English | Norwegian
American Express bindende virksomhetsregler (BCR – Binding Corporate Rules)
- INTRODUKSJON
- VIRKSOMHETSREGLENES (BCR) BINDENDE NATUR
- OMFANGET AV VÅRE BCR-er
- HVORDAN BESKYTTER AMERICAN EXPRESS PERSONOPPLYSNINGENE DINE?
- AMERICAN EXPRESS DPO-NETTVERK
- OPPLÆRING OG VITEN
- KONTROLL OG REVISJON
- OVERHOLDELSE, HÅNDHEVELSE OG ANSVAR
- HVORDAN KAN DU SENDE INN EN KLAGE OG HÅNDHEVE EUs BCR?
- PLIKT TIL Å SAMARBEIDE MED TILSYNSMYNDIGHETER
- HVORDAN HÅNDTERER VI POTENSIELLE LOVKONFLIKTER?
- OPPDATERINGER AV EU BCR
VEDLEGG 2– PLASSERING AV AMERICAN EXPRESS BCR-ENHETER
1.1. Oversikt
American Express verdsetter din tillit og respekterer din rett til personvern.
Databeskyttelse og informasjonssikkerhet har i mange år vært prioritert i vårt selskap. Som en multinasjonal organisasjon er vi forpliktet til å beskytte personopplysninger, uavhengig av hvor de brukes, og alle personopplysninger American Express samler inn, håndteres i henhold til våre databeskyttelses- og personvernprinsipper.
I 2012 var American Express et av de første selskapene som kunngjorde bindende virksomhetsregler (BCR) godkjent av Information Commissioner's Office. I dag setter disse BCR-ene fremdeles rammene for våre omfattende personvernforpliktelser, og fremmer en krevende kultur på tvers av bedriften vår om overholdelse av retningslinjene.
Blant annet styrer BCR-ene de internasjonale overføringene av personopplysninger i American Express BCRs-enheter i samsvar med gjeldende personvernlovgivning og sikrer at dine personopplysninger alltid er tilstrekkelig beskyttet uavhengig av hvor de overføres.
1.2. Enkel tilgang til våre bindende virksomhetsregler (BCR)
Våre bindende virksomhetsregler er tilgjengelige på American Express nettsteder over hele Europa. Du kan også be om en kopi av våre BCR-er i et alternativt format fra vårt personvernombud (DPO) på adressen nedenfor eller fra den lokale American Express-enheten som er ansvarlig for dine personopplysninger. Vær oppmerksom på at den overordnede tilsynsmyndigheten som overvåker våre BCR-er er Agencia Española de Protección de Datos (AEPD).
Våre BCR-er er juridisk bindende for American Express BCR-enheter og deres ansatte ved en konsernavtale mellom American Express Company og American Express Europe, S.A. (AEESA), den juridiske representanten for American Express i EØS.
Hver American Express BCRs-enhet og deres ansatte kan bare Behandle personopplysninger i samsvar med disse BCR-ene. Ansatte som bryter disse BCR-ene, kan bli gjenstand for disiplinærtiltak.
3.1. Geografisk omfang
Våre BCR-er gjelder for all behandling av personopplysninger som er underlagt gjeldende personvernlovgivning. Dette er personopplysninger om en registrert person som er eller har blitt behandlet i sammenheng med aktivitetene til en American Express BCR-enhet etablert i EØS, selv om behandlingen utføres av en American Express BCR-enhet utenfor EØS.
3.2. Materialomfang
Som behandlingsansvarlig behandler American Express personopplysningene til tidligere, nåværende og potensielle ansatte, direktører, leverandører, konsulenter, eventuelle arbeidere ansatt av American Express enten heltid, deltid, permanent eller midlertidig, samt pensjonerte (“ansatte”) og personopplysningene til tidligere, nåværende og potensielle American Express-forbrukere, og fysiske personer som jobber hos bedriftskunder, leverandører og partnere til American Express (“kunder”).
Formålene for American Express behandling av personopplysninger er hovedsakelig knyttet til forbruker-, kommersielle, salgs-, forsikrings-, reise, møte- og arrangements, og nettverkstjenester samt HR-formål.
For å gjennomføre American Express globale aktiviteter effektivt, kan behandlingen av personopplysninger av American Express BCR-enheter, i forbindelse med formålene som er identifisert i disse BCR-ene, innebære internasjonale overføringer av personopplysninger til registrerte, fra enhver Express BCR-enhet i EØS til en hvilken som helst annen American Express BCR-enhet utenfor EØS (inkludert, fra land i EØS til USA, der American Express hovedservere befinner seg), og enhver annen videre overføring av mottatte personopplysninger til en tredjepart utenfor American Express-gruppen.
For en mer omfattende oversikt over American Express behandlingsaktiviteter , se Vedlegg 1. For å se hvor våre American Express BCRs-enheter befinner seg, se Vedlegg 2.
Når vi behandler personopplysningene dine, er American Express BCR-enheter forpliktet til å overholde krevende databeskyttelsesprinsipper (§ 4.1) og respektere din rett til personvern (§ 4.2).
4.1. Prinsipper for personvern
4.1.1. Åpenhet og rimelighet
American Express BCR-enheter vil samle inn og behandle personopplysningene dine på en transparent og på rettferdig måte.
Vi sørger for at du får lett tilgang til informasjonen om våre behandlingsaktiviteter i henhold til EUs personvernforordning (GDPR). Denne informasjonen blir gitt til deg i en kortfattet, transparent, forståelig og lett tilgjengelig form, ved hjelp av klart og vanlig språk og er tilgjengelig i de relevante American Express-personvernerklæringene, som gjelder for ditt forhold til oss. Disse merknadene og vilkårene kan også inneholde tilleggsbestemmelser som er relevante for behandling av personopplysninger, i henhold til nasjonale gjeldende lover og forskrifter).
