English | Magyar
AZ AMERICAN EXPRESS EURÓPAI UNIÓN BELÜLI KÖTELEZŐ EREJŰ VÁLLALATI SZABÁLYAI (EU KVSz)
Table of Contents
- BEVEZETŐ
- A KVSz KÖTELEZŐ ÉRVÉNYE
- A KVSZ HATÁLYA
- HOGYAN VÉDI AZ AMERICAN EXPRESS AZ ÖN SZEMÉLYES ADATAIT?
- AZ AMERICAN EXPRESS ADATVÉDELMI TISZTVISELŐI (DPO) HÁLÓZATA
- KÉPZÉS ÉS TUDATOSSÁG
- ELLENŐRZÉS ÉS AUDIT
- MEGFELELÉS, VÉGREHAJTÁS ÉS FELELŐSSÉG
- HOGYAN NYÚJTHAT BE PANASZT ÉS ÉRVÉNYESÍTHETI AZ EU KVSz-OKAT?
- EGYÜTTMŰKÖDÉSI KÖTELEZETTSÉG A FELÜGYELETI HATÓSÁGOKKAL
- HOGYAN KEZELJÜK A LEHETSÉGES JOGÜTKÖZÉSEKET?
- AZ EU KVSz FRISSÍTÉSEI
MELLÉKLET – A KVSz HATÁLYÁN BELÜL TOVÁBBÍTOTT SZEMÉLYES ADATOK JELLEGE ÉS CÉLJA
MELLÉKLET– AZ AMERICAN EXPRESS KVSz HATÁLYA ALÁ ESŐ VÁLLALATI EGYSÉGEINEK ELHELYEZKEDÉSE
1.1. Áttekintés
Az American Express nagyra értékeli az Önök bizalmát és egyben tiszteletben tartja az Önök magánéletét is.
Az adatvédelem és információbiztonság hosszú távú prioritásként szerepel vállalatunknál. Multinacionális szervezetként elkötelezettséget vállalunk a személyes adatok védelme mellett, függetlenül azok felhasználási helyétől, és az American Express által gyűjtött összes személyes adatot az Adatvédelmi és Titokvédelmi Elvek értelmében kezeljük.
2012-ben az American Express az elsők között tette közzé az Információügyi Biztos Hivatala által jóváhagyott kötelező erejű vállalati szabályokat (KVSz). Jelenleg ezek a KVSz-ok alapozzák meg szigorú adatvédelmi kötelezettségvállalásainkat, elősegítve ezzel erőteljes vállalati megfelelési kultúránkat.
Egyebek közt a KVSz-ok határozzák meg a Személyes adatok továbbítását az American Express KVSz által érintett vállalati egységei között az Alkalmazandó adatvédelmi jogszabályokkal összhangban, és biztosítják a Személyes adatok megfelelő védelmét tekintet nélkül a Továbbítás helyére.
1.2. Könnyű hozzáférés a KVSz-hoz
A KVSz elérhetők az American Express weboldalain Európa-szerte. Ön kérheti a KVSz másolatát egy alternatív formában az Adatvédelmi tisztviselőnktől (DPO) az alábbi címen vagy az Ön Személyes adatai kezeléséért felelős helyi American Express vállalati egységtől. Felhívjuk figyelmét, hogy a KVSz-okat ellenőrző fő Felügyeleti szerv a(z) Agencia Española de Protección de Datos (AEPD).
A KVSz jogilag kötelező érvényű az American Express KVSz hatálya alá eső vállalati egységeire és azok Alkalmazottaira egy c alapján az American Express Vállalat és American Express Europe, S.A. (AEESA) között, amely az American Express képviselője az EGT-en belül.
Az egyes KVSz által érintett American Express vállalati egységek és azok Alkalmazottai kizárólag csak a jelen KVSz értelmében d Személyes adatokat. A jelen KVSz-okat megsértő Alkalmazottak ellen fegyelmi eljárás indítható.
3.1. Földrajzi hatály
A kötelező erejű vállalati szabályaink (KVSz) vonatkoznak valamennyi Személyes adat feldolgozására az Alkalmazandó adatvédelmi jogszabályok értelmében. Ez az Adatalany Személyes adatait jelenti, amelyek Feldolgozásra kerültek az EGT keretén belül megalapított American Express KVSz hatálya alá eső vállalati egységek által, még akkor is, ha a Feldolgozást egy az EGT területén kívüli American Express KVSz hatálya alá eső vállalati egysége végzi.
3.2. Tárgyi hatály
Adatkezelőként az American Express feldolgozza az American Express által teljes munkaidőben, részmunkaidőben, állandó vagy ideiglenes jelleggel foglalkoztatott korábbi, jelenlegi vagy leendőalkalmazottak, igazgatók, alvállalkozók, egyéni tanácsadók, ideiglenes dolgozók, valamint nyugdíjazott személyek (a továbbiakban: „Alkalmazottak”) személyes adatait, illetve az American Express korábbi, jelenlegi és leendő fogyasztói, valamint az American Express vállalati ügyfeleinél, beszállítóinál és partnereinél dolgozó természetes személyek személyes adatait (a továbbiakban: „Ügyfelek”).
Az American Express személyes adatokat főként fogyasztói, üzleti, kereskedői, biztosítási, utazási, és rendezvényi, hálózati szolgáltatási, valamint humán erőforrási célokból dolgoz fel.
Az American Express globális tevékenységeinek hatékony lebonyolítása érdekében a személyes adatok American Express KVSz hatálya alá eső vállalati egységek általi feldolgozása a jelen KVSz-ben meghatározott célokból magában foglalhatja az érintettek személyes adatainak nemzetközi továbbítását bármely EGT területén belüli American Express KVSz hatálya alá eső vállalati egység és egy másik, az EGT területén kívüli American Express KVSz hatálya alá eső vállalati egység között (beleértve az EGT területén belüli országokból az Amerikai Egyesült Államokba, ahol az American Express fő szerverei találhatók), valamint a kapott személyes adatok bármilyen ezt követő továbbítását egy az American Express csoporton kívüli harmadik félnek.
Az American Express feldolgozási tevékenységeinek átfogóbb áttekintését az 1. melléklet tartalmazza Az American Express KVSz hatálya alá eső vállalati egységei elhelyezkedésének megtekintéséhez lásd a 2. mellékletet.
Az Ön személyes adatainak feldolgozása során az American Express KVSz hatálya alá eső vállalati egységei kötelesek betartani a szigorú adatvédelmi alapelveket (4.1. szakasz) és tiszteletben tartani az Ön adatvédelmi jogait (4.2. szakasz).
4.1. Adatvédelmi Alapelvek
4.1.1. Átláthatóság és tisztességesség
Az American Express KVSz hatálya alá eső vállalati egységei az átlátható módon és tisztességes eszközökkel fogják feldolgozni az Ön személyes adatait.
Gondoskodunk arról, hogy Önnek az Általános Adatvédelmi Rendelet (GDPR) előírásai szerint könnyű hozzáférést biztosítsunk a feldolgozási tevékenységeinkkel kapcsolatos információkhoz. A tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világos és egyszerű megfogalmazásban biztosítjuk az Ön számára, és rendelkezésre áll az American Express Adatvédelmi Nyilatkozataiban is, az Ön velünk fennálló kapcsolatának megfelelően. Ezek a közlemények és feltételek további rendelkezéseket is tartalmazhatnak, amelyek a személyes adatok feldolgozása szempontjából relevánsak a vonatkozó nemzeti jogszabály(ok) és rendelet(ek) értelmében.
