Skip to main content

PERIAATTEET IMPLEMENTOINNISTA EUROOPASSA

American Expressin sisäiset siirtosäännökset (Binding Corporate Rules) ovat keino siirtää henkilötietoja kansainvälisesti American Express Groupin sisällä noudattaen soveltuvaa tietosuojalainsäädäntöä Euroopan talousalueella (ETA). American Expressin sisäiset siirtosäännökset koostuvat American Expressin yksityisyydensuojaa koskevista periaatteista ja täydentävistä periaatteista implementoinnista Euroopassa. Tietosuojavaltuutettu paikallisena tietosuojaviranomaisena Suomessa on hyväksynyt näm ä periaatteet ja ne ovat olleet voimassa 26. maaliskuuta 2013 lähtien.


Nämä periaatteet implementoinnista Euroopassa sisältävät tietoa siitä, miten American Express varmistaa tietosuojaa ja yksityisyydensuojaa koskevien periaatteiden noudattamisen Euroopan talousalueella ja miten yksityisyydensuojaa koskeva valitus tehdään Euroopan talousalueella.

PERIAATTEET AMERICAN EXPRESSIN TIETOSUOJAA JA YKSITYISYYDENSUOJAA
KOSKEVIEN PERIAATTEIDEN IMPLEMENTOINNISTA EUROOPAN TALOUSALUEELLE
(“PERIAATTEET IMPLEMENTOINNISTA EUROOPASSA")

Soveltamisala

Periaatteet American Expressin tietosuojaa ja yksityisyydensuojaa koskevien periaatteiden implementoinnista Euroopan talousalueelle ("Periaatteet Implementoinnista Euroopassa") soveltuvat ainoastaan yksityishenkilöihin, joilla on kotipaikka ETA-alueella ja joiden henkilötietoja American Express Group käsittelee ETA-alueella sekä mahdollisesti muualla ("tiedonkohde").

Periaatteet Implementoinnista Euroopassa määrittävät erityisesti (i) sen, kuinka American Express Company, jonka rekisteröity osoite on World Financial Center 200 Vesey St., New York ("American Express" tai "Yhtiö"), ja jokainen yhtiö American Express -konsernissa (yhdessä "American Express Group"), implementoi American Expressin tietosuojaa ja yksityisyydensuojaa koskevat periaatteet ("Periaatteet"), ja (ii) tietyt Euroopan tietosuojasääntelyn mukaiset vaatimukset, jotka koskevat yksityishenkilöitä, joiden kotipaikka on ETA-alueella ja joiden henkilötietoja American Express Group käsittelee ETA-alueella sekä mahdollisesti muualla ("tiedonkohde").

American Express Groupin Euroopan yhtiö American Express Services Europe Limited ("AESEL") vastaa, että tiedonkohteiden henkilötiedot säilytetään tai käsitellään Periaatteiden mukaisesti.

Jokaisella tiedonkohteella, joka välittömästi hyötyy Periaatteista tai Periaatteista Implementoinnista Euroopassa, on oikeus kolmantena osapuolena suoraan vaatia niiden täytäntöönpanoa AESEL:a vastaan, kuten alla on kuvattu. American Expressin yhteenveto henkilötietojen käsittelystä ja päätösten ja käytäntöjen implementointi velvoittavat American Express Groupia, mutta tiedonkohteet tai muut kolmannet osapuolet eivät voi suoraan vaatia niiden täytäntöönpanoa.

Saatavuus

Periaatteet ja Periaatteet Implementoinnista Euroopassa ovat saatavilla American Expressin Internet-sivuilla jokaisessa EU-valtiossa. Jos Internet-yhteyttä ei ole, voidaan kopio Periaatteista pyytää AESEL:n tietosuoja-asioista vastaavalta henkilöltä kotipaikan American Expressin toimistosta alla mainitusta osoitteesta.

Näitä Periaatteita ja Periaatteita Implementoinnista Euroopassa on luettava yhdessä niiden tiedonantojen ja ehtojen kanssa, jotka soveltuvat siihen tuotteeseen tai palveluun, jotka on hankittu tai jotka aiotaan hankkia joltain American Express Groupin yhtiöltä. Nämä tiedonannot ja ehdot voivat sisältää oleellisia lisäehtoja koskien henkilötietojen käsittelyä kansallisen lainsäädännön tai määräysten mukaisesti.

Kuvaus henkilötietojen käsittelystä

American Express on maailmanlaajuinen maksupalvelu- ja matkayhtiö. American Expressin yhteenveto henkilötietojen käsittelystä sisältää kulloinkin kuvauksen siitä, millaisia henkilötietoja käsitellään ja kuinka niitä käsitellään.

Compliance –ohjelma

Periaatteiden noudattamisen varmistamiseksi on perustettu compliance -ohjelma, joka tarjoaa säännöllisiä tarkistuksia American Express Groupin toimintoihin. Tulokset raportoidaan American Expressin yksityisyydensuoja-asioista vastaavalle osastolle (Privacy Office), asianomaiselle tietosuojaviranomaisille (jos pyydetty) ja milloin aiheellista, American Express Companyn hallituksen tarkastusvaliokunnalle. Havaittaessa Periaatteiden rikkominen, kyseisen American Express Groupiin kuuluvan ETA-alueella sijaitsevan yhtiön tulee noudattaa AESEL:n tietosuoja-asioista vastaavan henkilön (Data Protection Officer) nimenomaisia vaatimuksia. American Express Group tekee yhteistyötä tietosuojaviranomaisten tarkistusten yhteydessä kulloinkin kyseessä olevan tietosuojaviranomaisen kanssa soveltuvaa lainsäädäntöä noudattaen riippumatta siitä, onko Periaatteiden noudattamista koskevat tarkistukset aloitettu tiedonkohteen valituksen perusteella tai tietosuojaviranomaisen omasta aloitteesta.

