Česky | English

American Express®
Evropské implementační principy

 

icon

Závazná korporátní pravidla společnosti American Express -též „ZKP“ - jsou prostředkem mezinárodního převodu osobních údajů v rámci skupiny American Express, v souladu s platnými přepisy týkajícími se ochrany osobních údajů v Evropském hospodářském prostoru (EHP). Naše ZKP sestávají ze Zásad ochrany osobních údajů a soukromí společnosti American Express a dále pak z těchto Evropských implementačních principů. Byly schváleny Kanceláří Komise pro Informace, místním úřadem pro ochranu osobních údajů Spojeného království, a jsou platné od 28. ledna 2013.

 

Tyto Evropské implementační principy poskytují informace o tom, jak společnost American Express zajišťuje dodržování svých Zásad ochrany osobních údajů a soukromí v EHP a jak lze v EHP podat stížnost týkající se ochrany osobních údajů.

PRINCIPY IMPLEMENTACE ZÁSAD OCHRANY OSOBNÍCH ÚDAJŮ A SOUKROMÍ SPOLEČNOSTI AMERICAN EXPRESS V EVROPSKÉM HOSPODÁŘSKÉM PROSTORU (DÁLE JEN „EVROPSKÉ IMPLEMENTAČNÍ PRINCIPY“)

1. Rozsah

 

Principy implementace Zásad ochrany osobních údajů a soukromí společnosti American Express v Evropském hospodářském prostoru (dále jen „Evropské implementační principy“) platí pouze pro osobní údaje fyzických osob, které jsou nebo byly: (i) zpracovány v kontextu činností některé společnosti ze skupiny American Express se sídlem v EHP; (ii) byly zpracovány v kontextu činností některé ze společností ze skupiny American Express se sídlem mimo EHP, kde se činnosti zpracování osobních údajů specificky vztahují k nabídce zboží nebo služeb jednotlivcům v EHP; nebo (iii) byly zpracovány některou ze společností ze skupiny American Express se sídlem mimo EHP, kde se činnosti zpracování osobních údajů specificky vztahují k monitorování chování jednotlivců v EHP (dále jen „Subjekty údajů”).

 

Vezměte, prosím, na vědomí, že činnosti zpracování pro (i) až (iii) výše jsou omezeny na takové činnosti zpracování, jejichž „cílem“ jsou fyzické osoby v EU, a to buď za účelem nabídky zboží či služeb, nebo monitorování jejich chování.

 

Evropské implementační principy stanovují zejména to (i) jak jsou Zásady ochrany osobních údajů a soukromí společnosti American Express (dále jen „Zásady“) implementovány společností American Express se sídlem na adrese: World Financial Center, 200 Vesey St. New York, NY 10285 (dále jen „American Express“ nebo „společnost“) a každou společností ve skupině společností American Express, která zpracovává osobní údaje Subjektů údajů (společně „ společnosti ve skupině American Express“) a (ii) jak ZKP skupiny společností American Express nabývají účinnosti. American Express Europe S.A. (dále jen „AEESA“) je evropská společnost ve skupině společností American Express, která přijala odpovědnost za zajištění toho, že osobní údaje Subjektů údajů jsou uloženy nebo zpracovány v souladu se Zásadami a Evropskými implementačními principy.

 

Kterýkoli Subjekt údajů, který je přímo považován za subjekt, na nějž se vztahují výhody v souladu se Zásadami nebo těmito Evropskými implementačními principy, může vymáhat příslušná ustanovení od AEESA jako třetí strany, která je příjemcem, v souladu s níže uvedeným popisem.

 

Pro účely těchto Evropských implementačních principů termín „osobní údaje“ znamená jakékoli informace vztahující se k identifikované nebo identifikovatelné fyzické osobě, kde identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.

 

2. Dostupnost

 

Zásady a Evropské implementační principy jsou k dispozici na webových stránkách společnosti American Express ve všech zemích EHP. Kopii Zásad a Evropských implementačních principů v alternativním formátu si můžete také vyžádat od pověřence ochrany osobních údajů společnosti AEESA na adrese uvedené níže, nebo od místní entity společnosti American Express odpovědné za Vaše osobní údaje.

