Våre europeiske gjennomføringsprinsipper

American Express' bindende foretaksbestemmelser – såkalte Binding Corporate Rules ”BCR” – er gjeldende ved internasjonal overføring av personopplysninger innen American Express-konsernet i samsvar med relevante lover innen det Europeiske økonomiske samarbeidsområdet (”EØS”). Våre BCR består av American Express' prinsipper for beskyttelse av personopplysninger- og privatlivets fred og våre europeiske gjennomføringsprinsipper. Disse er godkjent av det norske Datatilsynet og har vært i kraft siden februar 2013.

Følgende Europeiske gjennomføringsprinsipper gir informasjon om hvordan American Express sikrer etterlevelsen av foretakets prinsipper for beskyttelse av personopplysninger og privatlivets fred innen EØS, og hvordan klager på behandlingen av personopplysninger fremsettes innen EØS.

 

Datatilsynet

 

AMERICAN EXPRESS' PRINSIPPER FOR BESKYTTELSE AV PERSONOPPLYSNINGER OG PRIVATLIVETS FRED INNEN DET EUROPEISKE ØKONOMISKE SAMARBEIDSOMRÅDET

Omfang 
Prinsippene for implementering av American Express' prinsipper for beskyttelse av personopplysninger og privatlivets fred innen det Europeiske økonomiske samarbeidsområdet ("EØS") ("Våre europeiske gjennomføringsprinsipper") omfatter kun personer som er bosatt i EØS-området og hvis personopplysninger behandles av American Express-konsernet innen EØS og som også kan bli behandlet av American Express-konsernet utenfor EØS ("Registrerte personer").  

I særdeleshet forklarer Våre europeiske gjennomføringsprinsipper (i) hvordan American Express' prinsipper for beskyttelse av personopplysninger og privatlivets fred ("Prinsippene") skal opprettholdes av American Express Company, med hovedkvarter i World Financial Center, 200 Vesey St. New York ("American Express" eller "Foretaket") og samtlige foretak i American Express-konsernet (med fellesbetegnelsen "American Express-konsernet") og (ii) hvilke krav som angis i EU-lovgivning som gjelder personvern for Registrerte personer.  

American Express Europe S.A. (AEESA) er det europeiske selskapet i American Express-konsernet som er ansvarlig for at Registrerte personers personopplysninger lagres eller behandles i samsvar med prinsippene.   

Samtlige Registrerte personer som direkte omfattes av disse prinsippene eller Våre europeiske gjennomføringsprinsipper kan håndheve disse bestemmelsene overfor AEESA samt begunstigede tredjeparter, i samsvar med det som beskrives nedenfor. American Express' sammenfatning av behandlingen av personopplysninger og gjennomføring av vedtak og policyer er også bindende for American Express-konsernet, men de kan ikke iverksettes direkte av de Registrerte personene eller av noen tredjepart.   

Tilgjengelighet 
Prinsippene og Våre europeiske gjennomføringsprinsipper vil være tilgjengelige på American Express' nettsteder i alle land innenfor EU. Hvis du ikke har tilgang til Internett, kan du be om å få en kopi av Prinsippene av AEESA:s personopplysningsombud på den adressen som angis nedenfor, eller av det lokale American Express-kontoret i landet ditt.  

Disse Prinsippene og Våre europeiske gjennomføringsprinsipper må leses sammen med den informasjonen og de vilkårene som gjelder for det produktet eller den tjenesten du har mottatt eller har til hensikt å motta fra et selskap i American Express-konsernet. Denne informasjonen og disse vilkårene kan inneholde ytterligere bestemmelser som er relevante for behandlingen av personopplysninger i samsvar med relevante nasjonale lover og forordninger.  

 

Beskrivelse av behandlingen av personopplysninger 
American Express er et globalt betalingstjeneste- og reiseforetak. En beskrivelse av de typene personopplysninger som behandles og på hvilken måte de behandles, er tilgjengelig i American Express' sammendrag av behandlingen av personopplysninger. For å sikre at Prinsippene følges er det opprettet et etterlevelsesprogram. Som ledd i dette programmet utføres det jevnlig kontroller av at American Express-konsernet følger Prinsippene. Resultatet av kontrollene meddeles American Express Privacy Office (Personvernavdelingen), relevante tilsynsmyndigheter (hvis dette etterspørres) og i påkommende

tilfeller revisjonskomiteen til styret i American Express Company. Hvis det fastslås at det foreligger manglende etterlevelse, må det relevante selskapet i American Express-konsernet besvare alle spesifikke spørsmål fra AEESAs personopplysningsombud. American Express-konsernet skal også samarbeide med alle etterlevelseskontroller som utføres av ansvarlige tilsynsmyndigheter, uansett om disse gjennomføres som følge av klagemål fra en registrert person eller på tilsynsmyndighetens eget initiativ.

