English | Finnish
AMERICAN EXPRESSIN SITOVAT
YRITYSSÄÄNNÖT EUROOPAN UNIONISSA (EU BCR-SÄÄNNÖT)
Table of Contents
- JOHDANTO
- BCR-SÄÄNTÖJEN SITOVUUS
- BCR-SÄÄNTÖJEMME LAAJUUS
- MITEN AMERICAN EXPRESS SUOJAA HENKILÖTIETOJA?
- AMERICAN EXPRESS DPO -VERKOSTO
- KOULUTUS JA TIETOISUUS
- VALVONTA JA TARKASTUS
- NOUDATTAMINEN, TÄYTÄNTÖÖNPANO JA VASTUU
- VALITUKSEN TEKEMINEN JA EU BCR-SÄÄNTÖJEN TÄYTÄNTÖÖNPANO
- YHTEISTYÖVELVOLLISUUS VALVONTAVIRANOMAISTEN KANSSA
- MITEN KÄSITTELEMME LAKIEN RISTIRIIDAT?
- EU BCR-sääntöjen päivitykset
BCR-SÄÄNTÖJEN SOVELTAMISALAAN LIITTYVIEN HENKILÖTIETOJEN SIIRTOJEN LUONNE JA TARKOITUS
AMERICAN EXPRESS BCR -YHTIÖIDEN SIJAINNIT
1.1. Yleistä
American Express arvostaa luottamustasi ja kunnioittaa yksityisyyttäsi.
Tietosuoja ja yksityisyydensuoja ovat pitkäaikaisia prioriteetteja yrityksellemme. Monikansallisena organisaationa olemme sitoutuneet suojaamaan henkilötietoja riippumatta siitä, missä niitä käytetään, ja kaikkia American Expressin keräämiä henkilötietoja käsitellään tietosuoja- ja yksityisyydensuojaperiaatteidemme mukaisesti.
American Express oli yksi ensimmäisistä yrityksistä, joka julkaisi Ison-Britannian tietosuojaviranomaisen hyväksymät sitovat yrityssäännöt (Binding Corporate Rules, BCR) vuonna 2012. Nykyään nämä BCR-säännöt luovat edelleen puitteet vahvaan sitoutumiseemme yksityisyydensuojaan ja edistävät kestävää vaatimustenmukaisuuden kulttuuria koko yrityksessämme.
BCR-sääntömme hallitsevat muun muassa kansainvälisiä henkilötietojen siirtoja American Express BCR -yksiköissä sovellettavan tietosuojalainsäädännön mukaisesti ja ne varmistavat, että henkilötietosi ovat aina riittävän suojattuja siirtopaikasta riippumatta.
1.2. BCR-sääntöjen saatavuus
BCR-sääntömme ovat saatavilla American Expressin verkkosivustoilla kaikkialla Euroopassa. Sinä voit myös pyytää kopion BCR-säännöistämme
vaihtoehtoisessa muodossa tietosuojavastaavaltamme (DPO) alla olevaan osoitteeseen tai paikallisesta American Express -yksiköstä, joka on vastuussa henkilötiedoistasi. Huomaa, että pääasiallinen BRC-sääntöjämme valvova johtava valvontaviranomainen on Agencia Española de Protección de Datos (AEPD).
BCR-sääntömme sitovat American Express BCR -yhtiöitä ja niiden työntekijöitä oikeudellisesti American Express Companyn ja American Expressin ETA-alueen laillisen edustajan American Express Europe, S.A:n (AEESA) välisellä konsernin sisäisellä sopimuksella.
Kaikki American Express BCR -yhtiöt ja niiden työntekijät voivat käsitellä henkilötietoja vain näiden BCR-sääntöjen mukaisesti. Näitä sääntöjä rikkoviin työntekijöihin voidaan kohdistaa kurinpitotoimia.
3.1. Maantieteellinen soveltamisala
BCR-sääntömme koskevat kaikkea henkilötietojen käsittelyä, johon sovelletaan sovellettavaa tietosuojalainsäädäntöä. Tämä tarkoittaa rekisteröidyn henkilötietoja, joita käsitellään tai on käsitelty ETA-alueelle sijoittautuneen American Express BCR -yhtiön toiminnan yhteydessä, vaikka käsittelyn olisi suorittanut ETA-alueen ulkopuolinen American Express BCR -yhtiö.
3.2. Aineellinen soveltamisala
Rekisterinpitäjänä American Express käsittelee entisten, nykyisten ja tulevien työntekijöiden, johtajien, urakoitsijoiden, yksittäisten konsulttien, sopimustyöntekijöiden, jotka ovat American Expressin palveluksessa joko kokopäiväisesti, osa-aikaisesti, pysyvästi tai väliaikaisesti, sekä eläkeläisten henkilötietoja (”Työntekijät”) ja American Expressin entisten, nykyisten ja mahdollisten kuluttajien sekä American Expressin yritysasiakkailla, toimittajilla ja yhteistyökumppaneilla työskentelevien luonnollisten henkilöiden (”asiakkaiden”) henkilötietoja.
Tarkoitukset, joihin American Express käsittelee henkilötietoja, liittyvät lähinnä kuluttaja-, kauppa-, kauppias-, vakuutus-, matka-, kokous- ja tapahtumapalveluihin, ja verkkopalveluihin sekä henkilöresursseihin.
American Expressin maailmanlaajuisen toiminnan tehokas suorittaminen voi johtaa American Expressin BCR -yhtiöiden suorittamaan henkilötietojen käsittelyyn näissä BCR-säännöissä määriteltyihin tarkoituksiin liittyen rekisteröityjen henkilötietojen kansainvälisiin siirtoihin mistä tahansa ETA-alueen maan American Express BCR -yhtiöstä johonkin toiseen American Express BCR -yritykseen ETA-alueen ulkopuolella (mukaan lukien ETA-maista Yhdysvaltoihin, joissa American Expressin pääpalvelimet sijaitsevat), ja vastaanotettujen henkilötietojen edelleen siirto mille tahansa muulle kolmannelle osapuolelle American Express -konsernissa.
Liitteessä 1 on kattavampi kuvaus American Expressin käsittelytoiminnoista. Liitteestä 2 näet, missä American Express BCR -yhtiömme
sijaitsevat.
Kun ne käsittelevät henkilötietojasi American Express BCR -yhtiöt ovat sitoutuneet noudattamaan vahvoja tietosuojaperiaatteita (luku 4.1) ja kunnioittamaan tietosuojaoikeuksiasi (luku 4.2).
4.1. Tietosuojaperiaatteet
4.1.1. Avoimuus ja oikeudenmukaisuus
American Express BCR -yhtiöt keräävät ja käsittelevät henkilötietojasi avoimella tavalla ja oikeudenmukaisin keinoin.
Me varmistamme, että sinulle tarjotaan helppo pääsy tietojemme käsittelytoimia koskeviin tietoihin yleisen tietosuoja-asetuksen (GDPR) edellyttämällä tavalla. Nämä tiedot toimitetaan sinulle ytimekkäässä, läpinäkyvässä, ymmärrettävässä ja helposti saatavissa olevassa muodossa käyttäen selkeää ja yksinkertaista kieltä, ja ne ovat saatavilla asiaankuuluvissa American Express -tietosuojalausekkeissa, joita sovelletaan suhteessasi meihin. Nämä ilmoitukset ja ehdot voivat sisältää myös muita säännöksiä, jotka ovat merkityksellisiä henkilötietojen käsittelylle sovellettavan kansallisen lainsäädännön tai säädösten mukaisesti.