 

Zásady a tyto Evropské implementační principy je nutné číst ve spojení s Prohlášením o ochraně osobních údajů online (pro zákazníky) nebo Prohlášením o ochraně osobních údajů online při náboru (pro potencionální zaměstnance) a jinými upozorněními a podmínkami, které platí pro Váš vztah se společností American Express. Tato upozornění a tyto podmínky mohou obsahovat další ustanovení, která jsou relevantní pro zpracování osobních údajů, v souladu s platnými právními předpisy.

 

3. Práva Subjektů údajů

 

Podle Evropských implementačních principů budou Zásady ochrany osobních údajů a soukromí pozměněny tak, aby pro společnosti ve skupině American Express, které zpracovávají osobní údaje Subjektů údajů, plnily požadavky stanovené Obecným nařízením o ochraně osobních údajů EU (dále jen „GDPR“).

3.1. Shromažďování údajů

Osobní údaje Subjektů údajů budou ve vztahu k Subjektům údajů zpracovávány zákonně, korektně a transparentně. Společnost American Express poskytuje celosvětově platební a cestovní služby. Popis kategorií osobních údajů a zvláštních kategorií osobních údajů, které jsou zpracovávány, a způsoby zpracování lze nalézt v prohlášeních o ochraně soukromí a jiných upozorněních a podmínkách, které vám budou předloženy, když navážete kontakt s naší společností.

Společnosti ve skupině American Express budou osobní údaje Subjektů údajů shromažďovat pouze pro určité, výslovně vyjádřené a legitimní účely a zajistí, že osobní údaje nebudou dále zpracovány způsobem, který není v souladu s těmito účely.

 

3.2. Upozornění, korektnost a transparentnost

Společnosti ve skupině American Express, které mají povinnost poskytnout Subjektům údajů informace týkající se zpracování v souladu s GDPR, jsou povinny Subjektům údajů poskytnout snadný přístup k požadovaným informacím. Tyto informace musí být Subjektům údajů poskytnuty stručně, transparentně, srozumitelně a snadno přístupným způsobem, za použití jasných a jednoduchých jazykových prostředků. Tyto informace jsou k dispozici v Prohlášení o ochraně osobních údajů online (pro zákazníky) nebo v Prohlášení o online ochraně osobních údajů při náboru (pro potencionální zaměstnance).

 

3.3. Kvalita údajů

Společnosti ve skupině American Express, které zpracovávají osobní údaje Subjektů údajů, podniknou přiměřené kroky k zajištění toho, že osobní údaje Subjektů údajů, které jsou nepřesné s ohledem na účely, pro které jsou zpracovávány, jsou bezodkladně vymazány nebo opraveny. Osobní údaje Subjektů údajů budou ukládány ve formě, která umožňuje identifikaci Subjektů údajů pouze po dobu ne delší než je nezbytné pro účely, pro které jsou osobní údaje zpracovávány. Osobní údaje lze uložit i po delší dobu, pokud se zpracovávají výhradně za účelem archivace či za jiným účelem dle nařízení GDPR či jiných platných právních předpisů, a však pouze za podmínky provedení příslušných technických a organizačních opatření.

 

3.4. Bezpečnost a mlčenlivost

Požadavky dle této zásady by měly zahrnovat přiměřená vhodná technická a organizační opatření k ochraně osobních údajů Subjektů údajů před neoprávněným nebo protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením.

 

3.5. Otevřenost a přístup k údajům

Společnosti ve skupině American Express budou dodržovat následující práva náležející Subjektům údajů: právo na přístup, právo na opravu, právo výmaz, právo na omezení přístupu, právo odmítnout zpracování, právo odvolat souhlas a právo nebýt předmětem žádného rozhodnutí založeného výhradně na základě automatizovaného individuálního rozhodování, včetně profilování.

