Bindende Ondernemingsregels van American Express voor de EU (‘EU BCRs’)

Return to top

Onze BCRs zijn wettelijk bindend voor de entiteiten van American Express en hun werknemers die onder de BCRs vallen krachtens een Intragroepsovereenkomst tussen het bedrijf American Express en American Express Europe, S.A. (AEESA), de wettelijke vertegenwoordiger van American Express in de EER. 

Elke entiteit van American Express die onder de BCRs valt en zijn werknemers mogen persoonsgegevens enkel verwerken in overeenstemming met deze BCRs. Werknemers die deze BCRs schenden, kunnen aan disciplinaire maatregelen worden onderworpen. 

Return to top

3.1. Geografische reikwijdte

Onze BCRs zijn van toepassing op elke verwerking van persoonsgegevens die valt onder de toepasselijke wetgeving met betrekking tot Gegevensbescherming. Het betreft persoonsgegevens van een betrokkene die verwerkt zijn of verwerkt worden in de context van de activiteiten van een American Express BCRs entiteit gevestigd in de EER, zelfs als de verwerking wordt uitgevoerd door een American Express BCRs entiteit buiten de EER. 

3.2. Materiële reikwijdte 

In zijn capaciteit als verwerkingsverantwoordelijke verwerkt American Express de persoonsgegevens van vroegere, huidige en toekomstige werknemers, directeuren, contractanten, individuele consultants, tijdelijke uitzendkrachten, of deze nu voltijds, deeltijds, permanent of tijdelijk tewerkgesteld zijn door American Express, alsook deze van gepensioneerden (hierna "Werknemers") en de persoonsgegevens van vroegere, huidige en toekomstige consumenten van American Express, en natuurlijke personen die werkzaam zijn bij de zakelijke klanten, leveranciers en partners van American Express (hierna "Klanten").

De doeleinden waarvoor American Express  persoonsgegevens verwerkt hebben voornamelijk betrekking op consumenten-, commerciële-, handels-, verzekerings-, reis-, vergaderingen en evenementen, en netwerkdiensten, alsmede op personeelszaken.

Om de internationale activiteiten van American Express op een effectieve manier uit te voeren, kan de verwerking van persoonsgegevens door de American Express BCRs entiteiten, in verband met de doeleinden die in deze BCRs worden bepaald, een doorgifte van Persoonsgegevens van Betrokkenen omvatten van een  American Express BCRs entiteit binnen de EER naar een American Express BCRs entiteit buiten de EER (inclusief van landen in de EER naar de Verenigde Staten, waar de belangrijkste servers van American Express gevestigd zijn), en elke andere verdere doorgifte van de ontvangen persoonsgegevens naar een derde partij buiten de American Express groep. 

U kan een uitgebreider overzicht van de Verwerkingsactiviteiten van American Express terugvinden in Bijlage 1. Om te zien waar onze American Express BCR entiteiten zich bevinden, kan u Bijlage 2 raadplegen. 

Return to top

Bij de verwerking van uw persoonsgegevens verbinden de American Express BCRs entiteiten zich ertoe zich te houden aan robuuste beginselen voor de bescherming van persoonsgegevens (paragraaf 4.1) en uw rechten met betrekking tot gegevensbescherming te respecteren (paragraaf 4.2).  

4.1. Principes van gegevensbescherming

4.1.1. Transparantie en behoorlijkheid 

De American Express BCRs entitetiten verzamelen en verwerken uw persoonsgegevens op een transparante en behoorlijke manier. 

We zorgen dat U gemakkelijk toegang krijgt tot de informatie over onze verwerkingsactiviteiten, zoals vereist door de Algemene Verordening Gegevensbescherming (hierna ‘AVG’). Deze informatie wordt U ter beschikking gesteld in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm, in duidelijke en eenvoudige taal, en is beschikbaar in de relevante Privacyverklaringen van American Express, zoals deze van toepassing zijn op uw relatie met ons. Deze verklaringen en algemene voorwaarden kunnen ook extra bepalingen bevatten die relevant zijn voor de verwerking van persoonsgegevens, overeenkomstig de nationale toepasselijke wet- en regelgeving. 

Wanneer persoonsgegevens van de betrokkene worden verzameld, wordt met name de volgende informatie doorgegeven op het moment dat de persoonsgegevens worden verzameld: 

- de identiteits- en contactgegevens van de verwerkingsverantwoordelijke en, indien van toepassing, zijn vertegenwoordiger;

- de contactgegevens van de DPO;

 - de doeleinden van de verwerking waarvoor de persoonsgegevens bedoeld zijn en de rechtsgrond voor de verwerking; - indien van toepassing, de ontvangers of categorieën ontvangers van de persoonsgegevens;

 - het bestaan van doorgiften van persoonsgegevens aan landen zonder passend beschermingsniveau en de passende vrijwaringsmaatregelen die zijn genomen om hetzelfde beschermingsniveau te waarborgen als vereist door de AVG;

 - de bewaarperiode van de persoonsgegevens, of, indien dit onmogelijk is, de criteria die worden gebruikt om die periode te bepalen, en het bestaan van de rechten van de betrokkenen, zoals erkend in de AVG.