I særdeleshet når personopplysningene samles inn fra den registrerte, vil følgende informasjon bli gitt samtidig med at personopplysningene samles inn:
- identiteten og kontaktinformasjonen til behandlingsansvarlig og, der det er aktuelt, dens representant
- kontaktinformasjonen til personvernombud (DPO)
- formålet med behandlingen som personopplysningene er ment for og det juridiske grunnlaget for behandlingen
- mottakerne eller kategoriene av mottakere av personopplysninger, hvis noen
- tilstedeværelsen av personopplysninger overføringertil land uten tilfredsstillende beskyttelsesnivå og de riktige sikkerhetstiltakene vedtatt for å sikre samme beskyttelsesnivå som kreves av GDPR
- den planlagte perioden som personopplysningene skal lagres for eller, om det ikke er mulig, kriteriene som brukes til å fastlegge denne perioden og eksistensen av de registrertes rettigheter fastsatt i GDPR
Når personopplysningene ikke er samlet inn fra den registrerte, vil den tidligere informasjonen, samt kategoriene av aktuelle personopplysninger og kilden som personopplysningene kommer fra, bli kommunisert i tide (med mindre den registrerte allerede har informasjonen, levering av slik informasjon viser seg umulig eller vil innebære en uforholdsmessig innsats, innhenting eller utlevering er uttrykkelig fastsatt av unionens- eller medlemsstatenes lover eller der personopplysningene må forbli konfidensielle av hensyn til taushetsplikt regulert av unions- eller medlemsstatslovgivningen, inkludert en lovbestemt taushetsplikt).
Våre BCR informerer deg også om rettighetene du har i forhold til AEESA eller enhver American Express BCR-enhet som tredjepartsbegunstiget med hensyn til behandling av dine personopplysninger under disse BCR-ene (“Tredjeparts begunstigedes rettigheter”) og om muligheter til å utøve slike rettigheter (se § 8). I tillegg vil disse BCR-ene gi deg informasjon om databeskyttelsesprinsippene som vi bruker når vi behandler personopplysningenedine (som forklart i § 4) og informasjon om ansvaret American Express BCR-enheter påtar seg i tilfelle av brudd på disse BCR-ene (se § 8).
I tillegg er du alltid i stand til på forespørsel å få en kopi av våre BCR-er. En offentlig versjon vil være tilgjengelig på American Express BCR-enheteroffentlige nettsteder over hele EØS, så vel som på vårt intranett, hvis du er ansatt.
4.1.2. Lovgrunnlag for behandling
Dine personopplysninger og særlige kategorier av personopplysninger samles inn og behandles i samsvar med gjeldende personvernlovgivning. Lovgrunnlagene for behandling av personopplysningene dine er nærmere beskrevet i de relevante personvernerklæringene fra American Express, som gjelder for ditt forhold til American Express.
- Behandling av personopplysninger
Dine personopplysninger samles inn og behandles bare der det er et lovgrunnlag for behandling:
- når du har gitt ditt eksplisitte samtykke (for eksempel til å sende deg e-post som inneholder annonser, kampanjer og tilbud på American Express-produkter og -tjenester)
- når behandlingen er nødvendig for å oppfylle en kontrakt som du er part i, eller for å ta skritt etter anmodning fra deg før inngåelse av en kontrakt (for eksempel for å administrere vårt kontraktsforhold med deg og behandle din søknad om kort, konto eller annet produkt eller for å administrere dine eksisterende kontoer)
- når behandlingen er nødvendig for å overholde en juridisk forpliktelse (for eksempel å rapportere om visse mistenkelige transaksjoner til kompetente myndigheter under hvitvaskingsreglene eller som påkrevd ved lov om å vise tilbørlig aktsomhet i forhold til kunder før de godkjenner søknadene deres), eller
- når behandlingen er nødvendig av hensyn til American Express BCR-enheters eller en eller av tredjeparts legitime interesser (for eksempel å levere produkter og tjenester, annonsere og markedsføre produkter og tjenester, utføre forskning og analyse, og administrere våre svindel- og sikkerhetsrisikoer), unntatt hvor slike interesser tilsidesettes av dine interesser eller grunnleggende rettigheter og friheter
- Behandling av særlige kategorier av personopplysninger
Vi kan samle inn særlige kategorier av personopplysninger, inkludert data relatert til helse, biometriske data, seksuell orientering eller rase/etnisk opprinnelse. Disse dataene samles inn og behandles for å tilfredsstille juridiske krav, med formål som er nødvendig for å administrere ansettelsesforhold, eller der det er gitt eksplisitt samtykke, og bare hvis det er tillatt i henhold til gjeldende lov.
Noen ganger kan du gi oss denne typen data for å forbedre relasjonene med oss (for eksempel hvis du informerer oss om spesifikke kostholdskrav eller ditt behov for spesiell hjelp under en flytur).
I den begrensede grad særlige kategorier av personopplysninger samles inn, vil de bare bli behandlet iht. et av lovgrunnlagene som er nevnt ovenfor, og under forutsetning av at vilkårene for behandling av særlige kategorier av personopplysninger gjelder, for eksempel når:
du har gitt ditt uttrykkelige samtykke til behandlingen
- behandlingen er nødvendig for å håndheve forpliktelser og spesifikke rettigheter til American Express innenfor ansettelses- og trygde- og sosialrett
- behandlingen gjelder særlige kategorier av personopplysninger som du åpenbart har offentliggjort
- behandlingen er nødvendig for etablering, håndhevelse eller forsvar av juridiske krav
- behandlingen er nødvendig av hensyn til betydelig offentlig interesse, på grunnlag av unionens- eller en medlemsstats lovgivning.
I tillegg vil American Express BCR-enheter treffe ytterligere tiltak for å behandle særlige kategorier av personopplysninger, iht. gjeldende personvernlovgivning.
4.1.3. Databegrensning, nøyaktighet og begrensning for oppbevaring
American Express BCR-enheter bruker høvelig teknologi og etablerte praksis for ansattes effektive behandling av personopplysningene dine.
