Indstillinger for cookies Om cookies Principper for Databeskyttelse og Beskyttelse af Privatlivets Fred

PRINCIPPER IMPLEMENTERINGER EUROPE

American Express’ Bindende Selskabsregler (”BSR”) er et redskab til at overføre personoplysninger internationalt inden for American Express-koncernen i overensstemmelse med gældende lovgivning for beskyttelse af personoplysninger inden for det Europæiske Økonomiske Samarbejde (”EØS”). Vores BSR består af American Express’ Principper for Beskyttelse af Privatlivets Fred og de øvrige Europæiske Implementeringsprincipper. De er godkendt af Datatilsynet, den lokale databeskyttelsesmyndighed i Danmark, og de har været gældende siden 4 Juni 2013.


Nærværende Europæiske Implementeringsprincipper giver oplysninger om, hvorledes American Express sikrer overholdelse af vores Principper for Databeskyttelse og Beskyttelse af Privatlivets Fred [insert link American Express Data Protection and Privacy Principles] inden for EØS, og hvordan man kan klage over brud på privatlivets fred i EØS.

PRINCIPPER FOR IMPLEMENTERING AF AMERICAN EXPRESS’
PRINCIPPER FOR DATABESKYTTELSE OG BESKYTTELSE AF
PRIVATLIVETS FRED (DE ”EUROPÆISKE
IMPLEMENTERINGSPRINCIPPER”) INDEN FOR DET EUROPÆISKE
ØKONOMISKE SAMARBEJDE

Omfang

Principperne for implementeringen af American Express’ Principper for databeskyttelse og beskyttelse af privatlivets fred (de ”Europæiske Implementeringsprincipper”) inden for det Europæiske Økonomiske Samarbejde (”EØS”) gælder kun for personer, som er bosat inden for EØS, og hvis personoplysninger behandles af American Express-koncernen inden eller uden for EØS (”Registranterne”).

De Europæiske Implementeringsprincipper beskriver (i) hvorledes American Express’ Principper for databeskyttelse og beskyttelse af privatlivets fred (”Principperne”) skal implementeres af American Express Company, der har hjemsted i World Financial Center, 200 Vesey St., New York (”American Express” eller ”Selskabet”), og af alle selskaber i American Express-koncernen (samlet ”American Express-koncernen”) og (ii) visse krav angivet i europæisk lovgivning om databeskyttelse for personer bosat inden for EØS, hvis personoplysninger behandles af American Express-koncernen inden eller uden for EØS.

American Express Services Europe Limited (”AESEL”) er det europæiske selskab i American Express-koncernen, som har ansvaret for at sikre, at Registranternes personoplysninger opbevares og behandles i overensstemmelse med Principperne.

En Registrant, der direkte omtales som begunstiget eller omfattet af Principperne eller nærværende Europæiske Implementeringsprincipper, kan gøre de nedenfor beskrevne bestemmelser for begunstigede tredjeparter gældende over for AESEL. American Express’ Beskrivelse af Behandlingen af Personoplysninger ja og Beslutninger og Politikker for Implementeringer ligeledes bindende for American Express-koncernen, dog kan de ikke gøres direkte gældende af Registranterne eller af tredjemand.

Tilgængelighed

Principperne og de Europæiske Implementeringsprincipper bliver gjort tilgængelige på American Express’ hjemmeside i alle EU-lande. Såfremt De ikke har adgang til internettet, kan De på nedenstående adresse eller hos American Express’ lokale kontor i Deres land anmode AESELs databeskyttelsesansvarlige om en kopi.

Disse Principper og de Europæiske Implementeringsprincipper skal læses sammen med de meddelelser, betingelser og vilkår, der gælder for det produkt eller den tjeneste, som De benytter eller har i sinde at benytte fra et selskab i American Express-koncernen. Disse meddelelser, betingelser og vilkår kan indeholde bestemmelser, som er relevante for behandlingen af personoplysninger i overensstemmelse med gældende national lovgivning.

Behandling af personoplysninger

American Express er et globalt selskab, der beskæftiger sig med rejse- og betalingstjenester. En beskrivelse af de former for personoplysninger, der behandles, samt måden, hvorpå de behandles, kan ses i American Express’ til enhver tid gældende Beskrivelse af Behandlingen af Personoplysninger.

Compliance-program

For at sikre overholdelse af Principperne er der udarbejdet et compliance-program, der foreskriver jævnlig compliance-kontrol af American Express-koncernens aktiviteter, og resultaterne af denne kontrol indberettes til American Express’ kontor for beskyttelse af privatlivets fred, det relevante datatilsyn (såfremt tilsynet anmoder derom) og, hvis relevant, revisionsudvalget i American Express Company’s bestyrelse. I tilfælde hvor det konstateres, at Principperne ikke er blevet overholdt, er det pågældende selskab i American Express-koncernen i EØS forpligtet til at imødekomme eventuelle krav fra AESELs databeskyttelsesansvarlige. Ligeledes skal American Express-koncernen samarbejde ved eventuelle compliance-kontroller udført af det relevante datatilsyn, uanset om en sådan kontrol er påbegyndt i forbindelse med en Registrants klage eller på datatilsynets eget initiativ.

Håndtering af klager

I håndteringen af klager (som angivet nedenfor) skal selskaberne i American Express-koncernen følge og overholde Procedure for databeskyttelse og håndtering af klager relateret til personoplysninger .

