Skip to main content

English | Polski

American Express®
Europejskie Zasady Wykonawcze

 

icon

 

Wiążące reguły korporacyjne American Express, w skrócie WRK, są sposobem przekazywania danych osobowych za granicę w ramach grupy American Express zgodnie z obowiązującymi przepisami o ochronie danych w Europejskim Obszarze Gospodarczym (EOG). Nasze WRK obejmują Zasady Ochrony Danych i Prywatności firmy American Express oraz niniejsze dodatkowe Europejskie Zasady Wykonawcze. Zostały one zatwierdzone przez Information Commissioner’s Office, lokalny urząd ds. ochrony danych w Wielkiej Brytanii, i obowiązują od 28 stycznia 2013 r.

 

Niniejsze Europejskie Zasady Wykonawcze dostarczają informacji o tym, jak firma American Express zapewnia zgodność z naszymi zasadami ochrony danych i prywatności w EOG, oraz jak złożyć skargę dotyczącą naruszenia prywatności w EOG.

ZASADY WDRAŻANIA W EUROPEJSKIM OBSZARZE GOSPODARCZYM ZASAD OCHRONY DANYCH I PRYWATNOŚCI FIRMY AMERICAN EXPRESS

(„EUROPEJSKIE ZASADY WYKONAWCZE”)

1. Zakres

 

Zasady wdrażania w Europejskim Obszarze Gospodarczym Zasad Ochrony Danych i Prywatności firmy American Express („Europejskie Zasady Wykonawcze”) mają zastosowanie wyłącznie do danych osobowych osoby fizycznej, które są lub były: (i) przetwarzane w kontekście działalności spółki należącej do American Express z siedzibą w EOG; (ii) przetwarzane przez spółkę należącą do American Express z siedzibą poza EOG, gdzie czynności związane z przetwarzaniem danych odnoszą się do oferowania towarów lub usług osobom fizycznym w EOG; lub (iii) przetwarzane przez spółkę należącą do American Express z siedzibą poza EOG, gdzie czynności związane z przetwarzaniem danych odnoszą się do monitorowania zachowania osób fizycznych w EOG („Podmiotów danych”).

 

Należy zauważyć, że czynności związane z przetwarzaniem danych określone w powyższych punktach (ii) i (iii) ograniczają się do czynności związanych z przetwarzaniem, które są „adresowane” do osób fizycznych w EOG przez oferowanie im towarów lub usług albo monitorowanie ich zachowania.

 

W szczególności Europejskie Zasady Wykonawcze określają, (i) w jaki sposób Zasady Ochrony Danych i Prywatności firmy American Express („Zasady”) mają zostać wdrożone przez firmę American Express Company z siedzibą pod adresem World Financial Center, 200 Vesey St. New York, NY 10285 („American Express” lub „Firma”) i każdą spółkę w grupie spółek American Express, które przetwarzają dane osobowe Podmiotów danych (łącznie „Grupa American Express”) oraz (ii) w jaki sposób WRK grupy American Express wejdą w życie. American Express Europe S.A. („AEESA”) jest europejską spółką w obrębie grupy American Express, która przyjęła odpowiedzialność za zapewnienie, że dane osobowe Podmiotów danych będą przechowywane lub przetwarzane zgodnie z Zasadami oraz z Europejskimi Zasadami Wykonawczymi.

 

Każdy Podmiot danych, któremu przysługują korzyści przyznanej przez Zasady lub niniejsze Europejskie Zasady Wykonawcze, może egzekwować te przepisy wobec AEESA jako beneficjent będący stroną trzecią, w sposób opisany poniżej.

 

Do celów niniejszych Europejskich Zasad Wykonawczych „dane osobowe” oznaczają wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej; dającą się zidentyfikować osobą fizyczną jest osoba, która może zostać zidentyfikowana bezpośrednio lub pośrednio, w szczególności przez odniesienie do identyfikatora, takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy, lub do jednego lub większej liczby czynników charakteryzujących fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość tej osoby fizycznej.

 

2. Dostępność

 

Zasady i Europejskie Zasady Wykonawcze są dostępne na stronach internetowych American Express w każdym kraju EOG. Możesz również poprosić o kopię Zasad i Europejskich Zasad Wykonawczych w alternatywnym formacie u inspektora ochrony danych AEESA pod adresem podanym poniżej lub w lokalnej jednostce American Express odpowiedzialnej za Twoje dane.

