Integritetspolicy

Scandinavian Airlines System Denmark-Norway-Sweden är personuppgiftsansvarig för den behandling som beskrivs nedan. I denna integritetspolicy avser ”SAS” företaget Scandinavian Airlines System Denmark-Norway-Sweden. ”SAS-koncernen” avser alla företag där SAS AB (publ) direkt eller indirekt och då och då äger eller har kontrollen över mer än 50 % av aktierna.

SAS har utsett ett dataskyddsombud för att hjälpa SAS att säkerställa att dina personuppgifter behandlas korrekt. Du kan gärna kontakta vårt dataskyddsombud med frågor eller förfrågningar avseende vår behandling av dina personuppgifter genom att skicka ett e-postmeddelande till dataprotectionofficer@sas.se.

SAS samlar in personuppgifter om dig som du förser oss med när du använder våra webbplatser eller tjänster, t.ex. när du bokar en resa, flyger med oss, kontaktar vår kundservice eller använder vår mobilapp.

Vi kan dessutom samla in personuppgifter om dig via cookies på vår webbplats. Du kan läsa mer om cookies i vår cookiepolicy.

Beroende på hur och i vilken utsträckning du använder SAS webbplatser och SAS tjänster kan SAS behandla olika kategorier av uppgifter om dig.

I avsnittet nedan kan du se information om SAS aktiviteter när vi behandlar dina personuppgifter, vilka typer av uppgifter vi behandlar, behandlingsändamålet, den rättsliga grunden för behandlingen och lagringstiden för personuppgifterna.

Aktiviteter när SAS hanterar personuppgifter

Bokning och resor med SAS

**Typ av uppgifter:
**Identifierande och kontaktuppgifter, t.ex. namn, födelsedatum, kön, adress, e-postadress och uppgifter i resehandlingar (passnummer, nationalitet osv.).
Reseinformation, t.ex. flygnummer, reseklass, avgångsplats och destination, måltider, beställningar av specialtjänster, bagageinformation, resestörningar.

Ekonomiska/betalningsuppgifter, t.ex. kreditkortsuppgifter, transaktionsdata.

Passagerares namnuppgifter (PNR) är personuppgifter som tillhandahålls av passagerare och samlas in och lagras av flygbolag. De omfattar följande personuppgifter: passagerarens namn, passuppgifter, resedatum, resplaner, sittplatser, bagage, kontaktuppgifter, medlemsnummer, betalningsmetoder och begäran om specialtjänster (SSR), t.ex. krav på specialmåltider och/eller särskild assistans.

**Behandlingsändamål:
**Ändamålet för behandling av uppgifterna i denna aktivitet är att SAS ska kunna administrera och genomföra den resa du har beställt. Detta omfattar meddelanden och kommunikation relaterade till din resa. PNR-uppgifter är nödvändiga för att vi ska kunna behandla våra tjänster i vår roll som ett flygbolag.

**Rättslig grund:
**Den rättsliga grunden för behandling av personuppgifter som endast är relaterade till din bokning är att uppfylla våra avtalsförpliktelser gentemot dig när du bokar en resa hos oss, se GDPR art. 6 nr 1 b.

Den rättsliga grunden för t.ex. incheckningspåminnelser är vårt berättigade intresse av att tillhandahålla dig tjänster, se GDPR art. 6 nr 1 f. När SAS tillämpar den rättsliga grunden för berättigat intresse dokumenterar vi SAS berättigade intresse av att utföra aktiviteten och den enskilda personens rätt till integritet i en bedömning av berättigat intresse (LIA).

Den rättsliga grunden för att dela vissa av dina personuppgifter med myndigheter för ändamål relaterade till bland annat immigration, brottsbekämpning och tullkontroller är vår rättsliga förpliktelse, se GDPR art. 6 nr 1 c.

Den rättsliga grunden för att hantera och spara ekonomiska uppgifter är vår rättsliga förpliktelse enligt bokföringslagar, se GDPR art. 6 nr 1 c.

Lagringstid: Om du bokar en resa med SAS sparar vi dina uppgifter under tio år efter att resan har slutförts, i syfte att uppfylla rättsliga krav och behandla eventuellt missnöje och alla klagomål.

Information om SAS hantering av störande passagerare och behandling av personuppgifter som är relaterade till dessa fall är tillgänglig i artikel 24 i SAS transportvillkor

Marknadsföring, kundsupport och service.

Typ av uppgifter:
Kommunikation, t.ex. kontakt med kundsupport, telefonsamtalsinspelningar, reklammeddelanden, nyhetsbrev, feedbackformulär, klagomål, återbetalningar.

Behandlingsändamål:
Ändamålet för denna behandling är att utveckla, analysera och marknadsföra våra tjänster och stödja våra kunder i olika ärenden.

Rättslig grund:
Den rättsliga grunden för att kontakta dig om våra tjänster efter att du nyligen har bokat en resa hos oss är vårt berättigade intresse av att marknadsföra våra tjänster, se GDPR art. 6 nr 1 f. Du kommer alltid att ha möjlighet att avregistrera dig från dessa meddelanden.

Den rättsliga grunden för direktmarknadsföring är ditt samtycke, se GDPR art. 6 nr 1 a.

Den rättsliga grunden för behandling av dina uppgifter i samband med kundsupport och kundtjänst är våra avtalsförpliktelser och olika reglerande krav, se GDPR art. 6 nr 1 b och GDPR art. 6 nr 1 c.

