppgis av personen det gjelder, eller andre personopplysninger som er blitt lovlig offentliggjort i et rimelig omfang i samsvar med bestemmelsene i PIPL og tilknyttede lover og forskrifter; og

• andre forhold som fastsettes av lover og administrative forskrifter.

Hvem deler SAS informasjonen din med?

Vi kan dele dine personopplysninger som vi samler inn eller mottar med:

• Andre flyselskap og andre selskaper som er involvert i levering av den tjenesten du vil gjøre bruk av;

• Selskaper som er del av bestillingen og gjennomføringen av flyvningen din, f.eks. reisebyråer, fraktspeditører og agenter;

• IT-leverandører og utviklere som sørger for driften og sikkerheten til våre IT-systemer på vegne av SAS;

• Kredittkortselskaper som SAS samarbeider med for å tilby ulike betalingsløsninger, så som MasterCard;

• Sikkerhetsfirmaer og virksomheter som arbeider med å forebygge og bekjempe bedrageri; og

• Selskaper i SAS Group, inkludert men ikke begrenset til SAS EuroBonus AB, SAS Link AB, Scandinavian Airlines Ireland Ltd, SAS Ground Handling A/S, SAS Ground Handling AS, SAS Ground Handling AB, SAS Cargo Group A/S, SAS Cargo Norway AS og SAS Cargo Sweden AB.

• offentlige etater og myndigheter, politimyndigheter, domstoler; eller

• Tredjeparter: (a) hvis vi mener at offentliggjøring kreves av gjeldende lov, forskrift eller juridisk prosess (slik som i henhold til rettslig ordre); eller (b) for å beskytte og forsvare våre rettigheter, eller rettighetene eller sikkerheten til tredjeparter, inkludert å etablere, foreta eller forsvare mot juridiske krav.

Utøvelse av dine rettigheter

SAS respekterer din rett til å vite, få innsyn i, korrigere, begrense behandlingen av, slette dine personopplysninger osv.

Rett til innsyn

Du har rett til å få bekreftelse fra oss om hvorvidt personopplysninger om deg blir behandlet, og der det er tilfelle, å be om innsyn i personopplysningene. Tilgangsinformasjonen inkluderer formålene med behandlingen, hvilke kategorier av personopplysninger det gjelder, og mottakere eller kategorier av mottakere som personopplysningene har blitt eller vil bli avslørt til. Du har rett til å få en kopi av personopplysningene som behandles. Hvis du ber om flere kopier, kan vi kreve et rimelig gebyr basert på våre kostnader.

Rett til å korrigere

Du har rett til å få unøyaktige personopplysninger om deg korrigert av oss. Avhengig av formålene med behandlingen, har du rett til å få ufullstendige personopplysninger fullført, herunder ved å gi en supplerende erklæring.

Rett til å slette

Du har rett til å be oss slette dine personopplysninger.

Rett til innsigelse

Du har rett til når som helst å protestere mot vår behandling av dine personopplysninger for visse formål. Hvis du utøver denne retten til å protestere, vil vi ikke lenger behandle personopplysningene dine for slike formål. Det påløper ingen kostnader for å utøve denne retten. En slik rett til å protestere eksisterer imidlertid ikke under visse omstendigheter, f.eks. hvis behandlingen av dine personopplysninger er nødvendig for å ta skritt før inngåelse av en kontrakt eller for å gjennomføre en kontrakt som allerede er inngått.

Rett til å kansellere konto

Du har rett til når som helst å kansellere en tidligere registrert konto. Når kontoen din er slettet eller anonymisert, vil vi ikke lenger innhente, bruke eller gi tredjeparter personopplysninger knyttet til kontoen. Likevel må informasjonen du oppgir eller som genereres under bruken av tjenestene våre beholdes av oss i den aktuelle perioden når lover og forskrifter krever det, og myndighetene vil ha rett til å få tilgang til slik informasjon i henhold til loven i løpet av den juridiske oppbevaringsperioden. For å utøve disse rettighetene, kan du be om sletting av personopplysninger. For at vi skal kunne verifisere identiteten din, bør din skriftlige forespørsel inkludere navnet ditt og adressen din og annen slik informasjon som vil hjelpe oss med å identifisere deg, så som:

• En e-postadresse du har brukt i kommunikasjon med SAS

• EuroBonus-nummer eller TravelPass-nummer

• Et telefonnummer du har brukt i kommunikasjon med SAS (for eksempel kundeservice-saker)

• Bestillingsnummer og/eller flynummer og dato.

SAS må alltid sørge for at det er den rette personen som mottar opplysningene om hvordan personopplysningene behandles. SAS vil kun offentliggjøre personopplysninger hvis vi kan verifisere din identitet i samsvar med det ovennevnte. Etter at vi har mottatt en forespørsel om å utøve en av disse rettighetene, vil vi gi informasjon om vår reaksjon på anmodningen uten unødig forsinkelse og i alle tilfeller innen 30 dager etter mottak av forespørselen. Denne tiden kan under visse omstendigheter forlenges med ytterligere 30 dager, for eksempel når forespørsler er komplekse eller tallrike.

Sikkerhetskontroll

Informasjonssikkerhet er viktig for SAS. Vi har innført hensiktsmessige tiltak som separat lagring, kryptering, tilgangskontroll, avidentifisering osv. i samsvar med kravene til dataklassifisering og -kategorisering, for å beskytte din informasjonssikkerhet mot uautorisert tilgang, avsløring, tap, misbruk, endring og urettmessig bruk av din informasjon og unngå negativ innvirkning på dine personlige rettigheter og interesser.

Mindreårige

SAS legger stor vekt på beskyttelse av mindreåriges personopplysninger. Hvis du er mindreårig under 14 år, bør du innhente skriftlig samtykke fra dine foreldre eller verger før du bruker våre produkter og/eller tjenester. For innsamling av personopplysninger for mindreårige med samtykke fra deres foreldre eller juridiske verger, vil vi kun bruke eller offentliggjøre denne informasjonen når loven tillater det, når det er gitt uttrykkelig samtykke fra deres foreldre eller verger eller når det er nødvendig for å beskytte de mindreårige. Hvis en mindreårig har gitt oss personopplysninger uten samtykke fra foreldre eller foresatte, kan forelderen eller vergen kontakte oss ved å sende en e-post til [email protected]. Vi vil fjerne informasjonen og avslutte abonnementet på barnet fra alle våre elektroniske markedsføringslister.