  • ”Klager” defineres som udtryk for utilfredshed, mundtlige såvel som skriftlige, via telefon, e-mail, almindelig post eller ved personligt fremmøde, fra eller på vegne af en kunde, en medarbejder eller andre Registranter, over American Express-koncernens sikring, eller manglende sikring, af tilstrækkelig beskyttelse af indsamlede, behandlede og/eller videregivne personoplysninger.
  • Ansvaret for håndteringen af klager, som AESEL modtager, ligger hos AESELs databeskyttelsesansvarlige.
  • Klager behandles fair, konsekvent og hurtigt.
  • I de tilfælde hvor det besluttes, at redressering bør finde sted, vil AESEL tildele klageren en rimelig kompensation, som beskrevet nedenfor, og AESEL er forpligtet til at overholde alle tilbud om redressering, som klageren accepterer. Kompensationen skal godkendes af AESELs databeskyttelsesansvarlige, før et tilbud om genoprejsning eller betaling gives.
  • Registranter kan rette deres klager til det relevante datatilsyn eller relevante europæiske domstol i tilfælde, hvor de er utilfredse med American Express-koncernens beslutning. En liste over datatilsynenes sagsbehandlingssteder kan findes ved at klikke på dette link: http://ec.europa.eu/justice_home/fsj/privacy/nationalcomm/index_en.htm.
  • AESEL anerkender og vil korrespondere med alle relevante datatilsyn. Såfremt en Registrant indgiver en klage til det lokale datatilsyn, og datatilsynet finder, at et selskab i American Express-koncernen ikke har overholdt en rettighed efter nærværende Europæiske Implementeringsprincipper eller lovgivningen, vil det pågældende selskab rette sig efter datatilsynets afgørelse, men forbeholder sig retten til at anfægte eller gøre indsigelse imod en sådan afgørelse.

Compliance og håndhævelse

Alle selskaber i American Express-koncernen skal overholde bestemmelserne i de Europæiske Implementeringsprincipper og American Express’ Code of Conduct .Selskaber i American Express-koncernen skal sikre overholdelse af de europæiske nationale love om databeskyttelse og beskyttelse af privatlivets fred, og enhver efterlevelse skal ske i overensstemmelse med sådanne love.

Alle Registranter, som beskrevet ovenfor, kan som begunstigede tredjeparter gøre Principperne og de Europæiske Implementeringsprincipper gældende og har ret til at søge kompensation maksimalt svarende til det reelle tab, som vedkommende har lidt som følge af en overtrædelse af Principperne og/eller nærværende Europæiske Implementeringsprincipper, inklusive, men ikke begrænset til, en retslig afgørelse om kompensation for det reelle tab, som Registranten har lidt som følge af en sådan overtrædelse.

Registranter, hvis personoplysninger videregives uden for EØS, kan fremsætte et krav, ikke kun i EØS-landet, hvor personoplysningerne videregives fra, men også i Storbritannien, hvor AESEL har sit hovedkvarter. Bevisbyrden for at behandlingen af personoplysningerne ikke er dækket af Principperne ligger hos AESEL.

Uddannelse

American Express stiller uddannelsesmateriale og kurser til rådighed for medarbejdere hos American Express, der indsamler, anvender eller har adgang til personoplysninger, eller som udvikler systemer, der behandler personoplysninger, for at sikre, at disse medarbejdere er bevidste om deres forpligtelser efter Principperne og nærværende Europæiske Implementeringsprincipper.

Strid med national lovgivning

I tilfælde hvor et selskab i American Express-koncernen har mistanke om, at den relevante europæiske nationale lovgivning forhindrer det pågældende selskab i at opfylde dets forpligtelser i henhold til Principperne eller de Europæiske Implementeringsprincipper, skal selskabet uden tøven oplyse AESEL herom, medmindre selskabet er lovligt forhindret i at videregive denne oplysning. Herefter vil AESEL overveje den efterfølgende fremgangsmåde, og såfremt der er alvorlige tvivlspørgsmål, vil AESEL rådføre sig med det relevante datatilsyn.

Spørgsmål vedrørende nærværende Principper

Såfremt der er spørgsmål til Principperne eller nærværende Europæiske Implementeringsprincipper, kan de rettes til AESELs databeskyttelsesansvarlige ved AESELs hovedkvarter i American Express Services Europe Limited, Belgrave House, 76 Buckingham Palace Road, London, SW1W9TX

Juni 2013

American Express Summary of Personal Data Processing
AMERICAN EXPRESS’ BESKRIVELSE AF BEHANDLINGEN AF PERSONOPLYSNINGER