"Klagemål" anses for å være alle uttrykk for misnøye, både muntlig og skriftlig, via telefon, e-post, brev eller personlig henvendelse, fra eller på oppdrag av en kunde eller ansatt eller en annen registrert person på grunn av at American Express-konsernet har gitt eller unnlatt å gi tilstrekkelige sikkerhetsgarantier for de personopplysningene som samles inn, behandles og/eller overføres. 

Ansvaret og ansvarligheten for behandling av klagemål som mottas av AEESA påligger AEESAs personopplysningsombud. Klagemål vil bli behandlet rettferdig, konsekvent og raskt.

Hvis det vedtas at en godtgjørelse er  passende, vil AEESA gi klageren en rimelig erstatning, som beskrevet nedenfor, og skal etterkomme det tilbudet om godtgjørelse som klageren har godtatt. Erstatningen må godkjennes av AEESAs personopplysningsombud før det kan fremsettes et tilbud om erstatning eller betaling. Registrerte personer som er misfornøyde med American Express-konsernets svar kan bringe sine klagemål inn for den ansvarlige datavernmyndigheten eller til en europeisk domstol. En liste med kontaktinformasjon til datavernmyndigheter finnes her.

AEESA vil kommunisere med og anerkjenne samtlige tilsynsmyndigheter med relevant jurisdiksjon. Hvis en registrert person bringer inn et klagemål for den lokale tilsynsmyndigheten og tilsynsmyndigheten fastslår at et foretak i American Express-konsernet har brutt mot noen av rettighetene i Våre europeiske gjennomføringsprinsipper, vil det berørte foretaket i American Express-konsernet følge tilsynsmyndighetens beslutning, med forbehold om retten til å bestride eller anke slike beslutninger.

Etterlevelse og håndhevelse Alle selskap i American Express-konsernet må følge bestemmelsene i Våre europeiske gjennomføringsprinsipper og American Express' etiske retningslinjer. Foretak i American Express-konsernet vil sikre at den europeiske datavern- og personvernlovgivningen etterleves og at all eventuell håndhevelse skjer i samsvar med europeiske nasjonale lover.  

Enhver registrert person, jfr. definisjonen ovenfor, kan gjøre gjeldende vilkårene i Prinsippene og Våre europeiske gjennomføringsprinsipper som begunstigede tredjeparter og begjære erstatning for de faktiske skadene klageren er blitt påført som en følge av brudd mot Prinsippene og/eller Våre europeiske gjennomføringsprinsipper, inkludert, men ikke begrenset til, erstatning som er idømt som erstatning for faktisk skade som den registrerte personen har lidd som følge av et slikt brudd.   

Registrerte personer hvis opplysninger overføres fra EØS kan i tillegg til å fremme rettslig krav i EØS-opprinnelseslandet for overføringen av personopplysninger også fremme krav i landet der AEESAs hovedkontor ligger, dvs. Espanja. Bevisbyrden for å påvise at behandlingen av personopplysningene ikke omfattes av Prinsippene påhviler AEESA. 

Opplæring 
American Express vil sørge for å stille til disposisjon egnet undervisningsmateriell og avholde kurs for medarbeidere i American Express som innhenter, bruker eller har tilgang til personopplysninger eller som utvikler systemer som behandler personopplysninger for å sikre at de er klar over sine plikter og oppgaver i henhold til Prinsippene og Våre europeiske gjennomføringsprinsipper.

 

Lovkonflikter 
Hvis et selskap innen American Express-konsernet har grunn til å tro at gjeldende nasjonal europeisk lovgivning hindrer selskapet i å oppfylle sine forpliktelser i forhold til Prinsippene eller Våre europeiske gjennomføringsprinsipper, skal selskapet omgående informere AEESA, med mindre dette ikke er forbudt ved lov. AEESA vil deretter overveie hvordan man skal forholde seg videre og vil, dersom det foreligger alvorlige tvil, samrå seg med de ansvarlige tilsynsmyndighetene.