Vi tar rimelige skritt for å sikre at personopplysningene dine er:
- Nøyaktig og oppdatert med hensyn til formålene de behandles for (dataenes nøyaktighet). Unøyaktige personopplysninger slettes eller korrigeres uten forsinkelse
- Høvelig, relevant og ikke overdreven i forhold til formålet som personopplysningene samles inn og behandles for (databegrensning)
- De oppbevares ikke i en identifiserbar form lenger enn nødvendig for de formålene som personopplysningene behandles for, og beholdes bare i en lengre periode for arkiveringsformål eller som på annen måte tillatt eller påkrevd i samsvar med gjeldende lov, og da bare når nødvendige administrative, tekniske og organisatoriske tiltak iverksettes
4.1.4. Begrensninger
American Express BCR-enheter samler bare inn personopplysninger for spesifikke og legitime formål. Vi behandler personopplysningene dine bare for de formålene vi har fortalt deg om, for formål som du har gitt tillatelse til eller iht. gjeldendepersonvernlovgivning. Vi vil sørge for at personopplysningene dine ikke behandles videre på en måte som ikke er forenlig med slike formål.
4.1.5. Datasikkerhet og konfidensialitet
American Express har implementert og forplikter seg til å opprettholde et omfattende skriftlig informasjonssikkerhetsprogram som overholder gjeldende lov og gjeldende personvernlovgivning.
American Express BCR-enheter implementerer passende administrative, tekniske og organisatoriske tiltak for å beskytte personopplysningene dine mot utilsiktet eller ulovlig ødeleggelse, tap, endring, uautorisert utlevering av eller tilgang til personopplysningene som overføres, lagres eller på annen måte behandles. Vi vil behandle personopplysningene dine konfidensielt og begrense tilgangen til personopplysningene dine til de personene som spesifikt trenger dem for å drive sin virksomhet, unntatt der gjeldende lov krever annet av oss.
Slike tiltak sikrer et passende sikkerhetsnivå i forhold til risiko og bransjestandarder, kostnader ved implementering og art, omfang, kontekst og formål med behandlingen, samt risiko, sannsynlighet og alvorlighetsgrad i forhold til rettighetene til de registrerte, og kan omfatte etter behov:
- pseudonymisering og kryptering av personopplysninger om de registrerte,
- tiltak for å sikre løpende konfidensialitet, integritet, tilgjengelighet og robusthet av prosesseringssystemer og tjenester
- tiltak for å sikre muligheten til å gjenopprette tilgjengeligheten og adgangen til personopplysninger for de registrerte i tide i tilfelle en fysisk eller teknisk hendelse, og
- en prosess for regelmessig testing, vurdering og evaluering av effektiviteten av tekniske og organisatoriske tiltak for å sikre behandlingen
Vi krever også passende administrative, tekniske og organisatoriske tiltak fra tredjepart, som er autorisert av oss til å behandle personopplysningene dine på våre vegne, og vi inngår kontraktsforpliktelser med interne og eksterne databehandlere som overholder sikkerhetstiltak som kreves iht. GDPR.
Særlig skal behandling hos databehandleren reguleres av en kontrakt, som er bindende for databehandleren med hensyn til behandlingsansvarlig og som angir emne og varighet for behandling, behandlingens art og formål, typen av personopplysninger og kategorier av registrerte og forpliktelsene og rettighetene til behandlingsansvarlig.
Følgende plikter må omfattes av avtalen som også må kreve at databehandleren:
- Behandle personopplysningene kun på grunnlag av dokumenterte instruksjoner fra behandlingsansvarlig eller sikre at personer som er autorisert til å behandle personopplysningene, har forpliktet seg til konfidensialitet eller er under en passende lovbestemt taushetsplikt
- gjennomføre alle passende tekniske og organisatoriske tiltak som kreves for å garantere et akseptabelt sikkerhetsnivå
- ikke inngå kontrakt med en annen databehandler (“underbehandler”), uten forutgående spesifikk eller generell skriftlig autorisasjon fra behandlingsansvarlig og bare forutsatt at de samme personvernsforpliktelsene som angitt i kontrakten mellom behandlingsansvarlig og databehandleren er pålagt denne underbehandleren
- bistå den behandlingsansvarlige med passende tekniske og organisatoriske tiltak når det er mulig for å oppfylle den behandlingsansvarliges plikt til å svare på den registrertes forespørsler når vedkommende utøver sine rettigheter
- bistå den behandlingsansvarlige med oppfyllelsen av sine forpliktelser angående behandling, brudd på reglene for behandling av personopplysninger og vurdering av personvernkonsekvenser
- når den behandlingsansvarlige krever det, slette eller returnere alle personopplysninger til den behandlingsansvarlige ved opphør av levering av tjenester relatert til behandlingen, og slette eksisterende kopier med mindre gjeldende lov krever lagring av personopplysningene
- gjøre all nødvendig informasjon tilgjengelig for den behandlingsansvarlige for dokumentasjon av overholdelse av forpliktelsene som er fastsatt i artikkel 28 i GDPR angående databehandlere og tillate og bidra til revisjoner, inkludert inspeksjon, utført av den behandlingsansvarlige eller en annen revisor på vegne av den behandlingsansvarlige
I tillegg har American Express BCR-enheter iverksatt administrative, tekniske og organisatoriske tiltak for å oppdage, undersøke, intensifisere og avhjelpe brudd på reglene for behandling av personopplysninger. American Express personvernombud (DPO) blir varslet om brudd på reglene for behandling av personopplysninger av American Express BCR-enheter uten unødig forsinkelse, og American Express DPO avgjør om de kompetente tilsynsmyndighetene og de registrerte skal varsles i samsvar med GDPR-kravene. Eventuelle brudd på reglene for behandling av personopplysninger dokumenteres (herunder fakta knyttet til brudd på reglene for behandling av personopplysninger, dets virkninger og avhjelpingstiltak) og dokumentasjonen skal gjøres tilgjengelig for tilsynsmyndigheten på forespørsel.
4.1.6. Videre overføringer
Dine personopplysninger overføres mellom alle American Express BCR-enheter og videre til tredjeparter, men det sikres alltid et tilfredsstillende beskyttelsesnivå ved behandling av dataene dine som krevet av gjeldende personvernlovgivning, uavhengig av hvor de overføres.
