Eurooppalaiset soveltamisperiaatteet
  

 

 

American Express soveltaa  konsernin sisäisiä sitovia sääntöjä (jäljempänä ”BCR”) sovelletaan varmistamaan, että henkilötietojen siirto kansainvälisesti American Express -konsernissa noudattaa Euroopan talousalueen (ETA:n) sisällä sovellettavia tietosuojasääntöjä. American Expressin BCR koostuu American Express -konsernin periaatteista koskien tietosuojaa ja yksityisyyden suojaa sekä niiden täytäntöönpanovaatimuksia Euroopassa. Ne ovat saaneet Information Commission -viraston hyväksynnän, joka viranomainen on Yhdistyneen kuningaskunnan tietosuojaviranomainen ja ne ovat olleet voimassa 8. tammikuuta 2013 alkaen.  

 

Eurooppalainen täytäntöönpanoasetus sisältää tietoa siitä, kuinka American Express varmistaa ETA:n tietosuoja- ja yksityisyysperiaatteiden noudattamisen ja kuinka asiasta voidaan tehdä valituksia koskien tietojen luottamuksellisuutta ETA:n alueella. 

 

SÄÄNNÖT
KOSKIEN AMERICAN EXPRESS -KONSERNIN PERIAATTEITA KOSKIEN
TIETOJENKÄSITTELYSUOJAN JA YKSITYISYYDEN SUOJAN TÄYTÄNTÖÖNPANOA EUROOPAN
TALOUSALUEEN SISÄLLÄ (”EUROOPPALAINEN TÄYTÄNTÖÖNPANOASETUS”).

 

1.         Laajuus

 

American Expressin tietosuoja- ja yksityisyysperiaatteiden täytäntöönpanoa koskevaa asetusta sovelletaan Euroopan talousalueella (jäljempänä "Eurooppalainen täytäntöönpanoasetus") sellaisen henkilön henkilötietoihin, joita: (i) on käsitelty jonkin American Express -yhtiön toiminnan yhteydessä, joka yhtiö on rekisteröitynyt ETA-alueella, (ii) on käsitelty ETA:n ulkopuolella sellaisen American Express -yhtiön toimesta, joka on rekisteröity ETA:n ulkopuolelle, jolloin käsittelytoiminta koskee erityisesti tavaroiden tai palvelujen toimittamista ETA-alueella oleville henkilöille, tai (iii) on käsitelty ETA:n ulkopuolella rekisteröidyn American Express -yhtiön toimesta, jolloin käsittelytoimet koskevat erityisesti yksilöiden  käyttäytymisen seurantaa ETA-alueella (Rekisteröityneet).

 

Huomaa, että edellä kohdissa (ii) ja (iii) tarkoitetut käsittelytoimet rajoittuvat käsittelytoimiin, jotka on suunnattu EU:n alueella oleviin henkilöihin joko tavaroiden tai palvelujen tarjoamiseksi heille tai heidän käyttäytymisensä seuraamiseksi.

 

Eurooppalainen täytäntöönpanoasetus osoittaa (i) kuinka American Express -periaatteet koskien yksityisyyssuojaa ja tietosuojaa (Periaatteet) on toteutettava American Express Company -yhtiön toimesta, jonka pääkonttori sijaitsee osoitteessa World Financial Center, 200 Vesey St., New York, NY 10285, Yhdysvallat (American Express tai Yhtiö), ja kunkin American Express -konsernin sellaisen yhtiön toimesta, joissa käsitellään Rekisteröityneiden henkilötietoja (joita yhtiöitä yhteisesti kutsutaan American Express -konserniksi) ja (ii) kuinka American Express -konsernin BCR toteutuu. American Express Europe S.A. (AEESA) on American Express -konsernin se eurooppalainen yhtiö, joka on vastuussa siitä, että Rekisteröityneiden henkilötietoja säilytetään ja käsitellään Periaatteiden ja Eurooppalaisen täytäntöönpanoasetuksen mukaisesti. 