Különösen akkor, amikor a személyes adatokat az érintettől gyűjtik, a személyes adatok gyűjtésének pillanatában a következő információkat kell megadni:
- az Adatkezelő és adott esetben képviselőjének személyazonossága és elérhetőségei;
- az adatvédelmi tisztviselő (DPO)elérhetőségei;
- a személyes adatok feldolgozási céljai és a feldolgozás jogalapja;
- a személyes adatok címzettjei vagy címzettjeinek kategóriái, ha vannak ilyenek;
- a személyes adatok továbbítása olyan országokba, amelyek nem rendelkeznek megfelelő szintű védelemmel és a GDPR által megkövetelt azonos szintű védelem biztosítása érdekében elfogadott megfelelő biztosítékokkal;
- a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, az adott időszak meghatározásához használt kritériumok; valamint az érintettek GDPR által elismert jogainak megléte.
Ha a személyes adatokat nem az érintettől gyűjtöttük, akkor a korábbi információkat, valamint az érintett személyes adatok kategóriáit és a forrást, ahonnan a személyes adatok származnak, időben közöljük (kivéve, ha az érintett már rendelkezik az információval, az ilyen információk rendelkezésre bocsátása lehetetlennek bizonyul, vagy aránytalan erőfeszítéssel járna, a megszerzését vagy nyilvánosságra hozatalát kifejezetten az uniós vagy tagállami jogszabályok határozzák meg, vagy ha a személyes adatoknak bizalmasnak kell maradniuk, az uniós vagy tagállami jogszabályok által szabályozott szakmai titoktartási kötelezettség értelmében, beleértve a törvényben előírt titoktartási kötelezettséget is).
A KVSz tájékoztatják Önt azokról a jogokról is, amelyeket Ön érvényesíteni jogosult az AEESA-val vagy bármely más, az American Express KVSz hatálya alá eső vállalati egységével szemben, mint egy kedvezményezett harmadik személy az Ön személyes adatainak a jelen KVSz szerinti feldolgozása („A kedvezményezett harmadik személy jogai”) tekintetében, valamint az ilyen jogok gyakorlásának módjairól is (lásd a 8. szakaszt). Ezen kívül a jelen KVSz-ok tájékoztatást nyújtanak az Ön személyes adatainak feldolgozása során általunk alkalmazott adatvédelmi elvekről (a 4. szakaszban leírtak szerint), valamint az American Express KVSz hatálya alá eső vállalati egységei által a KVSz-ok megsértése esetén vállalt felelősségről. (lásd a 8. szakaszt).
Ezen felül Ön kérés alapján mindig jogosult megkapni a KVSz-ok másolatát. A nyilvános változat elérhető lesz az American Express KVSz hatálya alá eső vállalati egységei nyilvános weboldalain EGT-szerte, valamint az intranetünkön, amennyiben Ön egy alkalmazott.
- A személyes adatok feldolgozása
Személyes adatait csak akkor gyűjtjük és dolgozzuk fel, ha a feldolgozásnak törvényes jogalapja van:
- amikor Ön kifejezett Beleegyezését adta (például, hogy az American Express e-mailben küldjön Önnek termékek és szolgáltatások hirdetéseit, promócióit és ajánlatait tartalmazó közleményeket);
- amikor a Feldolgozás szükséges egy olyan szerződés teljesítéséhez, amelyben Ön szerződő félként lép fel, vagy annak érdekében, hogy az Ön kérésére lépéseket tegyünk a szerződés megkötése előtt (például az Önnel fennálló szerződéses kapcsolatunk kezelésére és a kártya iránti kérelem feldolgozására);
- amikor a Feldolgozás jogi kötelezettség teljesítéséhez szükséges (például bizonyos gyanús tranzakciók bejelentése az illetékes hatóságoknak a pénzmosás elleni szabályok alapján, vagy a törvény előírja, hogy az Ügyfelek körében átvilágítás végrehajtására kerüljön sor a kérelmek jóváhagyása előtt); vagy
- amikor a Feldolgozás az American Express KVSz hatálya alá eső vállalati egységei vagy harmadik fél (felek) által elérni kívánt jogos érdekek miatt szükséges (például termékek és szolgáltatások szállítása, termékek és szolgáltatások reklámozása és forgalmazása, kutatás és elemzés végzése, valamint csalási és biztonsági kockázataink kezelése), kivéve, ha ezeket az érdekeket felülírják az ön érdekei vagy alapvető jogai és szabadságai.
- Különleges adatkategóriák feldolgozása
Vállalatunk Különleges adatkategóriákat is gyűjthet, beleértve az egészségre, a biometrikus adatokra, a szexuális orientációra vagy a faji/etnikai származásra vonatkozó adatokat is. Ezeket az adatokat a jogi követelmények teljesítése érdekében gyűjtjük és dolgozzuk fel, a munkaviszony kezeléséhez elengedhetetlen célokból, vagy ha kifejezett Beleegyezés alapján biztosítják őket, és csak akkor, ha az alkalmazandó törvény ezt megengedi
Előfordulhat, hogy Ön ilyen típusú adatokat szolgáltat számunkra annak érdekében, hogy javítsa a velünk való utazását (például, ha Ön különleges étrendi igényekről tájékoztat bennünket vagy repülés közben igényelt különleges segítségről)..
A Különleges adatkategóriák gyűjtésére vonatkozó korlátozott mértékében csak a fent említett törvényes jogalapok szerint kerülnek feldolgozásra, és feltéve, hogy a Különleges adatkategóriák feldolgozásának egyik feltétele érvényesül, például amikor:
Ön kifejezett Beleegyezését adta a feldolgozáshoz;
- a feldolgozás az American Express kötelezettségeinek és egyedi jogainak teljesítéséhez szükséges a foglalkoztatás, a szociális biztonság és a szociális védelem területén;
- a feldolgozás az Ön által egyértelműen nyilvánosságra hozott Különleges adatkategóriákra vonatkozik;
- a feldolgozás szükséges a jogi követelések megalapozásához, érvényesítéséhez vagy védelméhez;
- a feldolgozás jelentős közérdekből szükséges, az uniós vagy a tagállami jogszabályok alapján.
Ezen felül az American Express KVSz hatálya alá eső vállalati egységei fokozott intézkedéseket fognak hozni a Különleges adatkategóriák feldolgozása érdekében, ahogyan azt az alkalmazandó adatvédelmi jogszabályok is előírják.
4.1.3. Adatminimalizálás, pontosság és tárolási korlátozás
Az American Express KVSz hatálya alá eső vállalati egységei megfelelő technológiát és bevált Munkavállalói gyakorlatot alkalmaznak az Ön személyes adatainak azonnali és pontos feldolgozásához.
Vállalatunk megfelelő lépéseket tesz annak biztosítására, hogy az Ön személyes adatai:
- Pontosak és naprakészek, figyelembe véve a feldolgozás céljait (adatpontosság). A pontatlan személyes adatok haladéktalanul törlésre vagy kijavításra kerülnek;
- Megfelelőek, relevánsak és nem túlzott mértékűek a személyes adatok gyűjtésének és feldolgozásának céljához képest (adatok minimalizálása);
- Nem kerülnek tárolásra azonosítható formában a személyes adatok feldolgozásának céljához szükséges időn túl, és hosszabb ideig csak archiválási célokra, vagy az alkalmazandó jogszabály(ok) szerint megengedett vagy előírt megőrzési kötelezettség szerint tárolhatók, és akkor is csak megfelelő adminisztratív, technikai és szervezési intézkedések meghozatala mellett.
4.1.4. A célhoz kötöttség elve
Az American Express KVSz hatálya alá eső vállalati egységei csak meghatározott és törvényes célokból gyűjtenek személyes adatokat. Vállalatunk az Ön személyes adatait tisztességesen és csak azokból a célokból dolgozza fel, amelyekről vállalatunk tájékoztatta Önt, valamint az Ön által vagy az alkalmazandó adatvédelmi jogszabályok által engedélyezett célból. Vállatunk biztosítja hogy az Ön személyes adatait nem kerülnek tovább feldolgozásra az ilyen célokkal összeegyeztethetetlen módon.
