De beginselen van de uitvoering van de Gegevensbeschermings- en Privacybeginselen van American Express in de Europese Economische Ruimte (de “Europese Uitvoeringsbeginselen”) zijn alleen van toepassing op persoonsgegevens van een persoon die: (i) verwerkt zijn in de context van de activiteiten van een American Express-bedrijf gevestigd in de EER, (ii) verwerkt zijn door een American Express-bedrijf gevestigd buiten de EER indien de verwerkingsactiviteiten specifiek betrekking hebben op het aanbieden van goederen of diensten aan personen in de EER, of (iii) de verwerking door een American Express-bedrijf gevestigd buiten de EER indien de verwerkingsactiviteiten specifiek betrekking hebben op de monitoring van het gedrag van personen in de EER (de “Gegevenssubjecten”).

De verwerkingsactiviteiten zoals hierboven genoemd onder (ii) en (iii) zijn beperkt tot verwerkingsactiviteiten gericht op personen in de EER, door hen van goederen of diensten aan te bieden of door hun gedrag te monitoren.

De Europese Uitvoeringsbeginselen zetten specifiek uiteen (i) hoe de Gegevensbeschermings- en Privacybeginselen van American Express (de “Beginselen”) door American Express Company, gevestigd in het World Financial Center, 200 Vesey St. New York, NY 10285 (“American Express” of het “Bedrijf”) en ieder bedrijf binnen de American Express-groep of bedrijven die persoonsgegevens van Gegevenssubjecten (gezamenlijk de “American Express Group”) uitgevoerd moeten worden en (ii) hoe de American Express Group BCR in werking treden. American Express Europe S.A. (“AEESA”) is het Europese bedrijf binnen de American Express-groep dat de verantwoordelijkheid op zich heeft genomen om ervoor te zorgen dat de persoonsgegevens van Gegevenssubjecten opgeslagen of verwerkt worden in overeenstemming met de Europese Uitvoeringsbeginselen.

Een Gegevenssubject die een rechtstreeks voordeel geniet van de Beginselen of deze Europese Uitvoeringsbeginselen kan deze bepalingen jegens AEESA afdwingen als derde-begunstigde zoals hieronder omschreven.

In de zin van deze Europese Uitvoeringsbeginselen dient "persoonsgegevens" opgevat te worden als informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon. Een identificeerbare natuurlijke persoon is iemand die direct of indirect geïdentificeerd kan worden, met name aan de hand van een identificator zoals een naam, identificatienummer, locatiegegevens, een online identificator of één of meerdere specifieke factoren met betrekking tot de fysieke, fysiologische, genetische, mentale, economische, culturele of sociale identiteit van die natuurlijke persoon.

De Beginselen en de Europese Uitvoeringsbeginselen kunnen op de American Express-websites in ieder land in de EER geraadpleegd worden. U kunt ook een kopie van de Beginselen en Europese Uitvoeringsbeginselen in een ander formaat verkrijgen via de Data Protection Officer van AEESA op het onderstaande adres of via de lokale American Express-entiteit die verantwoordelijk is voor uw gegevens.

De Beginselen en deze Europese Uitvoeringsbeginselen dienen in samenhang gelezen te worden met de Online Privacyverklaring (voor klanten) of de Online Privacyverklaring Werving (voor potentiële medewerkers) en andere verklaringen, voorwaarden en condities die van toepassing zijn op uw relatie met American Express. Deze verklaringen en voorwaarden en condities kunnen aanvullende bepalingen bevatten die relevant zijn voor de verwerking van persoonsgegevens, overeenkomstig toepasselijke nationale wet- en regelgeving.

Ter naleving van de Algemene Verordening Gegevensbescherming van de EU ("AVG") worden de Gegevensbeschermings- en Privacybeginselen ingevolge de Europese Uitvoeringsbeginselen voor de American Express Group-bedrijven die persoonsgegevens van Gegevenssubjecten verwerken als volgt aangepast.