Den rättsliga grunden för att analysera kundserviceuppgifter är vårt berättigade intresse av att tillhandahålla dig service, se GDPR art. 6 nr 1 f. När SAS tillämpar den rättsliga grunden för berättigat intresse dokumenterar vi SAS berättigade intresse av att utföra aktiviteten och den enskilda personens rätt till integritet i en bedömning av berättigat intresse (LIA).

Lagringstid:
Vi kommer att spara dina personuppgifter så länge det är nödvändigt med avseende på syftet med behandlingen.

Vi sparar dina uppgifter från en slutförd resa under tolv månader för att kunna erbjuda dig information om liknande tjänster.

Analys, statistik och användartester

Typ av uppgifter:
Vi kan behandla dina personuppgifter som exempelvis resehistorik, bokningsuppgifter och kundvårdsuppgifter. För användartester behandlar vi dina kontaktuppgifter och svaren som tillhandahålls i användartesterna. **Behandlingsändamål:**Ändamålet för behandlingen är att utveckla och optimera utbudet till kunder, kundvård, flygnätverket, digitala plattformar, verksamhetsmodellen och priser. Vår användning av uppgifter för statistiska och analytiska ändamål kommer endast att ske på en sammanlagd nivå. Det innebär att vi inte analyserar dina uppgifter på enskild nivå.

Syftet med användartester är att förbättra våra produkter, våra tjänster och vårt utbud. **Rättslig grund:**Den rättsliga grunden för behandling av personuppgifter för analys- och statistiska ändamål är vårt berättigade intresse av att optimera våra tjänster och vår verksamhetsmodell, se GDPR art. 6 nr 1 f. När SAS tillämpar den rättsliga grunden för berättigat intresse dokumenterar vi SAS berättigade intresse av att utföra aktiviteten och den enskilda personens rätt till integritet i en bedömning av berättigat intresse (LIA).

Den rättsliga grunden för användartester är ditt samtycke, som vi samlar in innan vi påbörjar användartestet, se GDPR art. 6 nr 1 a, eller det berättigade intresset av att förbättra våra produkter och tjänster, se GDPR art. 6 nr 1 f. När SAS tillämpar den rättsliga grunden för berättigat intresse dokumenterar vi SAS berättigade intresse av att utföra aktiviteten och den enskilda personens rätt till integritet i en bedömning av berättigat intresse (LIA). **Lagringstid:**Vi kommer att spara dina personuppgifter så länge det är nödvändigt med avseende på syftet med behandlingen.

Webbeteende

**Typ av uppgifter:**Digitala uppgifter och beteende, t.ex. inloggningsuppgifter, IP-adress, användning av webbsidor (kräver samtycke).
Behandlingsändamål:
Ändamålet för denna behandling är att erbjuda dig en personlig upplevelse på vår webbplats. **Rättslig grund:**Den rättsliga grunden är samtycke som du har gett oss aktivt på vår webbplats, se GDPR art. 6 nr 1 a.
**Lagringstid:
**Vår cookiepolicy innehåller information om för lagringstider.

Profilkonto

**Typ av uppgifter:**Uppgifter som du förser oss med när du registrerar ett profilkonto, t.ex. namn, adress, e-postadress, telefonnummer osv.
**Behandlingsändamål:**Ändamålet för behandlingen är att ge kunder möjlighet att registrera ett profilkonto hos SAS och administrera tjänsten. **Rättslig grund:**Den rättsliga grunden för denna behandling är vår förpliktelse att efterleva villkoren för profilkontoinnehavare, se GDPR art. 6 nr 1 b.
**Lagringstid:**SAS sparar dessa uppgifter så länge du har ett profilkonto.

Rekrytering

**Typ av uppgifter:**Rekryteringsuppgifter när du ansöker om ett jobb hos SAS, t.ex. kontaktuppgifter, tidigare erfarenhet och referenser. Behandlingsändamål:
Ändamålet för denna behandling är att underlätta rekryteringsprocessen.
Rättslig grund:
Den rättsliga grunden för att behandla rekryteringsuppgifter är behovet av att utföra ett avtal som den registrerade är en part i eller för att vidta åtgärder för att utföra ett avtal, se GDPR art. 6 nr 1 b.
**Lagringstid:
**Om du ansöker om ett jobb hos SAS lagrar vi din ansökan under 24 månader, i enlighet med lagstadgade krav.

Bidrag och pensionsklubb

**Typ av uppgifter:**Uppgifter när du söker bidrag från våra stiftelser eller information om ditt medlemskap i pensionsklubben. Behandlingsändamål:
Ändamålet för behandlingen av dessa uppgifter är att SAS ska kunna administrera och utföra aktiviteterna.

**Rättslig grund:**Den rättsliga grunden för att behandla dessa personuppgifter är att det är nödvändigt att uppfylla våra villkor för bidragsansökningar och medlemskap, se GDPR art. 6 nr 1 b. För andra aktiviteter är den rättsliga grunden vårt berättigade intresse av att tillhandahålla dig tjänster, se GDPR art. 6 nr 1 f. När SAS tillämpar den rättsliga grunden för berättigat intresse dokumenterar vi SAS berättigade intresse av att utföra aktiviteten och den enskilda personens rätt till integritet i en bedömning av berättigat intresse (LIA). Lagringstid:
SAS sparar dessa uppgifter under sju år, i enlighet med reglerande krav.

SAS for work

Namn, e-postadress, telefonnummer, reseinformation: flyguppgifter (bokade och avslutade resor), inköpta tilläggstjänster. SAS Travel Pass: produktinformation, resehistorik, betalningsuppgifter.