4.1.5. Adatbiztonság és titoktartás
Az American Express egy átfogó, az alkalmazandó törvény(ek)nek és az alkalmazandó adatvédelmi jogszabályoknak megfelelő írásos információbiztonsági programot vezetett be és kötelezettséget vállalat annak betartására.
Az American Express KVSz hatálya alá eső vállalati egységei megfelelő adminisztratív, technikai és szervezési intézkedéseket hoznak az Ön személyes adatainak védelme érdekében, hogy biztosítsák az átadott, tárolt vagy más módon feldolgozott személyes adatok véletlen vagy jogellenes megsemmisüléssel, elvesztéssel, megváltoztatással, illetéktelen közzététellel vagy az azokhoz való hozzáféréssel szembeni védelmét. Vállalatunk bizalmasan kezeli az Ön személyes adatait, és az Ön személyes adataihoz való hozzáférést azokra a személyekre korlátozza, akiknek kifejezetten szükségük van ezekre az adatokra az üzleti tevékenységük folytatásához, kivéve, ha a vállalatunkra vonatkozó jogszabályok erről másként nem rendelkeznek.
Ezek az intézkedések biztosítják a kockázatnak megfelelő biztonsági szintet, és figyelembe veszik a technika állását, a megvalósítás költségeit, valamint a feldolgozás jellegét, terjedelmét, összefüggéseit és céljait, valamint az érintettek jogainak és szabadságainak eltérő valószínűségét és súlyosságát, és magukban foglalhatják az alábbiakat:
- az érintettek személyes adatainak álnevesítése és titkosítása,
- intézkedések a feldolgozó rendszerek és szolgáltatások folyamatos titkosságának, integritásának, elérhetőségének és rugalmasságának biztosítására;
- intézkedések annak biztosítására, hogy fizikai vagy technikai incidensek esetén időben helyre lehessen állítani az érintettek személyes adatainak elérhetőségét és az azokhoz való hozzáférést és
- a feldolgozás biztonságát előirányzó technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, minősítésére és értékelésére szolgáló folyamat.
Vállalatunk megfelelő adminisztratív, technikai és szervezési intézkedéseket követel meg azoktól a harmadik felektől is, akik tőlünk felhatalmazást kaptak a személyes adatok feldolgozására a mi nevünkben, és belső és vállalatunk belső és külső adatfeldolgozókkal is köt szerződést, akik betartják a biztonsági intézkedéseket, amelyeket megkövetel a GDPR.
Különösen az adatfeldolgozó általi feldolgozást olyan szerződés szabályozza, amely az adatfeldolgozóra nézve kötelező az adatkezelő vonatkozásában, és amely meghatározza a feldolgozás tárgyát és időtartamát, a feldolgozás jellegét és célját, a személyes adatok típusa és az érintettek kategóriáit, valamint az adatkezelő kötelezettségeit és jogait.
A következő feladatokat is fel kell tüntetni a megállapodásban, amelynek meg kell követelnie az adatfeldolgozótól az alábbit:
- A személyes adatokat csak az adatkezelő dokumentált utasításai alapján dolgozza fel, vagy gondoskodjon arról, hogy a személyes adatok feldolgozására felhatalmazott személyek elkötelezték magukat a titoktartás mellett, vagy a törvényben előírt megfelelő titoktartási kötelezettség terheli őket;
- megtesz minden szükséges technikai és szervezési intézkedést az elfogadható biztonsági szint garantálásához;
- nem szerződhet más adatfeldolgozóval („alfeldolgozó”), az adatkezelő előzetes külön vagy általános írásbeli engedélye nélkül, és csak azzal a feltétellel, hogy az adatkezelő és az adatfeldolgozó között létrejött szerződésben meghatározott adatvédelmi kötelezettségek terhelik az adott alfeldolgozót is;
- segítséget nyújt az adatkezelőnek megfelelő technikai és szervezési intézkedésekkel, amikor csak lehetséges, az adatkezelő azon kötelezettségének teljesítése érdekében, hogy megválaszolja az érintett jogainak érvényesítésére vonatkozó igényeit;
- segíti az adatkezelőt a feldolgozás biztonságával, a személyes adatok megsértésével és az adatvédelmi hatásvizsgálatokkal kapcsolatos kötelezettségei teljesítésében;
- az adatkezelő választása szerint törli vagy visszaadja az összes személyes adatot az adatkezelőnek a feldolgozással kapcsolatos szolgáltatások nyújtásának befejezése után, és törli a meglévő példányokat, kivéve, ha az alkalmazandó jogszabály előírja a személyes adatok tárolását;
- az adatkezelő rendelkezésére bocsát minden szükséges információt, amely igazolja a GDPR 28. cikkében meghatározott, az adatfeldolgozókkal kapcsolatos kötelezettségek betartását, és lehetővé teszi az adatkezelő vagy az adatkezelő által megbízott más ellenőr által végzett auditokat, beleértve az ellenőrzéseket is, és hozzá is járulhat azokhoz.
Ezen kívül az American Express KVSz hatálya alá eső vállalati egységei adminisztratív, technikai és szervezési intézkedéseket hajtottak végre a személyes adatok megsértésének felderítésére, kivizsgálására, felterjesztésére és orvoslására. Az American Express KVSz hatálya alá eső vállalati egységei indokolatlan késedelem nélkül értesítik az American Express adatvédelmi tisztviselőjét a személyes adatok megsértéséről, és az American Express adatvédelmi tisztviselője meghatározza, hogy a GDPR követelményeknek megfelelően értesíti-e az illetékes felügyeleti hatóságot és az érintetteket. A személyes adatok megsértését minden esetben dokumentálja (és ez a dokumentáció tartalmazza a személyes adatok megsértésével, annak következményeivel és a megtett javító intézkedésekkel kapcsolatos tényeket), és a dokumentációt kérésre a felügyeleti hatóság rendelkezésére is bocsátja.
4.1.6. Adattovábbítás harmadik fél részére
Az Ön személyes adatai az American Express KVSz hatálya alá eső vállalati egységein belül kerülnek továbbításra, valamint tovább harmadik felek irányába is, azonban minden esetben biztosítva az Ön adatai feldolgozásának megfelelő szintű védelmét, ahogyan azt az alkalmazandó adatvédelmi jogszabályok is előírják, függetlenül attól, hogy hova kerülnek továbbításra.
Ezt az adatáramlás legitimálják a KVSz-ok, amelyek lehetővé teszik számunkra, hogy személyes adatokat továbbítsunk az EGT-ből az American Express KVSz hatálya alá eső vállalati egységein felé, amelyek az EGT területén kívül találhatók.
Minden ezt követő továbbítás esetén (vagyis annál a személyes adatnál, amelyet először egy EGT-n belüli American Express KVSz hatálya alá eső vállalati egységből továbbítottak egy EGT-n kívüli American Express KVSz hatálya alá eső vállalati egységhez, majd később egy harmadik félnek/harmadik feleknek továbbítottak, amely(ek)re a KVSz nem vonatkozik) az American Express KVSz hatálya alá eső vállalati egységei gondoskodnak arról, hogy olyan rendelkezéseket tartalmazó írásbeli megállapodást kössenek ezekkel a harmadik felekkel, amelyek biztosítják, hogy a személyes adatok legalább a jelen KVSz-ok által előírt titoktartási és biztonsági előírások értelmében védve legyenek, vagy más érvényes jogi módszert alkalmaznak annak biztosítására, hogy a továbbítás törvényes legyen és megfelelő garanciákat nyújtson a GDPR 46. cikke alapján.
