English | Dansk
AMERICAN EXPRESS – EU'S BINDENDE VIRKSOMHEDSREGLER
Table of Contents
- INDLEDNING
- VIRKSOMHEDSREGLERNES BINDENDE KARAKTER
- ANVENDELSESOMRÅDET FOR VORES BINDENDE VIRKSOMHEDSREGLER/a>
- HVORDAN BESKYTTER AMERICAN EXPRESS DINE PERSONOPLYSNINGER?
- AMERICAN EXPRESS' NETVÆRK AF DATABESKYTTELSESANSVARLIGE
- UNDERVISNING OG BEVIDSTGØRELSE
- KONTROL OG REVISION
- OVERHOLDELSE, HÅNDHÆVELSE OG ANSVAR
- HVORDAN KAN MAN INDGIVE EN KLAGE OG HÅNDHÆVE EU'S BINDENDE VIRKSOMHEDSREGLER?
- FORPLIGTELSE TIL AT SAMARBEJDE MED TILSYNSMYNDIGHEDER
- HVORDAN HÅNDTERER VI POTENTIELLE LOVVALGSKONFLIKTER?
- OPDATERINGER TIL EU'S BINDENDE VIRKSOMHEDSREGLER
BILAG 2 – PLACERING AF AMERICAN EXPRESS-ENHEDER, DER ER OMFATTET AF BINDENDE VIRKSOMHEDSREGLER
1.1. Oversigt
American Express er glad for din tillid og respekterer dit privatliv.
Databeskyttelse og informationssikkerhed har længe været høje prioriteter for vores virksomhed. Som en multinational virksomhed er vi forpligtet til at beskytte personoplysninger, uanset hvor de anvendes, og alle personoplysninger, som American Express indsamler, håndteres i overensstemmelse med vores principper for databeskyttelse og privatlivets fred.
I 2012 var American Express en af de første virksomheder, der offentliggjorde bindende virksomhedsregler, som er godkendt af det britiske datatilsyn. I dag udgør disse virksomhedsregler fortsat grundlaget for vores stærke forpligtelse til at opretholde databeskyttelse og fremme en solid compliancekultur i hele vores virksomhed.
Blandt andet regulerer vores bindende virksomhedsregler de internationale overførsler af personoplysninger i de American Express-enheder, der er omfattet af bindende virksomhedsregler, i overensstemmelse med gældende databeskyttelseslovgivning, og sikrer, at dine personoplysninger altid er tilstrækkeligt beskyttede, uanset hvortil de overføres.
1.2. Nem adgang til virksomhedsreglerne
Vores virksomhedsregler er tilgængelige på American Express' hjemmesider i Europa. Du kan også anmode om at få udleveret en udgave af vores virksomhedsregler i et andet format ved at kontakte vores databeskyttelsesansvarlige på den adresse, der er anført nedenfor, din lokale American Express-enhed, som er ansvarlig for dine personoplysninger. Bemærk at den øverste tilsynsmyndighed, der fører tilsyn med vores virksomhedsregler, er Agencia Española de Protección de Datos (AEPD).
Vores virksomhedsregler er juridisk bindende for American Express-enheder, der er omfattet af bindende virksomhedsregler, og deres medarbejdere på baggrund af en koncernaftale mellem American Express Company og American Express Europe, S.A. (AEESA), juridisk repræsentant for American Express i EØS.
Hver enkelt American Express-enhed, der er omfattet af bindende virksomhedsregler, og deres medarbejdere må alene behandle personoplysninger i overensstemmelse med disse bindende virksomhedsregler. Medarbejdere, som overtræder disse bindende virksomhedsregler, kan blive pålagt disciplinære foranstaltninger.
3.1. Geografisk omfang
Vores bindende virksomhedsregler finder anvendelse for al behandling af personoplysninger med forbehold for gældende databeskyttelseslovgivning. Det omfatter personoplysninger fra en registreret, som bliver eller har været behandlet i forbindelse med aktiviteter udført af en American Express-enhed, der er omfattet af bindende virksomhedsregler, som er beliggende i EØS, selv såfremt behandlingen foretages af en American Express-enhed, der er omfattet af bindende virksomhedsregler, som er beliggende uden for EØS.
3.2. Materielt omfang
I sin egenskab som dataansvarlig behandler American Express personoplysninger om tidligere, nuværende og potentielle medarbejdere, bestyrelses- og direktionsmedlemmer, kontraktsparter, individuelle konsulenter, midlertidigt ansatte, som er ansat hos American Express på enten fuld tid, deltid, permanent eller midlertidigt, samt pensionerede medarbejdere ("medarbejdere") og personoplysninger om tidligere, nuværende og potentielle American Express-kunder, samt fysiske personer, der arbejder hos virksomhedskunder, leverandører og partnere til American Express ("kunder").
De formål, til hvilke American Express behandler personoplysninger, vedrører hovedsageligt forbrugerrettede ydelser, kommercielle ydelser, handelsydelser, forsikringsydelser, rejseydelser, møder og begivenheder samt netværkstjenester og HR.
For at udføre American Express' globale aktiviteter på en effektiv måde, kan behandlingen af personoplysninger foretaget af American Express-enheder, der er omfattet af bindende virksomhedsregler, i forbindelse med de formål, der er fastlagt i disse bindende virksomhedsregler, involvere internationale overførsler af registreredes personoplysninger fra en American Express-enhed, der er omfattet af bindende virksomhedsregler, som er beliggende i EØS, til en anden American Express-enhed, der er omfattet af bindende virksomhedsregler, som er beliggende uden for EØS (herunder fra lande i EØS til USA, hvor American Express' primære servere befinder sig) og en eventuel videre overførsel af de modtagne personoplysninger til en tredjepart uden for American Express-koncernen.
For et mere omfattende overblik over American Express' behandlingsaktiviteter, se bilag 1. For at se, hvor vores American Express-enheder, der er omfattet af bindende virksomhedsregler, er beliggende, se bilag 2.
Ved behandling af dine personoplysninger er American Express-enheder, der er omfattet af bindende virksomhedsregler, forpligtet til at overholde strenge databeskyttelsesprincipper (pkt. 4.1) og til at respektere dine databeskyttelsesrettigheder (pkt. 4.2).
4.1. Databeskyttelsesprincipper
4.1.1. Gennemsigtighed og rimelighed
American Express-enheder, der er omfattet af bindende virksomhedsregler, indsamler og behandler dine personoplysninger på en gennemsigtig og rimelig måde.
Vi sørger for, at du få nem adgang til oplysningerne om vores behandlingsaktiviteter, således som det er påkrævet i henhold til den europæiske databeskyttelsesforordning (GDPR). Disse oplysninger leveres til dig på en kortfattet, gennemsigtig, forståelig og lettilgængelig måde, ved brug af klart og tydeligt sprog, og findes i de pågældende American Express databeskyttelseserklæringer, som er gældende for din relation til os. Disse meddelelser samt vilkår og betingelser kan også indeholde yderligere bestemmelser, som er relevante for behandlingen af personoplysninger i henhold til nationale love og bestemmelser.