Wanneer de persoonsgegevens niet via de betrokkene verzameld zijn, wordt bovenstaande informatie, de categorieën van de relevante persoonsgegevens en de bron waar de persoonsgegevens vandaan komen, tijdig gecommuniceerd (tenzij de betrokkene al over de informatie beschikt, het verstrekken van die informatie onmogelijk blijkt of onevenredig veel inspanning zou vergen, het verkrijgen of verstrekken van de gegevens vastgelegd is in het recht van de EU of van de lidstaten of wanneer de persoonsgegevens vertrouwelijk moeten blijven uit hoofde van een beroepsgeheim EU recht of het recht van de lidstaten, waaronder een statutaire geheimhoudingsplicht).

Onze BCRs informeren U over de rechten die U als derde begunstigde mag afdwingen van AEESA of een andere American Express BCRs entitieit met betrekking tot de verwerking van uw persoonsgegevens krachtens deze BCRs (hierna "Rechten van Derde Begunstigden") en over de manieren waarop u dergelijke rechten kunt uitoefenen (zie paragraaf 8). Daarnaast geven deze BCRs U informatie over de beginselen van gegevensbescherming die we toepassen bij de verwerking van uw persoonsgegevens (zoals uitgelegd in deze paragraaf 4) en informatie over de aansprakelijkheid van de American Express BCRs entiteiten in geval van een inbreuk op deze BCRs (zie paragraaf 8).

Daarnaast kunt U op verzoek altijd een kopie van onze BCRs verkrijgen. Een openbare versie zal beschikbaar zijn op de publieke websites van de American Express BCRs entiteiten in de EER en op ons intranet indien U een werknemer bent.

4.1.2. Rechtmatigheid van de verwerking 

Uw persoonsgegevens en bijzondere categorieën van gegevens worden op een behoorlijke en rechtmatige manier verwerkt, in overeenstemming met de toepasselijke wetgeving inzake gegevensbescherming. De rechtsgronden voor de verwerking van uw persoonsgegevens worden uitgebreid beschreven in de relevante Privacyverklaringen van American Express, zoals deze van toepassing zijn op uw relatie met American Express.

• Verwerking van Persoonsgegevens

Uw persoonsgegevens worden enkel verzameld en verwerkt als er een rechtsgrond is voor de verwerking: 

- wanneer U uw uitdrukkelijke toestemming hebt gegeven (bijvoorbeeld om U per e-mail advertenties, promoties en aanbiedingen voor producten en diensten van American Express te sturen);

 - wanneer de verwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij U partij bent of om op uw verzoek voorafgaand aan het aangaan van een overeenkomst maatregelen te nemen (bijvoorbeeld voor het beheer van onze contractuele relatie met U, voor de verwerking van uw aanvraag voor een kaart, rekening of ander product of voor het beheer van uw bestaande rekeningen);

 - wanneer de verwerking noodzakelijk is voor het vervullen van een wettelijke verplichting (bijvoorbeeld om bepaalde verdachte transacties aan de bevoegde autoriteiten te melden uit hoofde van de anti-witwasregels of om een due diligence uit te voeren op klanten voordat hun aanvraag wordt goedgekeurd zoals vereist door de wet); of

- wanneer de verwerking noodzakelijk is voor de gerechtvaardigde belangen van een American Express BCRs entiteit of van derde partijen (bijvoorbeeld om producten en diensten te leveren, reclame te maken voor producten en diensten en deze op de markt te brengen, onderzoek en analyse te verrichten, en onze fraude- en veiligheidsrisico’s te beheren), behalve wanneer uw belangen of rechten en vrijheden zwaarder wegen dan dergelijke belangen. 

• Verwerking van bijzondere categorieën gegevens

We kunnen bijzondere categorieën gegevens verzamelen, inclusief gegevens over gezondheid, biometrische gegevens, seksuele geaardheid en/of ras/etnische afkomst. Deze gegevens worden verzameld en verwerkt om te voldoen aan wettelijke vereisten, voor doeleinden die essentieel zijn voor het beheer van de arbeidsrelatie of indien verkregen met uitdrukkelijke toestemming, en enkel indien toegestaan door de toepasselijke wetgeving. 

Soms kunt U ons dit soort gegevens doorgeven om uw reis bij ons te verbeteren (bijvoorbeeld indien U ons informatie doorgeeft over specifieke dieetvoorschriften of uw behoefte aan speciale hulp tijdens een vlucht).

