Nastavit soubory cookies O cookies Zásady American Express pro ochranu údaju a zachovávání soukromí

EVROPSKÉ IMPLEMENTAČNÍ POSTUPY

Závazná podniková pravidla American Express – neboli BCR – umožňují předávání osobních údajů do zahraničí v rámci Skupiny American Express v souladu s příslušnými právními předpisy platnými v Evropském hospodářském prostoru (EHP). Naše BCR jsou tvořena Zásadami pro zachovávání soukromí American Express a doplňkovými Evropskými implementačními principy. Byla schválena Úřadem na ochranu osobních údajů, což je místní orgán, který v České republice vykonává dozor pro oblast ochrany osobních údajů, a nabyla účinnosti dne 21 únor 2014


Tyto Evropské implementační principy poskytují informace o tom, jak American Express zajišťuje dodržování našich Zásad pro ochranu údajů a zachovávání soukromí v EHP, a o tom, jak vznášet stížnosti týkající se ochrany soukromí v EHP.

POSTUPY PRO UPLATNĚNÍ ZÁSAD AMERICAN EXPRESS PRO OCHRANU
ÚDAJŮ A ZACHOVÁVÁNÍ SOUKROMÍ
V EVROPSKÉM HOSPODÁŘSKÉM PROSTORU

(„EVROPSKÉ IMPLEMENTAČNÍ POSTUPY“)

Rozsah působnosti

Tyto Postupy pro uplatnění Zásad American Express pro ochranu údajů a zachovávání soukromí v Evropském hospodářském prostoru (dále jen „Evropské implementační postupy“) se vztahují pouze na ty osoby, které mají trvalé bydliště v EHP a jejichž osobní údaje zpracovává koncern American Express v EHP, případně které může koncern American Express zpracovávat i jinde („Subjekty údajů“)

Evropské implementační postupy vymezují zejména (i) způsob, jakým má Zásady American Express pro ochranu údajů a zachovávání soukromí („Zásady“) uplatňovat American Express Company, se sídlem World Financial Center, 200 Vesey St. New York („American Express“ nebo „Společnost“) a jakékoli společnosti v rámci koncernu společností American Express (dále společně „Skupina American Express“) a (ii) konkrétní povinnosti vymezené evropskou právní úpravou na ochranu osobních údajů fyzických osob s trvalým bydlištěm v Evropském hospodářském prostoru („EHP“), jejichž osobní údaje zpracovává Skupina American Express v EHP a jejichž osobní údaje může Skupina American Express zpracovávat i kdekoli jinde („Subjekty údajů“).

American Express Services Europe Limited („AESEL“) je evropská společnost v rámci Skupiny American Express, která odpovídá za to, že osobní údaje Subjektů údajů budou uchovávány nebo zpracovávány v souladu se Zásadami.

Jakýkoli Subjekt údajů, který je přímo určen jako osoba chráněná Zásadami nebo těmito Evropskými implementačními postupy, může dodržování těchto předpisů vymáhat vůči AESEL jako třetí osoba, v jejíž prospěch byly stanoveny, jak je popisováno níže. Souhrn informací o zpracování osobních údajů u American Express a Prováděcí rozhodnutí a předpisy jsou pro Skupinu American Express rovněž závazné, nicméně přímo vymahatelné Subjekty údajů ani třetími osobami nejsou.

Zpřístupnění

Zásady a Evropské implementační postupy budou k dispozici na webových stránkách American Express v každé zemi v rámci EU. Nemáte-li přístup k internetu, můžete požádat o tištěnou kopii Zásad osobu ve funkci zmocněnce pro ochranu údajů (Data Protection Officer) společnosti AESEL na níže uvedené adrese nebo místní kancelář American Express ve Vaší zemi.

Zásady a Evropské implementační postupy je třeba chápat ve spojení s upozorněními a podmínkami vztahujícími se k produktům nebo službám, které jste získali nebo hodláte získat od jakékoli společnosti ze Skupiny American Express. Tato upozornění a podmínky mohou obsahovat dodatečná ustanovení, která jsou relevantní pro zpracovávání osobních údajů v souladu s platnými vnitrostátními zákonnými a podzákonnými předpisy.

Rozsah zpracovávání osobních údajů

American Express je společností s celosvětovou působností poskytující platební a cestovní služby. Popis druhů zpracovávaných osobních údajů a způsob jejich zpracování je uveden v Souhrnu informací o zpracování osobních údajů u American Express, který je čas od času aktualizován.

Program k zajištění dodržování Zásad

K zajištění dodržování Zásad slouží k tomu určený program, na jehož základě jsou prováděny pravidelné kontroly toho, zda činnosti Skupiny American Express jsou v souladu se Zásadami. Výsledky těchto kontrol jsou předávány kanceláři pro ochranu soukromí (Privacy Office) American Express, příslušným orgánům na ochranu osobních údajů (pokud si je tyto vyžádají) a ve vhodných případech výboru pro audit představenstva American Express Company. Bude-li zjištěn nějaký nedostatek v dodržování Zásad, příslušná společnost v rámci Skupiny American Express v EHP je povinna postupovat v souladu s jakýmikoli specifickými žádostmi zmocněnce AESEL pro ochranu osobních údajů. Skupina American Express bude poskytovat součinnost při provádění jakýchkoli kontrol dodržování předpisů ze strany jakéhokoli orgánu na ochranu osobních údajů v příslušné jurisdikci, bez ohledu na to, zda se tato kontrola provádí z podnětu subjektu údajů nebo z vlastní iniciativy daného orgánu na ochranu osobních údajů.