Beskrivelse af forskellige former for personoplysninger

American Express er et globalt selskab, der beskæftiger sig med rejse- og betalings-tjenester, og som primært opererer inden for to segmenter, nemlig (i) udstedelse af kort og forretningsnetværkstjenester og (ii) rejserelaterede tjenester. Karakteren af de personoplysninger, som dagligt behandles af selskaberne i American Express-koncernen, omfatter personoplysninger vedrørende kunder, leverandører og samarbejdspartnere hos American Express-koncernen, hvilket dækker over nuværende, tidligere og potentielle erhvervskunder, forbrugere, leverandører og samarbejdspartnere hos American Express-koncernen (samlet ”Kundedata”). I henhold til EU-direktivet 2007/64/EU (”Betalingstjenestedirektivet”) har koncernen etableret American Express Payment Services Limited (”AEPSL”) som den juridiske enhed for koncernens forretningsopkøbende forehavender i Europa (Registreringsnr.: 484347). Foruden koncernens robuste forretningsledelse og forvaltningspraksis vil betalingstjenester tilbudt af AEPSL være underlagt finanstilsynets tilsyn og overvågning. Derudover behandler selskaberne i American Express-koncernen følsomme personoplysninger om medarbejdere og kontraktparter hos American Express-koncernen, hvilket omfatter nuværende, tidligere og fremtidige medarbejdere og kontraktparter på fuldtid, deltid, permanent eller midlertidig basis (samlet ”Medarbejderdata”). Følsomme persondatakategorier under Medarbejderdata omfatter oplysninger vedrørende ansattes helbred, ansættelsesbetingede sundhedsordninger, ligestillingskontrol, oplysninger vedrørende fagforeninger og samarbejdsudvalg, oplysninger vedrørende lægetjek og tests samt information vedrørende narkotika- og alkoholkontrol i lande, hvor dette er tilladt. American Express anmoder ikke om at modtage nogen følsomme Kundedata, idet disse ikke er relevante ved registrering af nye kunder eller for tjenesterne hos American Express. I det omfang følsomme personoplysninger indsamles, vil sådanne blive behandlet med behørige datasikkerhedsforanstaltninger og passende forholdsregler i henhold til gældende lovgivning, inklusive EU-direktivet 95/46/EC.

Beskrivelse af former for behandling og dataoverførsler

Personoplysninger overføres inden for hele American Express-koncernen, som er en global organisation, og endvidere til autoriserede leverandører og kunder. Sådanne dataoverførsler er lovlige gennem en kombination af EU-godkendte Binding Corporate Rules (som skal godkendes af hver medlemsstat), og databehandleraftaler, herunder EUs modelkontrakter. Ingen evaluering eller beslutning vedrørende en Registrant vil blive foretaget automatisk, medmindre det er tilladt efter gældende lovgivning.

Overførsel af personoplysninger vedrørende Kunde- og Medarbejderdata kan generelt beskrives som følger:

Kundedata vedrørende kortet, udstedelse og forretningsnetværkstjenester
For at kunne udstede et kort til en kortholder indsamler den lokale udstederenhed i American Express-koncernen personoplysninger om kortholderen af driftsmæssige hensyn samt for at overholde regulatoriske lovkrav. Nogle gange, men ikke altid, befinder den lokale udstederenhed sig i det land, hvor kortholderen er bosat. For at kortet kan anvendes i hele verden, bliver alle Kundedata centralt opbevaret på American Express-koncernens hovedservere, som alle befinder sig i American Express-koncernens sikre datacentre i USA (Phoenix, Arizona, Salt Lake City, Utah), så snart kortet er udstedt. Bemærk venligst, at for at kunne understøtte kortets globale anvendelse, kan det ske, at Kundedata og Medarbejderdata bliver overført til et tredjeland uden for EU (f.eks. Indien og Malaysia).

Når et kort benyttes hos en autoriseret forretning et sted i verden, forekommer indtil flere dataoverførsler:

  • Basale transaktionsoplysninger bliver afsendt elektronisk fra salgsstedet til American Express-koncernens autorisationscentre i det pågældende land eller region,
  • Derefter indsamles alle transaktionsoplysninger af den lokale forretningsopkøbende enhed i American Express-koncernen, som afslutter transaktionen ved at betale forretningen og sender detaljerne for transaktionen til USA med det formål, at kortudstederen fakturerer transaktionen til kortholderen.

Kundedata vedrørende rejsetjenester

Personoplysninger angives af individuelle rejsende og, når der er tale om erhvervsrejser, af arbejdsgiveren fra det sted i verden, hvor vedkommende befinder sig, til den lokale American Express-rejsetjenesteudbyder. Disse oplysninger, som omfatter en udarbejdet profil baseret på personoplysningerne indsamlet med den rejsendes accept, transmitteres til den centrale database hos et af de globale distributionssystemer (f.eks. Galileo, Amadeus og Sabre), til hvem American Express-koncernen har et forhold i det land, således at når American Express-koncernen foretager en reservation ved brug af den lokale GDS, vil den rejsendes personoplysninger, som opbevares hos GDS, muliggøre oprettelsen af en personaliseret booking - en fortegnelse over passagernavn (PRN). Basale oplysninger indeholdt i PRN bliver trukket ud af American Express-koncernen til at fakturere kunden i forhold til reservationen.

Medarbejderdata

Medarbejderdata opbevares både centralt og decentralt i mainframes, mellemstore og lokale servere i hele American Express-koncernen. Størstedelen af mainframes befinder sig i USA og Storbritannien og er tilgængelige for personale med autoriseret adgang til Medarbejderdata i American Express-koncernens lokale kontorer rundt omkring i verden. Mellemstore og lokale replikeringsservere (anvendes kun til e-mails og/eller som opbevaringssted), der indeholder data, er placerede på forskellige lokationer alt efter forretningsbehovet.

