English | Dansk

American Express®
Principper Implementeringer Europe

 

icon

American Express’ bindende virksomhedsregler (BCR’er) er til for at sikre, at overførsel af personoplysninger internationalt inden for American Express Group sker i overensstemmelse med gældende lovgivning om databeskyttelse i Det Europæiske Økonomiske Samarbejdsområde (EØS). Vores BCR’er består af American Express’ principper for databeskyttelse og privatlivets fred og disse europæiske gennemførelsesprincipper. De er godkendt af Information Commissioner’s Office, den lokale databeskyttelsesmyndighed i Storbritannien, og har været i kraft siden den 28. januar 2013.

 

Disse europæiske gennemførelsesprincipper indeholder oplysninger om, hvordan American Express sikrer overholdelse af vores principper for databeskyttelse og privatlivets fred i EØS, og hvordan man indgiver en klage over krænkelser af privatlivets fred i EØS.

BESTEMMELSER OM GENNEMFØRELSE AFAMERICAN EXPRESS’ PRINCIPPER FOR DATABESKYTTELSE OG PRIVATLIVETS FREDI DET EUROPÆISKE SAMARBEJDSOMRÅDE (DE “EUROPÆOSKE GENNEMFØRELSESPRINCIPPER”)

1. Anvendelsesområde

 

Principperne for gennemførelse i Det Europæiske Økonomiske Samarbejdsområde af American Express’ principper for databeskyttelse og privatlivets fred (de ”europæiske Gennemførelsesprincipper”) gælder kun personoplysninger om en enkeltperson, der er eller har været: i) behandlet i forbindelse med aktiviteter i et selskab i American Express Group, der har hjemsted i EØS, ii) behandlet af et selskab i American Express Group, der er etableret uden for EØS, hvor behandlingsaktiviteterne specifikt vedrører udbud af varer eller tjenesteydelser til enkeltpersoner i EØS eller (iii) behandlet af et selskab i American Express Group, der har hjemsted uden for EØS, hvor behandlingsaktiviteterne specifikt vedrører overvågning af enkeltpersoners adfærd i EØS (”de Registrerede”).


Bemærk venligst, at behandlingsaktiviteterne i (ii) og (iii) ovenfor er begrænset til behandlingsaktiviteter rettet mod enkeltpersoner i EU, enten ved at tilbyde varer eller tjenesteydelser til disse enkeltpersoner eller ved at overvåge deres adfærd.


De europæiske Gennemførelsesprincipper beskriver navnlig (i) hvordan American Express’ principper for databeskyttelse og privatlivets fred (“Principperne”) skal implementeres af American Express Company med hjemsted i World Financial Center, 200 Vesey St., New York, NY 10285 (“American Express” eller “Selskabet”) og hvert selskab i American Express Group, der behandler Registreredes personoplysninger (heri samlet benævnt “American Express Group”) og (ii) hvordan American Express Group’s BCR’er træder i kraft. American Express Europe SA (“AEESA”) er det europæiske selskab i American Express Group, der har påtaget sig ansvaret for at sikre, at Registreredes personoplysninger lagres eller behandles i overensstemmelse med Principperne og de europæiske Gennemførelsesprincipper.


Alle registrerede, som direkte omfattes af Principperne eller de europæiske Gennemførelsesprincipper, kan henvende sig til AEESA for at gøre deres krav gældende, som beskrevet nedenfor.


I forbindelse med de europæiske Gennemførelsesprincipper betyder ”personoplysninger” enhver oplysning vedrørende en identificeret eller identificerbar fysisk person. En identificerbar fysisk person er en person, der direkte eller indirekte særligt kan identificeres ved henvisning til en identifikator, såsom et navn, et id-nummer, lokaliseringsdata, en online-identifikator eller en eller flere faktorer, der er specifikke for den fysiske persons fysiske, fysiologiske, genetiske, mentale, økonomiske, kulturelle eller sociale identitet.

