北欧航空公司 (Scandinavian Airlines System Denmark-Norway-Sweden) 负责处理通过 SAS 网站获得的及与使用 SAS 服务相关的您的个人数据。在本隐私政策中，“SAS”是指北欧航空公司 (Scandinavian Airlines System Denmark-Norway-Sweden)，以及 SAS AB (publ) 不时直接或间接地拥有或控制 50% 以上股份的所有公司。您可在下述第 14 条中找到我们的联系方式。

SAS 是负责根据现行数据保护法处理个人数据的法律实体，这些法律包括欧洲议会和理事会于 2016 年 4 月 27 日颁布的关于在个人数据处理方面保护自然人和保护该等数据自由移动，并且废除第 95/46/EC 号指令的第 2016/679 号法规（欧盟）（《通用数据保护条例》(“GDPR”））。

SAS 已指定一名数据保护官来帮助 SAS 确保您的个人数据得到正确处理。欢迎您发送电子邮件至 dataprotectionofficer@sas.se与我们的数据保护官联系，提出有关我们处理您的个人信息的问题或请求。 

SAS 收集您在使用我们的网站或服务时（例如，在您预订旅程、联系我们的客服或使用我们的移动应用程序时）提供给我们的有关您的个人数据。 

就您的旅程而言，SAS 将根据航空公司和旅游业的预订和旅行数据通用行业标准（在电子预订系统中称为旅客姓名记录 (“PNR”) 处理您的个人数据。PNR 数据包括旅客姓名、地址、联系方式和要求提供的任何额外服务的相关信息，以及旅客或一起旅行的旅客团体的旅行数据。通用行业标准旨在为不同航空公司之间交换预订和旅行数据创建标准化流程，以使搭乘多家航空公司航班的旅客到达其目的地，并为旅客提供机场便利服务，如办理登机手续和行李处理等。 

经您同意后，我们还可能从外部来源收集有关您的个人数据，例如 SAS 合作伙伴（这些合作伙伴是提供您可能考虑购买的旅程相关服务的公司，例如连锁酒店和汽车租赁公司）、SAS EuroBonus 合作伙伴，也可能收集我们从第三方购买的客户登记册中的数据。我们还有可能从您将我们的一些服务关联的社交网络（例如 Facebook 或 Google）中获取数据。

根据您使用 SAS 网站和 SAS 服务的方式和范围，SAS 可能处理您的不同类别资料。若 SAS 享有合法权益，或者我们已经得到您的同意，我们将仅为履行与您的协议或满足法律要求而处理您的信息。关于我们收集哪些数据和收集原因的更多信息，请参见下文。

SAS 出于不同的目的收集您的个人数据。我们收集的个人数据和我们的使用方式取决于您使用的服务以及您所拥有的会员资格（如有）和/或登录信息。SAS 将出于以下目的而使用您的个人数据：

• 为了提供和管理您请求我们提供的服务，以及为了履行我们对您使用 SAS 服务的承诺，例如与管理和执行您的预订和付款有关的服务。这可能包括处理有关非由 SAS 提供但构成您所选旅行安排的组成部分的旅行安排和服务的信息，例如有关转机、机场安排及海关和入境手续的信息。
• 出于管理目的，例如，为了能够处理您的会员资格、会计核算、开票和审计、借记卡验证和控制、必要的入境检查和海关查验、有关健康和安全事项，以及其他合理的管理和/或法律目的（例如投诉和申诉）。
• 为了能够履行我们与您的协议，例如向您发送有关您向我们购买的服务的必要信息，例如有关预订状态、您的旅行安排的任何变更及类似事项的信息。
• 在您明确同意以下一个或多个目的后，我们还将按照以下方式处理您的个人信息： 
• 为了推广我们和我们合作伙伴的服务，例如，通过发送或提供我们认为相关的或可能使您感兴趣的通讯、活动、特别优惠和其他营销优惠，并能够在您访问我们的网站、使用我们的移动应用程序或利用我们的服务时，为您提供私人定制的个性化体验。有关概况分析，请参见下述第 5.5 点。 
• 一些有关您和您的个人资料的一般信息，可能会与 SAS 合作伙伴共享，以便当您访问我们的合作伙伴网站时，您能获得私人定制的个性化体验。
• 为了改进、分析、开发和维护我们的服务，以不断改进我们的客户优惠。例如，通过内部分析或使外部顾问参与等方式，可能会发生这种情况。

