Binding Corporate Rules - American Express EU

2.

Onze BCR’s zijn op grond van een tussen American Express Company en American Express Europe, S.A. (AEESA) – de wettelijke vertegenwoordiger van American Express in de EER - afgesloten Intragroepovereenkomst wettelijk bindend voor alle American Express Groepsmaatschappijen waarop de BCR’s van toepassing zijn en hun werknemers. 

Elke American Express Groepsmaatschappij waarop de BCR’s van toepassing zijn en hun werknemers mogen persoonsgegevens uitsluitend verwerken in overeenstemming met deze BCR’s. Tegen werknemers die deze BCR’s schenden kunnen disciplinaire maatregelen worden genomen.

3.1. Geografische reikwijdte

Onze BCR’s zijn van toepassing op elke verwerking van persoonsgegevens die plaatsvindt op grond van de toepasselijke wetgeving inzake gegevensbescherming. Hiertoe behoren persoonsgegevens van betrokkenen die verwerkt zijn of worden in het kader van de activiteiten van een in de EER gevestigde American Express Groepsmaatschappij waarop de BCR’s van toepassing zijn, ook als de verwerking wordt uitgevoerd door een buiten de EER gevestigde American Express Groepsmaatschappij waarop de BCR’s van toepassing zijn.

3.2. Materieel toepassingsgebied

In haar hoedanigheid van verwerkingsverantwoordelijke verwerkt American Express de persoonsgegevens van door American Express voltijds, deeltijds, permanent of tijdelijk tewerkgestelde voormalige, huidige en toekomstige werknemers, bestuurders, opdrachtnemers, individuele consultants, opdrachtnemers, alsmede gepensioneerden ("werknemers") en van voormalige, bestaande en toekomstige klanten van American Express en natuurlijke personen die werkzaam zijn bij de zakelijke relaties, leveranciers en partners van American Express ("klanten").

De doeleinden waarvoor American Express persoonsgegevens verwerkt hebben voornamelijk betrekking op consumentendiensten, zakelijke dienstverlening, verzekeringen, reizen, vergaderingen en evenementen, en netwerkdiensten, alsmede op personeelszaken.

Om de internationale activiteiten van American Express op effectieve wijze uit te voeren, kan de verwerking van persoonsgegevens door de American Express Groepsmaatschappijen waarop de BCR’s van toepassing zijn in verband met de in deze BCR’s vastgestelde doeleinden, tevens de doorgifte van persoonsgegevens van betrokkenen van een binnen de EER gevestigde American Express Groepsmaatschappij waarop de BCR’s van toepassing zijn naar een American Express Groepsmaatschappij waarop de BCR’s van toepassing zijn buiten de EER omvatten (inclusief van landen binnen de EER naar de Verenigde Staten, waar de belangrijkste servers van American Express gevestigd zijn), en elke verdere doorgifte van die ontvangen persoonsgegevens naar een derde die niet behoort tot de American Express-groep.

• Zie bijlage 1 voor een uitgebreider overzicht van de verwerkingsactiviteiten van American Express.
  
  
• Zie bijlage 2 voor een overzicht van waar onze American Express Groepsmaatschappijen waarop de BCR’s van toepassing zijn gevestigd zijn.

Return to top

De American Express Groepsmaatschappijen waarop de BCR’s van toepassing zijn verbinden zich bij de verwerking van uw persoonsgegevens ertoe zich te houden aan strenge beginselen voor de bescherming van persoonsgegevens (hoofdstuk 4.1) en uw rechten met betrekking tot gegevensbescherming te respecteren (hoofdstuk 4.2). 

4.1. Beginselen van gegevensbescherming

4.1.1. Transparantie en behoorlijkheid 

De American Express Groepsmaatschappijen waarop de BCR’s van toepassing zijn verzamelen en verwerken uw persoonsgegevens op transparante en behoorlijke wijze. 

Wij zorgen ervoor dat u op eenvoudige wijze inzage hebt in de informatie over onze verwerkingsactiviteiten, zoals voorgeschreven in de Algemene Verordening gegevensbescherming (AVG). Deze informatie wordt aan u ter beschikking gesteld in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal, en is beschikbaar in de relevante privacyverklaringen van American Express, zoals van toepassing op uw relatie met ons. Deze verklaringen en algemene voorwaarden kunnen voor de verwerking van persoonsgegevens relevante aanvullende bepalingen bevatten, overeenkomstig het bepaalde in de nationale toepasselijke wet- en regelgeving.

 Wanneer wij persoonsgegevens van betrokkenen verzamelen, verstrekken wij met name de volgende informatie: 

- de identiteit- en contactgegevens van de verwerkingsverantwoordelijke en, indien van toepassing, diens vertegenwoordiger;

- de contactgegevens van de functionaris voor gegevensbescherming;

- de doeleinden van de verwerking waarvoor de persoonsgegevens worden verzameld en de rechtsgrond voor de verwerking; 

- de ontvangers of categorieën ontvangers van de persoonsgegevens, indien van toepassing; 

- of persoonsgegevens worden doorgegeven naar landen waar geen sprake is van een passend beschermingsniveau en de passende waarborgen die zijn genomen om hetzelfde beschermingsniveau te verzekeren als voorgeschreven in de AVG; 

- de termijn gedurende welke de persoonsgegevens worden bewaard of, als het niet mogelijk is deze op te geven, de op het bepalen van die termijn toepasselijke criteria en het bestaan van de rechten van de betrokkenen, zoals bedoeld in de AVG.

Wanneer de persoonsgegevens niet door de betrokkene zelf zijn verstrekt, wordt de betrokkene tijdig in kennis gesteld van bovenstaande informatie en van de categorieën van relevante persoonsgegevens en de herkomst ervan (tenzij de betrokkene al over deze informatie beschikt, het verstrekken van deze informatie onmogelijk blijkt of onevenredig veel inspanning zou vergen, het verkrijgen of verstrekken van de gegevens uitdrukkelijk is voorgeschreven in het Unie- of lidstatelijk recht of wanneer de persoonsgegevens vertrouwelijk moeten blijven uit hoofde van een beroepsgeheim in het kader van Unierecht of lidstatelijk recht, waaronder een statutaire geheimhoudingsplicht).

