Aftale mellem fælles dataansvarlige

Information om essensen af aftalen mellem SAS og EB som fælles dataansvarlige

Vi, Scandinavian Airlines System Denmark-Norway-Sweden (“SAS”), og SAS EuroBonus AB (“EB”) bestemmer i fællesskab formålet og midlerne til behandling af personoplysninger i forbindelse med SAS' loyalitetsprogram SAS EuroBonus (“EuroBonus-programmet”).

Ved i fællesskab at bestemme formål og midlerne til behandling fungerer SAS og EB som fælles dataansvarlige i henhold til GDPR. Vi har indgået en aftale som fælles dataansvarlige vedrørende deling af personoplysninger i relation til EuroBonus-programmet.
Formålet med denne information er at give dig essensen af vores aftale, hvor vi specifikt beskriver, hvordan vi har bestemt og fordelt vores respektive ansvarsområder for at overholde GDPR-reglerne.

Bemærk, at denne sammenfatning kun gives for at informere dig og ikke udgør den samlede aftale mellem fælles dataansvarlige. Den skal ikke opfattes som forpligtelser pålagt af SAS eller EB overfor nogen registrerede. For information vedrørende behandlingen af personoplysninger under EuroBonus-programmet henviser vi til databeskyttelsespolitikken eller databeskyttelsesrådgiveren.

Ved fordeling af ansvar for overholdelse af forpligtelserne i henhold til GDPR har vi overvejet følgende faktorer: Hvilket selskab er bedst egnet til at varetage forpligtelsen; fysisk adgang til personoplysninger; bemyndigelse til at beslutte design og indhold af EuroBonus-programmet; de registreredes forventninger; hvilket selskab, der har indgået aftaler med partnerorganisationer; og hvilket selskab, der har indgået aftale med databehandlere.

SAS og EB vil hver især altid overholde deres respektive forpligtelser i henhold til gældende lovgivning om fortrolighed og beskyttelse og behandling af personoplysninger i hver enkelt, relevant retskreds.

1 Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)

Vi har i fællesskab bestemt formålet med midlerne til behandling af personoplysninger i henhold til aftalen som fælles dataansvarlige. SAS og EB har hver især sørget for at sikre, at personoplysninger kun indsamles til specifikke, udtrykkelige og legitime formål, og er passende, relevant og begrænset til hvad der er nødvendigt for at opfylde hver enkelt formål.

Ved behandling af personoplysninger er SAS og EB hver især ansvarlige for at sikre, at personoplysninger: beskyttes rimeligt og efter loven; ikke behandles yderligere på en måde, der strider mod formålet med indsamlingen; til enhver tid holdes opdateret; ikke opbevares eller behandles længere end nødvendigt for at opfylde det aftalte formål, medmindre det kræves under gældende lovgivning; og kun behandles på en måde, der sikrer personoplysningernes passende sikkerhed.

SAS og EB vil hver især sørge for, at de har passende juridisk grundlag i henhold til gældende databeskyttelseslovgivning til at behandle personoplysninger og vil konsultere hinanden, før der foretages ændringer af det juridiske grundlag.

SAS og EB anerkender forpligtelsen til at informere de registrerede om behandlingen af deres personoplysninger i henhold til art. 13 og 14 i GDPR og har aftalt, at al sådan information til alle tider skal afspejles i databeskyttelsespolitikken. SAS er ansvarlig for til enhver tid at opretholde databeskyttelsespolitikken på www.flysas.com/en/legal-info, og EB er ansvarlig for at sikre, at indholdet af databeskyttelsespolitikken på korrekt vis afspejler behandlingen af personoplysninger i henhold til EuroBonus-programmet.

I tilfælde af at SAS eller EB behandler personoplysninger baseret på samtykke, er det selskabet, som har opnået den registreredes samtykke, der er ansvarlig for at give den registrerede relevant information inden indsamling af personoplysninger, herunder information om, hvordan samtykke tilbagetrækkes.

SAS og EB har aftalt, at SAS er ansvarlig for at sikre, at registrerede kan udøve deres rettigheder i henhold til gældende databeskyttelseslove. Dette omfatter dokumenterede arbejdsgange for registreredes anmodninger om adgang samt procedurer for besvarelse af anmodninger inden for tidsfristerne angivet i gældende databeskyttelseslove.

Desuden har de aftalt, at registrerede, som ønsker at udøve deres rettigheder i henhold til gældende databeskyttelseslove, skal sende deres anmodning til kontaktpersonen, som kan kontaktes på dataprotectionofficer@sas.se og som angivet i databeskyttelsespolitikken.

I henhold til aftalen mellem fælles dataansvarlige kan personoplysninger deles med tredjeparter som beskrevet i databeskyttelsespolitikken. Med hensyn til behandlere og tredjepartsdataansvarlige er det den enhed, SAS eller EB, som har indgået databehandlingsaftalen eller overfører personoplysninger til en tredjepartsdataansvarlig, som er ansvarlig for at overholde gældende databeskyttelseslove i forhold til en sådan databehandler eller tredjepartsdataansvarlig, herunder bestemmelser for lovlige overførsler af personoplysninger til et land uden for EU/EØS.

Vi har besluttet, at databeskyttelsesrådgiveren hos SAS og EB skal være kontaktpersonen for registrerede og for en tilsynsmyndighed med hensyn til eventuelle behandlingsaktiviteter i medfør af aftalen mellem fælles dataansvarlige. Kontaktpersonen kan kontaktes på dataprotectionofficer@sas.se. Vi anerkender imidlertid, at registrerede og enhver tilsynsmyndighed kan kommunikere med enten SAS eller EB, alt efter hvad de foretrækker.