为了能够履行我们与您的协议（例如，为了使您能够旅行），我们必须处理关于您的某些数据。我们处理的资料取决于我们订立了哪种类型的协议，但一般来说，我们将处理以下资料： 

• 识别您身份的信息，例如姓名、地址、出生日期、电子邮件地址、电话号码、付款详情、性别和护照号码等。
• 有关您的预订、您的旅行计划、您的旅游公司及需要协助或特殊饮食的任何预订偏好的信息，以及有关您的预订的其他信息。
• 我们从外部获得的信息，例如我们从 SAS 合作伙伴获得的信息和其他类似信息，以及我们从以您的名义进行预订的其他人那里获得的信息。
• 您联系我们提供的与您的旅行（例如行李托运和登机）有关的信息，或联系我们的客服（包括录音）或者通过社交媒体联系 SAS 时提供的信息。
• 可归属于您所拥有的任何会员资格（例如 EuroBonus 会员）的信息，以及您根据公司协议（如 SAS 公司协议）和 SAS 旅行通旅行的信息。

当 SAS 享有正当权益时

我们也可以根据所谓的权益平衡原则处理个人数据。在这种情况下，只有当 SAS 或第三方所享有的正当权益比您的权益或保护您的个人数据的基本权利和自由更大时，才会进行处理。 

我们根据权益平衡原则处理以下个人数据：

• 为了内部业务目的，并在开发 SAS 一般客户优惠和业务模式所必需的范围内，我们可能处理预订和旅行数据（例如预订历史记录和购买行为）及客户服务数据。我们只会以汇总而非单独的方式将这些信息用于统计和分析用途。 
• 当您向我们预订旅程时，您将收到我们的确认单。如果您根据以下信息同意该确认单中的内容，您还可能收到与您刚才进行的预订有关的优惠。

为防止、检查或报告欺诈案件或安全问题，并与执法机构合作，我们也将处理您的个人数据。处理您的数据通常符合双方的利益。 

为了满足法律要求

SAS 还可能依法处理和保存您的某些个人数据，并将在法律要求的范围内这样做。例如，SAS 须遵守的法律要求可能涉及报告、海关和入境问题及执法。 

如果我们已获得您的同意

在我们获得您的处理同意后，SAS 也会处理您的个人数据。您有权在任何时候撤销您的同意，请参阅下述第 13.1 点。 

只有在获得您的明示、具体、知情和明确的同意后，我们才会处理以下数据：

• 如果您已向我们预订过一次旅程，或者已注册以通过电子邮件接收通讯或优惠，则会处理您的联系信息以出于营销目的与您联系（例如，有关 EuroBonus 会员资格的优惠）。
• 有关您使用我们服务的信息，包括旅行和预订历史记录。 
• 我们通过您的计算机或智能手机中的 Cookie 或其他技术收集的信息，包括网页浏览器的类型、操作系统、设备类型、您在 SAS 网站上花费的时间和您访问过我们的哪些页面、您上次访问 SAS 网站的时间以及您访问的引荐页面。您用来使用我们服务的设备（计算机、智能手机等）识别数据（设备 ID）。有关 SAS 使用 Cookie 的更多信息，请参见第 11 条。
• 我们还可能收集有关您个人特征（包括您的行为和个人偏好）的信息（例如您感兴趣的其他网站上的内容），以便能够为您提供更多相关优惠。这可能涉及所谓的分段信息，即非个人信息，例如有关个人群体及其偏好的信息（换句话说，我们将不会掌握关于您访问过的页面或所进行过的搜索的详细信息）。这也可能是我们从外部获得的有关您的个人信息，例如从 SAS 合作伙伴获得的购买历史记录和其他信息、人口统计数据、价格敏感性及其他类似信息。我们收集并关联这些信息，以能够创建有关您的个人资料。有关概况分析的更多信息，请参见下述第 5.5 条。
• 如果您使用我们的移动应用程序，我们可能收集有关您的地理位置的信息。例如，使用这些位置信息使您的旅行更轻松、显示与您的当前位置有关的广告，以及用于统计汇编。 
• 如果您同意我们处理您的地理位置信息，但不同意通过您手机中的定位服务收集信息，我们可以从您对我们网站的使用获得有关您的大致地理位置的信息。例如，这可以帮助我们确定我们应该用哪种语言向您展示我们的网站。