 

3.6. Mezinárodní předávání

Osobní údaje Subjektů údajů jsou předávány v rámci společností ve skupině American Express. Tok osobních údajů je legitimizován prostřednictvím kombinace závazných korporátních pravidel společnosti schválených EU a smluv o převodu osobních údajů včetně vzorových smluv EU. Zvláštní kategorie osobních údajů Subjektů údajů nebudou předávány dál do třetích zemí kromě případů, kdy k takovému převodu Subjekt údajů udělí svůj souhlas.

 

3.7. Odpovědnost

Všechny společnosti ve skupině American Express, které zpracovávají osobní údajů Subjektů údajů, budou zodpovědné, a budou schopny prokázat dodržování zásad v souladu s GDPR, včetně udržování elektronických záznamů všech kategorií činností zpracování za účelem prokázání takového souladu.

 

4. Ochrana údajů jako součást designu

 

Společnosti ve skupině American Express, které zpracovávají osobní údaje Subjektů údajů, budou užívat technických a organizačních opatření, která jsou navržena k implementaci zásad ochrany údajů a usnadnění dodržování požadavků těchto Evropských implementačních principů.

 

5. Compliance program

5.1. Compliance

Za účelem dodržování Principů a Evropských implementačních principů byl založen compliance program, který provádí pravidelné kontroly dodržování právních předpisů a auditů operačních provozů ve skupině American Express. Výsledky těchto kontrol a auditů budou sděleny Mezinárodnímu úřadu pro ochranu osobních údajů společnosti American Express, pověřenci pro ochranu osobních údajů AEESA, příslušným dozorovým ůřadům (v případě vyžádání) a, ve vhodných případech i Auditnímu výboru správní rady společnosti American Express. Jestliže budou zjištěny mezery v opatřeních k dodržování právních předpisů, příslušná společnost ve skupině American Express v EHP musí splnit veškeré specifické požadavky pověřence pro ochranu osobních údajů AEESA nebo pokud takovýmto požadavkům nebude moci být vyhověno, zdokumentovat důvody, kvůli kterým jim nemohlo být vyhověno. Společnosti ve skupině American Express budou také spolupracovat při kontrolách dodržování právních předpisů prováděných jakýmkoli dozorovým místně a věcně příslušným úřadem, ať už jsou tyto kontroly zahájeny z podnětu Subjektů údajů, či z vlastní iniciativy dozorového úřadu.

 

5.2. Spolupráce

Všechny společnosti ve skupině American Express, které zpracovávají osobní údaje Subjektů údajů, budou s jakýmkoli dozorovým úřadem spolupracovat při zpracování žádostí, auditů, dotazů a stížností. Jestliže dozorový úřad zjistí, že společnost ve skupině American Express porušila jakoukoliv povinnost vyplývající z těchto Evropských implementačních principů, příslušná společnost ve skupině American Express se pak bude řídit zjištěními dozorového úřadu, s přihlédnutím k jejímu právu na vznesení námitky nebo odvolání proti takovým zjištěním.

 

6. Dodržování předpisů, vymahatelnost a odpovědnost

 

Všechny společnosti ve skupině American Express, které zpracovávají osobní údaje Subjektů údajů, musí dodržovat ustanovení Evropských implementačních principů a jiných zásad a postupů, které jsou závazné pro skupinu American Express. Společnosti ve skupině American Express zajistí dodržování evropských právních předpisů o ochraně osobních údajů a jakékoli jejich vymáhání bude v souladu s příslušnými evropskými právními předpisy.

6.1. Vymahatelnost

Každý Subjekt údajů může vůči AEESA nebo jakékoli společnosti ve skupině American Express, která zpracovává osobní údaje Subjektů údajů, vymáhat podmínky dle následujících ustanovení Evropských implementačních principů jako třetí strana, která je příjemcem:

 

  1. Práva Subjektů údajů (Článek 3);
  2. Konflikt mezi právními předpisy (Článek 8);
  3. Dotazy a stížnosti (Článek 9);
  4. Spolupráce (Článek 5.2); a
  5. Dodržování předpisů, vymahatelnost a odpovědnost (Článek 6.1 a 6.2).

 

Subjekty údajů budou mít právo na soudní nápravu a v oprávněných případech právo na náhradu škody až do výše škod způsobených stěžovateli následkem porušení výše uvedených práv třetí strany, která je příjemcem práv.