In onze BCR’s wordt u tevens geïnformeerd over de rechten die u als derde-begunstigde met betrekking tot de verwerking van uw persoonsgegevens krachtens deze BCR’s hebt jegens AEESA of een andere American Express Groepsmaatschappij waarop de BCR’s van toepassing zijn ("rechten van derde-begunstigden") en over de wijze waarop u dergelijke rechten kunt uitoefenen (zie hoofdstuk 8). Daarnaast bevatten deze BCR’s informatie over de door ons bij de verwerking van uw persoonsgegevens toegepaste beginselen van gegevensbescherming (zoals nader toegelicht in dit hoofdstuk 4) en informatie over de aansprakelijkheid van de American Express Groepsmaatschappijen waarop de BCR’s van toepassing zijn in geval van een inbreuk op deze BCR’s (zie hoofdstuk 8).

U kunt verder verzoeken om toezending van een exemplaar van onze BCR’s. Een openbare versie daarvan is daarnaast te allen tijde beschikbaar op de openbare websites van de in de EER gevestigde American Express Groepsmaatschappijen waarop de BCR’s van toepassing zijn en op ons intranet als u een werknemer bent.

• Verwerking van persoonsgegevens
  

Uw persoonsgegevens worden uitsluitend verzameld en verwerkt als daarvoor een rechtsgrond bestaat, bijvoorbeeld: 

- wanneer u uitdrukkelijke toestemming hebt gegeven (bijvoorbeeld om u een e-mail te sturen met advertenties, promoties en aanbiedingen voor producten en diensten van American Express);

- wanneer de verwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij u partij bent of om op uw verzoek vóór de sluiting van een overeenkomst maatregelen te nemen (bijvoorbeeld voor het beheer van onze contractuele relatie met u en het verwerken van uw aanvraag voor een kaart, rekening of ander product of voor het beheer van uw bestaande rekeningen);

- wanneer de verwerking noodzakelijk is voor het vervullen van een wettelijke verplichting (bijvoorbeeld om bepaalde verdachte transacties aan de bevoegde autoriteiten te melden uit hoofde van de anti-witwasregels of zoals anderszins wettelijk voorgeschreven voor het uitvoeren van een onderzoek van klanten voordat hun aanvraag wordt goedgekeurd); of

- wanneer de verwerking noodzakelijk is voor de gerechtvaardigde belangen van een American Express Groepsmaatschappij waarop de BCR’s van toepassing zijn of van derden (bijvoorbeeld om producten en diensten te leveren, reclame te maken voor producten en diensten en deze op de markt te brengen, het uitvoeren van onderzoek en analyse, en het beheersen van onze fraude- en veiligheidsrisico’s), tenzij uw belangen of rechten en vrijheden zwaarder wegen dan dergelijke belangen. 

• Verwerking van bijzondere categorieën gegevens

Wij kunnen bijzondere categorieën gegevens verzamelen, inclusief gegevens over gezondheid, biometrische gegevens, seksuele geaardheid en/of ras/etnische afkomst. Deze gegevens worden verzameld en verwerkt om te voldoen aan wettelijke voorschriften, voor doeleinden die essentieel zijn voor het beheer van de arbeidsverhouding of indien doorgegeven met uitdrukkelijke toestemming, en uitsluitend voor zover toegestaan op grond van de toepasselijke wetgeving. 

Zo kunt u ons gegevens verstrekken om uw relatie met ons nader te preciseren (bijvoorbeeld gegevens over specifieke dieetvoorschriften of behoefte aan speciale hulp tijdens een vlucht).

Voor zover bijzondere categorieën gegevens worden verzameld, worden deze uitsluitend verwerkt op grond van een van de hierboven vermelde rechtsgronden en mits een van de voorwaarden voor de verwerking van bijzondere categorieën gegevens van toepassing is, bijvoorbeeld wanneer:

- u uitdrukkelijk toestemming hebt gegeven voor de verwerking;

- de verwerking noodzakelijk is voor de nakoming van de verplichtingen en de uitoefening van specifieke rechten door American Express op het gebied van het arbeidsrecht en het recht inzake sociale zekerheid en sociale bescherming;

- de verwerking betrekking heeft op bijzondere categorieën gegevens die u kennelijk openbaar hebt gemaakt;

- de verwerking noodzakelijk is voor de instelling, uitoefening of onderbouwing van een rechtsvordering;

- de verwerking noodzakelijk is om redenen van zwaarwegend algemeen belang, op grond van Unierecht of lidstatelijk recht.

Daarnaast zullen de American Express Groepsmaatschappijen waarop de BCR’s van toepassing zijn extra maatregelen nemen om bijzondere categorieën gegevens te verwerken, zoals voorgeschreven op grond van de toepasselijke wetgeving inzake gegevensbescherming.

4.1.3. Gegevensminimalisering, juistheid en opslagbeperking

De American Express Groepsmaatschappijen waarop de BCR’s van toepassing zijn passen passende technologie en bewezen praktijken voor werknemers toe om uw persoonsgegevens onverwijld en op de juiste wijze te verwerken.

Wij nemen redelijke maatregelen om ervoor te zorgen dat uw persoonsgegevens:

- juist en geactualiseerd zijn, gelet op de doeleinden waarvoor zij worden verwerkt (juistheid van gegevens). Onjuiste persoonsgegevens worden onverwijld gewist of gerectificeerd;

- toereikend en relevant zijn en niet overmatig in verband met het doel waarvoor de persoonsgegevens verzameld en verwerkt zijn (gegevensminimalisering);

- niet langer in een identificeerbare vorm worden bewaard dan noodzakelijk voor de doeleinden waarvoor de persoonsgegevens worden verwerkt, en alleen langer worden bewaard met het oog op archivering of zoals anderszins toegestaan of voorgeschreven op grond van de toepasselijke wetgeving, en in dat geval alleen wanneer gepaste administratieve, technische en organisatorische maatregelen getroffen zijn.

4.1.4. Doelbinding 

De American Express Groepsmaatschappijen waarop de BCR’s van toepassing zijn verzamelen persoonsgegevens uitsluitend voor specifieke en gerechtvaardigde doeleinden. Wij verwerken uw persoonsgegevens op een behoorlijke manier en uitsluitend voor de doeleinden die wij aan u hebben meegedeeld en die door u of door de toepasselijke wetgeving inzake gegevensbescherming zijn toegestaan. Wij zorgen ervoor dat uw persoonsgegevens niet verder worden verwerkt op een wijze die onverenigbaar is met deze doeleinden.

4.1.5. Gegevensbeveiliging en vertrouwelijkheid

American Express heeft een uitgebreid schriftelijk informatiebeveiligingsprogramma ingevoerd dat voldoet aan de lokale wetgeving en de toepasselijke wetgeving inzake gegevensbescherming en verbindt zich ertoe dit programma in stand te houden.