In de beperkte mate dat bijzondere categorieën gegevens worden verzameld, worden ze alleen verwerkt onder één van de hierboven vermelde rechtsgronden, en op voorwaarde dat één van de voorwaarden voor verwerking van bijzondere categorieën gegevens van toepassing is, bijvoorbeeld wanneer:

- U uw uitdrukkelijke toestemming hebt gegeven voor de verwerking;

- de verwerking noodzakelijk is voor de uitvoering van de verplichtingen en de specifieke rechten van American Express op het gebied van het arbeidsrecht en het recht inzake sociale zekerheid en sociale bescherming;

- de verwerking betrekking heeft op bijzondere categorieën gegevens die U kennelijk openbaar hebt gemaakt;

- de verwerking noodzakelijk is voor de instelling, uitoefening of onderbouwing van een rechtsvordering;

- de verwerking om redenen van zwaarwegend algemeen belang gebeurt, op grond van het recht van de EU of een lidstaat. 

Daarnaast zullen American Express BCR entiteiten versterkte maatregelen nemen om bijzondere categorieën gegevens te verwerken, zoals vereist door de toepasselijke wetgeving inzake gegevensbescherming.

4.1.3. Minimale gegevensverwerking, juistheid en opslagbeperking

De American Express BCR entiteiten gebruiken passende technologie en gevestigde praktijken voor werknemers om uw persoonsgegevens onverwijld en correct te verwerken. 

We nemen redelijke maatregelen om ervoor te zorgen dat uw persoonsgegevens: 

- correct en geactualiseerd zijn, gelet op de doeleinden waarvoor zij worden verwerkt (juistheid van gegevens). Onjuiste persoonsgegevens worden onverwijld gewist of rechtgezet;

 - toereikend en relevant zijn en niet overmatig in verband met het doel waarvoor de persoonsgegevens verzameld en verwerkt zijn (minimale gegevensverwerking); 

- niet langer in een identificeerbare vorm worden bewaard dan noodzakelijk voor de doeleinden waarvoor de persoonsgegevens worden verwerkt en zullen alleen langer worden bewaard met het oog op archivering zoals toegestaan of vereist door toepasselijke wetgeving, en in dat geval enkel indien gepaste administratieve, technische en organisatorische maatregelen getroffen zijn.

4.1.4. Doelbinding 

De American Express BCRs entiteiten verzamelen persoonsgegevens enkel voor specifieke en gerechtvaardigde doeleinden. We verwerken uw Persoonsgegevens op een behoorlijke manier en alleen voor de doeleinden die we U hebben meegedeeld, of voor doeleinden die door U of door toepasselijke wetgeving inzake gegevensbescherming zijn toegestaan. We zorgen dat uw persoonsgegevens niet verder worden verwerkt op een wijze die onverenigbaar is met deze doeleinden.

4.1.5. Gegevensbeveiliging en vertrouwelijkheid

American Express heeft een uitgebreid, schriftelijk informatiebeveiligingsprogramma geïmplementeerd dat voldoet aan de toepasselijke wetgeving en de toepasselijke wetgeving inzake gegevensbescherming en verbindt zich ertoe dit te zullen handhaven.

De American Express BCRs entiteiten treffen passende administratieve, technische en organisatorische maatregelen om uw persoonsgegevens te beschermen tegen onbedoelde of onwettige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking of toegang tot de persoonsgegevens die worden doorgegeven, opgeslagen of op een andere manier worden verwerkt. We houden uw persoonsgegevens vertrouwelijk en beperken de toegang tot diegenen deze specifiek nodig hebben voor de uitoefening van hun professionele activiteiten, behalve indien anders vereist door toepasselijke wetgeving.

Dergelijke maatregelen zorgen voor een op het risico afgestemd beveiligingsniveau en houden rekening met de stand van de techniek, de uitvoeringskosten en de aard, de reikwijdte, de context en het doel van de verwerking alsook met de waarschijnlijkheid en ernst van de uiteenlopende risico's voor de rechten en vrijheden van betrokkenen, en kunnen naargelang het geval het volgende omvatten:

- de pseudonimisering en versleuteling van persoonsgegevens van betrokkenen,

 - maatregelen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en weerbaarheid van de verwerkingssystemen en diensten te garanderen;

- maatregelen om ervoor te zorgen dat bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens van betrokkenen tijdig kan worden hersteld; en

- een procedure voor het regelmatig testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen om de beveiliging van de verwerking te waarborgen.

We vereisen ook gepaste administratieve, technische en organisatorische maatregelen van derden die door ons geautoriseerd zijn om uw persoonsgegevens in onze naam te verwerken. We gaan contractuele verplichtingen aan met interne en externe gegevensverwerkers die de waarborgen respecteren die vereist zijn door de AVG. 

De verwerking door de gegevensverwerker wordt met name geregeld in een overeenkomst die voor de gegevensverwerker bindend is ten opzichte van de verwerkingsverantwoordelijke en waarin het voorwerp en de duur van de verwerking, de aard en de doeleinden, het soort persoonsgegevens en de categorieën van betrokkenen en de verplichtingen en rechten van de verwerkingsverantwoordelijke zijn vastgelegd. 

