EUROPEISKE GJENNOMFØRINGSPRINSIPPER

American Express bindende virksomhetsregler (BCR – Binding Corporate Rules) – er en metode for overføring av personopplysninger internasjonalt innenfor American Express Group i samsvar med den gjeldende personvernlovgivningen i Det europeiske økonomiske samarbeidsområdet EØS. Våre bindende virksomhetsregler består av American Express’ prinsipper for personopplysnings- og integritetsbeskyttelse samt disse ekstra europeiske gjennomføringsprinsippene. De er godkjent av Information Commission’s Office, den lokale personvernmyndigheten i Storbritannia, og har vært gjeldende siden 28. januar 2013.

 

Disse europeiske gjennomføringsprinsippene informerer om hvordan American Express sikrer overholdelse av sine prinsipper for personopplysnings- og integritetsbeskyttelse i EØS, og hvordan man legger inn en personvernklage i EØS.

 

PRINSIPPER FOR GJENNOMFØRINGEN AV

AMERICAN EXPRESS’ PRINSIPPER FOR PERSONOPPLYSNINGS- OG
INTEGRITETSBESKYTTELSE

I DET EUROPEISKE ØKONOMISKE SAMARBEIDSOMRÅDE

(VÅRE «EUROPEISKE GJENNOMFØRINGSPRINSIPPER»)

 

1.      Omfang

 

Prinsippene for gjennomføringen av American Express’ prinsipper for personopplysnings- og integritetsbeskyttelse i det europeiske økonomiske samarbeidsområdet («Europeiske gjennomføringsprinsipper») gjelder bare for personopplysningene til en person som er eller har vært: (i) behandlet i forbindelse med aktivitetene til et American Express-selskap etablert innenfor EØS; (ii) behandlet av et American Express-selskap etablert utenfor EØS der behandlingsaktivitetene er særskilt relatert til tilbudet om varer eller tjenester til personer innenfor EØS; eller (iii) behandlet av et American Express-selskap etablert utenfor EØS der behandlingsaktivitetene spesifikt knyttes til overvåking av personers atferd innenfor EØS («De registrerte»).

 

Legg merke til at behandlingsaktivitetene for (ii) og (iii) over, er begrenset til behandlingsaktiviteter som er rettet mot personer i EØS enten ved å tilby dem varer eller tjenester, eller ved å overvåke atferden deres.

 

Særskilt angir de europeiske gjennomføringsprinsippene (i) hvordan American Express’ prinsipper for personopplysnings- og integritetsbeskyttelse («Prinsippene») skal implementeres av American Express Company med registrert kontor i World Financial Center, 200 Vesey St. New York, NY 10285 («American Express» eller «Selskapet») og hvert selskap i American Express-gruppen av selskaper som behandler registrerte personers personopplysninger (samlet «American Express Group»), og (ii) hvordan de bindende virksomhetsreglene til American Express Group trer i kraft. American Express Europe S.A. («AEESA») er det europeiske selskapet innenfor American Express Group som har ansvar for å sikre at personopplysninger til de registrerte, lagres eller behandles i samsvar med Prinsippene og de europeiske gjennomføringsprinsippene. 

 

Enhverregistrert person som direkte er underlagt en fordel de har fått via Prinsippene eller disse europeiske gjennomføringsprinsippene, kan håndheve disse bestemmelsene mot AEESA som en tredjepartsbegunstiget, som beskrevet under. 

 

I forbindelse med disse europeiske gjennomføringsprinsippene skal «personopplysninger» bety all informasjon knyttet til en identifisert eller identifiserbar fysisk person. En identifiserbar fysisk person er en som kan identifiseres, direkte eller indirekte, spesielt gjennom referanse til en identifikator som et navn, et ID-nummer, stedsdata, en nettbasert identifikator eller til en eller flere faktorer som er spesifikke for den fysiske, fysiologiske, genetiske, mentale, økonomiske, kulturelle eller sosiale identiteten til den fysiske personen.