Personoplysninger overføres med følgende formål:

  • Personaleadministration (f.eks. tiltrædelser og fratrædelser, løn, disciplinære foranstaltninger, pensionsbidrag, arbejdsstyring og andre personaleforhold vedrørende koncernens personale),
  • Forebyggelse af kriminalitet og retsforfølgning af lovovertrædere (f.eks. forebyggelse af kriminalitet og opklaring og pågribelse af lovovertræderen),
  • Udstedelse af tilladelser/licenser og registrering (f.eks. administration forbundet med udstedelse af licenser/tilladelser eller opdatering af officielle registre),
  • Forvaltning af medarbejderfortegnelser,
  • Database- og informationsforvaltning (f.eks. opdatering af information og databaser som referenceredskab eller generelle ressourcer). Dette omfatter kataloger, lister, telefonbøger og bibliografiske databaser),
  • Fastsættelse og opkrævning af skatter og andre indtægter (dvs. fastsættelse og opkrævning af skatter, gebyrer, afgifter og andre indtægter),
  • Regnskab og Revision (f.eks. tilbud om regnskabsrelaterede tjenester samt revision, hvor det er påkrævet).

Behandling efter overførsel: De overførte personoplysninger vil blive behandlet med det formål at blive anvendt til forvaltning af HR-funktioner og vedligeholdelse af koncernens arbejdsstyrke og kan behandles yderligere af tredjepartstjenesteudbydere, som tilbyder lønudbetalingstjenester, forsikringer, inklusive helbredsforsikringer, og andre medarbejdergoder.


Implementing Decisions and Policies

Nedenstående retningslinjer og afgørelser afsagt af nedenstående interne grupper forpligter og skal følges af American Express-koncernen på globalt plan med henblik på implementering af Principperne:

1. American Express Services Europe Limited – Procedure for databeskyttelse og håndtering af klager relateret til personoplysninger

2. Code of Conduct

3. American Express Privacy Office-strategi

  • American Express håndterer generelt forhold vedrørende beskyttelse af privatlivets fred gennem American Express Privacy Office, som er en uafhængig forretningsenhed med specifikt ansvar for systemer, processer og procedurer, som regulerer indsamling, anvendelse og deling af personoplysninger om kunder, potentielle kunder og medarbejdere. Privacy Office leder også udvalget for beskyttelse af privatlivets fred (Privacy Board), som jævnligt mødes for at gennemgå forretningsforhold relateret til beskyttelse af privatlivets fred, udarbejde løsninger, strategier og retningslinjer.
  • Efter proceduren for gennemgang af strategier relateret til beskyttelse af privatlivets fred skal Privacy Office udføre en gennemgang af alle strategier for beskyttelse af privatlivets fred en gang hvert andet år eller som fastsat i den pågældende strategi. Alle ændringer påkrævet som følge af blandt andet ændringer til gældende love og bekendtgørelser skal gennemgås af CPO’en (Chief Privacy Office) eller af hovedbestyrelsen (General Counsel’s Office), afhængigt af forholdene.
4. American Express Company – Direktionsstrategi og instruks
  • Denne strategi er gældende for alle direktions- og økonomistrategier, som skal implementeres i American Express-organisationen, herunder nye strategier og revideringer af eksisterende strategier.
  • Hele American Express-koncernen er underlagt denne strategi.
  • Direktionsstrategien i særdeleshed:
    • Kræver, at alle spørgsmål vedrørende direktions- og økonomistrategier afklares gennem Global Policies and Procedures GFremmer aktivt den globale strategis implementering og erstatter praktiske regionale strategier, hvor disse ikke er ensrettet,
    • Foreskriver den globale selskabsstrategis forrang i forhold til regionale strategidokumenter,
    • Fastsætter minimumskrav til indholdet i strategidokumenter, og
    • Fastsætter tidsrammer for hvert trin under iværksættelse, forberedelse og implementering af strategien.

5. Aftale om levering af tjenester
  • American Express-koncernens standard indkøbskontrakt kræver, at alle leverandører og databehandlere følger American Express-koncernens stringente informationsbeskyttelseskontraktkrav for at sikre beskyttelsen af alle personoplysninger, som American Express-koncernen er i besiddelse af, og som behandles af en tjenesteudbyder.
  • Informationsbeskyttelseskontraktkravene er inkorporeret i alle kontrakter med tredjeparter, hvor der påtænkes behandling af personoplysninger.
  • Udvælgelsen af databehandlere og leverandører baseres til dels på deres præstation i forbindelse med risikovurderingsstandarder og organisationsmæssige sikkerhedsforanstaltninger til beskyttelse af American Express-koncernens data. Det kræves som minimum, at:
    • Rådgivere, kontraktparter og leverandører underskriver fortrolighedsaftaler og/eller aftaler om hemmeligholdelse som en del af de oprindelige vilkår og betingelser i deres ansættelse/kontrakt, herunder når vilkårene og betingelserne ændres.
    • Visse kontrakter indeholder en klausul vedrørende konsekvenserne af overtrædelse såfremt kundeoplysninger eller anden fortrolig information anvendes på anden måde, end hvad kontrakten foreskriver.
    • De sikkerhedspolitikker og –standarder, leverandørerne følger, er de samme som eller mere strenge end American Express-koncernens sikkerhedspolitikker og –standarder, og de sikkerhedsmetoder og –standarder, leverandørerne følger, skal opfylde de til enhver tid gældende krav til behandling af persondata.