Især når personoplysningerne indsamles hos den registrerede, afgives følgende oplysninger på de tidspunkt, hvor personoplysningerne indsamles:
- den dataansvarliges identitet og kontaktoplysninger og, hvor det er relevant, tilsvarende oplysninger om vedkommendes repræsentant.
- den databeskyttelsesansvarliges kontaktoplysninger.
- formålene med den behandling, som personoplysningerne skal bruges til, og retsgrundlaget for behandlingen.
- eventuelle modtagere eller kategorier af modtagere af personoplysninger.
- overførsler af personoplysninger til lande uden et tilstrækkeligt beskyttelsesniveau, og de passende foranstaltninger, der er iværksat for at sikre det samme beskyttelsesniveau, som er påkrævet i henhold til GDPR.
- det tidsrum, som personoplysningerne opbevares i, eller hvis det ikke er muligt, de kriterier, der anvendes til at fastlægge dette tidsrum, og eksistensen af de registreredes rettigheder i henhold til GDPR.
Når personoplysningerne ikke er indsamlet fra den registrerede, vil de tidligere oplysninger, samt kategorierne af de pågældendepersonoplysninger og den kilde, hvorfra personoplysningerne stammer, blive kommunikeret rettidigt (medmindre den registrerede allerede er bekendt med oplysningerne, hvis meddelelse af sådanne oplysninger viser sig at være umulig eller vil kræve en uforholdsmæssig stor indsats, hvis indsamling eller videregivelse er udtrykkeligt fastsat i EU-ret eller medlemsstaternes nationale ret, eller hvis personoplysningerne skal forblive fortrolige i henhold til en forpligtelse vedrørende fortrolighed, der er fastlagt i EU-ret eller medlemsstaternes nationale ret, herunder en lovbestemt forpligtelse til fortrolighed).
Vores bindende virksomhedsregler informerer dig også om du rettigheder, du har mulighed for at gøre gældende over for AEESA eller en American Express-enhed, der er omfattet af bindende virksomhedsregler, som tredjepartsbegunstiget, hvad angår behandlingen af dine personoplysninger i henhold til disse bindende virksomhedsregler ("tredjepartsbegunstigedes rettigheder”) og om metoderne til at håndhæve sådanne rettigheder (se pkt. 8). Derudover vil disse bindende virksomhedsregler give dig oplysninger om de databeskyttelsesprincipper, vi anvender, når vi behandler dine personoplysninger (som forklaret i dette pkt. 4) og oplysninger om det ansvar, American Express-enheder, der er omfattet af bindende virksomhedsregler, påtager sig i tilfælde af en overtrædelse af disse bindende virksomhedsregler (se pkt. 8).
Derudover kan du altid, ved anmodning derom, få udleveret en kopi af vores bindende virksomhedsregler. En offentlig udgave vil være tilgængelig på offentlige hjemmesider i EØS-området tilhørende American Express-enheder, der er omfattet af bindende virksomhedsregler, samt på vores intranet, hvis du er en medarbejder.
4.1.2. Lovlig behandling
Dine personoplysninger og særlige kategorier af personoplysninger indsamles og behandles på en rimelig og lovlig måde, i overensstemmelse med gældende databeskyttelseslovgivning. Retsgrundlaget for behandlingen af dine personoplysninger er beskrevet mere udførligt i de relevante American Express databeskyttelseserklæringer, som er gældende for din relation til American Express.
- Behandling af personoplysninger
Dine personoplysninger indsamles og behandles kun, i det omfang, der er hjemmel til behandlingen:
- Når du har givet dit udtrykkelige samtykke (for eksempel til at sende dig e-mailmeddelelser indeholdende annoncer, salgsfremmende foranstaltninger og tilbud på American Express-produkter og ydelser).
- Når behandlingen er nødvendig for opfyldelsen af en kontrakt, som du er part i, eller med henblik på at træffe foranstaltninger, på din anmodning, før indgåelse af en kontrakt (for eksempel for at administrere et kontraktsforhold med dig og behandle din ansøgning om et kort, en konto eller et andet produkt eller for at administrere dine eksisterende konti).
- Når behandlingen er nødvendig for at overholde en retlig forpligtelse (for eksempel til at indberette visse mistænkelige transaktioner til de kompetente myndigheder i henhold til hvidvaskningsreglerne eller som påkrævet i henhold til lovgivningen for at foretage due diligence af kunder, før deres ansøgninger godkendes).
- Når behandlingen er nødvendig af hensyn til de legitime interesser, der forfølges af en American Express-enhed, der er omfattet af bindende virksomhedsregler, eller tredjeparter (f.eks. til at levere produkter og ydelser, annoncere og markedsføre produkter og ydelser, udføre forskning og analyse samt håndtere vores bedrageri- og sikkerhedsrisici), medmindre sådanne interesser fortrænges af dine interesser eller grundlæggende rettigheder og frihedsrettigheder.
- Behandling af særlige kategorier af personoplysninger
Vi kan indsamle særlige kategorier af personoplysninger, herunder oplysninger om helbredstilstand, biometriske oplysninger, oplysninger om seksuel orientering eller race/etnisk oprindelse. Disse oplysninger indsamles og behandles med henblik på at opfylde retlige krav, til formål, der er uomgængeligt nødvendige for forvaltningen af ansættelsesforholdet, eller de afgives med udtrykkeligt samtykke, og alene hvis det er tilladt i henhold til gældende lovgivning.
Nogle gange kan du give os denne type oplysninger for at forbedre din rejse med os (for eksempel hvis du oplyser os om en særlig diæt eller dit behov for særlig assistance i forbindelse med en flyrejse).
I det begrænsede omfang, hvor der indsamles særlige kategorier af personoplysninger vil de alene blive behandlet i henhold til et af de retsgrundlag, der er anført ovenfor, og forudsat at en af betingelserne for behandling af særlige kategorier af oplysninger finder anvendelse, som f.eks. når:
du har givet dit udtrykkelige samtykke til behandlingen
- behandlingen er nødvendig for at opfylde American Express' forpligtelser og særlige rettigheder inden for ansættelsesområdet og sociallovgivningen.
- behandlingen vedrører særlige kategorier af personoplysninger, som du åbenlyst har offentliggjort.
- behandlingen er nødvendig, for at retskrav kan fastslås, gøres gældende eller forsvares.
- behandlingen er nødvendig af hensyn til væsentlige samfundsinteresser på grundlag af EU-retten eller medlemsstaternes nationale ret.
Derudover vil de American Express-enheder, der er omfattet af bindende virksomhedsregler, træffe skærpede foranstaltninger til at behandle særlige kategorier af oplysninger, således som dette er påkrævet i henhold til gældende databeskyttelseslovgivning.