De American Express Groepsmaatschappijen waarop de BCR’s van toepassing zijn treffen passende administratieve, technische en organisatorische maatregelen om uw persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, beschadiging of wijziging en tegen ongeoorloofde verstrekking of inzage daarvan. Wij houden uw persoonsgegevens vertrouwelijk en beperken de toegang tot uw persoonsgegevens tot degenen die deze specifiek nodig hebben voor hun zakelijke activiteiten, tenzij anders voorgeschreven op grond van de op ons toepasselijke wetgeving.

Dergelijke maatregelen verzekeren een op het risico afgestemd beveiligingsniveau en houden rekening met de stand van de techniek, de uitvoeringskosten en de aard, reikwijdte, context en het doel van de verwerking alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van betrokkenen. Afhankelijk van het geval omvatten deze maatregelen:

- de pseudonimisering en versleuteling van persoonsgegevens van betrokkenen,

- maatregelen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en weerbaarheid van onze verwerkingssystemen en diensten te garanderen;

- maatregelen die het mogelijk maken de beschikbaarheid van en toegang tot de persoonsgegevens van betrokkenen na een fysiek of technisch incident tijdig te herstellen; en

- een procedure voor het op gezette tijden testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter garandering van de beveiliging van de verwerking.

Wij verlangen van de derden die door ons zijn aangesteld om uw persoonsgegevens namens ons te verwerken dat zijn eveneens gepaste administratieve, technische en organisatorische maatregelen treffen. Wij gaan uitsluitend contractuele verbintenissen aan met interne en externe verwerkers die de op grond van de AVG voorgeschreven waarborgen bieden.

De verwerking door de verwerker vindt uitsluitend plaats op grond van een voor de verwerker jegens de verwerkingsverantwoordelijke bindende overeenkomst waarin het onderwerp en de duur van de verwerking, de aard en de doeleinden van de verwerking, het soort persoonsgegevens dat wordt verwerkt, de categorieën van betrokkenen en de verplichtingen en rechten van de verwerkingsverantwoordelijke nader staan omschreven.

De overeenkomst met de verwerker dient daarnaast de volgende verplichtingen te bevatten, op grond waarvan:

- de persoonsgegevens uitsluitend mogen worden verwerkt op basis van schriftelijke instructies van de verwerkingsverantwoordelijke, of wordt gewaarborgd dat de tot het verwerken van de persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of aan een passende wettelijke geheimhoudingsverplichting zijn gebonden;

- gepaste technische en organisatorische maatregelen worden getroffen om een passend niveau van beveiliging te garanderen;

- geen andere verwerker ("sub-verwerker") mag worden aangesteld zonder voorafgaande specifieke of algemene schriftelijke toestemming van de verwerkingsverantwoordelijke en uitsluitend wanneer aan deze sub-verwerker dezelfde verplichtingen inzake gegevensbescherming worden opgelegd als omschreven in de overeenkomst tussen de verwerkingsverantwoordelijke en de verwerker;

- de verwerker de verwerkingsverantwoordelijke waar mogelijk bijstaat middels gepaste technische en organisatorische maatregelen bij het nakomen van diens plicht om verzoeken uit te voeren van betrokkenen die hun rechten uitoefenen;

- de verwerker de verwerkingsverantwoordelijke bijstaat bij het nakomen van diens verplichtingen met betrekking tot de beveiliging van de verwerking, inbreuken in verband met persoonsgegevens en gegevensbeschermingseffectbeoordelingen;

- de verwerker de persoonsgegevens na het verlenen van de diensten die betrekking hebben op de verwerking naar keuze van de verwerkingsverantwoordelijke verwijdert of retourneert aan de verwerkingsverantwoordelijke en bestaande kopieën vernietigt, tenzij de persoonsgegevens op grond van de toepasselijke wetgeving bewaard dienen te worden;

- de verwerker alle informatie die nodig is om aan te tonen dat aan in artikel 28 van de AVG met betrekking tot verwerkers opgenomen verplichtingen is voldaan, beschikbaar stelt aan de verwerkingsverantwoordelijke, en de verwerkingsverantwoordelijke of een andere door de verwerkingsverantwoordelijke gemachtigde controleur toestaat audits en andere inspecties uit te voeren en daaraan medewerking verleent.

Daarnaast hebben de American Express Groepsmaatschappijen waarop de BCR’s van toepassing zijn administratieve, technische en organisatorische maatregelen getroffen om inbreuken in verband met persoonsgegevens op te sporen, te onderzoeken, te escaleren en op te lossen. De functionaris voor gegevensbescherming van American Express wordt onverwijld door de American Express Groepsmaatschappijen waarop de BCR’s van toepassing zijn op de hoogte gebracht van eventuele inbreuken in verband met persoonsgegevens. De functionaris voor gegevensbescherming van American Express bepaalt vervolgens of de bevoegde toezichthoudende autoriteit en de betrokkenen overeenkomstig de voorschriften van de AVG op de hoogte moeten worden gebracht. Alle inbreuken in verband met persoonsgegevens worden geregistreerd (inclusief alle bijzonderheden daarvan, de gevolgen en de genomen corrigerende maatregelen), welke registratie op verzoek ter beschikking wordt gesteld aan de toezichthoudende autoriteit.

4.1.6. Verdere doorgifte 

Uw persoonsgegevens kunnen worden doorgegeven aan andere American Express Groepsmaatschappijen waarop de BCR’s van toepassing zijn en verder doorgegeven aan derden, waarbij altijd een gepast beschermingsniveau wordt gewaarborgd voor de verwerking van uw gegevens, zoals voorgeschreven op grond van de toepasselijke wetgeving inzake gegevensbescherming, ongeacht waar deze naar worden doorgegeven.

Deze doorgifte is toegestaan door onze BCR’s, op grond waarvan wij toestemming krijgen voor de doorgifte van persoonsgegevens van de EER naar American Express Groepsmaatschappijen waarop de BCR’s van toepassing zijn die buiten de EER gevestigd zijn.