Erityisesti kun henkilötietoja kerätään rekisteröidyltä, seuraavat tiedot annetaan henkilötietojen keräämisen hetkellä:
- rekisterinpitäjän ja tarvittaessa edustajan henkilöllisyys ja yhteystiedot;
- tietosuojavastaavan yhteystiedot;
- käsittelyn tarkoitukset, joihin henkilötietoja kerätään, ja käsittelyn oikeudellinen peruste;
- henkilötietojen vastaanottajat tai vastaanottajaryhmät, jos sellaisia on;
- Tiedot henkilötietojen siirtämisestä maihin, joissa ei ole riittävää tietosuojaa ja asianmukaiset suojatoimet, joilla varmistetaan sama suojaustaso kuin GDPR edellyttää;
- ajanjakso, jona henkilötietoja säilytetään, tai jos se ei ole mahdollista, kyseisen ajanjakson määrittämiseen käytetyt perusteet; ja tiedot GDPR asetuksissa ilmoitettujen rekisteröityjen oikeuksien olemassaolosta.
Jos henkilötietoja ei ole kerätty rekisteröidyltä, edelliset tiedot, asianomaiset henkilötietoryhmät ja lähde, josta henkilötiedot ovat peräisin, ilmoitetaan ajoissa (ellei rekisteröidyllä jo ole tietoja, tällaisten tietojen toimittaminen osoittautuu mahdottomaksi tai edellyttäisi suhteettomia ponnisteluja, hankkimisesta tai luovuttamisesta määrätään nimenomaisesti unionin tai jäsenvaltion lainsäädännössä tai jos henkilötietojen on pysyttävä luottamuksellisina unionin tai jäsenvaltion lainsäädännössä säännellyn salassapitovelvollisuuden mukaisesti, mukaan lukien lakisääteinen salassapitovelvollisuus).
BCR-säännöissämme ilmoitamme sinulle myös oikeuksista, joita sinulla on oikeus panna täytäntöön AEESA-yhtiötä tai mitä tahansa American Express BCR -yhtiötä vastaan kolmannen osapuolen edunsaajana henkilötietojesi käsittelyssä näiden BCR-sääntöjen mukaisesti (”kolmannen osapuolen edunsaajan oikeudet”) ja koskee tällaisten oikeuksien käyttämistä (katso luku 8). Lisäksi nämä BCR-säännöt sisältävät sinulle tietoja tietosuojaperiaatteista, joita me käytämme käsitellessämme henkilötietojasi (kuten tässä luvussa 4 selitetään), ja tiedot vastuista, joita American Express BCR -yhtiöllä on näiden BCR-sääntöjen mahdollisen rikkomisen yhteydessä (katso luku 8).
Lisäksi sinä voit aina saada pyynnöstä kopion BCR-säännöistämme. Julkinen versio on saatavilla American Express BCR -yritysten julkisilla verkkosivustoilla ETA-alueella sekä intranetissämme, jos sinä olet työntekijämme.
4.1.2 Käsittelyn lainmukaisuus
Sinun henkilötietosi ja erityiset henkilötietoryhmät kerätään ja niitä käsitellään oikeudenmukaisesti ja laillisesti sovellettavan tietosuojalainsäädännön mukaisesti. Sinun henkilötietojesi käsittelyn lailliset perusteet on kuvattu tarkemmin asiaankuuluvissa American Expressin tietosuojalausekkeissa, joita sovelletaan suhteeseesi American Expressiin.
- Henkilötietojen käsittely
Sinun henkilötietojasi kerätään ja niitä käsitellään vain, jos käsittelylle on laillinen peruste:
- kun sinä olet antanut siihen nimenomaisen suostumuksesi (esimerkiksi lähettääksemme sinulle sähköpostiviestejä, jotka sisältävät American Express -tuotteiden ja-palvelujen mainoksia, esitteitä ja tarjouksia);
- kun käsittely on välttämätöntä sellaisen sopimuksen toteuttamiseksi, jonka osapuolena sinä olet, tai jotta voimme ryhtyä toimiin pyynnöstäsi ennen sopimuksen tekemistä (esimerkiksi hallinnoida sopimussuhdettamme sinuun ja käsitellä korttihakemustasi, tiliä tai muuta tuotetta tai nykyisten tiliesi
hallintaa);
- kun käsittely on välttämätöntä lakisääteisen velvoitteen noudattamiseksi (esimerkiksi ilmoittaaksemme tietyistä epäilyttävistä liiketoimista toimivaltaisille viranomaisille rahanpesun torjuntaa koskevien sääntöjen mukaisesti tai tunnistaaksemme lain edellyttämällä tavalla asiakkaamme ennen heidän hakemustensa hyväksymistä); tai
- kun käsittely on välttämätöntä American Express BCRs -yhtiön oikeutettujen etujen tai kolmansien osapuolien kannalta (esimerkiksi tuotteiden ja palvelujen toimittamiseksi, tuotteiden ja palveluiden mainostamiseksi ja markkinoimiseksi, tutkimuksen ja analyysin suorittamiseksi ja petoksien ja turvallisuusriskien hallintaan), paitsi jos etusi tai perusoikeutesi ja -vapautesi syrjäyttävät tällaiset edut.
- Erityisten tietoryhmien käsittely
Me voimme kerätä erityisiä henkilötietoryhmiä, mukaan lukien tiedot, jotka liittyvät terveyteen, biometrisiin tietoihin, seksuaaliseen suuntautumiseen tai rotuun / etniseen alkuperään. Nämä tiedot kerätään ja käsitellään lakisääteisten vaatimusten täyttämiseksi tarkoituksiin, jotka ovat välttämättömiä työsuhteen hallinnoimiseksi tai joille on annettu nimenomainen suostumus, ja vain, jos sovellettava laki sen sallii.
Joissakin tapauksissa sinä saatat antaa meille tämäntyyppisiä tietoja matkasi parantamiseksi meidän kanssamme (esimerkiksi jos sinä ilmoitat meille
erityisistä ruokavalion vaatimuksista tai erityisavun tarpeestasi lennon aikana).
Erityisiä henkilötietoryhmiä kerätään rajallisessa määrin ja niitä käsitellään vain jollakin edellä mainituista laillisista perusteista ja edellyttäen, että jokin erityisten tietoryhmien käsittelyn ehdoista on voimassa, kuten esimerkiksi kun:
Sinä olet antanut nimenomaisen suostumuksesi käsittelyyn;
- käsittely on välttämätöntä American Expressin velvoitteiden ja erityisten oikeuksien toteuttamiseksi työllisyyden, sosiaaliturvan ja sosiaaliturvalainsäädännön alalla;
- käsittely liittyy erityisiin henkilötietoryhmiin, jotka sinä olet selvästi julkistanut;
- käsittely on välttämätöntä oikeudellisten vaatimusten esittämiseksi, käyttämiseksi tai puolustamiseksi;
- käsittely on välttämätöntä merkittävän yleisen edun vuoksi Euroopan unionin tai jäsenvaltion lainsäädännön perusteella.
Lisäksi American Express BCR -yhtiöt ryhtyvät vahvistettuihin toimenpiteisiin erityisten henkilötietoryhmien käsittelemiseksi sovellettavan tietosuojalainsäädännön mukaisesti.
4.1.3. Tietojen minimointi, paikkansapitävyys ja tallennuksen rajoittaminen
American Express BCR -yhtiöt käyttävät asianmukaista tekniikkaa ja vakiintuneita työntekijöiden käytäntöjä henkilötietojesi käsittelyyn nopeasti ja tarkasti.