SAS EuroBonus AB ("EB") med organisasjonsnummer 559224-9782, og Scandinavian Airlines System Danmark-Norge-Sverige, et konsortium etablert etter lovene i Danmark, Norge og Sverige, med hovedkontor i Frösundaviks allé 1, SE-195 87 Stockholm, Sverige ("SAS"), avgjør i fellesskap formålene og metodene for behandling av personopplysningene dine som såkalte felles behandlingsansvarlige innen betydningen av artikkel 26 personvernforordningen (GDPR) (EU-forordning nr. 2016/679) ("GDPR"). For dette formålet har EB og SAS inngått en avtale om felles behandlingsansvar, og essensen i dette er beskrevet i sammendraget om felles behandlingsansvar.

EB og SAS er felles behandlingsansvarlige (heretter "vi" eller "oss") og er opptatt av å sikre personvernet ditt. Vi vil kun behandle personopplysningene dine som beskrevet i disse retningslinjene for personvern.

Nedenfor vil vi forklare hvordan vi innsamler, bruker, overfører, lagrer eller på andre måter behandler personopplysninger knyttet til deg som medlem av vårt EuroBonus-program. Vårt mål er å være så tydelige, transparente og oppriktige som mulig. Men du må ikke nøle med å kontakte oss dersom du fortsatt skulle ha noen spørsmål om hvordan vi behandler dine personopplysninger.

De fleste av de personopplysninger vi har om deg vil stamme fra deg direkte, f.eks. når du registrerer en EuroBonus-konto eller kjøper flygninger og fra aktiviteter når du bruker SAS-appen eller nettsiden til EB eller SAS. På tilsvarende måte innhenter vi informasjon fra deg når du bruker ditt EuroBonus-kort eller dine poeng, eller når du velger å benytte andre tilbud og tjenester fra oss eller våre forretningspartnere.

I tillegg innhenter vi personopplysninger om deg fra følgende kilder:

• EBs og SAS’ ulike avdelinger og salgspunkter, som loungebesøk og kundepleiekontakter.

• EBs forretningspartnere ("Forretningspartnere"), f.eks. hotellreservasjoner, bestillinger av leiebil, kredittkort med felles varemerke og kjøp som bruker eller opptjener EuroBonus-poeng.

• Våre leverandører opptrer på vegne av EB, f.eks. EuroBonus Shop, kortkoblingstjeneste, tilknyttet netthandel, sikkerhetsselskaper og virksomheter som jobber med å forebygge og bekjempe svindel og cyberundersøkelser, og IT-leverandører og -utviklere som sikrer driften og sikkerheten av våre IT-systemer på vegne av EB.

• SAS-partnerflyselskap som deltar i EuroBonus-programmet, for eksempel andre selskaper i SkyTeam Alliance.

• Basert på ditt samtykke vil vi også lage «nye» personopplysninger fra informasjon samlet inn fra datakildene oppgitt over, i form av prediktive segmenteringer. Disse modellene og analysene utføres noen ganger på våre vegne av tjenesteleverandører som vi har inngått avtaler med, for eksempel Customer Insight og tredjeparts dataleverandører.

Vi kan også samle inn personopplysninger om deg fra informasjonskapslene på nettstedet vårt. Du kan lese mer om informasjonskapsler i våre Retningslinjer for informasjonskapsler

Grunnlaget for og formålet med EuroBonus-programmet er at du skal opptjene poeng og fordeler fra dine aktiviteter hos oss og at vi skal gi deg et utvalg av enkle, nyttige og tilpassede tjenester og tilbud. Vi er opptatt av å bli kjent med deg, slik at vi kan tilby deg de beste personaliserte reise- og livsstilstilbudene og -funksjonene, og for å kontinuerlig forbedre EuroBonus-programmet.

I dette avsnittet beskriver vi aktivitetene for hvor vi behandler dine personopplysninger, formålet med behandlingen, hvilke typer personopplysninger vi behandler, det juridiske grunnlaget for behandlingen og lagringsperioden for personopplysningene.

EuroBonus-medlemskap og -konto

Formål og personopplysninger

For å administrere og behandle ditt EuroBonus-medlemskap og konto, opptjente og brukte EuroBonus-poeng, sende ut EuroBonus-kort samt oppdatere kontaktinformasjon og kansellere EuroBonus-kontoer til avdøde medlemmer, behandler vi følgende personopplysninger om deg:

• Informasjon om medlemskap: navn, EuroBonus-nummer og medlemskapsnivå.

• Medlemsopplysninger: Kjønn, fødselsdato og bostedsland.

Til å beregne din årlige inntekt fra EuroBonus-medlemskapet ditt for å vurdere ditt medlemskapsnivå og fordeler, behandler vi følgende personopplysninger om deg:

• Informasjon om medlemskap.

• EuroBonus-poeng og transaksjoner (inkludert bestillinger, kjøp, reiser, oppgraderinger og bonusreiser).

Til å gi relevant informasjon for Min EuroBonus-profil om medlemskapet og kontoen din, som gjeldende EuroBonus-poeng og transaksjoner (inkludert bestillinger, kjøp, reiser, oppgraderinger og bonusreiser), opptjente og brukte poeng, medlemskapsnivå og utløpsdato for poeng, inkludert detaljer om EuroBonus-poeng og transaksjoner knyttet til forretningspartnere, behandler vi følgende personopplysninger om deg:

• Informasjon om medlemskap.

• EuroBonus-poeng og transaksjoner (inkludert bestillinger, kjøp, reiser, oppgraderinger og bonusreiser) og utløpsdato for EuroBonus-poeng.

• Informasjon om forretningspartner: kjøp, flytransfers, hotell og/eller leie av bil. For eksempel, destinasjon for turen, oppholdets varighet, navn og beliggenhet for hotellet, romtype, bil som er leid, leietid, tidspunkt for kjøp og beløp betalt.

• Informasjon om dine reiser: destinasjoner, flyselskaper, billettyper, loungebesøk, informasjon om bagasje, flyseter og oppgraderinger samt betalingsinformasjon (klokkeslett for kjøp og betalt beløp).

For å gi kontraktsbaserte tilbud, for eksempel tilbud basert på medlemsnivå, EuroBonus-poeng, kampanjer eller medlemshendelser, behandler vi følgende personopplysninger om deg:

• Informasjon om medlemskap.

• Kontaktinformasjon.

• EuroBonus-poeng.

For å gi korrekt og lovmessig kommunikasjon basert på bursdag (lovlig alder for markedsføring), behandler vi følgende personopplysninger om deg:

• Informasjon om medlemskap.

• Fødselsdato.

• Bostedsland.

For å gi kontraktsbaserte fordeler som medlemsgaver, familiesammenslåing, vennesamling og medlemsgaver, behandler vi følgende personopplysninger om deg:

• Informasjon om medlemskap.

• Kjønn, fødselsdato og bostedsland.

• Kontaktinformasjon.