Valitusten käsittely

Valitusten (kuten määritelty alla) osalta American Express Groupiin kuuluvat yhtiöt noudattavat menettelyä tietosuojaa ja yksityisyydensuojaa koskevien valitusten käsittelemiseksi.

  • ’Valitukset’ tarkoittavat mitä tahansa suullista tai kirjallista tyytymättömyyden ilmaisua koskien American Express Groupin ehtoa tai epäonnistumista suojata riittävästi kerätyt, käsitellyt ja/tai siirretyt henkilötiedot, ilmaistiinpa se puhelimen, sähköpostin tai postin kautta tai henkilökohtaisesti asiakkaan, työntekijän tai tiedonkohteen toimesta tai puolesta.
  • Vastuu AESEL:n vastaanottamien valitusten käsittelystä on AESEL:n tietosuoja-asioista vastaavalla henkilöllä (Data Protection Officer).
  • Valitukset käsitellään asianmukaisesti, johdonmukaisesti ja viipymättä.
  • Kun tapahtunutta on päätetty oikaista, AESEL tarjoaa valittajalle asianmukaista kompensaatiota alla mainitun mukaisesti ja menettelee valittajan hyväksymän oikaisuehdotuksen mukaisesti. AESEL:n tietosuoja-asioista vastaava henkilö (Data Protection Officer) hyväksyy kompensaation ennen oikaisuehdotusta tai maksua.
  • Tiedonkohteet voivat ohjata valituksensa asianomaiselle tietosuojaviranomaiselle tai Euroopan unionin jäsenvaltiossa sijaitsevalle tuomioistuimelle ollessaan tyytymättömiä American Express Groupin vastaukseen. Lista tietosuojaviranomaisista löytyy täältä: http://ec.europa.eu/justice_home/fsj/privacy/nationalcomm/index_en.htm.
  • AESEL tunnustaa jokaisen toimivaltaisen tietosuojaviranomaisen ja käy niiden kanssa kirjeenvaihtoa. Jos tiedonkohde on valittanut paikalliselle tietosuojaviranomaiselle ja kyseisen tietosuojaviranomaisen mukaan American Express Groupiin kuuluva yhtiö on rikkonut tiedonkohteen oikeuksia liittyen Periaatteisiin Implementoinnista Euroopassa, asianomainen American Express Groupiin kuuluva yhtiö noudattaa tietosuojaviranomaisen tutkinnan tuloksia, mutta varaa oikeuden kyseenalaistaa kyseiset tutkinnan tulokset tai valittaa niistä.

Noudattaminen ja täytäntöönpano

Kaikkien American Express Groupiin kuuluvien yhtiöiden täytyy noudattaa Periaatteita Implementoinnista Euroopassa ja American Expressin toimintaohjetta . American Express Groupiin kuuluvat yhtiöt varmistavat myös kansallisten eurooppalaisten tietosuojaa ja yksityisyydensuojaa koskevien sääntelyiden noudattamisen toiminnassaan. Täytäntöönpano tapahtuu kyseisten kansallisten eurooppalaisten sääntelyiden mukaisesti.

Jokaisella tiedonkohteella, kuten ylhäällä on määritelty, on kolmantena osapuolena oikeus vaatia Periaatteiden ja Periaatteiden Implementoinnista Euroopassa täytäntöönpanoa ja on oikeus hakea kompensaatiota todellisen kärsimänsä vahingon määrään asti Periaatteiden ja/tai Periaatteiden Implementoinnista Euroopassa ehtojen rikkomisen johdosta, mukaan lukien mutta rajoittumatta tuomioistuimen tuomioon koskien kompensaatiota tiedonkohteen kärsimästä todellisen vahingon määrästä.

Tiedonkohteet, joiden henkilötiedot siirretään ETA-alueelta, voivat tehdä valituksen tiedonsiirron ETA-alueen alkuperämaassa sekä AESEL:n päätoimipaikan kotivaltiossa, Iso-Britanniassa. Todistustaakka siitä, että henkilötietojen käsittelyyn ei sovelleta Periaatteita, on AESEL:lla.

Koulutus

American Express tarjoaa koulutusmateriaaleja ja kursseja työntekijöilleen, jotka keräävät tai käyttävät henkilötietoja tai joilla on pääsy niihin tai jotka kehittävät henkilötietoja käsitteleviä järjestelmiä varmistaakseen, että he ovat tietoisia Periaatteiden ja Periaatteiden Implementoinnista Euroopassa mukaisista velvoitteistaan.

Lainvalinta

Jos American Express Groupiin kuuluvalla yhtiöllä on syytä uskoa, että soveltuva kansallinen eurooppalainen lainsäädäntö estää kyseistä yhtiötä täyttämästä Periaatteiden tai Periaatteiden Implementoinnista Euroopassa mukaisia velvoitteita, kyseisen yhtiön on viipymättä ilmoitettava tästä AESEL:lle, ellei ilmoittaminen ole kiellettyä soveltuvan lainsäädännön mukaan. AESEL harkitsee ryhtymistä mahdollisiin jatkotoimenpiteisiin ja ottaa vakavien epäilyjen tapauksissa yhteyttä tietosuojaviranomaisiin.

Kysymykset koskien Periaatteita

Kysymykset koskien Periaatteita tai Periaatteita Implementoinnista Euroopassa voi osoittaa AESEL:n tietosuoja-asioista vastaavalle henkilölle AESEL:n päätoimipaikkaan American Express Services Europe Limited, Belgrave House, 76 Buckingham Palace Road, London, SW1W 9TX.