De volgende verplichtingen moeten ook in de overeenkomst worden opgenomen op grond waarvan de gegevensverwerker verplicht is om:

- de persoonsgegevens mogen uitsluitend verwerkt worden op basis van gedocumenteerde instructies van de verwerkingsverantwoordelijke of ervoor zorgen dat personen gemachtigd tot het verwerken van de persoonsgegevens zich tot geheimhouding hebben verplicht of door een passende wettelijke geheimhoudingsplicht gebonden zijn;

- alle gepaste technische en organisatorische maatregelen te nemen om een passend niveau van beveiliging te garanderen;

- geen andere gegevensverwerker (hierna "Subprocessor") in dienst te nemen zonder voorafgaande specifieke of algemene schriftelijke toestemming van de verwerkingsverantwoordelijke en enkel op voorwaarde dat dezelfde verplichtingen inzake gegevensbescherming aan die subprocessor worden opgelegd zoals deze beschreven zijn in de overeenkomst tussen de verwerkingsverantwoordelijke en de gegevensverwerker;

- waar mogelijk de verwerkingsverantwoordelijke bij te staan met gepaste technische en organisatorische maatregelen voor de uitvoering van de plichten van de verwerkingsverantwoordelijke om de verzoeken van de betrokkene die zijn rechten uitoefent, te beantwoorden;

- de verwerkingsverantwoordelijke bij te staan bij het nakomen van zijn verplichtingen inzake de beveiliging van de verwerking, inbreuken op persoonsgegevens en effectbeoordelingen inzake gegevensbescherming;

- naargelang de wens van de verwerkingsverantwoordelijke de persoonsgegevens te verwijderen of terug te bezorgen aan de verwerkingsverantwoordelijke na het verlenen van de diensten die betrekking hebben op de verwerking, en bestaande kopieën te verwijderen, tenzij de bewaring van de persoonsgegevens verplicht wordt door de toepasselijke wetgeving;

- alle informatie die nodig is om aan te tonen dat de in  artikel 28 van de AVG bepaalde verplichtingen ten aanzien van gegevensverwerkers worden nageleefd en het mogelijk maken en bijdragen aan audits, inclusief inspecties, uitgevoerd door de verwerkingsverantwoordelijke of een andere auditor gemachtigd door de verwerkingsverantwoordelijke. 

Daarnaast hebben de American Express BCRs entiteiten administratieve, technische en organisatorische maatregelen getroffen om datalekken van persoonsgegevens op te sporen, te onderzoeken, te escaleren en op te lossen. De DPO van American Express wordt onverwijld op de hoogte gebracht van datalekken van persoonsgegevens door de American Express BCRs entiteiten en bepaalt onverwijld of de bevoegde toezichthoudende autoriteit en de betrokkenen op de hoogte moeten worden gebracht in overeenstemming met de vereisten van AVG. Alle datalekken van persoonsgegevens worden gedocumenteerd (met inbegrip van de feiten met betrekking tot de datalek van persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen) en wordt op verzoek ter beschikking gesteld van de toezichthoudende autoriteit.

4.1.6. Verdere doorgifte 

Uw persoonsgegevens worden doorgegeven aan andere American Express BCRs entiteiten en verder doorgegeven aan derden, waarbij altijd gezorgd wordt voor een gepast beschermingsniveau voor de verwerking van uw gegevens zoals vereist door de toepasselijke wetgeving inzake gegevensbescherming, ongeacht waarheen ze worden doorgegeven.

Dit verkeer van gegevens is gelegitimeerd via onze BCRs, die ons toestaan persoonsgegevens door te geven van de EER naar de American Express BCRss entiteiten die buiten de EER gevestigd zijn. 

In alle gevallen van verdere doorgifte (d.w.z. persoonsgegevens die eerst zijn doorgegeven van een American Express BCRs entiteit in de EER aan een American Express BCRs entiteit buiten de EER en die later zijn doorgegeven aan één of meerdere derde partijen die niet onder de BCRs vallen), moeten de American Express BCRs entiteiten zorgen dat met deze derden een schriftelijke overeenkomst aangaan wordt die bepalingen bevat die waarborgen dat de  persoonsgegevens ten minste worden beschermd volgens de vertrouwelijkheids- en beveiligingsnormen van de BCRs of een andere geldige wettige methode gebruiken om te zorgen dat de doorgifte rechtmatig gebeurt en er passende waarborgen worden geboden overeenkomstig artikel 46 van de AVG.