4.1.3. Dataminimering, rigtighed og opbevaringsbegrænsning
De American Express-enheder, der er omfattet af de bindende virksomhedsregler, bruger passende teknologi og fastlagte medarbejder-processer til at behandle dine personoplysninger med det samme og på en korrekt måde.
Vi tager rimelige skridt til at sikre, at dine personoplysninger:
- er korrekte og ajourførte under hensyntagen til de formål, hvortil de behandles (datanøjagtighed). Urigtige personoplysninger slettes eller berigtiges snarest muligt.
- er tilstrækkelige, relevante og ikke overdrevne i forhold til de formål, hvortil personoplysningerne indsamles og behandles (dataminimering).
- ikke opbevares i et identificerbart format længere end højst nødvendigt til de formål, hvortil personoplysningerne behandles til, og alene opbevares i en længere periode med henblik på arkivering eller som det i øvrigt er tilladt eller påkrævet i overensstemmelse med gældende lovgivning, og da kun, når der træffes behørige administrative, tekniske eller organisatoriske foranstaltninger.
4.1.4. Formålsbegrænsning
American Express-enheder, der er omfattet af bindende virksomhedsregler, indsamler kun personoplysninger til specifikke og legitime formål. Vi behandler dine personoplysninger på en rimelig måde og kun til de formål, vi har fortalt dig om, til formål, der er tilladt af dig eller i henhold til gældende databeskyttelseslovgivning. Vi vil sikre, at dine personoplysninger ikke behandles yderligere på en måde, der er uforenelig med sådanne formål.
4.1.5. Datasikkerhed og fortrolighed
American Express har implementeret og forpligter sig til at opretholde et omfattende skriftligt informationssikkerhedsprogram, som er i overensstemmelse med gældende love og gældende databeskyttelseslovgivning.
American Express-enheder, der er omfattet af bindende virksomhedsregler, implementerer behørige administrative, tekniske og organisatoriske foranstaltninger til at beskytte dine personoplysninger mod hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet. Vi opbevarer dine personoplysninger fortroligt og begrænser adgangen til dine personoplysninger til dem, som specifikt har brug for denne adgang for at udføre deres forretningsaktiviteter, medmindre andet er påkrævet i henhold til lovgivning, der er gældende for os.
Sådanne foranstaltninger sikrer en grad af sikkerhed, der står mål med risikoen og tager hensyn til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for de registreredes rettigheder og frihedsrettigheder, og kan, alt efter omstændighederne, omfatte:
- pseudonymisering og kryptering af registreredes personoplysninger.
- foranstaltninger til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og –tjenester.
- foranstaltninger til rettidigt at sikre muligheden for at genoprette tilgængeligheden af og adgangen til registreredes personoplysninger i tilfælde af en fysisk eller teknisk hændelse.
- en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed.
Vi kræver også behørige administrative, tekniske og organisatoriske foranstaltninger fra de tredjeparter, der er bemyndiget af os til at behandle dine personoplysninger på vores vegne, og vi indgår kontraktlige forpligtelser med interne og eksterne databehandlere, som overholder de sikkerhedsforanstaltninger, der er påkrævet i henhold til GDPR.
Navnlig skal databehandlerens behandling være reguleret i en kontrakt, der er bindende for databehandleren i forhold til den dataansvarlige, som beskriver aftalens genstand og varigheden af behandlingen, karakteren af og formålet med behandlingen, typen af personoplysninger og kategorier af registrerede og den dataansvarliges forpligtelser og rettigheder.
Følgende forpligtelser skal også omfattes af aftalen, som skal pålægge databehandleren:
- kun at behandle personoplysningerne efter dokumenteret instruks fra den dataansvarlige eller sikre, at personer, der er bemyndiget til at behandle personoplysningerne, har forpligtet sig til fortrolighed eller er omfattet af en passende lovgivningsmæssig forpligtelse til fortrolighed.
- at træffe alle behørige tekniske og organisatoriske foranstaltninger, der er nødvendige for at sikre et acceptabelt sikkerhedsniveau.
- ikke at indgå en aftale med en anden databehandler ("underdatabehandler") uden forudgående udtrykkelig eller generel skriftlig godkendelse fra den dataansvarlige, og kun såfremt, at den pågældende underdatabehandler pålægges de samme databeskyttelsesforpligtelser, som er anført i kontrakten mellem den dataansvarlige og databehandleren.
- at hjælpe den dataansvarlige med behørige tekniske og organisatoriske foranstaltninger, når det er muligt, til opfyldelse af den dataansvarliges pligt til at reagere på registreredes anmodninger om håndhævelse af deres rettigheder.
- at hjælpe den dataansvarlige med at opfylde sine forpligtelser vedrørende behandlings-sikkerhed, brud på persondatasikkerheden og konsekvensanalyser vedrørende databeskyttelse.
- efter den dataansvarliges valg at slette eller returnere alle personoplysningerne til den dataansvarlige efter ophør med levering af de tjenester, der vedrører behandlingen, og slette eksisterende kopier, medmindre gældende lovgivning stiller krav om opbevaring af personoplysningerne.
- at stille alle oplysninger til rådighed for den dataansvarlige, der er nødvendige for at påse overholdelse af kravene i databeskyttelsesforordningens artikel 28 vedrørende databehandlere og give mulighed for og bidrage til revisioner, herunder inspektioner, der foretages af den dataansvarlige eller en anden revisor, der er bemyndiget af den dataansvarlige.
Derudover har de American Express-enheder, der er omfattet af bindende virksomhedsregler, implementeret administrative, tekniske og organisatoriske foranstaltninger til at opdage, undersøge, eskalere og afhjælpe brud på persondatasikkerheden. Den databeskyttelsesansvarlige hos American Express får uden unødig forsinkelse meddelelse om brud på persondatasikkerheden fra American Express-enheder, der er omfattet af bindende virksomhedsregler, og den databeskyttelsesansvarlige hos American Express bestemmer, hvorvidt den kompetente tilsynsmyndighed og de registrerede skal informeres i overensstemmelse med kravene i GDPR. Alle brud på persondatasikkerheden dokumenteres (herunder de faktiske omstændigheder, der vedrører brud på persondatasikkerheden, konsekvenserne og den afhjælpning, der er iværksat), og dokumentationen stiles til rådighed for tilsynsmyndigheden ved anmodning derom.
4.1.6. Videreoverførsel
Dine personoplysninger overføres til alle American Express-enheder, der er omfattet af bindende virksomhedsregler, og videre til tredjeparter, dog altid med sikring af et tilstrækkeligt beskyttelsesniveau for behandlingen af dine oplysninger som påkrævet i henhold til gældende databeskyttelseslovgivning, uanset hvortil de overføres.