Maaliskuu 2013

American Expressin yhteenveto henkilötietojen käsittelystä

Erilaisten henkilötietojen kuvaukset

American Express on maailmanlaajuinen maksupalvelu- ja matkayhtiö, joka toimii pääosin kahdella alalla: i) korttipalvelut sekä kauppiasverkon palvelut ja (ii) matkustamiseen liittyvät palvelut. American Express Groupiin kuuluvien yhtiöiden tavanomaisesti käsittelemät niiden asiakkaisiin, toimittajiin ja yhteistyökumppaneihin liittyvät henkilötiedot sisältävät nykyisten, entisten ja mahdollisten yritysasiakkaiden, kuluttajien, toimittajien ja American Express Groupin yhteistyökumppaneiden henkilötietoja ("asiakastiedot"). Maksupalveludirektiivin 2007/64/EC ("maksupalveludirektiivi") mukaisesti American Express Group on perustanut American Express Payment Services Limitedin ("AEPSL") toimimaan juridisena yksikkönä kauppiaspalveluiden hankkimiseksi Euroopassa (viitenumero: 484347). American Express Groupin tehokkaan liikkeenjohdon ja hallintokäytäntöjen lisäksi AEPSL:n maksupalveluita valvoo Financial Conduct Authority (finanssivalvontaviranomainen). Lisäksi American Express Groupiin kuuluvat yhtiöt käsittelevät nykyisten, entisten ja mahdollisten kokoaikaisten, osa-aikaisten, pysyvien tai määräaikaisten työntekijöiden ja urakoitsijoiden henkilötietoja ja arkaluonteisia henkilötietoja ("työntekijätiedot"). Työntekijätietoihin kuuluvat arkaluontoiset henkilötiedot sisältävät tietoja työntekijöiden terveydentilasta, työkyvystä, tasavertaisista mahdollisuuksista työpaikalla, ammattiliitoista ja työvaltuustoista, lääketieteellisestä tutkimuksesta ja kokeista sekä huume- ja alkoholitesteistä valtioissa, joissa ne ovat sallittuja. American Express ei vaadi arkaluontoisia asiakastietoja, sillä ne eivät koske asiakkuuksia tai muita American Expressin tarjoamia palveluita. Siltä osin kuin arkaluontoisia henkilötietoja kerätään, niitä käsitellään erityisellä tietoturvallisuudella ja asianmukaisesti lainsäädännön vaatimusten mukaisesti mukaan lukien EU-direktiivi 95/46/EC.

Erilaisten käsittelyiden ja tietovirtojen kuvaukset

Henkilötietoja siirretään sisäisesti American Express Groupin maailmanlaajuisessa organisaatiossa sekä eteenpäin valtuutetuille toimittajille ja asiakkaille. Tämä tietovirran lainmukaisuus on varmistettu yhdistelmällä, joka koostuu EU:n hyväksymien yritysten sisäisistä siirtosäännöksistä (Binding Corporate Rules) (mikäli jäsenvaltio on ne hyväksynyt) ja henkilötietojen siirtosopimuksista sisältäen EU:n mallisopimuksen. Arviointia tai päätöstä koskien tiedonkohdetta ei tehdä automaattisesti, ellei se ole sallittua soveltuvan lain mukaan.

Asiakastietojen ja työntekijätietojen henkilötietovirta voidaan kuvata seuraavasti:

Asiakastiedot koskien korttipalveluita ja kauppiasverkon palveluita
Voidakseen antaa kortin kortinhaltijalle paikallinen American Express Groupin yksikkö kerää kortinhaltijan henkilötiedot toiminnallisiin tarkoituksiin ja sääntelyn noudattamiseksi. Paikallinen yksikkö sijaitsee usein, mutta ei aina, samassa valtiossa kuin missä kortinhaltijalla on kotipaikka. Kun kortti on annettu ja jotta voitaisiin sallia kortin maailmanlaajuinen toiminta, kaikki henkilötiedot säilytetään keskitetysti useissa American Express Groupin pääpalvelimissa, jotka sijaitsevat kaikki American Express Groupin turvatuissa tietokeskuksissa Yhdysvalloissa (Phoenixissa, Arizonassa ja Salt Lake Cityssä, Utahissa. Lisäksi asiakastiedot ja työntekijätiedot voidaan siirtää muihin valtioihin Euroopan unionin ulkopuolelle (esim. Intiaan tai Malesiaan), jotta kortin maailmanlaajuinen toiminta mahdollistuu.

Kun korttia käytetään pätevällä kauppiaalla missä tahansa maailmassa, tapahtuu useita tietovirtoja:

  • perustiedot ostotapahtumasta lähetetään sähköisesti myyntipisteestä American Express Groupin valtuutuskeskukseen kyseisessä valtiossa tai alueella;
  • American Express Group kerää täydellisen tiedon ostotapahtumasta paikalliselta kauppiaalta ja päättää tapahtuman maksamalla kauppiaalle ja lähettää tiedot tapahtumasta Yhdysvaltoihin, jonka jälkeen kortinantaja laskuttaa ostotapahtuman kortinhaltijalta.

Asiakastiedot liittyen matkustamiseen liittyviin palveluihin

Henkilötietoja lähettävät yksittäiset matkustajat, ja liikematkan ollessa kyseessä heidän työnantajansa, sijaintipaikastaan missä tahansa maailmalla heidän paikalliselle American Express -matkapalvelunsa tarjoajalle. Tämä tieto, joka sisältää matkustajan suostumuksella luodun profiilin, siirretään sen maailmanlaajuisen levitysjärjestelmän keskustietokantaan (kuten Galileo, Amadeus ja Sabre), jonka kanssa American Express Groupilla on kyseissä valtiossa liikesuhde. Kun American Express Group tekee varauksen käyttäen paikallisesti maailmanlaajuista levitysjärjestelmää, tällöin maailmanlaajuiseen levitysjärjestelmään säilötyt matkustajatiedot mahdollistavat henkilökohtaisen varauksen luomisen. American Express Group purkaa henkilökohtaisen varauksen sisältämät tiedot ja laskuttaa varauksen asiakkaalta.