什么是概况分析？

对于已经同意对您的个人数据进行附加处理的人来说，数据也将用于创建您的个人资料。概况分析是指您的个人数据被用来评估您的某些个人特征，例如分析或预测您的支付能力、您的个人偏好、兴趣、可靠性、行为、永久住处或搬迁情况。SAS 这样做是为了通过我们网站的私人定制体验和营销通讯，向您提供更多只有您感兴趣的个人帮助和优惠。

从 SAS EuroBonus 会员或登录的访客那里获得的信息，用于建立个人资料，以便 SAS 能够通过协议或其他方式履行其对您的义务，并在您使用我们的服务时为您提供更灵活的私人定制体验。请参阅我们 EuroBonus 会员隐私政策和个人资料帐户持有者隐私政策中的更多内容。

一些概况分析是建立在所谓的预测模型或“评分”的基础之上。例如，这可能意味着我们根据一些不同的变量（例如，谁打开了它，然后谁接着进行购买）跟进先前优惠的结果，以能够针对适当的接收方提出适当的优惠。 

SAS 仅与 SAS 集团内的公司共享您的个人资料，下文中所述的豁免情况除外。 

由于外国当局的强制性要求，并且为了使您选择的旅行计划得以执行，SAS 和其他航空公司可能有义务就往返或飞越欧盟 (“EU”) 和欧洲经济区 (“EEA”) 内外国家（包括美国）的旅客，向外国当局提供某些 PNR 数据和提前乘客信息 (“API”)。这些数据主要用于预防和打击恐怖主义和其他严重犯罪。此外，PNR 和 API 受第 2016/681/EU 号指令管辖。如需更多信息（包括哪些国家要求访问该预订数据），请向我们的数据保护官发送电子邮件。

为了使我们能够按照旅行条款和条件运营您的航班，如有必要，您的个人数据也将与以下各方共享： 

• 其他航空公司和其他参与提供您将使用的服务的公司；
• 参与您航班预订和运营的公司，如旅行社、货运代理人和代理商；
• 代表 SAS 确保我们的 IT 系统运行和安全的 IT 供应商和开发人员；
• 与 SAS 合作提供不同支付解决方案的信用卡公司，例如万事达和美国运通；
• 从事预防和打击欺诈工作的安保公司和企业；以及 
• 主管机关和执法机构。

如果您已经明确和具体同意，或者如果您是 EuroBonus 会员，您的个人数据将与 SAS 合作伙伴（例如，就您的旅程提供您可能考虑购买的服务的公司，例如连锁酒店和汽车租赁公司）、SAS EuroBonus 合作伙伴、信用报告公司、社交媒体提供商和搜索引擎共享。

个人数据将在 SAS 集团内的公司之间传输，包括为执飞我们的国际航班、管理和维护您的帐户和会员资格，以及为统计目的而进行传输。 

以这种方式在 SAS 集团内共享的个人数据，有时会转传输至 EU 或 EEA 成员国以外的国家，以及无法确保个人数据安全水平令人满意的国家。此类传输将按照现行的数据保护法进行。 

当个人数据传输给 EU/EEA 成员国以外无法对个人数据提供令人满意的保护水平的国家时，我们将采取适当的措施，通常这是指纳入欧洲委员会通过的标准合同条款。这些标准合同条款可在以下链接中找到：http://ec.europa.eu/justice/data-protection/international-transfers/transfer/index_en.htm。

如果欧洲委员会没有对适当的保护水平作出决定，也没有按照上述规定以标准合同条款的形式制定适当的安全措施，我们将根据为了履行我们与您的协议而有必要的事实将您的个人数据传输给 SAS 集团内的公司。如果您是 EuroBonus 会员，这将是 EuroBonus 条款和条件；如果您是帐户持有者，这将是个人资料帐户条款和条件。