Me suoritamme kohtuulliset toimenpiteet varmistaaksemme, että henkilötietosi ovat:
- Tarkkoja ja niitä pidetään ajan tasalla ottaen huomioon tarkoitukset, joita varten niitä käsitellään (tietojen paikkansapitävyys). Virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä;
- Riittäviä, asiaankuuluvia eikä kohtuuttomia suhteessa siihen tarkoitukseen, jota varten henkilötietoja kerätään ja niitä käsitellään (tietojen minimointi);
- Ei tallenneta tunnistettavassa muodossa kauemmin kuin on tarpeen henkilötietojen käsittelyn tarkoituksiin, ja säilytetään pidempään vain arkistointitarkoituksissa tai kuten ne muuten sallitaan tai vaaditaan säilyttämään sovellettavan lain (lakien) mukaisesti, ja vasta sitten, kun asianmukaiset hallinnolliset, tekniset ja organisatoriset toimenpiteet toteutetaan.
4.1.4. Käyttötarkoitussidonnaisuus
American Express BCR -yhtiöt keräävät henkilötietoja vain tiettyihin ja laillisiin tarkoituksiin. Me käsittelemme henkilötietojasi oikeudenmukaisesti ja vain niihin tarkoituksiin, jotka me olemme ilmoittaneet sinulle sinun tai sovellettavan tietosuojalainsäädännön sallimiin tarkoituksiin. Me varmistamme, että henkilötietojasi ei käsitellä edelleen tavalla, joka on ristiriidassa tällaisten tarkoitusten kanssa.
4.1.5. Tietoturva ja luottamuksellisuus
American Express on toteuttanut kattavan kirjallisen tietoturvaohjelman, joka noudattaa sovellettavia lakeja ja sovellettavaa tietosuojalainsäädäntöä, ja sitoutuu ylläpitämään sitä.
American Express BCR -yhtiöt toteuttavat asianmukaiset hallinnolliset, tekniset ja organisatoriset toimenpiteet henkilötietojesi suojaamiseksi vahingossa tapahtuvalta tai laittomalta tuhoamiselta, katoamiselta, muuttamiselta, luvattomalta paljastamiselta tai siirretyn, tallennetun tai muuten käsiteltyjen henkilötietojen käytöltä. Me tallennamme henkilötietosi luottamuksellisina ja rajoitamme pääsyn henkilötietoihisi vain henkilöille, jotka tarvitsevat niitä nimenomaan liiketoiminnan harjoittamiseen, ellei meitä sovellettavassa laissa toisin vaadita.
Tällaisilla toimenpiteillä varmistetaan riskille sopiva turvallisuustaso ja otetaan huomioon tekniikan taso, täytäntöönpanokustannukset ja käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä todennäköisyydeltään ja vakavuudeltaan vaihteleva riski rekisteröityjen oikeuksien ja vapauksien suhteen , ja ne voivat tarvittaessa sisältää:
- rekisteröityjen henkilötietojen pseudonymisoinnin ja salaamisen,
- toimenpiteet käsittelyjärjestelmien ja palvelujen jatkuvan luottamuksellisuuden, eheyden, saatavuuden ja kestävyyden varmistamiseksi;
- toimenpiteet sen varmistamiseksi, että kyetään palauttamaan rekisteröityjen henkilötietojen saatavuus ja käyttö ajoissa fyysisen tai teknisen tapahtuman sattuessa; ja
- prosessi, jolla testataan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta käsittelyn turvallisuuden varmistamiseksi.
Me vaadimme myös asianmukaisia hallinnollisia, teknisiä ja organisatorisia toimenpiteitä kolmansilta osapuolilta, jotka me olemme valtuuttaneet käsittelemään henkilötietojasi puolestamme, ja me teemme sisäisten ja ulkoisten henkilö tietojen käsittelijöiden kanssa sopimuksellisia velvoitteita, jotka noudattavat yleisessä tietosuoja-asetuksessa (GDPR) esitettyjä vaatimuksia.
Henkilötietojen käsittelijän suorittamaa käsittelyä säännellään erityisesti sopimuksella, joka sitoo henkilötietojen käsittelijää suhteessa rekisterinpitäjään ja jossa määritetään käsittelyn aihe ja kesto, käsittelyn luonne ja tarkoitus, henkilötietojen tyyppi ja rekisteröityjen luokat sekä rekisterinpitäjän velvollisuudet ja oikeudet.
Sopimukset kattavat myös seuraavat velvollisuudet, joita henkilötietojen käsittelijän on noudatettava:
- käsittelee henkilötietoja vain rekisterinpitäjän antamilla kirjallisilla ohjeilla tai varmistaa, että henkilötietojen käsittelyyn valtuutetut henkilöt ovat sitoutuneet luottamuksellisuuteen tai että heillä on asianmukainen lakisääteinen salassapitovelvollisuus;
- toteuttaa kaikki tarvittavat tekniset ja organisatoriset toimenpiteet hyväksyttävän turvallisuustason takaamiseksi;
- ei saa siirtää sopimusta toiselle henkilötietojen käsittelijälle (”alikäsittelijälle”) ilman rekisterinpitäjän etukäteen antamaa erityistä tai yleistä kirjallista lupaa ja edellyttäen, että kyseiselle alikäsittelijälle asetetaan samat tietosuojavelvoitteet kuin rekisterinpitäjän ja henkilötietojen käsittelijän välillä;
- avustaa rekisterinpitäjää asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä aina kun mahdollista rekisterinpitäjän velvollisuuksien täyttämiseksi vastata rekisteröityjen pyyntöihin, jotka käyttävät oikeuksiaan;
- avustaa rekisterinpitäjää täyttämään velvoitteensa, jotka koskevat käsittelyn turvallisuutta, tietoturvaloukkauksia ja tietosuojaa koskevia vaikutustenarviointeja;
- rekisterinpitäjän valinnan mukaan poistaa tai palauttaa kaikki henkilötiedot rekisterinpitäjälle käsittelyyn liittyvien palvelujen tarjoamisen päättymisen jälkeen ja poistaa olemassa olevat kopiot, ellei sovellettava laki vaadi henkilötietojen tallentamista;
- antaa rekisterinpitäjän saataville kaikki tarvittavat tiedot, jotta voidaan osoittaa GDPR-asetusten 28 artiklassa säädettyjen henkilötietojen käsittelijöitä koskevien velvoitteiden noudattaminen, sekä sallii ja osallistuu rekisterinpitäjän tai muun rekisterinpitäjän valtuuttaman tilintarkastajan tarkastukseen.
American Express BCR -yhtiöt ovat lisäksi toteuttaneet hallinnollisia, teknisiä ja organisatorisia toimenpiteitä henkilötietojen tietoturvaloukkausten havaitsemiseksi, tutkimiseksi, eskaloimiseksi ja korjaamiseksi. American Express BCR -yhtiöt ilmoittavat American Expressin tietosuojavastaavalle (DPO) henkilötietojen tietoturvaloukkaukset ilman aiheetonta viivytystä, ja American Express DPO päättää, ilmoitetaanko asiasta toimivaltaiselle valvontaviranomaiselle ja rekisteröidyille yleisessä tietosuoja-asetuksessa (GDPR) esitettyjen vaatimusten mukaisesti. Kaikki henkilötietojen tietoturvaloukkaukset dokumentoidaan (sisältäen tosiseikat, jotka liittyvät henkilötietojen tietoturvaloukkaukseen, sen vaikutuksiin ja toteutettuihin korjaaviin toimiin), ja pyynnöstä asiakirjat toimitetaan valvontaviranomaiselle.
4.1.6. Siirrot eteenpäin
Sinun henkilötietojasi siirretään American Express BCR -yhtiöihin ja edelleen kolmansille osapuolille, varmistamalla aina tietojesi käsittelyn riittävä suojataso sovellettavan tietosuojalainsäädännön edellyttämällä tavalla riippumatta siitä, mihin niitä siirretään.
Tämä tiedonkulku on laillistettu BCR-sääntöjemme mukaisesti, mikä antaa meille mahdollisuuden siirtää henkilötietoja ETA-alueelta American Express BCR -yhtiöille, jotka sijaitsevat ETA-alueen ulkopuolella.