 

Kaikki ne Rekisteröityneet, joita Periaatteet tai Eurooppalainen täytäntöönpanoasetus suoraan koskevat, voivat kääntyä AEESA:n puoleen  puolustaakseen oikeuksiaan alla kuvatulla tavalla.

 

Eurooppalaisen täytäntöönpanoasetuksen mukaan "henkilötiedoilla" tarkoitetaan kaikenlaisia tietoja koskien tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä, ja tunnistettavissa oleva luonnollinen henkilö on henkilö, joka voidaan tunnistaa suoraan tai epäsuorasti, erityisesti identiteettitunnisteen kuten nimen, henkilötunnuksen, paikkatiedon, internet-tunnisteen tai yhden tai useamman tekijän perusteella, jotka ovat ominaisia luonnollisen henkilön fyysiselle, fysiologiselle, geneettiselle, henkiselle, taloudelliselle, kulttuuriselle tai sosiaaliselle identiteetille.

 

2.         Käytettävyys

 

Periaatteet ja Eurooppalainen täytäntöönpanoasetus ovat olemassa American Express -verkkosivuilla kaikissa ETA-maissa. Voit myös pyytää kopioita Periaatteista ja Eurooppalaisesta täytäntöönpanoasetuksesta jossain muussa formaatissa AEESA:n tietosuojavaltuutetulta tässä jäljempänä mainitusta osoitteesta tai siitä paikallisesta American Express -yksiköstä, joka on vastuussa sinun tiedoistasi.

 

Periaatteet ja Eurooppalaiset täytäntöönpanosäännöt on luettava yhdessä online-Salassapitokäytännön (koskien asiakkaita) tai online-Salassapitolausunnon (koskien mahdollisia työntekijöitä) kanssa ja lisäksi sinun on huomioitava muut ilmoitukset ja käyttäjäehdot, jotka koskevat suhdettasi American Express -yhtiöön. Nämä ilmoitukset ja käyttäjäehdot voivat sisältää lisäehtoja, jotka liittyvät henkilötietojen käsittelyyn sovellettavia kansallisia lakeja ja asetuksia noudatettaessa.  

 

3.             Rekisteröidyn oikeudet

 

Eurooppalainen täytäntöönpanoasetus määrää, että Periaatteita on muutettava seuraavasti noudattaen EU:n Yleistä tietosuoja-asetusta (GDPR) niissä American Express -konsernin yhtiöissä, jotka käsittelevät Rekisteröityjen Henkilötietoja.

 

3.1.    Kerääminen

 

Rekisteröityneiden henkilötietojen käsittely on suoritettava lakia noudattaen, oikeudenmukaisesti ja avoimesti Rekisteröityihin nähden. American Express -konserniin kuuluvat yhtiöt harjoittavat liiketoimintaa globaalien maksupalvelujen ja matkustamisen parissa. Kuvaus käsiteltävistä erityyppisistä henkilötiedoista ja erityisistä henkilötietoluokista sekä niiden käsittelytavoista löytyy Salassapitolausunnosta ja muista ilmoituksista ja ehdoista, jotka saat käyttöösi, kun aloitat yhteistyön kanssamme. 


American Express -konsernin yhtiöt keräävät Rekisteröityneiden henkilötietoja vain tiettyihin, ilmoitettuihin ja laillisiin tarkoituksiin, ja näiden yhtiöiden on varmistettava, että henkilötietoja ei jatkokäsitellä näitä tarkoituksia loukkaavilla tavoilla. 

 

3.2.     Ilmoitukset, oikeudenmukaisuus ja avoimuus

 

Niiden American Express -konsernin yhtiöiden, joiden on toimitettava tietoja Rekisteröitynerille GDPR:n mukaisesti, on järjestettävä Rekisteröityneille oikeus saada tarvittavat tiedot vaivatta. Tiedot on toimitettava Rekisteröityneille tiiviissä, avoimessa, ymmärrettävässä ja helposti saatavassa muodossa yksinkertaista ja selkeää kieltä käyttäen. Tiedot ovat online-Salassapitokäytännössä (koskien asiakkaita) tai rekrytointia koskevassa online-Salassapitolausunnossa (koskien mahdollisia työntekijöitä).