4.1.7. Verantwoordingsplicht 

Alle American Express BCRs entiteiten zijn verantwoordelijk voor deze BCRs en moeten kunnen bewijzen dat ze deze naleven. De naleving van deze voorschriften omvat: 

- het bijhouden van een elektronisch register van de verwerkingsactiviteiten, dat op verzoek beschikbaar wordt gesteld aan de toezichthoudende autoriteiten, en dat de informatie bevat die vereist wordt door de AVG, zoals de naam en de contactgegevens van de verwerkingsverantwoordelijke, de doeleinden van de verwerking, de categorieën van betrokkenen en categorieën persoonsgegevens, de ontvangers van de persoonsgegevens, de doorgifte naar landen buiten de EER, de termijnen voor het wissen van de persoonsgegevens en de beschrijving van de toegepaste beveiligingsmaatregelen;

- het verrichten van effectbeoordelingen inzake gegevensbescherming (alleen van toepassing wanneer de verwerkingsactiviteiten gepaard gaan met een hoog risico voor de rechten en vrijheden van de betrokkenen); en 

- raadpleging van de relevante toezichthoudende autoriteiten wanneer vereist om een dergelijke naleving aan te tonen.

Daarnaast hebben de American Express BCRs entiteiten passende administratieve, technische en organisatorische maatregelen genomen om de beginselen van gegevensbescherming toe te passen en de naleving van vereisten in deze BCRs te vergemakkelijken (gegevensbescherming ‘by design’ en ‘by default’).

4.2. Rechten van de betrokkenen 

• Het recht op inzage, beperking, bezwaar, verbetering, wissing, het recht om toestemming in te trekken en op gegevensoverdraagbaarheid 

Indien van toepassing willigen de American Express BCRs entiteiten uw verzoeken tot uitoefening van uw rechten uit hoofde van de AVG in. Specifiek zorgen we ervoor dat U de volgende rechten kunt uitoefenen: 

- inzage in uw persoonsgegevens (recht op inzage);

- de verwerking van uw persoonsgegevens beperken en/of er bezwaar tegen maken (recht op beperking en recht van bezwaar tegen de verwerking); 

- uw persoonsgegevens te verbeteren (recht op verbetering);

 - uw persoonsgegevens te wissen (recht op gegevenswissing); - een eerder gegeven toestemming voor de verwerking intrekken, en

- uw persoonsgegevens in een gestructureerde, gangbare en machineleesbare vorm verkrijgen en/of dergelijke gegevens overdragen aan een andere verwerkingsverantwoordelijke (recht op gegevensoverdraagbaarheid). 

De American Express BCRs entiteiten moeten zich houden aan een beleid over hoe dergelijke verzoeken moeten worden behandeld om ervoor te zorgen dat U over de middelen beschikt om deze rechten uit te voeren. Als U één van uw rechten wenst uit te oefenen, mag U contact opnemen met onze DPO via DPO-Europe@aexp.com.

• Geautomatiseerde besluitvorming
  

De American Express BCRs entiteiten zorgen dat U niet wordt onderworpen aan besluiten die uitsluitend gebaseerd zijn op geautomatiseerde verwerking van persoonsgegevens, inclusief profilering, die rechtsgevolgen of soortgelijke significante gevolgen hebben, tenzij de verwerking: 

- noodzakelijk is om een overeenkomst tussen U en American Express aan te gaan;

 - toegestaan is door een wet die American Express moet naleven en waarin ook gepaste maatregelen worden bepaald om uw rechten, vrijheden en legitieme belangen te beschermen;

- gebeurt op basis van uw uitdrukkelijke toestemming voor dergelijke verwerking. 

In overeenstemming met de toepasselijke wetgeving zullen we passende maatregelen nemen om uw rechten, vrijheden en uw gerechtvaardigde belangen te beschermen, tenminste het recht op menselijke tussenkomst, om uw standpunt kenbaar te maken en het besluit aan te vechten.

Met inachtneming van deze beperkingen kunnen we geautomatiseerde processen gebruiken om ons te helpen bepaalde beslissingen te nemen, bijvoorbeeld om fraude op te sporen en te beheren (b.v. om te helpen bepalen of uw rekening wordt gebruikt voor fraude of  witwassen praktijken of om op te sporen of fraudeurs toegang tot uw rekening hebben gehad); om kaartaanvragen te verwerken en om krediet- en beveiligingsrisico's te beoordelen. Deze methodes worden regelmatig getest om te zorgen dat ze rechtvaardig, doeltreffend en onbevooroordeeld blijven.

U kunt contact opnemen met onze DPO via DPO-Europe@aexp.com om uw recht uit te oefenen om een handmatige controle te vragen van bepaalde geautomatiseerde verwerkingsactiviteiten die gevolgen kunnen hebben voor uw wettelijke of andere contractuele rechten of die een vergelijkbaar rechtsgevolg kunnen hebben.

