UNIJNE WIĄŻĄCE REGUŁY KORPORACYJNE AMERICAN EXPRESS (UE WRK)

Return to top

1.1. Omówienie

American Express ceni Państwa zaufanie i szanuje Państwa prywatność.

Ochrona danych i bezpieczeństwo informacji to długoterminowe priorytety naszej spółki. Jako organizacja międzynarodowa zobowiązujemy się do ochrony danych osobowych niezależnie od miejsca ich wykorzystania; wszystkie dane osobowe zbierane przez American Express będą przetwarzane zgodnie z naszymi Zasadami ochrony i poufności danych.

W 2012 r. American Express była jedną z pierwszych spółek, które opublikowały Wiążące Reguły Korporacyjne (WRK) zatwierdzone przez biuro ds. danych osobowych Zjednoczonego Królestwa [Information Commissioner’s Office - ICO]. Obecnie WRK w dalszym ciągu tworzą ramy dla naszych zdecydowanych zobowiązań w zakresie ochrony prywatności, promując solidną kulturę zachowywania zgodności z przepisami w całym naszym przedsiębiorstwie.

Nasze WRK regulują między innymi międzynarodowe Przekazywanie Danych osobowych w ramach Podmiotów objętych WRK American Express zgodnie z Obowiązującym ustawodawstwem w zakresie ochrony danych i gwarantują, że Państwa Dane osobowe są zawsze odpowiednio chronione, niezależnie od miejsca, do którego zostają Przekazywane.

1.2. Łatwy dostęp do WRK

Nasze WRK są dostępne na stronach internetowych American Express w całej Europie. Mogą Państwo również poprosić naszego Inspektora Ochrony Danych (DPO) o kopię naszych WRK w alternatywnym formacie, pisząc na poniższy adres lub zwracając się do podmiotu American Express odpowiedzialnego za Państwa Dane osobowe.

Prosimy zwrócić uwagę, że wiodącym Organem nadzoru kontrolującym nasze WRK jest Agencia Española de Protección de Datos (AEPD).

Return to top

Nasze WRK są prawnie wiążące dla Podmiotów objętych WRK American Express i ich Pracowników na mocy Umowy wewnątrzgrupowej pomiędzy spółką American Express a American Express Europe, S.A. (AEESA), prawnym przedstawicielem American Express w EOG.

Każdy Podmiot American Express objęty WRK oraz ich Pracownicy mogą Przetwarzać Dane osobowe wyłącznie zgodnie z niniejszymi WRK. Pracownicy, którzy naruszą niniejsze WRK mogą podlegać działaniom dyscyplinarnym

Return to top

Nasze WRK dotyczą wszelkiego rodzaju Przetwarzania Danych osobowych, które podlega Obowiązującemu ustawodawstwu w zakresie ochrony danych. Dotyczy to Danych osobowych Podmiotu danych, które są lub były Przetwarzane w kontekście działań Podmiotu American Express objętego WRK założonego na terenie EOG, nawet jeśli Przetwarzanie jest realizowane przez Podmiot American Express objęty WRK spoza EOG.

3.2. Zakres rzeczowy

W ramach swojej roli Administratora danych, American Express Przetwarza Dane osobowe byłych, obecnych i potencjalnych pracowników, dyrektorów, kontrahentów, poszczególnych konsultantów, pracowników na umowę zlecenie, zatrudnionych przez American Express na pełny etat, niepełny etat, na stałe lub tymczasowo, jak również emerytów („Pracowników”) oraz Dane osobowe byłych, obecnych i potencjalnych klientów American Express oraz osób fizycznych pracujących dla klientów korporacyjnych, dostawców i partnerów American Express („Klientów”).

Cele, dla których American Express Przetwarza Dane osobowe dotyczą głównie klientów, kwestii handlowych, sprzedawców, ubezpieczeń, podróży, spotkań i wydarzeń oraz usług sieciowych jak również zasobów ludzkich.

Aby skutecznie realizować działania American Express na całym świecie, Przetwarzanie Danych osobowych przez Podmioty American Express objęte WRK, w związku z celami ustalonymi w tych WRK, może obejmować międzynarodowe Przekazywanie Danych osobowych Podmiotów danych, od jakiegokolwiek Podmiotu American Express objętego WRK z EOG do jakiegokolwiek innego Podmiotu American Express objetego WRK spoza EOG (w tym z krajów z obszaru EOG do USA, gdzie znajdują się główne serwery American Express), oraz wszelkie dalsze Przekazywanie otrzymanych Danych osobowych na rzecz strony trzeciej spoza grupy American Express.

Bardziej kompleksowy przegląd działań American Express związanych z Przetwarzaniem można znaleźć w Załączniku nr 1. Lokalizację Podmiotów American Express objętych WRK można znaleźć w Załączniku nr 2.

Return to top

Przetwarzając Państwa Dane osobowe, Podmioty American Express objęte WRK są zobowiązane do przestrzegania solidnych zasad dotyczących ochrony danych (sekcja 4.1) i respektowania Państwa praw w zakresie ochrony danych (sekcja 4.2).

4.1. Zasady ochrony danych

4.1.1. Przejrzystość i uczciwość

Podmioty American Express objete WRK będą zbierać i Przetwarzać Państwa Dane osobowe w sposób przejrzysty i uczciwy.