Dette dataflow legitimeres via vores bindende virksomhedsregler, som giver os mulighed for at overføre personoplysninger fra EØS til American Express-enheder, der er omfattet af bindende virksomhedsregler, i lande uden for EØS.
I alle tilfælde af videre overførsel (dvs. personoplysninger, som først er blevet overført fra en American Express-enhed, der er omfattet af bindende virksomhedsregler i EØS, til en American Express-enhed, der er omfattet af bindende virksomhedsregler uden for EØS og efterfølgende til en tredjepart, som ikke er omfattet af de bindende virksomhedsregler, vil de American Express-enheder, der er omfattet af bindende virksomhedsregler, sikre, at de indgår en skriftlig aftale med disse tredjeparter indeholdende bestemmelser, der sikrer, at personoplysningerne som minimum er beskyttet i henhold til de standarder for fortrolighed og sikkerhed, der er forudsat i disse bindende virksomhedsregler, eller bruger et andet gyldigt retsgrundlag til at sikre, at overførslen er lovlig, og at der ydes tilstrækkelig sikkerhed i henhold til artikel 46 i GDPR.
4.1.7. Ansvarlighed
Alle American Express-enheder, der er omfattet af bindende virksomhedsregler, er ansvarlige for og skal dokumentere overholdelse af disse bindende virksomhedsregler. Overholdelse af disse krav omfatter:
- opretholdelsen af elektroniske fortegnelser om behandlingsaktiviteter og stille dem til rådighed for tilsynsmyndigheden ved anmodning derom, som indeholder de oplysninger, der er påkrævet i henhold til GDPR, såsom den dataansvarliges navn og adresse, formålet med behandlingen, kategorier af registrerede og kategorier af personoplysninger, modtagerne af personoplysningerne, overførslerne til lande uden for EØS, tidsfristen for sletning af kategorierne af personoplysninger og beskrivelsen af de anvendte sikkerhedsforanstaltninger).
- udarbejdelsen af konsekvensanalyser vedrørende databeskyttelse (alene relevant, når behandlingsaktiviteterne sandsynligvis vil indebære en høj risiko for registreredes rettigheder og frihedsrettigheder).
- drøftelser med de relevante tilsynsmyndigheder om nødvendigt for at dokumentere en sådan overholdelse.
Derudover skal American Express-enheder, der er omfattet af bindende virksomhedsregler, have behørige administrative, tekniske og organisatoriske foranstaltninger til at implementere databeskyttelsesprincipper og til at facilitere overholdelse af de krav, der er fastlagt med disse bindende virksomhedsregler (databeskyttelse gennem design og databeskyttelse gennem standardindstillinger).
4.2. Registreredes rettigheder
• Retten til adgang, begrænsning, indsigelse, berigtigelse, sletning, retten til at trække samtykke tilbage og retten til dataportabilitet
American Express-enheder, der er omfattet af bindende virksomhedsregler, efterkommer dine anmodninger om at håndhæve de rettigheder, du er berettiget til i henhold til GDPR. Nærmere bestemt sikrer vi, at du kan udøve din ret til at:
- få adgang til dine personoplysninger (ret til adgang).
- begrænse og/eller gøre indsigelse mod behandlingen af dine personoplysninger (ret til begrænsning af behandling og ret til at gøre indsigelse mod behandling).
- berigtige dine personoplysninger (ret til berigtigelse).
- slette dine personoplysninger (ret til sletning).
- tilbagetrække et tidligere afgivet samtykke til behandling.
- modtage dine personoplysninger i et struktureret, almindeligt anvendt og maskinlæsbart format, og anmode os om at sende sådanne oplysninger til en anden dataansvarlig (ret til dataportabilitet).
American Express-enheder, der er omfattet af bindende virksomhedsregler, er underlagt politikker for, hvordan man skal håndtere sådanne anmodninger for at sikre, at du har midlerne til at håndhæve disse rettigheder. Hvis du ønsker at håndhæve en af dine rettigheder, kan du kontakte vores databeskyttelsesansvarlige på DPO-Europe@aexp.com.
• Automatiske afgørelser
American Express-enheder, der er omfattet af bindende virksomhedsregler, sikrer, at du ikke vil blive gjort til genstand for afgørelser, som er truffet på grundlag af automatisk behandling af personoplysninger, herunder profilering, som har retsvirkning eller en tilsvarende væsentlig virkning, medmindre behandlingen er:
- nødvendig for at indgå eller opfylde en kontrakt mellem dig og American Express.
- hjemlet i lovgivning, som American Express er underlagt, og som også fastsætter passende foranstaltninger til beskyttelse af dine rettigheder og frihedsrettigheder samt legitime interesser, eller
- baseret på dit udtrykkelige samtykke til en sådan behandling.
I overensstemmelse med gældende lov implementerer vi passende foranstaltninger til at beskytte dine rettigheder og frihedsrettigheder samt legitime interesser, i det mindste retten til menneskelig indgriben, til at fremkomme med synspunkter og til at bestride afgørelsen.
Til overholdelse af disse begrænsninger kan vi gøre brug af automatiserede processer til at hjælpe os med at træffe visse afgørelser, f.eks. til at opdage og håndtere bedrageri (f.eks. til at hjælpe med at vurdere, om din konto anvendes til bedrageri eller hvidvask, eller til at opdage, om svindlere har haft adgang til din konto), eller til at behandle kortansøgninger og vurdere kredit- og sikkerhedsrisici. Disse metoder testes regelmæssigt for at sikre, at de forbliver rimelige, effektive og neutrale.
Du kan kontakte vores databeskyttelsesansvarlige på DPO-Europe@aexp.com, hvis du ønsker at gøre brug af din ret til at anmode om en manuel vurdering af visse automatiske behandlingsaktiviteter, som kan have betydning for dine juridiske eller andre kontraktlige rettigheder, eller som kan have en tilsvarende retsvirkning.
American Express har udpeget en databeskyttelsesansvarlig, der påser overholdelse af de bindende virksomhedsregler. Den databeskyttelsesansvarlige har følgende opgaver:
- informerer og rådgiver American Express-enheder og American Express-medarbejdere om deres forpligtelser i henhold til gældende databeskyttelseslovgivning.
- påser overholdelse af gældende databeskyttelseslovgivning gennem vurdering af centrale risikoindikatorer og kontroller. Den databeskyttelsesansvarlige indberetter resultaterne af disse overvågningsaktiviteter til det relevante interne ledelsesforum på øverste niveau.
- yder rådgivning i forbindelse med konsekvensanalyser vedrørende databeskyttelse og overvåger resultaterne deraf.
- samarbejder med tilsynsmyndigheder.
- fungerer som kontaktpunkt for tilsynsmyndigheder.
Den databeskyttelsesansvarlige, som er udpeget på baggrund af faglige kvalifikationer, indberetter til den øverste databeskyttelsesansvarlige hos American Express. Den databeskyttelsesansvarlige udpeges af de europæiske American Express-enheder som bestyrelsesmedlem hos AEESA, og af American Express Payments Europe SA, henholdsvis koncernens centrale udstedende og erhvervende enhed i Europa.