• EuroBonus-poeng og fordeler.

• Kontaktopplysninger og informasjon om medlemskap knyttet til familie og venner.

For å gi deg kundeservice og støtte (for eksempel informasjon om medlemskap vises til kundesenteragenter for gjenkjenning av medlemmer eller brukes til å identifisere ukjente eller uidentifiserte kunder), behandler vi følgende personopplysninger om deg:

• Informasjon om medlemskap.

• Kontaktinformasjon.

• Kundeservice eller støttedetaljer

Personopplysninger som du er kontraktsmessig forpliktet å oppgi er merket som obligatorisk når du registrerer deg som et medlem. Slike personopplysninger er nødvendig for å bli et EuroBonus-medlem.

Juridisk grunnlag

Det juridiske grunnlaget for behandling av dine personopplysninger er å oppfylle våre kontraktsmessige forpliktelser (EuroBonus’ vilkår) til deg som et EuroBonus-medlem, kan du se artikkel 6(1)(b) GDPR.

Lagringstid

Vi behandler personopplysningene dine så lenge du er EuroBonus-medlem. Ved oppsigelse av medlemskapet ditt, vil dine personopplysninger bli slettet innen ett år etter oppsigelsen.

Som oppgitt i avsnitt 3.13 i EuroBonus’ vilkår, har vi rett til å si opp medlemskapet ditt hvis du er inaktiv for mer enn 24 måneder, hvis du ikke har gyldige, brukbare poeng i EuroBonus-kontoen din. Dine personopplysninger slettes da. Personopplysninger knyttet til kjøp, krav, tilbakebetalinger og kompensasjoner kan likevel lagres i en lengre periode hvis dette kreves av loven eller nødvendig for å utøve eller forsvare rettskrav.

Kommunikasjon og forbedring av medlemstjenester

Formål og personopplysninger

For å analysere og lagre informasjon om hvordan du opptjener og bruker dine EuroBonus-poeng, og hvilke produkter og tjenester du bestemmer deg for å kjøpe og hvordan, for å skape mer skreddersydde og relevante tilbud og aktiviteter for deg alene eller sammen med våre forretningspartnere, behandler vi følgende personopplysninger om deg:

• Informasjon om medlemskap.

• Din bruk av EuroBonus-poeng, tjenester og produkter fra oss eller våre forretningspartnere.

For å sende e-poster om tjenesten, f.eks. for å informere deg om at EuroBonus-poengene dine holder på å utløpe, behandler vi følgende personopplysninger om deg:

• Informasjon om medlemskap.

• Kontaktinformasjon.

• EuroBonus-poeng.

For å kalkulere din årlige inntekt fra EuroBonus-medlemskapet ditt for å belønne våre lojale kunder, behandler vi følgende personopplysninger om deg:

• Informasjon om medlemskap.

• EuroBonus-poeng og transaksjoner (inkludert bestillinger, kjøp, reiser, oppgraderinger og bonusreiser).

• Belønninger og fordeler.

For å strømlinjeforme vår kommunikasjon med deg og minimere søppelpost, f.eks. ved å registrere om du ikke åpner våre e-poster og administrere forespørsler om å ikke lenger motta slike e-poster, og for å fjerne unødvendig informasjon, f.eks. tilbud om å kjøpe ekstra bagasje hvis du allerede har gjort så, behandler vi følgende personopplysninger om deg.

• Informasjon om medlemskap.

• Kontaktinformasjon.

• Dine samhandlinger med og svar på vår kommunikasjon med deg. Les mer om SAS’ bruk av informasjonskapsler og piksler i SAS’ retningslinjer for informasjonskapsler.

For å invitere deg til eksklusive arrangementer og aktiviteter basert på preferanser og nivå, behandler vi følgende personopplysninger om deg:

• Informasjon om medlemskap.

• Demografisk data.

For å sende ut undersøkelser og samle inn svar om kundeopplevelse, behandler vi følgende personopplysninger om deg:

• Informasjon om medlemskap.

• E-postadresse.

• Svar på undersøkelser.

For å lære opp og utvikle våre KI-systemer, behandler vi følgende personopplysninger om deg:

• Inndata fra omstendigheter som "din bruk av eksemplifiserte tjenester".

For å identifisere og analysere hvordan du reiser for jobb for å kommunisere med og sende målrettede tilbud og kampanjer til EuroBonus-bedriftsmedlemmer i SAS for Work, hvis du er en ansatt i en bedrift som er et EuroBonus-bedriftsmedlem, behandler vi følgende personopplysninger om deg:

• Hyppigheten av forretningsreiser.

• Bruk av våre tjenester.

• Arbeidsgiver (dvs. EuroBonus-bedriftsmedlemmet).

Juridisk grunnlag

Det juridiske grunnlaget for behandling av personopplysninger for vår kommunikasjon og forbedring av medlemstjenester er vår legitime interesse i å optimalisere våre tjenester for individuell kommunikasjon og forbedring av medlemstjenester, se artikkel (6)(1)(f) GDPR. Vi har konkludert at behandlingen av dine personopplysninger er nødvendig for å oppnå de relevante formålene. Vi konkluderer også at disse interessene kan overstyre konkurrerende interesser og fundamentale rettigheter og friheter. Du har alltid rett til å protestere mot denne konklusjonen, og kan lese mer om dine rettigheter under.

Lagringstid

Vi vil kontinuerlig behandle personopplysninger om deg mens du er EuroBonus-medlem. Vi utfører regelmessig sletting av personopplysninger som ikke lenger er relevant for formålene i 2-års intervaller.

Ved oppsigelse av medlemskapet ditt, vil dine personopplysninger bli slettet innen ett år etter oppsigelsen.

Tilpasset kommunikasjon, tjenester og tilbud.

Formål og personopplysninger

For å samle inn og analysere statistiske data om dine behov, preferanser, kjøpemønstre og kjøpekraft basert på dine tidligere kjøp av produkter og tjenester fra oss og våre forretningspartnere, behandler vi følgende personopplysninger om deg:

• Informasjon om medlemskap.

• EuroBonus-poeng og transaksjoner.

• Personlige preferanser og behov om EB, SAS og våre forretningspartneres produkter og tjenester.

• Kjøpemønstre og kjøpekraft.

• Svar på undersøkelser.

Vi behandler følgende av dine personopplysninger for å gi verdi til EuroBonus-programmet og for å forstå dine preferanser, behov og (nettbaserte) bruk, samt for å lage en personlig profil for deg, som vi bruker til å gi deg personlige tilbud og tjenester. Ved å bruke prediktive modeller og segmentering basert på demografi, kjønn og kjøpemønstre, og utføre analyser basert på kundesegmentering, prøver vi å forstå hvilke produkter og tjenester du verdsetter og fremhever disse produktene og tjenestene for deg. Noen modeller inkluderer bruk av automatiske verktøy og systemer, som KI.