 

3.3.  Tietojen laatu

 

Niiden American Express -konsernin yhtiöiden, jotka käsittelevät Rekisteröityneiden henkilötietoja, on ryhdyttävä kohtuullisiin toimenpiteisiin varmistaakseen, että virheelliset Rekisteröityneiden henkilötiedot poistetaan tai korjataan välittömästi. Rekisteröityneiden henkilötietoja on tallennettava muodossa, joka ei mahdollista Rekisteröityneiden tunnistamista, ja tallentamisaika on pidempi kuin mikä on tarpeen sen tarkoituksen kannalta, jota varten henkilötietoja käsitellään. Henkilötietoja voidaan säilyttää pidempään arkistointia varten tai muuten kuin GDPR tai sovellettava laki sallivat, ja edellyttäen, että asianmukaiset tekniset ja organisatoriset toimenpiteet toteutetaan.

 

3.4.  Tietoturva ja yksityisyys 

 

Tämän periaatteen vaatimuksiin sisältyy asianmukaisia teknisiä ja organisatorisia toimenpiteitä Rekisteröityneiden henkilötietojen suojaamiseksi luvattomalta tai laittomalta käsittelyltä ja vahingossa tapahtuvalta katoamiselta, tuhoutumiselta tai vaurioilta.

 

3.5. Avoimuus ja pääsy tietoihin

 

American Express -konserniin kuuluvien yhtiöiden on noudatettava seuraavia Rekisteröityneiden oikeuksia: oikeus saada tietoa, oikeus saada oikaisu tietoihin, oikeus vastustaa käsittelyä, oikeus peruuttaa suostumus ja oikeus kieltää yksinomaan automatisoituun päätöksentekoon perustuvat päätökset, mukaan lukien profilointi.

 

3.6.  Kansainväliset siirrot

 

Rekisteröidyn Henkilötietoja siirretään American Express -konsernin sisällä. Tietojenkulku on laillista käytettäessä EU:n hyväksymiä Sitovia liiketoimintasääntöjä (BCR) ja tiedonsiirtosopimuksia, mukaan lukien EU:n mallisopimus. Rekisteröitynyttä koskevia erityiskategorioihin kuuluvia tietoja ei saa siirtää, ellei Rekisteröinyt ole antanut suostumustaan tällaiseen siirtoon.

 

3.7.  Vastuu

 

Kaikki American Express -konsernin yritykset, jotka käsittelevät Rekisteröityneen tietoja, ovat vastuussa ja niiden on voitava osoittaa toimivansa GDPR:n mukaisesti, mm. ylläpitävänsä sähköistä rekisteriä kaikista käsittelytoimenpidekategorioista tämän  vaatimustenmukaisuuden osoittamiseksi.

 

 

4.             Sisäänrakennettu yksityisyyssuoja

 

American Express-konserni käsittelee Rekisteröityneiden Henkilötietoja käyttäen sellaisia teknisiä ja organisatorisia toimenpiteitä, jotka on kehitetty toteuttamaan tietosuojaperiaatteita ja helpottamaan Eurooppalaisen täytäntöönpanoasetuksen vaatimuksia.

 

 

5.             Vaatimustenmukaisuusohjelma

 

5.1.        Vaatimustenmukaisuuden noudattaminen

 

Vaatimustenmukaisuus ohjelma on luotu keinoksi varmistaa vaatimustenmukaisuuden noudattaminen liittyen Periaatteisiin ja Eurooppalaiseen täytäntöönpanoasetukseen. Ko. ohjelmaan kuuluu mm. säännöllisesti tehtäviä tarkastuksia ja auditointeja American Express -konsernin liiketoimintaan liittyen. Vaatimustenmukaisuustarkastusten ja -arviointien tulokset lähetetään American Express -konsernin Global Privacy -toimistolle, AEESA:n tietosuojavaltuutetulle, ao. sääntelyviranomaisille (tarvittaessa) ja tarvittaessa myös American Express -konsernin hallintoneuvoston  tarkastustoimikunnalle. Mikäli puutteita havaitaan, American Express -konsernin ko. asianmukaisen ETA-yhtiön on noudatettava kaikkia AEESA:n henkilötietovaltuutetun esittämiä erityisiä pyyntöjä, ja jos pyyntöä ei voida noudattaa, syyt tähän on dokumentoitava. American Express -konsernin on toimittava yhteistyössä myös kaikissa vaatimustenmukaisuustarkastuksissa, joita ko. toimivalta-alueen sääntelyviranomaiset suorittavat, joko Rekisteröidyn esittämän valituksen johdosta tai sääntelyviranomaisen aloitteesta.