Vyřizování stížností

Při vyřizování stížností (viz definice níže) budou společnosti v rámci Skupiny American Express jednat v souladu s Postupem pro vyřizování stížností týkajících se ochrany osobních údajů a zachovávání soukromí.

  • „Stížnostmi“ se rozumí jakékoli ústní či písemné vyjádření nespokojenosti prostřednictvím telefonu, elektronické pošty, pošty nebo osobně ze strany zákazníka nebo zaměstnance nebo jiného Subjektu údajů nebo jejich jménem, na to, že Skupina American Express poskytla nebo neposkytla dostatečnou ochranu shromažďovaným, zpracovávaným a/nebo předávaným osobním údajům.
  • Odpovědnost za vyřizování stížností, které obdrží AESEL, má zmocněnec AESEL pro ochranu osobních údajů.
  • Stížnosti budou vyřizovány korektně, důsledně a rychle.
  • • Pokud bude rozhodnuto, že v daném případě je žádoucí náprava, AESEL poskytne stěžovateli spravedlivou náhradu, jak je uvedeno níže, a splní jakoukoli nabídku nápravy, kterou stěžovatel přijme. O náhradě musí rozhodnout pracovník AESEL na pozici zmocněnce pro ochranu osobních údajů ještě před tím, než je nabídnuta nebo vyplacena.
  • Subjekty údajů mohou své stížnosti předkládat příslušnému orgánu na ochranu osobních údajů nebo Evropskému soudu, pokud budou s odpovědí Skupiny American Express nespokojeny. Seznam kontaktních údajů orgánů na ochranu osobních údajů se nachází zde: http://ec.europa.eu/justice_home/fsj/privacy/nationalcomm/index_en.htm.
  • AESEL bude postupovat ve shodě s jakýmkoli orgánem na ochranu osobních údajů v příslušné jurisdikci a bude jej respektovat. Pokud si Subjekt údajů bude stěžovat místnímu Úřadu na ochranu osobních údajů a tento Úřad dojde k závěru, že některá společnost v rámci Skupiny American Express porušila některé právo plynoucí z těchto Evropských implementačních postupů, pak tato příslušná společnost v rámci Skupiny American Express bude respektovat zjištění tohoto Úřadu na ochranu osobních údajů, aniž by tím bylo dotčeno její právo tato zjištění zpochybnit nebo se proti nim odvolat.

Dodržování Evropských implementačních postupů a jejich vymáhání

Všechny společnosti v rámci Skupiny American Express jsou povinny jednat v souladu s těmito Evropskými implementačními postupy a Etickým kodexem American Express. Společnosti ze Skupiny American Express zajistí dodržování evropských národních zákonů na ochranu osobních údajů a soukromí a případné vymáhání tohoto dodržování bude prováděno v souladu s těmito evropskými národními zákony.

Každý Subjekt údajů (viz definice výše) může podmínky Zásad a Evropských implementačních postupů vymáhat jako třetí osoba, v jejíž prospěch byly stanoveny, a může se domáhat náhrady až do výše skutečné škody utrpěné stěžovatelem v důsledku porušení Zásad a/nebo těchto Evropských implementačních postupů, včetně zejména soudem přiznané náhrady škody skutečně vzniklé Subjektu údajů v důsledku tohoto porušení.

Subjekty údajů, jejichž údaje jsou předávány z EHP, mohou vznést nároky nejen v zemi v rámci EHP, z níž se předání údajů provádí, ale i v zemi, kde se nachází centrála AESEL, tj. ve Spojeném království. Důkazní břemeno spočívající v tom, že zpracovávání osobních údajů nepodléhá Zásadám, nese AESEL.

Školení

American Express bude zajišťovat odpovídající školící materiály a kurzy pro zaměstnance American Express, kteří osobní údaje shromažďují, používají nebo k nim mají přístup nebo kteří vyvíjejí systémy ke zpracovávání osobních údajů, tak, aby jim byly známy jejich povinnosti, které jim plynou ze Zásad a z těchto Evropských implementačních postupů.

Rozpor právních předpisů

Pokud se některá společnost v rámci Skupiny American Express odůvodněně domnívá, že platná evropská/národní právní úprava brání této společnosti v plnění jejích povinností plynoucích ze Zásad nebo z Evropských implementačních postupů, tato společnost je povinna o tom neprodleně informovat AESEL, ledaže jí v tom brání zákon. AESEL poté zváží další postup a v případě vážných pochybností se poradí s příslušnými úřady na ochranu osobních údajů.

Dotazy k těmto Evropským implementačním postupům

Případné dotazy ohledně Zásad nebo těchto Evropských implementačních postupů adresujte pracovníkovi AESEL na pozici zmocněnce pro ochranu údajů (Data Protection Officer), který působí v centrále AESEL na adrese American Express Services Europe Limited, Belgrave House, 76 Buckingham Palace Road, London, SW1W 9TX.

