Retningslinjer for personvern
I våre retningslinjer for personvern forklarer vi hvordan vi samler inn og bruker personopplysningene dine når du reiser med oss, besøker nettsidene våre, bruker mobilapplikasjonene våre eller omgås oss på annen måte. Sørg for å lese retningslinjene nøye.
Om disse retningslinjene for personvern
1. Hvem vi er
2. Typer personopplysninger vi innhenter og bruker
3. Hvordan vi henter inn opplysningene
4. Formål vi bruker opplysningene dine til
4.1. Hovedformål vi bruker dine personopplysninger for (A) For å tilby deg våre tjenester Vi bruker informasjonen beskrevet under 2.1 (A) til (G) for å håndtere dine reservasjoner og bestillinger og for å arrangere dine reiser og kjøp. For eksempel bruker vi navn, passnummer og andre identitetsopplysninger for å utstede billetten din. Vi bruker kontaktdetaljene dine for å informere deg om endringer i flyvningsstatusen din.
(G) Uregjerlig oppførsel i. Passasjerer som har oppført seg uregjerlig på bakken eller ombord i ett av flyene våre, eller som har misbrukt våre tjenester, kan bli utestengt for en maksimal periode på fem år, eller kan bli ønsket velkommen ombord kun på visse betingelser. KLM opprettholder en liste over uregjerlige passasjerer (se 2.1 (J) ovenfor). Passasjerer plassert på disse listene vil bli personlig informert (skriftlig der det er mulig) om det faktum at de har blitt plassert på listen og hvorfor, hvilke tiltak KLM har iverksatt mot dem og hvor lenge disse spesielle sikkerhetstiltakene vil gjelde for dem. For mer informasjon om hvordan du får tilgang til eller utbedre disse dataene, se 8 “Dine rettigheter” nedenfor. ii. Ulovlige rusmidler: KLM mottar fra staten Nederland navnene på passasjerer som har gått av flyet ved Amsterdam Schiphol flyplass og som har blitt stoppet med ulovlige rusmidler av det militært organiserte politikorpset (Royal Netherlands Marechaussee). KLM kan nekte å inngå en transportkontrakt med disse personene i en periode på 3 år for direkteflyvninger fra Schiphol til Surinam, Aruba, Bonaire, St Martin eller Curaçao, og for direkteflyvninger fra disse landene til Schiphol. Du kan be om tillatelse til å få tilgang til eller rette opp disse dataene ved å sende en skriftlig forespørsel om dette til Royal Netherlands Marechaussee, PO Box 90615, 2509 LP Haag, Nederland. Hvis du bor i Aruba, de nederlandske Antillene, Surinam eller Venezuela, må du legge ved en kopi av passet ditt i den skriftlige forespørselen.
(H) For å drive forretningsvirksomhet eller for å overholde lovpålagte forpliktelser Vi samler inn, bruker og beholder dine personopplysninger for å utføre vår forretningsdrift, for eksempel for journalføring, for å forhindre eller bekjempe svindel, eller for å avgjøre tvister. I tilfelle av svindel eller misbruk av våre tjenester, kan vi angi dine personopplysninger i våre interne svindelkontroll- og advarselssystemer. Som et resultat kan bestillingene dine være underlagt grundig gransking og, i spesifikke tilfeller, kan bli avvist eller kansellert, eller du vil muligens ikke lenger være velkommen om bord våre fly eller kun på visse betingelser (se 4.1 (G) ovenfor). Vi innhenter og bruker også dine personopplysninger for å overholde våre juridiske og skattemessige forpliktelser. 4.2 Spesifikke tjenester, apper, arrangementer, konkurranser eller kampanjer For spesifikke tjenester, apper, arrangementer, konkurranser eller kampanjer, kan vi bruke dine personopplysninger til annet enn beskrevet i disse retningslinjene for personvern. Vi vil informere deg om dette når du registrerer deg for den spesifikke tjenesten, arrangementet, konkurransen eller kampanjen, eller når du laster ned den spesifikke appen. 4.3 Juridisk grunnlag Vi behandler bare dine personopplysninger hvis vi har et juridisk grunnlag for å gjøre det. I mange tilfeller trenger vi dine personopplysninger for å motta bestillingen din, arrangere din flyvning eller kjøp, tilrettelegge lojalitetsmedlemskapet ditt, eller for å svare på spørsmålene dine (se 4.1 (A) til (B) og (F) ovenfor). I disse tilfellene er det juridiske grunnlaget for å behandle dataene dine “nødvendig for utførelsen av en kontrakt”. Hvis du har samtykket til innhentingen og bruken av personopplysningene dine (hvilket samtykke du kan trekke tilbake når som helst, se 8 “Dine rettigheter” nedenfor), vil vi innhente og bruke dine data basert på det samtykket. I visse tilfeller kan vi bruke dine personopplysninger hvis vi eller tredjeparter har en legitim interesse av å gjøre det. Vi vurderer alltid alle interesser nøye: dine, andres og KLMs interesser. Basert på det juridiske grunnlaget, vil vi innhente og bruke dine data for, for eksempel, sikkerhet, statistisk forskning eller direkte markedsføringsformål, eller for å tilby personlige rabatter og tilbud (se 4.1 (C), (D) og (G) ovenfor for mer informasjon). Vi kan ha en juridisk forpliktelse til å innhente og bruke dataene dine, for eksempel for å tilfredsstille innvandringsformaliteter (se 4.1 (H)). Hvis du nekter å oppgi personopplysninger vi trenger for utførelsen av kontrakten eller overholdelse av en juridisk forpliktelse, er det ikke sikkert vi kan tilby alle eller deler av de tjenestene du har bedt oss om. Følgelig kan det hende vi må kansellere flyvningen din, eller ikke være i stand til å gi deg tilleggstjenestene du har bedt om. Hvis du oppgir ufullstendig eller unøyaktig informasjon, kan vi bli tvunget til å nekte deg ombordstigning eller innreise til et annet land.