6. Strategi for tredjepartstjenester
  • American Express’ strategi for tredjepartstjenester kræver, at tredjeparter engageret af et selskab i American Express-koncernen skal følge American Express-koncernens strategier og standarder samt anerkende ansvaret ved en formel skriftlig erklæring. Dette krav gælder alt personale, som er involveret i udvælgelsen og tilsyn af tredjepartstjenesteudbydere, herunder American Express-koncernpersonale, dens respektive tilknyttede selskaber, personale, eksterne konsulenter, kontraktparter, leverandører og ethvert individ eller enhed, som er blevet givet ekstern adgang til American Express-koncernens informationer.

Code of Conduct

I relation til privatlivets fred for medarbejdere fastlægger denne Code of Conduct følgende:

”Vi må beskytte privatlivets fred, fortroligheden og sikkerheden for identificerbare personoplysninger om vores medarbejdere. Vores kolleger samt fremtidige og tidligere medarbejdere har tillid til, at vi håndterer og anvender deres personoplysninger forsvarligt. På denne baggrund skal vi til enhver tid kende til og følge American Express’ principper for beskyttelse af medarbejderdata. Denne Code of Conduct regulerer indsamling, adgang, benyttelse og offentliggørelse af identificerbare personoplysninger om medarbejdere. Sådanne data omfatter oplysninger om løn, medarbejderudviklingssamtaler, handicap og orlov samt mere følsomme oplysninger så som identifikationsnumre udstedt af myndighederne. Sådanne oplysninger skal kun anvendes i relevant og passende forretningsøjemed. Vi skal ikke dele sådanne oplysninger med nogen, hverken uden eller inden for selskabet, som ikke har et forretningsmæssigt behov for at kende dem. Vi skal endvidere sikre, at sådanne data til enhver tid er sikre. Mange lande har lokale lovgivningsmæssige krav, hvad angår anvendelsen af medarbejderdata. Såfremt De er usikker på disse krav, kontakt da venligst HR.”

I relation til privatlivets fred for kunder fastlægger denne Code of Conduct følgende:

”Vi er ansvarlige for at beskytte privatlivets fred, fortroligheden og sikkerheden for identificerbare personoplysninger om kunder, som er blevet betroet vores selskab. For at opretholde vores selskabs gode ry og yde den bedste service til vores kunder har vores selskab forpligtet sig til med stor omhu at beskytte kundeoplysninger. Dette indebærer, at vi skal indsamle, anvende og beskytte kundeoplysninger i henhold til vores online erklæring vedrørende beskyttelse af privatlivets fred eller politik om minimumskrav til beskyttelse af kundeoplysninger. Vi skal aldrig dele kundeoplysninger med tredjeparter eller kolleger, som ikke har et forretningsmæssigt behov for at kende dem. Vi skal endvidere træffe foranstaltninger til at undgå utilsigtet offentliggørelse af kundeoplysninger. I de sjældne tilfælde, at offentliggørelse skulle finde sted, skal fastlagte selskabsprocedurer følges. Såfremt der er risiko for, at sikkerheden omkring personoplysninger er bragt i fare, skal CSI Data Privacy Office og EIRP kontaktes på Lotus Notes. Del ikke detaljer om hændelsen med nogen, hverken internt eller eksternt, som ikke har et forretningsmæssigt behov for at kende til den. I vores EIRP-guide kan De finde flere oplysninger om, hvordan man identificerer og indberetter hændelser, hvor datasikkerheden er bragt i fare. Såfremt en offentlig myndighed anmoder om at modtage oplysninger om en af vores kunder, skal koncernens GCO (Group Compliance Officer) kontaktes, før sådanne oplysninger videregives. Derudover kan mange lande have lokale regler, hvad angår anvendelsen af kundeoplysninger. Såfremt De er usikker på lokale regler eller har andre spørgsmål vedrørende beskyttelsen af privatlivets fred, kan De kontakte Deres nærmeste leder, Deres compliance officer eller koncernens GCO (Group Compliance Officer).”


Customer Complaint Handling Procedure

AMERICAN EXPRESS SERVICES EUROPE LTD. -
PROCEDURE FOR DATABESKYTTELSE OG HÅNDTERING
AF KLAGER RELATERET TIL PERSONOPLYSNINGER

Kundetilfredshed

Vores mål er at tilbyde vores kunder den bedst mulige service hver eneste gang. Indimellem kan der dog opstå fejl, og vi har brug for vores kunders hjælp til at blive bedre. I tilfælde af at en fejl skulle opstå, har vi en procedure for håndtering af klager, som er let at følge, og som sikrer, at De modtager et hurtigt og grundigt svar på enhver klage eller forespørgsel, som De måtte have.

Klageforløbet

Nærværende procedure for håndtering af klager gælder for Dem, såfremt De er bosat inden for det Europæiske Økonomiske Samarbejde (”EØS”), og Deres personoplysninger behandles af et selskab i American Express-koncernen inden eller uden for EØS

Såfremt De er ansat i et selskab i American Express-koncernen, og Deres forespørgsel eller klage vedrører Deres arbejdsplads, henvises De til de Interne Klagebetingelser, som findes på American Express’ intranet.