4.1.7. Elszámoltathatóság
Valamennyi American Express KVSz hatálya alá eső vállalati egység felelősséggel tartozik és köteles bizonyítani, hogy betartja ezeket a KVSz-okat. A jelen követelményeknek való megfelelés a következőket tartalmazza:
- a feldolgozási tevékenységek elektronikus nyilvántartásának vezetése, amely kérésre a felügyeleti hatóságok rendelkezésére áll, és tartalmazza a GDPR által megkövetelt információkat, például az adatkezelő nevét és elérhetőségét, a feldolgozás céljait, az érintettek kategóriáit és a személyes adatok kategóriáit, a személyes adatok címzettjeit, az EGT-n kívüli országokba történő továbbításokat, a személyes adatok kategóriái törlésének határidejét és az alkalmazott biztonsági intézkedések leírását);
- az adatvédelmi hatásvizsgálatok befejezése (csak akkor alkalmazható, ha a feldolgozási tevékenységek valószínűleg nagy kockázatot jelentenek az érintettek jogaira és szabadságaira); és
- egyeztetés az illetékes felügyeleti hatóságokkal, ha ez szükséges az ilyen megfelelés bizonyításához.
Ezen kívül az American Express KVSz hatálya alá eső vállalati egységei megfelelő adminisztratív, technikai és szervezési intézkedéseket hoztak az adatvédelmi elvek végrehajtása és a jelen KVSz-ok által előírt követelmények betartásának elősegítése érdekében (a tervezett és alapértelmezett adatvédelem).
4.2. Az érintettek jogai
- A hozzáférés, a korlátozás, a kifogás, a helyesbítés, a törlés joga, a visszavonáshoz való jog és az adathordozhatósághoz való jog
Amennyiben ez lehetséges, az American Express KVSz hatálya alá eső vállalati egységei eleget tesznek az Ön GDPR által meghatározott jogai érvényesítésére vonatkozó kéréseinek. Pontosabban fogalmazva vállalatunk biztosítja, hogy Ön gyakorolhassa az alábbi jogait:
-hozzáférés az Ön személyes adataihoz (hozzáférési jog);
-az Ön személyes adatai feldolgozásának korlátozása és/vagy kifogásolása korlátozza és / vagy kifogásolja az Ön személyes adatainak feldolgozását (a feldolgozás korlátozásának joga és a feldolgozás elleni kifogás joga);
-az Ön személyes adatainak helyesbítése (a helyesbítéshez való jog);
-az Ön személyes adatainak törlése (a törléshez való jog);
-egy korábban adott Feldolgozáshoz való hozzájárulás visszavonása és
-az Ön személyes adatait strukturált, általánosan használt és géppel olvasható formátumban megkapni és/vagy továbbítani ezeket az adatokat egy másik adatkezelőnek (az adathordozhatósághoz való jog);
Az American Express KVSz hatálya alá eső vállalati egységeire vonatkoznak az ilyen kérések kezelésére irányuló szabályzatok annak biztosítása érdekében, hogy Ön rendelkezzen a jelen jogok érvényesítéséhez szükséges eszközökkel. Ha Ön bármely jogával élni szeretne, Ön kapcsolatba léphet az adatvédelmi tisztviselővel a DPO-Europe@aexp.com címen.
- Automatizált döntéshozatal
Az American Express KVSz hatálya alá eső vállalati egységei biztosítják, hogy Ön ne legyen tárgya kizárólag a személyes adatok automatizált feldolgozásán alapuló döntések, beleértve a profilalkotást is, amelyek joghatásokat vagy hasonló jelentős hatásokat eredményeznek, kivéve, ha a feldolgozás:
- szükséges az Ön és az American Express közötti szerződés megkötéséhez vagy teljesítéséhez;
- olyan törvény által engedélyezett, amelynek hatálya alá az American Express is tartozik, és amely az Ön jogainak, szabadságainak és jogos érdekeinek védelmére vonatkozó megfelelő intézkedéseket határoz meg; vagy
- az Ön ilyen feldolgozáshoz adott kifejezett Hozzájárulása alapján.
Az alkalmazandó jogszabály(ok)nak megfelelően vállalatunk megfelelő intézkedéseket foganatosít az Ön jogainak és szabadságainak, valamint jogos érdekeinek védelme érdekében, legalább az emberi beavatkozás megszerzésének jogának, álláspontjának kifejtése és a döntés megtámadása érdekében.
A jelen korlátozásoknak megfelelően vállalatunk automatizált folyamatokat használhat bizonyos döntések meghozatalához, például csalások észleléséhez és kezeléséhez (például annak eldöntéséhez, hogy számláját csalás vagy pénzmosás céljából használják-e, vagy annak észlelésére, hogy a csalók hozzáfértek-e a számlájához); vagy kártyakérelmek feldolgozására, valamint a hitel- és biztonsági kockázatok felmérésére. Ezek a módszerek rendszeresen tesztelve vannak annak biztosítása érdekében, hogy tisztességesek, hatékonyak és elfogulatlanok maradjanak.
Ön felveheti a kapcsolatot az adatvédelmi tisztviselővel a DPO-Europe@aexp.com címen, azon joga érvényesítése érdekében hogy manuális felülvizsgálatot kérjen bizonyos automatizált feldolgozási tevékenységekről, amelyek befolyásolhatják az Ön törvényes vagy egyéb szerződéses jogait, vagy amelyek hasonló jogi következményekkel járhatnak.
Az American Express kinevezett egy adatvédelmi tisztviselőt, aki ellenőrzi a KVSz-ok betartását. Az adatvédelmi tisztviselő az alábbi feladatokkal rendelkezik:
- tájékoztatja az American Express egységeit és az American Express alkalmazottait az alkalmazandó adatvédelmi jogszabályok szerinti kötelezettségeiről;
- figyelemmel kíséri az alkalmazandó adatvédelmi jogszabályok betartását a legfontosabb kockázati mutatók és ellenőrzések értékelésével. Az adatvédelmi tisztviselő jelentést tesz ezen ellenőrzési tevékenységek eredményéről a megfelelő belső felső szintű irányítási fórumnak;
- tanácsokat ad az adatvédelmi hatásvizsgálatokkal kapcsolatban, és figyelemmel kíséri azok teljesítményét;
- együttműködik a felügyeleti hatóságokkal; és
- a felügyeleti hatóságokkal szemben kapcsolattartó pontként működik.
A szakmai képességei alapján kinevezett adatvédelmi tisztviselő az American Express adatvédelmi főtisztviselőjének tesz jelentést. Az adatvédelmi tisztviselőt a European American Express egységek nevezik ki az AEESA és az American Express Payments Europe SA igazgatótanácsaként, valamint a csoport elsődleges kibocsátó és átvevő egységeiként Európában.
A kinevezésről tájékoztatják az egyes európai országok felügyeleti hatóságait, ahol az American Express fiókvállalattal rendelkezik.
Az adatvédelmi tisztviselő szorosan együttműködik az egyes európai piacokon található adatvédelmi szakemberek és megfelelőségi ügyvédek hálózatával, akik figyelemmel kísérik a régiójukban alkalmazandó adatvédelmi jogszabályok betartását. Az adatvédelmi tisztviselőt az American Express adatvédelmi főtisztviselője által vezetett Globális Adatvédelmi Iroda támogatja feladatai ellátásában.
Valamennyi American Express KVSz hatálya alá eső vállalati egység megfelelő képzési anyagokat és tanfolyamokat biztosít minden alkalmazott számára, különösen azoknak az alkalmazottaknak, akik gyűjtik, feldolgozzák, a személyes adatokat, állandó vagy rendszeres hozzáféréssel rendelkeznek a személyes adatokhoz, vagy akik részt vesznek a személyes adatok feldolgozásához használt eszközök fejlesztésében annak biztosítása érdekében, hogy tisztában vannak az alkalmazandó adatvédelmi jogszabályok és a jelen KVSz-ok szerinti kötelezettségeikkel. Az ilyen tanfolyamok kötelezőek, és elvégzésüket figyelemmel kísérik.