 

5.2.         Yhteistyö

 

Kaikkien American Express -konserniin kuuluvien yhtiöiden, jotka käsittelevät Rekisteröityjen henkilötietoja, on toimittava yhteistyössä kaikkien ao. sääntelyviranomaisten kanssa vaatimusten, arvostelujen, kysymysten ja valitusten käsittelyssä. Jos viranomainen toteaa, että jokin American Express -konsernin jäsen on rikkonut jotakin Eurooppalaisen  täytäntöönpanoasetuksen oikeutta, asiaan kuuluvan American Express -konsernin yhtiön on seurattava, mitä viranomainen toteaa, ja sillä on oikeus riitauttaa asia tai valittaa siitä.

 

 

6.             Vaatimustenmukaisuus, täytäntöönpano ja vastuu

 

Kaikkien niiden American Express -konsernin yhtiöiden, jotka käsittelevät Rekisteröityneiden henkilötietoja, on noudatettava Eurooppalaisen täytäntöönpanoasetuksen määräyksiä ja muita American Express -konsernia sitovia ohjeita ja menettelytapoja. American Express -konsernin yhtiöiden on varmistettava tietosuojaa koskevien kansallisten lakien ja asetusten noudattaminen ja että kaikki täytäntöönpano tapahtuu näiden eurooppalaisten lakien mukaisesti. 

 

6.1.         Täytäntöönpano

 

Kaikki Rekisteröidyt voivat esittää vaatimuksia, joiden kohteena on AEESA tai jokin American Express -konsernin yhtiö, joka käsittelee Rekisteröityneen
henkilötietoja koskien Eurooppalaisen täytäntöönpanoasetuksen määräyksiä kolmannen osapuolen edunsaajina:

a)     Rekisteröidyn henkilöön oikeudet (kohta 3),

b)     Lakiristiriita (kohta 8),

c)      Kysymykset ja valitukset (kohta 9),

d)     Yhteistyö (kohta 5.2), ja

e)     Vaatimustenmukaisuus, täytäntöönpano ja vastuuvelvollisuus (kohdat 6.1 ja         6.2).

 

Rekisteröidyllä on oikeus oikeussuojakeinoihin, jos sopimusta rikotaan, ja hänellä on oikeus saada korvausta ja tarvittaessa korvausta kantelijalle aiheutuneiden tosiasiallisten vahinkojen johdosta, jotka johtuvat edellä mainittujen oikeuksien loukkaamisesta kolmansille osapuolille. Rekisteröity voivat esittää valituksensa EU:n sen alueen toimivaltaiseen tuomioistuimeen, jossa kyseinen American Express -konserniin kuuluva yritys on rekisteröity tai jossa Rekisteröity on kirjoilla.

 

 

6.2.     Vastuu

 

AEESA kantaa vastuun Periaatteiden tai urooppalaisen täytäntöönpanoasetuksen noudattamisen valvonnasta American Express -konsernin EU:n ulkopuolella toimivien ja Rekisteröityneiden henkilötietoja käsittelevien yhtiöiden osalta. AEESA ryhtyy tarvittaviin toimiin korjatakseen puutteet, jotka koskevat niitä American Express -konsernin yhtiöitä, jotka käsittelevät ekisteröityneiden henkilötietoja.