 

2. Tilgængelighed

 

Principperne og de europæiske Gennemførelsesprincipper er tilgængelige på American Express’ websteder i alle lande i EØS. Det er også muligt at anmode om en kopi af Principperne og de europæiske Gennemførelsesprincipper i et alternativt format fra AEESA’s Data Protection Officer på adressen nedenfor eller fra den lokale American Express-enhed, der er ansvarlig for dine data.


Principperne og disse europæiske Gennemførelsesprincipper skal læses i sammenhæng med online-fortrolighedserklæringen (for kunder) eller fortrolighedserklæringen om online-rekruttering (for potentielle medarbejdere) samt andre meddelelser og vilkår og betingelser for brug, der gælder for dit forhold til American Express. Disse meddelelser samt vilkår og betingelser kan indeholde yderligere bestemmelser, der er relevante for behandling af personoplysninger i henhold til gældende love og bestemmelser i det pågældende land.

 

3. Registreredes rettigheder

 

I henhold til de europæiske Gennemførelsesprincipper, skal principperne for databeskyttelse og privatlivets fred ændres således at de overholder EUs generelle databeskyttelsesforordning (“GDPR”) i forhold til selskaber i American Express Group, der behandler de Registreredes personoplysninger.

3.1. Indsamling

Registreredes personoplysninger skal behandles på lovlig, retfærdig og gennemsigtig vis i forhold til de Registrerede. American Express er et globalt betalingstjeneste- og rejseselskab. En beskrivelse af de forskellige typer af personoplysninger og særlige kategorier af personoplysninger, der behandles og måden, hvorpå de behandles, findes i fortrolighedserklæringer og andre meddelelser, vilkår og betingelser, der præsenteres for dig, når du indleder dit samarbejde med os.

Selskaber i American Express Group indsamler kun personoplysninger om Registrerede med specifikke, udtrykkelige og legitime formål og skal sikre, at personoplysninger ikke behandles yderligere på en måde, der er uforenelig med sådanne formål.


3.2. Meddelelse, retfærdighed og gennemsigtighed

Selskaber i American Express Group, der har pligt til at oplyse Registrerede om behandling i henhold til GDPR, skal give Registrerede ret til at få let adgang til de påkrævede oplysninger. Disse oplysninger skal gives til Registrerede i et kortfattet, gennemsigtigt, forståeligt og let tilgængeligt format og på tydeligt og let forståeligt sprog. Disse oplysninger er tilgængelige i online-fortrolighedserklæringen (for kunder) eller fortrolighedserklæringen om online-rekruttering (for potentielle medarbejdere).


3.3. Datakvalitet
Selskaber i American Express, der behandler personoplysninger om Registrerede, skal træffe rimelige foranstaltninger til at sikre, at personoplysninger om Registrerede, der er unøjagtige, under hensyntagen til de formål, hvormed de behandles, slettes eller berigtiges omgående. Registreredes personoplysninger skal opbevares i et format, der tillader identifikation af Registrerede, uden unødvendige forsinkelser, til de formål, hvormed personoplysningerne behandles. Personoplysninger kan blive opbevaret i længere tid i arkiveringsøjemed eller som tilladt i henhold til GDPR eller gældende lovgivning, og kun når passende tekniske og organisatoriske foranstaltninger er truffet.


3.4. Sikkerhed og fortrolighed
Kravene i dette princip skal omfatte rimelige passende tekniske og organisatoriske foranstaltninger til beskyttelse af personoplysninger om Registrerede mod uautoriseret eller ulovlig behandling og mod utilsigtet tab, ødelæggelse eller skade.


3.5. Åbenhed og dataadgang
Selskaberne i American Express Group skal overholde følgende rettigheder, der tillægges Registrerede: Adgangsret, ret til berigtigelse, ret til at modsætte sig behandling, ret til at trække samtykke tilbage og ret til ikke at være genstand for en afgørelse, der alene er baseret på automatisk behandling, herunder profilering.