Zapewniamy Państwu łatwy dostęp do informacji dotyczących naszych działań związanych z Przetwarzaniem, zgodnie z wymogami Ogólnego Rozporządzenia o Ochronie Danych (RODO). Informacje te są Państwu przekazywane w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, prostym i wyraźnym językiem i są dostępne w odpowiednich Politykach prywatności American Express, mających zastosowanie do Państwa relacji z nami. Tego rodzaju informacje oraz regulaminy mogą również zawierać dodatkowe postanowienia, właściwe dla Przetwarzania Danych osobowych, na mocy obowiązujących przepisów i regulacji krajowych.

W szczególności kiedy Dane osobowe są zbierane od Podmiotu danych, w momencie zbierania Danych osobowych przekazane zostaną następujące informacje:

- tożsamość i dane kontaktowe Administratora danych i, w stosownych przypadkach, jego przedstawiciela;

- dane kontaktowe DPO;

- cele Przetwarzania, dla których przeznaczone są Dane osobowe oraz podstawa prawna dla Przetwarzania; 

- ewentualni odbiorcy lub kategorie odbiorców Danych osobowych; 

-realizacja Przekazywania Danych osobowych do krajów bez odpowiedniego poziomu ochrony oraz odpowiednich zabezpieczeń przyjętych w celu zapewnienia tego samego poziomu ochrony co wymagany przez RODO; 

-okres, przez który Dane osobowe będą przechowywane lub jeśli nie jest to możliwe, kryteria wykorzystywane do ustalenia tego okresu; oraz istnienie praw Podmiotów danych uznawanych przez RODO.

Kiedy Dane osobowe nie zostały zebrane od Podmiotu danych, poprzednie informacje, jak również kategorie konkretnych Danych osobowych oraz źródło, z którego pochodzą Dane osobowe, będą komunikowane w odpowiednim terminie (chyba że Podmiot danych posiada już informacje, przekazanie takich informacji okazuje się niemożliwe lub zakładałaby nieproporcjonalny wysiłek, uzyskanie lub ujawnienie jest wyraźnie przewidziane przez prawo unijne lub prawo kraju członkowskiego lub w sytuacji, gdy Dane osobowe muszą pozostać poufne z zastrzeżeniem obowiązku zachowania tajemnicy zawodowej regulowanego przez prawo unijne lub prawo kraju członkowskiego, włącznie z ustawowym obowiązkiem zachowania tajemnicy).

Nasze WRK zapewniają Państwu również informacje na temat praw, z których mogą Państwo skorzystać przeciwko AEESA lub jakiemukolwiek Podmiotowi American Express objętemu WRK jako beneficjentowi zewnętrznemu w odniesieniu do Przetwarzania Państwa Danych osobowych na mocy niniejszych WRK („Prawa beneficjenta zewnętrznego”) oraz sposobach korzystania z takich praw (patrz sekcja 8). Ponadto niniejsze WRK zapewnią Państwu informacje dotyczące zasad ochrony danych, które stosujemy Przetwarzając Państwa Dane osobowe (jak wyjaśniono w sekcji 4) oraz informacje na temat odpowiedzialności, jaką Podmioty American Express objęte WRK przyjmują na wypadek naruszenia tych WRK (patrz sekcja 8).

Ponadto zawsze mogą Państwo uzyskać na życzenie kopię naszych WRK. Wersja publiczna będzie dostępna na publicznych stronach internetowych Podmiotów American Express objętych WRK na terenie EOG, jak również w naszym intranecie, jeśli są Państwo Pracownikiem.

4.1.2. Legalność przetwarzania

Państwa Dane osobowe oraz Specjalne kategorie danych są zbierane i Przetwarzane w sposób uczciwy i zgodny z prawem, zgodnie z Obowiązującym ustawodawstwem w zakresie ochrony danych. Podstawy prawne Przetwarzania Państwa Danych osobowych zostały bardziej szczegółowo opisane w odpowiednich Politykach prywatności American Express, mających zastosowanie do Państwa relacji z American Express.

• Przetwarzanie Danych osobowych

Państwa Dane osobowe są zbierane i Przetwarzane tylko w przypadku, gdy istnieje podstawa prawna do Przetwarzania: 

- kiedy udzielili Państwo swojej wyraźnej Zgody (na przykład, na przesyłanie Państwu wiadomości e-mail zawierających reklamy, promocje oraz oferty produktów i usług American Express)

- kiedy Przetwarzanie jest niezbędne do celów realizacji umowy, której są Państwo stroną lub w celu podjęcia kroków na Państwa życzenie przed zawarciem umowy (na przykład, w celu zarządzania naszą relacją umowną z Państwem oraz przetworzenia Państwa wniosku o kartę, konto lub inny produkt bądź w celu zarządzania Państwa istniejącymi kontami);

- kiedy Przetwarzanie jest niezbędne dla zachowania zgodności z obowiązkiem prawnym (na przykład, w celu zgłoszenia pewnych podejrzanych transakcji właściwym władzom w ramach zasad dotyczących przeciwdziałaniu praniu pieniędzy lub zgodnie z wymogami prawa w celu przeprowadzenia analizy due diligence wobec Klientów przed zatwierdzeniem ich wniosków); lub

- kiedy Przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Podmiot American Express objęty WRK lub przez strony trzecie (np. w celu dostarczenia produktów i usług, reklamowania i wprowadzania na rynek produktów i usług, prowadzenia badań i analiz oraz zarządzania naszym ryzykiem dotyczącym oszustw i bezpieczeństwa), z wyjątkiem przypadków, gdy Państwa interesy lub podstawowe prawa i swobody są nadrzędne wobec tych interesów.