5. Gi tilgang eller dele opplysninger med tredjeparter
5.1. Generelt Vi kan dele personopplysningene dine med tredjeparter i følgende tilfeller: (A) For å tilrettelegge dine bestillinger og reiser For å behandle reservasjonene og bestillingene dine, og fullføre reisene og kjøpene dine, må vi i mange tilfeller dele dine personopplysninger med våre partnerflyselskaper, flyplassoperatører og andre selskaper som er involvert i tilrettelegging av reisen (se 3.1 (B) ovenfor, “Hvordan vi henter inn opplysningene”). (B) For vårt bedriftslojalitetsprogram bluebiz For mer informasjon, se “Hvem vi er” og 3.1 (C) under “Hvordan vi innhenter opplysningene dine”. (C) Bedriftskontoer Hvis du bestiller en flyreise med din arbeidsgivers bedriftskonto, vil arbeidsgiveren din ha tilgang til bestemte bestillingsdetaljer, for eksempel billettprisen, reisedatoer og destinasjonen. Arbeidsgiveren din er uavhengig ansvarlig for måten den innhenter og bruker dine personopplysninger på og informerer deg om dette. (D) For support eller tilleggstjenester For å tilby våre tjenester bruker vi support eller tilleggstjenester fra tredjeparter, for eksempel IT-leverandører, leverandører av sosiale medier, markedsføringsbyråer og leverandører av screeningtjenester. Alle slike tredjeparter må ha tilstrekkelige sikkerhetstiltak for personopplysningene dine og kun bruke slike data i samsvar med instruksene våre. Air France-KLM-gruppen utfører sin forretningsdrift ved hjelp av sentraliserte databaser og systemer. Disse sentrale databasene og systemene kan være eid eller ledet av ett søsterselskap for andre søsterselskaper. I tillegg, for effektivitetsformål, kan visse operasjonelle funksjoner bli utført av ett søsterselskap for andre søsterselskaper. Dette betyr at våre søsterselskaper kan ha tilgang til dine personopplysninger for disse formålene. Våre søsterselskaper kan kun bruke dine personopplysninger etter behov for den relevante forretningsfunksjonen og i samsvar med disse retningslinjene for personvern. (E) Betalingstjenester For å behandle betaling for reiser og kjøp, kan vi samarbeide med tredjeparter som tilbyr betalingstjenester. I mange tilfeller utfører disse leverandørene av betalingstjenester også svindelkontroller. De opererer sine egne retningslinjer for personvern som gjelder for måten de bruker personopplysningene dine på. (F) Personalisert markedsføring gjennom sosiale medier-plattformer For mer informasjon, se 4.1 (E) under “Formål vi bruker opplysningene dine til”. (G) For å gjøre det mulig for våre partnere å skreddersy sine tjenester til reisen din Vi kan dele din ikke-personlige informasjon (destinasjon, reisedato og reisens varighet) med partnere som tilbyr tilleggstjenester (som hotellovernatting, bilutleie) slik at de kan gi deg tilpassede tilbud. Disse partnerne har sine egne retningslinjer for personvern som gjelder for måten de bruker personopplysningene dine på. 5.2. Spesifikke tjenester, apper, arrangementer, konkurranser eller kampanjer For spesifikke tjenester, apper, arrangementer, konkurranser eller kampanjer kan vi dele dataene dine med andre parter enn de som er beskrevet i disse retningslinjene for personvern, for eksempel når vi organiserer en kampanje eller arrangement i samarbeid med en partner, eller når vi integrerer deres tjenester inn i appene våre. Vi vil informere deg om dette når du registrerer deg for tjenesten, arrangementet, konkurransen, kampanjen eller laster ned den spesifikke appen. 5.3. Offentlige etater (A) Generelt Vi kan være lovpålagt å innhente dine personopplysninger før du reiser til et annet land og dele disse med offentlige etater i landene på din reiserute. Vi kan, for eksempel, være lovpålagt å innhente og dele dine identifikasjonsdata og din bestillings- og reiseinformasjon med de offentlige etatene med formål for grensekontroll, innvandringsformaliteter, innreise i et land eller for å bekjempe terrorisme eller annen alvorlig kriminalitet (se 5.3 (B) nedenfor). Vi kan også være lovpålagt å dele din helseinformasjon med de offentlige etatene i landene på reiseruten din for offentlige helseformål (se 2.1. (D) ovenfor). (B) PNR- og API-data i. Generelt: under EU-forskrifter 2016/679 og 2004/82 