Denne dataflyten legitimeres gjennom våre BCR-er, som gjør det mulig for oss å overføre persondata fra EØS til American Express BCR-enheter som befinner seg utenfor EØS.
I alle tilfeller av videre overføringer (dvs., personopplysninger som først er overført fra en EØS American Express BCR-enhet til en ikke-EØS American Express BCR-enhet og senere overført til tredjeparter (dvs. ikke dekket av BCR-er), vil American Express BCR-enheter sikre at de inngår en skriftlig avtale med disse tredjepartene som inneholder bestemmelser som sikrer at personopplysningene er beskyttet i det minste iht. konfidensialitet og sikkerhetsstandard som forventet i disse BCR-ene, eller bruke en annen gyldig juridisk metode for å sikre at overføringen er lovlig og tilstrekkelig garantier er gitt i henhold til artikkel 46 i GDPR.
4.1.7. Ansvarlighet
Alle American Express BCR-enheter er ansvarlige for, og må dokumentere overholdelse av, disse BCR-ene. Overholdelse av disse kravene inkluderer:
- vedlikehold av elektroniske registreringer av behandling, som er tilgjengelig for tilsynsmyndighetene på forespørsel, og som inneholder informasjonen som kreves av GDPR, for eksempel navn og kontaktinformasjon til behandlingsansvarlig, formålene med behandlingen, kategoriene av registrerte og kategorier av personopplysninger, mottakerne av personopplysninger, overføringer til land utenfor EØS, tidsbegrensninger for sletting av kategoriene av personopplysninger og beskrivelsen av anvendte sikkerhetstiltak)
- fullføring av vurdering av personvernkonsekvenser (gjelder bare når behandling sannsynligvis vil resultere i en høy risiko relatert til rettighetene og frihetene til de registrerte), og
- konsultasjon med relevante tilsynsmyndigheter når det er nødvendig for å dokumentere slik overholdelse av retningslinjer
I tillegg har American Express BCR-enheter fått på plass passende administrative, tekniske og organisatoriske tiltak designet for å implementere personvernprinsipper og for å lette overholdelse av de kravene som er utformet av disse BCR-ene (innebygd personvern som standard).
4.2. De registrertes rettigheter
- Rett til innsyn, begrensning, å protestere, retting, sletting, rett til å trekke tilbake samtykke og dataportabilitet
American Express BCR-enheter overholder din rett til å utøve rettighetene iht. GDPR, der det er aktuelt. Mer spesifikt sørger vi for at du kan utøve din rett til å:
- få innsyn i dine personopplysninger (rett til innsyn)
- begrense og/eller protestere mot behandlingen av dine personopplysninger (rett til begrensning av behandling og rett til å protestere mot behandling)
- korrigere dine personopplysninger (rett til retting)
- slette dine personopplysninger (rett til sletting)
- trekke tilbake et tidligere gitt samtykke til behandling, og
-motta dine personopplysninger i et strukturert, maskinlesbart og vanlig brukt filformat og/eller overføre slike data til en annen behandlingsansvarlig (rett til dataportabilitet).
American Express BCR-enheter er underlagt retningslinjer for håndtering av slike forespørsler for å sikre at du har muligheter til å utøve disse rettighetene. Hvis du ønsker å utøve noen av dine rettigheter, kan du kontakte vårt personvernombud (DPO) på DPO-Europe@aexp.com.
- Automatisert beslutningstaking
American Express BCR-enheter sørger for at du ikke er underlagt beslutninger basert utelukkende på automatisert behandling av personopplysninger, inkludert profilering, som gir juridiske virkninger eller har lignende betydelige følger, med mindre behandlingen er:
- nødvendig for å inngå eller gjennomføre en kontrakt mellom deg og American Express
- tillatt ved lov som American Express er underlagt, og som også fastsetter egnede tiltak for å beskytte dine rettigheter og friheter og legitime interesser eller
- basert på ditt uttrykkelige samtykke til slik behandling.
I samsvar med gjeldende lov(er) vil vi iverksette passende tiltak for å sikre dine rettigheter og friheter og legitime interesser, i det minste retten til å oppnå menneskelig inngripen, for å uttrykke ditt synspunkt og for å bestride beslutningen.
I samsvar med disse begrensningene kan vi bruke automatiserte prosesser for å hjelpe oss med å ta visse beslutninger, for eksempel for å oppdage og håndtere bedrageri (f.eks., for å avgjøre om kontoen din brukes til bedrageri eller hvitvasking av penger, eller for å oppdage om bedragere har fått tilgang til kontoen din), eller for å behandle kortsøknader og vurdere kreditt- og sikkerhetsrisikoer. Disse metodene testes regelmessig for å sikre at de forblir rettferdige, effektive og objektive.
Du kan kontakte vår DPO på DPO-Europe@aexp.com for å be om en manuell gjennomgang av visse automatiserte behandlingsaktiviteter som kan påvirke dine juridiske eller andre kontraktsmessige rettigheter eller lignende juridiske virkninger.
American Express har utnevnt et personvernombud (DPO) som overvåker overholdelse av BCR. DPO har følgende oppgaver:
- informerer og gir råd til American Express-enheter og American Express-ansatte om sine forpliktelser i henhold til gjeldende personvernlovgivning
- overvåker overholdelse av gjeldende personvernlovgivning gjennom vurdering av viktige risikoindikatorer og kontroller. DPO rapporterer resultatene av disse overvåkingsaktivitetene til det relevante interne overordnede styringsforumet.
- gir råd i forbindelse med vurdering av personvernkonsekvenser effekten av dette
- samarbeider med tilsynsmyndigheter og
- fungerer som et kontaktpunkt for tilsynsmyndigheter
DPO, som er oppnevnt på grunnlag av faglige kvalifikasjoner, rapporterer til American Express Chief Privacy Officer. DPO er oppnevnt av European American Express-enhetene som styremedlem i AEESA og American Express Payments Europe SA, konsernets primære enheter for utstedelse og oppkjøp i Europa.
Utnevnelsen kommuniseres til tilsynsmyndighetene i de europeiske landene der American Express er etablert.