Říjen 2012

Souhrn informací o zpracování osobních údajů u American Express

Popis druhů osobních údajů

American Express je společností s celosvětovou působností poskytující platební a cestovní služby, která působí zejména v následujících dvou oborech: i) služby vydávání karet a služby obchodní sítě, a (ii) cestovní služby. Mezi osobní údaje běžně zpracovávané společnostmi ze Skupiny American Express patří osobní údaje o zákaznících, dodavatelích a partnerech Skupiny American Express, včetně stávajících, bývalých a potenciálních zákazníků, spotřebitelů, dodavatelů a partnerů Skupiny American Express (dále společně jen „Údaje o zákaznících“). V souladu se Směrnicí Evropského parlamentu a Rady 2007/64/ES („Směrnice o platebních službách“) Skupina založila American Express Payment Services Limited („AEPSL“) jako právnickou osobu určenou k získávání obchodních příležitostí v Evropě (ref. č. 484347). Vzhledem ke své povaze budou platební služby nabízené AEPSL vedle rozsáhlého obchodního managementu Skupiny a jejích postupů řízení podléhat i dohledu ze strany úřadu dohlížejícího na finanční služby (Financial Services Authority). Vedle toho společnosti ze Skupiny American Express zpracovávají osobní údaje a citlivé kategorie osobních údajů zaměstnanců a dodavatelů skupiny American Express, včetně stávajících, bývalých a potenciálních zaměstnanců a dodavatelů, ať už na plný nebo částečný úvazek, na dobu neurčitou či určitou (dále společně „Údaje o zaměstnancích“). Mezi citlivé kategorie údajů v rámci Údajů o zaměstnancích patří údaje o zdravotním stavu pracovníků, o jejich účasti ve firemních programech péče o zdraví, sledování rovnosti příležitostí, údaje o odborech a radách zaměstnanců, údaje o lékařských prohlídkách a zkouškách, a údaje o testování na přítomnost alkoholu a drog v zemích, kde je to dovoleno. American Express nepožaduje žádné citlivé Údaje o zákaznících, protože ty nejsou součástí žádosti zákazníka ani žádné jiné služby American Express. Pokud budou citlivé osobní údaje shromažďovány, budou zpracovávány výhradně s dodatečnými bezpečnostními opatřeními na ochranu dat a odpovídajícími opatřeními vyžadovanými zákonem, včetně Směrnice 95/46/ES.

Popis typů zpracovávání a toků údajů

Osobní údaje se předávají v rámci skupiny American Express, která je organizací s celosvětovou působností, a dále oprávněným dodavatelům a zákazníkům. Tento tok údajů je legitimní díky kombinaci Závazných podnikových pravidel schválených EU (která podléhají schválení v každém členském státě) a smluv o převodech údajů, včetně vzorových smluvních doložek EU. Hodnocení ani rozhodnutí o subjektu údajů nebude prováděno automatizovaně, ledaže to použitelné právo dovolí.

Toky osobních údajů u Údajů o zákaznících a Údajů o zaměstnancích lze rámcově popsat takto:

Údaje o zákaznících týkající se služeb vydávání karet a obchodní sítě

K vydání karty držiteli si místní společnost v rámci Skupiny American Express vydávající kartu vyžádá osobní údaje držitele karty, které použije výhradně pro provozní účely a pro účely zajištění souladu s nařízeními regulačních orgánů. Tato místní společnost vydávající kartu někdy je (ovšem nemusí být) situována ve stejné zemi, v jaké se nachází místo bydliště daného držitele karty. Jakmile bude karta vydána, pak k zajištění její celosvětové platnosti budou všechny údaje o zákazníkovi uchovávány centrálně na několika hlavních serverech skupiny American Express, které se všechny nacházejí v zabezpečených datových centrech Skupiny American Express ve Spojených státech amerických (Phoenix, Arizona, Salt Lake City, Utah). Kromě toho je ohledně celého procesu zajištění celosvětové platnosti karty třeba uvést, že Údaje o zákaznících a Údaje o zaměstnancích mohou být převáděny do jiných zemí mimo území Evropské unie (např. do Indie, Malajsie).

Je-li karta používána u autorizovaného obchodníka kdekoli na světě, dochází k několika tokům údajů:

  • Základní údaje o transakci jsou zasílány elektronicky prodejním terminálem do autorizačního centra Skupiny American Express v dané zemi nebo regionu;
  • Úplné údaje o transakci poté shromažďuje společnost Skupiny American Express místního obchodníka, která danou transakci vypořádá provedením úhrady danému obchodníkovi a která zašle podrobné údaje o této transakci do USA, aby ji tam vydavatel karty vyúčtoval držiteli karty.

Údaje o zákaznících týkající se cestovních služeb

Osobní údaje poskytují jednotliví cestující a v případě služebních cest zaměstnavatelé vyslaných zaměstnanců, a to z jejich lokality kdekoli na světě jejich místní pobočce American Express poskytující cestovní služby. Tyto údaje tvořící profil sestavený z údajů shromážděných se souhlasem daného cestujícího jsou poté přeneseny do centrální databáze jednoho z globálních distribučních systémů (např. Galileo, Amadeus a Sabre), s nimiž je Skupina American Express v dané zemi ve smluvním vztahu, takže kdykoli Skupina American Express provede rezervaci prostřednictvím místního GDS, údaje cestujícího uchované v GDS umožní vytvoření personalizované rezervace, záznamu o knihování cestujících, tzv. „passenger name record“ (PNR). Základní údaje obsažené v PNR pak Skupina American Express použije k vyúčtování ceny rezervace danému zákazníkovi.

Údaje o zaměstnancích

Údaje o zaměstnancích jsou uchovávány centrálně a decentralizovaně na hlavních, středních a místních serverech napříč Skupinou American Express. Většina hlavních serverů se nachází na území USA a Velké Británie a z kanceláří Skupiny American Express na celém světě k nim mají přístup pracovníci s právem přístupu k Údajům o zaměstnancích. Střední a místní servery pro replikaci dat (používané pouze pro E-maily a/nebo pro účely uchovávání), které uchovávají údaje, jsou rozmístěny napříč geografickými lokalitami v závislosti na obchodní potřebě.