Az American Express olyan megfelelőségi programot valósított meg, amely előírja az American Express KVSz hatálya alá eső vállalati egységek működésének rendszeres megfelelőségi ellenőrzését és felülvizsgálatát (belső vagy, ha szükséges, külső auditorok által) annak biztosítása érdekében, hogy a KVSz-okat és az összes kapcsolódó szabályzat és eljárás betartásra kerül és naprakész.
Az adatvédelmi auditok lefedik a KVSz-ok minden szempontját, beleértve a korrekciós intézkedések végrehajtásának biztosítására szolgáló módszereket is.
További adatvédelmi ellenőrzéseket kérhet az adatvédelmi tisztviselő saját kezdeményezésére vagy az American Express KVSz hatálya alá eső vállalati egységek külön kérésére. Az American Express belső ellenőrzési csoportja, mint független ellenőrző testület, értékelni fogja ezen ellenőrzési kérelmek lehetőségét kockázatértékelési keretrendszerük szerint.
Az ilyen megfelelőségi ellenőrzések és auditok az eredményeit közlik az American Express Globális Adatvédelmi Irodájával, az adatvédelmi tisztviselővel, az illetékes felügyeleti hatóságokkal (ha szükséges), és hozzáférhetővé teszik az American Express Vállalat igazgatótanácsának ellenőrzési bizottsága számára.
Ha megfelelési hiányosságot találnak, az érintett American Express KVSz hatálya alá eső vállalati egységnek követnie kell az adatvédelmi tisztviselő minden konkrét útmutatását. Az esetben, ha az útmutatás nem tartható be, az American Express KVSz hatálya alá eső vállalati egységnek dokumentálnia kell ennek okát.
Az American Express együttműködik továbbá az illetékes joghatósággal rendelkező bármely felügyeleti hatóság által lefolytatott megfelelőségi ellenőrzések során, tekintet nélkül arra, hogy az érintett panasza alapján, vagy a felügyeleti hatóság saját kezdeményezése alapján indultak-e.
8.1. Az American Express KVSz hatálya alá eső vállalati egységeinek felelőssége
Az American Express KVSz hatálya alá eső vállalati egységek felelnek a KVSz-ok betartásáért. Az American Express KVSz hatálya alá eső vállalati egységek egyéni felelősségein túl az AEESA vállalja a felelősséget a KVSz-ok esetleges megsértéséért egy az EGT-n kívüli American Express KVSz hatálya alá eső vállalati egység által, amely az alkalmazandó adatvédelmi jogszabályok szerint dolgozza fel a személyes adatokat. Az AEESA jogosult minden szükséges intézkedést megtenni minden olyan American Express KVSz hatálya alá eső vállalati egység cselekedeteinek vagy mulasztásainak orvoslására, amely a személyes adatokat a KVSz-ok megsértésével dolgozza fel.
Az AEESA köteles megtéríteni az érintettek által a KVSz-ok bármilyen megsértésével kapcsolatban elszenvedett anyagi vagy nem vagyoni károkat A kártérítést jóvá kell hagynia az adatvédelmi tisztviselőnek a jogorvoslati javaslat vagy a kifizetés végrehajtása előtt. Az összes kifizetett kártérítés teljes mértékben kielégíti az érintett valamennyi, az adott American Express KVSz hatálya alá eső vállalati egységgel szembeni követelését. A félreértések elkerülése érdekében az AEESA felelőssége kiterjed minden olyan American Express KVSz hatálya alá eső vállalati egység cselekedetére vagy mulasztására, amelyek nem az EGT területén belül található, és amely a KVSz-okba ütközik.
Ha egy American Express KVSz hatálya alá eső vállalati egység (beleértve azt az esetet is, ha az egység az EGT területén kívül található) megsérti a KVSz-okat, az illetékes európai bíróságok rendelkeznek joghatósággal az ilyen jogsértésekkel kapcsolatban. Amennyiben az American Express KVSz hatálya alá eső vállalati egységek megsértik a KVSz-okat, az érintettek, a felügyeleti hatóságok és az adott joghatósággal rendelkező bíróságok bíróságai érvényesíthetik jogaikat és keresetet nyújthatnak be az AEESA-val szemben úgy, mintha az AEESA saját maga tanúsított volna ilyen magatartást követett volna el az EGT területén belül (további információért a panasz benyújtásának módjáról lásd az alábbi 9. szakaszt).
8.2. A kedvezményezett harmadik személy jogai
Valamennyi érintett érvényesítheti az AEESA-val vagy bármely American Express KVSz hatálya alá eső vállalati egységgel szemben a KVSz-ok alábbi rendelkezéseit i jogát harmadik fél kedvezményezettjeként a BCR következő rendelkezéseinek feltételeit kedvezményezett harmadik félként:
- adatvédelmi elvek (4.1. szakasz);
- átláthatóság és könnyű hozzáférés a KVSz-okhoz (1.2. és 4.1.1. szakasz);
- Az érintettek jogai (4.2. szakasz);
- megfelelés, végrehajtás és felelősség (8. szakasz);
- panasztételi jog az American Express belső panasztételi mechanizmusán keresztül (9. szakasz);
- panasz benyújtásának joga a Felügyeleti Hatósághoz és az illetékes európai bírósághoz (9. szakasz);
- együttműködés a felügyeleti hatóságokkal (10. szakasz); és
- jogütközések (11.1. szakasz)
8.3. Bizonyítási teher
Az AEESA-t terheli annak bizonyításának terhe, hogy az adott American Express KVSz hatálya alá eső vállalati egység, amely az EGT-n kívül található, nem felel a KVSz-ok állítólagos megsértéséért, amely alapul szolgált az érintett kártérítési igényének benyújtásához. Amennyiben az AEESA bizonyítani tudja, hogy az adott American Express KVSz hatálya alá eső vállalati egység, amely az EGT-n kívül található, nem felel a kártérítés alapjául szolgáló eseményért, az AEESA az adott társaság mentesülhet az ilyen felelősség és kötelezettség alól.
Ha Ön panaszt vagy kártérítési igényt szeretne benyújtani, és érvényesíteni szeretné a KVSz-okkal kapcsolatos jogait, akkor javasoljuk, hogy Ön bármikor, írásban forduljon az adatvédelmi tisztviselőhöz az AEESA központi irodájában, amelynek címe: American Express Europe SA, Avenida Partenón 12 – 14, 28042 Madrid / SPAIN vagy e-mailben a DPO-Europe@aexp.com címen.
Adatvédelmi tisztviselőnk indokolatlan késedelem nélkül, de mindenképpen egy hónapon belül foglalkozni fog az Ön benyújtott panaszával. Tekintettel a kérelmek összetettségére és számára, az egyhónapos időszak legfeljebb további két hónappal hosszabbítható meg, ebben az esetben vállalatunk megfelelő módon tájékoztatni fogja Önt erről. erről tájékoztatjuk Önt.
Az American Express panaszkezelési folyamatáról és a panasz benyújtásának módjáról további információt az Online adatvédelmi nyilatkozatban talál.
Ha a problémát nem sikerül kielégítő módon megoldani, akkor további lehetőségek is rendelkezésre állnak az Ön számára:
- panaszt nyújthat be a szokásos tartózkodási helye, munkahelye vagy a feltételezett jogsértés helye szerinti tagállam felügyeleti hatóságához;
- keresetét benyújthatja azon ország illetékes bíróságához, ahol az American Express KVSz hatálya alá eső vállalati egység letelepedett, vagy ahol az Ön szokásos tartózkodási helye van, és adott esetben kártérítést az igényelhet Ön által a fenti kedvezményezett harmadik személy jogai megsértése következtében elszenvedett károk ellentételezésére.