 

Spørsmål om disse Prinsippene
Alle spørsmål om Prinsippene eller Våre europeiske gjennomføringsprinsipper kan stilles til AEESAs personopplysningsombud på AEESAs hovedkontor i American Express Europe S.A., Avenida Partenón 12–14, 28042 Madrid, Espanja.

 

American Express' sammendrag av behandlingen av personopplysninger

 

Beskrivelse av ulike typer personopplysninger

American Express er et globalt betalingstjeneste- og reiseforetak som hovedsakelig er virksomt innen to segmenter: i) kortutstedelse og forretningsnettverkstjenester og (ii) reiserelaterte tjenester. Den typen personopplysninger som rutinemessig behandles av selskaper i American Express-konsernet gjelder personopplysninger om nåværende, tidligere og fremtidige foretakskunder, forbrukere, leverandører og samarbeidspartnere i American Express-konsernet (med samlebetegnelsen "Kundedata"). I samsvar med EU-direktivet 2007/64/EF ("Direktivet om betalingstjenester") har konsernet etablert American Express Payments Europe S.L. som juridisk person for sine butikkinnløsningstjenester i Europa (referansenummer: 484347). I tillegg til konsernets egen solide foretaksledelse og ledelsespraksis vil de betalingstjenestene som tilbys av AEPSL være formål for tilsyn av relevante myndigheter for finansielle tjenester. Dessuten behandler foretak i American Express-konsernet personopplysninger og sensitive opplysninger for American Express-konsernets nåværende, tidligere og fremtidige ansatte og konsulenter, uansett om de er ansatt på heltid, deltid eller midlertidig (med samlebetegnelsen "Medarbeiderdata"). Sensitive kategorier medarbeiderdata inkluderer informasjon om arbeidstakeres helse, arbeidshelsesystem, tilsyn av likebehandling, informasjon om fagforeninger, informasjon fra medisinske undersøkelser og prøvetaking samt informasjon fra narkotika- og alkoholtester i land der dette er tillatt. American Express ber ikke om sensitive kundedata ettersom dette ikke er del av kundens henvendelse eller i noen annen av American Express' tjenester. I den grad sensitive personopplysninger innhentes vil de kun bli behandlet med de ytterligere datasikkerhetstiltakene og med de passende tiltakene som loven krever, inkludert i henhold til EU-direktiv 95/46/EF.  

Beskrivelse av ulike typer behandling og informasjonsstrømmer Personopplysninger overføres innen American Express-konsernet, som er en verdensomspennende organisasjon, og videre til autoriserte leverandører og kunder. Denne strømmen av informasjon skjer legitimt gjennom en kombinasjon av EU-godkjente, bindende foretaksregler ”BCR” (må godkjennes i hver medlemsstat) og overføringsavtaler, inkludert EU-standardkontrakter. Ingen vurdering eller beslutning om en registrert person vil skje automatisk dersom ikke gjeldende lov tillater det.  

 

 

Strømmen av personopplysninger for samtlige kundedata og medarbeiderdata kan generelt beskrives som følgende:  

 

Kundedata relatert til kortet, utstedelse og forretningsnettverkstjenester 
For å utstede et kort til en kortinnehaver vil den lokale utstedende enheten i American Express-konsernet innhente kortinnehaveres personopplysninger for operative formål og for å etterfølge regler. Den lokale utstedende enheten ligger som regel i det landet der kortinnehaveren er bosatt. Når kortet er utstedt og kan brukes globalt, vil alle kundedata bli lagret sentralt i flere av American Express-konsernets viktigste servere. Alle disse serverne befinner seg i American Express-konsernets sikre datasentre i USA (Phoenix, Arizona og Salt Lake City, Utah). For å muliggjøre global bruk av kortet, er det dessuten viktig å være oppmerksom på at både kundedata og medarbeiderdata kan bli overført til andre land utenfor EU (f.eks. India og Malaysia).  

Når et kort brukes hos en autorisert forhandler, hvor som helst i verden, skjer det flere informasjonsstrømmer: grunnleggende transaksjonsinformasjon sendes elektronisk fra salgsstedets terminal til American Express-konsernets sentral i det aktuelle landet eller regionen som bekrefter transaksjonen.