• Przetwarzanie specjalnych kategorii danych

Możemy zbierać Specjalne kategorie danych, w tym dane dotyczące zdrowia, dane biometryczne, dotyczące orientacji seksualnej lub pochodzenia rasowego/etnicznego. Dane te są zbierane i Przetwarzane w celu spełnienia wymogów prawnych, do celów niezbędnych do zarządzania stosunkiem pracy lub tam, gdzie udzielono wyraźnej Zgody, wyłącznie w przypadkach dozwolonych przez obowiązujące prawo.

Niekiedy mogą Państwo przekazać Nam tego rodzaju dane, aby poprawić jakość swojego doświadczenia z Naszą firmą (np. jeśli poinformują nas Państwo o specjalnych wymogach żywieniowych lub potrzebie uzyskania specjalnej pomocy w czasie lotu).

W ograniczonym stopniu, w jakim zbierane są Specjalne kategorie danych, będą one Przetwarzane wyłącznie na mocy jednej z podstaw prawnych wymienionych powyżej i pod warunkiem, że ma zastosowanie jeden z warunków Przetwarzania Specjalnych kategorii danych, np. w przypadku gdy:

Udzielili Państwo wyraźnej Zgody na Przetwarzanie:

- Przetwarzanie jest niezbędne do celów realizacji obowiązków i konkretnych praw American Express w obszarze zatrudnienia i ubezpieczenia społecznego oraz przepisów o ochronie socjalnej;

- Przetwarzanie dotyczy Specjalnych kategorii danych, które Państwo wyraźnie upublicznili

- Przetwarzanie jest niezbędne do ustalenia, wykorzystania lub obrony roszczeń prawnych;

- Przetwarzanie jest niezbędne z przyczyn uzasadnionego interesu publicznego, na podstawie prawa unijnego lub prawa kraju członkowskiego.

Ponadto Podmioty American Express objęte WRK podejmą dodatkowe kroki w celu Przetwarzania Specjalnych kategorii danych w sposób wymagany przez Obowiązujące ustawodawstwo w zakresie ochrony danych.

4.1.3. Minimalizacja danych, prawidłowość i ograniczenie przechowywania

Podmioty objete WRK American Express stosują odpowiednią technologię i ustalone praktyki Pracownicze w celu Przetwarzania Państwa Danych osobowych w sposób szybki i prawidłowy.

Podejmujemy uzasadnione kroki w celu zapewnienia, że Państwa Dane osobowe są:

- Prawidłowe i aktualne w odniesieniu do celów, dla których są Przetwarzane (prawidłowość danych). Nieprawidłowe Dane osobowe są usuwane lub korygowane bez opóźnień;

- Odpowiednie, właściwe i nie nadmierne w odniesieniu do celów, dla których Dane osobowe są zbierane i Przetwarzane (minimalizacja danych);

- Nie są utrzymywane w formie pozwalającej na identyfikację dłużej niż to konieczne do celów, dla których Dane osobowe są Przetwarzane; są one przechowywane przez dłuższy czas wyłącznie do celów archiwizacyjnych lub w innym przypadku, gdy ich zachowanie jest dozwolone lub wymagane zgodnie z obowiązującym prawem, a wówczas wyłącznie po podjęciu odpowiednich działań administracyjnych, technicznych i organizacyjnych.

4.1.4. Ograniczenie celu

Podmioty objete WRK American Express zbierają Dane osobowe wyłącznie w konkretnych i uzasadnionych celach. Przetwarzamy Państwa Dane osobowe w sposób uczciwy i wyłącznie do celów, o których Państwa poinformowaliśmy, w celu, na który wyrazili Państwo zgodę lub zgodnie z Obowiązującym ustawodawstwem w zakresie ochrony danych. Zapewnimy, że Państwa Dane osobowe nie będą dalej Przetwarzane w sposób niezgodny z tymi celami.

4.1.5. Bezpieczeństwo i poufność danych

American Express wdrożyła i zobowiązuje się do utrzymania kompleksowego udokumentowanego programu bezpieczeństwa informacji, zgodnego z obowiązującym prawem i Obowiązującym ustawodawstwem w zakresie ochrony danych.

Podmioty American Express objęte WRK wdrażają odpowiednie środki administracyjne, techniczne i organizacyjne, aby chronić Państwa Dane osobowe przed przypadkowym lub bezprawnym zniszczeniem, utratą, zmianą, nieupoważnionym ujawnieniem lub dostępem do Danych osobowych transmitowanych, przechowywanych lub w inny sposób Przetwarzanych. Zapewnimy poufność Państwa Danych osobowych i ograniczymy dostęp do Państwa Danych osobowych do osób, które go potrzebują do wykonania konkretnych zadań służbowych, z wyjątkiem innych przypadków wymaganych przez prawo, które Nas obowiązuje.