• Informasjon om medlemskap.

• Kontaktinformasjon.

• EuroBonus-poeng og transaksjoner.

• Personlige preferanser og behov om EB, SAS og våre forretningspartneres produkter og tjenester.

• Nettatferd, f.eks. hvordan du bruker SAS' applikasjoner og EBs/SAS' nettsider.

• Svar på undersøkelser.

Vi behandler følgende av dine personopplysninger for å forutsi andre tjenester og tilbud som kan interessere deg basert på medlemsdata. Vi undersøker og generaliserer behov, preferanser, kjøpemønstre og kjøpekraft for å forstå kundenes atferd og segmenter. For eksempel analyserer vi hva andre kunder er tilbøyelig til å kjøpe i henhold til ulike kjennetegn (f.eks. når de bestilte sin tur, når de skal reise, hvor lenge de er borte) og forsøke å forutsi hvilke produkter eller tjenester du kan være interessert i å kjøpe basert på andre kunders atferd.

• Informasjon om medlemskap.

• Kontaktinformasjon.

• EuroBonus-poeng og transaksjoner.

• Personlige preferanser og behov om EB, SAS og våre forretningspartneres produkter og tjenester.

• Svar på undersøkelser

• Nettatferd, f.eks. hvordan du bruker SAS' applikasjoner og EBs/SAS' nettsider.

• Samlet segmentert informasjon knyttet til ditt medlemskap.

For å gi deg personlige tilbud, anbefalinger, produkter, tjenester, informasjon og reisetips fra oss eller våre forretningspartnere, basert på vår profil om deg og/eller våre forutsigelser om dine interesser og preferanser, behandler vi følgende personopplysninger om deg:

• Informasjon om medlemskap.

• Kontaktinformasjon.

• EuroBonus-poeng og transaksjoner.

• Personlige preferanser og behov om EB, SAS og våre forretningspartneres produkter og tjenester.

• Nettatferd, f.eks. hvordan du bruker SAS' applikasjoner og EBs/SAS' nettsider.

• Samlet segmentert informasjon knyttet til ditt medlemskap.

• Svar på undersøkelser

Vi behandler følgende av dine personopplysninger for å følge opp betalte mediekampanjer, så som informasjon om inntrykk, klikk- og konverteringsrater, for å analysere og opprette plattformer for kommunikasjon. Vi overvåker våre kampanjer både på et aggregert og individuelt nivå (hvor informasjonskapsler er godtatt) og innhenter personopplysninger fra en rekke kilder, inkludert Facebook og Google.

• Informasjon om medlemskap.

• Kontaktinformasjon.

• EuroBonus-poeng og transaksjoner.

• Informasjon om inntrykk, klikk og omregningskurser.

For å la oss vise reklamer til deg på sosiale medier, som Facebook og Instagram, gjennom kundematch og kundematch-lookalike, behandler vi følgende personopplysninger om deg:

• Hashet e-postadresse.

For å dele personopplysninger med våre forretningspartnere for analyse-, markedsførings- og profileringsformål, for eksempel for å levere produkter og tjenester som du bruker innenfor EuroBonus-programmet, følge opp partnerskap, utvikle nye relevante produkter og tjenester og for å tilpasse tilbudene våre mot interessene dine, behandler vi følgende personopplysninger om deg:

• Informasjon om medlemskap.

• Kontaktinformasjon.

• EuroBonus-poeng og transaksjoner.

• Preferanser og behov angående EB, SAS og våre forretningpartneres produkter og tjenester.

Juridisk grunnlag

Det juridiske grunnlaget for behandlingen av dine personopplysninger er ditt samtykke, se artikkel 6(1)(a) GDPR.

Lagringstid

Dine personopplysninger behandles så lenge vi har ditt samtykke. Du kan fritt trekke tilbake samtykket ditt når som helst under innstillingene i EuroBonus-kontoen din.

Vi vil kontinuerlig behandle personopplysninger om deg mens du er EuroBonus-medlem. Vi utfører regelmessig sletting av personopplysninger som ikke lenger er relevant for formålene i 3-års intervaller.

Ved oppsigelse av medlemskapet ditt, vil dine personopplysninger bli slettet innen ett år etter oppsigelsen.

Informasjonskapsler og internettatferd

Vi behandler personopplysningene dine for følgende formål:

• Vi behandler personopplysningene dine gjennom informasjonskapsler som er strengt nødvendige for funksjonalitet og opprettholdelse av sikkerhet. Se våre retningslinjer om informasjonskapsler for detaljer om personopplysninger for nødvendige informasjonskapsler.

• Vi behandler dine personopplysninger for å samle inn, lagre og analysere atferd på nett, alene eller i kombinasjon med andre personopplysninger som vi er behandlingsansvarlig for eller som vi har mottatt fra en tredjepart, og for å gi deg målrettede tilbud på vår virksomhet, våre forretningspartneres og tredjeparts applikasjoner og/eller nettsider. Se våre retningslinjer om informasjonskapsler for detaljer om personopplysninger for nødvendige informasjonskapsler for markedsføring.

• Vi behandler dine personopplysninger for å identifisere forlatte handlekurver og sender deg påminnelser om å fullføre kjøpet eller bestillingen. Se våre retningslinjer om informasjonskapsler for detaljer om personopplysninger for ytelse og informasjonskapsler for markedsføring.

• Vi behandler dine personopplysninger for å utføre aggregert analyse av data, alene eller i kombinasjon med andre data som vi er behandlingsansvarlig for eller som vi har mottatt fra en tredjepart, om appatferd som søk, klikk og kjøp. Se våre retningslinjer om informasjonskapsler for detaljer om personopplysninger for statistikk og informasjonskapsler for analyse.

Juridisk grunnlag

Det juridiske grunnlaget for behandling av dine personopplysninger gjennom informasjonskapsler er ditt samtykke, se artikkel 6(1)(a) GDPR, dersom du samtykker til bruk av informasjonskapsler på EBs og SAS’ nettsider eller SAS-applikasjoner.

Det juridiske grunnlaget for å behandle personopplysninger gjennom våre nødvendige informasjonskapsler er vår legitime interesse i å tilby nødvendig funksjonalitet og opprettholde sikkerhet, se artikkel (6)(1)(f) GDPR. Vi har konkludert at behandlingen av dine personopplysninger er nødvendig for å oppnå de relevante formålene. Vi konkluderer også at disse interessene kan overstyre konkurrerende interesser og fundamentale rettigheter og friheter. Du har alltid rett til å protestere mot denne konklusjonen, og kan lese mer om dine rettigheter under.