Behandlingsändamål:

Ändamålet för behandlingen är att hjälpa företag som är anslutna till SAS företagsprogram och deras resenärer som reser via detta arrangemang.

Rättslig grund:
Den rättsliga grunden för att behandla dessa personuppgifter är att uppfylla våra avtalsförpliktelser gentemot företag som är anslutna till SAS företagsprogram när en resa bokas hos oss, se GDPR art. 6 nr 1 b.

Lagringstid:
Om du bokar en resa med SAS for work sparar vi dina uppgifter under tio år efter att resan har slutförts, i syfte att uppfylla rättsliga krav och behandla eventuellt missnöje och alla klagomål.

Särskilda personuppgiftskategorier

Vissa särskilda personuppgiftskategorier, t.ex. hälsouppgifter, är särskilt känsliga och behöver extra skydd. Det ändamål för vilket SAS behandlar känsliga uppgifter som tillhandahållits av resenärer är vårt arbete för att erbjuda alla resenärer samma tjänster och leverera de inköpta tjänsterna. Detta betyder att SAS även delar känsliga uppgifter med tredje parter under resans gång. Dessa uppgifter kallas SSR (special service request) och följer en IATA-standard som används inom hela flygbranschen. Känsliga uppgifter som behandlas är:

• Behov av rullstol, bår eller säng på flygplatsen och/eller under flygningen

• Medicinska behov och lämplighet att resa

• Funktionsnedsättning och behov av särskild assistans och/eller servicedjur

• Speciella måltider baserade på medicinska behov eller religiös tro

• Passagerare som reser anonymt eller i förvar

• Resenärer som utvisats

Denna behandling av personuppgifter är nödvändig för att uppfylla våra avtalsförpliktelser gentemot dig när du bokar en resa hos oss, se GDPR art. 6 nr 1 b.

Uppgifter relaterade till minderåriga under 18 år

SAS behandlar inga uppgifter om resenärer under 18 år för något annat ändamål än en viss resa eller för att hantera ett profilkonto eller EuroBonus-konto.

Användning av SAS mobilapp

Du kan hämta vår mobilapp för att bland annat söka efter flygningar och boka resor, hotell eller hyrbil, hantera din bokning och enkelt checka in. Vi behandlar dina personuppgifter i vår mobilapp på samma sätt och för samma ändamål som beskrivs i denna integritetspolicy och i tabellen ovan. SAS mobilapp (”SAS app”) har dock några ytterligare funktioner jämfört med webbplatsen som beskrivs i avsnitt 8. För de flesta sådana ytterligare funktioner har vi bedömt att vi har ett berättigat intresse av att behandla dina personuppgifter för att kunna leverera en användbar app. Om en aktivitet i stället är baserad på ditt samtycke samlas detta in innan funktionen används.

Marknadsföring, evenemang och information

Typ av uppgifter:
Namn och e-postadress.

Behandlingsändamål:
Ändamålet för behandlingen är att informera om och marknadsföra våra tjänster och utbud till relevanta företagskunder och ombud.

Rättslig grund:
Den rättsliga grunden för behandling av dessa personuppgifter är SAS berättigade intresse av att marknadsföra våra tjänster, se GDPR art. 6 nr 1 f. Du kommer alltid att ha möjlighet att avregistrera dig från dessa meddelanden.

Lagringstid:
Vi sparar dina personuppgifter så länge det är nödvändigt med avseende på behandlingsändamålet eller tills du avregistrerar dig.

AI

Ibland använder SAS AI-teknik för att förbättra våra tjänster och vår kommunikation med dig. När AI-verktyg används kommer du alltid att få information om detta i samband med att de används.

SAS kommer endast att dela dina personuppgifter med företag inom SAS Group, utom i de undantagsfall som beskrivs nedan.

Utländska myndigheter och polisiära organ

På grund av obligatoriska krav från utländska myndigheter och i syfte att möjliggöra utförandet av de resplaner du har valt, kan SAS vara skyldigt att ge utländska myndigheter åtkomst till vissa PNR-uppgifter och Advance Passenger Information (”API”) med avseende på passagerare som flyger till, från eller via länder både inom och utanför EU och EES, inklusive USA. Sådana uppgifter används främst för att förebygga och bekämpa terrorism och andra allvarliga brott. PNR och API regleras dessutom via direktiv (EU) 2016/681.

Underleverantörer och tredje parter

Om det är nödvändigt för att vi ska kunna utföra din flygning i enlighet med transportvillkoren eller förse dig med våra tjänster på annat sätt delas dina personuppgifter dessutom med:

• andra flygbolag och andra företag som är inblandande i ombesörjandet av den tjänst du tänker använda, t.ex. markpersonal,

• företag som är delaktiga i bokningen och utförandet av din flygning, t.ex. resebyråer, speditörer och ombud,

• IT-leverantörer och -utvecklare som säkerställer driften av och säkerheten i våra IT-system å SAS vägnar

• kreditkortsföretag som SAS samarbetar med för att erbjuda olika betalningslösningar,

• säkerhetsföretag och -verksamheter som arbetar med att förebygga och bekämpa bedrägerier och utföra cyberrelaterade utredningar samt

• andra partner, t.ex. företag som tillhandahåller tjänster som du kan överväga att köpa i samband med din resa, t.ex. hotellkedjor, biluthyrningsföretag och reseförsäkring.