Kaikissa edelleen siirroissa (ts. henkilötiedot, jotka on ensin siirretty ETA-alueen American Express BCR -yhtiöltä ETA-alueen ulkopuoliselle American
Express BCR -yhtiölle ja myöhemmin siirretty kolmannelle osapuolelle, joita BCR-säännöt eivät kata), American Express BCR -yhtiöt varmistavat, että ne tekevät näiden kolmansien osapuolten kanssa kirjallisen sopimuksen, joka sisältää säännöksiä, jotka varmistavat, että henkilötiedot suojataan ainakin näiden BCR-sääntöjen mukaisella luottamuksellisuus- ja tietoturvastandardilla, tai käyttävät muuta voimassa olevaa oikeudellista menetelmää varmistaakseen, että siirto on laillista ja että ne antavat siitä riittävät takeet GDPR-asetusten 46 artiklan mukaisesti.
4.1.7. Vastuullisuus
Kaikki American Express BCR -yhtiöt ovat vastuussa näistä BCR-säännöistä ja niiden on osoitettava noudattavansa niitä. Näiden vaatimusten noudattaminen sisältää:
- sähköisten rekisterien ylläpito käsittelytoimista, jotka ovat valvontaviranomaisten saatavilla pyynnöstä ja jotka sisältävät GDPR-asetusten edellyttämät tiedot, kuten rekisterinpitäjän nimen ja yhteystiedot, käsittelyn tarkoitukset, rekisteröityjen ja henkilötietojen luokat, henkilötietojen vastaanottajat, siirrot ETA-alueen ulkopuolisiin maihin, ja henkilötietoryhmien poistamisen aikarajat ja kuvaus niihin sovelletuista tietoturvatoimista);
- tietosuojaa koskevien vaikutustenarviointien suorittaminen (sovellettavissa vain silloin, kun käsittelytoimet todennäköisesti aiheuttavat suuren riskin rekisteröidyn oikeuksille ja vapauksille), ja
- yhteydenpito asiaankuuluvien valvontaviranomaisten kanssa, kun sitä vaaditaan osoittamaan vaatimustenmukaisuus.
Lisäksi American Express BCR -yhtiöt ovat toteuttaneet asianmukaiset hallinnolliset, tekniset ja organisatoriset toimenpiteet tietosuojaperiaatteiden toteuttamiseksi ja näiden BCR-sääntöjen asettamien vaatimusten noudattamisen helpottamiseksi (tietosuoja suunnitellusti ja oletuksena).
4.2. Rekisteröityjen oikeudet
- Oikeus saada pääsy tietoihin, rajoittaminen, vastustaminen, oikaiseminen, poistaminen, oikeus peruuttaa suostumus ja tietojen siirrettävyys
American Express BCR -yhtiöt täyttävät pyyntösi käyttää GDPR-asetusten sinulle antamia oikeuksia tarvittaessa. Tarkemmin sanottuna me varmistamme, että sinä voit käyttää oikeuttasi:
- saat pääsyn henkilötietoihisi (oikeus saada pääsy tietoihin);
- rajoittaa ja/tai vastustaa henkilötietojesi käsittelyä (oikeus käsittelyn rajoittamiseen ja oikeus vastustaa käsittelyä);
- oikaista henkilötietojasi (oikeus oikaisemiseen);
- poistaa henkilötietosi (oikeus poistamiseen);
- peruuttaa aiemmin annetun suostumuksen käsittelyyn, ja
- vastaanottaa henkilötietosi jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa ja/tai siirtää tällaiset tiedot toiselle rekisterinpitäjälle (oikeus siirtää tiedot järjestelmästä toiseen).
American Express BCR -yhtiöihin sovelletaan käytäntöjä tällaisten pyyntöjen käsittelemiseksi, joilla varmistetaan, että sinulla on keinot käyttää näitä oikeuksia. Jos sinä haluat käyttää oikeuksiasi, sinä voit ottaa yhteyttä tietosuojavastaavaamme osoitteessa DPO-Europe@aexp.com.
- Automatisoitu päätöksenteko
American Express BCR -yhtiöt varmistavat, että sinua koskevia päätöksiä henkilötietojen käsittelyssä ei tehdä ainoastaan automaattisesti, mukaan lukien profilointi, joilla on oikeudellisia tai vastaavia merkittäviä vaikutuksia, ellei käsittely ole:
- välttämätöntä sinun ja American Expressin välisen sopimuksen tekemiseksi tai suorittamiseksi;
- hyväksytty laissa, jonka alainen American Expressin on ja jossa määritetään sopivat toimenpiteet sinun oikeuksien, vapauksien ja oikeutettujen etujen turvaamiseksi, tai
- perustuu nimenomaiseen suostumukseesi tällaiseen käsittelyyn.
Sovellettavan lain (lakien) mukaisesti me toteutamme sopivia toimenpiteitä turvataksemme oikeutesi, vapautesi ja oikeutetut edut, vähintään oikeutesi vaatia ihmisen osallistumista, esittää kantasi ja riitauttaa päätös.
Näiden rajoitusten mukaisesti me voimme käyttää automatisoituja prosesseja auttamaan meitä tekemään tiettyjä päätöksiä, esimerkiksi petosten havaitsemiseksi ja hallitsemiseksi (esimerkiksi auttaaksemme päättämään, käytetäänkö tiliäsi petoksiin tai rahanpesutarkoituksiin, tai havaitsemaan, ovatko rikolliset päässeet käsiksi tiliisi); tai käsitellä korttihakemuksia ja arvioida luotto- ja turvallisuusriskejä. Näitä menetelmiä testataan säännöllisesti sen varmistamiseksi, että ne pysyvät oikeudenmukaisina, tehokkaina ja puolueettomina.
Sinä voit ottaa yhteyttä tietosuojavastaavaan osoitteessa DPO-Europe@aexp.com käyttääksesi oikeuttasi pyytää manuaalinen tarkastus tietyistä automatisoiduista käsittelytoimista, jotka voivat vaikuttaa laillisiin tai muihin sopimukseen perustuviin oikeuksiisi tai joilla voi olla vastaava oikeudellinen vaikutus.
American Express on nimittänyt tietosuojavastaavan, joka valvoo BCR-sääntöjen noudattamista. Tietosuojavastaavalla on seuraavat tehtävät:
- ilmoittaa ja neuvoo American Express -yhteisöjä ja American Expressin työntekijöitä heihin sovellettavan tietosuojalainsäädännön mukaisista velvoitteistaan;
- valvoo sovellettavan tietosuojalainsäädännön noudattamista arvioimalla keskeiset riski-indikaattorit ja valvontatoimet. Tietosuojavastaava raportoi näiden seurantatoimien tulokset asianomaiselle sisäiselle ylemmän tason hallintofoorumille;
- antaa neuvoja tietosuojaa koskevien vaikutustenarviointien yhteydessä ja seuraa niiden toimintaa;
- tekee yhteistyötä valvontaviranomaisten kanssa; ja
- toimii valvontaviranomaisten yhteyshenkilönä.
Ammatillisten ominaisuuksien perusteella nimitetty tietosuojavastaava raportoi American Expressin tietosuojajohtajalle. Eurooppalaiset American Express -yhtiöt nimittävät tietosuojavastaavan (DPO) AEESA:n ja American Express Payments Europe SA:n hallituksen jäseneksi, jotka ovat ryhmän ensisijaiset liikkeeseenlaskijat ja hankintayksiköt Euroopassa.
Nimitys ilmoitetaan niiden Euroopan maiden valvontaviranomaisille, joihin American Express on sijoittunut.
Tietosuojavastaava tekee tiivistä yhteistyötä kullakin Euroopan markkinoilla sijaitsevien yksityisyyden suojaan erikoistuneiden asiantuntijoiden ja vaatimustenmukaisuuden lakimiesten kanssa, jotka seuraavat alueellaan sovellettavien tietosuojalakien noudattamista. Tietosuojavastaavaa tukee tehtävissään Global Privacy Office, jota johtaa American Expressin tietosuojajohtaja.