Lagringstid

Finn detaljerte lagringsperioder i retningslinjene for informasjonskapsler eller til du trekker tilbake ditt samtykke. Du kan fritt trekke tilbake samtykket ditt når som helst via innstillingene for informasjonskapsler.

Les mer om vår bruk av informasjonskapsler i SAS’ retningslinjer for informasjonskapsler.

Forebygging av svindel og kriminalitet og rettskrav

Formål og personopplysninger

For å forebygge, undersøke eller rapportere tilfeller av bedrageri eller sikkerhetsproblemer og for å samarbeide med rettshåndhevende myndigheter, behandler vi følgende personopplysninger om deg:

• Om bonusreiser: Informasjon om medlemskap og kredittkortinformasjon.

• Kontaktinformasjon.

• EuroBonus-poeng og transaksjoner (inkludert bestillinger, kjøp, reiser, oppgraderinger og bonusreiser).

For å oppdage uredelig atferd på nettet gjennom f.eks. fingeravtrykk på enhet, behandler vi følgende personopplysninger om deg:

• IP-adresse og enhetsinformasjon.

For å etablere, utøve og forsvare oss mot juridiske krav, der det er aktuelt, behandler vi følgende personopplysninger om deg:

• Informasjon om medlemskap.

• Kontaktinformasjon.

• Korrespondanse, betalingsinformasjon, beskrivelse av hendelsesforløp eller andre relevante omstendigheter eller data.

Juridisk grunnlag

Det juridiske grunnlaget for å behandle personopplysninger er strengt nødvendig for å forhindre, etterforske eller rapportere tilfeller av svindel, samt for å etablere, utøve og forsvare mot rettskrav, se artikkel 6(1)(f) GDPR. Vi har konkludert at behandlingen av dine personopplysninger er nødvendig for å oppnå de relevante formålene. Vi konkluderer også at disse interessene kan overstyre konkurrerende interesser og fundamentale rettigheter og friheter. Du har alltid rett til å protestere mot denne konklusjonen, og kan lese mer om dine rettigheter under.

Lagringstid

Personopplysninger som fanges opp av våre filtre, på grunn av uregelmessige aktiviteter som gir grunn til mistanke om svindel og/eller sikkerhetsbrudd, og som behandles for å etablere, utøve eller forsvare rettskrav, vil bevares inntil saken er stengt og ikke kan påklages. Personopplysninger som ikke oppdages av våre filtre slettes umiddelbart. Kredittkortinformasjon knyttet til et kjøp lagres i syv år i henhold til regnskapslovgivningen.

Statistikk, analyse og forbedring av våre produkter, tjenester og funksjoner

Vi behandler alle personopplysninger vi har om deg for aggregeringsformål. De aggregerte (samlede) opplysningene brukes til å kompilere statistikk og til å analysere og forbedre våre produkter, tjenester og funksjoner. Når dine personopplysninger er aggregerte, kan du ikke lenger identifiseres, og de anses ikke lenger som personopplysninger.

Som et EuroBonus-medlem kan du logge på som et medlem på SAS-appen, hvor du får tilgang til EuroBonus-kontoen din. Les mer om hvordan vi behandler dine personopplysninger i SAS-appen.

Personopplysninger blir delt mellom selskapene i SAS-konsernet for å styre og drive våre internasjonale SAS-flygninger, EuroBonus poengsystemet, EuroBonus-kontoer og medlemsinformasjon til EuroBonus-medlemmer internasjonalt.

Personopplysninger blir delt med våre forretningspartnere for å koordinere spesielle tilbud, aktiviteter og analyse. For eksempel jobber vi med og deler personopplysninger med våre partnere for å analysere bruken og preferansene dine, slik at vi kan levere relevante tjenester og tilbud. I noen tilfeller har vi felles behandlingsansvar med våre partnere. Dette betyr at vi og partneren vår har felles behandlingsansvar for dine personopplysninger og fastsetter formålene med behandling. Du informeres om denne typen forhold når du bruker de relevante tjenestene.

Vi deler også personopplysninger i tilfeller hvor:

• det er avtalt mellom oss og deg (som forretningspartnere)

• det er nødvendig for å beskytte juridiske interesser

• det er nødvendig for oss å oppfylle en lovbestemt plikt, overholde en bestemmelse fra en offentlig myndighet eller domstol, eller for å overholde loven

• vi bruker en tredjeparts tjenesteleverandør eller samarbeidspartner til å utføre tjenester på våre vegne f.eks. for å levere IT- eller systemtjenester, administrative tjenester eller rekrutteringstjenester, eller til å organisere arrangementer

• du bruker tjenestene til et SAS-partnerflyselskap som er i EuroBonus-programmet, for eksempel andre selskaper i SkyTeam Alliance

• det er nødvendig for funksjonaliteten til tredjeparts informasjonskapsler brukt på vår nettside

• vi markedsfører våre aktiviteter på f.eks. nettsiden vår og sosiale medier

• vi samarbeider med medarrangører om arrangementer der det er behov for tilgang til lister over deltakere eller hvis andre deltakere på arrangementet har tungtveiende grunner til å gis tilgang til lister over deltakere, eller

• det er på annen måte tillatt eller påkrevd av gjeldende lov

I visse tilfeller vil mottakerne av dine personopplysninger være parter som opptrer som behandlingsansvarlig når det gjelder behandlingen av personopplysninger (f.eks. offentlige myndigheter, regnskapsbyråer osv.), mens de i andre tilfeller vil opptre som databehandlere som behandler personopplysninger i henhold til våre instruksjoner og kan ikke bruke personopplysninger til egne formål, hvor vi i så fall alltid vil inngå en avtale om databehandling.

Det lovmessige grunnlaget for å dele dine personopplysninger er:

• Vår legitime interesse (artikkel 6(1)(f) GDPR) til å drive virksomheten vår på en effektiv måte, som for eksempel å benytte oss av tjenesteleverandører eller håndtere juridiske krav. I disse tilfellene har vi konkludert med at behandlingen av dine personopplysninger er nødvendig for å oppnå de relevante formålene og at våre interesser overstiger konkurrerende interesser og grunnleggende rettigheter og friheter. Du har alltid rett til å protestere mot denne konklusjonen, og kan lese mer om dine rettigheter under.

• For å oppfylle våre kontraktsmessige forpliktelser til deg under EuroBonus’ vilkår (artikkel 6(1)(b) GDPR), som for eksempel gjelder for deling av personopplysninger med forretningspartnere og innen SAS Group.

• For å overholde en juridisk forpliktelse. Dette kan for eksempel være å utlevere personopplysninger til en offentlig myndighet.