3.1. Verzameling

Persoonsgegevens van Gegevenssubjecten worden rechtmatig, eerlijk en op een transparante manier met betrekking tot de Gegevenssubjecten verwerkt. American Express is een wereldwijde aanbieder van betalingsdiensten en een reisorganisatie. De privacyverklaringen en andere verklaringen, voorwaarden en condities die aan u getoond kunnen worden als u zaken met ons doet, bevatten een beschrijving van de soorten persoonsgegevens en speciale categorieën van persoonsgegevens die verwerkt worden en de manier waarop ze verwerkt worden.

De American Express Group-bedrijven verzamelen alleen persoonsgegevens van Gegevenssubjecten voor specifieke, expliciete en legitieme doeleinden en zorgen ervoor dat de persoonsgegevens niet verder verwerkt worden op een manier die onverenigbaar is met dergelijke doeleinden.

3.2. Verklaring, eerlijkheid en transparantie

De American Express Group-bedrijven die op grond van de AVG een verplichting hebben om Gegevenssubjecten informatie met betrekking tot de verwerking te verschaffen, dienen Gegevenssubjecten een recht op gemakkelijke toegang tot de vereiste informatie te verschaffen. Deze informatie wordt op een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke wijze aan het Gegevenssubject verstrekt, in duidelijke en begrijpelijke bewoordingen. Deze informatie is beschikbaar in de Online Privacyverklaring (voor klanten) of de Online Privacyverklaring inzake Werving (voor potentiële medewerkers).

3.3. Gegevenskwaliteit

De American Express Group-bedrijven die persoonsgegevens van Gegevenssubjecten verwerken, dienen redelijke maatregelen te treffenom ervoor te zorgen dat de persoonsgegevens van Gegevenssubjecten die onjuist zijn, rekening houdend met het doel waarvoor ze verwerkt worden, zonder vertraging verwijderd of bijgewerkt worden.

Persoonsgegevens van Gegevenssubjecten worden op een dergelijke wijze opgeslagen dat Gegevenssubjecten niet voor een langere periode geïdentificeerd kunnen worden dan wat nodig is voor het doel waarvoor de persoonsgegevens verwerkt worden. Persoonsgegevens mogen voor archiveringsdoeleinden gedurende een langere periode bewaard blijven of zoals anderszins toegestaan door de AVG of toepasselijke wetgeving en alleen indien er deugdelijke technische en organisatorische maatregelen getroffen zijn.

3.4. Veiligheid en vertrouwelijkheid

Onder de vereisten van dit beginsel vallen het nemen van redelijke, deugdelijke technische en organisatorische maatregelen om persoonsgegevens van Gegevenssubjecten te beschermen tegen onbevoegde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of schade.

3.5. Openheid en gegevenstoegang

De bedrijven van de American Express Group nemen de volgende rechten die zijn toegekend aan Gegevenssubjecten in acht: het recht op toegang, het recht op correctie, het recht om vergeten te worden, het recht om de verwerking te beperken, het recht om bezwaar te maken tegen verwerking, het recht om toestemming in te trekken en het recht om niet onderworpen te worden aan beslissingen die uitsluitend gebaseerd zijn op geautomatiseerde besluitvorming, inclusief profilering.

3.6. Internationale overdracht

De persoonsgegevens van Gegevenssubjecten worden binnen de hele American Express Group overgedragen. Deze gegevensstroom wordt gelegitimeerd door een combinatie van EU-goedgekeurde Binding Corporate Rules en gegevensoverdrachtovereenkomsten, inclusief EU-modelovereenkomsten. De speciale categorie gegevens van Gegevenssubjecten wordt niet verder overgedragen, tenzij het Gegevenssubject zijn/haar toestemming voor dergelijke overdracht gegeven heeft.