3.6. Internationale overførsler
Registreredes personoplysninger overføres på tværs af hele American Express Group. Denne datastrøm legitimeres gennem en kombination af EU-godkendte bindende virksomhedsregler (BCR) og dataoverførselsaftaler, herunder EU-modelkontrakter. Særkategorier af Registrerede må ikke overføres, medmindre den Registrerede har givet sit samtykke til en sådan overførsel.


3.7. Ansvarlighed
Alle selskaber i American Express Group, der behandler personoplysninger om Registrerede, skal være ansvarlige for og være i stand til at påvise overholdelse af GDPR, herunder opdatering af elektroniske registreringer af alle kategorier af behandlingsaktiviteter for at påvise sådan overholdelse.

 

4. Indbygget databeskyttelse

 

Selskaber i American Express Group, der behandler personoplysninger om Registrerede, skal træffe tekniske og organisatoriske foranstaltninger, som er udformet til at gennemføre databeskyttelsesprincipper og lette overholdelse af kravene i de europæiske Gennemførelsesprincipper.

 

5. Overvågningsprogram

5.1. Overensstemmelse

For at sikre overholdelse af Principperne og de europæiske Gennemførelsesprincipper er der etableret et overensstemmelsesprogram, der foretager regelmæssig overensstemmelseskontrol og revision af overensstemmelse i forhold til American Express Group’s aktiviteter. Resultaterne af denne overensstemmelseskontrol og revision vil blive meddelt Global Privacy Office i American Express, AEESA’s Data Protection Officer, de relevante tilsynsmyndigheder (hvis det ønskes), og hvis det er relevant, revisionsudvalget i American Express Company’s bestyrelse. Hvis det fastslås, at der foreligger en overensstemmelsesmangel, skal det relevante selskab i American Express Group i EØS efterleve eventuelle specifikke anmodninger fra AEESA’s Data Protection Officer, eller hvis det ikke er muligt at efterleve visse anmodninger, skal det pågældende selskab dokumentere årsagen hertil. American Express Group skal ligeledes samarbejde med enhver tilsynsmyndighed med gældende jurisdiktion i forbindelse med eventuel overensstemmelseskontrol, hvad enten en sådan kontrol er påbegyndt som svar på en klage fra en Registreret eller på tilsynsmyndighedens eget initiativ.


5.2. Samarbejde
Alle selskaber i American Express Group, der behandler personoplysninger om Registrerede, skal samarbejde med enhver relevant Tilsynsmyndighed om at håndtere krav, revisioner, forespørgsler og klager. Hvis Tilsynsmyndigheden konstaterer, at et selskab i American Express Group har tilsidesat nogen rettighederne i henhold til de europæiske Implementeringsprincipper, skal det relevante selskab i American Express Group rette sig efter Tilsynsmyndighedens resultater, med forbehold af retten til at anfægte eller appellere sådanne resultater.

 

6. Overholdelse, håndhævelse og ansvar

Alle selskaber i American Express Group, der behandler personoplysninger om Registrerede, skal overholde bestemmelserne i de europæiske Gennemførelsesprincipper og andre politikker og procedurer, der er bindende for American Express Group. Selskaber i American Express Group skal sikre overholdelse af europæiske nationale love om databeskyttelse og privatlivets fred, og eventuel håndhævelse skal ske i overensstemmelse med disse europæiske nationale love.

6.1. Håndhævelse

Alle Registrerede kan håndhæve vilkårene og betingelserne i følgende bestemmelser i de europæiske Gennemførelsesprincipper som tredjepartsmodtager over for AEESA eller ethver selskab i American Express Group, der behandler personoplysninger om Registrerede:


a. Registreredes rettigheder (afsnit 3)

b. Lovkonflikter (afsnit 8);

c. Spørgsmål eller klager (afsnit 9);

d. Samarbejde (afsnit 5.2) og

e. Overholdelse, håndhævelse og ansvar (afsnit 6.1 og 6.2).

 

Registrerede har ret til at gå rettens vej i tilfælde af kontraktbrud og kræve erstatning og i givet fald få erstatning på et beløb, der svarer til de faktiske skader, som klageren har lidt, som følge af overtrædelsen af ovennævnte tredjemandsløfte. Registrerede kan indbringe deres krav for en kompetent domstol i de EU-medlemsstater, hvor det relevante selskab i American Express Group har sit hjemsted eller hvor den Registrerede har sin sædvanlige bopæl.