Step 1
Hvordan vi kan kontaktes vedrørende generelle dataspørgsmål


Hvis De har generelle bemærkninger til eller er i tvivl om måden, hvorpå vi behandler Deres personoplysninger, kan De kontakte et medlem af vores Kundeservice-team på et af følgende telefonnumre:

08456080845 eller 0044 820925

De kan også kontakte os skriftligt på følgende adresse:
American Express Services Europe Ltd.
Dept. 66
Amex House
Edward Street

Brighton BN88 1AH

De er desuden velkommen til at kontakte os gennem det lokale American Express-selskab ved at rette henvendelse til den relevante kundeservice ved brug af de kontaktoplysninger, som er angivet i vores nationale vilkår og betingelser, meddelelser om beskyttelse af privatlivets fred og andet relateret materiale.

Når De kontakter os, så venligst angiv:

  • Deres navn
  • Deres kontonummer
  • En beskrivelse af Deres klage.

Step 2
Hvordan vi kan kontaktes vedrørende mere detaljerede forespørgsler


I tilfælde hvor De ønsker information om de personoplysninger, vi opbevarer og behandler om Dem, eller såfremt De ønsker at fremsætte konkrete indsigelser mod måden, hvorpå vi behandler Deres personoplysninger, kan De foretage en detaljeret forespørgsel. Under en detaljeret forespørgsel har De ret til følgende:

  • At fremsætte indsigelse mod, at personoplysninger om Dem behandles,
  • At kræve, at personoplysninger om Dem slettes eller destrueres,
  • At ændre/rette i personoplysninger om Dem,
  • At blokere for enhver indsamling af personoplysninger om Dem, og
  • At udøve Deres rettigheder som Registrant, hvor De har ret til:
    • At få oplyst, hvorvidt American Express behandler personoplysninger om Dem,
    • At modtage en beskrivelse af Deres personoplysninger samt blive oplyst om baggrunden for behandlingen deraf, og om hvorvidt de vil blive videregivet til andre organisationer eller personer,
    • At modtage en kopi af personoplysninger om Dem,
    • At få oplyst, hvorfra personoplysninger om Dem stammer, hvor dette er muligt, og
    • o At få oplyst baggrunden for enhver automatisk beslutning baseret på personoplysninger om Dem,
og andre rettigheder, som De måtte have efter gældende lokal lovgivning.
Vores behandling af disse henvendelser sker centralt, og De bedes kontakte os ved at rette skriftlig henvendelse til følgende adresse:

American Express Services Europe Ltd.
Data Privacy Officer
Amex House
Edward Street
Brighton BN88 1AH

Når De kontakter os, angiv da venligst:
  • Deres navn
  • Deres kontonummer
  • Deres kontaktoplysninger
  • En beskrivelse af Deres klage.

De vil blive kontaktet umiddelbart derefter, for at vi kan verificere Deres identitet, hvorefter vi vil forsøge at tage stilling til Deres klage inden for fem (5) hverdage. Visse former for detaljerede forespørgsler vil blive pålagt et mindre gebyr, og i det tilfælde vil De blive oplyst derom, når vi kontakter Dem. I visse tilfælde vil De være berettiget til kompensation for American Express’ eventuelle fejl i forhold til at behandle personoplysninger om Dem korrekt og efter American Express’ Principper for databeskyttelse og beskyttelse af privatlivets fred .

Step 3
Sagsbehandlingstid
I visse tilfælde kan det ske, at vi ikke med det samme er i stand til at afklare Deres spørgsmål og må undersøge sagen nærmere. I sådanne tilfælde skriver vi til Dem inden for ti (10) arbejdsdage for at lade Dem vide, hvem der tager sig af Deres klage, samt den forventede sagsbehandlingstid. Vi bestræber os på at give Dem et fyldestgørende svar inden for fire (4) uger. Hvis De ikke er tilfreds med det svar, De modtager fra os, bedes De oplyse os herom, således at vi kan undersøge sagen nærmere.

Step 4
Hvis De ikke er tilfreds
Såfremt De føler, at vi ikke har løst Deres klagespørgsmål tilfredsstillende, eller hvis De ikke har modtaget endeligt svar efter fire uger, har De ret til at indbringe Deres klage for det lokale datatilsyn.

Nedenfor findes en liste over de lokale datatilsyns kontaktoplysninger.

Land Kontaktoplysninger
Belgien
Commission de la protection de la vie privée
Rue Haute, 139
B - 1000 BRUXELLES

Tel. +32 2 213 8540
Fax +32 2 213 8545
e-mail: commission@privacy.fgov.be
website
Bulgarien
Commission for Personal Data Protection
Mrs. Veneta Shopova
1 Dondikov Blvd
Sofia 1000
Bulgaria


Tel. +3592 940 2046
Fax +3592 940 3640
e-mail: kzld@government.bg
website
Cypern
Commissioner for Personal Data Protection
Ms Goulla Frangou
40, Th. Dervis Street
CY - 1066 Nicosia
Bulgarien


Tel. +357 22 818 456
Fax +357 22 304 565
e-mail: commissioner@dataprotection.gov.cy
website
Danmark
Datatilsynet
Borgergade 28, 5
DK - 1300 Copenhagen K