Udpegningen kommunikeres til tilsynsmyndighederne i de europæiske lande, hvor American Express driver virksomhed.
Den databeskyttelsesansvarlige arbejder tæt sammen med et netværk af databeskyttelsesspecialister og jurister på hvert eneste europæiske marked, som påser overholdelse af gældende databeskyttelseslovgivning i deres område. Den databeskyttelsesansvarlige understøttes i sine opgaver af den globale databeskyttelsesafdeling, der ledes af American Express' øverste databeskyttelsesansvarlige.
Alle American Express-enheder, der er omfattet af bindende virksomhedsregler, leverer behørige uddannelsesmaterialer og kurser til alle medarbejdere, og navnlig til medarbejdere, som indsamler, behandler, har permanent eller regelmæssig adgang til personoplysninger, eller som er involveret i udviklingen af værktøjer, der anvendes til behandling af personoplysninger, for at sikre, at de er bevidste om deres forpligtelser i henhold til gældende databeskyttelseslovgivning og disse bindende virksomhedsregler. Sådanne kurser er obligatoriske, og gennemførelsen deraf overvåges.
American Express har implementeret et compliance-program, som omfatter regelmæssige kontrol af overensstemmelse og revisioner af driften i American Express-enheder, der er omfattet af bindende virksomhedsregler, (udført af interne eller, om nødvendigt, eksterne revisorer) for at sikre, at de bindende virksomhedsregler og alle tilhørende politikker og procedurer overholdes og er ajourførte.
Databeskyttelsesrevisioner omfatter alle aspekter af de bindende virksomhedsregler, herunder metoder til at sikre, at der sker korrigerende foranstaltninger.
Den databeskyttelsesansvarlige kan anmode om yderligere databeskyttelsesrevisioner på eget initiativ eller ved en konkret anmodning fra en American Express-enhed, der er omfattet af bindende virksomhedsregler. American Express' interne revisionsgruppe vil, som et uafhængigt organ, vurdere disse revisionsanmodninger i henhold til deres risikovurderingsramme.
Resultaterne af disse kontroller af overensstemmelse og revisioner kommunikeres til American Express' globale databeskyttelseskontor, den databeskyttelsesansvarlige, de relevante tilsynsmyndigheder (hvis de anmoder derom) og stilles til rådighed for bestyrelsens revisionsudvalg hos American Express Company.
I tilfælde af, at der konstateres en uoverensstemmelse, skal den relevante American Express-enhed, der er omfattet af bindende virksomhedsregler, følge eventuel konkret vejledning fra den databeskyttelsesansvarlige. Hvis vejledningen ikke kan overholdes, skal den American Express-enhed, der er omfattet af bindende virksomhedsregler, dokumentere årsagen dertil.
American Express vil også samarbejde med eventuelle overensstemmelseskontroller, der udføres af en tilsynsmyndighed i en relevant jurisdiktion, hvad enten dette samarbejde indledes som svar på en klage fra en registreret eller af tilsynsmyndigheden på eget initiativ.
8.1. Ansvar påhvilende American Express-enheder, der er omfattet af bindende virksomhedsregler
Alle American Express-enheder, der er omfattet af bindende virksomhedsregler, skal overholde de bindende virksomhedsregler. Ud over de individuelle forpligtelser, der påhviler American Express-enheder, der er omfattet af bindende virksomhedsregler, påtager AEESA sig ansvar for eventuel overtrædelse af de bindende virksomhedsregler forårsaget af en American Express-enhed, der er omfattet af bindende virksomhedsregler, uden for EØS, som behandler personoplysninger i henhold til gældende databeskyttelseslovgivning. AEESA skal være berettiget til at tage de nødvendige skridt til at afhjælpe handlinger eller undladelser fra en American Express-enhed, der er omfattet af bindende virksomhedsregler, som behandler personoplysninger i strid med de bindende virksomhedsregler.
AEESA er ansvarlig for at betale godtgørelse for al materiel eller ikke-materiel skade, som registrerede måtte lide i forbindelse med overtrædelse af disse bindende virksomhedsregler. Godtgørelsen skal aftales med den databeskyttelsesansvarlige, før der gives et tilbud om afhjælpning eller betaling. Al godtgørelse betales til fuld og endelig afgørelse af den registreredes krav over for alle American Express-enheder, der er omfattet af bindende virksomhedsregler. For at undgå tvivl udstrækkes AEESA’s ansvar til at omfatte handlinger eller undladelser forårsaget af enhver American Express-enhed, der er omfattet af bindende virksomhedsregler, der ikke er beliggende i EØS, som overtræder de bindende virksomhedsregler.
Hvis en American Express-enhed, der er omfattet af bindende virksomhedsregler, (herunder når den pågældende enhed er beliggende uden for EØS) overtræder de bindende virksomhedsregler, vil de kompetente europæiske domstole have jurisdiktion i forhold til en sådan overtrædelse. I det omfang, hvor en American Express-enhed, der er omfattet af bindende virksomhedsregler, overtræder de bindende virksomhedsregler, kan registrerede, tilsynsmyndigheder og domstole i relevante jurisdiktioner håndhæve deres rettigheder og fremsætte et krav over for AEESA, på samme måde som hvis en sådan adfærd var blevet foretaget af AEESA i EØS (for yderligere oplysninger om, hvordan man indgiver en klage, se pkt. 9 nedenfor).
8.2. Tredjepartsbegunstigedes rettigheder
Hver enkelt registrerede kan som tredjepartsbegunstiget håndhæve vilkårene i følgende bestemmelser i de bindende virksomhedsregler over for AEESA eller en American Express-enhed, der er omfattet af bindende virksomhedsregler:
- databeskyttelsesprincipper (pkt. 4.1).
- gennemsigtighed og nem adgang til bindende virksomhedsregler (pkt. 1.2 og 4.1.1).
- registreredes rettigheder (pkt. 4.2).
- overholdelse, håndhævelse og ansvar (pkt. 8).
- ret til at klage via American Express' interne klagemekanisme (pkt. 9).
- ret til at indgive klage til tilsynsmyndigheden og til den kompetente europæiske domstol (pkt. 9).
- samarbejde med tilsynsmyndigheder (pkt. 10).
- lovvalgskonflikter (pkt. 11.1).
8.3. Bevisbyrde
Det påhviler AEESA at bevise, at den American Express-enhed, der er omfattet af bindende virksomhedsregler, som er beliggende uden for EØS, ikke er ansvarlig for en påstået overtrædelse af de bindende virksomhedsregler, som giver anledning til den registreredes krav om erstatning. Hvis AEESA kan bevise, at en American Express-enhed, der er omfattet af bindende virksomhedsregler, uden for EØS, ikke er ansvarlig for den hændelse, der giver anledning til skaden, kan AEESA og den pågældende enhed frigøre sig selv fra et sådant ansvar og en sådan forpligtelse.