3.7. Verantwoording

Alle bedrijven in de American Express Group die persoonsgegevens van Gegevenssubjecten verwerken, zijn verantwoordelijk voor en moeten in staat zijn om naleving van de AVG te bewijzen, inclusief het bijhouden van elektronische bestanden voor alle categorieën verwerkingsactiviteiten om dergelijke naleving aan te tonen.

De American Express Group-bedrijven die persoonsgegevens van Gegevenssubjecten verwerken, maken gebruik van technische en organisatorische maatregelen die ontwikkeld zijn om gegevensbeschermingsbeginselen te implementeren en om naleving van de vereisten van deze Europese Uitvoeringsbeginselen te faciliteren.

5.1. Naleving

Om voor de naleving van de Beginselen en Europese Uitvoeringsbeginselen te zorgen, is een nalevingsprogramma opgezet, dat voorziet in regelmatige nalevingscontroles en audits van de American Express Group-activiteiten. De resultaten van deze nalevingscontroles en audits worden gecommuniceerd aan de Global Privay Office van American Express, de AEESA Data Protection Officer, de relevante toezichthoudende autoriteiten (indien verzocht) en, in voorkomende gevallen, de Auditcommissie van de Raad van Bestuur van American Express Company. Indien wordt vastgesteld dat de naleving niet toereikend is, dient het relevante bedrijf in de American Express Group in de EER te voldoen aan specifieke verzoeken van de AEESA Data Protection Officer of, indien niet voldaan kan worden aan het verzoek, het vastleggen van de reden hiervoor. De American Express Group werkt ook mee aan nalevingscontroles die door een bevoegde toezichthoudende autoriteit uitgevoerd worden, ongeacht of dit als reactie op een klacht van een Gegevenssubject of op eigen initiatief van de toezichthoudende autoriteit plaatsvond.

5.2. Medewerking

Alle bedrijven binnen de American Express Group die persoonsgegevens van Gegevenssubjecten verwerken, zullen meewerken aan eisen, controles, vragen en klachten van een relevante toezichthoudende autoriteit. Indien de toezichthoudende autoriteit van oordeel is dat een bedrijf in de American Express Group een van de rechten ingevolge deze Europese Uitvoeringsbeginselen overtreden heeft, zal het relevante bedrijf in de American Express Group zich houden aan de bevindingen van de toezichthoudende autoriteit, met inachtneming van het eisen om bezwaar te maken tegen dergelijke bevindingen.

Alle bedrijven in de American Express Group die persoonsgegevens van Gegevenssubjecten verwerken moeten voldoen aan de bepalingen van de Europese Uitvoeringsbeginselen en ander beleid en procedures die bindend zijn voor de American Express Group. De bedrijven binnen de American Express Group zullen voor de naleving van Europese nationale gegevensbescherming en privacywetgeving zorgen en alle handhaving is in overeenstemming met die Europese nationale wetgeving.

6.1. Handhaving

Iedere Gegevenssubject kan de handhaving van de volgende bepalingen van de Europese Uitvoeringsbeginselen als een derde-begunstigde jegens AEESA of een American Express Group afdwingen:

a. Rechten Gegevenssubjecten (artikel 3);

b. Conflictenrecht (artikel 8);

c. Vragen of klachten (artikel 9);

d. Medewerking (artikel 5.2); en

e. Naleving, handhaving en aansprakelijkheid (artikel 6.1 en 6.2).

Gegevenssubjecten hebben rechtsmiddelen en het recht op schadeloosstelling en, indien gepast, een recht op compensatie van de daadwerkelijk door de klagende partij geleden schade als gevolg van de schending van de bovengenoemde rechten van de derde-begunstigde.

De Gegevenssubjecten kunnen hun vordering indienen bij een bevoegd gerecht van een EER-lidstaat waar het relevante bedrijf van de American Express Group gevestigd is of waar het Gegevenssubject woonachtig is.