Gemensamt personuppgiftsansvariga

Personuppgifter delas dessutom med våra affärspartner för att samordna data, erbjudanden, aktiviteter och analyser. I vissa fall är vi gemensamt personuppgiftsansvariga med våra partner. Det innebär att vi och våra partner hanterar dina personuppgifter gemensamt och fastställer ändamålen för behandlingen. Nedan kan du se våra nuvarande gemensamma personuppgiftsansvariga och gå till deras integritetspolicyer för att ta reda på mer om hur de hanterar personuppgifter.

• Meta

• Google

• Snapchat

• LinkedIn

• TikTok

• Adform

Om du bokar en resa med SAS via SAS webbplats och/eller kanaler eller via en resebyrå behandlar SAS och SAS EuroBonus AB (”EB”) som gemensamt personuppgiftsansvariga den e-postadress du angav när du gjorde bokningen för att verifiera om du är medlem i EuroBonus-programmet eller ej.

Denna begränsade behandling av personuppgifter är baserad på våra berättigade intressen av att administrera EuroBonus-programmet, se GDPR art. 6 nr 1 f. Om du inte är medlem i EuroBonus-programmet kommer SAS och EB inte att utföra någon vidare behandling som gemensamt personuppgiftsansvariga.

Personuppgifter kommer att överföras mellan företag i SAS Group, inklusive för implementering av våra utrikesflygningar, för att administrera och upprätthålla ditt konto och medlemskap samt för statistiska ändamål.

Personuppgifter som delas på detta sätt inom SAS Group eller med underleverantörer och tredje parter så som beskrivs ovan i avsnitt 4.2 överförs ibland till länder som inte är medlemmar i EU eller EES och som inte säkerställer en tillfredsställande skyddsnivå för personuppgifter. Sådana överföringar utförs i enlighet med den gällande dataskyddslagen, t.ex. beslut om adekvat skyddsnivå och ytterligare avtalsklausuler. SAS Group överför personuppgifter till följande länder utanför EU/EES, för tillfälliga tjänster som är förknippade med våra processer i vår roll som ett flygbolag: USA, Kina, Indien, Indonesien, Brasilien, Förenade Arabemiraten, Turkiet, Albanien, Montenegro, Sydafrika, Peru, Etiopien, Ukraina, Libanon, Colombia, El Salvador, Costa Rica, Mexiko, Australien, Thailand, Egypten, Ryssland, Taiwan och Singapore.

När personuppgifter överförs till ett land utanför EU/EES som inte har tillfredsställande skyddsnivåer för personuppgifter kommer vi att tillämpa lämpliga åtgärder, som ett minimum genom att inkludera en standardavtalsklausul som har antagits av Europeiska kommissionen. Dessa standardavtalsklausuler är tillgängliga via följande länk Standardavtalsklausuler (SCC) (europa.eu)

Om det föreligger en brist på både ett beslut om tillräckliga skyddsnivåer från Europeiska kommissionen och etablerade lämpliga säkerhetsåtgärder i form av standardavtalsklausuler i enlighet med det ovanstående kommer vi endast att överföra dina personuppgifter när det är nödvändigt för att uppfylla våra avtalsförpliktelser gentemot dig, se GDPR art. 49 nr 1 b, t.ex. för att utföra din resa eller för att uppfylla våra förpliktelser inom ramen för villkoren för EuroBonus och profilkonton.

Vi har vidtagit omfattande tekniska och organisatoriska åtgärder för att skydda dina uppgifter mot förlust, missbruk och obehörig åtkomst. Behandling och överföring av uppgifter mellan din webbläsare och vår server skyddas korrekt genom kryptering och vi uppdaterar våra säkerhetsåtgärder kontinuerligt.

När du betalar för någon av våra tjänster med ett kort skickas alla uppgifter via en säker anslutning för att säkerställa att dina personuppgifter inte kan läsas av tredje parter. Alla aktörer som vi samarbetar med för att utföra kortbetalningar är certifierade i enlighet med den internationella säkerhetsstandarden PCI-DSS, vilket innebär en mycket hög säkerhetsnivå för behandlingen av dina kortuppgifter.

Statistik och online-beteende

Vi använder vissa tekniska funktioner (liknar cookies), t.ex. unika identifierare som är förknippade med din enhet i SAS app i syfte att hjälpa till att administrera appen och förbättra din upplevelse och våra tjänster. Sådana funktioner kan tillhandahållas av tredje part. När du har hämtat SAS app ber vi dig om samtycke för att aktivera sådana funktioner. Om du väljer att tillåta dessa typer av funktioner kan du kontrollera dina inställningar i SAS app under Aviseringar när som helst. Den rättsliga grunden för denna behandling är ditt samtycke, se GDPR art. 6 nr 1 a. Uppgifterna sparas så länge vi har ditt samtycke.

Mobila push-aviseringar

Med ditt samtycke använder vi mobila push-aviseringar för att skicka direktmeddelanden till dig med flygrelaterad serviceinformation, t.ex. om att incheckningen öppnas, ändring av gate eller förseningar osv., såväl som reklam och specialerbjudanden. Du kan kontrollera dina inställningar i SAS app under Aviseringar när som helst. Vi lagrar din enhets ID på vår server för att aktivera push-aviseringar. Den rättsliga grunden för denna behandling är ditt samtycke, se GDPR art. 6 nr 1 a. Uppgifterna sparas så länge vi har ditt samtycke.