Deretter samles den utførlige transaksjonsinformasjonen i den lokale enheten for butikkinnløsningstjenester i American Express-konsernet som er ansvarlig for transaksjonen ved å betale forhandleren og sende detaljert informasjon om transaksjonen til USA, slik at kortinnehaveren senere faktureres for transaksjonen.

Kundedata for reiserelaterte tjenester
Personopplysninger gis til American Express' lokale reisetjenestearrangører fra enkelte reisende, hvor som helst i verden samt, når det gjelder forretningsreiser, av de reisendes arbeidsgivere. Disse personopplysningene, som omfatter en profil som opprettes på grunnlag av den informasjonen som er innhentet med den reisendes samtykke, overføres deretter til den sentrale databasen for ett av de globale bestillingssystemene (som f.eks. Galileo, Amadeus og Sabre) som American Express-konsernet samarbeider med. Når American Express-konsernet foretar en reservasjon ved hjelp av lokal passasjerinformasjon som lagres i bestillingssystemet, vil dette derfor muliggjøre oppretting av en personlig
reservasjon. Grunnleggende informasjon i den personlige reservasjonen vil bli brukt av American Express-konsernet for å fakturere kunden prisen for bestillingen.  

 

Medarbeiderdata
Medarbeiderdata lagres både sentralt og ikke-sentralt i såkalte stormaskiner på mellomnivå og på lokale servere i hele American Express-konsernet. De fleste stormaskinene er i USA og Storbritannia, men de kan nås fra hele verden av medarbeidere som har spesielle tilgangsrettigheter til ansattes personopplysninger. Servere på mellomnivå og lokale replikerende servere (kun til e-post- og/eller arkivformål) som lagrer informasjon er fordelt på geografiske steder, avhengig av foretakets behov.

Personopplysninger overføres for følgende formål:

  • Personaladministrasjon (f.eks. ansettelser eller avskjedigelser, lønn, disiplinærtiltak, pensjonsrettigheter, arbeidsledelse eller andre personalspørsmål som gjelder medarbeiderne i konsernet).
  • Kriminalitetsforebyggende tiltak og rettsforfølging av gjerningspersoner (f.eks. for å forebygge og oppdage forbrytelser samt pågripelse og rettsforfølgelse av gjerningspersoner).
  • Lisensiering og registrering (f.eks. administrasjon av lisensiering eller vedlikehold av offisielle registre).
  • Håndtering av registre over ansatte.
  • Informasjon og forvaltning av databanker (f.eks. opprettholdelse av informasjon eller databanker som referanseverktøy eller generell ressurs). Dette inkluderer kataloger, lister, adressekalendere og bibliografiske databaser).
  • Beregning og innkreving av skatter og andre inntekter (f.eks. beregning og innkreving av skatt, toll, avgifter og øvrige inntekter).
  • Regnskap og revisjon (f.eks. levering av regnskapstjenester og relaterte tjenester samt levering om revisjon i tilfeller der slik granskning er påkrevd).  

Behandling etter overføring: Personaldata som overføres vil bli behandlet for administrasjon av HR-funksjoner og vedlikehold av konsernets medarbeidere og kan videre behandles av tredjepartsleverandører som leverer tjeneste for lønninger, helse- og andre forsikringer og andre goder til ansatte.

Implementering av beslutninger og policyer 
Beslutninger i følgende interne grupper og følgende policyer er bindende og skal brukes av American Express-konsernet globalt for å gjennomføre Prinsippene:
 

1.       American Express Europe S.A. - Prosess for håndtering av klagemål som gjelder beskyttelse av personopplysninger og privatlivets fred.

2.      Etiske retningslinjer

3.      American Express Privacy Office Policy 

American Express håndterer vanligvis personvernspørsmål via American Express Privacy Office, en selvstendig avdeling med særskilt ansvar for de systemene, prosessene og rutinene som styrer innhenting, behandling og utveksling av personopplysninger om kunder, potensielle kunder og medarbeidere. Privacy Office leder også ”Privacy Board”, som jevnlig møtes for å se nærmere på personvernspørsmål, finne løsninger og fastsette policyer og retningslinjer.

I henhold til prosessen ”Privacy Policy Review Process” må Privacy Office foreta en gjennomgang av alle personvernpolicyer hver 24. måned, eller i samsvar med denne policyen. Eventuelle endringer som kreves som følge av for eksempel utvikling av relevante lover og forordninger må gjennomgås av den ansvarlige
for Privacy Office eller (eventuelt) Rettsavdelingen.