DPO samarbeider tett med et nettverk av personvernspesialister og compliance-advokater lokalisert i hvert europeiske marked som overvåker overholdelse av gjeldende personvernlovgivning i deres region. DPO støttes i varetakelsen av sine oppgaver av Global Privacy Office ledet av American Express Chief Privacy Officer.
Alle American Express BCR-enheter leverer passende opplæringsmateriell og kurs for alle ansatte, og spesielt for ansatte som samler inn, behandler, har permanent eller regelmessig adgang til personopplysninger eller som er involvert i utviklingen av verktøy som brukes til behandling av data for å sikre at de er klar over sine forpliktelser i henhold til gjeldende personvernlovgivning og disse BCR-ene. Slike kurs er obligatoriske, og fullførelsen overvåkes.
American Express har implementert et program for overholdelse av retningslinjer som sørger for regelmessige kontroller og revisjoner av American Express BCR-enheters operasjoner (etter intern eller, om nødvendig, av eksterne revisorer) for å sikre at BCR-ene og alle relaterte retningslinjer og prosedyrer blir overholdt og oppdatert.
Revisjon av databeskyttelsen dekker alle aspekter av BCR-ene, inkludert metoder for å sikre at korrigerende tiltak finner sted.
Ytterligere revisjon av databeskyttelsen kan bli forlangt av DPO på eget initiativ eller på spesifikk forespørsel fra en American Express BCRs-enhet. American Express interne revisjonsgruppe, som er et uavhengig kontrollorgan, vil vurdere muligheten for disse revisjonsforespørslene i henhold til deres rammeverk for risikovurdering.
Resultatene av disse kontrollene av overholdelse av retningslinjer og revisjoner vil bli kommunisert til Global Privacy Office of American Express, DPO, relevante tilsynsmyndigheter (hvis ønskelig) og gjort tilgjengelig for revisjonskomiteen i styret i American Express Company.
Når det blir funnet et avvik mellom praksis og retningslinjer, må den relevante American Express BCRs-enheten følge enhver spesifikk veiledning fra DPO. Der veiledningen ikke kan etterleves, må American Express BCR-enheten dokumentere årsaken til dette.
American Express vil også samarbeide med eventuelle kontroller av overholdelse av retningslinjer utført av en i den pågjeldende jurisdiksjon, enten den er utløst som svar på en klage fra en registrert, eller på tilsynsmyndighetens eget initiativ
8.1. Ansvarsområde for American Express BCR-enheter
American Express BCR-enheter er ansvarlige for å overholde BCR-ene. I tillegg til det individuelle ansvaret til American Express BCR-enheter, vil AEESA påta seg ansvaret for ethvert brudd på BCR-ene begått av en American Express BCR-enhet utenfor EØS som behandler personopplysninger i henhold til gjeldende personvernlovgivning. AEESA har rett til å iverksette nødvendige tiltak for å avhjelpe handlinger eller unnlatelser begått av enhver American Express BCR-enhet som behandler personopplysninger i strid med BCR-ene.
AEESA er ansvarlig for å betale erstatning som skyldes materielle eller ikke-materielle skader som er påført registrerte som følge av brudd på BCR-ene. Godtgjørelse må avtales av DPO før et tilbud om oppreisning eller betaling fremsettes. All kompensasjon som betales, skal fullt ut oppfylle den registrertes krav mot alle American Express BCRs-enheter. For å unngå tvil, strekker AEESAs ansvar seg til handlinger eller utelatelser fra enhver American Express BCR-enhet utenfor EØS som bryter BCR.
Hvis en American Express BCR-enhet (også når denne enheten ligger utenfor EØS) bryter BCR-ene, vil de kompetente europeiske domstolene ha jurisdiksjon i forhold til et slikt brudd. I den grad en American Express BCR-enhet bryter BCR, kan den registrerte, tilsynsmyndigheter og domstoler i de relevante jurisdiksjoner utøve sine rettigheter og fremme et krav mot AEESA som om slik handling hadde blitt utført av AEESA i EØS (for mer informasjon om hvordan du sender inn en klage, se § 9 nedenfor).
8.2. Rettigheter til begunstiget tredjepart
Hver registrerte kan håndheve mot AEESA eller en hvilken som helst American Express BCR-enhet, vilkårene i følgende bestemmelser i BCR-ene som begunstiget tredjepart:
- prinsipper for personvern (§ 4.1)
- åpenhet og enkel tilgang til BCR (§ 1.2 og 4.1.1)
- Registrertes rettigheter (§ 4.2)
- overholdelse, håndhevelse og ansvar (§ 8)
- rett til å klage gjennom American Express interne klagemekanisme (§ 9)
- rett til å bringe inn en klage for tilsynsmyndigheten og for kompetent europeisk domstol (§ 9)
- samarbeid med tilsynsmyndigheter (§ 10), og
- lovkonflikt (§ 11.1).
8.3. Bevisbyrde
Det er AEESA som skal bevise at en American Express BCR-enhet utenfor EØS ikke er ansvarlig for det påståtte bruddet på BCR som gir opphav til den registrertes krav om erstatning for skade. Der AEESA kan bevise at en American Express BCR-enhet utenfor EØS ikke er ansvarlig for hendelsen som gir opphav til skaden, kan AEESA og slikt selskap fraskrive seg ansvar og forpliktelser.
Hvis du ønsker å sende inn en klage eller krever å utøve dine rettigheter i forhold til disse BCR-ene, oppfordres du til å kontakte DPO når som helst, skriftlig til AEESAs hovedkvarter, American Express Europe SA, Avenida Partenón 12 - 14, 28042 Madrid / SPANIA eller via e-post til DPO-Europe@aexp.com.
Vår DPO vil behandle klagene dine uten unødig forsinkelse og i alle tilfeller innen en måned. På grunn av kompleksitet og antall forespørsler, kan denne enmåneds periode forlenges maksimalt med ytterligere to måneder, i så fall vil vi informere deg om dette.