BACK TO TOP

American Express heeft een DPO aangesteld die toezicht houdt op de naleving van de BCRs. De DPO heeft de volgende taken: 

- informeert en adviseert entiteiten van American Express en haar werknemers over hun verplichtingen uit hoofde van de toepasselijke wetgeving inzake gegevensbescherming; 

- houdt toezicht op de naleving van de toepasselijke wetgeving inzake gegevensbescherming door de beoordeling van belangrijke risico-indicatoren en controlemechanismen. De DPO brengt verslag over deze toezichtsactiviteiten uit aan het betrokken interne bestuur;

 - geeft advies in verband met effectbeoordelingen inzake gegevensbescherming en houdt toezicht op de prestaties ervan; 

- werkt samen met toezichthoudende autoriteiten; en

- fungeert als contactpersoon voor toezichthoudende autoriteiten.

De DPO, aangesteld op basis van professionele kwaliteiten, brengt verslag uit aan de Chief Privacy Officer van American Express. De DPO wordt door de Europese entiteiten van American Express aangesteld als bestuurder van AEESA en American Express Payments Europe SA, respectievelijk de belangrijkste entiteiten van de groep in Europa voor uitgifte van betaalmiddelen en de acceptatie van betaaltransacties. 

De aanstelling wordt doorgegeven aan de toezichthoudende autoriteiten van de Europese landen waar American Express gevestigd is.

De DPO werkt in elke Europese markt nauw samen met een netwerk van privacyspecialisten en compliance-juristen die toezien op de naleving van de toepasselijke wetgeving inzake gegevensbescherming in hun regio. De DPO wordt bij zijn/haar taken ondersteund door de Global Privacy Office, geleid door de Chief Privacy Officer van American Express.

BACK TO TOP

Alle American Express BCRs entiteiten voorzien passende opleidingsmateriaal en cursussen voor alle werknemers, en in het bijzonder voor werknemers die persoonsgegevens verzamelen, verwerken, die permanent of op regelmatige basis toegang hebben tot persoonsgegevens  of die betrokken zijn bij de ontwikkeling van tools die worden gebruikt voor de verwerking van persoonsgegevens, om ervoor te zorgen dat ze op de hoogte zijn van hun verplichtingen krachtens de toepasselijke wetgeving inzake gegevensbescherming en deze BCRs. Dergelijke cursussen zijn verplicht, en op de voltooiing ervan wordt toegezien.

BACK TO TOP

American Express heeft een compliance programma uitgerold waardoor regelmatig controles en audits worden uitgevoerd van de activiteiten van American Express BCRs entiteiten (door interne of, indien nodig, door externe auditors) om ervoor te zorgen dat alle BCRs en gerelateerde beleidsdocumenten en procedures gerespecteerd worden en actueel zijn.  

Gegevensbeschermingsaudits behandelen alle aspecten van de BCRs, inclusief methoden om ervoor te zorgen dat corrigerende maatregelen worden getroffen. 

Het is mogelijk dat de DPO op eigen initiatief of op specifieke vraag van een American Express BCRs entiteit extra gegevensbeschermingsaudits aanvraagt. De interne auditgroep van American Express zal, als onafhankelijk controleorgaan, de opportuniteit van deze auditaanvragen beoordelen aan de hand van hun kader rond risicobeoordeling.

De resultaten van deze compliancecontroles en -audits worden doorgegeven aan het Global Privacy Office van American Express, de DPO, de relevante toezichthoudende autoriteiten (indien gevraagd) en beschikbaar gemaakt voor het auditcomité van de raad van bestuur van American Express Company. 

In geval van een probleem in de naleving is gedetecteerd, moet de relevante American Express BCRs entiteit alle specifieke richtlijnen van de DPO opvolgen. Als de richtlijnen niet kunnen worden opgevolgd, moet de American Express BCRs entiteit de redenen daarvoor documenteren. 

American Express zal ook meewerken aan alle controles die worden uitgevoerd door een toezichthoudende autoriteit met de rechtsbevoegdheid, ongeacht of de controle het gevolg is van een klacht van een betrokkene of gebeurt op eigen initiatief van de toezichthoudende autoriteit. 

BACK TO TOP

8.1. Aansprakelijkheid van American Express BCRs entiteiten 

De American Express BCRs entiteiten zijn verantwoordelijk voor de naleving van de BCRs. Naast de individuele verantwoordelijkheden van de American Express BCRs entiteiten, accepteert AEESA de verantwoordelijkheid voor eventuele inbreuken op de BCRs door een American Express BCRs entiteit buiten de EER die persoonsgegevens verwerkt krachtens de toepasselijke wetgeving inzake gegevensbescherming. AEESA heeft het recht om de nodige maatregelen te treffen om de handelingen of de nalatigheid te verhelpen van elke American Express BCRs entiteit die persoonsgegevens verwerkt  in strijd met de BCRs.