Tego rodzaju środki zapewnią poziom bezpieczeństwa odpowiedni do ryzyka i uwzględnią stan badań, koszty wdrożenia oraz charakter, zakres, kontekst i cele Przetwarzania, jak również ryzyko zmieniającego się prawdopodobieństwa wystąpienia oraz dotkliwości dla praw i swobód Podmiotów danych i mogą obejmować odpowiednio:

- pseudonimizację i szyfrowanie Danych osobowych Podmiotów danych,

- środki zapewniające stałą poufność, integralność, dostępność i odporność systemów i usług przetwarzania;

- środki zapewniające zdolności przywracania dostępności i dostępu do Danych osobowych Podmiotów danych w sposób terminowy w przypadku incydentu fizycznego lub technicznego; oraz

- proces regularnego testowania, oceny i ewaluacji skuteczności środków technicznych i organizacyjnych zapewniających bezpieczeństwo Przetwarzania.

Wymagamy również odpowiednich środków administracyjnych, technicznych i organizacyjnych ze strony podmiotów zewnętrznych, które zostały przez Nas upoważnione do Przetwarzania Państwa Danych osobowych w naszym imieniu oraz Podpiszemy zobowiązania umowne z wewnętrznymi i zewnętrznymi Podmiotami przetwarzającymi dane, które stosują się do zabezpieczeń wymaganych przez RODO.

W szczególności Przetwarzanie realizowane przez Podmiot przetwarzający dane będzie regulowane umową wiążącą dla Podmiotu przetwarzajacego dane w odniesieniu do Administratora danych oraz określającą przedmiot i czas trwania Przetwarzania, charakter i cel Przetwarzania, rodzaj Danych osobowych i kategorie Podmiotów danych oraz prawa i obowiązki Administratora danych.

Umowa musi również określać następujące obowiązki i wymagać, aby Podmiot przetwarzajęcy dane:

- Przetwarzał Dane osobowe wyłącznie na podstawie udokumentowanych instrukcji ze strony Administratora danych lub zagwarantował, że osoby upoważnione do Przetwarzania Danych osobowych zobowiązały się do zachowania poufności lub obowiązuje je odpowiedni ustawowy obowiązek zachowania poufności;

- podejmował wszystkie odpowiednie środki techniczne i organizacyjne wymagane dla zagwarantowania akceptowalnego poziomu bezpieczeństwa;

- nie podpisywał umów z kolejnym Podmiotem przetwarzającym dane („podpowierzenie przetwarzania danych”) bez uprzedniego konkretnego lub ogólnego pisemnego upoważnienia Administratora danych i wyłącznie pod warunkiem, że na ten podmiot, któremu podpowierzono przetwarzanie danych zostaną nałożone te same obowiązki w zakresie ochrony danych co wymienione w umowie zawartej pomiędzy Administratorem danych a Podmiotem przetwarzającym dane;

- pomagał Administratorowi danych kiedy to tylko możliwe poprzez odpowiednie środki techniczne i organizacyjne, w celu spełnienia obowiązku Administratora danych dotyczącego udzielania odpowiedzi na wnioski Podmiotów danych w sprawie możliwości skorzystania ze swoich praw;

- pomagał Administratorowi danych w wypełnieniu jego obowiązków dotyczących bezpieczeństwa Przetwarzania, Naruszeń Danych osobowych oraz Oceny skutków ochrony danych;

- w wyniku decyzji Administratora danych, usunął lub zwrócił wszystkie Dane osobowe Administratorowi danych po zakończeniu świadczenia usług dotyczących Przetwarzania oraz usunął istniejące kopie, o ile obowiązujące prawo nie wymaga przechowywania Danych osobowych;

- udostępnił Administratorowi danych wszystkie informacje niezbędne do wykazania zgodności z zobowiązaniami określonymi w art. 28 RODO dotyczącymi Podmiotu przetwarzającego dane oraz umożliwił audyty i pomógł w ich przeprowadzeniu, łącznie z inspekcjami prowadzonymi przez Administratora danych lub innego audytora upoważnionego przez Administratora danych.

Ponadto Podmioty American Express objęte WRK wdrożyły środki administracyjne, techniczne i organizacyjne w celu wykrywania, badania, przekazywania na wyższy szczebel i naprawiania przypadków Naruszeń Danych osobowych. DPO American Express jest zawiadamiany o Naruszeniach Danych osobowych przez Podmioty American Express objęte WRK bez zbędnej zwłoki. DPO American Express ustala również czy powiadomić o tym właściwy Organ nadzoru oraz Podmioty danych zgodnie z wymogami RODO. Wszelkie Naruszenia Danych osobowych zostaną udokumentowane (z uwzględnieniem faktów odnoszących się do Naruszenia Danych osobowych, jego skutków oraz podjętych działań naprawczych), a dokumentacja będzie udostępniana Organowi nadzoru na życzenie.

4.1.6. Dalsze przekazywanie danych

Państwa Dane osobowe są Przekazywane poprzez Podmioty American Express objęte WRK i dalej, stronom trzecim, za każdym razem przy zagwarantowaniu odpowiedniego poziomu ochrony Przetwarzania Państwa danych, zgodnie z wymogami Obowiązującego ustawodawstwa w zakresie ochrony danych, niezależnie od miejsca, do którego są Przekazywane.

Ten przepływ danych jest legitymizowany poprzez nasze WRK, które umożliwiają Nam Przekazywanie Danych osobowych z EOG do Podmiotów American Express objętych WRK zlokalizowanych poza EOG.