 

Zasady i niniejsze Europejskie Zasady Wykonawcze należy odczytywać w powiązaniu z Polityką Prywatności w Internecie (dla klientów) lub oświadczeniem o ochronie prywatności podczas rekrutacji przez Internet (dla potencjalnych pracowników) oraz innymi powiadomieniami, warunkami i postanowieniami mającymi zastosowanie do Twojej relacji z American Express. Te powiadomienia oraz warunki mogą zawierać dodatkowe postanowienia mające znaczenie dla przetwarzania danych osobowych, zgodnie z obowiązującymi przepisami krajowymi.

 

3. Prawa Podmiotu danych

 

Na podstawie Europejskich Zasad Wykonawczych, Zasady Ochrony Danych i Prywatności zostaną zmienione w następujący sposób, aby zapewnić zgodność z unijnym rozporządzeniem o ochronie danych osobowych („RODO”) w odniesieniu do spółek z Grupy American Express, które przetwarzają dane osobowe Podmiotów danych.

3.1. Zbieranie danych

Dane osobowe Podmiotów danych będą przetwarzane zgodnie z prawem, rzetelnie i w przejrzysty sposób w odniesieniu do Podmiotów danych. American Express to firma świadcząca usługi płatnicze i turystyczne o zasięgu międzynarodowym. Opis typów danych osobowych i szczególnych kategorii danych osobowych, które są przetwarzane, oraz sposobu ich przetwarzania można znaleźć w oświadczeniach o ochronie prywatności i innych powiadomieniach oraz warunkach i zasadach, które są przedstawiane w chwili nawiązania kontaktu z nami.

Spółki z Grupy American Express będą gromadzić dane osobowe Podmiotów danych wyłącznie w określonych, wyraźnych i zgodnych z prawem celach oraz zapewnią, że dane osobowe nie będą dalej przetwarzane w sposób niezgodny z takimi celami.

 

3.2. Powiadamianie, uczciwość i przejrzystość

Spółki z Grupy American Express, które mają obowiązek dostarczyć Podmiotom danych informacji związanych z przetwarzaniem danych w ramach RODO, zapewnią Podmiotom danych prawo łatwego dostępu do wymaganych informacji. Informacje te będą przekazywane Podmiotowi danych w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, przy użyciu jasnego i prostego języka. Informacje te są dostępne w Polityce Prywatności w Internecie (dla klientów) lub w oświadczeniu o ochronie prywatności podczas rekrutacji przez Internet (dla potencjalnych pracowników).

 

3.3. Jakość danych

Spółki z Grupy American Express, które przetwarzają dane osobowe Podmiotów danych, podejmą uzasadnione kroki w celu zapewnienia, że dane osobowe Podmiotów danych, które są niedokładne, uwzględniając cele, dla których są przetwarzane, będą niezwłocznie usuwane lub korygowane.

Dane osobowe Podmiotów danych będą przechowywane w formie umożliwiającej identyfikację Podmiotów danych przez czas nie dłuższy niż jest to konieczne do celów, dla których przetwarzane są dane osobowe. Dane osobowe mogą być przechowywane przez dłuższy okres do celów archiwizacji lub innych celów dozwolonych przez RODO lub obowiązujące prawo, i tylko w przypadku podjęcia odpowiednich środków technicznych i organizacyjnych.

 

3.4. Bezpieczeństwo i poufność

Wymagania tej zasady obejmują stosowanie odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych Podmiotów danych przed nieuprawnionym lub niezgodnym z prawem przetwarzaniem oraz przed przypadkową utratą, zniszczeniem lub uszkodzeniem.

 

3.5. Otwartość i dostęp do danych

Spółki Grupy American Express będą przestrzegać następujących praw przyznanych Podmiotom danych: prawo dostępu, prawo do poprawiania, prawo do bycia zapomnianym, prawo do ograniczenia przetwarzania, prawo do sprzeciwu wobec przetwarzania, prawo do wycofania zgody i prawo do niepodlegania decyzjom opartym wyłącznie na automatycznym podejmowaniu decyzji, w tym profilowaniu.

 

3.6. Międzynarodowe przekazywanie danych osobowych

Dane osobowe Podmiotów danych są przekazywane w obrębie całej grupy American Express. Ten przepływ danych jest usankcjonowany poprzez połączenie zatwierdzonych przez UE wiążących reguł korporacyjnych i umów dotyczących przekazywania danych, w tym wzorcowych umów UE. Dane szczególnych kategorii Podmiotów danych nie będą przekazywane dalej, chyba że Podmiot danych wyraził zgodę na takie przekazywanie.