In alle gevallen van verdere doorgifte (d.w.z. persoonsgegevens die eerst zijn doorgegeven van een in de EER gevestigde American Express Groepsmaatschappij waarop de BCR’s van toepassing zijn naar een American Express Groepsmaatschappij waarop de BCR’s van toepassing zijn buiten de EER en die vervolgens worden doorgegeven aan een of meerdere derden waarop de BCR’s niet van toepassing zijn, dienen de American Express Groepsmaatschappijen waarop de BCR’s van toepassing zijn ervoor zorgen dat met deze derden een schriftelijke overeenkomst wordt aangegaan die bepalingen bevat waardoor wordt verzekerd dat de bescherming van de persoonsgegevens op het vlak van vertrouwelijkheid en beveiliging ten minste van hetzelfde niveau is als beoogd in deze BCR’s, of dat deze derden een andere geldige wettige methode gebruiken om ervoor te zorgen dat de doorgifte op rechtmatige wijze plaatsvindt en dat er passende garanties worden gegeven als bedoeld in artikel 46 AVG.

4.1.7. Verantwoordingsplicht

Alle American Express Groepsmaatschappijen waarop de BCR’s van toepassing zijn, dienen deze BCR’s na te leven en dit te kunnen aantonen. Naleving van deze voorschriften omvat: 

- het bijhouden van een elektronisch register van de verwerkingsactiviteiten, dat op verzoek beschikbaar wordt gesteld aan de toezichthoudende autoriteiten, en dat de informatie bevat die op grond van de AVG is voorgeschreven, zoals de naam en de contactgegevens van de verwerkingsverantwoordelijke, de doeleinden van de verwerking, de categorieën betrokkenen en categorieën persoonsgegevens, de ontvangers van de persoonsgegevens, de doorgifte naar landen buiten de EER, de termijnen voor wissing van de persoonsgegevens en de beschrijving van de toegepaste beveiligingsmaatregelen;

- het uitvoeren van gegevensbeschermingseffectbeoordelingen (alleen van toepassing wanneer de verwerkingsactiviteiten een verhoogd risico opleveren voor de rechten en vrijheden van de betrokkenen); en

- raadpleging van de relevante toezichthoudende autoriteiten waar vereist om dergelijke naleving aan te tonen.

Daarnaast hebben de American Express Groepsmaatschappijen waarop de BCR’s van toepassing zijn passende administratieve, technische en organisatorische maatregelen getroffen om de beginselen van gegevensbescherming toe te passen en de naleving van de voorschriften van deze BCR’s mogelijk te maken (gegevensbescherming door ontwerp en door standaardinstellingen).

4.2. Rechten van betrokkenen

•  Het recht op inzage, beperking van de verwerking, bezwaar, rectificatie, vergetelheid, het recht om toestemming in te trekken en het recht op dataportabiliteit

Uw verzoeken tot uitoefening van uw rechten uit hoofde van de AVG worden, waar van toepassing, door de American Express Groepsmaatschappijen waarop de BCR’s van toepassing zijn ingewilligd. Wij dragen er met name voor zorg dat u de volgende rechten kunt uitoefenen:

- toegang tot uw persoonsgegevens (recht op inzage);

- beperking van de verwerking van uw persoonsgegevens en/of het recht daartegen bezwaar te maken (recht op beperking van de verwerking en recht van bezwaar tegen de verwerking);

- rectificatie van uw persoonsgegevens (recht op rectificatie en aanvulling);

- wissen van uw persoonsgegevens (recht op vergetelheid);

- intrekken van een eerder gegeven toestemming voor verwerking, en

- het verkrijgen van uw persoonsgegevens in een gestructureerde, gangbare en machineleesbare vorm en/of het overdragen van dergelijke gegevens aan een andere verwerkingsverantwoordelijke (recht op overdraagbaarheid van gegevens). 

De American Express Groepsmaatschappijen waarop de BCR’s van toepassing zijn moeten zich houden aan de beleidsvoorschriften ten aanzien van de verwerking van dergelijke verzoeken om te zorgen dat u de mogelijkheid hebt om deze rechten uit te oefenen. Voor het uitoefenen van deze rechten kunt u contact opnemen met onze functionaris voor gegevensbescherming via DPO-Europe@aexp.com.

• Geautomatiseerde besluitvorming

De American Express Groepsmaatschappijen waarop de BCR’s van toepassing zijn dragen ervoor zorg dat geen louter op geautomatiseerde verwerking van persoonsgegevens gebaseerde beslissingen ten aanzien van u worden genomen, inclusief profilering,  waaraan rechtsgevolgen zijn verbonden of waardoor u anderszins aanzienlijk wordt getroffen, tenzij de verwerking:

- noodzakelijk is voor het sluiten van een overeenkomst tussen u en American Express;

- toegestaan is op grond van een wet die American Express dient na te leven en die gepaste maatregelen bevat om uw rechten en vrijheden en legitieme belangen te beschermen;

- geschiedt op basis van uw uitdrukkelijke toestemming voor dergelijke verwerking.

Wij treffen passende maatregelen om uw rechten en vrijheden en gerechtvaardigde belangen te beschermen, in overeenstemming met de toepasselijke wetgeving, en minimaal het recht op menselijke tussenkomst en het recht om uw standpunt kenbaar te maken en het besluit aan te vechten.

Met inachtneming van deze beperkingen kunnen wij geautomatiseerde processen gebruiken bij het nemen van bepaalde beslissingen, bijvoorbeeld om fraude op te sporen en ongedaan te maken (b.v. om te helpen bepalen of uw rekening wordt gebruikt voor frauduleuze doeleinden of het witwassen van geld, of om na te gaan of fraudeurs toegang tot uw rekening hebben gehad); of om kaartaanvragen te verwerken en krediet- en beveiligingsrisico's te beoordelen. Deze methodes worden regelmatig getest om te zorgen dat ze rechtvaardig, doeltreffend en onbevooroordeeld blijven.

U kunt contact opnemen met onze functionaris voor gegevensbescherming via DPO-Europe@aexp.com om uw recht uit te oefenen om een handmatige controle aan te vragen van bepaalde geautomatiseerde verwerkingsactiviteiten die gevolgen kunnen hebben voor uw wettelijke of andere contractuele rechten of die een soortgelijk rechtsgevolg kunnen hebben.

BACK TO TOP

American Express heeft een functionaris voor gegevensbescherming aangesteld. Deze is belast met het toezicht op de naleving van de BCR’s. De functionaris voor gegevensbescherming heeft de volgende taken:

- informeren en adviseren van American Express Groepsmaatschappijen en werknemers van American Express over hun verplichtingen op grond van de toepasselijke wetgeving inzake gegevensbescherming;

- toezicht houden op de naleving van de toepasselijke wetgeving inzake gegevensbescherming door het beoordelen van belangrijke risico

-indicatoren en controlemiddelen. De functionaris voor gegevensbescherming brengt verslag over deze toezichtsactiviteiten uit aan het betreffende bestuur;

- adviseren ten aanzien van gegevensbeschermingseffectbeoordelingen en toezicht houden op de uitvoering daarvan;

- samenwerken met toezichthoudende autoriteiten; en

- fungeren als contactpersoon voor toezichthoudende autoriteiten.