Az American Express KVSz hatálya alá eső vállalati egységek
együttműködnek az érintett felügyeleti hatóságokkal és elfogadják, hogy azokat auditálhatja az illetékes hatóság, és betartja ezen felügyeleti hatóságok által adott javaslatokat az alkalmazandó adatvédelmi jogszabályokkal kapcsolatos bármely kérdésben.
Ha a felügyeleti hatóság megállapítja, hogy valamely American Express KVSz hatálya alá eső vállalati egység megsértette az érintettek számára a jelen KVSz-ok által biztosított jogokat, az adott American Express KVSz hatálya alá eső vállalati egység tiszteletben tartja az adott felügyeleti hatóság megállapításait azzal, hogy joga van megtámadni vagy fellebbezést benyújtani a tárgyi megállapításokkal szemben.
11.1. Az EU KVSz betartását megakadályozó nemzeti jogszabályok
Abban az esetben, ha egy American Express KVSz hatálya alá eső vállalati egység okkal feltételezi, hogy egy rá vonatkozó törvény kizárja a KVSz-ok betartását, vagy valószínűleg jelentős hatással lesz a KVSz-okban meghatározott garanciákra, az adott American Express KVSz hatálya alá eső vállalati egység illetékes kapcsolattartója tájékoztatja az adatvédelmi tisztviselőt az AEESA-nál, kivéve azt az esetet, ha ezt tiltja(ák) az alkalmazandó jogszabály(ok). Szükség esetén az adatvédelmi tisztviselő értesíti az illetékes felügyeleti hatóságot a jogütközésről, amennyiben az alkalmazandó jogszabály(ok) ezt nem tiltja(ák) meg.
Ha egy American Express KVSz hatálya alá eső vállalati egység bűnüldöző hatóságtól vagy állambiztonsági szervtől kap személyes adatokra vonatkozó kérelmet, az adatvédelmi tisztviselő tájékoztatja az illetékes felügyeleti hatóságot a kérésről (beleértve a kért adatokra, a megkereső szervre vonatkozó információkat és a nyilvánosságra hozatal jogalapját). Ha meghatározott esetekben a hatályos jogszabály(ok) tiltja(ák) a felfüggesztést és/vagy az illetékes felügyeleti hatóság felé történő értesítést, az American Express mindent megtesz annak érdekében, hogy feloldja ezt a tilalmat, és minél gyorsabban közölje a szükséges információt az illetékes felügyeleti hatósággal, és képes legyen bizonyítani, hogy így tett.
Ha a fenti esetekben észszerű erőfeszítései ellenére az adott American Express KVSz hatálya alá eső vállalati egységnek nem áll módjában tájékoztatni az illetékes felügyeleti hatóságot, évente általános információkat közöl az illetékes felügyeleti hatósággal a beérkezett kérelmekkel kapcsolatban (például a nyilvánosságra hozatal iránti kérelmek száma, a kért személyes adatok típusa, az igénylő neve - ha ez lehetséges stb.).
A személyes adatok American Express KVSz hatálya alá eső vállalati egységek által végzett személyes adatok továbbítására semmilyen esetben sem kerül sor tömeges, aránytalan vagy válogatás nélküli módon. Ez a korlátozás vonatkozik a bűnüldöző hatóságok vagy állambiztonsági szervek által a személyes adatok nyilvánosságra hozatalára vonatkozó bármely jogilag kötelező kérelemre.
11.2. A nemzeti jogszabályok és az EU KVSz közötti kapcsolat
Ha az alkalmazandó adatvédelmi jogszabályok magasabb szintű védelmet igényelnek a személyes adatok számára, akkor ezek az adatvédelmi törvények elsőbbséget élveznek a KVSz-okkal szemben.
Sor kerülhet az EU KVSz frissítésére, például, hogy figyelembe vegyük a szabályozási környezet vagy a vállalati struktúra változásait. Kötelezettséget vállalunk arra, hogy a KVSz-okat érintő lényeges változásokat indokolatlan késedelem nélkül jelentjük az American Express KVSz hatálya alá eső vállalati egységeinknek és az AEPD-nek. A KVSz-okban vagy az American Express KVSz hatálya alá eső vállalati egységeinek listáján bekövetkezett bármilyen változásról évente egyszer jelentést tesznek az illetékes felügyeleti hatóságoknak, az illetékes felügyeleti hatóságok útján, a frissítés indokainak rövid magyarázatának kíséretében. Ha egy módosítás esetleg befolyásolná a jelen KVSz-ok által kínált védelem szintjét, vagy jelentősen befolyásolná a jelen KVSz-okat, akkor erről az illetékes felügyeleti hatóságon keresztül haladéktalanul értesíteni kell az érintett felügyeleti hatóságokat.
Az American Express azonosított egy olyan csapatot, amely az American Express KVSz hatálya alá eső vállalati egységek teljesen frissített listáját vezeti, és nyomon követi és rögzíti a szabályok minden frissítését, és kérésre megadja a szükséges információkat az érintettek vagy a felügyeleti hatóságok számára. Ezen felül az American Express KVSz hatálya alá eső vállalati egységek addig nem hajtanak végre átutalásokat egy új American Express KVSz hatálya alá eső vállalati egység felé, amíg ezt az új vállalati egységet ténylegesen nem kötik a jelen KVSz-ok, és nem tudják biztosítani a megfelelést.
- A Feldolgozási tevékenységek típusainak és céljainak leírása
Az American Express egy globálisan integrált fizetési és utazási társaság, amely elsősorban négy szegmensben tevékenykedik: i) Ügyfél-fizetési szolgáltatások, ii) kereskedői szolgáltatások, iii) hálózati szolgáltatások és műveletek, és iv) utazási, megbeszélési és rendezvényi szolgáltatások. A feldolgozási tevékenységeinket e tevékenységek összefüggésében hajtjuk végre, az alábbiakban leírtak szerint.
i) Ügyfél-fizetési szolgáltatások
Az American Express számos fizetési szolgáltatást (például fizetési és hitelkártyákat) bocsát ki magánszemélyek számára, amelyek mindegyike kapcsolódó szolgáltatásokkal rendelkezik (például hűségprogramok, tagsági és jutalmazási rendszerek, valamint biztosítás-közvetítés).
- Ennek érdekében vállalatunk az Ügyfelek személyes adatait elsősorban a szerződéses kapcsolatunk kezelése és kiszolgálása céljából dolgozza fel; ezen túl bármilyen ellátás, biztosítás vagy más program kezelése céljából, amelyekre Ön feliratkozott, termékek és szolgáltatások szállítása, kutatás és elemzés készítése termékeink és szolgáltatásaink fejlesztése érdekében; ügyfeleink jobb megértése és személyre szabottabb szolgáltatás nyújtása céljából; csalás- és biztonsági kockázataink kezelése céljából; termékeink és szolgáltatásaink népszerűsítése céljából (Hozzájárulás függvényében, ha az alkalmazandó adatvédelmi jogszabályok ezt előírják); vagy az alkalmazandó törvény(ek) betartása céljából.
Az American Express kereskedelmi termékeket és szolgáltatásokat is kínál a vállalkozások számára (beleértve a vállalati fizetési, költségkezelési szolgáltatásokat és hiteltermékeket is).