Hvis du ønsker at indgive en klage eller gøre dine rettigheder gældende i henhold til disse bindende virksomhedsregler, opfordres du til enhver tid til at kontakte den databeskyttelsesansvarlige skriftligt ved henvendelse til AEESA’s hovedkontor hos American Express Europe SA, Avenida Partenón 12 – 14, 28042 Madrid/SPANIEN, eller pr. e-mail til DPO-Europe@aexp.com.
Vores databeskyttelsesansvarlige behandler din klage hurtigst muligt og i alle tilfælde i løbet af en måned. Når man tager højde for kompleksiteten og antallet af henvendelser, kan denne periode på én måned blive forlænget med yderligere to måneder, i hvilket tilfælde vi orienterer dig desangående.
For yderligere oplysninger om American Express' proces for håndtering af klager, og hvordan man kan indgive en klage, se vores online databeskyttelseserklæring.
Hvis sagen ikke løses til din tilfredshed, kan du også:
- indgive en klage til tilsynsmyndigheden i den medlemsstat, hvor du har dit sædvanlige opholdssted, din arbejdsplads eller der, hvor den påståede overtrædelse har fundet sted.
- indgive dit krav til en kompetent domstol i det europæiske land, hvor den pågældende American Express-enhed, der er omfattet af bindende virksomhedsregler, er etableret, eller hvor du har dit sædvanlige opholdssted, og, hvis relevant, få erstatning for det tab, du har lidt som følge af en overtrædelse af ovennævnte tredjepartsbegunstigedes rettigheder.
Alle American Express-enheder, der er omfattet af bindende virksomhedsregler, vil samarbejde med og accepterer at blive revideret af en relevant tilsynsmyndighed og vil overholde anbefalingerne fra disse tilsynsmyndigheder om forhold, der vedrører den gældende databeskyttelseslovgivning.
Hvis tilsynsmyndigheden vurderer, at en af de American Express-enheder, der er omfattet af bindende virksomhedsregler, har overtrådt de rettigheder, som registrerede tildeles i henhold til disse bindende virksomhedsregler, vil den pågældende American Express-enhed, der er omfattet af bindende virksomhedsregler, respektere tilsynsmyndighedens afgørelse, med forbehold for retten til at bestride eller anke en sådan afgørelse.
11.1. National lovgivning forhindrer overholdelse af EU's bindende virksomhedsregler
I tilfælde af, at en American Express-enhed, der er omfattet af bindende virksomhedsregler, har grund til at påberåbe en lov, der hindrer overholdelse af de bindende virksomhedsregler, eller sandsynligvis vil have en væsentlig indvirkning på de garantier, der er anført i de bindende virksomhedsregler, vil den relevante kontaktperson for denne American Express-enhed, der er omfattet af bindende virksomhedsregler, informere den databeskyttelsesansvarlige hos AEESA, medmindre dette er forbudt i henhold til gældende lovgivning. Om nødvendigt vil den databeskyttelsesansvarlige informere den kompetente tilsynsmyndighed om lovvalgskonflikten, medmindre dette er forbudt i henhold til gældende lovgivning.
Hvis en American Express-enhed, der er omfattet af bindende virksomhedsregler, modtager en anmodning om personoplysninger fra et retshåndhævelsesorgan eller et statsligt sikkerhedsorgan, vil den databeskyttelsesansvarlige informere den kompetente tilsynsmyndighed om anmodningen (herunder de oplysninger, der anmodes om, hvilket organ, der anmoder om oplysningerne, og retsgrundlaget for videregivelsen).Hvis den midlertidige udelukkelse og/eller meddelelsen til den kompetente tilsynsmyndighed i særlige tilfælde er forbudt i henhold til gældende lov, vil American Express gøre sine bedste bestræbelser på at give afkald på dette forbud for hurtigt at kommunikere så mange oplysninger som muligt til den kompetente tilsynsmyndighed og være i stand til at dokumentere, at man har gjort det.
Hvis den pågældende American Express-enhed, der er omfattet af bindende virksomhedsregler, i ovenstående tilfælde ikke i stand til at orientere den kompetente tilsynsmyndighed, vil den årligt give generelle oplysninger om de anmodninger, enheden har modtaget, til den kompetente tilsynsmyndighed (såsom antal anmodninger om videregivelse, typen af de personoplysninger, der anmodes om, evt. navn på den anmodende part, osv.). Under alle omstændigheder vil overførsler af personoplysninger fra en American Express-enhed, der er omfattet af bindende virksomhedsregler, til en offentlig myndighed, ikke være massive, uforholdsmæssige og vilkårlige. Denne begrænsning skal finde anvendelse for enhver juridisk bindende anmodning om videregivelse af personoplysninger fra en retshåndhævende myndighed eller et statsligt sikkerhedsorgan.
11.2. Forholdet mellem nationale love og EU's bindende virksomhedsregler
I de tilfælde, hvor den gældende databeskyttelseslovgivning kræver et højere niveau af beskyttelse af personoplysninger, skal sådanne databeskyttelseslove have forrang frem for disse bindende virksomhedsregler.
Vi kan opdatere vilkårene i vores bindende virksomhedsregler, f.eks. for at tage højde for ændringer af lovgivningen eller virksomhedsstrukturen. Vi forpligter os til at indberette væsentlige ændringer af vores bindende virksomhedsregler uden unødig forsinkelse til alle American Express-enheder, der er omfattet af bindende virksomhedsregler, og til AEPD. Alle ændringer af de bindende virksomhedsregler eller af oversigten over American Express-enheder, der er omfattet af bindende virksomhedsregler, indberettes en gang årligt til de relevante tilsynsmyndigheder via de kompetente tilsynsmyndigheder med en kort redegørelse for årsagerne til opdateringen. Hvis en ændring potentielt kan påvirke det beskyttelsesniveau, der tilbydes af disse bindende virksomhedsregler, eller væsentligt berører disse bindende virksomhedsregler, vil det straks blive kommunikeret til de relevante tilsynsmyndigheder via den kompetente tilsynsmyndighed.
American Express har udpeget et team, der opretholder en fuldt opdateret oversigt over de American Express-enheder, der er omfattet af bindende virksomhedsregler, og holder styr på og registrerer eventuelle opdateringer af reglerne og leverer de nødvendige oplysninger til de registrerede eller tilsynsmyndighederne ved anmodning derom. Derudover vil de American Express-enheder, der er omfattet af bindende virksomhedsregler, ikke foretage nogen overførsel til en ny American Express-enhed, der er omfattet af bindende virksomhedsregler, førend denne nye enhed er omfattet af disse bindende virksomhedsregler og er i stand til at efterleve dem.