Osobní údaje se předávají k následujícím účelům:

  • personální agenda (např. jmenování nebo odvolání, mzda, pracovní morálka, odvody na penzijní pojištění, řízení práce nebo jiné personální záležitosti týkající se zaměstnanců Skupiny);
  • prevence kriminality a stíhání pachatelů trestných činů (např. prevence a odhalování kriminality a dopadení a odsouzení pachatelů trestných činů);
  • udělování licencí a registrace (např. správa licenční agendy a vedení oficiálních rejstříků);
  • řízení záznamů o zaměstnancích;
  • správa informací a databank (např. uchovávání informací nebo databank jakožto referenčního nástroje nebo obecného zdroje. Sem patří katalogy, seznamy, adresáře a bibliografické databáze);
  • výměr a inkaso daní a jiných poplatků (tzn. výměr a inkaso daní, cla, odvodů a jiných poplatků);
  • služby vedení účetnictví a auditu (např. poskytování služeb vedení účetnictví a souvisejících služeb a provádění auditů, kde je audit vyžadován).

Zpracovávání po předání: Osobní údaje budou zpracovávány pro účely vedení personální agendy Skupiny a správy jejích pracovních sil a mohou být dále zpracovávány poskytovateli služeb z řad třetích osob, které poskytují služby vedení mzdové agendy, zdravotní a jiné pojištění a další výhody zaměstnancům.


Implementace rozhodnutí a pravidel

Rozhodnutí následujících interních skupin a následující předpisy jsou závazné a Skupina American Express je bude používat v celosvětovém měřítku za účelem zavádění Zásad do praxe:

1. American Express Services Europe Limited – Postup pro vyrizování stížností týkajících se osobních údaju a zachovávání soukromí.

2. Etický kodex. 3. Předpisy kanceláře American Express pro ochranu soukromí (American Express Privacy Office).

  • American Express obvykle řeší věci spojené se zachováváním soukromí prostřednictvím kanceláře American Express pro ochranu soukromí, což je nezávislá obchodní jednotka se specifickou odpovědností za systémy, procesy a postupy, kterými se řídí shromažďování, používání a sdílení osobních údajů o zákaznících, potenciálních zákaznících a zaměstnancích. Kancelář pro ochranu soukromí rovněž má výbor pro ochranu soukromí (Privacy Board), který se schází pravidelně, aby posuzoval sporné otázky ohledně zachovávání soukromí, přicházel s řešeními a zaváděl postupy a směrnice.
  • • V souladu s postupem při kontrole předpisů o ochraně soukromí (Privacy Policy Review Process) je kancelář pro ochranu soukromí povinna provádět přezkum všech předpisů o ochraně soukromí, a to každých dvacet čtyři měsíců, nebo v jiném intervalu stanoveném v daném postupu. Jakékoli změny požadované např. v důsledku novelizace použitelných zákonných a podzákonných předpisů musí posuzovat pracovník na pozici hlavní zmocněnec pro ochranu soukromí (Chief Privacy Officer), popř. kancelář hlavního právního poradce.
4. American Express Company – Předpis týkající se všeobecného řízení (General Management Policy).
  • Tento předpis se vztahuje na všechny předpisy týkající se všeobecného řízení a financí, které mají být zavedeny v rámci organizace American Express. Sem patří i nové předpisy a úpravy stávajících předpisů.
  • Tímto předpisem se řídí všechny obchodní skupiny American Express.
  • Předpis týkající se všeobecného řízení obecně:
    • vyžaduje, aby všechny sporné otázky týkající se obecného řízení a správy finančních prostředků byly řešeny prostřednictvím skupiny pro globální předpisy a postupy (Global Policies and Procedures Group);
    • aktivně propaguje zavedení globální politiky společnosti, a kde je to účelné, nahrazuje regionální zásady, které nelze uvést do souladu s globální politikou;
    • vymezuje prioritu globální politiky společnosti před regionální;
    • vymezuje minimální požadavky na obsah těchto předpisů; a
    • stanoví časové rámce pro vymezené fáze utvoření, přípravy a zavedení těchto předpisů.

5. Smlouva o poskytování služeb.
  • Standardní smlouva Skupiny American Express vyžaduje, aby všichni obchodníci a zpracovatelé údajů z řad třetích osob dodržovali přísné smluvní podmínky skupiny American Express na ochranu údajů, tzv. Information Protection Contract Requirements, které slouží k zabezpečení všech osobních údajů, které uchovává Skupina American Express a které zpracovává poskytovatel služeb.
  • Smluvní podmínky skupiny American Express na ochranu údajů jsou zapracovány do všech smluv se třetími osobami, kde se předpokládá, že osobní údaje budou zpracovávat třetí osoby.
  • Volba zpracovatelů údajů z řad třetích osob a obchodníků zčásti vychází z toho, zda splňují kritéria týkající se posouzení rizik, a dále z vyhodnocení jejich postupů k zabezpečení údajů a rizik.
  • Zpracovatelé údajů z řad třetích osob a obchodníci se musí řídit odpovídajícími smluvními ustanoveními, mezi něž patří i požadavek přijmout nezbytná technická a organizační bezpečnostní opatření na ochranu údajů Skupiny American Express. Minimální požadavky jsou následující:
    • Konzultanti, dodavatelé a obchodníci podepsali dohody o mlčenlivosti a/nebo o nesdělování informací v rámci jejich výchozích podmínek pro uzavření pracovního poměru/smlouvy, a kdykoli při změně podmínek.
    • Určité smlouvy obsahují ustanovení o pokutě za použití údajů o zákaznících nebo vyhrazených údajů způsobem, který se liší od způsobu stanoveného v dané smlouvě.
    • Bezpečnostní zásady a standardy obchodníka jsou přinejmenším stejně přísné jako zásady a standardy Skupiny American Express, a bezpečnostní zásady a standardy obchodníků splňují požadavky na ochranu údajů, které mohou být čas od času aktualizovány.