 

2.   Tilgjengelighet

 

Prinsippene og de europeiske gjennomføringsprinsippene er tilgjengelige på nettsidene til American Express i hvert land i EØS. Du kan også be om et eksemplar av Prinsippene og de europeiske gjennomføringsprinsippene i et alternativt format, enten fra AEESAs personvernombud på adressen som er angitt under eller den lokale American Express-enheten som har ansvar for dine data.

 

Prinsippene og disse europeiske gjennomføringsprinsippene må leses i forbindelse med online personvernerklæringen (for kunder) eller  personvernerklæringen for nettbasert rekruttering (for potensielle ansatte) samt andre varsler, betingelser og vilkår som gjelder for din relasjon til American Express. Disse varslene, vilkårene og betingelsene kan inneholde ytterligere bestemmelser som er relevante for behandlingen av personopplysninger i henhold til gjeldende lokale lover og forskrifter.

 

3.     Registrertes rettigheter

 

Under de europeiske gjennomføringsprinsippene skal prinsippene for personopplysnings- og integritetsbeskyttelse endres på følgende måte for å overholde EUs personvernforordning (GDPR) for de selskapene i American Express Group som behandler registrerte personers personopplysninger.

 

3.1.  Innsamling

 

Registrerte personers personopplysninger skal behandles lovlig, rettferdig og transparent for de registrerte. American Express er et globalt selskap for betalingstjenester og reiser. Du finner en beskrivelse av typene personopplysninger, spesielle kategorier av personopplysninger som behandles og på hvilken måte de behandles, i personvernerklæringene og andre varsler, betingelser og vilkår som presenteres for deg når du involveres med oss. 

 

Selskap i American Express Group skal kun samle inn personopplysninger fra registrerte personer for spesifiserte, uttrykte og legitime formål, og skal sørge for at personopplysninger ikke viderebehandles på måter som ikke samsvarer med slike formål. 

 

3.2.  Varsling, rettferdighet og transparens

 

Selskap i American Express Group som er forpliktet til å gi registrerte personer informasjon knyttet til behandling under personvernforordningen, skal gi de  registrerte enkel tilgang til den påkrevde informasjonen. Denne informasjonen skal formidles til den registrerte i et konsist, transparent, forståelig og enkelt tilgjengelig format og i et klart språk. Denne informasjonen er tilgjengelig i online personvernerklæringen (for kunder) eller personvernerklæringen for nettbasert rekruttering (for potensielle ansatte).

 

3.3.  Datakvalitet 

 

Selskap i American Express Group som behandler personopplysninger for registrerte personer, skal treffe rimelige tiltak for å sikre at hvis de registrertes personopplysninger inneholder feil knyttet til formålene de samles inn for, umiddelbart slettes eller korrigeres.

Hvis de registrertes personopplysninger lagres i et format som tillater identifikasjon av de registrerte, skal slik registrering ikke beholdes lenger enn det som er påkrevd for formålene personopplysningene ble behandlet for. Personopplysninger kan bevares over en lengre tidsperiode for  arkiveringsformål eller slik personvernforordningen eller gjeldende lov ellers tillater det, og kun når egnede tekniske og organisatoriske tiltak er truffet.

 

3.4.  Sikkerhet og fortrolighet 

 

Kravene i dette prinsippet skal omfatte rimelige, egnede tekniske og organisatoriske tiltak for å beskytte de registrertes personopplysninger mot uautorisert eller ulovlig behandling samt utilsiktet tap, ødeleggelse eller skade.

 

3.5.   Åpenhet og datatilgang

 

Selskapene i American Express Group skal overholde følgende rettigheter i forhold til de registrerte: Rett til tilgang, rett til å korrigere, rett til å bli glemt, rett til begrenset behandling, innsigelsesrett mot behandling, rett til å trekke tilbake samtykke samt rett til ikke å underlegges beslutninger som kun er basert på automatiske beslutningsprosesser, inkludert profilering.