- Ennek érdekében vállalatunk az ügyfelek személyes adatait elsősorban a szerződéses kapcsolatunk kezelése és kiszolgálása céljából dolgozza fel; ezen kívül a kereskedelmi termékek és szolgáltatások szállítása céljából; annak lehetővé tétele céljából az ügyfelek számára, hogy jelentéseket dolgozzanak ki, amelyek lehetővé tehetik számukra a hatékony beszerzési politikák, utazási politikák és eljárások fenntartását; kockázatkezelési irányelvek, modellek és eljárások kidolgozása céljából és/vagy az általunk az ügyfelek számlái kezelésének módjával kapcsolatos döntések meghozatala érdekében; információcsere a csalásmegelőzési ügynökségekkel az adósok felkutatása, az adósságok behajtása, a csalás megelőzése, a számlák vagy a biztosítási kötvények kezelése érdekében; döntéseket hozni olyan termékek kínálásáról, mint a hitel és a kapcsolódó szolgáltatások; vagy az alkalmazandó törvény(ek) betartása céljából.
ii) Kereskedői szolgáltatások
Az American Express globális kereskedői szolgáltatási tevékenységet folytat, amely magában foglalja a kereskedők beleegyezésének megszerzését az American Express márkájú kártyák és egyéb pénzügyi termékek fizetőeszközként történő elfogadásához az ügyfelektől, valamint engedélyezik az American Express számára, hogy feldolgozza és kiegyenlítse a kártyával kapcsolatos tranzakciókat az adott kereskedők javára.
A jelen kereskedői szolgáltatási üzletág részeként az American Express analitikai és tanácsadói szakértelemmel segíti az American Express kártyákat elfogadó kereskedőket az új trendek azonosításában, a termékinnováció lehetővé tételében, valamint a marketing bővítésében és fejlesztésében az American Express adat-infrastruktúrájának hatékonyabb felhasználása révén. Az e célból végzett feldolgozási tevékenységek szükség szerint azonosított vagy összesített adatbázisokat hoznak létre.
- Ennek érdekében vállalatunk a személyes adatokat elsősorban a kereskedőkkel fennálló szerződéses kapcsolatok kezelése és kiszolgálása céljából dolgozza fel; továbbá információcsere érdekében a hitelminősítő ügynökségekkel a csalás megelőzése vagy az adósok felkutatása vagy személyazonosság-ellenőrzés céljából; termékeink fejlesztése céljából és/vagy hozzájárulás függvényében termékek és szolgáltatások felajánlása céljából; vagy az alkalmazandó jogszabályok betartása céljából, beleértve a pénzmosás és a terrorizmus elleni törvényeket is.
iii) Hálózati szolgáltatások és műveletek
Az American Express hálózat hitelesíti, törli és kiegyenlíti a kártyatranzakciókat, és többcsatornás marketing programokat és kapacitásokat, valamint szolgáltatásokat és adatelemzéseket biztosít. Kezeli és fejleszti az American Express fizetési hálózatának megbízhatóságát, biztonságát és feldolgozási kapacitását annak érdekében, hogy az egész világon lehetővé tegye a kereskedelmet. Ezen túlmenően az American Express hálózat számos olyan kapacitást kezel, amelyek lehetővé teszik az új formákban vagy csatornákon keresztül történő fizetéseket, és emellett egy olyan politikát is megvalósít, amelynek célja irányítani a hálózatba bekapcsolódó sok felet.
- Ennek érdekében a vállalatunk a személyes adatokat elsősorban az American Express ügyfeleinek az American Express-t elfogadó kereskedőkkel folytatott tranzakciói kezelése céljából dolgozza fel. A feldolgozási tevékenységek a csalás megelőzésére és az alkalmazandó jogszabály(ok) betartására irányulnak, beleértve a pénzmosás és a terrorizmus elleni törvényeket is.
iv) Utazási, megbeszélési és rendezvényi szolgáltatások
Az American Express a világ egyik legnagyobb utazási irodai vállalkozása, és évente több millió utazási foglalást hajt végre a fogyasztók és a vállalati ügyfelek egyéni alkalmazottai, valamint kivételesen útitársaik számára, akik a világ bármely pontjára kívánnak utazni.
Az American Express Global Business Travel (GBT) emellett utazásszervezési szakértelmet nyújt a vállalati ügyfeleknek, és segíti az ügyfeleket találkozók és események globális megszervezésében. A GBT feldolgozási tevékenységeivel kapcsolatos részletek itt találhatók- https://privacy.amexgbt.com/.
Az American Express emellett fogyasztói utazási szolgáltatásokat nyújt egyéni fogyasztóknak, de elsősorban azoknak, akik egy American Express márkájú kártya tulajdonosai.
- Ennek érdekében vállalatunk az Ügyfelek személyes adatait elsősorban a szerződéses kapcsolatunk kezelése és kiszolgálása céljából dolgozza fel; ezen túl szolgáltatások nyújtása, kutatások és elemzések elvégzése céljából termékeink és szolgáltatásaink fejlesztése érdekében; ügyfeleink jobb megértése és személyre szabottabb szolgáltatás nyújtása céljából; termékeink és szolgáltatásaink népszerűsítése céljából (Hozzájárulás függvényében, ha az alkalmazandó adatvédelmi jogszabályok ezt előírják); vagy az alkalmazandó törvény(ek) betartása céljából.
v) Humán erőforrások
Az American Express KVSz hatálya alá eső vállalati egységek az alkalmazottak személyes adatait is feldolgozzák elsősorban az American Express alkalmazottaival fennálló munkaviszonyának kezelése és teljesítése céljából (például kinevezések vagy végkielégítések, háttérellenőrzések, teljesítménymenedzsment, munkavezetés vagy egyéb, a menedzsmenthez kapcsolódó személyi kérdések az alkalmazotti kapcsolatok kezelésével összefüggésben); valamint a belső szabályzatok és az alkalmazandó jogszabály(ok) betartása céljából.
- A személyes adatok típusainak leírása
A feldolgozott személyes adatok típusait a különböző American Express adatvédelmi nyilatkozatok írják le, amelyek az érintettek és az American Express közötti kapcsolatra vonatkoznak, és általában a következőképpen írhatók le:
i) Az ügyfelek személyes adatai
Az Ügyfelek személyes adatai tartalmazhatnak személyes adatokat (például név, cím és egyéb elérhetőségeket), a felhasznált és megvásárolt termékekre és szolgáltatásokra vonatkozó információkat; hitelképesség; online tevékenység, ideértve például az információt, amelyet akkor gyűjtünk, amikor az ügyfelek hozzáférnek online számláik szolgáltatásaihoz, vagy cookiek (sütik) és hasonló technológiák segítségével; életmóddal és társadalmi körülményekkel kapcsolatos információk; stb. Az utazáshoz, értekezletekhez és eseményekhez kapcsolódó szolgáltatások nyújtásához az American Expressnek fel kell dolgoznia az utazóval kapcsolatos személyes adatokat, beleértve az állampolgárságot, az útlevél adatait, a nemet, a születési dátumot, a helyet és az utazási preferenciákat (együttesen: „Az ügyfelek személyes adatai”).
Bizonyos esetekben az Ügyfelek személyes adatai tartalmazhatnak különleges adatkategóriákat, például biztonsági célú biometrikus információkat (pl. azonosított hang), vagy utazással kapcsolatos szolgáltatások esetén minden olyan fogyatékosságra vonatkozó adatot, amely befolyásolhatja az utazási képességet.
ii) Az alkalmazottak személyes adatai
Az alkalmazottak személyes adatai gyakran tartalmaznak személyes adatokat (mint például név, cím, születési dátum, telefonszám), családi adatokat, életmóddal és társadalmi körülményekkel kapcsolatos információkat; felhasznált termékekkel és szolgáltatásokkal kapcsolatos információkat; online tevékenységgel; hitelképességgel; betöltött közhivatallal; bevándorlási státusszal kapcsolatos információkat; valamint az oktatással és a foglalkoztatással kapcsolatos előzményeket, valamint egyéb, a foglalkoztatással kapcsolatos információkat, mint például a teljesítmény vagy a tehetség megnevezése, valamint javadalmazási és juttatási információkat is (együttesen: az „Alkalmazottak személyes adatai”).