og gjeldende lokal lovgivning og forskrifter, må vi videresende PNR- og API-detaljer til myndighetsenheter, inkludert Passenger Information Units (PIU-er) til diverse land. API (Advance Passenger Information) angår informasjon om dine flyvnings- og passdetaljer. PNR (Passenger Name Record) angår all informasjon om dine bestillinger, som flyinformasjon, passasjerer på bestillingen og betalingsinformasjon. Vi videresender disse PNR-detaljene til det nederlandske PIU (Pi-NL) for alle flyvninger. Når det er påkrevet å gjøre dette, videresender vi også API- og PNR-detaljer til autoriteter i andre land enn Nederland. ii. Landsspesifikasjoner: - Frankrike: under Artikkel L 237 -7 av den franske loven for innenrikssikkerhet (French Homeland Security Code), må KLM muligens overføre dine data om reservasjon, innsjekking og ombordstigning (API/PNR) til de franske nasjonale offentlige tjenestene og kompetente autoriteter for formålene og underlagt betingelser som definert i dekret nr. 2014-1095 datert 26. september 2014, som er endret av dekret nr. 2018/714 datert 3. august 2018. 5.4. Tredjeparts nettsteder Nettsidene og mobilappene våre inneholder lenker til nettsidene til tredjeparter. Hvis du følger disse lenkene, vil du forlate nettsidene eller mobilappene våre. Disse retningslinjene for personvern gjelder ikke nettsidene til tredjeparter. For mer informasjon om hvordan disse tredjepartene behandler personopplysningene dine, vennligst sjekk deres retningslinjer for personvern og/eller retningslinjer for informasjonskapsler (hvis tilgjengelig).
6. Sikkerhet og oppbevaring
6.1. Sikkerhet (A) Vår forpliktelse Å sikre sikkerheten og konfidensialiteten av dine personopplysninger er en prioritet. Med tanke på arten av dine personopplysninger og risikoen ved behandling, har vi innført alle passende tekniske og organisatoriske tiltak som påkrevd av gjeldende lovbestemmelser (spesifikt artikkel 32 i Personvernforordningen (General Data Protection Regulation, GDPR)) for å sikre et passende sikkerhetsnivå og, spesifikt, for å forhindre utilsiktet eller ulovlig ødeleggelse, tap, endring, formidling, forstyrrelse av eller uautorisert tilgang til disse opplysningene. (B) Sikkerhetstiltakene vi har iverksatt i. Banktransaksjoner: det er påkrevet av oss at vi overholder Datasikkerhetsstandarden for betalingskortindustrien (Data Security Standard for the Payment Card Industry (PCI DSS-standarden)) utstedt av PCI Security Standards Council (PCI SSC). Denne standarden ble opprettet for å øke kontroll over kortholderinformasjon med mål om å redusere bedragersk bruk av betalingsinstrumenter. Alle KLM-tjenesteleverandører påkrevd å behandle bankkortopplysninger må overholde PCI DSS-standarden. Vi streber etter å kjempe mot identitetstyveri på Internett. Av denne grunn bruker vi, for eksempel, et instrument for å oppdage bedragerske betalinger designet for å beskytte deg i tilfelle tap aller tyveri av ditt bankkort. ii. Organisatoriske tiltak: vi har implementert og opprettholder diverse organisatoriske tiltak ment for å styrke bevisstheten og ansvarligheten hos våre ansatte. Vi har programmer på plass designet både for å sikre bevissthet og for å fremme deling av gode praksiser og sikkerhetsstandarder. I denne sammenhengen har en omfattende samling av dokumenter med informasjon om sikkerhetsutfordringer og personvernbeskyttelse blitt gjort tilgjengelig for våre ansatte. iii. Tekniske tiltak: vi kontrollerer strengt fysisk og logisk tilgang til interne servere som er vert for eller behandler dine personopplysninger. Vi beskytter nettverket vårt med topp-moderne maskinvareinstrumenter (Firewall, IDS, DLP osv.) så vel som arkitekturer (inkludert sikkerhetsprotokoller som TLS 1.2) for å være i stand til å forhindre og begrense risikoen for cyberkriminalitet. (C) Utviklingen av våre sikkerhetssystemer For å være i stand til å opprettholde et passende sikkerhetsnivå, har vi interne prosesser på plass basert på de beste standardene (spesifikt, ISO 27000-familien av standarder). Vi lener oss på dedikerte eksperter for å garantere beste mulig beskyttelsesnivå. Med hensyn til dette, opprettholder vi et priviligert forhold med NCSC (National Cyber Security Centre).