 

3.6.  Internasjonale overføringer

 

Personopplysningene til de registrerte overføres gjennom American Express Group. Denne dataflyten legitimeres gjennom en kombinasjon av EU-godkjente bindende selskapsregler og kontrakter om dataoverføring, inkludert standard kontraktsavsnitt fra EU. Spesielle datakategorier fra registrerte personer skal ikke videreoverføres med mindre den registrerte har gitt samtykke til slik overføring.

 

3.7.  Ansvarlighet

 

Alle selskap i American Express Group som behandler personopplysninger fra registrerte personer, skal ha ansvar for samt kunne dokumentere, sin overholdelse av GDPR, inkludert vedlikehold av elektroniske registre over alle kategorier av behandlingsaktiviteter for å dokumentere slik overholdelse.

 

4.     Personvern som standardinnstilling

 

Selskap i American Express Group som behandler personopplysningene til registrerte personer, skal gjennomføre tekniske og organisasjonsmessige tiltak som er laget for å gjennomføre personvernprinsippene samt tilrettelegge for overholdelse av kravene i disse europeiske  gjennomføringsprinsippene.

 

5.    Samsvarsprogram (Compliance-program)

 

 5.1.  Samsvar

 

For å kunne sikre samsvar med Prinsippene og de europeiske gjennomføringsprinsippene, er det etablert et samsvarsprogram for jevnlige samsvarskontroller og revisjoner av driften i American Express Group. Resultatene av disse samsvarskontrollene og revisjonene formidles til det globale personvernombudet hos American Express, AEESA-personvernombudet, de relevante kontrollinstansene (om de ber om det) og, når det er aktuelt, revisjonsutvalget til styret i American Express Company. Hvis et manglende samsvar oppdages, må det relevante selskapet i American Express Group i EØS, overholde alle spesifikke forespørsler fra AEESAs personvernombud eller, hvis forespørslene ikke kan overholdes, dokumentere årsaken til dette. American Express Group skal også samarbeide ved eventuelle samsvarskontroller avholdt av noen tilsynsmyndighet hos gjeldende domsmakt, enten den gjennomføres som svar på en klage fra en registrert person, eller på tilsynsmyndighetens eget initiativ.

 

5.2. Samarbeid

 

Alle selskap i American Express Group som behandler personopplysningene til registrerte personer, vil i forbindelse med krav, revisjoner, spørsmål og klager, samarbeide med enhver relevant tilsynsmyndighet.  Hvis tilsynsmyndigheten finner at et selskap i American Express Group har brutt noen av rettighetene under disse europeiske gjennomføringsprinsippene, vil det relevante selskapet i American Express Group underkaste seg funnene til tilsynsmyndigheten, men kan om nødvendig utøve sin rett til å protestere mot eller anke slike funn.

 

6.      Samsvar, håndhevelse og ansvar

 

Alle selskap i American Express Group som behandler personopplysninger til registrerte personer, må overholde bestemmelsene i de europeiske gjennomføringsprinsippene og andre policyer og prosedyrer som er bindende for American Express Group. Selskap i American Express Group vil sørge for å overholde den europeiske nasjonale personvernlovgivningen, og all håndheving vil skje i samsvar med slike europeiske nasjonale lover.

 

6.1.  Håndheving

 

Hver enkelt registrert person kan kreve at AEESA eller enkeltselskaper i American Express Group som behandler personopplysningene til registrerte personer, overholder vilkårene i følgende bestemmelser i de europeiske gjennomføringsprinsippene som en tredjepartsbegunstiget:

 

a)    Registrertes rettigheter (Avsnitt 3);

b)    Lovkonflikter (Avsnitt 8);

c)     Spørsmål eller klager (Avsnitt 9);

d)    Samarbeid (Avsnitt 5.2); og

e)    Samsvar, håndhevelse og ansvar (Avsnitt 6.1 og 6.2).

 

Registrerte personer skal ha krav på rettsmidler og rett til oppreisning og, når det er aktuelt, erstatning opp til de faktiske skadene som klageren har lidd som følge av bruddet på de ovenfor nevnte rettighetene som tredjepartsbegunstiget.