Kaikki American Express BCR -yhtiöt tarjoavat asianmukaisia koulutusmateriaaleja ja kursseja kaikille työntekijöilleen ja erityisesti työntekijöille, jotka keräävät, käsittelevät, joilla on pysyvä tai säännöllinen käyttöoikeus henkilötietoihin tai jotka osallistuvat henkilötietojen käsittelyyn käytettävien työkalujen kehittämiseen varmistamaan, että he ovat tietoisia sovellettavan tietosuojalainsäädännön ja näiden BCR-sääntöjen mukaisista velvoitteistaan. Tällaiset kurssit ovat pakollisia, ja niiden suorittamista seurataan.
American Express on toteuttanut vaatimustenmukaisuusohjelman, jossa määritetään säännölliset American Express BCR -yhtiöiden toiminnan vaatimustenmukaisuuden tarkastukset ja auditoinnit (sisäisten tai tarvittaessa ulkopuolisten tilintarkastajien toimesta) sen varmistamiseksi, että BCR-sääntöjä ja kaikkia niihin liittyviä käytäntöjä ja menettelyjä noudatetaan ja että ne ovat ajan tasalla.
Tietosuojatarkastukset kattavat kaikki BCR-kohdat, mukaan lukien menetelmät korjaavien toimenpiteiden toteuttamisen varmistamiseksi.
Tietosuojavastaava voi suorittaa ylimääräisiä tietosuojatarkastuksia omasta aloitteestaan tai American Express BCR -yhtiön erityisestä pyynnöstä. American Expressin sisäinen tarkastusryhmä arvioi riippumattomana valvontaelimenä näiden tarkastuspyyntöjen mahdollisuutta riskinarviointikehyksensä mukaisesti.
Näiden vaatimustenmukaisuustarkastusten tulokset ilmoitetaan American Expressin globaalille tietosuojatoimistolle, tietosuojavastaavalle, asianomaisille valvontaviranomaisille (pyydettäessä) ja ne viedään American Express Companyn hallituksen tarkastusvaliokunnan saataville.
Jos vaatimustenmukaisuusvajetta havaitaan, asianomaisen American Express BCR -yhtiön on noudatettava tietosuojavastaavan erityisiä ohjeita. Jos ohjeita ei voida noudattaa, American Express BCR -yhtiön on annettava asiaan kirjallinen perustelu.
American Express toimii myös yhteistyössä kaikkien valvontaviranomaisten kanssa sovellettavalla lainkäyttöalueella näiden suorittamissa vaatimustenmukaisuustarkastuksissa riippumatta siitä, aloitetaanko ne rekisteröidyn valituksesta vai valvontaviranomaisen omasta aloitteesta
8.1. American Express BCR -yhtiöiden vastuu
American Express BCR -yhtiöt ovat vastuussa BCR-sääntöjen noudattamisesta. American Express BCR -yhtiöitä koskevien omien vastuiden lisäksi AEESA ottaa vastuun American Express BCR -yhtiön BCR-rikkomuksista ETA-alueen ulkopuolella kun se käsittelee henkilötietoja sovellettavan tietosuojalainsäädännön mukaisesti. AEESA:lla on oikeus ryhtyä tarvittaviin toimiin sellaisen American Express BCR -yhtiön toiminnan tai laiminlyönnin korjaamiseksi, joka käsittelee henkilötietoja BCR-sääntöjen vastaisesti.
AEESA on velvollinen maksamaan korvauksen kaikista aineellisista tai aineettomista vahingoista, jotka rekisteröidyt kärsivät liittyen BCR-sääntöjen rikkomiseen. Tietosuojavastaavan on hyväksyttävä korvaus ennen hyvitystarjouksen tai maksun suorittamista. Kaikki maksetut korvaukset tyydyttävät rekisteröidyn vaatimuksen kaikkia American Express BCR -yhtiöitjä kohtaan. Epäselvyyksien välttämiseksi AEESA:n vastuu kattaa myös minkä tahansa American Express BCR -yhtiön toiminnan tai laiminlyönnin, joka ei sijaitse ETA-alueella ja joka rikkoo BCR-sääntöjä.
Jos American Express BCRs -yhtiö (myös silloin kun kyseinen yksikkö sijaitsee ETA-alueen ulkopuolella) rikkoo BCR-sääntöjä, toimivaltaisilla eurooppalaisilla tuomioistuimilla on toimivalta tällaisen rikkomuksen suhteen. Siltä osin kuin American Express BCR -yhtiö rikkoo BCR-sääntöjä, rekisteröidyt, valvontaviranomaiset ja soveltuvien lainkäyttöalueiden tuomioistuimet voivat käyttää oikeuksiaan ja nostaa kanteen AEESA:a vastaan ikään kuin AEESA olisi toiminut ETA-alueella (katso lisätietoja valituksen tekemisestä alla olevasta luvusta 9).
8.2. Kolmannen osapuolen edunsaajan oikeudet
Jokainen rekisteröity voi panna täytäntöön AEESA:a tai mitä tahansa American Express BCR -yhtiötä vastaan seuraavat BCR-säännösten ehdot kolmannen osapuolen edunsaajana:
- tietosuojaperiaatteet (luku 4.1)
- avoimuus ja helppo pääsy BCR-sääntöihin (luvut 1.2 ja 4.1.1)
- Rekisteröityjen oikeudet (luku 4.2);
- noudattaminen, täytäntöönpano ja vastuu (luku 8)
- Oikeus tehdä valitus American Expressin sisäisen valitusmekanismin kautta (luku 9);
- oikeus tehdä valitus valvontaviranomaiselle ja toimivaltaiselle eurooppalaiselle tuomioistuimelle (luku 9);
- yhteistyö valvontaviranomaisten kanssa (luku 10), ja
- lakien välinen ristiriita (luku 11.1).
8.3. Todistustaakka
AEESA:lla on todistustaakka osoittamaan, että ETA-alueen ulkopuolella sijaitseva American Express BCR -yhtiö ei ole vastuussa mistään väitetystä BCR-sääntöjen rikkomisesta, joka on aiheuttanut rekisteröidyn vahingonkorvausvaatimuksen. Jos AEESA pystyy osoittamaan, että ETA-alueen ulkopuolinen American Express BCR -yhtiö ei ole vastuussa vahingon aiheuttaneesta tapahtumasta, AEESA ja kyseinen yritys voivat vapauttaa itsensä tällaisesta vastuusta.
Jos sinä haluat tehdä valituksen tai vaatimuksen ja käyttää oikeuksiasi näihin BCR-sääntöihin liittyen, sinua kehotetaan ottamaan yhteyttä tietosuojavastaavaan milloin tahansa kirjallisesti AEESA:n pääkonttorissa American Express Europe SA:ssa, osoitteessa Avenida Partenón 12-14, 28042 Madrid, ESPANJA tai sähköpostitse osoitteeseen DPO-Europe@aexp.com.
Tietosuojavastaava käsittelee valituksesi ilman aiheetonta viivytystä ja joka tapauksessa kuukauden kuluessa. Kun otetaan huomioon pyyntöjen monimutkaisuus ja lukumäärä, kyseistä yhden kuukauden määräaikaa voidaan pidentää enintään kahdella kuukaudella, jolloin me ilmoitamme siitä sinulle asianmukaisesti.
Lisätietoja American Expressin valitusten käsittelyprosessista ja valituksen jättämisestä on tietosuojalausekkeessamme verkossa.