Hvis du vil ha mer informasjon om American Express klagebehandlingsprosess og om hvordan du sender inn en klage, bes du lese vår online personvernerklæring.
Hvis problemet ikke løses til din tilfredshet, kan du også:
- sende inn en klage til tilsynsmyndigheten i den medlemsstaten der du bor, arbeider eller hvor overtredelse har funnet sted
- bring kravet inn for en kompetent domstol i det europeiske landet der den relevante American Express BCR-enheten er etablert eller der du bor, og hvis det er aktuelt, få kompensasjon for skadene du pådro deg som følge av brudd på ovennevnte rettigheter til begunstiget tredjepart.
Alle American Express BCR-enheter vil samarbeide med, og godta å bli revidert av, enhver kompetent tilsynsmyndighet og vil overholde råd fra disse tilsynsmyndighetene i eventuelle spørsmål angående gjeldende personvernlovgivning.
Hvis tilsynsmyndigheten finner at en av American Express BCR-enheter har brutt noen av rettighetene til den registrerte under disse BCR-ene, vil denne American Express BCR-enheten rette seg etter tilsynsmyndigheten, med forbehold om retten til å gjøre innsigelse eller anke slik kjennelse.
11.1. Nasjonal lovgivning som hindrer overholdelse av EU BCR-er
I fall en American Express BCR-enhet har grunn til å tro at en lov som den er underlagt, utelukker overholdelse av BCR-ene eller sannsynligvis vil ha en betydelig effekt på garantiene som er angitt i BCR-ene, vil den relevante kontakten for denne American Express BCR-enheten informere DPO ved AEESA med mindre det er forbudt i henhold til gjeldende lov. Der det er nødvendig, vil DPO varsle den kompetente tilsynsmyndigheten om lovkonflikten, i den grad det er forbudt i henhold til gjeldende lov.
Hvis en American Express BCR-enhet mottar en forespørsel om personopplysninger fra en politimyndighet eller et statlig sikkerhetsorgan, vil DPO informere den kompetente tilsynsmyndigheten om forespørselen (inkludert informasjon om de forespurte dataene, det forespurte organet og det juridiske grunnlaget for utlevering). Hvis inndragning og/eller varslingen av den kompetente tilsynsmyndigheten i bestemte tilfeller er forbudt i henhold til gjeldende lov, vil American Express gjøre sitt beste for tilsidesette dette forbudet for raskest mulig å kunne kommunisere så mye informasjon som mulig til den kompetente tilsynsmyndigheten, og dokumentere at den gjorde det.
Hvis American Express BCR-enheten i de ovennevnte tilfellene, til tross for å ha gjort en rimelig innsats, ikke er i stand til å varsle den kompetente tilsynsmyndigheten, vil den årlig gi generell informasjon om forespørslene den mottok til den kompetente tilsynsmyndigheten (for eksempel antall forespørsler om utlevering, type personopplysninger, om mulig navn på forespørrer osv.).
I ethvert tilfelle vil overføring av personopplysninger fra en American Express BCR-enhet til enhver offentlig myndighet ikke være omfattende, uforholdsmessig og ukritisk. Denne begrensningen skal gjelde for enhver juridisk bindende forespørsel om utlevering av personopplysninger av en rettshåndhevende myndighet eller statlig sikkerhetsorgan.
11.2. Forholdet mellom nasjonale lover og EU BCR
Der gjeldende personvernlovgivning krever et høyere beskyttelsesnivå for personaldata, vil disse personvernlovene ha forrang fremfor disse BCR-ene.
Vi kan oppdatere vilkårene i BCR-ene våre til for eksempel å avspeile endringer i forskrifter eller selskapsstruktur. Vi forplikter oss til å rapportere vesentlige endringer i BCR-ene våre uten unødig forsinkelse til alle American Express BCR-enheter og til AEPD. Eventuelle endringer i BCR-ene eller listen over American Express BCR-enheter vil bli rapportert en gang i året til de relevante tilsynsmyndighetene, via de kompetente tilsynsmyndighetene med en kortfattet forklaring på årsakene som berettiger oppdateringen. Der en endring muligens vil påvirke beskyttelsesnivået som gis ved disse BCR-ene eller påvirker disse BCR-ene betydelig, vil det umiddelbart bli kommunisert til de relevante tilsynsmyndighetene, via den kompetente tilsynsmyndigheten.
American Express har utpeket et team som fører en fullstendig oppdatert liste over American Express BCR-enheter og fører oversikt over og registrerer eventuelle oppdateringer av reglene og gir nødvendig informasjon til de registrerte eller tilsynsmyndighetene på forespørsel. I tillegg vil American Express BCR-enhetene avstå fra å foreta overføring til en ny American Express BCR-enhet før den nye enheten er effektivt bundet av disse BCR-ene og kan overholde retningslinjene.
- Beskrivelse av typer og formål med behandlingsaktiviteter
American Express er et globalt integrert betalings- og reiseselskap som hovedsakelig er engasjert i fire segmenter: i) Betalingsløsninger for privatpersoner , ii) betalingsløsninger for butikker, iii) Betalingsnettverket og drift, og (iv) reise-, møte- og arrangementstjenester. Våre behandlingsaktiviteter utføres i sammenheng med disse aktivitetene, som beskrevet nedenfor.
i) Betalingsløsninger for privatpersoner
American Express utsteder et bredt spekter av betalingsløsninger (for eksempel betalingskort og kredittkort) til enkeltpersoner, hver med tilknyttede tjenester (for eksempel lojalitetsprogrammer, medlemskaps- og bonusordninger og forsikringsmekling).
-> For dette formålet behandler vi personopplysninger hovedsakelig for å administrere og betjene våre kontraktsforhold for å administrere fordeler, forsikring eller andre programmer der du er registrert, for å levere produkter og tjenester, for å utføre studier og analyser for å forbedre våre produkter og tjenester, for å bedre forstå våre kunder og levere en mer personlig service, for å håndtere våre bedrageri- og sikkerhetsrisikoer, for å markedsføre våre produkter og tjenester (underlagt samtykke der det kreves av gjeldende personvernlovgivning), eller for å overholde gjeldende lover).