De functionaris voor gegevensbescherming, die over professionele bekwaamheden beschikt, brengt verslag uit aan de Chief Privacy Officer van American Express. De functionaris voor gegevensbescherming wordt door de Europese American Express Groepsmaatschappijen aangesteld als lid van het bestuur van AEESA en van American Express Payments Europe SA, respectievelijk de belangrijkste uitgevende en verwervende groepsmaatschappij van de groep in Europa.

De aanstelling wordt gemeld aan alle toezichthoudende autoriteiten van de Europese landen waar American Express gevestigd is.

De functionaris voor gegevensbescherming werkt nauw samen met een netwerk van privacydeskundigen en compliance-advocaten in elke Europese markt, die toezien op de naleving van de toepasselijke wetgeving inzake gegevensbescherming in hun rechtsgebied. De functionaris voor gegevensbescherming wordt bij zijn/haar taken ondersteund door de Global Privacy Office, dat onder leiding staat van de Chief Privacy Officer van American Express.

BACK TO TOP

Alle American Express Groepsmaatschappijen waarop de BCR’s van toepassing zijn stellen aan alle werknemers passende cursusmateriaal en cursussen beschikbaar, met name aan die werknemers die persoonsgegevens verzamelen en verwerken, daartoe permanent of op regelmatige basis toegang hebben of die betrokken zijn bij de ontwikkeling van hulpmiddelen die worden gebruikt voor de verwerking van persoonsgegevens, teneinde ervoor te zorgen dat zij op de hoogte zijn van hun verplichtingen op grond van de toepasselijke wetgeving inzake gegevensbescherming en deze BCR’s. Dergelijke cursussen zijn verplicht, en op de voltooiing ervan wordt toegezien.

BACK TO TOP

American Express heeft een nalevingsprogramma ingevoerd op basis waarvan de activiteiten van American Express Groepsmaatschappijen waarop de BCR’s van toepassing zijn regelmatig worden gecontroleerd (door interne of, indien nodig, externe auditors) om ervoor te zorgen dat alle BCR’s en daaraan verwante beleidsvoorschriften en procedures gerespecteerd worden en actueel zijn.

Deze gegevensbeschermingsaudits hebben betrekking op alle aspecten van de BCR’s, en omvatten methodes om ervoor te zorgen dat waar nodig corrigerende maatregelen worden getroffen.

De functionaris voor gegevensbescherming kan, op eigen initiatief of op specifiek verzoek van een American Express Groepsmaatschappij waarop de BCR’s van toepassing zijn, extra gegevensbeschermingscontroles aanvragen. De interne auditgroep van American Express beoordeelt, als onafhankelijk controleorgaan, aan de hand van hun risicobeoordelingskader of dergelijke extra controle opportuun is.

De resultaten van deze compliancebeoordelingen en -controles worden doorgegeven aan de Global Privacy Office van American Express, de functionaris voor gegevensbescherming, de relevante toezichthoudende autoriteiten (indien verzocht) en beschikbaar gesteld aan het auditcomité van de raad van bestuur van American Express Company.

Indien sprake is van een tekortkoming in de naleving, dient de relevante American Express Groepsmaatschappij waarop de BCR’s van toepassing zijn alle specifieke richtlijnen van de functionaris voor gegevensbescherming op te volgen. Als de richtlijnen niet kunnen worden opgevolgd, moet de American Express Groepsmaatschappij waarop de BCR’s van toepassing zijn de redenen daarvoor aangeven.

American Express verleent verder medewerking aan alle door een daartoe bevoegde toezichthoudende autoriteit uitgevoerde nalevingscontroles, ongeacht of de controle plaatsvindt naar aanleiding van een klacht van een betrokkene of op eigen initiatief van de toezichthoudende autoriteit

BACK TO TOP

8.1. Aansprakelijkheid van American Express Groepsmaatschappijen waarop de BCR’s van toepassing zijn

De American Express Groepsmaatschappijen waarop de BCR’s van toepassing zijn, zijn verantwoordelijk voor de naleving van de BCR’s. Naast de individuele verantwoordelijkheden van de American Express Groepsmaatschappijen waarop de BCR’s van toepassing zijn, aanvaardt AEESA verantwoordelijkheid voor eventuele inbreuken op de BCR’s door buiten de EER gevestigde American Express Groepsmaatschappijen waarop de BCR’s van toepassing zijn en die op grond van de toepasselijke wetgeving inzake gegevensbescherming persoonsgegevens verwerken. AEESA kan alle noodzakelijke maatregelen treffen om de inbreuk makende handelingen of nalatigheid van elke American Express Groepsmaatschappij waarop de BCR’s van toepassing zijn die persoonsgegevens verwerkt te herstellen.

AEESA is gehouden tot vergoeding van alle door betrokkenen in verband met inbreuken op de BCR’s geleden materiële en immateriële schade. Deze vergoeding dient met de functionaris voor gegevensbescherming te worden overeengekomen voordat een aanbod tot schadeloosstelling wordt gedaan of betaling plaatsvindt. Alle betaalde schadevergoedingen vormen volledige genoegdoening voor de vordering van de betrokkene jegens alle American Express Groepsmaatschappijen waarop de BCR’s van toepassing zijn. Ter vermijding van twijfel: de aansprakelijkheid van AEESA is ook van toepassing op de handelingen of nalatigheden van American Express Groepsmaatschappijen waarop de BCR’s van toepassing zijn die zich niet in de EER bevinden en die een inbreuk plegen op de BCR’s.

Als een American Express Groepsmaatschappij waarop de BCR’s van toepassing zijn inbreuk pleegt op de BCR’s (ook indien de groepsmaatschappij buiten de EER is gevestigd), hebben de bevoegde Europese rechtbanken rechtsmacht met betrekking tot dergelijke inbreuk. Voor zover een American Express Groepsmaatschappij waarop de BCR’s van toepassing zijn inbreuk pleegt op de BCR’s, kunnen de betrokkenen, de toezichthoudende autoriteiten en rechtbanken in het betreffende rechtsgebied hun rechten uitoefenen en een vordering tegen AEESA instellen wanneer de handeling door AEESA binnen de EER is gepleegd (zie hoofdstuk 9 hierna voor meer informatie over het indienen van een klacht).