We wszystkich przypadkach dalszego Przekazywania (t.j. Dane osobowe, które zostały najpierw Przekazane od znajdującego się na obszarze EOG Podmiotu American Express objętego WRK do Podmiotu American Express objętego WRK spoza EOG, a następnie przekazane stronom trzecim, które nie są objęte WRK), Podmioty American Express objęte WRK zagwarantują zawarcie pisemnej umowy z takimi stronami trzecimi. Umowy te będą zawierały postanowienia gwarantujące, że Dane osobowe będą chronione na poziomie poufności i bezpieczeństwa co najmniej takim jak przewidywany w tych WRK lub podmioty te użyją innej prawidłowej, zgodnej z prawem metody w celu zapewnienia legalności Przekazywania i udzielenia odpowiednich gwarancji na mocy art. 46 RODO.

4.1.7. Odpowiedzialność

Wszystkie Podmioty American Express objęte WRK są odpowiedzialne za niniejsze WRK i muszą wykazywać zgodność z ich postanowieniami. Zgodność z tymi wymogami obejmuje:

- utrzymanie dokumentacji elektronicznej z działań dotyczących Przetwarzania, dostępnej dla Organów nadzoru na życzenie, zawierającej informacje wymagane przez RODO, takie jak: imię, nazwisko i dane kontaktowe Administratora danych, cele Przetwarzania, kategorie Podmiotów danych oraz kategorie Danych osobowych, odbiorców Danych osobowych, Przekazywanie do krajów spoza EOG, terminy na usunięcie kategorii Danych osobowych oraz opis stosowanych środków bezpieczeństwa);

- uzupełnienie oceny skutków ochrony danych (obowiązuje wyłącznie w przypadku, gdy działania związane z Przetwarzaniem mogą skutkować podwyższonym ryzykiem dla praw i swobód Podmiotów danych); oraz

- konsultacje z odpowiednimi Organami nadzoru, kiedy jest to wymagane do wykazania takiej zgodności.

Ponadto Podmioty American Express objęte WRK wdrożyły odpowiednie środki administracyjne, techniczne i organizacyjne, zaprojektowane, by wdrożyć zasady ochrony danych i ułatwić zachowanie zgodności z wymogami ustalonymi przez te WRK („data protection by design and by default”).

4.2. Prawa Podmiotów danych

• Prawo do dostępu, ograniczenia, wniesienia sprzeciwu, sprostowania, usunięcia, wycofania Zgody oraz przenoszenia danych

W odpowiednich przypadkach Podmioty American Express objęte WRK realizują Państwa wnioski o możliwość skorzystania z praw, do których są Państwo upoważnieni na mocy RODO. Mówiąc konkretniej, Gwarantujemy Państwu możliwość skorzystania ze swojego prawa do:

- uzyskania dostępu do swoich Danych osobowych (prawo do dostępu);

- ograniczenia i/lub wyrażenia sprzeciwu wobec Przetwarzania swoich Danych osobowych (prawo do ograniczenia Przetwarzania oraz prawo do wniesienia sprzeciwu wobec Przetwarzania);

- sprostowania swoich Danych osobowych (prawo do sprostowania);

- usunięcia swoich Danych osobowych (prawo do usunięcia);

- wycofania wcześniej udzielonej Zgody na Przetwarzanie, oraz

- otrzymania swoich Danych osobowych w ustrukturyzowanym, powszechnie używanym i możliwym do odczytania przez maszynę formacie i/lub przekazania tych danych do innego Administratora danych (prawo do przenoszenia danych).

Podmioty American Express objęte WRK podlegają zasadom dotyczącym sposobów obsługi takich wniosków, aby zapewnić, że będą Państwo mieć możliwość skorzystania z tych praw. Jeśli chcieliby Państwo skorzystać z dowolnego ze swoich praw, mogą Państwo skontaktować się z naszym DPO, pisząc na adres DPO-Europe@aexp.com.

• Zautomatyzowane podejmowanie decyzji

Podmioty American Express objęte WRK gwarantują, że nie będą Państwo podlegać decyzjom podejmowanym wyłącznie na podstawie zautomatyzowanego Przetwarzania Danych osobowych, włącznie z Profilowaniem, niosącego skutki prawne lub podobne poważne konsekwencje, o ile Przetwarzanie to nie jest:

- niezbędne w celu zawarcia lub realizacji umowy zawartej pomiędzy Państwem a American Express;

- upoważnione przez prawo, któremu podlega American Express, a które określa jednocześnie odpowiednie środki zabezpieczające Państwa prawa i swobody oraz uzasadnione interesy; lub

- oparte na Państwa wyraźnej Zgodzie na tego rodzaju Przetwarzanie.

Zgodnie z obowiązującymi przepisami, Wdrożymy odpowiednie środki w celu zabezpieczenia Państwa praw i swobód oraz uzasadnionych interesów, a co najmniej prawa do interwencji człowieka, wyrażenia swojej opinii i podważenia decyzji.

Zgodnie z tymi ograniczeniami, Możemy zastosować zautomatyzowane Przetwarzanie, aby wspomóc podejmowanie pewnych decyzji, np. związanych z wykrywaniem oszustw i reakcji na nie (np. w celu wykrywania przypadków gdy Państwa konto jest używane do oszustw lub prania pieniędzy bądź wykrywania czy oszuści uzyskali dostęp do Państwa konta); lub przetwarzać wnioski o karty oraz oceniać ryzyko kredytowe i ryzyko związane z bezpieczeństwem. Metody te są regularnie testowane w celu zapewnienia, że pozostają one właściwe, skuteczne i bezstronne.