 

AEESA on velvollinen maksamaan korvausta aineellisesta menetyksistä ja aineettomista kärsimyksestä, joiden kohteeksi Rekisteröity on
joutunut Periaatteiden tai Eurooppalaisen täytäntöönpanoasetuksen loukkausten seurauksena. Korvauksen on oltava AEESA:n tietosuojavaltuutetun hyväksymä, ennen kuin korvaus tai maksu voidaan suorittaa. Tällaisen korvauksen on täytettävä kaikki Rekisteröidyn korvausvaatimukset koskien kaikkia American Express -konsernin yhtiöitä. Selvyyden vuoksi todetaan, että AEESA:n velvoitteisiin sisältyvät kaikki toimet tai laiminlyönnit, jotka koskevat kaikkia American Express -konsernin yhtiöitä, jotka eivät toimi EU:n alueella.

 

 

Jos American Express -konsernin yhtiö, joka sijaitsee EU:n ulkopuolella, rikkoo Periaatteita tai Eurooppalaista täytäntöönpanoasetusta, tuomioistuimilla tai muilla EU:n toimivaltaisilla viranomaisilla on toimivalta tällaisen rikkomuksen käsittelyyn. Jos sellainen American Express -konsernin yhtiö, joka käsittelee henkilötietoja, rikkoo Eurooppalaista täytäntöönpanoasetusta, Rekisteröitynyt, valvontaviranomainen ja toimivaltaiset tuomioistuimet voivat käyttää oikeuksiaan ja tehdä valituksen, jonka kohteena on AEESA ikään kuin AEESA olisi suorittanut toimenpiteen EU:n alueella.

 

 

AEESA:n on todistettava, että EU:n ulkopuolella sijaitseva American Express -konsernin yhtiö ei ole vastuussa Periaatteiden tai Eurooppalaisen täytäntöönpanoasetuksen sellaisesta väitetystä rikkomisesta, joka on johtanut Rekisteröityneen vahingonkorvausvaatimukseen. Jos AEESA voi
osoittaa, että American Express -konsernin yhtiö, joka toimii EU:n ulkopuolella, ei ole vastuussa vahinkoon johtaneesta tapahtumasta, AEESA ja
kyseinen yhtiö irtisanoutuvat vastuusta.

 

 

7.         Koulutus

 

American Express tarjoaa asianmukaisia koulutusmateriaaleja ja kursseja American Expressin niille työntekijöille, jotka keräävät ja käyttävät Rekisteröityneen henkilötietoja ja joilla on pääsy niihin tai jotka kehittävät järjestelmiä, jotka käsittelevät Rekisteröityneen henkilötietoja, varmistaakseen, että he tietävät velvollisuutensa Periaatteiden ja Eurooppalaisen täytäntöönpanoasetuksen suhteen.

 

 

8.         Lakiristiriidat

 

 

Jos American Express -konsernin yrityksellä on syytä uskoa, että siihen sovellettava laki muodostaa esteen Periaatteiden tai Eurooppalaisen täytäntöönpanoasetuksen noudattamiselle, tai todennäköisesti vaikuttaa olennaisesti Periaatteissa tai Eurooppalaisessa täytäntöönpanoasetuksessa annettuihin takuisiin, kyseisen American Express -konsernin yhtiön yhteyshenkilö ilmoittaa asiasta AEESA:n henkilötietovaltuutetulle, jollei sovellettava laki sitä estä. Henkilötietovaltuutetun on tarvittaessa ilmoitettava asiasta toimivaltaiselle valvontaviranomaiselle, ellei sovellettava laki ole esteenä.

 

9.         Kysymyksiä ja valitusosoite

 

Rekisteröitynyt voi milloin tahansa jättää valituksen tai pyynnön ja käyttää oikeuksiaan Periaatteiden tai Eurooppalaisen täytäntöönpanoasetuksen suhteen. Valitus tai pyyntö on osoitettava AEESA:n tietosuojavaltuutetulle AEESA:n pääkonttorissa: Data Protection Officer, American Express Europe S.A. Avenida Partenón 12-14, 28042, Madrid, ESPANJA. Lisätietoja siitä, kuinka American Express käsittelee valituksia ja miten valitus tehdään, on.