8.2. Rechten van derden-begunstigden

Elke betrokkene kan als derde-begunstigde naleving verlangen van de volgende bepalingen van de BCR’s door AEESA of een andere American Express Groepsmaatschappij waarop de BCR’s van toepassing zijn:

- beginselen van gegevensbescherming (hoofdstuk 4.1);

- transparantie en eenvoudige toegang tot de BCR’s (hoofdstuk 1.2 en 4.1.1);

- rechten van betrokkenen (hoofdstuk 4.2);

- naleving, handhaving en aansprakelijkheid (hoofdstuk 8);

- het recht tot het indienen van een klacht middels de interne klachtenprocedure van American Express (hoofdstuk 9);

- het recht tot het indienen van een klacht bij de toezichthoudende autoriteit en de bevoegde Europese rechtbank (hoofdstuk 9);

- samenwerking met toezichthoudende autoriteiten (hoofdstuk 10); en

- conflictenrecht (hoofdstuk 11.1).

8.3. Bewijslast

AEESA draagt de bewijslast om aan te tonen dat een buiten de EER gevestigde American Express Groepsmaatschappij waarop de BCR’s van toepassing zijn niet aansprakelijk is voor eventuele vermeende inbreuken op de BCR’s op grond waarvan betrokkenen aanspraak kunnen hebben op schadevergoeding. Wanneer AEESA kan aantonen dat een buiten de EER gevestigde American Express Groepsmaatschappij waarop de BCR’s van toepassing zijn niet verantwoordelijk is voor het incident dat aanleiding heeft gegeven tot de schade, kunnen AEESA en die groepsmaatschappij deze verantwoordelijkheid en aansprakelijkheid afwijzen.

Hoe kunt u een klacht indienen en naleving van de EU BCR’s afdwingen?

Indien u een klacht of vordering wilt indienen met betrekking tot deze BCR’s of uw rechten wilt uitoefenen, kunt u daarvoor op elk gewenst moment contact opnemen met de functionaris voor gegevensbescherming. U kunt hiervoor een brief sturen naar de hoofdvestiging van AEESA op het adres: American Express Europe SA, Avenida Partenón 12 - 14, 28042 Madrid / SPANJE of contact opnemen via het e-mailadres DPO-Europe@aexp.com.

Onze functionaris voor gegevensbescherming zal uw klachten onverwijld en in ieder geval binnen een maand behandelen. Rekening houdend met de complexiteit en het aantal aanvragen, is het mogelijk dat de periode van één maand wordt verlengd met maximaal twee maanden. In dat geval brengen wij u daarvan op de hoogte.

U vindt meer informatie over de procedure die American Express volgt voor het afhandelen van klachten en over de manier waarop u een klacht kunt indienen in onze Online Privacyverklaring.

Als het probleem niet naar uw tevredenheid is opgelost, kunt u tevens:

• een klacht indienen bij de toezichthoudende autoriteit in de lidstaat waar u gewoonlijk verblijft, werkt of waar de vermeende inbreuk heeft plaatsgevonden;
• een procedure instellen bij een bevoegde rechter in het Europese land waar de relevante American Express Groepsmaatschappij waarop de BCR’s van toepassing zijn gevestigd is of waar u gewoonlijk verblijft, en waar van toepassing, compensatie verkrijgen voor de schade die u als gevolg van de inbreuk op de hierboven vermelde rechten van derde-begunstigden hebt geleden.

Plicht tot samenwerking met toezichthoudende autoriteiten

Alle American Express Groepsmaatschappijen waarop de BCR’s van toepassing zijn zullen samenwerken met, en accepteren dat zij een onderzocht kunnen worden door, een relevante toezichthoudende autoriteit en zullen het advies van deze toezichthoudende autoriteit over alle kwesties met betrekking tot de toepasselijke wetgeving inzake gegevensbescherming opvolgen.

Als de toezichthoudende autoriteit vaststelt dat een van de American Express Groepsmaatschappijen waarop de BCR’s van toepassing zijn inbreuk heeft gepleegd op de rechten van betrokkenen op grond van deze BCR’s, zal de American Express Groepsmaatschappij waarop de BCR’s van toepassing zijn zich schikken naar de bevindingen van de toezichthoudende autoriteit, behoudens het recht om deze bevindingen aan te vechten of daartegen in beroep te gaan.

11.1. Nationale wetgeving verhindert de naleving van de BCR’s van de EU

Wanneer een American Express Groepsmaatschappij waarop de BCR’s van toepassing zijn redenen heeft om aan te nemen dat een wet die van toepassing is op die groepsmaatschappij het onmogelijk maakt om de BCR’s na te leven of waarschijnlijk een grote impact zal hebben op de in de BCR’s opgenomen garanties, brengt de betreffende contactpersoon van deze American Express Groepsmaatschappij waarop de BCR’s van toepassing zijn de functionaris voor gegevensbescherming bij AEESA daarvan op de hoogte, tenzij dit op grond van de toepasselijke wetgeving verboden is. Waar nodig brengt de functionaris voor gegevensbescherming de bevoegde toezichthoudende autoriteit op de hoogte van het wetsconflict, tenzij de toepasselijke wetgeving zich daartegen verzet.

Als een American Express Groepsmaatschappij waarop de BCR’s van toepassing zijn een verzoek krijgt van een opsporingsinstantie of staatsveiligheidsdienst om persoonsgegevens te overhandigen, stelt de functionaris voor gegevensbescherming de bevoegde toezichthoudende autoriteit daarvan op de hoogte (onder opgaaf van informatie over de verzochte gegevens, de verzoekende instantie en de rechtsgrondslag voor de bekendmaking). Indien de toepasselijke wetgeving in voorkomend geval het opschorten en/of melden aan de bevoegde toezichthoudende autoriteit verbiedt, stelt American Express alles in het werk om van dit verbod af te wijken om zo spoedig mogelijk zoveel mogelijk informatie te verstrekken aan de bevoegde toezichthoudende autoriteit en te kunnen aantonen dat dit gebeurd is.

Indien in bovenstaande gevallen de American Express Groepsmaatschappij waarop de BCR’s van toepassing zijn, ondanks redelijke inspanningen, niet in staat is de bevoegde toezichthoudende autoriteit op de hoogte te brengen, verstrekt de groepsmaatschappij op jaarbasis algemene informatie aan de toezichthoudende autoriteit over de verzoeken die zij heeft ontvangen (zoals het aantal verzoeken voor bekendmaking, het soort persoonsgegevens waarom is verzocht, de naam van de verzoeker indien mogelijk, etc.)