Mogą się Państwo skontaktować z naszym DPO, pisząc na adres DPO-Europe@aexp.com, aby skorzystać ze swojego prawa do złożenia wniosku o ręczną kontrolę pewnych zautomatyzowanych działań związanych z Przetwarzaniem, które mogą wpłynąć na Państwa prawa ustawowe lub inne prawa umowne, lub które mogą mieć podobne skutki prawne.

RETURN TO TOP

American Express wyznaczyła DPO, który monitoruje zgodność z WRK. DPO realizuje następujące zadania:

- informuje i doradza podmiotom American Express oraz Pracownikom American Express w zakresie ich obowiązków na mocy Obowiązującego ustawodawstwa w zakresie ochrony danych;

- monitoruje zachowanie zgodności z Obowiązującym ustawodawstwem w zakresie ochrony danych poprzez ocenę kluczowych wskaźników ryzyka i mechanizmów kontrolnych. DPO zgłasza wyniki tych działań monitorujących odpowiedniemu wewnętrznemu forum zarządzania wyższego szczebla;

- zapewnia porady w związku z ocenami skutków ochrony danych i monitoruje ich działanie;

- współpracuje z Organami nadzoru; oraz

- funkcjonuje jako punkt kontaktu dla Organów nadzoru.

Mianowany na podstawie kwalifikacji zawodowych, DPO podlega Głównemu Specjaliście ds. Prywatności American Express („Chief Privacy Officer”). DPO jest mianowany przez europejskie podmioty American Express na dyrektora zarządu AEESA oraz American Express Payments Europe SA, głównych podmiotów grupy w Europie, odpowiednio wydających karty American Express oraz pełniących funkcję agenta rozliczeniowego.

O nominacji tej są informowane Organy nadzoru krajów Europy, w których American Express prowadzi działalność.

DPO ściśle współpracuje z siecią specjalistów i prawników specjalizujących się w przepisach dotyczących ochrony prywatności, zlokalizowanych na każdym z europejskich rynków, którzy zajmują się monitorowaniem zgodności z Obowiązującymi przepisami w zakresie ochrony danych w swoim regionie. DPO jest wspierany w swoich obowiązkach przez globalne biuro ds. prywatności („Global Privacy Office”), prowadzone przez Głównego Specjalistę ds. Ochrony Prywatności American Express.

RETURN TO TOP

Wszystkie Podmioty American Express objęte WRK zapewniają wszystkim Pracownikom odpowiednie materiały szkoleniowe i kursy; w szczególności dla Pracowników, którzy zbierają, Przetwarzają, posiadają stały lub regularny dostęp do Danych osobowych lub którzy uczestniczą w opracowywaniu narzędzi używanych do Przetwarzania Danych osobowych, w celu zapewnienia, że są oni świadomi swoich zobowiązań na mocy Obowiązującego ustawodawstwa w zakresie ochrony danych i niniejszych WRK. Kursy te są obowiązkowe, a ich ukończenie jest monitorowanie.

RETURN TO TOP

American Express wdrożyła program zachowania zgodności z przepisami, który przewiduje regularne kontrole zgodności z przepisami oraz audyty operacji Podmiotów American Express objętych WRK (przeprowadzane przez audytorów wewnętrznych lub, kiedy to konieczne, zewnętrznych), w celu zapewnienia, że WRK oraz wszystkie powiązane zasady i procedury są respektowane i aktualne.

Audyty ochrony danych obejmują wszystkie aspekty WRK, włącznie z metodami gwarantowania, że wprowadzone zostaną działania naprawcze.

DPO może złożyć wniosek o dodatkowe audyty ochrony danych z własnej inicjatywy lub na konkretny wniosek Podmiotu American Express objetego WRK. Grupa Audytów Wewnętrznych („Internal Audit Group”) American Express, jako niezależne ciało kontrolne, będzie oceniać możliwości w zakresie tych wniosków o audyty, w zależności od oceny ryzyka.

Wyniki tych kontroli i audytów zgodności zostaną przekazane do globalnego biura ds. prywatności American Express, DPO, odpowiednich Organów nadzoru (na odpowiedni wniosek) i udostępnione komitetowi ds. audytów zarządu American Express Company.

W przypadku stwierdzenia luki w zachowywaniu zgodności z przepisami, odpowiedni Podmiot American Express objęty WRK będzie musiał zastosować się do konkretnych wytycznych ze strony DPO. W sytuacji, gdy zastosowanie się do wytycznych nie jest możliwe, Podmiot American Express objęty WRK musi udokumentować przyczynę takiej sytuacji.

American Express będzie również współpracować w ramach wszelkich kontroli zgodności prowadzonych przez Organy nadzoru mające właściwą jurysdykcję, niezależnie od tego czy kontrola zostanie wszczęta w odpowiedzi na skargę ze strony Podmiotu danych lub z własnej inicjatywy Organu nadzoru.