Työntekijätiedot

Työntekijätiedot säilytetään sekä keskitetysti että hajautetusti keskusyksiköissä, keskitasolla ja paikallisilla palvelimilla kaikkialla American Express Groupissa. Useimmat keskusyksiköt sijaitsevat Yhdysvalloissa ja Iso-Britanniassa, ja henkilöstöllä, jolla on siihen tarvittavat oikeudet, on pääsy työntekijätietoihin American Express Groupin toimistoista kaikkialla maailmassa. Keskitason ja paikalliset toistopalvelimet (käytetään ainoastaan sähköposteihin ja/tai tiedonlähteisiin), joissa säilytetään tietoa, sijaitsevat maantieteellisesti kaikissa paikoissa liiketoiminnan tarpeen mukaan.

Henkilötietoja siirretään seuraavia tarkoituksia varten:

  • Henkilöstöhallinto (esim. palkkaaminen ja irtisanominen, palkkaus, kurinpito, veronpalautus, työnjohto ja muut American Express Groupin henkilöstöön liittyvät asiat);
  • Rikosten torjunta ja rikollisten syyttäminen (esim. rikosten torjunta ja selvittäminen sekä rikoksesta epäiltyjen pidättäminen ja syyttäminen);
  • Lisensointi ja rekisteröinti (esim. lisenssien hallinnointi tai virallisten rekisterien ylläpito);
  • Työntekijärekisterin hallinta;
  • Tiedon ja tietokannan hallinnointi (esim. tiedon ja tietokantojen ylläpito viitetyökaluna tai yleisenä lähteenä. Tämä sisältää katalogit, listat, hakemistot ja sisällysluettelolliset tietokannat);
  • Verojen arviointi ja kanto sekä tulot (so. verojen arviointi ja kanto, muut verojen luonteiset maksut ja muut tulot);
  • Kirjanpito ja tilintarkastus (esim. kirjanpidolliset määräykset ja vastaavat palvelut sekä tilintarkastuksen ehdot, kun sellainen vaaditaan).


Päätösten ja käytäntöjen implementointi

Seuraavat sisäisten ryhmien päätökset ja käytännöt sitovat American Express Groupia, joka käyttää niitä maailmanlaajuisesti Periaatteiden implementointiin:

1. American Express Services Europe Limited - Menettely tietosuojaa ja yksityisyydensuojaa koskevien valitusten käsittelemiseksi

2. Toimintaohje

3. American Expressin yksityisyydensuoja-asioista vastaavan osaston käytäntö

  • American Express käsittelee yleensä yksityisyydensuojaa koskevat asiat American Expressin yksityisyydensuoja-asioista vastaavalla osastolla, joka on itsenäinen sisäinen liiketoimintaosasto ja jolla on erityinen vastuu systeemeistä, prosesseista ja käytännöistä, jotka hallinnoivat asiakkaiden, potentiaalisten asiakkaiden ja työntekijöiden henkilötietojen keräämistä, käyttöä ja jakamista. Yksityisyydensuoja-asioista vastaava osasto johtaa yksityisyydensuoja-asioista vastaavaa neuvostoa (Privacy Board), joka kokoontuu säännöllisesti käsitelläkseen liiketoiminnan yksityisyydensuojaa koskevia asioita, luo ratkaisuja ja kehittää käytäntöjä ja ohjeita.
  • Yksityisyydensuojaa koskevien käytäntöjen tarkistusmenettelyn mukaisesti yksityisyydensuoja-asioista vastaavan osaston tulee suorittaa kaikkien yksityisyydensuojaa koskevien käytäntöjen tarkistus kerran kahdessa vuodessa, tai kuten kyseisessä käytännössä on määrätty. Kaikki muutokset, jotka vaaditaan esimerkiksi soveltuvan lainsäädännön tai säännösten kehityksen takia, tulee tarkastuttaa ylimmällä yksityisyydensuojasta vastaavalla henkilöllä (Chief Privacy Officer, CPO) tai General Counsel’s Officessa.
4. American Express Company – Yleinen hallinnon menettelytapa (General Management Policy)
  • Tämä menettelytapa soveltuu kaikkiin American Expressin organisaatioon implementoituihin yleisiin hallintoa ja rahoitusta koskeviin menettelytapoihin, sisältäen uudet menettelytavat ja vanhojen menettelytapojen tarkistukset.
  • Kaikki American Expressin liiketoimintaryhmät kuuluvat tämän menettelytavan soveltamisalaan.
  • Erityisesti yleinen hallinnon menettelytapa
    • vaatii, että kaikki yleiset hallintoa ja rahoitusta koskevat menettelytavat ratkaistaan maailmanlaajuisessa menettelytavoista ja menettelystä vastaavassa ryhmässä (General Policies and Procedures Group);
    • aktiivisesti tukee maailmanlaajuisten yhtiön menettelytapojen implementoimista ja vanhojen alueellisten menettelytapojen korvaamista, mikäli ne eivät ole järjestyksessä;
    • määrää maailmanlaajuisten yhtiön menettelytapojen soveltumisesta alueellisten menettelytapojen sijaan;
    • asettaa minimivaatimukset menettelytapojen dokumentoinnin sisällölle; ja
    • luo tietyille menettelytapoja koskevien aloitteiden, valmistelun ja implementoinnin vaiheille aikarajat.

5. Sopimus palveluiden toimittamisesta
  • American Express Groupin vakioehtoiset hankintasopimukset vaativat kaikkia myyjiä ja kolmansia osapuolia, jotka käsittelevät tietoa, noudattamaan American Express Groupin tiukkoja tietosuojan sopimusvaatimuksia (Information Protection Contract Requirements), jotka takaavat kaikkien American Express Groupin hallussaan pitämien ja palveluntarjoajan käsittelemien henkilötietojen turvallisuuden.
  • Tietosuojelun sopimusvaatimukset on sisällytetty kaikkiin kolmansien osapuolien kanssa tehtyihin sopimuksiin, jotka koskevat henkilötietojen käsittelyä.
  • Ulkopuolisten tietojenkäsittelijöiden ja myyjien valinta perustuu osaksi heidän suoritukseensa riskien arvioinnin perustaa vasten ja tietoturvaa koskevien käytäntöjensä ja riskiensä tarkasteluun.
  • Ulkopuolisten tietojenkäsittelijöiden ja myyjien tulee olla sidottu riittäviin sopimusehtoihin, jotka sisältävät tarvittavat tekniset ja organisatoriset turvatoimet American Express Groupin tietojen suojaamiseksi. Menettelytapa edellyttää vähintään, että:
    • konsultit, urakoitsijat ja myyjät ovat allekirjoittaneet salassapitosopimukset osana heidän alkuperäisiä työsopimusehtojaan sekä niitä muutettaessa.
    • tietyt sopimukset pitävät sisällään sopimusrikkomuslausekkeen koskien asiakkaan tai kielletyn tiedon käyttämistä sellaisissa tilanteissa, joita ei ole määrätty sopimuksessa.
    • myyjien noudattamat turvallisuutta koskevat menettelytavat ja standardit ovat samanlaiset tai kattavammat kuin American Express Groupin noudattamat menettelytavat ja standardit ja ne vastaavat kulloinkin voimassa olevia ajoittain päivitettäviä tietosuojaa koskevia vaatimuksia.