• Ditt samtykke hvis du har godkjent tredjeparts informasjonskapsler i SAS-appen eller på EBs eller SAS’ nettsider.

Hvis du ønsker en full liste over våre deltakere, kan du kontakte oss på den oppgitte kontaktinformasjonen nedenfor.

Personopplysninger som deles innenfor SAS-konsernet eller med våre forretningspartnere kan noen ganger bli overført til land utenfor Den europeiske unionen ("EU") eller Det europeiske økonomiske samarbeidsområdet ("EØS") som ikke sørger for tilstrekkelig beskyttelsenivå for personopplysninger. Slike overføringer vil bli gjort i henhold til gjeldende databeskyttelseslover.

Når personopplysninger behandles utenfor EU/EØS, er det enten en avgjørelse fra EU-kommisjonen om at det aktuelle landet gir et tilstrekkelig beskyttelsesnivå, inkludert EU-US Data Privacy Framework eller tilstrekkelige vern for å sikre at rettighetene dine er beskyttet, som standard kontraktsbestemmelser.

For å sikre transparens i behandlingen av personopplysninger, har du rett til å be om en kopi av alle standard kontraktsbestemmelser ved å kontakte oss på den oppgitte kontaktinformasjonen nedenfor. Du finner mer informasjon om landene som regnes å ha et tilstrekkelig beskyttelsesnivå på Europakommisjonens nettside, og du kan lese mer om standard kontraktsbestemmelser på nettsiden til den svenske myndigheten for personvern.

Vi har iverksatt omfattende tekniske og organisatoriske tiltak for å beskytte dine data mot tap, misbruk og uautorisert tilgang. Behandling og overføring av data mellom din nettleser og vår server blir grundig beskyttet gjennom kryptering og vi oppdaterer kontinuerlig våre sikkerhetstiltak. Når du betaler for noen av våre tjenester ved hjelp av et kort, blir alle opplysninger sendt via en sikker forbindelse for å sikre at dine personopplysninger ikke kan leses av tredjeparter. De aktørene vi samarbeider med når det gjelder kortbetalinger er alle sertifiserte i samsvar med den internasjonale sikkerhetsstandarden PCI-DSS, som innebærer et svært høyt nivå av sikkerhet for behandlingen av dine kortdetaljer.

Du har flere rettigheter knyttet til dine personopplysninger. Du kan utøve dine rettigheter ved å logge på EuroBonus-kontoen din og klikke på "Behandle personopplysninger" på SAS-nettsiden.

Rett til å trekke tilbake samtykke

Hvis vi behandler opplysninger om deg basert på ditt samtykke, har du rett til når som helst å trekke tilbake samtykket. Vi vil deretter avslutte behandlingen av de personopplysningene som er basert på ditt samtykke. Du kan trekke tilbake ditt samtykke for direkte markedsføring og profilering under innstillinger i EuroBonus-kontoen din, eller ved å klikke på koblingen for å si opp abonnementet i relevant kommunikasjon. For å trekke tilbake ditt samtykke for informasjonskapsler, gå til "Behandle personopplysninger" på SAS-nettsiden.

Rett til korrigering

Hvis du mener at dine personopplysninger er feil eller ufullstendige, kan du be om å få dem rettet eller fullført ved å ringe vår kundeservice, som vil hjelpe deg med å korrigere eller fullføre opplysningene dine. Besøk "Behandle personopplysninger" på SAS-nettsiden for mer informasjon.

Rett til begrensning

I noen tilfeller har du rett til å be om begrensning av behandlingen av dine personopplysninger, noe som betyr at opplysningene er merket slik at de i fremtiden bare kan behandles til visse begrensede formål. Dette er mulig hvis du har for eksempel protestert mot behandlingen, har bestridt nøyaktigheten av dine personopplysninger, eller hvis behandlingen er ulovlig. Ved å be om en begrensning av vår behandling, har du rett til å stoppe oss fra å behandle personopplysningene dine i en viss periode til andre formål enn for eksempel å forsvare rettskrav.

Rett til informasjon og tilgang

Du kan be om informasjon om hvorvidt vi behandler dine personopplysninger og be om å få en kopi av dine personopplysninger (kjent som en DSAR-forespørsel – datasubjekttilgang) sammen med visse tilleggsopplysninger om hvordan vi behandler dine personopplysninger. Besøk "Behandle personopplysninger" på SAS-nettsiden for mer informasjon.

Rett til å legge inn en klage

Det er viktig for oss at du føler deg trygg på at EB behandler personopplysningene dine med respekt. Hvis du har spørsmål eller tilbakemeldinger om hvordan EB behandler dine personopplysninger, kan du gjerne kontakte vårt personvernombud. Du har også muligheten til å sende inn en klage til den svenske personvernmyndigheten eller personvernmyndighetene i landet ditt, som Datatilsynet i Norge.

Rett til innsigelse

Du har rett til når som helst å fremme en innsigelse mot behandlingen av dine personopplysninger når behandlingen er basert på våre legitime interesser. Hvis vi ikke kan påvise overbevisende legitime grunner for behandlingen av dine data som oppveier dine interesser, rettigheter og friheter eller at behandlingen er utført for å etablere, utøve eller forsvare rettslige krav, vil vi ikke lenger behandle dine personopplysninger.

Rett til å overføre personopplysningene dine (dataportabilitet)

Hvis vi behandler personopplysningene dine for å oppfylle en kontrakt eller på grunnlag av ditt samtykke, kan du i visse tilfeller kunne innhente personopplysningene for bruk andre steder, f.eks. ved å skaffe en kopi av dem i et maskinlesbart format og overføre dem til en annen behandlingsansvarlig.

Rett til sletting

I noen tilfeller kan du be om at dine personopplysninger slettes. Retten til sletting gjelder for eksempel personopplysninger som ikke lenger er nødvendig for det formål som de ble samlet inn for, eller for personopplysninger som behandles på grunnlag av ditt samtykke hvis du velger å trekke tilbake samtykket. I visse omstendigheter kan det hende at vi ikke kan slette dine personopplysninger, for eksempel hvis personopplysningene dine er nødvendige for å overholde en juridisk forpliktelse, hvis de fortsatt er nødvendige for formålet de ble samlet inn for, eller hvis vår interesse i å fortsette å behandle opplysningene er større enn din interesse i å få dem slettet. Gå til "Behandle personopplysninger" på SAS-nettsiden for mer informasjon eller for å utøve din rettighet.

SAS har utnevnt en personvernansvarlig for å hjelpe SAS og EB å sikre at personopplysningene dine behandles på korrekt måte. Du kan kontakte vårt personvernombud med spørsmål eller forespørsler om vår behandling av personopplysningene dine ved å sende en e-post til [email protected].