Jos ongelmaa ei ole ratkaistu tyydyttävällä tavalla, sinä voit myös:
- tehdä valituksen sen jäsenvaltion valvontaviranomaiselle, jossa on vakinainen asuinpaikkasi, työpaikkasi tai väitetyn rikkomuksen paikka;
- tehdä vaatimus sen maan toimivaltaiselle tuomioistuimelle, johon asianomainen American Express BCR -yhtiö on sijoittunut tai jossa sinulla on vakinainen asuinpaikka, ja saada tarvittaessa korvaus vahingoista, jotka sinä olet kärsinyt edellä mainittujen kolmannen osapuolen edunsaajan oikeuksien rikkomuksen seurauksena.
Kaikki American Express BCR -yhtiöt tekevät yhteistyötä kaikkien asiaankuuluvien valvontaviranomaisten kanssa ja hyväksyvät niiden suorittaman tarkastuksen ja noudattavat kyseisten valvontaviranomaiasten neuvoja kaikissa sovellettavaa tietosuojalainsäädäntöä koskevissa kysymyksissä.
Jos valvontaviranomainen toteaa, että jokin American Express BCR -yhtiöistä on rikkonut mitään näiden sääntöjen nojalla rekisteröidyille tarjottuja oikeuksia, kyseinen American Express BCR -yhtiö noudattaa valvontaviranomaisen selvityksiä, mutta niillä on oikeus riitauttaa tai valittaa kyseisestä selvityksestä.
11.1. Kansallinen lainsäädäntö, joka estää EU BCR-sääntöjen noudattamisen
Jos American Express BCR -yhtiöllä on syytä uskoa, että sen noudattama laki estää BCR-sääntöjen noudattamisen tai sillä todennäköisesti on merkittävä vaikutus BCR-säännöissä asetettuihin takuihin, tämän American Express BCR -yhtiön asianmukainen yhteyshenkilö ilmoittaa asiasta tietosuojavastaavalle AEESA:ssa, ellei sovellettavat lait sitä kiellä. Tarvittaessa tietosuojavastaava ilmoittaa lainvalinnasta toimivaltaiselle valvontaviranomaiselle, paitsi sovellettavien lakien kieltämässä laajuudessa.
Jos American Express BCR -yhtiö vastaanottaa lainvalvontaviranomaisen tai valtion turvallisuuselimen henkilötietopyynnön, tietosuojavastaava ilmoittaa pyynnöstä toimivaltaiselle valvontaviranomaiselle (mukaan lukien tiedot pyydetyistä tiedoista, pyynnön esittävästä elimestä ja tietojen luovuttamisen oikeudellisesta perusteesta). Jos sovellettavat lait kieltävät erityistapauksissa keskeyttämisen ja/tai ilmoittamisen toimivaltaiselle valvontaviranomaiselle, American Express pyrkii kaikin tavoin ohittamaan kyseisen kiellon ja toimittaa mahdollisimman paljon tietoja toimivaltaiselle valvontaviranomaiselle ja pyrkii osoittamaan, että se teki niin.
Jos American Express BCR -yhtiö ei edellä mainituissa tapauksissa kohtuullisista ponnisteluistaan huolimatta kykene ilmoittamaan asiasta toimivaltaiselle valvontaviranomaiselle, se antaa vuosittain toimivaltaiselle valvontaviranomaiselle yleisiä tietoja saamistaan pyynnöistä (kuten tietojen luovuttamista koskevien hakemusten lukumäärä, pyydettyjen henkilötietojen tyyppi, pyynnön esittäjän nimi, jos mahdollista, jne.).
Missään tapauksessa American Express BCR -yhtiön suorittama henkilötietojen siirtäminen mille tahansa viranomaiselle ei ole massiivista, suhteetonta ja valikoimatonta. Tätä rajoitusta sovelletaan kaikkiin lainvalvontaviranomaisen tai valtion turvallisuuselimen esittämiin oikeudellisesti sitoviin henkilötietojen luovuttamista koskeviin pyyntöihin.
11.2. Kansallisten lakien ja EU BCR-sääntöjen suhde
Jos sovellettava tietosuojalainsäädäntö edellyttää henkilötietojen korkeamman tason suojaa, kyseiset tietosuojalait ovat etusijalla näihin BCR-sääntöihin nähden
Me voimme päivittää BCR-sääntöjen ehtoja esimerkiksi ottamaan huomioon sääntely-ympäristön tai yrityksen rakenteen muutoksia. Me sitoudumme ilmoittamaan olennaisista muutoksista BCR-sääntöihimme viipymättä kaikille American Express BCR -yhtiöille ja AEPD. Mahdolliset muutokset BCR-sääntöihin tai American Express BCR -yhtiöiden luetteloon ilmoitetaan kerran vuodessa asianomaisille valvontaviranomaisille toimivaltaisten valvontaviranomaisten välityksellä ja lyhyt selitys päivityksen perusteluista. Jos muutos voi vaikuttaa mahdollisesti näiden BCR-sääntöjen tarjoamaan suojaustasoon tai merkittävästi näihin BCR-sääntöihin, se ilmoitetaan viipymättä asianomaisille valvontaviranomaisille toimivaltaisen valvontaviranomaisen välityksellä.
American Express on perustanut ryhmän, joka pitää täysin päivitettyä luetteloa American Express BCR -yhtöistä, seuraa ja tallentaa sääntöjen päivitykset ja toimittaa tarvittavat tiedot rekisteröidyille tai valvontaviranomaisille pyynnöstä. American Express BCR -yhtiöt eivät myöskään tee mitään siirtoja uudelle American Express BCR -yhtiölle, ennen kuin nämä uudet yhtiöt ovat tosiasiallisesti sidottuja näihin BCR-sääntöihin ja pystyvät osoittamaan niiden noudattamisen.
- Käsittelytoimintojen tyypit ja tarkoitukset
American Express on maailmanlaajuisesti integroitu maksu- ja matkailuyritys, joka toimii pääasiassa neljällä segmentillä: i) asiakkaan maksupalvelut, ii) liikepalvelut, iii) verkkopalvelut ja -operaatiot ja (iv) matka-, kokous- ja tapahtumapalvelut. Käsittelytoimintomme suoritetaan näiden toimintojen yhteydessä alla kuvatulla tavalla.
i) Asiakkaan maksupalvelut
American Express tarjoaa laajan valikoiman maksupalveluja (kuten maksu- ja luottokortteja) yksityishenkilöille, joista jokaisella on siihen liittyviä palveluja (kuten kanta-asiakasohjelmat, jäsen- ja palkitsemisjärjestelmät sekä vakuutusedustus).
->Tätä varten me käsittelemme asiakkaiden henkilötietoja pääasiassa sopimussuhteen hoitamiseksi ja palvelemiseksi; hallitaksemme etuja, vakuutuksia tai muita ohjelmia, joihin sinä olet ilmoittautunut, toimittaaksemme tuotteita ja palveluita, tehdäksemme tutkimusta ja analyyseja tuotteidemme ja palvelujemme parantamiseksi; ymmärtääksemme paremmin asiakkaitamme ja tarjotaksemme henkilökohtaisempaa palvelua; petosten ja turvallisuusriskien hallitsemiseksi; tuotteidemme ja palvelujemme mainostamiseksi (edellyttäen suostumusta, jos sovellettava tietosuojalainsäädäntö sitä vaatii); tai noudattaaksemme sovellettavaa lakia
American Express tarjoaa myös kaupallisia tuotteita ja palveluja yrityksille (mukaan lukien yritysmaksut, kulujenhallintapalvelut ja lainatuotteet).