AEESA is gehouden tot vergoeding van de materiële en immateriële schade geleden door betrokkenen in verband met inbreuken op de BCRs. De compensatie moet besproken worden met de DPO voordat een aanbod tot schadeloosstelling of betaling wordt gedaan. Alle betaalde schadevergoedingen gebeuren tot volledige voldoening van de vordering van de betrokkene jegens alle American Express BCRs entiteiten. Om twijfel te voorkomen: de aansprakelijkheid van AEESA is ook van toepassing op de handelingen of nalatigheden van  American Express BCRs entiteiten die zich niet in de EER bevinden en die een inbreuk plegen op de BCRs.

Als een American Express BCRs entiteit (ook indien de entiteit zich buiten de EER bevindt) een inbreuk pleegt op de BCRs, zijn de Europese rechtbanken bevoegd met betrekking tot een dergelijke inbreuk. In zoverre een American Express BCRs entiteit een inbreuk pleegt op de BCRs, kunnen de betrokkenen, de toezichthoudende autoriteiten en bevoegde rechtbanken hun rechten uitoefenen en een vordering instellen tegen AEESA als dit gedrag door AEESA is uitgevoerd in de EER (zie paragraaf 9 voor meer informatie over het indienen van een klacht).

8.2. Rechten van derde begunstigden 

Elke betrokkene mag als derde begunstigde de voorwaarden van de volgende bepalingen van de BCRs afdwingen van AEESA of een andere American Express BCRs entiteiten:

- beginselen van gegevensbescherming (paragraaf 4.1);

- transparantie en gemakkelijke toegang tot de BCRs (paragraaf 1.2 en 4.1.1);

- rechten van de betrokkenen (paragraaf 4.2);

- compliance, handhaving en aansprakelijkheid (paragraaf 8); 

- het recht om een klacht in te dienen via het interne klachtenmechanisme van American Express (paragraaf 9);

- het recht om een klacht in te dienen bij de toezichthoudende autoriteit en bij de bevoegde Europese rechtbank (paragraaf 9);

- samenwerking met toezichthoudende autoriteiten (paragraaf 10); en- wetsconflict (paragraaf 11.1).

8.3. Bewijslast

AEESA draagt de bewijslast om aan te tonen dat de American Express BCRs entiteit die buiten de EER gevestigd is, niet aansprakelijk is voor eventuele vermeende schendingen van de BCRs die aanleiding geven tot de aanspraak van de betrokkene op een schadevergoeding. Wanneer AEESA kan bewijzen dat een American Express BCRs entiteit buiten de EER niet verantwoordelijk is voor het incident dat aanleiding heeft gegeven tot de schade, kunnen AEESA en dat bedrijf zich van deze verantwoordelijkheid en aansprakelijkheid ontheffen.

BACK TO TOP

Indien U een klacht of vordering wenst in te dienen of uw rechten met betrekking tot deze BCRs wenst uit te oefenen, kan U op elk ogenblik contact opnemen met de DPO. Stuur een brief naar de hoofdvestiging van AEESA op het adres American Express Europe SA, Avenida Partenón 12 – 14, 28042 Madrid / SPANJE of neem contact op via het e-mailadres  DPO-Europe@aexp.com. 

Onze DPO zal uw klachten onverwijld en in ieder geval binnen een maand behandelen. Rekening houdend met de complexiteit en het aantal aanvragen is het mogelijk dat de periode van één maand wordt verlengd met maximaal twee maanden. In dat geval brengen we U daarvan op de hoogte. 

U kan meer informatie vinden over de procedure die American Express volgt voor het afhandelen van klachten en over de manier waarop u een klacht kunt indienen in onze Online Privacyverklaring.

Als het probleem niet naar uw tevredenheid is opgelost, kunt U ook het volgende doen:

- een klacht indienen bij de toezichthoudende autoriteit in de Lidstaat waar u gewoonlijk verblijft, de plaats waar u werkt of de plaats waar de vermeende inbreuk heeft plaatsgevonden; 

- een procedure inleiden bij een bevoegd gerecht in het Europese land waar de relevante American Express BCRs entiteit gevestigd is of waar U gewoonlijk verblijft, en indien van toepassing, een vergoeding te verkrijgen voor de schade die U hebt opgelopen als gevolg van de inbreuk op de hierboven vermelde rechten van derde begunstigden.

BACK TO TOP

Alle American Express BCRs entiteiten zullen samenwerken met, en accepteren dat zij een audit kunnen krijgen van een relevante toezichthoudende autoriteit en zullen het advies van deze toezichthoudende autoriteit over alle kwesties met betrekking tot de toepasselijke wetgeving inzake gegevensbescherming opvolgen.

Als de toezichthoudende autoriteit vaststelt dat één van de American Express BCRs entiteiten een inbreuk heeft gepleegd op de rechten van betrokkenen krachtens deze BCRs, zal de American Express BCRs entiteit zich schikken naar de bevindingen van de toezichthoudende autoriteit, behoudens het recht om deze bevindingen aan te vechten of ertegen in beroep te gaan.