6. Kolmansien osapuolten palveluiden menettelytavat (Third Party Services Policy)
  • American Expressin kolmansien osapuolten palveluiden menettelytavat edellyttävät, että American Express Groupin jonkin yhtiön käyttämät kolmannet osapuolet noudattavat American Express Groupin menettelytapoja ja käytäntöjä ja tunnustavat vastuunsa virallisilla kirjallisilla lausunnoilla. Tämä soveltuu kaikkeen henkilöstöön, joka osallistuu ulkopuolisten palveluntarjoajien valintaan ja tarkasteluun mukaan lukien American Express Groupin henkilöstö, kunkin kumppanit, tytäryhtiöt, henkilöstö, ulkopuoliset konsultit, urakoitsijat, myyjät ja kaikki yksityishenkilöt ja yhtiöt, joilla on ulkoinen pääsy American Express Groupin tietolähteisiin.

American Expressin toimintaohje

Toimintaohjeissa edellytetään tällä hetkellä seuraavaa liittyen työntekijän yksityisyydensuojaan:

"Meidän tulee taata työntekijöiden henkilötietojen yksityisyydensuoja, luottamuksellisuus ja turvallisuus. Meidän kollegamme, kuten myös mahdolliset tulevat ja entiset työntekijämme, luottavat meihin, että hallitsemme ja käytämme asianmukaisella tavalla heidän henkilötietojaan. Tästä syystä meidän täytyy aina tuntea American Expressin henkilökunnan henkilötietojen yksityisyydensuojasta annetut periaatteet ja noudattaa niitä. Tämä ohjeistus ohjaa työntekijöiden henkilötietojen keräämistä, saatavuutta, käyttöä sekä tiedoksi antamista. Tällaisiin tietoihin kuuluvat tiedot palkoista, kehityskeskusteluista, rajoitteista, virkavapaista sekä arkaluonteisemmat tiedot, kuten sosiaaliturvatunnukset. Voimme käyttää tällaisia tietoja ainoastaan tarkoituksissa, jotka ovat merkityksellisiä ja tarkoituksenmukaisia liiketoiminnassa. Meidän ei tule jakaa tällaista tietoa kenellekään yhtiön sisällä tai yhtiön ulkopuolelle, joka ei sitä liiketoiminnassa tarvitse. Lisäksi meidän on tehtävä tarvittavat toimenpiteet, jotta tällaiset tiedot voidaan turvata aina asianmukaisesti. Monilla mailla on niiden omat lailliset vaatimuksensa, jotka säätelevät työntekijöitä koskevan tiedon käyttöä. Ole yhteydessä henkilöstöpalveluihin (Human Resources), mikäli olet epävarma näistä vaatimuksista."

Toimintaohjeissa edellytetään tällä hetkellä seuraavaa liittyen asiakkaiden yksityisyydensuojaan:

"Vastaamme yhtiöllemme uskottujen asiakastietojen yksityisyydensuojan, luottamuksellisuuden ja turvallisuuden turvaamisesta. Säilyttääksemme yhtiömme maineen ja pystyäksemme palvelemaan asiakkaitamme parhaalla mahdollisella tavalla, yhtiömme on vakaasti sitoutunut suojaamaan asiakastietojen yksityisyyttä tarkasti. Tämä tarkoittaa, että meidän täytyy kerätä, käyttää ja suojata asiakastietoja on-line yksityisyydensuojaa koskevan lausuntomme (Online Privacy Statement) mukaisesti tai asiakastietojen turvaamista koskevaa ohjeistusta koskevan minimistandardin (Minimum Standards for Safeguarding Customer Information Policy) mukaisesti. Meidän ei tule koskaan jakaa asiakastietoja kolmannelle osapuolelle tai yhdellekään kollegalle, jolla ei ole liiketoimintaa, jossa asiakastieto olisi tarpeen tietää. Meidän tulee ryhtyä tarvittavin toimenpiteisiin tahattoman asiakastietojen ilmaisemisen estämiseksi. Meidän tulee varmistaa, että laadittuja yhtiön käytäntöjä noudatetaan sellaisessa harvinaisessa tapauksessa, että tiedot tulevat julki. Tilanteessa, jossa tietoja on mahdollisesti vaarantunut siten, että ne ovat olleet vaarassa tulla julki, tulee välittömästi olla yhteydessä CSI Data Privacy Officeen sekä EIRP:hen Lotus Notesiin liittyvissä asioissa. Älä jaa mitään yksityiskohtia tapauksesta toisille yhtiön sisällä tai ulkopuolella, jollei niistä tietäminen ole liiketoiminnan vuoksi tarpeen. Tutustu myös EIRP-ohjeisiimme lisätietojen saamiseksi liittyen tietojen julkistulon tunnistamiseen ja siitä raportoimiseen. Mikäli valtion virasto pyytää tietoa jostakin asiakkaastamme, meidän tulee olla ensiksi yhteydessä GCO:iin ennen kuin luovutamme mitään tietoja. Lisäksi monissa maissa on omat lakiin perustuvat vaatimuksensa, jotka määräävät asiakastietojen käyttämisestä. Mikäli olet epävarma paikallisista vaatimuksista tai sinulla on muita yksityisyydensuojaan liittyviä kysymyksiä, tulee sinun olla yhteydessä esimieheesi, compliance -toimihenkilöön tai GCO:iin."


