Avtal för gemensamt personuppgiftsansvariga

Vi, Scandinavian Airlines System Denmark-Norway-Sweden (”SAS”) och SAS EuroBonus AB (”EB”), fastställer gemensamt ändamålen och metoderna för behandling av personuppgifter relaterade till SAS lojalitetsprogram SAS EuroBonus (”EuroBonus-programmet”).

Genom att gemensamt fastställa ändamålen och metoderna för behandling agerar SAS och EB som gemensamt personuppgiftsansvariga enligt GDPR. Vi har ingått ett avtal för gemensamt personuppgiftsansvariga avseende delning av personuppgifter som är relaterade till EuroBonus-programmet.
Syftet med denna information är att informera dig om de väsentliga delarna av vårt arrangemang och i synnerhet beskriva hur vi har fastställt och allokerat våra respektive ansvarsskyldigheter avseende efterlevnad av förpliktelserna enligt GDPR.

Observera att denna översikt endast tillhandahålls i informationssyfte och inte är en beskrivning av hela avtalet för gemensamt personuppgiftsansvariga. Den ska inte tolkas som att den föreskriver några förpliktelser för SAS eller EB i förhållande till någon registrerad. Om du behöver information om behandlingen av personuppgifter som är relaterade till EuroBonus-programmet kan du läsa integritetspolicyn eller kontakta dataskyddsombudet.

När vi allokerade ansvarsskyldigheterna avseende efterlevnad av förpliktelserna enligt GDPR tog vi hänsyn till följande faktorer: vilken enhet som är bäst lämpad för att efterleva förpliktelserna, fysisk åtkomst till personuppgifterna, beslutsrätt avseende EuroBonus-programmets design och innehåll, registrerades förväntningar, vilken enhet som har tecknat avtal med partnerorganisationer samt vilken enhet som har tecknat avtal med personuppgiftsbiträden.

Både SAS och EB kommer alltid att efterleva sina respektive förpliktelser enligt alla tillämpliga lagar avseende integritet och skydd för och behandling av personuppgifter i varje relevant jurisdiktion.

1 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter som upphäver direktiv 95/46/EG (den allmänna dataskyddsförordningen)

Vi har gemensamt fastställt ändamålen och metoderna för behandling av personuppgifter inom ramen för avtalet för gemensamt personuppgiftsansvariga. Både SAS och EB har åtagit sig att säkerställa att personuppgifter endast samlas in för specifika, uttryckliga och berättigade ändamål och är tillräckliga, relevanta och begränsade i den utsträckning som är nödvändig för att uppfylla kraven för varje ändamål.

Under behandling av personuppgifter ansvarar både SAS och EB för att säkerställa att personuppgifterna: behandlas rättvist och lagligt, inte behandlas vidare på ett sätt som inte är förenligt med de ändamål som de samlades in för, alltid hålls korrekta, inte bevaras eller behandlas längre än nödvändigt för att uppfylla kraven för de överenskomna ändamålen om det inte krävs enligt tillämplig lag samt endast behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifter.

Både SAS och EB kommer att säkerställa att de har en korrekt rättslig grund för behandling av personuppgifter enligt tillämpliga dataskyddslagar och de kommer att rådgöra med varandra innan de inför någon ändring av den rättsliga grunden.

SAS och EB bekräftar förpliktelsen att informera registrerade om behandlingen av deras personuppgifter enligt artikel 13 och 14 i GDPR och vi har kommit överens om att all sådan information alltid måste återspeglas i integritetspolicyn. SAS ansvarar för att alltid hålla integritetspolicyn tillgänglig på www.sas.se/juridisk-information/ och EB ansvarar för att säkerställa att innehållet i integritetspolicyn omfattar korrekt återspegling av behandlingen av personuppgifter inom ramen för EuroBonus-programmet.

I händelse av att SAS eller EB behandlar personuppgifter baserat på samtycke är det den enhet som erhåller samtycket från den registrerade som ansvarar för att förse den registrerade med relevant information före insamlingen av personuppgifter, inklusive information om hur man tar tillbaka sitt samtycke.

SAS och EB har kommit överens om att SAS ansvarar för att säkerställa att registrerade kan utöva sina rättigheter enligt tillämpliga dataskyddslagar. Detta omfattar att ha dokumenterade rutiner för registrerades åtkomstförfrågningar och procedurer för att besvara förfrågningar inom de tidsgränser som krävs enligt tillämpliga dataskyddslagar.

Vi har dessutom kommit överens om att registrerade som vill utöva sina rättigheter enligt tillämpliga dataskyddslagar ska skicka sina förfrågningar till den kontaktpunkt som kan nås på dataprotectionofficer@sas.se och så som anges i integritetspolicyn.

Enligt avtalet för gemensamt personuppgiftsansvariga får personuppgifter delas med tredje parter så som framställs i integritetspolicyn. Med avseende på personuppgiftsbiträden och externa personuppgiftsansvariga är det den enhet (SAS eller EB) som har ingått avtalet med personuppgiftsbiträdet eller överför personuppgifter till den externa personuppgiftsansvariga som ansvarar för efterlevnaden av tillämpliga dataskyddslagar i förhållande till ett sådant personuppgiftsbiträde eller en sådan extern personuppgiftsansvarig för att genomföra laglig överföring av personuppgifter till ett land utanför EU/EES.

Vi har utsett dataskyddsombudet för SAS och EB som kontaktpunkten för registrerade och mot en tillsynsmyndighet för alla behandlingsaktiviteter i enlighet med avtalet för gemensamt personuppgiftsansvariga. Kontaktpunkten kan nås på dataprotectionofficer@sas.se. Vi bekräftar dock att registrerade och tillsynsmyndigheter kan kommunicera med SAS eller EB enligt deras egna önskemål.