-> Tätä varten me käsittelemme asiakkaiden henkilötietoja pääasiassa sopimussuhteen hoitamiseksi ja palvelemiseksi; toimittaaksemme kaupallisia tuotteita ja palveluja; antaaksemme asiakkaille mahdollisuus laatia raportteja, joiden avulla he voivat ylläpitää tehokkaita hankintakäytäntöjä, matkakäytäntöjä ja menettelyjä; kehittää riskienhallintakäytäntöjä, -malleja ja -menettelyjä ja/tai tehdä päätöksiä siitä, miten me hoidamme asiakkaiden tilejä; vaihtaaksemme tietoja petosten torjunnasta vastaavien viranomaisten kanssavelallisten jäljittämiseksi, perimään takaisin velat, estämään petokset, hallinnoimaan tilejä tai vakuutuksia; tehdäksemme päätöksiä tuotteiden, kuten luottojen ja niihin liittyvien palvelujen, tarjoamisesta; tai noudattaaksemme sovellettavaa lakia.
ii) Liikepalvelut
American Express harjoittaa maailmanlaajuista kauppiaspalveluliiketoimintaa, johon kuuluu sopimusten solmiminen kauppiaiden kanssa American Express -korttien ja muiden rahoitustuotteiden hyväksymisestä heidän asiakkailtaan maksuvälineenä sekä American Expressin salliminen suorittaa korttitapahtumien käsittely ja selvitys kyseisille kauppiaille.
Osana tätä kauppiaspalveluliiketoimintaa American Express auttaa erityisesti American Express -kortteja hyväksyviä kauppiaita tarjoamalla analyyttistä ja konsultointiosaamista uusien suuntausten tunnistamiseksi, tuoteinnovaatioiden mahdollistamiseksi sekä markkinoinnin laajentamiseksi ja parantamiseksi American Expressin tietoinfrastruktuurin tehokkaamman käytön avulla. Näitä tarkoituksia varten suoritetut käsittelytoiminnot luovat tunnistamattomia tai yhteen koottuja tietokantoja tarvittaessa.
-> Tätä tarkoitusta varten me käsittelemme henkilötietoja pääasiassa hoitamaan ja palvelemaan kauppiassuhteitamme; vaihtaaksemme tietoja luottotietovirastojen kanssa petosten estämiseksi tai velallisten jäljittämiseksi tai henkilöllisyyden todentamiseksi; kehittääksemme tuotteitamme ja/tai suostumuksen mukaisesti tarjotaksemme tuotteita ja palveluita, jos sovellettava tietosuojalainsäädäntö sen sallii; tai noudattaaksemme sovellettavaa lakia, mukaan lukien rahanpesun ja terrorismin vastaiset lait.
iii) Verkkopalvelut ja toiminnot
American Express -verkko todentaa, hyväksyy ja selvittää korttitapahtumat ja tarjoaa monikanavaiset markkinointiohjelmat ja -ominaisuudet, palvelut ja data-analyysin. Se hallinnoi ja kehittää American Expressin maksuverkon luotettavuutta, tietoturvaa ja käsittelyominaisuuksia mahdollistamaan kaupankäynnin kaikkialla maailmassa. Lisäksi American Express -verkko hallitsee useita ominaisuuksia, jotka mahdollistavat maksamisen uusissa muodoissa tai kanavissa, samalla kun se toteuttaa käytäntöjä hallitsemaan monia verkon kanssa toimivia osapuolia.
-> Tätä varten me käsittelemme henkilötietoja pääasiassa American Expressin asiakkaiden kanssa tapahtuvien tapahtumien hoitamiseksi American Express korttien hyväksyvien kauppiaiden kanssa. Käsittelytoimiin sisältyy toimia petosten estämiseksi ja sovellettavan lain (lakien), mukaan lukien rahanpesun ja terrorismin vastaisten lakien, noudattamiseksi.
iv) Matka-, kokous- ja tapahtumapalvelut
American Express on yksi maailman suurimmista matkatoimistoyrityksistä, ja se tekee vuosittain miljoonia matkavarauksia kuluttajille ja yritysasiakkaiden yksittäisille työntekijöille sekä poikkeuksellisesti heidän matkakumppaneilleen, jotka haluavat matkustaa mihin tahansa päin maailmaa.
American Express Global Business Travel (GBT) tarjoaa myös matkanhallinnan asiantuntemusta yritysasiakkaille ja auttaa asiakkaita järjestämään kokouksia ja tapahtumia maailmanlaajuisesti. Yksityiskohdat GBT:n käsittelytoimista löytyvät täältä- https://privacy.amexgbt.com/.
American Express tarjoaa myös kuluttajamatkailupalveluja yksittäisille kuluttajille, mutta pääasiassa niille, jotka ovat American Express -kortin haltijoita.
-> Tätä varten me käsittelemme asiakkaiden henkilötietoja pääasiassa kaupallisen suhteen hoitamiseksi; tarjotaksemme palveluja, tehdäksemme
tutkimusta ja analyyseja tuotteidemme ja palvelujemme parantamiseksi; ymmärtääksemme paremmin asiakkaitamme ja tarjotaksemme henkilökohtaisempaa palvelua; tuotteidemme ja palvelujemme mainostamiseksi (edellyttäen suostumusta, jos sovellettava tietosuojalainsäädäntö sitä vaatii); tai noudattaaksemme sovellettavaa lakia.
v) Henkilöstöhallinto
American Express BCR -yhtiöt käsittelevät myös työntekijöiden henkilötietoja lähinnä American Expressin työntekijöiden työsuhteen hoitamiseksi ja täyttämiseksi (esimerkiksi nimitykset tai irtisanomiset, taustatarkastukset, suorituksen hallinta, työnhallinta tai muu henkilöstöhallinto) työntekijöiden suhteista); ja noudattaaksemme sisäisiä käytäntöjä ja sovellettavaa lakia.
- Henkilötietotyyppien kuvaus
Käsiteltyjen henkilötietojen tyypit on kuvattu erilaisissa American Express -tietosuojalausekkeissa, joita sovelletaan rekisteröityjen suhteisiin American Expressiin, ja ne voidaan yleensä kuvata seuraavasti:
i) Asiakkaiden henkilötiedot
Asiakkaiden henkilötiedot voivat sisältää henkilötietoja (kuten nimi, osoite ja muut yhteystiedot), tietoja käytettyihin ja ostettuihin tuotteisiin ja palveluihin; luottokelpoisuus; toiminta verkossa, mukaan lukien esimerkiksi tiedot, joita me keräämme, kun asiakas käyttää tilipalveluitamme verkossa evästeiden ja vastaavien tekniikoiden kautta; elämäntapaan ja sosiaalisiin olosuhteisiin liittyvät tiedot; jne. Matkailuun, kokouksiin ja tapahtumiin liittyvien palvelujen suorittamiseksi American Expressin on käsiteltävä matkustajaa koskevia henkilötietoja, mukaan lukien kansalaisuus, passi, sukupuoli, syntymäaika, sijainti ja matkustusasetukset (yhdessä ”Asiakkaiden henkilötiedot”).
Joissakin tapauksissa asiakkaiden henkilötiedot voivat sisältää erityisiä tietoryhmiä, kuten biometrisiä tietoja turvallisuussyistä (esim.ääni ID) tai matkoihin liittyvien palveluiden yhteydessä tietoja mahdollisista vammoista, jotka voivat vaikuttaa matkustuskykyyn.
ii) Työntekijöiden henkilötiedot
Työntekijöiden henkilötiedot sisältävät usein esimerkiksi henkilötietoja (kuten nimi, osoite, syntymäaika, puhelinnumero), perhetietoja, elämäntapaan ja sosiaalisiin olosuhteisiin liittyviä tietoja; käytetyt tuotteet ja palvelut; toiminta verkossa; luottokelpoisuus; pidetty julkinen virka; maahanmuuttostatus; koulutus- ja työllisyyshistoria sekä muut työhön liittyvät tiedot, kuten suoritus- tai lahjakkuusmääritykset sekä korvaus- ja etuustiedot (yhdessä ”työntekijöiden henkilötiedot”).