- Beskrivelse af typer af og formål med behandlingsaktiviteter
American Express er en globalt integreret betalings- og rejsevirksomhed, der opererer inden for fire overordnede områder: i) betalingsydelser til kunder, ii) finansielle ydelser, iii) netværksydelser og drift, og (iv) rejser, møder og events. Vores behandlingsaktiviteter udføres i forbindelse med disse aktiviteter, som beskrevet nedenfor.
i) Betalingsydelser til kunden
American Express tilbyder en lang række betalingsydelser (såsom betalingskort og kreditkort) til enkeltpersoner, hver især med tilknyttede ydelser (såsom loyalitetsprogrammer, medlemskaber og bonusordninger samt forsikringsformidling).
- I den forbindelse behandler vi kundernes personoplysninger, hovedsageligt for at administrere og forvalte vores kontraktsforhold, administrere eventuelle fordele, forsikringer eller andre ordninger, som du er en del af, levere produkter og ydelser, foretage forskning og analyse med henblik på at forbedre vores produkter og ydelser, for bedre at forstå vores kunder og levere en mere personlig ydelse, håndtere risici forbundet med bedrageri og sikkerhed, promovere vores produkter og ydelser (på baggrund af samtykke, hvis dette er påkrævet i henhold til gældende databeskyttelseslovgivning), eller for at overholde gældende lovgivning.
American Express tilbyder også kommercielle produkter og ydelser til virksomheder (herunder betaling, udgiftsforvaltning og låneprodukter).
- I den forbindelse behandler vi kundernes personoplysninger, hovedsageligt for at administrere og forvalte vores kontraktsforhold, levere kommercielle produkter og ydelser, at gøre det muligt for kunderne at udarbejde rapporter, som kan gøre det muligt for dem at opretholde effektive indkøbspolitikker, rejsepolitikker og procedurer, at udvikle risikostyringspolitikker, modeller og procedurer, og/eller beslutte, hvordan vi administrerer kundernes konti, til at udveksle oplysninger med kontorer for bedrageribekæmpelse med henblik på at spore debitorer, inddrive gæld, forhindre svig, administrere konti eller forsikringspolicer, at træffe afgørelser om at tilbyde produkter, såsom kreditfaciliteter og tilknyttede ydelser, eller for at overholde gældende lovgivning.
iI) Finansielle ydelser
American Express driver en global virksomhed, der leverer finansielle ydelser, hvilket omfatter at indhente samtykke fra handlende til at acceptere American Express-kort og andre finansielle produkter fra deres kunder som betalingsmiddel, samt at tillade American Express at foretage behandling og gennemføre korttransaktioner for disse handlende.
Som en del af disse finansielle ydelser hjælper American Express især handlende, der accepterer American Express-kort, ved at levere analyse- og konsulentbistand med henblik på at identificere nye tendenser, muliggøre produktinnovation og ekspansion samt opnå en forbedret markedsføring ved en mere effektiv brug af American Express' datainfrastruktur. De behandlingsaktiviteter, der udføres til disse formål, skaber uidentificerede eller aggregerede databaser med oplysninger, hvor det er relevant.
- I den forbindelse behandler vi personoplysninger, hovedsageligt for at administrere og forvalte vores kontraktsforhold med handlende, udveksle oplysninger med kreditvurderingsbureauer for at forhindre bedrageri eller spore debitorer, eller med henblik på identitetskontrol, for at udvikle vores produkter og/eller, på baggrund af samtykke, hvor dette er påkrævet i henhold til gældende databeskyttelseslovgivning, for at tilbyde produkter og ydelser, eller for at overholde gældende lovgivning, herunder vedrørende bekæmpelse af hvidvask og terror.
iii) Netværksydelser og drift
American Express-netværket autentificerer, clearer og berigtiger korttransaktioner og leverer markedsføringsprogrammer og kapaciteter, tjenester og dataanalyser via flere kanaler. Virksomheden administrerer og udvikler pålideligheden og sikkerheden af American Express' betalingsnetværk samt behandlingskapaciteter for at muliggøre handel overalt i verden. Derudover administrerer American Express-netværket en række kapaciteter, der muliggør betalinger på nye måder eller via nye kanaler, samtidig med, at man implementerer politikker, der er gældende for de mange parter, der bruger netværket.
- I den forbindelse behandler vi personoplysninger, hovedsageligt for at administrere transaktioner for American Express' kunder med handlende, der tilbyder American Express. Behandlingsaktiviteter omfatter skridt til at forhindre bedrageri og overholde gældende lovgivning, herunder love til bekæmpelse af hvidvask og terror.
iv) Rejser, møder og events
American Express er en af verdens største rejsebureauvirksomheder og foretager årligt millioner af rejsereservationer for forbrugere og individuelle medarbejdere hos virksomheder og i særlige tilfælde deres rejsefæller, som måtte ønske at rejse et hvilket som helst sted hen i verden.
American Express Global Business Travel (GBT) leverer også rejseadministration til virksomhedskunder og hjælper kunder med at arrangere møder og events på globalt plan. Detaljer om GBTs behandlingsaktiviteter kan findes her- https://privacy.amexgbt.com/.
American Express leverer også rejseydelser til individuelle forbrugere, men hovedsageligt dem, der er indehavere af et kort, som er en del af American Express-brandet.
- I den forbindelse behandler vi kunders personoplysninger, hovedsageligt for at administrere den forretningsmæssige relation, for at levere ydelser, udføre forskning og analyse med henblik på at forbedre vores produkter og ydelser, for bedre at forstå vores kunder og levere en mere personlig ydelse, for at promovere vores produkter og ydelser (på baggrund af samtykke, hvis dette er påkrævet i henhold til gældende databeskyttelseslovgivning) eller for at overholde gældende lovgivning.
v) HR
American Express-enheder, der er omfattet af bindende virksomhedsregler, behandler også medarbejderes personoplysninger, hovedsageligt med henblik på at administrere og forvalte ansættelsesforholdet med medarbejdere hos American Express (f.eks. til- eller fratrædelser, baggrundstjek, registrering af arbejdsindsats, administration af stillingsindhold eller andre personalemæssige forhold i forbindelse med administrationen af medarbejdere) og til at overholde interne politikker og gældende lovgivning.
- Beskrivelse af typer af personoplysninger
De typer af personoplysninger, der behandles, er beskrevet i de forskellige American Express databeskyttelseserklæringer, der er gældende for de registreredes relation til American Express og generelt kan beskrives som følger:
i) Kunders personoplysninger
Kunders personoplysninger kan omfatte personoplysninger (såsom navn, adresse og øvrige kontaktoplysninger), oplysninger vedrørende købte og anvendte produkter og ydelser, oplysninger om kreditværdighed, onlineaktivitet, herunder f.eks. oplysninger, vi indsamler, når kunder tilgår vores online kontotjenester, eller via cookies og lignende teknologier, oplysninger vedrørende livsstil og sociale forhold osv. For at levere ydelser, der knytter sig til rejser, møder og events, er det nødvendigt for American Express at behandle personoplysninger vedrørende den rejsende, herunder oplysninger om nationalitet, pasoplysninger, køn, fødselsdato, lokation og rejsepræferencer (under et kaldet "kunders personoplysninger").