 

3.7. Odpowiedzialność

Wszystkie spółki w Grupie American Express, które przetwarzają dane osobowe Podmiotów danych, będą w stanie wykazać zgodność z RODO, w tym poprzez prowadzenie ewidencji elektronicznej wszystkich kategorii czynności związanych z przetwarzaniem danych.

 

4. Zapewnienie prywatności

 

Spółki należące do Grupy American Express, które przetwarzają dane osobowe Podmiotów danych, będą stosować środki techniczne i organizacyjne mające na celu wdrożenie zasad ochrony danych i ułatwienie przestrzegania wymogów niniejszych Europejskich Zasad Wykonawczych.

 

5. Program zgodności z przepisami

5.1. Zgodność z przepisami

W celu zapewnienia zgodności z Zasadami oraz z Europejskimi Zasadami Wykonawczymi stworzono program zgodności z przepisami, który przewiduje regularne kontrole zgodności i audyty operacji prowadzonych przez Grupę American Express. Wyniki tych kontroli zgodności i audytów zostaną przekazane do globalnego biura ds. ochrony prywatności firmy American Express, inspektora ochrony danych AEESA, właściwych organów nadzorczych (jeśli jest to wymagane) oraz, w stosownych przypadkach, do Komitetu Audytu Rady Dyrektorów firmy American Express Company. W przypadku stwierdzenia luki w zakresie zgodności odpowiednia spółka z Grupy American Express w EOG musi spełnić wszelkie konkretne polecenia inspektora ochrony danych AEESA, a w przypadku, gdy polecenia nie mogą zostać spełnione, należy podać uzasadnienie i je udokumentować. Grupa American Express podda się również wszelkim kontrolom zgodności z przepisami przeprowadzonym przez jakikolwiek organ nadzorczy o właściwej jurysdykcji, niezależnie od tego, czy wszczęto je w odpowiedzi na skargę złożoną przez Podmiot danych, czy też z własnej inicjatywy organu nadzorczego.

 

5.2. Współpraca

Wszystkie spółki wchodzące w skład Grupy American Express, które przetwarzają dane osobowe Podmiotów danych, będą współpracować z właściwym organem nadzorczym przy rozpatrywaniu żądań, wyników audytów, zapytań i skarg. Jeśli organ nadzorczy stwierdzi, że spółka należąca do Grupy American Express naruszyła którekolwiek z praw wynikających z niniejszych Europejskich Zasad Wykonawczych, wówczas odpowiednia spółka z Grupy American Express zastosuje się do ustaleń organu nadzorczego, z zastrzeżeniem prawa do zaskarżenia lub odwołania się od takich ustaleń.

 

6. Zgodność z przepisami, egzekwowanie i odpowiedzialność

 

Wszystkie spółki z Grupy American Express, które przetwarzają dane osobowe Podmiotów danych, muszą przestrzegać postanowień Europejskich Zasad Wykonawczych oraz innych zasad i procedur, które są wiążące dla Grupy American Express. Spółki należące do Grupy American Express zapewnią zgodność z europejskimi przepisami krajowymi dotyczącymi ochrony danych i prywatności, a wszelkie ich egzekwowanie będzie zgodne z europejskimi przepisami krajowymi.

6.1. Egzekwowanie przepisów

Każdy Podmiot danych może egzekwować wobec AEESA lub jakiejkolwiek spółki z Grupy American Express, która przetwarza dane osobowe Podmiotów danych, warunki następujących postanowień Europejskich Zasad Wykonawczych jako beneficjent będący stroną trzecią:

 

  1. Prawa Podmiotu danych (sekcja 3);
  2. Konflikt prawny (sekcja 8);
  3. Pytania lub skargi (sekcja 9);
  4. Współpraca (sekcja 5.2); i
  5. Zgodność z przepisami, egzekwowanie i odpowiedzialność (sekcja 6.1 i 6.2).

 

Podmioty danych mają prawo do sądowych środków odwoławczych i prawo do uzyskania zadośćuczynienia, a w stosownych przypadkach — odszkodowania do wysokości rzeczywistych szkód poniesionych przez skarżącego w wyniku naruszenia wyżej wymienionych praw przysługujących stronom trzecim.

 

Podmioty danych mogą wnieść swoje roszczenie do właściwego sądu państwa członkowskiego EOG, w którym ma siedzibę odpowiednia spółka w Grupie American Express lub w którym Podmiot danych ma swoje miejsce stałego pobytu.