6.2. Aansprakelijkheid

AEESA aanvaardt aansprakelijkheid voor een schending van de Beginselen of de Europese Uitvoeringsbeginselen door een American Express Group buiten de EU dat persoonsgegevens van Gegevenssubjecten verwerkt. AEESA neemt de nodige actie om een handeling of nalatigheid van bedrijven in de American Express Group die persoonsgegevens van Gegevenssubjecten verwerken te herstellen.

AEESA is aansprakelijk voor de vergoeding van materiële en niet-materiële schade die door de Gegevenssubjecten geleden is in verband met een schending van de Beginselen of Europese Uitvoeringsbeginselen. De vergoeding moet door de AEESA Data Protection Officer goedgekeurd zijn voordat schadeloosstelling wordt aangeboden of betaling plaatsvindt. Een dergelijke vergoeding komt volledig tegemoet aan de vordering van het Gegevenssubject jegens alle bedrijven binnen de American Express Group. Voor alle duidelijkheid, de aansprakelijkheid van AEESA strekt zich uit tot de handeling of de nalatigheid van een bedrijf in de American Express Group dat niet in de EER gevestigd is.

Indien een American Express Group-bedrijf dat buiten de EER gevestigd is de Beginselen of Europese Uitvoeringsbeginselen schendt, hebben de rechtbanken of andere bevoegde autoriteiten in de EER jurisdictie met betrekking tot een dergelijke schending. Voor zover een American Express Group-bedrijf dat persoonsgegevens van Gegevenssubjecten verwerkt de Europese Uitvoeringsbeginselen schendt kunnen Gegevenssubjecten, toezichthoudende autoriteiten en rechtbanken van toepasselijke jurisdicties hun rechten uitoefenen en een vordering jegens AEESA indienen als ware het zo dat AEESA dergelijk gedrag in de EER vertoond zou hebben.

AEESA draagt de bewijslast om aan te tonen dat het American Express Group-bedrijf gevestigd buiten de EER niet aansprakelijk is voor enige vermeende schending van de Beginselen of Europese Uitvoeringsbeginselen die de grondslag vormt voor de schadevordering van het Gegevenssubject. Indien AEESA kan bewijzen dat het American Express Group-bedrijf buiten de EER niet verantwoordelijk is voor het voorval dat ten grondslag ligt aan de schade, dan kan een dergelijk bedrijf zichzelf ontslaan van verantwoordelijkheid en aansprakelijkheid.

American Express verstrekt geschikt instructiemateriaal en cursussen voor American Express-medewerkers die persoonsgegevens van Gegevenssubjecten verzamelen, gebruiken of hiertoe toegang hebben of die systemen ontwikkelen die persoonsgegevens verwerken zodat zij op de hoogte zijn van hun verplichtingen ingevolge de Beginselen en deze Europese Uitvoeringsbeginselen.

Indien een bedrijf binnen de American Express Group reden heeft om te menen dat een wet waaraan dit bedrijf onderworpen is de naleving van de Beginselen of de Europese Uitvoeringsbeginselen belet of dat het waarschijnlijk is dat dit een aanzienlijke invloed heeft op de garanties uiteengezet in de Beginselen of Europese Uitvoeringsbeginselen, dan zal de relevante contactpersoon van het betreffende American Express Group-bedrijf de Data Protection Officer bij AEESA inlichten, tenzij toepasselijke wetgeving dit niet toestaat. De Data Protection Officer zal de bevoegde toezichthoudende autoriteit, indien nodig, inlichten tenzij toepasselijke wetgeving dit niet toestaat.

Een Gegevenssubject kan op elk moment een klacht of vordering indienen en zijn of haar recht met betrekking tot de Beginselen of deze Europese Uitvoeringsbeginselen uitoefenen. De klacht of vordering kan gericht worden aan de AEESA Data Protection Officer op het AEESA hoofdkantoor bij American Express Europe S.A. Avenida Partenón 12-14, 28042, Madrid. Klik hier voor meer informatie over de procedure voor klachtenbehandeling van American Express en de wijze waarop een klacht ingediend kan worden.

[TERUGKOMEN]