6. Zásada pro služby poskytované třetími osobami
  • • Zásada American Express pro služby poskytované třetími osobami (tedy Third Party Services Policy) vyžaduje, aby třetí osoby dodržovaly Zásady a standardy Skupiny American Express (American Express Group Policies and Standards), kdykoli jejich služeb využije některá společnost ze Skupiny American Express, a tyto třetí osoby musí uznat odpovědnost prostřednictvím formálních písemných prohlášení. To platí pro všechny pracovníky zapojené do výběru poskytovatelů služeb z řad třetích osob a dohledu nad nimi, včetně pracovníků skupiny American Express, jejích propojených osob, dceřiných společností, pracovníků, konzultantů z řad třetích osob, dodavatelů, obchodníků a jakékoli fyzické nebo právnické osoby, které je umožněn externí přístup k informačním zdrojům Skupiny American Express.

Etický kodex

Etický kodex v aktuálním znění uvádí o zachovávání soukromí zaměstnanců:

„Musíme zajistit soukromí, utajení a zabezpečení osobních identifikačních údajů zaměstnanců. Naši kolegové, stejně jako potenciální a bývalí zaměstnanci, nám důvěřují, že s jejich osobními údaji nakládáme řádným způsobem. Z tohoto důvodu musíme znát a vždy mít na paměti Zásady American Express o zachovávání soukromí zaměstnanců (American Express Employee Data Privacy Principles). Tímto předpisem se řídí shromažďování, přístup, používání a sdělování osobních údajů zaměstnanců a přístup k nim. Mezi tyto údaje patří informace o mzdě, o plnění pracovních povinností, o pracovní neschopnosti a nepřítomnosti, stejně jako citlivější údaje, jako např. identifikační čísla přidělená státem. Tyto údaje smíme používat pouze pro relevantní a vhodné obchodní účely. Nesmíme tyto údaje sdílet s nikým jiným, uvnitř ani vně naší Společnosti, kdo je pro účely provozování své obchodní činnosti nemusí znát. Kromě toho musíme podnikat opatření, aby tyto údaje byly vždy chráněny. Mnohé státy mají vlastní právní předpisy, jimiž se řídí používání údajů o zaměstnancích. Pokud Vám tyto předpisy nejsou známy, obraťte se na oddělení Human Resources.”

Etický kodex v aktuálním znění uvádí o zachovávání soukromí zákazníků:

„Odpovídáme za ochranu soukromí, utajení a zabezpečení informací o zákaznících, které tito zákazníci svěřili naší Společnosti. K posílení dobré pověsti Společnosti a k zajištění nejlepší služby zákazníkům naše Společnost přijala pevný závazek k bdělé ochraně důvěrné povahy údajů o zákaznících. To znamená, že musíme údaje o zákaznících shromažďovat, používat je a zabezpečovat v souladu s naším prohlášením o online soukromí (Online Privacy Statement) nebo v souladu s předpisem o minimálních standardech pro zabezpečení údajů o zákaznících (Minimum Standards for Safeguarding Customer Information Policy). Nikdy nesmíme údaje o zákaznících sdílet se třetími osobami ani s žádnými kolegy, kteří je při plnění svých pracovních povinností nepotřebují znát. Rovněž musíme přijmout opatření k zabránění náhodnému prozrazení údajů o zákaznících. Musíme zajistit, aby byly dodržovány postupy Společnosti ve vzácných případech prozrazení. Pokud dojde k potenciálnímu prozrazení údajů, okamžitě je třeba se obrátit na CSI Data Privacy Office a EIRP na Lotus Notes. Nesdílejte žádné podrobnosti o této nehodě s nikým jiným, interně ani externě, kdo to pro plnění svých pracovních povinností nepotřebuje vědět. Bližší údaje o zjišťování a nahlašování prozrazení informací naleznete v našem EIRP Guide. Pokud si nějaký státní orgán vyžádá údaje o jednom z našich zákazníků, jsme povinni se před poskytnutím jakékoli takové informace obrátit na GCO. Vedle toho má řada zemí vlastní právní úpravu, jíž se řídí používání údajů o zákaznících. Pokud si nejste jisti, jaké místní právní předpisy platí, nebo máte jiné dotazy ohledně zachovávání důvěrné povahy informací, obraťte se na svého nadřízeného, svého Compliance Officera nebo na GCO.“



American Express Services Europe Ltd. -
Postup pro vyřizování stížností týkajících se ochrany osobních údajů a
zachovávání soukromí

Spokojenost zákazníků

Naším cílem je poskytovat Vám neustále ty nejlepší možné služby. Uvědomujeme si však, že může příležitostně docházet k chybám, a ke zkvalitňování služeb potřebujeme Vaši pomoc. Pokud dojde k nějaké chybě, máme zaveden postup pro vyřizování stížností, který je jednoduchý a jímž je zajištěno, že se Vám dostane rychlé a řádné reakce na jakékoli Vaše případné stížnosti nebo dotazy.