 

6.2. Odpowiedzialność

AEESA przyjmie odpowiedzialność za jakiekolwiek naruszenie Zasad lub Europejskich zasad wykonawczych przez spółkę należącą do Grupy American Express spoza EOG, która przetwarza dane osobowe Podmiotów danych. AEESA podejmie wszelkie niezbędne działania w celu zaradzenia działaniom lub zaniechaniom spółek z Grupy American Express, które przetwarzają dane osobowe Podmiotów danych.

 

AEESA zobowiązuje się do zapłaty odszkodowania za wszelkie szkody materialne lub niematerialne poniesione przez Podmioty danych w związku z jakimkolwiek naruszeniem Zasad lub Europejskich Zasad Wykonawczych. Odszkodowanie musi zostać uzgodnione przez inspektora ochrony danych AEESA przed złożeniem oferty zadośćuczynienia lub zapłaty. Odszkodowanie takie będzie w pełni zaspokajać roszczenie Podmiotu danych wobec wszystkich spółek w obrębie Grupy American Express. Dla uniknięcia wątpliwości odpowiedzialność AEESA rozciąga się na działania lub zaniechania jakiejkolwiek spółki z Grupy American Express, która nie ma siedziby w EOG.

 

Jeżeli spółka z Grupy American Express mająca siedzibę poza EOG naruszy Zasady lub Europejskie Zasady Wykonawcze, sądy lub inne właściwe organy w EOG będą miały jurysdykcję w odniesieniu do takiego naruszenia. W zakresie, w jakim spółka z Grupy American Express przetwarzająca dane osobowe Podmiotów danych narusza Europejskie Zasady Wykonawcze, Podmioty danych, organy nadzorcze i sądy właściwych jurysdykcji mogą wykonać swoje prawa i wnieść roszczenie wobec AEESA, tak jakby takie działania zostały podjęte przez AEESA w EOG.

 

Na AEESA spoczywa ciężar udowodnienia, że spółka z Grupy American Express mająca siedzibę poza EOG nie ponosi odpowiedzialności za jakiekolwiek domniemane naruszenie Zasad lub Europejskich Zasad Wykonawczych, które powoduje powstanie roszczenia Podmiotu danych o odszkodowanie za szkody. Jeżeli AEESA może udowodnić, że spółka z Grupy American Express spoza EOG nie jest odpowiedzialna za zdarzenie prowadzące do powstania szkody, AEESA i taka spółka mogą zostać zwolnione z odpowiedzialności i zobowiązań.

 

7. Szkolenie

 

American Express zapewni odpowiednie materiały szkoleniowe i kursy dla pracowników firmy American Express, którzy zbierają, wykorzystują lub mają dostęp do danych osobowych Podmiotów danych albo opracowują systemy przetwarzające dane osobowe Podmiotów danych, aby podtrzymać świadomość pracowników w zakresie ich obowiązków wynikających z Zasad i niniejszych Europejskich Zasad Wykonawczych.

 

8. Konflikt prawny

 

W przypadku, gdy spółka należąca do Grupy American Express ma powody sądzić, że prawo, któremu podlega, wyklucza zgodność z Zasadami lub Europejskimi Zasadami Wykonawczymi albo może mieć istotny wpływ na gwarancje określone w Zasadach lub Europejskich Zasadach Wykonawczych, odpowiedni przedstawiciel danej spółki z Grupy American Express poinformuje o tym inspektora ochrony danych w AEESA, chyba że jest to zabronione przez obowiązujące przepisy prawa. W razie potrzeby inspektor ochrony danych powiadomi o tym właściwy organ nadzorczy, z wyjątkiem w zakresie zakazanym przez obowiązujące prawo.

 

9. Pytania lub skargi

 

Podmiot danych może w dowolnym momencie złożyć skargę lub zgłosić roszczenie i skorzystać ze swoich praw w odniesieniu do Zasad lub niniejszych Europejskich Zasad Wykonawczych. Można je kierować do inspektora ochrony danych AEESA urzędującego w siedzibie AEESA pod adresem American Express Europe S.A. Avenida Partenón 12-14, 28042, Madryt. Więcej informacji na temat procesu rozpatrywania skarg dotyczących firmy American Express oraz sposobu złożenia skargi dotyczącej ochrony danych osobowych można znaleźć na stronie.

 

AMERICAN EXPRESS

Zasady korzystania ze strony  | Znaki handlowe | Centrum prywatności | Porównanie kursów EBC  | Mapa strony

Copyright © 2021 American Express Company