American Express tilbyr også kommersielle produkter og tjenester til bedrifter (inkludert betalingsløsninger for større firmaer, utgiftshåndteringstjenester og låneprodukter).
-> For dette formålet behandler vi personopplysninger hovedsakelig for å administrere og betjene våre kontraktsforhold; for å levere kommersielle produkter og tjenester; for å gjøre det mulig for kundene å lage rapporter som gjør det mulig for dem å opprettholde effektive innkjøpspolicyer, reisepolicyer og prosedyrer; for å utvikle retningslinjer for risikostyring, modeller og prosedyrer og/eller ta beslutninger om hvordan vi administrerer kundenes kontoer; for å utveksle informasjon med svindelforebyggende institusjoner for å spore skyldnere, inndrive gjeld, forhindre bedrageri, administrere kontoer eller forsikringspoliser; for å ta beslutninger om å tilby produkter som kreditt- og relaterte tjenester; eller for å overholde gjeldende lover).
ii) Betalingsløsninger for butikker
American Express driver en global betalingsløsningsvirksomhet, som inkluderer å inngå avtaler med butikker om å godta American Express-kort og andre finansielle produkter fra kundene sine som betalingsmiddel, samt tillate American Express å utføre behandling og oppgjør av korttransaksjoner for disse butikkene.
Som en del av denne betalingsløsningen bistår American Express butikker som mottar American Express-kort ved å tilby analytisk ekspertise og konsulenttjenester for å identifisere nye trender, muliggjøre produktutvikling og muliggjøre utvidelse og forbedringer av markedsføring gjennom mer effektiv bruk av American Express' datainfrastruktur. Behandlingsaktivitetene som utføres for disse formålene, vil skape anonymiserte eller aggregerte databaser der det er hensiktsmessig.
-> For dette formålet behandler vi personopplysninger hovedsakelig for å administrere og betjene vårt kontraktsforhold med butikker, for å utveksle informasjon med kredittopplysningsbyråer for å forhindre bedrageri eller spore skyldnere eller med det formål å verifisere identitet, for å utvikle våre produkter og/eller etter samtykke der det kreves av gjeldende personvernlovgivning, for å tilby produkter og tjenester, eller for å overholde gjeldende lover, inkludert lov(er) mot hvitvasking av penger og terrorisme.
iii) Betalingsnettverket og drift
American Express-nettverket godkjenner, gjør opp og betaler korttransaksjoner og tilbyr flerkanals markedsføringsprogrammer og -funksjoner, tjenester og dataanalyse. De administrerer og utvikler American Express pålitelighets-, sikkerhets- og behandlingsfunksjoner for betalingsnettverket for å muliggjøre handel over hele kloden. I tillegg administrerer American Express-nettverket en rekke funksjoner som muliggjør betalinger på nye måter eller via nye kanaler og implementerer retningslinjer for å styre de mange partene som engasjerer seg i nettverket.
-> For dette formålet, behandler vi personopplysninger hovedsakelig for å administrere transaksjoner for American Express kunder med butikker som godtar American Express. Behandlingsaktiviteter inkluderer tiltak for å forhindre bedrageri og for å overholde gjeldende lover, inkludert lov(er) mot hvitvasking av penger og terrorisme.
iv) Reise-, møte- og arrangementstjenester
American Express er en av verdens største reisebyråforretninger og foretar årlig millioner av reisebestillinger for forbrukere og ansatte hos bedriftskunder, og unntakelsesvis deres reisefølge, som kan ønske å reise hvor som helst i verden.
American Express Global Business Travel (GBT) tilbyr også ekspertise innen reiseledelse til bedriftskunder og bistår kunder med å organisere møter og arrangementer på global basis. Detaljer om GBTs behandlingsaktiviteter finner du her- https://privacy.amexgbt.com/.
American Express tilbyr også reisebyråtjenester til private forbrukere, men først og fremst de som er innehavere av et American Express-kort.
-> For dette formålet behandler vi kundenes personopplysninger hovedsakelig for å administrere kundeforholdet, for å levere tjenester, for å utføre studier og analyse for å forbedre våre produkter og tjenester, for å bedre forstå våre kunder og levere en mer personlig service, for å markedsføre våre produkter og tjenester (underlagt samtykke der det kreves av gjeldende personvernlovgivning), eller for å overholde gjeldende lover).
v) Ansatte
American Express BCR-enheter behandler også ansattes personopplysninger hovedsakelig med det formål å administrere og oppfylle sitt ansettelsesforhold med American Express-ansatte (for eksempel avtaler eller fratredelse, bakgrunnsundersøkelser, ytelsesstyring, arbeidsledelse eller andre personalsaker i forhold til ledelse av ansattes relasjoner), og for å overholde interne retningslinjer og gjeldende lover).
- Beskrivelse av de ulike typene personopplysninger
Personopplysninger som behandles er beskrevet i de ulike personvernerklæringene fra American Express, som gjelder for de registrertes forhold til American Express, og kan generelt beskrives som følger:
i) Kundenes personopplysninger
Kundenespersonopplysninger kan inneholde personlige opplysninger (for eksempel navn, adresse og annen kontaktinformasjon), informasjon knyttet til produkter og tjenester som de bruker og kjøper, kredittverdighet, nettaktivitet, inkludert informasjon vi samler inn når kunder får adgang til våre online kontotjenester eller via informasjonskapsler og lignende teknologier, informasjon knyttet til livsstil og sosiale forhold, osv. For å gjennomføre reiser, møter og arrangementer relatert til tjenester, må American Express behandle personopplysninger knyttet til den reisende, inkludert nasjonalitet, passopplysninger, kjønn, fødselsdato, -sted og reisepreferanser (tilsammen “ Kundenes personopplysninger”).