 

Registrerte personer kan fremme sitt krav til en kompetent domstol i EU-medlemsstater der det relevante selskapet i American Express Group er etablert eller der den registrerte personen er hjemmehørende.

 

6.2. Ansvar

 

AEESA påtar seg ansvar for ethvert brudd på Prinsippene eller de europeiske gjennomføringsprinsippene fra selskap i American Express Group utenfor EU som behandler personopplysningene til registrerte personer. AEESA vil treffe de tiltak som er nødvendige for å rette opp handlinger eller utelatelser fra selskap i American Express Group som behandler personopplysningene til registrerte personer.

 

AEESA er forpliktet til å betale kompensasjon for alle fysiske eller immaterielle skader som registrerte personer har blitt utsatt for i forbindelse med noe brudd på Prinsippene eller de europeiske gjennomføringsprinsippene. Erstatning må godtas av AEESAs personvernombud før noe tilbud om oppreisning eller noen betaling gjennomføres. Slik erstatning skal dekke alle krav fra den registrerte personen mot alle selskap innenfor American Express Group. For å unngå tvil, AEESAs erstatningsansvar dekker handlingene eller utelatelsene til alle American Express Group-selskaper som ikke befinner seg i EU.

 

Hvis et American Express Group-selskap som befinner seg utenfor EU, bryter Prinsippene eller de europeiske gjennomføringsprinsippene, vil domstolene eller andre pågjeldende myndigheter i EU, ha domsmakt i forbindelse med slikt brudd. I den grad et selskap i American Express Group som behandler personopplysninger til registrerte personer, bryter de europeiske  gjennomføringsprinsippene, kan registrerte personer, tilsynsmyndigheter og domstoler i pågjeldende rettskrets, utøve sin rett og gå til sak mot AEESA som om slikt brudd hadde blitt utøvd av AEESA innenfor EU.

 

AEESA har bevisbyrden ved å demonstrere at American Express Group-selskapet som befinner seg utenfor EU, ikke har ansvar for det påståtte bruddet på prinsippene eller de europeiske gjennomføringsprinsippene som ligger til grunn for den registrerte personens krav om erstatning for skader. Når AEESA kan bevise at American Express Group-selskapet som befinner seg utenfor EU, ikke er ansvarlig for hendelsen som ligger til grunn for skaden, kan AEESA og slikt selskap anse seg som fritatt for ansvar og erstatningsansvar.

 

7.     Opplæring

 

American Express vil bidra med egnet opplæringsmateriell og kurs for American Express-ansatte som samler inn, bruker eller har tilgang til registrerte personers personopplysninger eller utvikler systemer som behandler registrerte personers personopplysninger, for å sikre at de kjenner sine forpliktelser under Prinsippene og disse europeiske gjennomføringsprinsippene. 

 

8.     Lovkonflikter

 

Hvis et selskap innenfor American Express Group skulle finne grunn til å tro at en lov selskapet er underlagt, utelukker overholdelse av Prinsippene eller de europeiske gjennomføringsprinsippene, eller at den med sannsynlighet vil påvirke garantiene som er angitt i Prinsippene eller de europeiske gjennomføringsprinsippene i vesentlig grad, skal den relevante kontakten for det relevante American Express Group-selskapet informere AEESAs  personvernombud med mindre gjeldende lov(er) forbyr det. Om nødvendig skal personvernombudet varsle om dette til pågjeldende tilsynsmyndighet, bortsett fra i den grad gjeldende lov forbyr dette.

 

9.     Spørsmål eller klager

 

En registrert person kan når som helst sende inn en klage eller et krav og utøve sine rettigheter i forbindelse med Prinsippet eller disse europeiske gjennomføringsprinsippene. Dette kan sendes til AEESAs personvernombud på AEESAs hovedkontor hos American Express Europe S.A. Avenida Partenón 12-14, 28042 Madrid. For mer informasjon om hvordan American Express behandler klager og hvordan man kan sende inn en klage, se