Sparade resenärer

Du har möjlighet att lagra personuppgifter om dig själv och personer som du reser med lokalt i SAS app i din mobila enhet. Detta säkerställer att nödvändiga uppgifter blir ifyllda i förväg under boknings- eller incheckningsprocessen för att möjliggöra en bekvämare process. Sådana personuppgifter som lagras i din enhet behandlas endast lokalt i appen och samlas inte in av SAS.

Teknisk support/appsupport

Vi har en appsupport-funktion för att hjälpa dig med eventuella tekniska problem eller fel som kan uppstå när du använder SAS app eller för att skicka feedback. Vi behandlar endast dina personuppgifter i den utsträckning som krävs för att lösa ditt ärende. Vi lagrar viss information om din användning av SAS app för att kunna felsöka tekniska problem. Den rättsliga grunden för denna behandling är vårt berättigade intresse av att tillhandahålla dig service och support, se GDPR art. 6 nr 1 f. SAS sparar dessa uppgifter så länge vi behöver dem för att kunna lösa ditt ärende.

Historiska flygningar

SAS app har en funktion som visar din flyghistorik med SAS, där du kan se information om varje flygning, t.ex. avreseort och destination, datum, flygsträcka, sittplatsnummer och om du gick ombord på flygningen. Den rättsliga grunden för denna behandling är vårt berättigade intresse av att tillhandahålla dig denna funktion, se GDPR art. 6 nr 1 f.

Bagagespårning

Med denna funktion kan du spåra ditt incheckade bagage och se var det befinner sig för tillfället, baserat på var bagagetaggen senast skannades.

Plats

SAS app kan samla in information om din geografiska plats med ditt samtycke. Denna funktion används när du bokar en flygning i SAS app för att ge oss möjlighet att visa dig närmaste flygplats för avgång genom att använda din enhets plats. Sådana uppgifter samlas inte in och sparas inte av SAS och du kan kontrollera ditt samtycke i SAS app-inställningarna i din enhet. Den rättsliga grunden för denna behandling är ditt samtycke, se GDPR art. 6 nr 1 a. Uppgifterna sparas så länge vi har ditt samtycke.

Du har flera rättigheter relaterade till dina personuppgifter. Du kan utöva dina rättigheter via Hantera personuppgifter.

Ta tillbaka samtycke

Om vi behandlar uppgifter om dig baserat på ditt samtycke, t.ex. via cookies eller i SAS app, har du rätt att ta tillbaka ditt samtycke när som helst. Då kommer vi att stoppa behandlingen av personuppgifterna som är baserad på ditt samtycke.

Rättelse

Om dina personuppgifter som SAS behandlar är felaktiga eller ofullständiga kan du ringa vår kundservice som hjälper dig att rätta eller komplettera dina uppgifter. Du kan se kontaktuppgifter till vår kundservice här.

Rätt till begränsning av behandling

Under vissa omständigheter har du rätt att begränsa vår användning av dina personuppgifter, vilket innebär att du kan begränsa hur SAS använder dina personuppgifter. Detta är ett alternativ till att begära radering av dina uppgifter (se nedan). Detta innebär att SAS slutar använda uppgifterna på annat sätt än att lagra dem.

Rätt till åtkomst

Du har rätt att begära en kopia av dina personuppgifter. Använd den följande länken för att skicka en begäran om åtkomst till dina uppgifter. Om du har problem med att använda mallen online kan du kontakta vårt dataskyddsombud för att få hjälp. Du kan läsa mer om denna process på vår webbplats, under ”Hantera mina uppgifter”.

Rätt att framföra klagomål

Det är viktigt för oss att du känner dig säker på att SAS behandlar dina personuppgifter med största respekt. Om du är osäker på hur SAS behandlar dina personuppgifter eller har eventuella klagomål kan du gärna kontakta vårt dataskyddsombud. Du har också möjlighet att framföra ett klagomål till Integritetsskyddsmyndigheten eller dataskyddsmyndigheten i ditt land.

Rätt att göra invändningar

Du har rätt att när som helst göra invändningar mot behandling av dina personuppgifter som är baserad på vårt berättigade intresse. Om SAS inte kan demonstrera övertygande berättigade grunder för behandlingen av dina uppgifter som är viktigare än dina intressen, rättigheter och friheter eller att behandlingen genomförs för att upprätta, utöva eller försvara rättsliga anspråk kommer SAS inte längre att behandla dina personuppgifter.

Rätt till dataportabilitet

Du har rätt att begära att få en kopia av dina personuppgifter som vi behandlar i ett maskinläsbart format som du har rätt att överföra till ett annat företag. Detta kan göras om du vill återanvända dina personuppgifter för dina egna ändamål över olika tjänster.

Rätten att bli bortglömd

Din rätt till radering innebär att du kan begära att vi raderar de personuppgifter vi har om dig. Vi kommer att göra det utan onödigt dröjsmål, såvida vi inte är rättsligt skyldiga att behandla uppgifterna, t.ex. för ekonomiska eller redovisningsändamål eller om vi har en annan laglig anledning att fortsätta behandla uppgifterna, t.ex. för att utföra en beställd resa. Du kan utöva din rättighet här.

Vi kan uppdatera denna integritetspolicy då och då efter eget gottfinnande. Den senaste versionen är alltid tillgänglig på SAS hemsidor.

Behandling av personuppgifter i Kina

Detta avsnitt gäller för kunder i Folkrepubliken Kina (hädanefter Kina) och beskriver hur vi samlar in, använder, lagrar, delar och lämnar ut dina personuppgifter i Kina och det kompletterar andra allmänt tillämpliga avsnitt i denna integritetspolicy. Om någon inkonsekvens eller avvikelse uppstår har bestämmelserna i detta avsnitt för Kina företräde framför bestämmelser som framställs i andra allmänt tillämpliga avsnitt i denna integritetspolicy.