I noen tilfeller kan kundenes personopplysninger omfatte særlige kategorier av personopplysninger, for eksempel biometrisk informasjon for sikkerhetsformål (f.eks., ID-tale) eller, for reiserelaterte tjenester, detaljer om eventuelle funksjonshemminger som kan påvirke muligheten for å reise.
ii) Ansattes personopplysninger
Ansattes personopplysninger inkluderer ofte for eksempel personopplysninger (som navn, adresse, fødselsdato, telefonnummer), familieforhold, informasjon knyttet til livsstil og sosiale forhold, produkter og tjenester blir brukt, online aktivitet, kredittverdighet, tillitsverv, innvandringsstatus, utdannings- og ansettelseshistorikk og annen ansettelsesrelatert informasjon som prestasjoner eller talenter og kompensasjons- og fordelsinformasjon (sammen “ ansattes personopplysninger”).
I noen tilfeller, og der det er tillatt iht. nasjonal lovgivning, kan ansattes personopplysninger omfatte særlige kategorier av personopplysninger, inkludert informasjon om rasemessig og etnisk opprinnelse, seksuell orientering, informasjon om ansattes helse, bedriftshelseordninger, biometriske data, overvåking av like muligheter, informasjon om fagforeninger og arbeidsråd.
American Express BCR-enhetene befinner seg i følgende land:
- Argentina
- Østerrike
- Australia
- Belgia
- Canada
- Kina
- Colombia
- Tsjekkia
- Danmark
- Finland
- Frankrike
- Tyskland
- Hellas
- Hongkong
- Ungarn
- India
- Irland
- Italia
- Japan
- Jersey
- Malaysia
- Mexico
- Nederland
- Norge
- Filippinene
- Polen
- Russland
- Singapore
- Slovakia
- Spania
- Sverige
- Sveits
- Taiwan
- Thailand
- Storbritannia og Nord-Irland
- USA
“AEESA” - betyr American Express Europe, S.A., Avenida Partenón 12 - 14, Madrid, 28042. AEESA er det europeiske selskapet i American Express som har påtatt seg ansvaret for å sikre at personopplysninger behandles i samsvar med BCR-ene. AEESA er underskriver av konsernavtalen.
“American Express BCR-enhet” eller “American Express BCR-enheter” eller “vi” eller “oss” - betyr American Express-enheten eller -enhetene som er bundet av bindende virksomhetsregler.
“American Express Company” - betyr American Express Company, i World Financial Center, 200 Vesey St., New York, NY 10285 USA. American Express Company er en underskriver av konsernavtalen.
“American Express personvernerklæring” - betyr personvernerklæringen for kortmedlemmet (for kortmedlemmer), online personvernerklæringen (for kunder og besøkende på nettstedet), personvernerklæringen for online rekruttering (for potensielle ansatte) eller personvernerklæringen for ansatte (nåværende ansatte) og andre merknader, vilkår og betingelser (for eksempel for butikker og bedriftskunder) som gjelder for den registrertes forhold til American Express og som kan endres fra tid til annen.
“Behandling” eller behandle - betyr enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger eller samling av personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring.
“Behandlingsansvarlig”: en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes.
“Databehandler” - betyr den fysiske eller juridiske personen, offentlig myndighet, etat eller et hvilket som helst annet organ som behandler personopplysninger på vegne av og under instruksjonene fra behandlingsansvarlig.
“Datainnbrudd” eller “brudd på personopplysningssikkerheten” - betyr et brudd på sikkerheten som fører til utilsiktet eller ulovlig ødeleggelse, tap, endring, uautorisert utlevering av eller tilgang til personopplysninger som overføres, lagres eller på annen måte behandles.
"Den/de registrerte” eller “du” en identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en nettidentifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet innenfor rammene av disse BCR-ene.
“EØS” – betyr Det europeiske økonomiske samarbeidsområdet, som omfatter alle EU-land så vel som Island, Liechtenstein og Norge.
“GDPR” – betyr den generell personvernforordning 2016/679.
“Gjeldende personvernlovgivning” - betyr GDPR (og de nasjonale implementerings-lovgivningene), Kommunikasjonsverndirektivet 2002/58/EF (og de nasjonale imple-menterings¬lovgivningene), og enhver annen personvernlov og -forskrift som gjelder i EØS (alt ovenfor kan endres og erstattes fra tid til annen).
“Intra-Group Agreement” - betyr den konsernavtalen som binder American Express BCR-enheter til BCR-ene.
“Overføring” - betyr enhver overføring av personopplysninger fra ett selskap i EØS til et annet eller videre overføring som ellers ville være begrenset av GDPR. En overføring utføres via en hvilken som helst kommunikasjon, kopi eller utlevering av personopplysninger gjennom et nettverk, inkludert ekstern tilgang til en database eller overføring fra et hvilket som helst medium til et annet.
“Personopplysninger” - betyr all informasjon relatert til en identifisert eller identifiserbar fysisk person (den registrerte) som er innenfor rammen av disse BCR.
“Profilering” - betyr automatisert behandling av personopplysninger for å analysere og evaluere visse personlige aspekter knyttet til enkeltpersoner (for eksempel deres prestasjoner på jobb, kredittverdighet, pålitelighet, oppførsel) eller å gjøre prediksjoner om dem.
“Særlige kategorier av personopplysninger” - betyr alle personopplysninger som avslører rasemessig eller etnisk opprinnelse, politiske meninger, religiøse eller filosofiske overbevisninger, eller fagforeningsmedlemskap, genetiske data eller biometriske data behandlet med det formål å unikt identifisere en fysisk person, data om helse eller data om en fysisk persons sexliv eller seksuelle orientering.
“Samtykke” - betyr enhver fritt gitt, spesifikk, informert og entydig indikasjon, gjennom en uttalelse eller klar bekreftende handling, av de registrertes avtale om behandling av deres personopplysninger.
“Tilsynsmyndighet” – betyr en uavhengig offentlig myndighet som er etablert av en medlemsstat i henhold til artikkel 51 i GDPR.
“Vurdering av personvernkonsekvenser” – betyr en vurdering av virkningen av en planlagt behandling på beskyttelsen av personopplysninger som utføres der behandlingen sannsynligvis vil resultere i en høy risiko for rettighetene og frihetene til de registrerte.
AMERICAN EXPRESS
Copyright © 2024 American Express Company