RETURN TO TOP

8.1. ZACHOWANIE ZGODNOŚCI Z PRZEPISAMI, EGZEKWOWANIE PRAW I ODPOWIEDZIALNOŚĆ

Podmioty American Express objęte WRK są odpowiedzialne za przestrzeganie WRK. Oprócz indywidualnych obowiązków Podmiotów American Express objętych WRK, AEESA przyjmie odpowiedzialność za każde naruszenie WRK ze strony Podmiotu American Express objetego WRK spoza EOG, który Przetwarza Dane osobowe zgodnie z Obowiązującym ustawodawstwem w zakresie ochrony danych. AEESA będzie uprawniona do podjęcia wszelkich niezbędnych działań w celu naprawy działań lub zaniechań jakiegokolwiek Podmiotu American Express objętego WRK, który Przetwarza Dane osobowe z naruszeniem WRK.

AEESA odpowiada za wypłatę odszkodowań za jakiekolwiek szkody materialne lub niematerialne poniesione przez Podmioty danych powstałe w związku z wszelkim naruszeniem WRK. Wynagrodzenie musi zostać uzgodnione przez DPO przed przedstawieniem oferty zadośćuczynienia lub płatności. Wszelkie odszkodowania będą wypłacane przy pełnym zaspokojeniu roszczenia Podmiotu danych wobec wszystkich Podmiotów American Express objętych WRK. Dla uniknięcia wątpliwości, odpowiedzialność AEESA dotyczy również działań lub zaniechań każdego Podmiotu American Express objętego WRK spoza EOG, który narusza WRK.

Jeśli Podmiot American Express objęty WRK (włącznie z podmiotem będącym spoza EOG) naruszy WRK, jurysdykcję wobec takiego naruszenia będą mieć właściwe sądy europejskie. W stopniu, w jakim Podmiot American Express objęty WRK naruszy WRK, Podmiot danych, Organy nadzoru oraz sądy odpowiednich jurysdykcji mogą skorzystać ze swoich praw i wnieść roszczenie przeciwko AEESA, tak jak gdyby zachowania takiego dopuściła się AEESA na terenie EOG (więcej informacji na temat sposobów zgłaszania skarg można znaleźć w sekcji 9 poniżej).

8.2. Prawa beneficjentów zewnętrznych

Każdy Podmiot danych może wyegzekwować wobec AEESA lub jakiegokolwiek Podmiotu American Express objętego WRK warunki następujących postanowień WRK jako beneficjent zewnętrzny:

- zasady ochrony danych (Sekcja 4.1);

- przejrzystość i łatwy dostęp do WRK (sekcja 1.2 i 4.1.1);

- Prawa Podmiotów danych (Sekcja 4.2);

- zgodność z przepisami, egzekwowanie praw i odpowiedzialność (Sekcja 8);

- prawo do złożenia skargi za pośrednictwem wewnętrznego mechanizmu składania skarg American Express (Sekcja 9);

- prawo do złożenia skargi do Organu nadzoru oraz do właściwego sądu europejskiego (Sekcja 9);

- współpraca z Organami nadzoru (Sekcja 10); i

- przepisy kolizyjne (Sekcja 11.1).

8.3. Ciężar dowodu

AEESA ponosi ciężar udowodnienia, że Podmiot American Express objęty WRK spoza EOG nie jest odpowiedzialny za jakiekolwiek rzekome naruszenie WRK, które dało podstawy do roszczenia o odszkodowanie ze strony Podmiotu danych. W przypadku, gdy AEESA jest w stanie udowodnić, że Podmiot American Express objęty WRK spoza EOG nie odpowiada za wydarzenie, które doprowadziło do powstania szkody, AEESA oraz taka spółka mogą zwolnić siebie z odpowiedzialności.

RETURN TO TOP

Jeśli chcą Państwo złożyć skargę lub roszczenie i skorzystać ze swoich praw dotyczących tych WRK, zachęcamy Państwa do kontaktu z DPO w dowolnym momencie, pisząc na adres głównej siedziby AEESA tj. American Express Europe SA, Avenida Partenón 12 – 14, 28042 Madryt / HISZPANIA lub pocztą elektroniczną na adres DPO-Europe@aexp.com.

Nasz DPO odpowie na skargi bez zbędnej zwłoki; w każdym przypadku w ciągu jednego miesiąca. Biorąc pod uwagę stopień złożoności i liczbę wniosków, okres jednego miesiąca może zostać przedłużony o maksymalnie dwa dodatkowe miesiące, w którym to przypadku Udzielimy Państwu stosownej informacji.

Więcej informacji na temat procesu obsługi skarg American Express oraz sposobów składania skarg można znaleźć w naszej Polityce prywatności on-line.

Jeśli nie są Państwo zadowoleni z rozwiązania problemu, mogą Państwo również:

- złożyć skargę do Organu nadzoru w kraju członkowskim swojego stałego miejsca zamieszkania, w miejscu pracy lub miejscu domniemanego naruszenia;

- zgłosić swoje roszczenie do właściwego sądu kraju europejskiego, w którym dany Podmiot American Express objęty WRK został założony lub w kraju Państwa stałego miejsca zamieszkania oraz, w stosownych przypadkach, uzyskać odszkodowanie za poniesione przez Państwa szkody w wyniku naruszenia wyżej wymienionych Praw beneficjenta zewnętrznego.

RETURN TO TOP

Wszystkie Podmioty American Express objęte WRK będą współpracować z wszelkimi odpowiednimi Organami nadzoru i zgodzą się na przeprowadzenie u siebie audytu przez dany organ. Będą również stosować się do zaleceń tych Organów nadzoru w zakresie wszelkich kwestii dotyczących Obowiązującego ustawodawstwa w zakresie ochrony danych.