4. American Express Company – ledelsespolicy. Denne policyen gjelder alle ledelses- og finanspolicyer som skal gjennomføres innen American Express-organisasjonen. Dette inkluderer nye policyer og endringer av eksisterende policyer. Alle American Express Business-grupper omfattes av denne policyen.

Policy for ledelsen:
Krever at alle spørsmål som gjelder ledelses- og finanspolicy skal løses via den globale gruppen for policyer og rutiner (Global Policies and Procedures Group), fremmer aktivt global gjennomføring av foretakets policy, som erstatter, der dette er praktisk mulig, de regionale policyene som ikke kan tilpasses, fastlegger at globale foretakspolicyer skal ha myndighet over regionale policydokumenter, angir det minimale innholdet i policydokumenter og fastlegger tidsrammer for definerte stadier for policyens innføring, forberedelse og gjennomføring.

5. Avtale om levering av tjenester
American Express-konsernets standardavtale for kontrakter krever at alle selgere og tredjepartsdatabehandlere oppfyller American Express-konsernets strenge krav til informasjonsbeskyttelse for å garantere sikkerheten til alle personopplysninger som innehas av American Express-konsernet og behandles av tjenesteleverandører. De fastlagte kravene til informasjonsbeskyttelse er integrert i alle avtaler med tredjeparter når behandling av personopplysninger overveies. Valg av tredjepartsdatabehandlere og -selgere er delvis grunnlagt på deres resultater i forhold til risikovurderingsmaler og delvis på kontroll av deres datasikkerhetsrutiner og risikoer. Tredjepartsdatabehandlere og -selgere må være underlagt tilbørlige avtalebestemmelser som inkluderer nødvendige tekniske og organisatoriske sikkerhetstiltak for å beskytte American Express-konsernets data. Som et minimum fastlegger policyen at:

·      Konsulenter, underleverandører og selgere skal underskrive en fortrolighetsavtale og/eller avtale om videreformidlingsforbud som en del av deres opprinnelige arbeids- og ansettelsesvilkår/avtaler som også omfatter eventuell vilkårsendring på et senere tidspunkt.  

·      Visse avtaler skal inneholde en sanksjonsklausul som skal anvendes ved behandling av kundedata eller informasjon med begrenset tilgang, på en annen måte enn det som foreskrives i avtalen.

·      De sikkerhetsreglene og normene som skal etterfølges av selgere skal tilsvare eller være strengere enn de policyene og normene som gjelder for American Express-konsernet. Selgeres sikkerhetspraksis skal også oppfylle gjeldende krav til datavern, siden kravene kan bli oppdatert fra tid til annen.

6. Policy for underleverandørtjenester

American Express' policy for underleverandørtjenester innebærer at underleverandører må etterfølge American Express-konsernets policyer og normer når de får oppdrag av et foretak i American Express-konsernet og at denne forpliktelsen bekreftes skriftlig. Dette gjelder alle medarbeidere som deltar i valg og overvåking av underleverandører, inkludert American Express-konsernets ansatte, deres respektive samarbeidspartnere, datterselskaper, tredjepartskonsulenter, underleverandører, selgere og alle enkeltenheter eller foretak som gis ekstern tilgang til American Express-konsernets informasjonskilder.

Etiske retningslinjer
De etiske retningslinjene uttrykker aktuelt følgende når det gjelder de ansattes personvern: "Vi må beskytte integriteten, fortroligheten og sikkerheten til personlig identifiserbare opplysninger om ansatte. Kollegene våre, samt fremtidige og tidligere ansatte, stoler på at vi behandler og bruker deres personlige informasjon på en tilbørlig måte. Av denne grunn må vi være innforstått med og alltid etterfølge American Express' prinsipper for beskyttelse av ansattes personopplysninger og personvern (American Express Employee Data Privacy Principles). Denne policyen styrer innsamling av, tilgang til, behandling og offentliggjøring av ansattes personopplysninger. Slike opplysninger omfatter informasjon om lønn, medarbeidersamtaler, funksjonsbegrensninger og tjenestefrihet, samt mer sensitive opplysninger, som f.eks. personnummer. Vi kan kun bruke disse opplysningene til relevante og spesifikke virksomhetsformål. Vi har ikke lov til å dele denne informasjonen med noen, verken i eller utenfor foretaket vårt, som ikke har rett til å kjenne til denne
informasjonen.  Dessuten må vi iverksette tiltak for på en adekvat måte og til enhver tid å beskytte slike opplysninger. Mange land har nasjonale, lovfestede krav når det gjelder behandlingen av opplysninger om ansatte. Kontakt Personalavdelingen hvis du er usikker på disse kravene."

