联合控制者安排

SAS 和 EB 联合控制者安排精要信息

我们,即北欧航空公司 (Scandinavian Airlines System Denmark-Norway-Sweden)(以下简称“SAS”)和 SAS EuroBonus AB(以下简称“EB”)将共同决定处理与 SAS 忠诚计划 SAS EuroBonus (“EuroBonus Program”)相关的个人数据的目的和方法。

共同决定处理目的和方法,SAS 和 EB 即成为 GDPR 中定义的联合控制者。我们已就共享与 EuroBonus 计划有关的个人数据达成联合控制者协议。
本信息的目的是向您介绍此安排的精要内容,具体说明我们如何确定和分配各自的职责,以遵守 GDPR 中规定的义务。

请注意,本摘要仅供参考之用,并不代表联合控制者协议的全部内容。它不应被解释为规定 SAS 或 EB 对任何数据主体的任何义务。有关处理与 EuroBonus 计划相关的个人数据的信息,请参阅隐私政策联系数据保护官

为遵守 GDPR 中定义的义务分配责任时,我们考虑了以下因素:哪个实体最适合履行义务;对个人数据的实际访问;对 Eurobonus 计划的设计和内容的决定性权力;数据主体的期望;哪个实体与合作伙伴组织达成协议;以及哪个实体与处理者达成协议。

SAS 和 EB 将始终遵守各自在各相关司法管辖区中,有关隐私及个人数据保护和处理的所有适用法律项下的义务。

1 欧洲议会和理事会于 2016 年 4 月 27 日颁布的关于在个人数据处理方面保护自然人和保护该等数据自由移动,并且废除第 95/46/EC 号指令的第 2016/679 号法规(欧盟)(《通用数据保护条例》)。

我们已根据联合控制者安排共同确定了处理个人数据的方式的目的。SAS 和 EB 均已承诺确保仅出于特定、明确和合法目的收集个人数据,且收集的个人数据充分、相关并仅限于实现每个目的所必需的程度。

收集个人数据时,SAS 和 EB 均有责任确保个人数据:得到公平合法处理;不会以与收集目的不符的方式进一步处理;始终准确;保留或处理时间不得超过商定目的所需的时间,除非适用法律有相关要求;仅以能够适当确保个人数据安全性的方式得到处理。

SAS 和 EB 均确保其根据适用数据保护法项下的适当法律依据来处理个人数据,并在修改法律依据前相互协商。

SAS 和 EB 承认,其有义务根据 GDPR 第 13 和 14 条,向数据主体告知其个人数据的处理情况,并同意所有此类信息在任何时候都必须反映在隐私政策中。SAS 有责任确保隐私政策可随时通过 www.flysas.com/en/legal-info 访问,EB 有责任确保隐私政策的内容准确反映 EuroBonus 计划下个人数据的处理情况。

如果 SAS 或 EB 基于同意处理个人数据,则从数据主体处获取同意的实体有责任在收集个人数据之前,向数据主体提供相关信息,包括如何撤回同意的信息。

SAS 和 EB 同意,SAS 有责任确保数据主体能够根据适用的数据保护法行使其权利。这包括为数据主体的访问请求制定成文规程,以及在适用的数据保护法规定的时限内响应请求的程序。

此外,我们同意,希望根据适用的数据保护法行使其权利的数据主体,应将其请求发送至联系人(可通过 dataprotectionofficer@sas.se 以及隐私政策中指定的其他方式与其联系)。

根据联合控制者安排,个人数据可与隐私政策规定的第三方共享。关于处理者和第三方控制者,已签订数据处理者协议或需要向第三方控制者传输个人数据的实体(SAS 或 EB),有责任遵守与此类处理者或第三方控制者有关的适当数据保护法,包括将个人数据合法传输至欧盟/欧洲经济区以外国家/地区的规定。

我们已指定 SAS 和 EB 的数据保护官作为数据主体和任何监管当局的联系人,根据联合控制者安排就处理活动进行联络。可通过 dataprotectionofficer@sas.se 与联系人联系。但我们认可,数据主体和任何监管当局均可按其意愿与 SAS 或 EB 联系。