Proces vyřizování stížností

Tento Postup pro vyřizování stížností se na Vás vztahuje za předpokladu, že žijete na území Evropského hospodářského prostoru („EHP“) a Vaše osobní údaje zpracovává některá ze společností v rámci Skupiny American Express v EHP; tyto údaje může Skupina American Express zpracovávat i kdekoli jinde mimo EHP.

Jste-li zaměstnancem některé společnosti ze Skupiny American Express a Váš dotaz nebo Vaše stížnost se vztahují k Vašemu pracovišti, pak je třeba si pročíst Interní postup pro vyřizování stížností (Internal Complaints Standard), který je k dispozici na intranetu American Express.

Krok 1
Jak se na nás obracet s obecnými dotazy ohledně osobních údajů

Máte-li nějaké obecné poznámky nebo obavy ohledně způsobu, jímž nakládáme s Vašimi osobními údaji, můžete se obrátit na některého člena týmu zákaznických služeb na níže uvedených číslech:

08456080845 nebo 0044 1293 820925

Popřípadě se na nás můžete písemně obracet na tuto adresu:
American Express Services Europe Ltd.
Dept. 66
Amex House
Edward Street

Brighton BN88 1AH

Kromě toho nás můžete kontaktovat prostřednictvím naší místní pobočky American Express na kontaktní adresu příslušného oddělení zákaznických služeb uvedenou v informacích, které Vám jsou poskytovány v našich národních podmínkách, v prohlášeních o ochraně soukromí a v souvisejících materiálech.

Pokud se na nás budete obracet, uvádějte prosím:

  • Vaše jméno
  • Číslo Vašeho účtu
  • Popis stížnosti

Krok 2
Jak se na nás obracet s podrobnejšími dotazy

Pokud máte zájem o podrobnosti ohledne informací, které o Vás uchováváme a zpracováváme, nebo pokud budete chtít vznést nejakou specifickou výhradu ohledne zpusobu, jakým zpracováváme Vaše osobní údaje, mužete vznést podrobný dotaz, v jehož rámci máte právo provést následující:

  • Namítat vuci zpracovávání Vašich osobních údaju;
  • Nechat Vaše osobní údaje vymazat nebo znicit;
  • Opravit Vaše osobní údaje;
  • Zablokovat shromaždování Vašich osobních údaju; a
  • Vykonávat právo prístupu k údajum, která Vám jako subjektu údaju náleží, pricemž máte právo na to, abyste:
    • byli informováni o tom, zda American Express zpracovává nekteré Vaše osobní údaje;
    • obdrželi popis osobních údaju, duvody, proc jsou zpracovávány, a zda budou predány nejakým dalším organizacím nebo osobám;
    • obdrželi kopii informací, které tvorí osobní údaje;
    • obdrželi údaje o zdroji osobních údaju, tam, kde je to možné; a
    • byli informováni o oduvodnení jakýchkoli automatizovaných rozhodnutí vycházejících z Vašich osobních údaju,
a rovněž cokoli jiného, na co máte nárok podle místního použitelného práva.
Tyto žádosti vyřizujeme centrálně, obracejte se proto na nás písemně na tuto adresu:

American Express Services Europe Ltd.
Data Privacy Officer
Amex House
Edward Street
Brighton BN88 1AH

Je třeba uvést:
  • Vaše jméno
  • Číslo Vašeho účtu
  • Kontaktní údaje na Vás
  • Popis stížnosti

Budeme Vás obratem kontaktovat ohledně ověření totožnosti, načež se pokusíme celou záležitost vyřídit nejpozději do 5 (pěti) pracovních dnů od tohoto ověření. Za některé druhy podrobných dotazů se může účtovat mírný poplatek, a pokud je to zrovna Váš případ, budeme Vás o něm informovat, jakmile Vás budeme kontaktovat. V některých případech můžete mít nárok na náhradu, pokud American Express nebude zpracovávat Vaše osobní údaje správně nebo v souladu se Zásadami American Express pro ochranu údajů a zachovávání soukromí.

Krok 3
Doba odezvy V některých případech se může stát, že nebudeme schopni Vaši záležitost vyřešit okamžitě a bude třeba provést podrobnější šetření. V takovém případě Vás písemně vyrozumíme do 10 (deseti) pracovních dnů o tom, kdo se Vaší záležitostí bude zabývat a jak dlouho pravděpodobně potrvá, než věc plně prošetříme. Naším cílem je poskytnout úplnou odpověď do 4 (čtyř) týdnů. Pokud s touto odpovědí nebudete spokojeni, požádáme Vás, abyste nám to sdělili, abychom mohli věc dále prošetřit.

Krok 4
Nejste-li spokojeni Pokud se domníváte, že jsme Vaši stížnost nevyřídili uspokojivě nebo Vám konečná odpověď nebyla poskytnuta ani po uplynutí 4 týdnů, můžete svou stížnost předložit místnímu orgánu na ochranu osobních údajů.