Avsnittet gäller för personuppgifter som vi samlar in från eller om dig när du använder SAS tjänster, besöker SAS webbplatser, kommunicerar med SAS officiella WeChat-konto eller använder andra webbplatser som utförs av SAS och som kan vara länkade till denna integritetspolicy eller om du kontaktar vår kundservice på telefon, via e-post osv. Genom att fortsätta använda våra tjänster samtycker du till insamling och användning av dina personuppgifter i enlighet med bestämmelserna i denna integritetspolicy.

Uppdateringar

SAS förbehåller sig rätten att ändra avsnittet för Kina i denna integritetspolicy och vi publicerar uppdaterade versioner av denna policy i enlighet med dataskyddslagar och -förordningar i Kina. I den utsträckning SAS gör väsentliga ändringar i avsnittet för Kina i denna integritetspolicy informerar SAS dig om sådana ändringar och i den utsträckning de påverkar de ändamål och den behandling för vilka vi har erhållit ditt samtycke ber vi dig om ditt samtycke igen.

Om du vill utöva dataskyddsrättigheter och/eller om du har frågor eller kommentarer om detta avsnitt för Kina i integritetspolicyn ber vi dig att kontakta vårt dataskyddsombud på dataprotectionofficer@sas.se.

Hur samlar SAS in och hur erhåller SAS dina uppgifter?

Denna del kompletterar avsnittet ”När och hur behandlar vi dina personuppgifter” i denna integritetspolicy och avsnitt 3 i detta avsnitt för Kina. SAS kan samla in och erhålla personuppgifter från appanvändare i Kina via SDK:er (programutvecklingsverktyg) som används i SAS app. Beroende på vilket SDK som används kan typen av personuppgifter som samlas in och erhålls via ett SDK omfatta, utan begränsning, appanvändarens namn, e-postadress, telefonnummer, postadress, EuroBonus-nummer, kreditkortsuppgifter (i den utsträckning en kreditkortstransaktion görs via appen), flyginformation om passagerare, appanvändningsstatistik och enhetsinformation som exempelvis IP-adressen. SAS kan använda sådana uppgifter för att verifiera och godkänna kreditkortstransaktioner, för att få feedback om appen och tjänsterna samt för att spåra och analysera användningen av appen.

Nedan följer en förteckning över de SDK:er som för närvarande används i SAS appversion för Kina. SAS kan uppdatera denna SDK-förteckning då och då om några ändringar införs.

Förteckning över SDK:er som distribuerats i SAS appversion för Kina den 1 november 2021:

SDK:er (PDF, 100KB)

Hur SAS använder dina uppgifter

Denna del beskriver vilka personuppgifter vi samlar in om eller från dig, vilka ändamål vi använder dem för och varför vi använder dem för våra grundläggande och utökade affärsfunktioner. Dina personuppgifter samlas in och behandlas i enlighet med lagen om skydd för personuppgifter (”PIPL”) som trädde i kraft den 1 november 2021 och alla andra lagar och förordningar i Kina som reglerar detta område. All behandling av personuppgifter som vi utför sker i enlighet med bestämmelserna i integritetslagarna i Kina och dessa uppgifter får endast användas för de begränsade ändamål som diskuteras i denna del.

Scandinavian Airlines System Denmark-Norway-Sweden ansvarar för behandlingen av dina personuppgifter via SAS webbplatser och i samband med din användning av SAS tjänster.

Vi måste samla in och använda vissa personuppgifter för att kunna tillhandahålla dig biljettjänster och andra SAS-tjänster och -produkter. Nedan anges de personuppgifter som vi kan begära att du ger oss eller som vi kan samla in och använda med avseende på dig. Kom ihåg att vissa tjänster kräver vissa personuppgifter innan de kan tillhandahållas. När du har utövat din rätt att göra invändningar kan vi inte fortsätta att tillhandahålla tjänsten som kräver de personuppgifter som berörs av invändningarna och vi kommer inte längre att behandla dina motsvarande personuppgifter.

Vi kan begära att du ger oss följande personuppgifter:

Identifierande och kontaktuppgifter

Kön, födelsedatum, legitimationsnummer, passnummer, nationalitet, namn, adress, telefonnummer och e-postadress samt personuppgifter för alla andra personer du reser med (inklusive deras kontaktuppgifter). Sådana uppgifter används för att skicka meddelanden till dig eller din kontaktperson om flygningar och beställningar (inklusive avgångar, säkerhetskontroll, ombordstigning, återbetalning, flygförseningar, försäkringstjänster och meddelanden om olyckor), arrangera din resplan, skicka resplaner eller andra produkter till dig via e-post, verifiera din identitet, ta emot dina kommentarer om servicekvalitet, ta emot dina klagomål och förslag, förse dig med SAS tjänster och produkter samt, om du samtycker, skicka kampanj- och reklammeddelanden till dig. Observera att om du bokar tjänster för andra passagerare måste du tillhandahålla oss sådana passagerares personuppgifter och innan du ger oss deras uppgifter måste du se till att sådana passagerare förstår och samtycker till denna integritetspolicy.

EuroBonus-uppgifter

EuroBonus-medlemmens kontonummer och flyginformation, uppgifter om mottagaren av inlösta flygmil och uppgifter om minderåriga medlemmars vårdnadshavare. Sådana uppgifter används för att spara dig som vår EuroBonus-medlem, verifiera medlemmars identitet och behandla insamling, tilldelning och inlösen av poäng och andra tjänster.