我们已采取广泛的技术和组织措施，以保护您的数据免受损失、滥用及未经授权的访问。您的网页浏览器和我们的服务器之间的数据处理和传输受到适当的加密保护，并且我们将持续更新我们的安全措施。

当您用卡片支付我们的任何服务费时，所有信息都通过安全连接发送，以确保您的个人数据不被第三方读取。在卡片支付方面与我们合作的参与者，均已获得国际安全标准 PCI-DSS 认证，这意味着处理您的卡片资料的安全级别非常高。

我们使用分包商为您提供我们的服务。我们的分包商仅代表 SAS 并按照 SAS 发出的指示处理您的个人数据。所有代表 SAS 处理个人数据的分包商都已按照适用法律与 SAS 签订了个人数据处理协议。SAS 在几个不同的领域雇用分包商，例如存储和运营等 IT 服务。 

我们会在为了处理目的而必要的时间范围内保存您的个人数据。 

如果您是 EuroBonus 会员，或者您已在我们的网站上创建了个人资料帐户，那么，只要您是 EuroBonus 会员或在 SAS 有活动的帐户，有关您的信息就会被保存。 

如果您向 SAS 预订旅程，我们将在旅行结束后十年内保存您的数据，以满足法律和法规的要求，并处理任何申诉和投诉。如果您访问 SAS 网站而不预订旅程，请参见第 10 条有关 Cookie 的存储时间。

我们在 SAS 网站上使用 Cookie。Cookies 是包含信息的小型文本文件，当您访问某个网站时，这些文件将存储在您的计算机（或智能手机、平板电脑等其他联网设备）上。 

Cookie 用于使网页更有效地运行，也用于向主页所有者提供某些信息。Cookie 使区分不同的用户成为可能，这反过来又能给各个用户提供更有针对性和更积极的网站体验。

SAS 使用网站正确运行所必需的 Cookie，这样您就可以浏览网站并使用其功能。

SAS 网站还使用 Cookie 来优化网站的功能，并通过记住您的用户偏好来改善您的体验及对未来的访问进行个性化设置。当您登录“我的页面”时，此等 Cookie 旨在进一步确认和验证用户身份。如果您同意的话，我们还将使用 Cookie 进行营销和市场调查（包括人口统计研究），以便我们可以优化和调整我们为您提供的服务质量。此外，Cookie 还用于编译匿名和汇总统计数据，以了解用户如何使用这些网站，并帮助我们改进这些网站的结构和内容。

SAS 网站上使用的一些 Cookie 是所谓的第三方 Cookie，由 SAS 的一些合作伙伴设置。如果您同意的话，这些第三方 Cookie 将使用有关您使用 SAS 网站及其他网站的信息（例如您访问的页面或您感兴趣的广告），以便以后能够在 SAS 网站及其他网站上提供更适合您的广告，即所谓基于兴趣的广告。 

有关使用 Cookie 的更多详细信息，请参见我们的 Cookie 政策。

我们可能不时地更改本隐私政策。在任何情况下，我们都会在此之前及时告知更改，更新后的版本将始终在 SAS 主页上提供。 

就我们如何处理您的个人数据而言，您享有许多权利。例如，您有权在任何时候撤销您对特定处理的同意，请参阅下一条。如果您是 EuroBonus 会员或个人资料帐户持有者，通过登录您的帐户，您可以轻松撤销对特定处理的同意。根据以下信息，这同样适用于其他权利。 

如果您没有在我们这里设立帐户，或者如果您需要帮助，请联系我们的数据保护官。 

撤销同意

如果我们根据您的同意处理有关您的信息，您有权在任何时候联系我们的数据保护官撤销您的同意。然后，我们将终止根据您的同意处理您的个人数据。您只能撤销您对未来处理的同意，而不能对已经发生的处理撤销同意。如果撤销同意，这可能意味着您不能再收到类似的定制优惠，您也不能再充分使用我们的一些服务。

您还有权拒收营销通知。如果您希望取消订阅进一步的营销通讯，我们向您发送的每个营销通知都将包含您可以使用的链接。 

您也可以随时改变主意，通过联系我们更改您希望从 SAS 收到的营销通知的类型。

如果您是 EuroBonus 会员，您可以登录您的 EuroBonus 个人资料更改您的营销偏好。如果您已在 SAS 主页上注册，您可以通过登录我们主页上的个人资料帐户来更改有关营销通讯的偏好。