Hvis du har spørsmål om EuroBonus-programmet generelt, kan du kontakte EuroBonus-kundeservice på www.flysas.com.

• Vi er opptatt av å sikre ditt personvern, og vil bare behandle persondataene dine som beskrevet i disse retningslinjene for personvern for profilkontoinnehavere. Retningslinjene for personvern for profilkontoinnehavere er en integrert del av Brukervilkårene for profilkonti.

• Vi vil nedenfor forklare hvordan vi samler inn, bruker, overfører, lagrer eller på andre måter behandler persondata knyttet til deg som profilkontoinnehaver. Vårt mål er å være så tydelige, transparente og åpenhjertige som mulig. Skulle du fortsatt ha spørsmål om hvordan vi behandler dine personopplysninger, kan du kontakte vårt datavernombud på [email protected].

• Persondata betyr alle opplysninger knyttet til deg som en fysisk person og som kan være grunnlag for å identifisere deg, direkte eller indirekte, så som ditt navn eller foto.

• Vi anerkjenner at spesielle kategorier av informasjon, så som data som avslører etnisk opprinnelse, religiøs tro eller helseopplysninger, er særlig sensitive. Vi vil utelukkende innhente og bruke slike sensitive data i samsvar med retningslinjene for personvern for profilkontoinnehavere og der det er strengt nødvendig. For eksempel er det viktig for oss å vite om du er høygravid eller trenger rullestol for å komme inn i flyet.

Behandling av persondata betyr alt arbeid eller sett av tiltak som utføres på persondata, enten gjennom automatiske metoder eller ikke. Alle tiltak som utføres på persondata, fra innsamling og lagring til endring, bruk eller offentliggjøring utgjør dermed «behandling».

Utførelse av vilkårene for profilkontoen

Ditt valg om å opprette en profilkonto krever at SAS registrerer og behandler personopplysningene dine og aktivitetene dine mens du er logget inn og bruker nettsiden. Vi vil derfor behandle dine personopplysninger ut fra det juridiske grunnlag at slik behandling er nødvendig for å kunne oppfylle våre forpliktelser under brukervilkårene for profilkontoen.

Legitime interesser

Vi behandler personopplysninger utfra våre legitime interesser i å forbli konkurransedyktige innenfor markedssegmentet vårt og derfor blant annet å kunne analysere personopplysninger fra profilkontoinnehavere knyttet til reisebestillinger, populære reisemål, valg av tilleggsprodukter, bruk av hjemmesiden og appen, og følge opp resultater av f.eks. e-postkommunikasjon. Vi vil også behandle persondata på grunnlag av våre legitime interesser for å forebygge, undersøke eller rapportere tilfeller av bedrageri eller sikkerhetsproblemer og for å samarbeide med rettshåndhevende myndigheter. Vi har veid vår legitime interesse mot nivået på personverninntrengning som vår behandling av personopplysningene dine kan føre til. Vi behandler personopplysningene dine på et generelt og samlet nivå på en gjennomsiktig måte, med det formål å forbedre produktene og tjenestene vi tilbyr deg og med et svært høyt sikkerhetsnivå og med rimelige sikkerhetsforanstaltninger. Vi vurderer det dermed dithen at nivået på personverninntrengningen er begrenset og at våre interesser i å utføre behandlingen av personopplysningene er rimelig og legitim.

Våre rettslige forpliktelser

Vi vil behandle persondataene dine når vi er underlagt en rettslig forpliktelse til å gjøre det, for eksempel når vi er forpliktet til å levere opplysninger til offentlige myndigheter eller vi er underlagt en rettskjennelse.

SAS registrerer og behandler følgende personopplysninger om deg og dine aktiviteter, samlet «personopplysninger»:

• Personopplysninger som sendes når du oppretter, vedlikeholder eller oppdaterer profilkontoen.

• Opplysninger som samles om dine reiser og bruk av profilkontoen, f.eks. avreisested og reisemål for reisen, flyselskap, type billetter, bagasje, forhåndsbestilte måltider, oppholdets varighet, eventuelle klager, kjøpstidspunkt og beløp betalt.

• Opplysninger om kundepleie og reise uregelmessigheter så som forsinkede eller kansellerte flygninger, tapt bagasje og klager, refusjoner, og kompensasjon betalt.

• Bearbeide, på et aggregert nivå, alle reservasjoner og totale salgsinntekter med sikte på å optimalisere for eksempel flygningsnettverket og prisfastsettingen.

Hvis du godtar våre informasjonskapsler, vil vi behandle personopplysninger om adferden din på nett, slik de registreres av informasjonskapsler og analyseprogrammer på SAS-nettstedet eller applikasjonen. For eksempel, hvilke uttrykk du søker etter, besøkets varighet, hvilke reisemål du er interessert i og hvilke lenker/overskrifter du velger å klikke på. Se våre Retningslinjer for informasjonskapsler for ytterligere informasjon om bruken av informasjonskapsler.

Personopplysningene vi behandler er hovedsakelig hentet rett fra deg, dvs. når du angir kontaktopplysninger for å registrere en profilkonto. I tillegg vil vi innhente og utarbeide personopplysninger fra våre flyvninger, flyplassavdelinger og systemer i den grad det er nødvendig, for å oppfylle våre krav i vilkårene for profilkonti.

Personinformasjonen registreres og behandles for følgende formål:

• Administrering av profilkontoen og bestillinger osv. som foretas gjennom kontoen.

• Administrering og gjennomføring av bestillinger og reiser.

• For å gi deg relevant informasjon, f.eks. bestillingsinformasjon med flyvningsdatoer, forhåndsbestilte måltider, setevalg, bagasje, i påvente av en kommende tur, som melding på profilkontoen, eller, hvis du har bedt om å motta informasjon gjennom en annen kommunikasjonskanal, gjennom nevnte kanal.

• Registrere og analysere informasjon om kundeservice og reiserelaterte uregelmessigheter, for å f.eks. følge opp og forbedre kundeservice på et generelt og samlet nivå (dvs. ikke for enkelttilfeller).

• Utføre statistiske analyser om behov, preferanser og kjøpsadferd på et generelt og samlet nivå (dvs. ikke for enkelttilfeller).

• Utføre grunnleggende analyser av bruk, hyppighet, foretrukne funksjoner og lengden på besøk på SAS-nettsiden og applikasjonen, for å opprettholde, optimalisere og kontinuerlig forbedre funksjonaliteten og funksjonene til våre digitale plattformer og profilkontoen. Oppdatere dine kontaktopplysninger og/eller avslutte/blokkere konti for avdøde kunder.