American Express Services Europe Ltd.
Menettely tietosuojaa ja yksityisyydensuojaa koskevien valitusten käsittelemiseksi


Asiakastyytyväisyys

American Expressin tavoite on tarjota parasta mahdollista palvelua kaikissa tilanteissa. American Express tiedostaa, että virheitä voi tapahtua ja tarvitsee apua parantaakseen toimintaansa. American Express on perustanut valitusten käsittelemiseksi menettelyn, jota on helppo seurata ja joka varmistaa sen, että kaikkiin valituksiin ja kyselyihin annetaan nopea ja kattava vastaus virheen tapahduttua.

Valitusmenettely

Tämä menettely valitusten käsittelemiseksi soveltuu kaikkiin yksityishenkilöihin, jotka asuvat ETA-alueella ja joiden henkilötietoja American Express Groupiin kuuluva yhtiö käsittelee ETA-alueella sekä joiden henkilötietoja American Express Group voi käsitellä muualla ETA-alueen ulkopuolella.

Kaikkien American Express Groupiin kuuluvien yhtiöiden työtekijöiden tekemiin valituksiin ja tiedusteluihin, jotka koskevat heidän työpaikkaansa, tulee soveltaa sisäisiä valitusstandardeja, jotka ovat saatavilla American Expressin intranetissä.

Askel 1: Yhteydenotto liittyen yleisiin henkilötietoja koskeviin kysymyksiin

Yleiset kommentit tai kysymykset henkilötietojen käsittelystä American Expressissä voi osoittaa asiakaspalveluun joihinkin seuraavista numeroista: 08456080845 tai 0044 1293 820925

Vaihtoehtoisesti postia voi lähettää seuraavaan osoitteeseen:

American Express Services Europe Ltd.
Dept. 66
Amex House
Edward Street
Brighton BN88 1AH

Lisäksi on mahdollista ottaa yhteyttä paikalliseen American Expressin yhtiön asiakaspalveluun, jonka yhteystiedot löytyvät kansallisista ehdoista, henkilötietojen käsittelyyn liittyvistä tiedonannoista ja niihin liittyvästä dokumentaatiosta.

Yhteyttä otettaessa tulee kertoa:

  • Nimi
  • Tilinumero
  • Valituksen laatu

Askel 2: Yhteydenotto liittyen yksityiskohtaisiin tiedusteluihin

Jos asia koskee jonkun henkilön nimenomaisia henkilötietoja tai sitä tapaa, jolla American Express käsittelee henkilön nimenomaisia henkilötietoja tai jos halutaan erityisesti vastustaa tapaa, jolla American Express käsittelee henkilön henkilötietoja, tällöin tulee tehdä yksityiskohtainen tiedustelu. Yksityiskohtaisen tiedustelun perusteella henkilöllä on oikeus seuraavaan:

  • vastustaa henkilötietojen käsittelyä;
  • saada henkilötiedot pyyhittyä tai tuhottua;
  • oikaista henkilötiedot;
  • estää henkilötietojen kerääminen; ja
  • käyttää tiedonkohteen oikeutta saada pääsy henkilötietoihinsa, jolloin tällä on oikeus seuraavaan:
    • saada tieto siitä, käsitteleekö American Express henkilön henkilötietoja;
    • saada kuvaus henkilötiedoista, saada tietää syy henkilötietojen käsittelyyn ja saada tieto siitä, annetaanko henkilötietoja muille organisaatioille tai ihmisille;
    • saada kopio henkilötiedoista;
    • saada tieto henkilötietojen lähteestä, mikäli mahdollista; sekä
    • saada perustelut kaikista henkilötietoja koskevista automatisoiduista päätöksistä,
sekä mihin tahansa muuhun tietoon, johon henkilö on oikeutettu kansallisesti sovellettavan lainsäädännön mukaan.
Nämä pyynnöt käsitellään keskitetysti, joten yhteydenotto tulee osoittaa seuraavaan osoitteeseen:

American Express Services Europe Ltd.
Data Privacy Officer
Amex House
Edward Street
Brighton BN88 1AH

Yhteyttä otettaessa tulee kertoa:
  • Nimi
  • Tilinumero
  • Yhteystiedot yhteydenottoa varten
  • Valituksen laatu

American Express ottaa yhteyttä viipymättä tiedustelun tehneeseen varmistaakseen tämän henkilöllisyyden, minkä jälkeen asia pyritään ratkaisemaan viiden (5) pankkipäivän kuluessa henkilöllisyyden varmistamisesta. Jotkut yksityiskohtaiset tiedustelut saattavat sisältää pienen kulun, missä tapauksessa American Express antaa yksityiskohtaisempia tietoja näistä kuluista yhteydenoton yhteydessä. Joissain tapauksissa henkilö voi olla oikeutettu kompensaatioon henkilötietojen virheellisen käsittelyn takia tai American Expressin tietosuojaa ja yksityisyydensuojaa koskevien periaatteiden perusteella.

Askel 3: Vastausaika Joissain tilanteissa vastausta ei voida antaa heti ja American Expressin täytyy tutkia asiaa tarkemmin. Näissä tilanteissa American Express antaa kirjallisen vastauksen kymmenen (10) pankkipäivän kuluessa siitä, kuka asian käsittelee ja kuinka kauan asian käsittelyssä todennäköisesti kokonaisuudessaan kestää. American Expressin tavoite on antaa lopullinen vastaus neljän (4) viikon kuluessa. Vastaukseen tyytymättömän tulee ilmoittaa siitä American Expressille, jotta asiaa voidaan tutkia tarkemmin.