I visse tilfælde kan kunders personoplysninger omfatte særlige kategorier af personoplysninger, såsom biometriske oplysninger til sikkerhedsmæssige formål (såsom stemmegenkendelse) eller, ved rejserelaterede ydelser, oplysninger om eventuelle handicaps, som kan påvirke evnen til at rejse.
ii) Medarbejderes personoplysninger
Medarbejderes personoplysninger omfatter ofte f.eks. personlige oplysninger (såsom navn, adresse, fødselsdato, telefonnummer), familiemæssige oplysninger, oplysninger om livsstil og sociale forhold, anvendte produkter og ydelser, oplysninger om onlineaktivitet, kreditværdighed, eventuelle offentlige embeder, indvandrerstatus og uddannelses- og beskæftigelseshistorik samt øvrige ansættelsesrelaterede oplysninger, såsom arbejdsindsats eller talentudpegninger samt oplysninger om aflønning og bonus (under et kaldet "medarbejderes personoplysninger").
I visse tilfælde, og såfremt det er tilladt i henhold til national lovgivning, kan medarbejderes personoplysninger omfatte særlige kategorier af personoplysninger, herunder oplysninger om race og etnisk oprindelse,, seksuel orientering, oplysninger om medarbejderes helbred, oplysninger om sundhed og trivsel på arbejdspladsen, biometriske data, overvågning af lige muligheder, oplysninger om fagforeninger og samarbejdsudvalg.
De American Express-enheder, der er omfattet af bindende virksomhedsregler, er beliggende i følgende lande:
- Argentina
- Østrig
- Australien
- Belgien
- Canada
- Kina
- Colombia
- Tjekkiet
- Danmark
- Finland
- Frankrig
- Tyskland
- Grækenland
- Hongkong
- Ungarn
- Indien
- Irland
- Italien
- Japan
- Jersey
- Malaysia
- Mexico
- Holland
- Norge
- Filippinerne
- Polen
- Rusland
- Singapore
- Slovakiet
- Spanien
- Sverige
- Schweiz
- Taiwan
- Thailand
- Det Forenede Kongerige
- USA
"AEESA" – betyder American Express Europe, S.A., beliggende på adressen Avenida Partenón 12 -14, Madrid, 28042, Spanien. AEESA er American Express' europæiske enhed, som har påtaget sig ansvaret for at sikre, at personoplysninger behandles i overensstemmelse med de bindende virksomhedsregler. AEESA er medunderskriver af koncernaftalen.
"American Express Company" – betyder American Express Company, der er beliggende på adressen World Financial Center, 200 Vesey St., New York, NY 10285 USA. American Express Company er medunderskriver af koncernaftalen.
"American Express-enhed, der er omfattet af bindende virksomhedsregler" eller "American Express-enheder, der er omfattet af bindende virksomhedsregler", eller "vi" eller "os" – betyder den/de American Express-enhed(er), der er omfattet af de bindende virksomhedsregler.
"American Express databeskyttelseserklæringer" – betyder databeskyttelseserklæringen for kortmedlemmer (for kortmedlememr), onlinedatabeskyttelseserklæringen (for kunder og besøgende på hjemmesiden), onlinedatabeskyttelseserklæringen i forbindelse med rekruttering (for potentielle medarbejdere), eller databeskyttelseserklæringen for medarbejdere (for aktuelle medarbejdere), samt øvrige meddelelser, vilkår og betingelser (som f.eks. for handlende og virksomhedskunder), der er gældende for den registreredes tilknytning til American Express, således som disse til enhver tid måtte blive ændret.
"Behandling" eller "behandle" eller "behandlingsaktiviteter" – betyder enhver aktivitet eller række af aktiviteter, som personoplysninger eller en samling af personoplysninger, med eller uden brug af automatisk behandling, gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse.
"Dataansvarlig" – betyder en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre, fastlægger formålene med og hjælpemidlerne til behandlingen af personoplysninger.
"Databehandler" – betyder en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, som behandler personoplysninger på vegne af eller under instruks fra databehandleren.
"Databrud" eller "brud på persondatasikkerheden" – betyder et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.
"EØS" – betyder Det Europæiske Økonomiske Samarbejdsområde, som omfatter alle EU-lande samt Island, Liechtenstein og Norge.
"Gældende databeskyttelseslovgivning" – betyder GDPR (og den nationale gennemførelseslovgivning), e-data-direktivet 2002/58/EF (og den nationale gennemførelseslovgivning) samt alle øvrige databeskyttelseslove og -regler, der er gældende i EØS (således som de alle til enhver tid måtte blive ændret og erstattet).
"GDPR" – betyder EU's generelle databeskyttelsesforordning 2016/679.
"Koncernaftale" – betyder den koncernaftale, der binder American Express-enheder, der er omfattet af bindende virksomhedsregler, til de bindende virksomhedsregler.
"Konsekvensanalyse vedrørende databeskyttelse" – betyder en vurdering af indvirkningen af en påtænkt behandling i forhold til beskyttelsen af personoplysninger, der udføres, hvor behandlingen sandsynligvis vil medføre en høj risiko for registreredes rettigheder og frihedsrettigheder.
"Overførsel"– betyder enhver form for overførsel af personoplysninger fra én virksomhed i EØS til en anden, eller videre overførsel, som i andre henseender ville være begrænset af GDPR. En overførsel sker via kommunikation, kopi eller fremlæggelse af personoplysninger via et netværk, herunder fjernadgang til en database eller overførsel fra et medie til et andet.
"Personoplysninger" – betyder enhver form for oplysninger om en identificeret eller identificerbar fysisk person (den registrerede), der falder ind under anvendelsesområdet for disse bindende virksomhedsregler.
"Profilering" – betyder automatisk behandling af personoplysninger, der har til formål at analysere, evaluere bestemte personlige forhold vedrørende en fysisk person (såsom vedkommendes arbejdsindsats, kreditværdighed, pålidelighed, adfærd) eller at komme med forudsigelser om dem.
"Registrerede", "dig" eller ”du” – betyder en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet inden for anvendelsesområdet for disse bindende virksomhedsregler.
"Særlige kategorier af personoplysninger" – betyder alle former for personoplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold, genetiske data eller biometriske data, der behandles med det formål entydigt at identificere en fysisk persons seksuelle forhold eller seksuelle orientering.
"Tilsynsmyndighed" – betyder en uafhængig offentlig myndighed, der er etableret i en medlemsstat i henhold til artikel 51 i GDPR.
"Samtykke" – betyder enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i behandling af deres personoplysninger.
AMERICAN EXPRESS
Copyright © 2024 American Express Company