Uppgifter om profilkontoinnehavare

Profilkontonummer, namn, ålder, adress och kontaktuppgifter. Sådana uppgifter används för att upprätthålla dig som vår profilkontoinnehavare och hantera ditt konto och dina resor.

Uppgifter om och bilder av legitimationshandlingar som krävs under behandling

legitimation, pass, visumsida, handlingar som krävs av myndigheter för att flyga, giltighetsperiod, utfärdande myndigheter, ålder eller födelsedatum, kön och motsvarande bilder. Sådana uppgifter och bilder används för att, i enlighet med lagar och förordningar, verifiera din identitet när du bokar en biljett, checkar in, flyger, behandlar in-/utreseformaliteter, köper flygförsäkring, använder SAS tjänster och andra tjänster.

Betalningsuppgifter

Kreditkortsnummer, faktureringsadress, kreditkortets giltighet, beställnings- och driftsregister, logg och riskkontrollinformation. Sådana uppgifter används när du köper en biljett, för att spara dina betalningsuppgifter, verifiera din identitet och tillhandahålla dig SAS tjänster.

Uppgifter för att förbättra resor och andra tjänster

Nödkontaktperson, krav på särskilda tjänster och det passageraren gillar och inte gillar (måltider ombord, sittplatsers placering i kabinen, tjänster ombord). Sådana uppgifter används för att förbättra och marknadsföra vår tjänst så att vi kan förse dig med tjänster som tillgodoser dina behov bättre och, med förbehåll för ditt samtycke, skicka våra kampanj- och reklammeddelanden till dig.

Uppgifter som krävs av folkhälsomyndigheter eller andra statliga myndigheter eller som samlas in för att visa att du är tillräckligt frisk för att flyga

Kontaktuppgifter, uppgifter om förekomst eller frånvaro av eventuella symtom på covid-19 eller annan global pandemi, uppgifter om potentiell exponering för covid-19 eller annan global pandemi, uppgifter som samlas in av vår mark- eller bokningspersonal i enlighet med direktiv från folkhälsomyndigheter eller andra statliga myndigheter. Sådana uppgifter används för att efterleva rättsliga och reglerande krav, fastställa din lämplighet för att resa i enlighet med tillämpliga statliga förordningar och riktlinjer.

Alla andra personuppgifter

Vi samlar in dem i syfte att: upprätta och driva förbindelser mellan flera flygningar och påskynda bagageklarering över landsgränser, efterleva vissa reglerande krav avseende nödsituationer och på annat sätt i samband med driften av passagerarflyg, efterleva vissa reglerande krav på att verifiera och autentisera din identitet och ett berättigat affärsintresse av att efterleva tillämpliga rättsliga och reglerande krav, använda dessa uppgifter för att uppfylla vårt avtal med dig, efterleva vissa krav i allmänhetens intresse för att skydda mot risker för passagerare och folkhälsan samt passagerar- och flygplanssäkerhet.

Observera att vi samlar in, lagrar, använder och överför dina känsliga personuppgifter för de ändamål som de tillhandahölls och i övrigt i enlighet med villkoren i denna integritetspolicy om du ger ditt uttryckliga samtycke vid tidpunkten för insamlingen.

På vilka rättsliga grunder behandlar SAS dina personuppgifter

Vår rättsliga grund för att behandla dina personuppgifter, så som beskrivs ovan, beror på de berörda personuppgifterna och de specifika förhållandena där vi behandlar dem. Vi samlar i allmänhet endast in personuppgifter från dig om:

• vi har erhållit ditt samtycke till att göra det

• sådana uppgifter är nödvändiga för att vi ska kunna uppfylla ett avtal med dig

• behandlingen sker i vårt berättigade intresse och inte åsidosätts av dina rättigheter

• vi har rättsliga förpliktelser att behandla dina personuppgifter eller på annat sätt kan behöva personuppgifterna för att skydda dina eller andra personers väsentliga intressen

• det är nödvändigt för att hantera en fara för folkhälsan eller för att skydda en fysisk persons liv, hälsa och egendoms säkerhet

• handlingar, t.ex. nyhetsrapportering och övervakning av allmänhetens åsikter, utförs i allmänhetens intresse och behandlingen av personuppgifter sker inom rimlig omfattning

• det är nödvändigt för att behandla de personuppgifter som lämnats ut av den berörda personen eller andra personuppgifter som lagligen har lämnats ut i rimlig omfattning i enlighet med bestämmelserna i PIPL och relaterade lagar och förordningar

• andra omständigheter som föreskrivs i lagar och administrativa förordningar.

Vem delar SAS dina uppgifter med?

Vi kan dela dina personuppgifter som vi samlar in eller erhåller med:

• andra flygbolag och andra företag som är inblandande i ombesörjandet av den tjänst du tänker använda,

• företag som är delaktiga i bokningen och utförandet av din flygning, t.ex. resebyråer, speditörer och ombud,

• IT-leverantörer och -utvecklare som säkerställer driften av och säkerheten i våra IT-system å SAS vägnar,

• kreditkortsföretag, t.ex. MasterCard, som SAS samarbetar med för att erbjuda olika betalningslösningar,

• säkerhetsföretag och -verksamheter som arbetar med att förebygga och bekämpa bedrägerier,

• företag inom SAS-koncernen, inklusive men inte begränsat till SAS EuroBonus AB, SAS Link AB, Scandinavian Airlines Ireland Ltd, SAS Ground Handling A/S, SAS Ground Handling AS, SAS Ground Handling AB, SAS Cargo Group A/S, SAS Cargo Norway AS och SAS Cargo Sweden AB,

• myndighetsorgan och myndigheter, polisiära offentliga tjänstemän, domstolar eller

• tredje parter: (a) om vi anser att utlämnande krävs enligt tillämplig lag, förordning eller rättslig process (t.ex. i enlighet med domstolsbeslut) eller (b) för att skydda och försvara våra rättigheter eller tredje parters rättigheter eller säkerhet, inklusive för att upprätta, göra eller försvara mot rättsliga anspråk.
  