Vi behandler personopplysningene dine så lenge du har en registrert konto. Dine personopplysninger beholdes helt til profilkontoen er avsluttet.

• Personopplysninger deles mellom partnere i SAS-konsernet for å drive våre internasjonale flyvninger, for å administrere profilkontoen, for statistikkformål m.m.

• Persondata som deles i SAS-konsernet eller med våre forretningspartnere vil noen ganger bli overført til land som ikke tilhører («EU») eller Det europeiske økonomiske samarbeidsområdet («EØS») og som ikke sørger for et adekvat nivå av beskyttelse for persondata. Slike overføringer vil bli utført i overensstemmelse med gjeldende databeskyttelseslover.

• Når vi overfører persondata til et land utenfor EU/EØS som ikke har et adekvat nivå av beskyttelse for personlige data, vil vi iverksette passende sikkerhetstiltak, normalt ved å inngå standard kontraktsklausuler som er etablert av Europakommisjonen. De standard kontraktsklausulene kan sees via følgende lenke

• Når det ikke foreligger noen adekvansbeslutning fra Europakommisjonen og det heller ikke er etablert passende sikkerhetstiltak i form av kontraktsklausuler som skissert ovenfor, vil vi overføre dine persondata til datterselskaper i SAS-konsernet og til våre forretningspartnere på det rettslige grunnlaget av profilkonto-vilkårene, inkludert de nåværende Retningslinjer for personvern for profilkontoinnehavere. Mer spesifikt vil vi overføre dine personopplysninger på grunnlag av at overføringen er nødvendig for at vi kan utføre vilkårene for profilkontoen.

• Scandinavian Airlines System Denmark- Norway-Sweden, et konsortium etablert etter lovene i Danmark, Norge og Sverige, og med hovedkontor i Frösundaviks allé 1, SE-195 87 Stockholm, Sverige, er kontrolløren som, alene eller sammen med andre, vil bestemme formålene og midlene for behandling av dine persondata.

• SAS er den rettslige enheten som er ansvarlig for persondata i samsvar med gjeldende lovgivning om databeskyttelse, inkludert personvernforordningen (EU-forordning nr. 2016/679).

• SAS har utnevnt et personvernombud som støtter SAS med sikring av at medlemmenes persondata blir korrekt behandlet. Du vil kunne kontakte vårt personvernombud med spørsmål eller anmodninger knyttet til behandlingen av dine persondata, på følgende adresse: [email protected].

• Hvis du har spørsmål om profilkontoen din, henviser vi til kontaktinformasjonen på flysas.com.

Vi ønsker å være så transparente og tydelige som mulig om hvordan vi behandler dine persondata, og har derfor vært særlig nøye med å illustrere dine rettigheter etter disse Retningslinjene for personvern for profilkontoinnehavere. På profilkontoen din kan du nå ikke bare se og oppdatere dine kontaktdetaljer, men også finne informasjon om dine rettigheter og om vår behandling av persondata lagt ut interaktivt. Ved å navigere og betjene profilkontoen, kan du også enkelt håndheve dine rettigheter. For eksempel har du rett til å få tilgang til de persondata vi behandler om deg. Du kan enkelt innhente et utdrag av persondataene om deg som vi behandler og finne mer informasjon ved å logge deg inn på din profilkonto. På samme måte kan du finne mer informasjon om og håndheve også de følgende rettighetene:

• Korrigere, oppdatere eller slette opplysninger som er feilaktig eller ufullstendig på profilkontoen din.

• Begrense behandlingen av dine personlige data.

• Å bli glemt. Retten til å bli glemt betyr at du vil kunne be om at vi sletter alle de persondata vi har samlet inn om deg.

• Motta en kopi av persondataene knyttet til deg og informasjon angående vår behandling av dine persondata i et vanlig brukt dataformat og til å overføre – eller få overført, der det er teknisk mulig – de personlige dataene til en annen kontrollør.

• Be om at persondata ikke blir brukt for direkte markedsføringsformål.

• Innlever en klage til personvernmyndigheten i din jurisdiksjon, som i Norge er Datatilsynet. Du kan også finne mer informasjon om alle de forskjellige sikringstiltak og tekniske tiltak vi har iverksatt for å beskytte dine data og din rett til personvern og frihet og til å sørge for at vi fullt ut overholder gjeldende personvernlovgivning. Hvis du trenger assistanse eller har noen spørsmål angående dine rettigheter, vennligst kontakt vår personvernrådgiveren på [email protected]. Vennligst merk deg at begrensning av behandlingen av dine persondata eller håndheving av din rett til å bli glemt vil bety at vi ikke lenger vil være i stand til å yte deg våre tjenester etter profilkontoen. Behandling av personopplysninger som angitt i denne personvernpolitikken for profilkontoinnehavere er nødvendig for at vi skal kunne oppfylle vilkårene for profilkontoen. EuroBonus-programmet tilbyr en rekke enkle, gledelige og personlige tjenester og tilbud, som gjør livet lettere for medlemmene våre. Du er når som helst velkommen til å bli EuroBonus-medlem ved å klikke på følgende lenke

• I visse situasjoner vil vi ha behov for ditt samtykke for å behandle dine persondata.

• For eksempel kan noen av funksjonene og tjenestene knyttet til EuroBonus-medlemskapet også tilbys våre profilkontoinnehavere, avhengig av ditt samtykke. Disse tjenestene innebærer behandling av personopplysninger utover det som angis i denne personvernpolitikken for profilkontoinnehavere. Vi utfører utelukkende slike ekstrafunksjoner og tilhørende ekstrabehandling av personopplysninger dersom vi har fått ditt informerte og spesifikke samtykke.

• Derfor kan vi be om ditt samtykke til å f.eks. behandle personopplysninger for å bedre forstå behovene og preferansene dine, f.eks. for profiloppretting, for å bruke informasjon i informasjonskapsler eller for å automatisk fylle inn bestillingsskjemaer med kontaktopplysningene dine, medreisende, pass- og betalingsdata osv., for å gjøre det raskere og enklere å bruke tjenestene våre.

• Vi kan også be om ditt samtykke til å bruke post, mobiltelefon, SMS, MMS, e-post, sosiale medier og andre digitale kanaler til å sende reklamekommunikasjon til deg om våre eller våre samarbeidspartneres produkter og tjenester.

• Forutsatt at du samtykker i bruk av informasjonskapsler på vår nettside eller applikasjonen, kan vi også be om ditt samtykke til behandling av personopplysningene dine, for å kunne analysere adferden din på nett og dermed f.eks. identifisere hvilke reisemål du er interessert i. Vennligst les mer om vår bruk av informasjonskapsler i våre Retningslinjer for informasjonskapsler.