请注意，尽管您已通知我们您希望不再接收营销通知，SAS 仍会向您发送必要的信息（例如预订确认单和其他与您的预订有关的信息），以便 SAS 能够履行其对您的承诺。如果您是 EuroBonus 会员，您仍会收到我们管理您的会籍所必需的信息。

更正和删除

如果 SAS 处理的您的个人数据不正确、不完整或不相关，您可以登录您的帐户更正这些数据，或者通过发送电子邮件至 securedata@sas.se 要求更正或删除这些数据。请注意，删除可能意味着 SAS 无法执行预订的服务，并且您的帐户可能被终止。

限制处理权 

您有权限制对您的个人数据的使用，也有权要求终止对您的个人数据的使用。这可能意味着 SAS 不能再为您提供服务。

数据读取权

如果您想获得有关我们如何处理您的个人数据的更多信息，或者如果您想知道我们处理的有关您的个人数据类型，您可以要求获得您的个人数据。您有权索取我们登记册中的您的个人数据副本。如果您是 EuroBonus 会员或有网站个人资料帐户，您可在登录时索取摘录。

如果您不是 EuroBonus 会员或没有帐户，您可以发送电子邮件至 securedata@sas.se，以便我们能够核实您的身份。您的书面请求应包括您的姓名、地址及其他有助于我们识别您身份的信息，例如：

•  您与 SAS 通信时使用的任何电子邮件地址
•  EuroBonus 会员编号或旅行通号码
•  您与 SAS（例如客户服务）通信时使用的任何电话号码
•  预订号码和/或航班号和日期。

SAS 必须始终确保由合适的人接收有关我们如何处理其个人数据的信息。如果我们能够按照上述规定验证您的身份，SAS 将仅披露您的个人数据。 

投诉权

对我们来说，您感到安全是很重要的，我们将以最大的尊重处理您的个人数据。如果您仍认为 SAS 对您的个人数据的处理方式是不正确的，欢迎您与我们联系。您还可以向瑞典数据保护局提交申诉。

异议权

对我们根据上述第 5.2 点基于我们的正当权益对您的个人数据进行的处理，您有权在任何时候提出异议。如果 SAS 不能证明其有令人信服的合法理由来处理比您的利益、权利和自由更重要的数据，或处理这些数据是为了确立、行使或抗辩法定求偿权，则 SAS 将不再处理您的个人数据。 

数据流通权利

您有权要求接收我们以机器可读格式处理的个人数据，您还有权将这些数据传输给另一个数据保护官。

被遗忘权

如果有关您的个人数据不再为收集目的所需要，如果您撤销同意，并且没有其他的法律依据进行处理，如果您反对处理，或者为遵守法律义务而有必要擦除，您的擦除权意味着您可以要求我们删除有关您的个人数据，不得无故拖延。但是，如果为了行使言论和信息自由权、履行法律义务或符合公共利益的任务，或者为了确定、适用、确立、行使或抗辩法定求偿权而有必要进行处理，则此项规定不予适用。

如果您对 SAS 进行的个人数据处理、SAS 营销或本隐私政策有任何疑问或意见，或者如果您要求提供上述第 13 条中所指明的信息，请通过电子邮件与我们的数据保护官联系(dataprotectionofficer@sas.se)

个人资料帐户持有者隐私政策

在本个人资料帐户持有者隐私政策中，我们说明我们如何收集和使用您的个人信息。本政策适用于当您通过我们旅行、购买或使用我们的服务、访问我们的网站、使用我们的移动应用程序，或以其他方式与我们互动时，我们处理的有关您的所有个人信息。请查看我们个人资料帐户持有者隐私政策的完整版本。

EuroBonus 会员隐私政策

在本 EuroBonus 会员隐私政策中，我们说明我们如何收集和使用您的个人信息。本政策适用于当您通过我们旅行、购买或使用我们的服务、访问我们的网站、使用我们的移动应用程序，或以其他方式与我们互动时，我们处理的有关您的所有个人信息。请查看我们 EuroBonus 会员隐私政策的完整版本。