(D) Hvordan beskytte deg selv Sikkerheten og konfidensialiteten av dine personopplysninger avhenger av alles beste praksis. Når du gjør en reservasjon, vil du bli sendt fil-referanser. Disse bestillingsreferansene må forbli konfidensielle til enhver tid. Å avsløre dem for andre passasjerer kan gi dem mulighet til å få tilgang til din bestillingsinformasjon gjennom våre systemer eller tredjepartssystemer involvert i levering av din reise (f.eks. reisebyrået eller online søke- og bestillingssider). Hvis du reiser sammen med andre og ikke vil at dine personopplysninger skal formidles til dem, anbefaler vi at du gjør adskilte reservasjoner. Vi råder deg til å ikke formidle passordene du bruker for å få tilgang til våre tjenester til tredjeparter, å logge ut av profilen din og din sosiale konto systematisk (spesielt dersom du har koblede kontoer), og å lukke nettleservinduet på slutten av økten din, spesielt dersom du får tilgang til Internett fra en offentlig datamaskin. Dette vil forhindre andre fra å få tilgang til dine personopplysninger. For å unngå risikoen for hacking, anbefaler vi at du bruker forskjellige passord for hver nettbaserte tjeneste du bruker. Vi kan ikke holdes ansvarlige for tyveri av dine opplysninger på en plattform som ikke administreres av oss. I tillegg anbefaler vi sterkt at du ikke distribuerer til tredjeparter dokumenter utstedt av KLM som inneholder dine personopplysninger (boardingkortet ditt, billettnummeret, osv.) eller annen informasjon relatert til reisen din, eller å publisere disse på sosiale nettverk. Hvis du bestemmer deg for å publisere disse dokumentene på sosiale medier, er du ansvarlig for å konsultere og forstå de generelle betingelsene for bruk, praksis for informasjonssikkerhet og retningslinjer for personvern gjeldende for disse tredjeparts sosiale nettverkene. Vi kan ikke holdes ansvarlige for hvordan opplysninger behandles, lagres eller formidles på disse plattformene. For å finne ut mer om våre IT-sikkerhetstiltak, vennligst konsulter vår IT-sikkerhetsportal. (E) Håndtering av sikkerhetshendelser Det finnes ikke noe som heter ‘nullrisiko’ og selv om vi implementerer alle sikkerhetstiltakene anerkjent som passende, kan uforutsette ting skje. Vi har spesifikke prosedyrer og ressurser på plass for å håndtere sikkerhetshendelser under beste mulige omstendigheter. Vi har også satt opp en spesifikk prosedyre for å vurdere mulige brudd på sikkerhet som kan lede til utilsiktet eller ulovlig ødeleggelse, tap, endring, uautorisert formidling av eller tilgang til dine personopplysninger, for å varsle den kompetente overordnede myndigheten innen perioden gitt av gjeldende lov og for å advare deg når et brudd sannsynligvis vil resultere i en høy risiko for dine rettigheter og friheter. Tester utføres periodisk for å verifisere funksjonaliteten av sikkerhetsinstallasjonene og tilstrekkeligheten av prosedyrene og instrumentene benyttet. 6.2. Oppbevaring
Vi beholder ikke dine personopplysninger lenger enn nødvendig. Hvor lenge dine personopplysninger oppbevares avhenger av formålene opplysningene blir behandlet for og de gjeldende lovbestemte oppbevaringsperiodene.
7. Internasjonal overføring av opplysninger
8. Dine rettigheter
9. Hvordan retningslinjene for personvern oppdateres
9.1. Disse retningslinjene for personvern trådte i kraft 20. august 2020 og erstattet våre forrige retningslinjer for personvern av 20. september 2019. Disse retningslinjene for personvern blir endret fra tid til annen. Vi vil varsle deg om endringer før de trer i kraft.