In elk geval mag de overdracht van persoonsgegevens door een American Express Groepsmaatschappij waarop de BCR’s van toepassing zijn aan een overheidsinstantie niet omvangrijk, onevenredig groot en ongedifferentieerd zijn. Deze beperking is van toepassing op elk wettelijk bindend verzoek om bekendmaking van persoonsgegevens van een opsporingsinstantie of staatsveiligheidsdienst. 

11.2. Relatie tussen nationale wetgeving en de BCR’s van de EU

Voor zover de toepasselijke wetgeving inzake gegevensbescherming een hoger beschermingsniveau van persoonsgegevens voorschrijft, heeft deze wetgeving voorrang op deze BCR’s.

Wijzigingen in de EU BCR's

Wij kunnen de voorwaarden van onze BCR’s herzien, bijvoorbeeld om rekening te houden met wijzigingen in de wet- en regelgeving of de bedrijfsstructuur. Wij verbinden ons alle American Express Groepsmaatschappijen waarop de BCR’s van toepassing zijn en de AEPD onverwijld van alle wezenlijke wijzigingen in onze BCR’s in kennis te stellen. Eventuele wijzigingen in de BCR’s of de lijst met American Express Groepsmaatschappijen waarop de BCR’s van toepassing zijn worden jaarlijks gerapporteerd aan de relevante toezichthoudende autoriteiten, vergezeld van een korte toelichting van de redenen die de herziening rechtvaardigen. Mocht een wijziging het door deze BCR’s geboden beschermingsniveau aanzienlijk kunnen beïnvloeden of aanzienlijke gevolgen kunnen hebben op deze BCR’s, dan wordt dit onverwijld doorgegeven aan de toezichthoudende autoriteiten via de bevoegde toezichthoudende autoriteit.

American Express heeft een team samengesteld dat een volledig geactualiseerde lijst bijhoudt van alle American Express Groepsmaatschappijen waarop de BCR’s van toepassing zijn en dat alle wijzigingen daarin signaleert en registreert en op aanvraag de nodige informatie verstrekt aan de betrokkenen of toezichthoudende autoriteiten. Er vindt geen doorgifte plaats door de American Express Groepsmaatschappijen waarop de BCR’s van toepassing zijn aan een nieuwe American Express Groepsmaatschappij waarop de BCR’s van toepassing zijn totdat deze nieuwe groepsmaatschappij daadwerkelijk gebonden is aan deze BCR’s en in staat is deze na te leven.

Bijlage 1

• Omschrijving van de soorten en doeleinden van de verwerkingsactiviteiten

American Express is een wereldwijd opererend bedrijf dat geïntegreerde betaaldiensten en diensten op het gebied van reizen aanbiedt. Zij is voornamelijk actief in vier segmenten: i) betaaldiensten voor klanten, ii) diensten voor handelaren, iii) netwerkdiensten en -activiteiten, en (iv) diensten op het gebied van reizen, vergaderingen en evenementen. Onze verwerkingsactiviteiten worden uitgevoerd in het kader van deze activiteiten, zoals hierna omschreven.

i) Betaaldiensten voor klanten

American Express stelt een groot aantal betaaldiensten (zoals betaalkaarten en credit cards) ter beschikking aan individuele personen, met daaraan verwante diensten (zoals loyaliteitsprogramma’s, lidmaatschaps- en beloningsregelingen, en verzekeringsbemiddeling). 

• Daartoe verwerken wij persoonsgegevens van klanten, met name voor het beheren en onderhouden van onze contractuele relatie en eventuele voordelen-, verzekerings- of andere programma's waarvoor u zich hebt ingeschreven, het leveren van producten en verlenen van diensten, het uitvoeren van onderzoek en analyses om onze producten en diensten te verbeteren, het verkrijgen van een beter inzicht in onze klanten en het kunnen aanbieden van een meer gepersonaliseerde dienst, het beheersen van onze fraude- en beveiligingsrisico's, het promoten van onze producten en diensten (op basis van toestemming indien voorgeschreven op grond van de toepasselijke wetgeving inzake gegevensbescherming) of om te voldoen aan de toepasselijke wetgeving.
  

American Express biedt daarnaast producten en diensten aan de zakelijke markt (zoals zakelijke betaaloplossingen, uitgavenmanagement en kredietproducten). 

• Daartoe verwerken wij persoonsgegevens van klanten met name voor het beheren en onderhouden van onze contractuele relatie en het leveren van zakelijke producten en verlenen van diensten, het bieden van mogelijkheden aan klanten om rapporten op te stellen in verband met het in stand houden van een doeltreffend aankoopbeleid en reisbeleid en -procedures, het opstellen van beleid, modellen en procedures voor risicobeheer en/of het nemen van beslissingen over de wijze waarop wij de rekeningen van klanten beheren, het uitwisselen van informatie met fraudebestrijdingsdiensten om debiteuren op te sporen, schulden te innen, fraude te voorkomen, rekeningen of verzekeringspolissen te beheren, het nemen van beslissingen over het aanbieden van producten zoals kredieten en gerelateerde diensten of om te voldoen aan de toepasselijke wetgeving.
  

iI) Diensten voor handelaren

American Express biedt wereldwijd diensten voor handelaren aan, waarbij handelaren ermee akkoord gaan kaarten en andere financiële producten van American Express te accepteren als betaalmiddel en American Express toestemming geven de kaarttransacties te verwerken en af te wikkelen.

Als onderdeel van deze diensten voor handelaren verleent American Express handelaren die kaarten van American Express accepteren ondersteuning door het aanbieden van analytische en adviesexpertise om nieuwe trends te signaleren, productinnovatie mogelijk te maken en groei en marketingverbetering te realiseren middels een effectiever gebruik van de gegevensinfrastructuur van American Express. Bij de verwerkingsactiviteiten die voor deze doeleinden worden uitgevoerd, worden waar gepast databases met geanonimiseerde of geaggregeerde gegevens samengesteld.