Joissakin tapauksissa ja jos kansalliset lait sen sallivat, työntekijöiden henkilötiedot voivat sisältää erityisiä tietoryhmiä, mukaan lukien tiedot rodusta ja etnisestä alkuperästä, seksuaalisesta suuntautumisesta, työntekijöiden terveydestä, työterveysjärjestelmistä, biometrisistä tiedoista, yhtäläisten mahdollisuuksien seurannasta, tiedot ammattiliitoista ja yritysneuvostoista.
American Express BCR -yhtiöt sijaitsevat seuraavissa maissa:
- Argentiina
- Itävalta
- Australia
- Belgia
- Kanada
- Kiina
- Kolumbia
- Tšekin tasavalta
- Tanska
- Suomi
- Ranska
- Saksa
- Kreikka
- Hong Kong
- Unkari
- Intia
- Irlanti
- Italia
- Japani
- Jersey
- Malesia
- Meksiko
- Alankomaat
- Norja
- Filippiinit
- Puola
- Venäjä
- Singapore
- Slovakia
- Espanja
- Ruotsi
- Sveitsi
- Taiwan
- Thaimaa
- Yhdistynyt kuningaskunta
- Yhdysvallat
“AEESA” – tarkoittaa American Express Europe S.A. -yhtiötä osoitteessa Avenida Partenón 12 -14, Madrid, 28042. AEESA on American Expressin eurooppalainen yritys, joka on ottanut vastuun siitä, että henkilötietoja käsitellään BCR-sääntöjen mukaisesti. AEESA on allekirjoittanut konsernin sisäiset säännöt.
“American Express BCR -yhtiö” tai ”American Express BCR -yhtiöt” tai “me” tai “meidän” tarkoittavat American Express -yhtiötä tai -yhtiöitä, joita sitovat yrityssäännöt sitovat.
“American Express Company” tarkoittaa American Express Company -yhtiötä, joka sijaitsee World Financial Centerissä osoitteessa 200 Vesey St., New York, NY 10285 USA. American Express Company on allekirjoittanut konsernin sisäiset säännöt.
”American Expressin tietosuojalausunnot” tarkoittavat Cardmember-tietosuojalausuntoa (korttijäsenille), Online-tietosuojalausuntoa (asiakkaille ja verkkosivuston kävijöille), Online-rekrytointisuojalausuntoa (potentiaalisille työntekijöille) tai työntekijöiden tietosuojailmoitusta (nykyisille työntekijöille), ja muut ilmoitukset, ehdot (kuten kauppiaille ja yritysasiakkaille), joita sovelletaan rekisteröidyn suhteeseen American Expressiin ja joita voidaan ajoittaa muuttaa.
”Erityiset tietoryhmät” tarkoittavat henkilötietoja, jotka paljastavat rotuun tai etniseen alkuperään, poliittisiin mielipiteisiin, uskonnollisiin tai filosofisiin vakaumuksiin taikka ammattiliittoon kuulumisen, geneettiset tai biometriset tiedot, joita käsitellään luonnollisen henkilön yksilöimiseksi, terveyttä koskevia tietoja tai tietoja, jotka koskevat luonnollisen henkilön sukupuolielämää tai seksuaalista suuntautumista.
”Valvontaviranomainen” tarkoittaa riippumatonta viranomaista, jonka jäsenvaltio on perustanut yleisen tietosuoja-asetuksen GDPR 51 artiklan mukaisesti.
”ETA-alue” tarkoittaa Euroopan talousaluetta, johon kuuluvat kaikki EU-maat sekä Islanti, Liechtenstein ja Norja.
”GDPR” tarkoittaa yleistä tietosuoja-asetusta 2016/679.
”Henkilötiedot” tarkoittavat ketä tahansa tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä (rekisteröityä) koskevaa tietoa, joka kuuluu näiden BRC-sääntöjen soveltamisalaan.
”Käsitteleminen” tai ”käsittely” tarkoittavat mitä tahansa toimintoa tai toimintoryhmää, joka suoritetaan henkilötiedoilla tai henkilötietokokonaisuuksilla, riippumatta siitä, automatisoidaanko se, kuten kerääminen, tallentaminen, organisointi, jäsentäminen, tallentaminen,
mukauttaminen tai muuttaminen, haku, kuuleminen, käyttö, paljastaminen lähettämällä, levittämällä tai muutoin saataville asettamalla, kohdistaminen tai yhdistäminen, rajoittaminen, poistaminen tai tuhoaminen.
”Konsernin sisäinen sopimus” tarkoittaa konsernin sisäistä sopimusta, joka sitoo American Express BCR -yhtiöt BCR-sääntöihin.
”Profilointi” tarkoittaa henkilötietojen automatisoitua käsittelyä, jonka tarkoituksena on analysoida, arvioida tiettyjä henkilöihin liittyviä henkilökohtaisia näkökohtia (kuten heidän suorituksensa työssä, luottokelpoisuus, luotettavuus, käyttäytyminen) tai tehdä niistä ennusteita.
”Rekisterinpitäjä” tarkoittaa luonnollista henkilöä, oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä muiden kanssa määrittää henkilötietojen käsittelyn tarkoitukset ja keinot.
”Rekisteröity(t)” tai ”sinä” viittaavat tunnistettavissa olevaan luonnolliseen henkilöön, joka voidaan tunnistaa suoraan tai epäsuorasti, erityisesti viittaamalla tunnukseen, kuten nimeen, henkilötunnukseen, sijaintitietoihin, verkkotunnisteeseen tai yhteen tai useampaan kyseisen luonnollisen henkilön fyysiseen, fysiologiseen, geneettiseen, henkiseen, taloudelliseen, kulttuuriseen tai sosiaaliseen identiteettiin liittyvään tekijään, joka kuuluu näiden BCR-sääntöjen piiriin.
”Siirto” tarkoittaa henkilötietojen siirtämistä yhdeltä ETA-alueen yritykseltä toiselle tai edelleen siirtoa, jota muutoin GDPR rajoittaisi. Siirto suoritetaan
millä tahansa viestinnällä, kopioimalla tai luovuttamalla henkilötietoja verkon kautta, mukaan lukien etäkäyttö tietokantaan tai siirto mistä tahansa välineestä toiseen.
”Sovellettava tietosuojalainsäädäntö” tarkoittaa GDPR-asetuksia (ja kansallista täytäntöönpanolainsäädäntöä), sähköisen viestinnän tietosuojadirektiiviä 2002/58 / EY (ja kansallista täytäntöönpanolainsäädäntöä) ja muita ETA-alueella sovellettavia tietosuojalakeja ja -asetuksia (kaikkia yllä sellaisena kuin niitä on muutettu ja korvattu aika ajoin).
”Suostumus” tarkoittaa mitä tahansa vapaasti annettua, tarkkaa, tietoista ja yksiselitteistä ilmoitusta lausunnon tai selkeän vahvistavan toimenpiteen avulla siitä, että rekisteröity on suostunut henkilötietojensa käsittelyyn.
”Tietosuojaa koskeva vaikutustenarviointi” tarkoittaa arviointia suunnitellun käsittelytoimen vaikutuksista henkilötietojen suojaan, joka suoritetaan silloin, kun käsittely todennäköisesti aiheuttaa suuren riskin rekisteröityjen oikeuksille ja vapauksille.
”Tietojenkäsittelijä” tarkoittaa luonnollista henkilöä, oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän puolesta ja tämän antamien ohjeiden mukaisesti.
”Tietoturvaloukkaus” tai ”henkilötietojen tietoturvaloukkaus” tarkoittavat tietoturvarikkomusta, joka johtaa lähetettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuvaan tai laittomaan tuhoutumiseen, katoamiseen, muuttamiseen, luvattomaan paljastamiseen tai pääsyyn niihin.