BACK TO TOP

11.1. Nationale wetgeving verhindert de naleving van de EU BCRs

Ingeval een American Express BCRs entiteit redenen heeft om aan te nemen dat een wet die van toepassing is op de entiteit het onmogelijk maakt om de BCRs na te leven of waarschijnlijk aanzienlijke gevolgen zal hebben op de garanties die in de BCRs zijn uiteengezet, zal de relevante contactpersoon van deze American Express BCRs entiteit de DPO van AEESA op de hoogte brengen, tenzij dat verboden is door de geldende wetgeving. Waar nodig zal de DPO de bevoegde toezichthoudende autoriteit op de hoogte brengen van het wetsconflict, tenzij dat verboden is door de geldende wetgeving. 

Als een American Express BCRs entiteit van een rechtshandhavingsautoriteit of een staatsveiligheidsorgaan een aanvraag ontvangt voor persoonsgegevens, zal de DPO de bevoegde toezichthoudende autoriteit inlichten (met informatie over de gevraagde gegevens, de verzoekende instantie en de rechtsgrondslag voor de openbaarmaking). Indien in specifieke gevallen de opschorting en/of melding aan de bevoegde toezichthoudende autoriteit verboden is op basis van de toepasselijke wetgeving, zal American Express alles in het werk stellen om van dit verbod af te wijken om zo spoedig mogelijk zoveel mogelijk informatie te verstrekken aan de bevoegde toezichthoudende autoriteit, en kan aantonen dat zij dit heeft gedaan. 

Indien in de bovenstaande gevallen de American Express BCRs entiteit ondanks redelijke inspanningen niet in staat is om de bevoegde toezichthoudende autoriteit op de hoogte te brengen, zal de entiteit jaarlijks algemene informatie over de aanvragen die zij heeft ontvangen aan de toezichthoudende autoriteit verstrekken (zoals het aantal aanvragen voor openbaarmaking, het type aangevraagde persoonsgegevens, naam van de verzoeker indien mogelijk, etc.). 

In elk geval mag de doorgifte van persoonsgegevens door een American Express BCRs entiteit aan een openbare instantie niet omvangrijk, onevenredig groot en willekeurig zijn. Deze beperking is van toepassing op elk wettelijk bindend verzoek om openbaarmaking van persoonsgegevens door een wetshandhavingsautoriteit of staatsveiligheidsorgaan. 

11.2. Relatie tussen nationale wetgeving en de EU BCRs

Als de toepasselijke wetgeving inzake gegevensbescherming een hoger beschermingsniveau van Persoonsgegevens vereist, hebben de gegevensbeschermingswetten voorrang op deze BCRs.

BACK TO TOP

We kunnen de voorwaarden van onze BCRs bijwerken, bijvoorbeeld om rekening te houden met wijzigingen in de regelgeving of de bedrijfsstructuur. We verbinden ons ertoe om wezenlijke wijzigingen aan onze BCRs onverwijld te melden aan alle American Express BCRs entiteiten en aan de AEPD. Eventuele wijzigingen aan de BCRs of de lijst van American Express BCRs entiteiten zullen jaarlijks gemeld worden aan de relevante toezichthoudende autoriteiten, via de bevoegde toezichthoudende autoriteit, met een korte uitleg van de redenen die de wijziging rechtvaardigen. Indien een wijziging een invloed zou hebben op het beschermingsniveau dat door deze BCRs wordt geboden of een aanzienlijke impact zou hebben op deze BCRs, wordt dit onverwijld doorgegeven aan de toezichthoudende autoriteiten via de bevoegde toezichthoudende autoriteit.

American Express heeft een team samengesteld dat een volledig geactualiseerde lijst bijhoudt van de American Express BCRs entiteiten en houdt alle aanpassingen van de voorschriften bij, registreert deze en verstrekt op aanvraag de nodige informatie aan de betrokkenen of toezichthoudende autoriteiten. Daarnaast voeren de American Express BCRs entiteiten geen doorgifte uit naar een nieuwe American Express BCRs entiteit totdat deze nieuwe entiteit daadwerkelijk gebonden is aan deze BCRs en voor de naleving ervan kan zorgen. 

BACK TO TOP

De American Express BCR entiteiten bevinden zich in de volgende landen: 

• Australië 
• Argentinië
• België
• Canada
• China 
• Colombia 
• Denemarken
• Duitsland
• Filipijnen
• Finland
• Frankrijk
• Griekenland
• Hongarije
• Hongkong
• Ierland
• India
• Italië
• Japan
• Jersey
• Maleisië
• Mexico
• Nederland
• Noorwegen
• Oostenrijk
• Polen
• Rusland 
• Singapore
• Slovakije
• Spanje
• Taiwan
• Thailand
• Tsjechië
• Verenigd Koninkrijk
• Verenigde Staten
•  Zweden
•  Zwitserland