Tel. +45 33 19.32.00
Fax +45 33 19.32.18
e-mail: dt@datatilsynet.dk
website
Estland
Estonian Data Protection Inspectorate
(Andmekaitse Inspektsioon)
40, Th. Dervis Street
Director General
Mr Viljar Peep (Ph.D)
Väike-Ameerika 19
10129 Tallinn
Estonia


Tel. +372 6274 135
Fax +372 6274 137
e-mail: viljar.peep@dp.gov.ee
website
Finland
Ms. Marijana MARUSIC
Directorate for Personal Data Protection
Urad pro ochranu osobnich udaju
Samoilova 10
1000 Skopje
former Yugoslav Republic of Macedonia


Tel. +389 (0) 2 3244 760
Fax +389 (0) 2 3244 766
e-mail: info@dzlp.gov.mk
website
Den Tidligere Jugoslaviske
Republik Makedonien
Ms. Marijana MARUSIC
Directorate for Personal Data Protection
Samoilova 10
1000 Skopje
former Yugoslav Republic of Macedonia


Tel. +389 (0) 2 3244 760
Fax +389 (0) 2 3244 766
e-mail: info@dzlp.gov.mk
website
Frankrig
Commission Nationale de l'Informatique et des Libertés
8, rue Vivienne, CS 30223
F-75002 Paris, CEDEX 02


Tel. +33 (0) 1 53 73 22 22
Fax +33 (0) 1 53 73 22 00
website
Graekenland
Hellenic Data Protection Authority
Kifisias Av. 1-3, PC 11523
Ampelokipi Athens, Greece


Tel. +30 210 6475 600
Fax +30 210 6475 628
e-mail: contact@dpa.gr
Website
Guernsey Dr. Peter Harris C. Eng, MA, PhD, FBCS
Data Protection Commissioner
P.O. Box 642
Frances House
Sir William Place
St. Peter Port
Guernsey GY1 3JE


Tel. +44 1481 742074
Fax +44 1481 742077
e-mail: dataprotection@gov.gg
website
Island
Icelandic Data Protection Agency
(Persónuvernd)
Rauðarárstíg 10
105 Reykjavík, Ísland


Tel. +354 510 9600
Fax +354 510 9606
e-mail: postur@personuvernd.is
website
Irland
Data Protection Commissioner
Canal House
Station Road
Portarlington
Co. Laois
Ireland


Lo-Call: 1890 25 22 31
Tel. ++353 57 868 4800
Fax +353 57 868 4757
e-mail: info@dataprotection.ie
website
Isle of Man
Mr Iain McDonald
Data Protection Supervisor
Office of Data Protection Supervisor
P.O. Box 69
Douglas
Isle of Man IM99 1EQ
British Isles


Tel. +44 (0) 1624 693260
Fax +44 (0) 1624 6610
e-mail: enquiries@odps.gov.im
website
Italien
Garante per la protezione dei dati personali
Piazza di Monte Citorio, 121
I - 00186 Roma


Tel. +39 06 69677 1
Fax +39 06 69677 785
e-mail: garante@garanteprivacy.it
website
Jersey
The Office of the Data Protection Commissioner
Mrs. Emma Martins
Morier House
Halkett Place
St. Helier
Jersey JE1 1DD


Tel. +44 (0) 1534 441064
Fax +44 (0) 1534 441065
e-mail: dataproteciton@gov.je, e.martins@gov.je
website
Kroatien
Mr. Franjo LACKO
Director
Croatian Personal Data Protection Agency
Republike Austrije 25
10000 Zagreb
Croatia


Tel.+385 1 4609 000
Fax +385 1 4609 099
e-mail: azop@azop.hr or info@azop.hr
website
Letland
Data State Inspectorate
Riga, Latvia
Director Ms Signe Plumina
Kr. Barona Street 5-4
LV - 1050 Riga


Tel.+371 6722 3131
Fax +371 6722 3556
e-mail: info@dvi.gov.lv
website
Lichtenstein
Dr. Philipp Mittelberger
Datenschutzbeauftragter des Fürstentums Liechtenstein
Stabsstelle für Datenschutz
Kirchstrass 8, Postfach 684
9490 Vaduz
Liechtenstein


Tel.+423 236 6091
Fax +423 236 6099
e-mail: info@sds.llv.li
Verwaltung: http://www.sds.llv.li
Liechtenstein: http://www.liechtenstein.li
Litauen
State Data Protection
Inspectorate Director
Mr Algirdas Kunčinas
Žygimantų str. 11-6a


LT - 011042 Vilnius
Tel.+ 370 5 279 14 45
Fax+370 5 261 94 94
e-mail: ada@ada.lt
website
Luxembourg
Commission nationale pour la protection des données
41, avenue de la Gare
L-1611 Luxembourg


Tel.+352 2610 60 1
Fax+352 2610 60 29
e-mail: info@cnpd.lu
website
Malta
Office of the Data Protection Commissioner
Data Protection Commissioner
Mr Paul Mifsud Cremona
2, Airways House
High Street, Sliema SLM 16, Malta


Tel.+356 2328 7100
Fax+356 2328 7198
e-mail: commissioner.dataprotection@gov.mt
website
Norge
Datatilsynet
The Data Inspectorate
P.O.Box 8177 Dep
N - 0034 OSLO