 

Subjekty údajů mohou uplatňovat své nároky u místně a věcně příslušného soudu členského státu EU, ve kterém se nachází příslušná společnost skupiny American Express nebo kde má Subjekt údajů své obvyklé bydliště.

 

6.2. Odpovědnost

AEESA bude odpovědná za jakékoli porušení Zásad nebo Evropských implementačních principů jakoukoli společností ve skupině American Express mimo EU, která zpracovává osobní údaje Subjektů údajů. AEESA podnikne veškeré nezbytné kroky k nápravě takových kroků nebo zanedbání ze strany jakýchkoli společností ve skupině American Express, které zpracovávají osobní údaje Subjektů údajů.

 

AEESA bude odpovědná za náhradu jakékoli škody či nemajetkové újmy, která byla způsobena Subjektům údajů ve spojení s porušením Zásad nebo Evropských implementačních principů. Výše kompenzace musí být před poskytnutím nabídky kompenzace či platby schválena pověřencem pro ochranu osobních údajů AEESA. Takováto kompenzace bude považována za úplné splnění všech nároků Subjektu údajů vůči všem společnostem ve skupině American Express. Aby se předešlo jakýmkoli pochybnostem, odpovědnost AEESA se vztahuje pouze na jednání nebo opomenutí jakékoli společnosti ve skupině American Express, nacházející se mimo EU.

 

Pokud společnost ve skupině American Express, nacházející se mimo EU, poruší Zásady nebo Evropské implementační principy, bude tím založena pravomoc a příslušnost soudů nebo jiných příslušných úřadů nacházejících se v EU. Pokud společnost ve skupině American Express, která zpracovává osobní údaje Subjektů údajů, poruší Evropské implementační principy, Subjekty údajů, místně a věcně příslušné dozorové úřady a soudy pak mohou uplatňovat svá práva a nároky vůči AEESA, jako kdyby takové jednání AEESA proběhlo v EU.

 

AEESA je zatíženo důkazním břemenem ve věci prokázání, že, společnost ve skupině American Express se sídlem mimo EU neodpovídá za žádné údajné porušení Zásad nebo Evropských implementačních principů, které vedou k nároku Subjektu údajů na náhradu škody. Pokud AEESA prokáže, že společnost ve skupině American Express nacházející se mimo EU není odpovědná za událost, která vedla ke vzniku škody, AEESA a takováto společnost se tímto ´mohou zbavit výše zmiňované odpovědnosti.

 

7. Školení

 

American Express poskytne vhodné školící materiály a kurzy pro zaměstnance společnosti American Express, kteří shromažďují, užívají nebo mají přístup k osobním údajům Subjektů údajů, nebo kteří vyvíjejí systémy, které zpracovávají osobní údaje Subjektů údajů, aby byli seznámeni se svými povinnostmi vyplývajícími ze Zásad a z těchto Evropských implementačních principů.

 

8. Konflikt mezi právními předpisy

 

V případě, že má společnost ve skupině American Express důvod domnívat se, že právní předpis, kterému podléhá, není v souladu se Zásadami nebo s Evropskými implementačními principy nebo, že takovýto předpis může mít podstatný vliv na záruky stanovené v Zásadách nebo v Evropských implementačních principech, příslušná kontaktní osoba pro příslušnou společnost ve skupině American Express informuje pověřence pro ochranu osobních údajů AEESA, pokud takovéto jednání není zakázáno platnými právními předpisy. V případě potřeby pověřenec pro ochranu údajů na toto upozorní příslušný dozorový úřad v rozsahu povoleném platnými právními předpisy.

 

9. Dotazy a stížnosti

 

Subjekt údajů může kdykoli podat stížnost nebo uplatňovat nároky a využít svého práva ve spojení se Zásadami nebo těmito Evropskými implementačními principy. Tyto mohou být zaslány pověřenci pro ochranu osobních údajů AEESA na adresu centrály AEESA: American Express Europe S.A., Avenida Partenón 12-14, 28042, Madrid. Pro další informace o procesu řešení stížností společnosti American Express a o tom, jak můžete podat stížnost prosím navštivte.