Příslušné orgány na ochranu osobních údajů kontaktujte na těchto adresách:

Stát Kontaktní údaje
Rakousko
 		Österreichische Datenschutzkommission
Ballhausplatz, 1
A - 1014 WIEN


Tel.+43 1 531 15 25 25
Fax+43 1 531 15 26 90
e-mail: dsk@dsk.gv.at
Belgie
 		Commission de la protection de la vie privée
Rue Haute, 139
B - 1000 BRUXELLES

Tel. +32 2 213 8540
Fax +32 2 213 8545
e-mail: commission@privacy.fgov.be
Bulharsko
 		Commission for Personal Data Protection
Mrs. Veneta Shopova
1 Dondikov Blvd
Sofia 1000
Bulgaria

Tel. +3592 940 2046
Fax +3592 940 3640
e-mail: kzld@government.bg
Chorvatsko
 		Mr. Franjo LACKO
Director
Croatian Personal Data Protection Agency
Republike Austrije 25
10000 Zagreb
Croatia

Tel.+385 1 4609 000
Fax +385 1 4609 099
e-mail: azop@azop.hr or info@azop.hr
Kypr
 		Commissioner for Personal Data Protection
Ms Goulla Frangou
40, Th. Dervis Street
CY - 1066 Nicosia

Tel. +357 22 818 456
Fax +357 22 304 565
e-mail: commissioner@dataprotection.gov.cy
Česká republika
 		Pan Igor Němec
Úřad pro ochranu osobních údajů
Pplk. Sochora 27
CZ - 170 00 Praha 7

Tel. +420 234 665 111
Fax +420 234 665 444
e-mail: posta@uoou.cz
Dánsko
 		Datatilsynet
Borgergade 28, 5
DK - 1300 Copenhagen K


Tel. +45 33 19.32.00
Fax +45 33 19.32.18
e-mail: dt@datatilsynet.dk
Estonsko
 		Estonian Data Protection Inspectorate
(Andmekaitse Inspektsioon)
Director General
Mr Viljar Peep (Ph.D)
Väike-Ameerika 19
10129 Tallinn
Estonia

Tel. +372 6274 135
Fax +372 6274 137
e-mail: viljar.peep@dp.gov.ee
Finsko
 		Office of the Data Protection
Ombudsman
P.O. Box 315
FIN-00181 Helsinki

Tel. +358 10 3666 700
Fax +358 10 3666 735
e-mail: tietosuoja@om.fi
Bývalá jugoslávská
republika Makedonie 		Ms. Marijana MARUSIC
Directorate for Personal Data Protection
Urad pro ochranu osobnich udaju
Samoilova 10
1000 Skopje
former Yugoslav Republic of Macedonia

Tel. +389 (0) 2 3244 760
Fax +389 (0) 2 3244 766
e-mail: info@dzlp.gov.mk
Francie
 		Commission Nationale de l'Informatique et des Libertés
8, rue Vivienne, CS 30223
F-75002 Paris, CEDEX 02

Tel. +33 (0) 1 53 73 22 22
Fax +33 (0) 1 53 73 22 00
Německo
 		Der Hessische Datenschutzbeauftragte
Gustav-Stresemann-Ring1
65189 Wiesbaden

Tel. +49 (0) 611 14 08-0
Fax +49 (0) 611 14 08-9 00 or +49 (0) 611 14 08-9 01
e-mail: poststelle@datenschutz.hessen.de
Řecko
 		Hellenic Data Protection Authority
Kifisias Av. 1-3, PC 11523
Ampelokipi Athens, Greece

Tel. +30 210 6475 600
Fax +30 210 6475 628
e-mail: contact@dpa.gr
Guernsey
 		Dr. Peter Harris C. Eng, MA, PhD, FBCS
Data Protection Commissioner
P.O. Box 642
Frances House
Sir William Place
St. Peter Port
Guernsey GY1 3JE

Tel. +44 1481 742074
Fax +44 1481 742077
e-mail: dataprotection@gov.gg
Maďarsko
 		Data Protection Commissioner of Hungary
Parliamentary Commissioner for Data Protection and Freedom of Information
Dr. Attila Péterfalvi
Nádor u. 22
H - 1051 Budapest

Tel.+36 1 475 7186
Fax+36 1 269 3541
e-mail: adatved@obh.hu
website
Island
 		Icelandic Data Protection Agency
(Persónuvernd)
Rauðarárstíg 10
105 Reykjavík, Ísland

Tel. +354 510 9600
Fax +354 510 9606
e-mail: postur@personuvernd.is
Irsko
 		Data Protection Commissioner
Canal House
Station Road
Portarlington
Co. Laois
Ireland

Lo-Call: 1890 25 22 31
Tel. ++353 57 868 4800
Fax +353 57 868 4757
e-mail: info@dataprotection.ie
Ostrov Man
 		Mr Iain McDonald
Data Protection Supervisor
Office of Data Protection Supervisor
P.O. Box 69
Douglas
Isle of Man IM99 1EQ
British Isles

Tel. +44 (0) 1624 693260
Fax +44 (0) 1624 6610
e-mail: enquiries@odps.gov.im
Itálie
 		Garante per la protezione dei dati personali
Piazza di Monte Citorio, 121
I - 00186 Roma

Tel. +39 06 69677 1
Fax +39 06 69677 785
e-mail: garante@garanteprivacy.it
Jersey
 		The Office of the Data Protection Commissioner
Mrs. Emma Martins
Morier House
Halkett Place
St. Helier
Jersey JE1 1DD

Tel. +44 (0) 1534 441064
Fax +44 (0) 1534 441065
e-mail: dataproteciton@gov.je, e.martins@gov.je
Lotyšsko
 		Data State Inspectorate
Riga, Latvia
Director Ms Signe Plumina
Kr. Barona Street 5-4
LV - 1050 Riga


Tel.+371 6722 3131
Fax +371 6722 3556
e-mail: info@dvi.gov.lv
Lichtenštejnsko
 		Dr. Philipp Mittelberger
Datenschutzbeauftragter des Fürstentums Liechtenstein
Stabsstelle für Datenschutz
Kirchstrass 8, Postfach 684
9490 Vaduz
Liechtenstein