Tel.+47 22 39 69 00
Fax+47 22 42 23 50
e-mail: postkasse@datatilsynet.no
Website
Polen
The Bureau of the Inspector General for the Protection of Personal Data
Mr Michał Serzycki
Inspector General for Personal Data Protection
ul. Stawki 2
00-193 Warsaw


Tel.+48 22 860 70 81
Fax+48 22 860 70 90
e-mail: sekretariat@giodo.gov.pl
website
Portugal
Comissão Nacional de Protecção de Dados
R. de São. Bento, 148-3°
P - 1200-821 LISBOA


Tel.+351 21 392 84 00
Fax+351 21 397 68 32
e-mail: +351 21 397 68 32
website
Rumaenien
The National Supervisory Authority for Personal Data Processing
Mrs. Georgeta BASARABESCU
President
Str. Olari nr. 32
Sector 2, BUCUREŞTI
Cod poştal 024057
Romania


Tel.+40 21 252 5599
Fax+40 21 252 5757
e-mail: anspdcp@dataprotection.ro
website
Slovakiet
Office for Personal Data Protection of the SR
Mr Gyula Veszelei
President
Odborárske námestie č. 3
817 60, Bratislava
Slovak Republic


Tel.+ 421 2 5023 9418
Fax+ 421 2 5023 9441
e-mail: statny.dozor@pdp.gov.sk or gyula.veszelei@pdp.gov.sk
website
Slovenien
Information Commissioner
Ms. Natasa Pirc Musar
Vošnjakova 1
ul. Stawki 2
SI - 1000 LJUBLJANA


Tel.+386 (0) 1 230 9730
Fax+386 (0) 1 230 9778
e-mail: gp.ip@ip-rs.si
website
Spanien
Agencia de Protección de Datos
C/Jorge Juan, 6
E - 28001 MADRID


Tel.+34 91399 6200
Fax+34 91455 5699
e-mail: internacional@agpd.es
website
Storbritannien
Mr Richard Thomas
Information Commissioner
The Office of the Information Commissioner Executive Department
Water Lane, Wycliffe House
UK - WILMSLOW - CHESHIRE SK9 5AF


Tel.+44 1 625 54 57 00 (switchboard)
e-mail: please use the online enquiry from our website
website
Schweiz
Data Protection Commissioner of Switzerland
Eidgenössischer Datenbeauftragter
Hanspeter THÜR
Feldeggweg 1
CH - 3003 Bern


Tel. +41 (0) 31 322 4395
Fax+41 (0) 31 325 9996
e-mail: info@edsb.ch
website
Sverige
Datainspektionen
Fleminggatan, 14
9th Floor
Box 8114
S - 104 20 STOCKHOLM


Tel.+31 70 888 8500
Fax+31 70 888 8501
e-mail: info@cbpweb.nl
website
The Netherlands
College bescherming persoonsgegevens (CBP)
Dutch Data Protection Authority
Juliana van Stolberglaan 4-10
P.O.Box 93374
NL - 2509 AJ Den Haag/The Hague
The Netherlands


Tel.+31 70 888 8500
Fax+31 70 888 8501
e-mail: info@cbpweb.nl
website
Tjekkiet
Mr. Igor Němec
The Office for Personal Data Protection
Urad pro ochranu osobnich udaju
Pplk. Sochora 27
CZ - 170 00 Prague 7


Tel.+420 234 665 111
Fax+420 234 665 444
e-mail: posta@uoou.cz
website
Tyskland
Der Bundesbeauftragte für deS - 104 20 STOCKHOLM

Tel.+49 (0) 228 997799 0 or +49 (0) 228 81995 0
Fax+49 (0) 228 997799 550 or +49 (0) 228 81995 550
e-mail: poststelle@bfdi.bund.de
website
Ungarn
Data Protection Commissioner of Hungary
Parliamentary Commissioner for Data Protection and Freedom of Information
Dr. Attila Péterfalvi
Nádor u. 22
H - 1051 Budapest


Tel.+36 1 475 7186
Fax+36 1 269 3541
e-mail: adatved@obh.hu
website
Østrig
Österreichische Datenschutzkommission
Ballhausplatz, 1
A - 1014 WIEN


Tel.+43 1 531 15 25 25
Fax+43 1 531 15 26 90
e-mail: dsk@dsk.gv.at
website
Listen opdateres på
http://ec.europa.eu/justice_home/fsj/privacy/nationalcomm/index_en.htm.

Step 5
Indbringelse af sagen for retten


Såfremt De ikke er tilfreds med det svar, De modtager fra os eller det lokale datatilsyn, har De ret til at indbringe sagen for den lokale domstol. Vi anbefaler, at De i en sådan situation først søger råd hos en uafhængig og kvalificeret juridisk rådgiver. De kan indgive krav imod Deres lokale American Express-enhed eller direkte imod AESEL.

Principperne og de Europæiske Implementeringsprincipper forpligter American Express-koncernen og giver Dem som begunstiget tredjepart rettigheder som beskrevet i programdokumentationen.

Såfremt De ønsker at få oplyst navnet på Deres lokale American Express-enhed eller har andre spørgsmål vedrørende dette Step 5, er De velkommen til at kontakte os med de kontaktoplysninger, som er oplyst under Step 2 ”Hvordan vi kan kontaktes vedrørende mere detaljerede forespørgsler”. Bemærk venligst, at der ikke opkræves noget administrationsgebyr.