Av de etiske retningslinjene fremgår aktuelt følgende om kundenes personvern: "Vi er ansvarlige for å beskytte personvernet, fortroligheten og sikkerheten til den kundeinformasjonen som er betrodd foretaket vårt. For å bevare ryktet til foretaket vårt og for å kunne betjene kundene våre på beste måte har foretaket påtatt seg å nøye vokte personvernet til kundene våre. Det innebærer at vi må innhente, behandle og beskytte kundens informasjon i samsvar med vår personvernpolicy (Online Privacy Statement og Minimum Standards for Safeguarding Customer Information Policy) for å kunne beskytte personopplysningene til kundene våre. Vi har aldri lov til å dele kundeinformasjon med tredjepart eller med kolleger som ikke har rett til å få tilgang til denne informasjonen. Vi må også iverksette tiltak for å forhindre utilsiktet videreformidling av kundeinformasjon. Dersom slik videreformidling skulle skje, skal de etablerte foretaksrutinene følges. Hvis potensielle personopplysninger skulle bli videreformidlet, må CSI Data Privacy Office og Enterprise Incident Response (EIRP) kontaktes omgående. Ikke del noen detaljer om denne hendelsen med andre, verken internt eller eksternt, som ikke har rett til slik informasjon. I vår EIRP finner du mer informasjon om identifikasjon og rapportering i situasjoner der personopplysninger videreformidles. Dersom en myndighet ber om informasjon om en av kundene våre, må vi kontakte Rettsavdelingen (General Counsel’s Office) før vi gir informasjon. I tillegg har mange land nasjonale, lovfestede krav som styrer bruken av kundeinformasjon. Hvis du er usikker på hvilke lokale krav som gjelder, eller du har andre spørsmål om personvern, skal du kontakte din nærmeste overordnede, din etterlevelsesansvarlige (Compliance Officer) eller Rettsavdelingen."

Prosess for behandling av klagemål relatert til beskyttelse av personopplysninger og privatlivets fred

Kundetilfredshet
Vårt mål er å gi deg som kunde den beste mulige servicen ved alle anledninger. Vi innser likevel at det av og til kan skje feil, og vi trenger din hjelp til å bli bedre. Hvis noe skulle gå galt, har vi etablert en prosess for behandling av klagemål som er enkel å følge og som skal bidra til at du får raske og grundige svar på de eventuelle klagemålene eller spørsmålene du måtte ha.
 

KLAGEMÅLSPROSESS

Denne klagemålsprosessen gjelder for deg som bor innen det Europeiske økonomiske samarbeidsområdet ("EØS") og hvis personopplysninger behandles av selskap i American Express-konsernet med hovedkvarter innen EØS og som også kan bli behandlet av selskap i American Express-konsernet med hovedkvarter utenfor EØS. Hvis du er ansatt i noen av selskapene i American Express-konsernet og ditt spørsmål eller ditt klagemål gjelder arbeidsplassen din, bør du gå frem som fastlagt i de interne retningslinjene som du finner på intranettet.  

Trinn 1:  Kontakt oss med generelle spørsmål om behandling av personopplysninger
Hvis du har generelle synspunkter på eller lurer på hvordan vi behandler personopplysningene dine, kan du snakke med noen i kundeserviceteamet på 08-456080845. 

Du kan også kontakte oss skriftlig på følgende adresse:  

American Express Europe S.A.  
Avenida Partenón 12–14, 28042 Madrid, Espanja  

Du kan også kontakte oss oss via ditt lokale American Express-selskap. Kontaktinformasjonen angis i de dokumentene du tidligere har mottatt med nasjonale vilkår, personverninformasjon og øvrig dokumentasjon. Når du kontakter oss, skal du angi følgende: navnet ditt, kontonummeret ditt og hva klagemålet dreier seg om.