Askel 4: Tyytymättömyys Henkilö, jonka mielestä American Express ei ole käsitellyt hänen valitustaan tyydyttävästi tai joka ei ole saanut lopullista vastausta neljän (4) viikon kuluessa, voi viedä asian paikalliselle tietosuojaviranomaiselle. Asianomaisten tietosuojaviranomaisten yhteystiedot:

Maa Yhteystiedot
Itävalta
Österreichische Datenschutzkommission Ballhausplatz, 1
A - 1014 WIEN

Tel. +43 1 531 15 25 25
Fax +43 1 531 15 26 90
e-mail: dsk@dsk.gv.at
website
Belgia
Commission de la protection de la vie privée
Rue Haute, 139
B - 1000 BRUXELLES


Tel. +43 1 531 15 25 25
Fax +43 1 531 15 26 90
e-mail: dsk@dsk.gv.at
website
Bulgaria
Commission for Personal Data Protection
Mrs. Veneta Shopova
1 Dondikov Blvd.
Sofia 1000
Bulgarien


Tel. +3592 940 2046
Fax +3592 940 3640
e-mail: kzld@government.bg
website
Kroatia
Mr. Franjo LACKO
Director
Croatian Personal Data Protection Agency
Republike Austrije 25
10000 Zagreb
Kroatien


Tel. +385 1 4609 000
Fax +385 1 4609 099
e-mail: azop@azop.hr or info@azop.hr
website
Kypros
Commissioner for Personal Data Protection
Ms Goulla Frangou
40, Th. Dervis Street
CY - 1066 Nicosia


Tel. +357 22 818 456
Fax +357 22 304 565
e-mail: commissioner@dataprotection.gov.cy
website
Tšekin tasavalta
Mr. Igor Nemec
The Office for Personal Data Protection
Urad pro ochranu osobnich udaju
Pplk. Sochora 27
CZ - 170 00 Prague 7


Tel. +420 234 665 111
Fax +420 234 665 444
e-mail: posta@uoou.cz
website
Tanska
Datatilsynet
Borgergade 28, 5
DK - 1300 Copenhagen K


Tel. +45 33 19.32.00
Fax +45 33 19.32.18
e-mail: dt@datatilsynet.dk
website
Viro
Estonian Data Protection Inspectorate
(Andmekaitse Inspektsioon)
Director General
Mr Viljar Peep (Ph.D)
Väike-Ameerika 19
10129 Tallinn
Estland


Tel. +372 6274 135
Fax +372 6274 137
e-mail: viljar.peep@dp.gov.ee
website
Suomi
Office of the Data Protection
Ombudsman
P.O. Box 315
FI-00181 Helsinki


Tel. +358 10 3666 700
Fax +358 10 3666 735
e-mail: tietosuoja@om.fi
www.tietosuoja.fi
Entinen Jugoslavian tasavalta
Makedonia
Ms. Marijana MARUSIC
Directorate for Personal Data Protection
Samoilova 10
1000 Skopje
Före detta jugoslaviska republiken Makedonien


Tel. +389 (0) 2 3244 760
Fax +389 (0) 2 3244 766
e-mail: info@dzlp.gov.mk
website
Ranska
Commission Nationale de l'Informatique et des Libertés
8, rue Vivienne, CS 30223
F-75002 Paris, CEDEX 02


Tel. +33 (0) 1 53 73 22 22
Fax +33 (0) 1 53 73 22 00
website
Saksa
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Husarenstraße 30
53117 Bonn


Tel. +49 (0) 228 997799 0 or +49 (0) 228 81995 0
Fax +49 (0) 228 997799 550 or +49 (0) 228 81995 550
e-mail: poststelle@bfdi.bund.de
website
Kreikka
Grekiska dataskyddsmyndigheten
Kifisias Av. 1-3, PC 11523
Ampelokipi Aten, Grekland


Tel. +30 210 6475 600
Fax +30 210 6475 628
e-mail: contact@dpa.gr
website
Guernsey
Dr. Peter Harris C. Eng, MA, PhD, FBCS
Data Protection Commissioner
P.O. Box 642
Frances House
Sir William Place
St. Peter Port
Guernsey GY1 3JE


Tel. +44 1481 742074
Fax +44 1481 742077
e-mail: dataprotection@gov.gg
website
Unkari
Data Protection Commissioner of Hungary
Parliamentary Commissioner for Data Protection and Freedom of Information
Dr. Attila Péterfalvi
Nádor u. 22.
H - 1051 Budapest


Tel. +36 1 475 7186
Fax +36 1 269 3541
e-mail: adatved@obh.hu
website
Islanti
Icelandic Data Protection Agency
(Persónuvernd)
Rauðarárstíg 10
105 Reykjavík, Ísland


Tel.+354 510 9600
Fax +354 510 9606
e-mail: postur@personuvernd.is
website
Irlanti
Data Protection Commissioner
Canal House
Station Road
Portarlington
Co. Laois
Irland


Lo-Call: 1890 25 22 31
Tel.+353 57 868 4800
Fax +353 57 868 4757
e-mail: info@dataprotection.ie
website
Mansaari
Mr Iain McDonald
Data Protection Supervisor
Office of Data Protection Supervisor
P.O. Box 69
Douglas
Isle of Man IM99 1EQ
Brittiska öarna


Tel.+44 (0) 1624 693260
Fax +44 (0) 1624 6610
e-mail: enquiries@odps.gov.im
website
Italia
Garante per la protezione dei dati personali
Piazza di Monte Citorio, 121
I - 00186 Roma


Tel.+39 06 69677 1
Fax+39 06 69677 785
e-mail: garante@garanteprivacy.it
website
Jersey
The Office of the Data Protection Commissioner
Mrs. Emma Martins
Morier House
Halkett Place
St. Helier
Jersey JE1 1DD


Tel.+44 (0) 1534 441064
Fax+44 (0) 1534 441065
e-mail: dataproteciton@gov.je, e.martins@gov.je
website
Latvia
Data State Inspectorate
Riga, Latvia
Director Ms Signe Plumina
Kr. Barona Street 5-4
LV - 1050 Riga