Tel.+423 236 6091
Fax +423 236 6099
e-mail: info@sds.llv.li
Verwaltung: http://www.sds.llv.li
Liechtenstein: http://www.liechtenstein.li
Litva
 		State Data Protection
Inspectorate Director
Mr Algirdas Kuncinas
Žygimantu str. 11-6a
LT - 011042 Vilnius
Tel.+ 370 5 279 14 45
Fax+370 5 261 94 94
e-mail: ada@ada.lt
Luxembourg
 		Commission nationale pour la protection des données
41, avenue de la Gare
L-1611 Luxembourg

Tel.+352 2610 60 1
Fax+352 2610 60 29
e-mail: info@cnpd.lu
Malta
 		Office of the Data Protection Commissioner
Data Protection Commissioner
Mr Paul Mifsud Cremona
2, Airways House
High Street, Sliema SLM 16, Malta

Tel.+356 2328 7100
Fax+356 2328 7198
e-mail: commissioner.dataprotection@gov.mt
Norsko
 		Datatilsynet
The Data Inspectorate
P.O.Box 8177 Dep
N - 0034 OSLO

Tel.+47 22 39 69 00
Fax+47 22 42 23 50
e-mail: postkasse@datatilsynet.no
Polsko
 		The Bureau of the Inspector General for the Protection of Personal Data
Mr Michal Serzycki
Inspector General for Personal Data Protection
ul. Stawki 2
00-193 Warsaw


Tel.+48 22 860 70 81
Fax+48 22 860 70 90
e-mail: sekretariat@giodo.gov.pl
Portugalsko
 		Comissão Nacional de Protecção de Dados
R. de São. Bento, 148-3°
P - 1200-821 LISBOA

Tel.+351 21 392 84 00
Fax+351 21 397 68 32
e-mail: geral@cnpd.pt
Rumunsko
 		The National Supervisory Authority for Personal Data Processing
Mrs. Georgeta BASARABESCU
President
Str. Olari nr. 32
Sector 2, BUCURESTI
Cod postal 024057
Romania

Tel.+40 21 252 5599
Fax+40 21 252 5757
e-mail: anspdcp@dataprotection.ro
Slovensko
 		Office for Personal Data Protection of the SR
Mr Gyula Veszelei
President
Odborárske námestie c. 3
817 60, Bratislava
Slovak Republic

Tel.+ 421 2 5023 9418
Fax+ 421 2 5023 9441
e-mail: statny.dozor@pdp.gov.sk or gyula.veszelei@pdp.gov.sk
Slovinsko
 		Information Commissioner
Ms. Natasa Pirc Musar
Vošnjakova 1
SI - 1000 LJUBLJANA

Tel.+386 (0) 1 230 9730
Fax+386 (0) 1 230 9778
e-mail: gp.ip@ip-rs.si
Španělsko
 		Agencia de Protección de Datos
C/Jorge Juan, 6
E - 28001 MADRID

Tel.+34 91399 6200
Fax+34 91455 5699
e-mail: internacional@agpd.es
Švédsko
 		Datainspektionen
Fleminggatan, 14
9th Floor
Box 8114
S - 104 20 STOCKHOLM

Tel.+46 8 657 6100
Fax+46 8 652 8652
e-mail: datainspektionen@datainspektionen.se
Švýcarsko
 		Data Protection Commissioner of Switzerland
Eidgenössischer Datenbeauftragter
Hanspeter THÜR
Feldeggweg 1
CH - 3003 Bern

Tel. +41 (0) 31 322 4395
Fax+41 (0) 31 325 9996
e-mail: info@edsb.ch
Nizozemsko
 		College bescherming persoonsgegevens (CBP)
Dutch Data Protection Authority
Juliana van Stolberglaan 4-10
P.O.Box 93374
NL - 2509 AJ Den Haag/The Hague
The Netherlands

Tel.+31 70 888 8500
Fax+31 70 888 8501
e-mail: info@cbpweb.nl
Spojené království
 		Mr Richard Thomas
Information Commissioner
The Office of the Information Commissioner Executive Department
Water Lane, Wycliffe House
UK - WILMSLOW - CHESHIRE SK9 5AF

Tel.+44 1 625 54 57 00 (centrála)
e-mail: použijte prosím on-line odkaz na naší webové stránce

Tento seznam je v aktualizované podobě k dispozici pouze na této adrese:
http://ec.europa.eu/justice_home/fsj/privacy/nationalcomm/index_en.htm.

Krok 5
Zahájení soudního sporu

Pokud neobdržíte Vámi požadovanou odpověď od nás nebo od Vašeho místního orgánu na ochranu osobních údajů, můžete podat k místnímu soudu žalobu. V takovém případě doporučujeme nejprve poradit se s nezávislým právním poradcem s odpovídající kvalifikací. Nároky vůči American Express lze vznést buď vůči Vaší místní společnosti American Express nebo přímo vůči AESEL.

Zásady a Evropské implementační postupy jsou pro Skupinu American Express závazné a dávají Vám, jakožto třetí osobě, v jejíž prospěch jsou stanoveny, určitá práva, jak je uvedeno v dokumentaci k tomuto programu.

Pokud potřebujete znát název Vaší místní společnosti American Express nebo máte nějaký další dotaz ohledně tohoto kroku 5, kontaktujte nás postupem uvedeným v Kroku 2 „Jak se na nás obracet s podrobnějšími dotazy“, s tím, že v takovém případě se žádný administrativní poplatek neúčtuje.