6.2. Ansvar
AEESA bærer ansvaret for ethvert brud på Principperne eller de europæiske Gennemførelsesprincipper af et selskab i American Express Group uden for EU, der behandler personoplysninger om Registrerede. AEESA skal træffe alle nødvendige foranstaltninger til at afhjælpe handlinger eller udeladelser foretaget af selskaber i American Express Group, der behandler personoplysninger om Registrerede.


AEESA er forpligtet til at betale erstatning for væsentlige eller ikke-væsentlige skader, som Registrerede måtte lide i forbindelse med overtrædelse af Principperne eller de europæiske Gennemførelsesprincipper. Erstatningen skal ske godkendes af AEESA’s Data Protection Officer, inden et tilbud om erstatning eller betaling fremsættes. En sådan erstatning skal fuldt ud svare til den Registreredes krav mod alle selskaber i American Express Group. For at undgå enhver tvivl omfatter AEESA’s ansvar handlinger eller udeladelser foretaget af ethvert selskab i American Express Group, der ikke er beliggende i EU.

 

Hvis et selskab i American Express Group uden for EU overtræder Principperne eller de europæiske Gennemførelsesprincipper, har domstolene eller andre kompetente myndigheder i EU domsmyndighed i forbindelse med en sådan overtrædelse. I det omfang, et selskab i American Express Group, der behandler personoplysninger om Registrerede, overtræder de europæiske Gennemførelsesprincipper, kan de Registrerede, tilsynsmyndigheder og domstole i de relevante jurisdiktioner udøve deres rettigheder og fremsætte krav mod AEESA som om AEESA havde udvist en sådan adfærd i EU.


Bevisbyrden påhviler AEESA, der skal påvise, at selskabet i American Express Group, der er beliggende uden for EU, ikke er ansvarlig for nogen påstået overtrædelse af Principperne eller de europæiske Gennemførelsesprincipper, der giver anledning til den Registreredes erstatningskrav. Hvis AEESA kan bevise, at selskabet i American Express Group uden for EU ikke er ansvarlig for den hændelse, der forårsagede skaden, kan AEESA og selskabet blive fritaget for det pågældende ansvar.

 

7. Uddannelse

 

American Express tilbyder passende undervisningsmaterialer og kurser til medarbejdere i American Express, som indsamler, anvender eller har adgang til personoplysninger om Registrerede, eller som udvikler systemer, der behandler personoplysninger om Registrerede for at sikre, at de er opmærksomme på deres forpligtelser i henhold til Principperne og de europæiske Gennemførelsesprincipper.

 

8. Lovkonflikter


I tilfælde af at et selskab i American Express Group har grund til at tro, at en lov, som selskabet er genstand for, er til hinder for overholdelse af Principperne eller de europæiske Gennemførelsesprincipper eller sandsynligvis vil have en væsentlig indvirkning på garantierne, der fremgår af Principperne eller de europæiske Gennemførelsesprincipper, skal den relevante kontaktperson i det pågældende selskab i American Express Group underrette AEESA’s Data Protection Officer herom, medmindre det er forbudt i henhold til gældende lovgivning. AEESA’s Data Protection Officer skal om nødvendigt underrette den kompetente tilsynsmyndighed herom, medmindre det er forbudt i henhold til gældende lovgivning.


9. Spørgsmål eller klager


En Registreret kan til enhver tid indsende en klage eller et krav og udøve sine rettigheder i forhold til Principperne eller de europæiske Gennemførelsesprincipper. Sådanne klager eller krav kan rettes til AEESA’s Data Protection Officer i AEESA’s hovedkontor på American Express Europe S.A. Avenida Partenón 12-14, 28042, Madrid, ESPANA. For yderligere oplysninger om American Express’ klagebehandlingsproces og om, hvordan du indsender en klage, skal du klikke her