Utöva dina rättigheter

SAS respekterar din rätt att känna till, få tillgång till, rätta, begränsa behandling av, radera dina personuppgifter osv.

Rätt till tillgång

Du har rätt att erhålla en bekräftelse från oss om huruvida personuppgifter om dig behandlas eller ej och om så är fallet begära tillgång till personuppgifterna. Sådan information omfattar ändamålen med behandlingen, berörda personuppgiftskategorier och de mottagare eller mottagarkategorier som personuppgifterna har lämnats ut eller ska lämnas ut till.

Du har rätt att erhålla en kopia av de personuppgifter som behandlas. För ytterligare kopior som du begär kan vi ta ut en rimlig avgift baserat på våra kostnader.

Rätt till rättelse

Du har rätt att erhålla rättelse av felaktiga personuppgifter om dig från oss. Med beaktande av ändamålet med behandlingen, har du rätt att komplettera ofullständiga personuppgifter, bland annat genom att tillhandahålla ett kompletterande utlåtande.

Rätt till radering

Du har rätt att begära att vi raderar dina personuppgifter.

Rätt att göra invändningar

Du har rätt att när som helst göra invändningar mot vår behandling av dina personuppgifter för vissa ändamål. Om du utövar denna rätt att göra invändningar behandlar vi inte längre dina personuppgifter för sådana ändamål. Utövandet av denna rättighet medför inga avgifter.

En sådan rätt att göra invändningar kan dock inte föreligga under vissa omständigheter, t.ex. om behandlingen av dina personuppgifter är nödvändig för att vidta åtgärder innan ett avtal ingås eller för att uppfylla ett redan ingått avtal.

Rätt att säga upp kontot

Du har rätt att säga upp ett tidigare registrerat konto när som helst. När ditt konto har sagts upp raderas eller anonymiseras alla uppgifter, varefter vi inte längre samlar in, använder eller tillhandahåller tredje parter de personuppgifter som är förknippade med kontot. De uppgifter du tillhandahåller eller som genereras under din användning av våra tjänster måste dock lagras av oss under den tid som krävs enligt lagar och förordningar och myndigheter har rätt att få åtkomst till sådana uppgifter under den enligt gällande lag föreskrivna lagringsperioden.

Om du vill utöva dessa rättigheter kan du begära radering av personuppgifter. I syfte att ge oss möjlighet att verifiera din identitet ska din skriftliga begäran innehålla ditt namn och din adress och andra uppgifter som hjälper oss att identifiera dig, t.ex.:

• alla e-postadresser du har använt för att kommunicera med SAS

• ditt EuroBonus-nummer eller Travel Pass-nummer

• alla telefonnummer du har använt för att kommunicera med SAS (t.ex. för kundservice-ärenden)

• bokningsnummer och/eller flygnummer och datum.

SAS måste alltid säkerställa att det är rätt person som får uppgifterna om hur vi behandlar hans/hennes personuppgifter. SAS kommer endast att lämna ut personuppgifter om vi kan verifiera din identitet i enlighet med det ovanstående. När vi har fått in en begäran om att utöva en av dessa rättigheter kommer vi att tillhandahålla information om de åtgärder vi vidtar avseende denna begäran utan onödigt dröjsmål och under alla omständigheter inom 30 dagar efter att vi har fått begäran. Denna tid kan under vissa omständigheter förlängas med ytterligare 30 dagar, t.ex. om vi får in komplicerade eller många förfrågningar.

Säkerhetskontroll

Det är viktigt för SAS att hålla uppgifter säkra. Vi har infört lämpliga åtgärder som exempelvis separat lagring, kryptering, åtkomstkontroll, avidentifiering osv., i enlighet med kraven för dataklassificering och -kategorisering, för att säkerställa att dina uppgifter är skyddade mot obehörig åtkomst, utlämnande, förlust, missbruk, ändring och felaktig användning av dina uppgifter och undvika negativ inverkan på dina personliga rättigheter och intressen.

Minderåriga

SAS fäster stor vikt vid att skydda minderårigas personuppgifter. Om du är en minderårig under 14 års ålder måste du erhålla ett skriftligt samtycke från dina föräldrar eller vårdnadshavare innan du använder våra produkter och/eller tjänster. För insamling av minderårigas personuppgifter med samtycke från deras föräldrar eller vårdnadshavare kommer vi endast att använda eller lämna ut sådana uppgifter i enlighet med gällande lag, uttryckligt samtycke från deras föräldrar eller vårdnadshavare eller nödvändigt skydd för minderåriga. Om en minderårig har försett oss med personuppgifter utan sina föräldrars eller vårdnadshavares medgivande kan föräldern eller vårdnadshavaren kontakta oss via e-post till dataprotectionofficer@sas.se. Vi raderar uppgifterna och avregistrerar barnet från samtliga av våra elektroniska marknadsföringslistor.