Bizonyos esetekben, és amennyiben ezt a nemzeti jogszabályok megengedik, az alkalmazottak személyes adatai tartalmazhatnak Különleges adatkategóriákat, beleértve a faji és etnikai származásra, a szexuális irányultságra vonatkozó információkat, az alkalmazottak egészségére vonatkozó információkat, foglalkozás-egészségügyi rendszereket, biometrikus adatokat, az esélyegyenlőség figyelemmel kísérését, valamint szakszervezetekről és üzemi tanácsokról szóló információkat.
Az American Express KVSz hatálya alá eső vállalati egységei az alábbi országokban találhatók:
- Argentína
- Ausztria
- Ausztrália
- Belgium
- Kanada
- Kína
- Kolumbia
- Cseh Köztársaság
- Dánia
- Finnország
- Franciaország
- Németország
- Görögország
- Hongkong
- Magyarország
- India
- Írország
- Olaszország
- Japán
- Jersey
- Malajzia
- Mexikó
- Hollandia
- Norvégia
- Fülöp-szigetek
- Lengyelország
- Oroszország
- Szingapúr
- Szlovákia
- Spanyolország
- Svédország
- Svájc
- Tajvan
- Thaiföld
- Egyesült Királyság
- Egyesült Államok
Az „Adatfeldolgozó” - az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely más szerv, amely az Adatkezelő nevében és utasításai alapján személyes adatokat dolgoz fel.
Az „Adatkezelő” - azt a természetes vagy jogi személyt, közhatalmi szervet, ügynökséget vagy más testületet jelöli, amely egyedül vagy másokkal együtt határozza meg a személyes adatok feldolgozásának céljait és eszközeit.
Az „Adatsértés” vagy „A személyes adatok megsértése” - az adatvédelem megsértését jelenti, amely a továbbított, tárolt vagy más módon feldolgozott személyes adatok véletlen vagy jogellenes megsemmisüléséhez, elvesztéséhez, megváltoztatásához, illetéktelen közzétételéhez vagy a hozzájuk való hozzáféréshez vezet.
Az „Adatvédelmi hatásvizsgálat” – egy tervezett feldolgozási műveletnek a személyes adatok védelmére gyakorolt hatásának értékelését jelenti, amelyet akkor végeznek, ha a feldolgozás valószínűleg nagy kockázatot jelent az érintettek jogaira és szabadságaira nézve.
„AEESA” – az American Express Europe, S.A.-t jelenti, amelynek címe: Avenida Partenón 12 -14, Madrid, 28042. Az AEESA az American Express európai vállalata, amely felel annak biztosításáért, hogy a személyes adatok KVSz-ok szerint kerüljenek feldolgozásra. Az AEESA aláírta a Csoporton belüli megállapodást.
„Az Alkalmazandó adatvédelmi jogszabályok” – a GDPR-t (és a nemzeti végrehajtási jogszabályokat), a 2002/58/EK elektronikus adatvédelmi irányelvet (és a nemzeti végrehajtási jogszabályokat), valamint az EGT-ben alkalmazható bármely más adatvédelmi törvényt és rendeletet (a mindenkor hatályos és helyettesített változatban) jelenti.
Az „American Express Adatvédelmi Nyilatkozatok” - a Kártyabirtokosi Adatvédelmi Nyilatkozatot (a kártyabirtokosok számára), az Online Adatvédelmi Nyilatkozatot (az Ügyfelek és a weboldal látogatói számára), és az Online Toborzási Adatvédelmi Nyilatkozatot (leendő Alkalmazottak számára), vagy az Alkalmazotti Adatvédelmi Közleményt (a jelenlegi Alkalmazottak számára) jelenti, valamint egyéb tájékoztatókat, feltételeket (mint például a kereskedők és vállalati ügyfelek számára), amelyek érintett American Expresszel fennálló mindenkor hatályos kapcsolatára vonatkoznak.
Az „American Express KVSz hatálya alá eső egysége” vagy az „American Express KVSz hatálya alá eső egységei” vagy a „vállalatunk” vagy „általunk” vagy „számunkra” – az American Express vállalati egységét vagy egységeit jelöli, amelyekre a kötelező erejű vállalati szabályok vonatkoznak.
Az „American Express Vállalat” - az American Express Company vállalatot jelöli, amelynek székhelye: World Financial Center, 200 Vesey St., New York, NY 10285 USA. Az American Express Vállalat aláírta a Csoporton belüli megállapodást.
A „Csoporton belüli megállapodás” – a csoporton belüli megállapodást jelenti, amely az American Express KVSz hatálya alá eső egységeket a KVSz-ok betartására kötelezik.
Az „EGT” – az Európai Gazdasági Térséget jelenti, amely magában foglalja az összes EU-tagországot, valamint Izlandot, Liechtensteint és Norvégiát is.
Az „Érintett(ek)” vagy „Ön” – olyan azonosítható természetes személyre utal, aki közvetlenül vagy közvetve azonosítható, különösen egy olyan azonosítóra hivatkozva, mint például a név, azonosító szám, helyadatok, online azonosító, illetve a jelen KVSz-ok hatálya alá tartozó természetes személy egy vagy több fizikai, fiziológiai, genetikai, mentális, gazdasági, kulturális vagy társadalmi identitására utal.
A „Feldolgozás” vagy „Feldolgozza” – minden olyan művelet vagy műveletsorozat, amelyet a személyes adatokon vagy a személyes adatok halmazán hajtanak végre, akár automatizált eszközökkel, akár gyűjtéssel, rögzítéssel, rendszerezéssel, strukturálással, tárolással, adaptációval vagy módosítással, visszakereséssel, konzultációval, felhasználással, nyilvánosságra hozatallal továbbítással, terjesztéssel vagy más módon történő elérhetővé tétellel, összehangolással vagy kombinációval, korlátozással, törléssel vagy megsemmisítéssel.
A „Felügyeleti hatóság” – egy független közhatalom, amelyet egy tagállam hoz létre a GDPR 51. cikke alapján.
A „GDPR” – a 2016/679. számú általános adatvédelmi rendeletet jelenti.
A „Hozzájárulás/Beleegyezés” – minden olyan szabadon adott, specifikus, tájékoztatáson alapuló és egyértelmű kijelentést jelent, nyilatkozat vagy nyilvánvaló megerősítő cselekvés formájában, amely jelzi az érintett hozzájárulását a személyes adatok feldolgozásához.
A „Különleges adatkategória” – minden olyan személyes adat, amely faji vagy etnikai származást, politikai véleményeket, vallási vagy filozófiai meggyőződéseket, szakszervezeti tagságot, genetikai adatokat vagy biometrikus adatokat tár fel, természetes személy egyedi azonosítása, az egészségre vonatkozó adatok vagy a természetes személy szexuális életével vagy szexuális orientációjával kapcsolatos adatok feldolgozása céljából.
A „Profilalkotás” – a személyes adatok automatizált feldolgozását jelenti, amelynek célja elemezni, értékelni az egyénekkel kapcsolatos bizonyos személyes szempontokat (például munkájuk teljesítményét, hitelképességüket, megbízhatóságukat, magatartásukat) vagy előrejelzéseket tenni róluk.
A „Személyes adatok” – bármely azonosított vagy azonosítható természetes személlyel (Érintett) kapcsolatos bármely információ, amely ezen KVSz-ok hatálya alá tartozik.
A „Továbbítás”– a személyes adatok bármely, az EGT-n belüli társaságtól a másikhoz történő továbbítását vagy továbbadását jelenti, amelyet egyébként a GDPR korlátozna. A továbbítás a személyes adatok bármilyen kommunikációja, másolása vagy közzététele útján történik egy hálózaton keresztül, ideértve az adatbázis távoli elérését vagy bármely médiumról egy másikra történő átvitelét is.
Magyarország Copyright © 2021 American Express Company