• Daartoe verwerken wij persoonsgegevens met name voor het beheren en onderhouden van onze contractuele relatie met handelaren, het uitwisselen van informatie met kredietinformatiebureaus ter voorkoming van fraude of het opsporen van debiteuren of om iemands identiteit te verifiëren, het ontwikkelen van onze producten en/of, op basis van toestemming indien voorgeschreven op grond van de toepasselijke wetgeving inzake gegevensbescherming, het aanbieden van producten of diensten of om te voldoen aan de toepasselijke wetgeving, inclusief anti-witwas- en antiterrorismewetgeving.
  

iii) Netwerkdiensten en -activiteiten

Door het netwerk van American Express worden kaarttransacties geverifieerd, gecleared en afgewikkeld en via meerdere kanalen marketingprogramma's en -mogelijkheden, diensten en gegevensanalyse ter beschikking gesteld. Het houdt toezicht op de betrouwbaarheid, beveiliging en verwerkingsmogelijkheden van het betalingsnetwerk van American Express en bouwt deze verder uit om wereldwijd handelstransacties mogelijk te maken. Daarnaast beheert het netwerk van American Express allerlei mogelijkheden die betalingen via nieuwe methodes of kanalen mogelijk maken en wordt een beleid toegepast dat de vele bij het netwerk betrokken partijen moeten naleven.

• Daartoe verwerken wij persoonsgegevens met name voor het regelen van transacties van klanten van American Express met handelaren die American Express accepteren. Verwerkingsactiviteiten omvatten maatregelen om fraude te voorkomen en om de geldende wetgeving na te leven, inclusief anti-witwas- en antiterrorismewetgeving.
  

iv) Diensten op het gebied van reizen, vergaderingen en evenementen

American Express is een van de grootste reisorganisaties ter wereld. Jaarlijks handelen wij miljoenen reserveringen af van consumenten en werknemers van zakelijke klanten – en in uitzonderlijke gevallen voor hun reisgenoten – voor reizen over de hele wereld.

American Express Global Business Travel (GBT) stelt haar expertise op het gebied van reizen ook ter beschikking aan zakelijke klanten en verleent klanten wereldwijd ondersteuning bij het organiseren van vergaderingen en evenementen. Details over de verwerkingsactiviteiten van GBT vindt u hier- https://privacy.amexgbt.com/.

American Express biedt daarnaast diensten op het gebied van reizen aan individuele consumenten aan, maar dan hoofdzakelijk aan consumenten die houder zijn van een kaart van het merk American Express.

• Daartoe verwerken wij persoonsgegevens met name voor het beheren van de zakelijke relatie, het verlenen van diensten, het uitvoeren van onderzoek en analyses om onze producten en diensten te verbeteren, het verkrijgen van een beter inzicht in onze klanten en het kunnen aanbieden van meer gepersonaliseerde diensten, het beheersen van onze fraude- en beveiligingsrisico's, het promoten van onze producten en diensten (op basis van toestemming indien voorgeschreven op grond van de toepasselijke wetgeving inzake gegevensbescherming) of om aan de geldende wetgeving te voldoen.
  

v) Human resources

American Express Groepsmaatschappijen waarop de BCR’s van toepassing zijn verwerken daarnaast persoonsgegevens van werknemers, met name voor het beheer en onderhouden van de arbeidsrelatie met werknemers van American Express (bijvoorbeeld aanstellingen of ontslag, antecedentenonderzoek, prestatiebeheer, werkbeheer of andere personeelsaangelegenheden in verband met het beheer van de arbeidsrelatie met de werknemer) en ter naleving van het interne beleid en de toepasselijke wetgeving.

• Omschrijving van de soorten persoonsgegevens
  

De soorten persoonsgegevens die worden verwerkt staan omschreven in de verschillende Privacyverklaringen van American Express, zoals deze van toepassing zijn op de relatie van de betrokkenen met American Express; deze kunnen in het algemeen als volgt worden omschreven:

i) Persoonsgegevens van klanten

Persoonsgegevens van klanten kunnen persoonsgegevens omvatten (zoals naam, adres en andere contactinformatie), informatie met betrekking tot afgenomen en gekochte producten en diensten, kredietwaardigheid, online activiteiten, inclusief bijvoorbeeld informatie die wij verzamelen wanneer klanten zich toegang verschaffen tot onze online rekeningdiensten of via cookies en vergelijkbare technologieën, informatie over levensstijl en sociale omstandigheden, etc. Om diensten op het gebied van reizen, vergaderingen en evenementen te kunnen verlenen, is het noodzakelijk dat American Express persoonsgegevens met betrekking tot de reiziger verwerkt, zoals nationaliteit, paspoortgegevens, geslacht, geboortedatum, bestemming en reisvoorkeuren (gezamenlijk aangeduid als “persoonsgegevens  van klanten”).

In sommige gevallen kunnen de persoonsgegevens van klanten bijzondere categorieën van gegevens omvatten, zoals biometrische informatie voor veiligheidsdoeleinden (bv. stemidentificatie) of voor diensten op het gebied van reizen, gegevens over handicaps die van invloed kunnen zijn op het vermogen om te reizen.

ii) Persoonsgegevens van werknemers

Persoonsgegevens van werknemers omvatten normaalgesproken persoonsgegevens (zoals naam, adres, geboortedatum, telefoonnummer), gegevens over gezinssamenstelling, informatie over levensstijl en sociale omstandigheden, afgenomen producten en diensten, online activiteiten, kredietwaardigheid, beklede openbare ambten, immigratiestatus, opleiding en arbeidsverleden en andere werkgerelateerde informatie zoals prestatie- of talentbeoordelingen en informatie over vergoedingen en toeslagen (gezamenlijk aangeduid als "persoonsgegevens van werknemers").

In bepaalde gevallen, en indien toegestaan op grond van de nationale wetgeving, kunnen persoonsgegevens van werknemers bijzondere categorieën gegevens omvatten, zoals informatie over ras en etnische herkomst, seksuele geaardheid, informatie over gezondheid, regelingen voor gezondheid op het werk, biometrische gegevens, bewaking van gelijke kansen, informatie over vakbonden en ondernemingsraden.

Bijlage 2

De American Express Groepsmaatschappijen waarop de BCR’s van toepassing zijn bevinden zich in de volgende landen:

• Argentinië
• Oostenrijk
• Australië
• België
• Canada
• China
• Colombia
• Tsjechië
• Denemarken
• Finland
• Frankrijk
• Duitsland
• Griekenland
• Hongkong
• Hongarije
• India
• Ierland
• Italië
• Japan
• Jersey
• Maleisië
• Mexico
• Nederland
• Noorwegen
• Filipijnen
• Polen
• Rusland
• Singapore
• Slovakije
• Spanje
• Zweden
• Zwitserland
• Taiwan
• Thailand
• Verenigd Koninkrijk
• Verenigde Staten