Tel.+371 6722 3131
Fax+371 6722 3556
e-mail: info@dvi.gov.lv
website
Liechtenstein
Dr. Philipp Mittelberger
Datenschutzbeauftragter des Fürstentums Liechtenstein
Stabsstelle für Datenschutz
Kirchstrass 8, Postfach 684
9490 Vaduz
Liechtenstein


Tel.+423 236 6091
Fax+423 236 6099
e-mail: info@sds.llv.li
Verwaltung: http://www.sds.llv.li Liechtenstein: http://www.liechtenstein.li
Liettua
State Data Protection
Inspectorate Director
Mr Algirdas Kuncinas
Žygimantu str. 11-6a
LT - 011042 Vilnius


Tel.+ 370 5 279 14 45
Fax+370 5 261 94 94
e-mail: ada@ada.lt
website
Luxemburg
Commission nationale pour la protection des données
41, avenue de la Gare
L-1611 Luxembourg


Tel.+352 2610 60 1
Fax+352 2610 60 29
e-mail: info@cnpd.lu
website
Malta
Office of the Data Protection Commissioner
Data Protection Commissioner
Mr Paul Mifsud Cremona
2, Airways House
High Street, Sliema SLM 16, Malta


Tel.+356 2328 7100
Fax+356 2328 7198
e-mail: commissioner.dataprotection@gov.mt
website
Norja
Datatilsynet
The Data Inspectorate
P.O.Box 8177 Dep
N - 0034 OSLO


Tel.+47 22 39 69 00
Fax+47 22 42 23 50
e-mail: postkasse@datatilsynet.no
website
Puola
The Bureau of the Inspector General for the Protection of Personal Data
Mr Michal Serzycki
Inspector General for Personal Data Protection
ul. Stawki 2
00-193 Warszawa


Tel.+48 22 860 70 81
Fax+48 22 860 70 90
e-mail: sekretariat@giodo.gov.pl
website
Portugal
Comissão Nacional de Protecção de Dados
R. de São. Bento, 148-3°
P - 1200-821 LISSABON


Tel.+351 21 392 84 00
Fax+351 21 397 68 32
e-mail: geral@cnpd.pt
website
Romania
The National Supervisory Authority for Personal Data Processing
Mrs. Georgeta BASARABESCU
President
Str. Olari nr. 32
Sector 2, BUCURESTI
Cod postal 024057
Rumänien


Tel.+40 21 252 5599
Fax+40 21 252 5757
e-mail: anspdcp@dataprotection.ro
website
Slovakia
Office for Personal Data Protection of the SR
Mr Gyula Veszelei
President
Odborárske námestie c. 3
817 60, Bratislava
Slovakien


Tel.+ 421 2 5023 9418
Fax+ 421 2 5023 9441
e-mail: statny.dozor@pdp.gov.sk or gyula.veszelei@pdp.gov.sk
website
Slovenia
Information Commissioner
Ms. Natasa Pirc Musar
Vošnjakova 1
SI - 1000 LJUBLJANA


Tel.+386 (0) 1 230 9730
Fax+386 (0) 1 230 9778
e-mail: gp.ip@ip-rs.si
website
Espanja
Agencia de Protección de Datos
C/Jorge Juan, 6
E - 28001 MADRID


Tel.+34 91399 6200
Fax+34 91455 5699
e-mail: internacional@agpd.es
website
Ruotsi
Datainspektionen
Fleminggatan, 14
9th Floor
Box 8114
S - 104 20 STOCKHOLM


Tel.+46 8 657 6100
Fax+46 8 652 8652
e-mail: datainspektionen@datainspektionen.se
website
Sveitsi
Data Protection Commissioner of Switzerland
Eidgenössischer Datenbeauftragter
Hanspeter THÜR
Feldeggweg 1
CH - 3003 Bern


Tel.+41 (0) 31 322 4395
Fax+41 (0) 31 325 9996
e-mail: info@edsb.ch
website
Alankomaat
College bescherming persoonsgegevens (CBP)
Dutch Data Protection Authority
Juliana van Stolberglaan 4-10
P.O.Box 93374
NL - 2509 AJ Den Haag
Nederländerna


Tel.+31 70 888 8500
Fax+31 70 888 8501
e-mail: info@cbpweb.nl
website
website
Iso-Britannia
Mr Richard Thomas
Information Commissioner
The Office of the Information Commissioner Executive Department
Water Lane, Wycliffe House
UK - WILMSLOW - CHESHIRE SK9 5AF


Tel.+44 1 625 54 57 00 (switchboard)
e-mail: använd online-formuläret på vår website
website
Tämä tieto löytyy päivitettynä ainoastaan osoitteesta:
http://ec.europa.eu/justice_home/fsj/privacy/nationalcomm/index_en.htm.

Askel 5
Oikeustoimet


Mikäli American Express tai kansallinen tietosuojaviranomainen ei anna vastausta, henkilö voi viedä asian ratkaistavaksi paikalliseen tuomioistuimeen. Tässä tapauksessa American Express suosittelee riippumattoman ja soveltuvan oikeudellisen neuvonantajan konsultointia. American Express hyväksyy valitukset paikallista American Express -yksikköä tai suoraan AESEL:ia vastaan.

Periaatteet ja Periaatteet Implementoinnista Euroopassa sitovat koko American Express -konsernia ja oikeuttavat kolmannen osapuolen sopimusoikeudelliseen edunsaajan asemaan, kuten ohjelmadokumentaatiossa on määrätty.

Paikallisen American Expressin yksikön nimen voi saada sekä kaikki kysymykset koskien tätä askelta 5 voi osoittaa ottamalla yhteyttä American Expressiin askeleen 2 "Yhteydenotto liittyen yksityiskohtaisiin kyselyihin" mukaisesti. Tässä tapauksessa mitään hallinnollisia kuluja ei veloiteta.