Trinn 2:  Kontakt oss med en spesifisert forespørsel 
Hvis du ønsker å få detaljerte opplysninger om hvilke av dine personopplysninger vi har og behandler, eller om du vil gjøre spesielle innvendinger mot hvordan personopplysningene dine behandles, kan du sende en spesifisert henvendelse. Med en spesifisert henvendelse har du rett til å:

  • Gjøre innsigelser mot behandlingen av personopplysningene dine.
  • Kreve at personopplysningene dine slettes eller ødelegges eller korriges. 
  • Blokkere innsamling av personopplysningene dine.
  • Gjøre bruk av dine tilgangsrettigheter som registrert person, som gir deg rett til å:
    • Få vite om American Express behandler noen av personopplysningene dine.
    • Få en beskrivelse av de personopplysningene som behandles, årsaken til behandlingen og informasjon om hvorvidt personopplysningene vil bli gitt til andre organisasjoner eller personer.
    • Få en kopi av informasjonen som inneholder personopplysningene dine.
    • Få informasjon om kilden til personopplysningene, om mulig, og få vite grunnen til eventuelle automatiserte beslutninger som er tatt på grunnlag av personopplysningene dine, samt:
    • Øvrig informasjon som kan være tilgjengelig for deg i henhold til gjeldende lovgivning  

Vi behandler disse henvendelsene sentralt. Vennligst kontakt oss skriftlig på følgende adresse:  

American Express Europe S.A. 
Data Protection Officer, 
Avenida Partenón 12–14, 28042 Madrid, Espanja  

Når du kontakter oss skal du angi følgende: navnet ditt, kontonummeret ditt, kontaktinformasjon samt hva klagemålet dreier seg om. 

Vi kommer til å kontakte deg så raskt som mulig for å bekrefte din identitet. Når dette er gjort, vil vi prøve å behandle henvendelsen din innen 5 (fem) arbeidsdager. For visse typer omfattende undersøkelser påløper en mindre avgift. Hvis dette er tilfelle, vil vi opplyse deg om denne avgiften når vi kontakter deg. I visse tilfeller kan du ha rett til erstatning for eventuell unnlatelse fra American Express' side hvis vi ikke har behandlet personopplysningene dine korrekt eller i samsvar med American Express' prinsipper for beskyttelse av personopplysninger og privatlivets fred.

Trinn 3:  Svartider
Under visse omstendigheter er det kanskje ikke mulig for oss å løse problemet ditt umiddelbart, og vi kan måtte foreta en mer omfattende undersøkelse.  Hvis dette er tilfellet, vil vi skrive til deg innen 10 (ti) arbeidsdager for å informere deg om hvem som vil behandle spørsmålene dine og hvor lang tid det trolig vil ta å utrede spørsmålet. Målet
vårt er å gi deg et utførlig svar innen 4 (fire) uker. Hvis du ikke er fornøyd med dette svaret, ber vi deg informere oss om dette, slik at vi kan undersøke saken ytterligere.  

Trinn 4:  Hvis du ikke er fornøyd
Hvis du ikke synes at vi har løst klagemålet ditt på en tilfredsstillende måte eller hvis du ikke har fått et endelig svar etter fire uker, har du rett til å fremme klagemålet ditt for den lokale tilsynsmyndigheten for behandling av personopplysninger. Du kan kontakte den ansvarlige datavernmyndigheten i det aktuelle landet. Mer informasjon finner du her.

Trinn 5:  Bringe saken inn for en domstol
Hvis du ikke har fått det svaret du ønsker fra noen av oss eller fra din lokale tilsynsmyndighet, kan du bringe saken inn for en lokal domstol. I en slik situasjon anbefaler vi at du først konsulterer en uavhengig og godt kvalifisert juridisk rådgiver. American Express vil akseptere rettslige krav som enten rettes mot din lokale American Express-enhet eller direkte mot AEESA. 

Prinsippene og Våre europeiske gjennomføringsprinsipper er bindende for American Express-konsernet og gir deg rettigheter som avtalefestet begunstiget tredjepart i henhold til programdokumentasjonen. Hvis du trenger å finne ut navnet til din lokale American Express-enhet eller du har andre spørsmål om det femte trinnet, ber vi deg kontakte oss ved å bruke opplysningene i trinn 2: "Kontakt oss med en spesifisert forespørsel". I dette tilfellet trenger du ikke å betale en administrasjonsavgift. 

 

August 2018