Jeśli Organ nadzoru stwierdzi, że jeden z Podmiotów American Express objęty WRK naruszył którekolwiek z praw oferowanych Podmiotom danych na mocy niniejszych WRK, wówczas ten Podmiot American Express objęty WRK podporządkuje się ustaleniom Organu nadzoru, z zastrzeżeniem prawa do podważenia lub odwołania się od takich ustaleń.

RETURN TO TOP

11.1. Krajowe ustawodawstwo uniemożliwiające zachowanie zgodności z unijnymi WRK

W przypadku, jeśli Podmiot American Express objęty WRK ma powód, by uważać, że przepis, któremu podlega, uniemożliwia zachowanie zgodności z WRK lub prawdopodobnie będzie mieć znaczące skutki dla gwarancji wymienionych w WRK, właściwa osoba kontaktowa dla tego Podmiotu American Express objętego WRK poinformuje o tym DPO w AEESA, o ile nie zabrania tego obowiązujące prawo. Tam, gdzie to konieczne, DPO poinformuje właściwy Organ nadzoru o przepisach kolizyjnych, z wyjątkiem zakresu zakazanego przez obowiązujące prawo.

Jeśli Podmiot American Express objęty WRK otrzyma wniosek o Dane osobowe ze strony organów ścigania lub państwowych organów bezpieczeństwa, DPO poinformuje właściwy Organ nadzoru o wniosku (włącznie z informacjami dotyczącymi żądanych danych, organu wysuwającego wniosek oraz podstawy prawnej do ujawnienia danych). Jeśli, w konkretnych przypadkach, zawieszenie i/lub zawiadomienie właściwego Organu nadzoru jest zakazane przez obowiązujące prawo, American Express dołoży wszelkich starań, aby odstąpić od tego zakazu, w celu szybkiego przekazania właściwemu Organowi nadzoru jak największej ilości informacji oraz aby móc wykazać dopełnienie tego działania.

Jeśli w wyżej wymienionych przypadkach, mimo dołożenia zasadnych starań, Podmiot American Express objęty WRK nie będzie w stanie poinformować właściwego Organu nadzoru, będzie on co roku przekazywać Organowi nadzoru informacje ogólne w sprawie otrzymanych wniosków (takie jak ilość wniosków o ujawnienie, rodzaj żądanych Danych osobowych, imię i nazwisko wnioskodawcy, jeśli to możliwe itp.).

W każdym przypadku, Przekazywanie Danych osobowych dokonane przez Podmiot American Express objęty WRK na rzecz jakiegokolwiek organu publicznego, nie będą mieć charakteru masowego, nieproporcjonalnego i bezkrytycznego. Ograniczenie to będzie dotyczyć każdego prawnie wiążącego wniosku o ujawnienie Danych osobowych ze strony organów ścigania lub państwowych organów bezpieczeństwa.

11.2. Relacja pomiędzy przepisami krajowymi a unijnymi WRK

W przypadku, gdy Obowiązujące ustawodawstwo w zakresie ochrony danych wymaga wyższego stopnia ochrony dla Danych osobowych, wówczas te przepisy dotyczące ochrony danych będą mieć pierwszeństwo przed niniejszymi WRK.

RETURN TO TOP

Możemy aktualizować warunki naszych WRK, np. w związku z modyfikacjami środowiska regulacyjnego lub struktury spółki. Zobowiązujemy się zgłaszać wszystkie istotne zmiany w naszych WRK bez zbędnej zwłoki wszystkim Podmiotom American Express objętymi WRK oraz AEPD. Wszelkie zmiany WRK lub listy Podmiotów American Express objętych WRK będą zgłaszane raz do roku właściwym Organom nadzoru, za pośrednictwem właściwych Organów nadzoru, z krótkim podaniem przyczyn aktualizacji. W przypadku, gdy modyfikacja mogłaby ewentualnie wpłynąć na stopień ochrony oferowany przez te WRK lub znaczący wpłynąć na te WRK, zostanie to natychmiast zakomunikowane wszystkim odpowiednim Organom nadzoru, za pośrednictwem właściwego Organu nadzoru.

American Express wyznaczyła zespół prowadzący w pełni zaktualizowaną listę Podmiotów American Express podlegających WRK i śledzący wszelkie dokumenty i aktualizacje reguł oraz zapewniający Podmiotom danych lub Organom nadzoru niezbędne informacje na życzenie. Ponadto Podmioty American Express podlegające WRK nie będą dokonywać żadnego Przekazywania danych do nowych Podmiotów American Express podlegających WRK, dopóki dany nowy podmiot nie będzie skutecznie związany niniejszymi WRK i nie wykaże zgodności.

RETURN TO TOP

Podmioty American Express objęte WRK są zlokalizowane w następujących krajach:

• Argentyna
• Austria
• Australia
• Belgia
• Kanada
• Chiny
• Kolumbia
• Czechy
• Dania
• Finlandia
• Francja
• Niemcy
• Grecja
• Hong Kong
• Węgry
• Indie
• Irlandia
• Włochy
• Japonia
• Jersey
• Malezja
• Meksyk
• Holandia
• Norwegia
• Filipiny
• Polska
• Rosja
• Singapur
• Słowacja
• Hiszpania
• Szwecja
• Szwajcaria
• Tajwan
• Tajlandia
• Wielka Brytania
• USA