Kontakta oss  |  
  |  

Europeiska genomförandeprinciper



American Express bindande företagsregler – så kallade Binding Corporate Rules ”BCR” – är tillämpliga vid internationell överföring av personuppgifter inom American Express-koncernen i enlighet med tillämplig lagstiftning inom det Europeiska ekonomiska samarbetsområdet (”EES”). Våra BCR består av American Express principer för personuppgifts- och integritetsskydd och de Europeiska genomförandeprinciperna. Dessa har godkänts av Datainspektionen, som är tillsynsmyndighet i Sverige, och har varit i kraft sedan februari 2013.

Följande Europeiska genomförandeprinciper tillhandahåller information om hur American Express säkerställer efterlevnad av våra principer för personuppgifts- och integritetsskydd inom EES och hur klagomål gällande behandling av personuppgifter framförs inom EES.

PRINCIPER FÖR GENOMFÖRANDE
AV
AMERICAN EXPRESS PRINCIPER FÖR PERSONUPPGIFTS- OCH INTEGRITETSSKYDD
("DE EUROPEISKA GENOMFÖRANDEPRINCIPERNA")
INOM DET EUROPEISKA EKONOMISKA SAMARBETSOMRÅDET

Omfattning

Principerna för genomförande av American Express principer för personuppgifts- och integritetsskydd inom det Europeiska ekonomiska samarbetsområdet ("EES") (de "Europeiska genomförandeprinciperna") omfattar endast personer bosatta inom EES vars personuppgifter behandlas av American Express-koncernen inom EES och som även kan komma att behandlas av American Express-koncernen utom EES ("Registrerade Personer").

I synnerhet förklarar de Europeiska genomförandeprinciperna (i) hur American Express principer för personuppgifts- och integritetsskydd ("Principerna") ska upprätthållas av American Express Company, med säte i World Financial Center, 200 Vesey St. New York ("American Express" eller "Företaget") och samtliga företag i American Express-koncernen (gemensamt, "American Express-koncernen") och (ii) vissa krav som anges i EU-lagstiftning beträffande personuppgiftsskydd för Registrerade Personer.

American Express Services Europe Limited ("AESEL") är det europeiska bolag inom American Express-koncernen som ansvarar för att de Registrerade Personernas personuppgifter lagras eller bearbetas i enlighet med Principerna.

Samtliga Registrerade Personer som direkt är föremål för en förmån enligt dessa Principer eller de Europeiska genomförandeprinciperna kan genomdriva dessa bestämmelser mot AESEL såsom tredjepartsförmånstagare, i enlighet med vad som beskrivs nedan. American Express sammanfattning av behandlingen av personuppgifter     och genomförande av beslut och policys är också bindande för American Express-koncernen, men de kan inte verkställas direkt av de Registrerade Personerna eller av någon tredje part.

Tillgänglighet
Principerna och de Europeiska genomförandeprinciperna kommer att finnas tillgängliga på American Express webbplatser i samtliga länder inom EU. Om du inte har tillgång till Internet kan du begära en kopia av Principerna från AESEL:s personuppgiftsombud på den adress som anges nedan eller från det lokala American Express-kontoret i ditt land.

Dessa Principer och de Europeiska genomförandeprinciperna måste läsas tillsammans med den information och de villkor som gäller för den produkt eller tjänst du har erhållit, eller har för avsikt att erhålla från något bolag i American Express-koncernen. Denna information och dessa villkor kan innehålla ytterligare bestämmelser som är relevanta för behandlingen av personuppgifter i enlighet med nationella tillämpliga lagar och förordningar.

Beskrivning av behandlingen av personuppgifter
American Express är ett globalt betalningstjänst- och reseföretag. En beskrivning av de typer av personuppgifter som behandlas och på vilket sätt de behandlas, kan från tid till annan vara tillgänglig i American Express sammanfattning av behandlingen av personuppgifter .

Efterlevnadsprogram För att säkerställa att Principerna följs, har ett program för efterlevnad upprättats. Inom programmet utförs regelbundna kontroller av att American Express-koncernen följer Principerna. Resultatet av kontrollerna meddelas American Express Privacy Office (Integritetsavdelningen), relevanta tillsynsmyndigheter (om detta efterfrågas) och i förekommande fall American Express Companys styrelses revisionskommitté. Om det fastställs att en brist i efterlevnaden föreligger, måste det relevanta bolaget i American Express-koncernen besvara samtliga specifika förfrågningar från AESEL:s personuppgiftsombud. American Express-koncernen ska även samarbeta med samtliga efterlevnadskontroller som utförs av behöriga tillsynsmyndigheter, oavsett om dessa genomförs till följd av klagomål från en Registrerad Person eller på tillsynsmyndighetens eget initiativ.

Hantering av klagomål Beträffande eventuella klagomål (enligt definitionen nedan), kommer företag inom American Express-koncernen att följa och iaktta Förfarande för hantering av klagomål gällande personuppgifts- och integritetsskydd .

  • "Klagomål" anses vara samtliga uttryck för missnöje, både muntliga och skriftliga, via telefon, e-post, brev eller personligen framförda, från eller på uppdrag av en kund eller anställd eller någon annan Registrerad Person beträffande American Express-koncernens tillhandahållande av eller underlåtenhet att tillhandahålla tillräckliga säkerhetsgarantier för de personuppgifter som samlas in, behandlas och/eller överförs.

  • Ansvar och ansvarsskyldighet för hantering av klagomål som mottas av AESEL vilar på AESEL:s personuppgiftsombud.

  • Klagomål kommer att hanteras rättvist, konsekvent och snabbt.

  • Om det har beslutats att gottgörelse är lämpligt kommer AESEL att ge den klagande en rimlig ersättning enligt nedan, och ska efterkomma det erbjudande av gottgörelse som den klagande har godtagit. Ersättningen måste godkännas av AESEL:s personuppgiftsombud innan ett erbjudande om ersättning eller betalning kan ske.

  • Registrerade Personer kan vid missnöje med American Express-koncernens svar hänskjuta sina klagomål till den berörda dataskyddsmyndigheten eller till europeisk domstol. En lista med kontaktinformation till dataskyddsmyndigheter finns här:http://ec.europa.eu/justice_home/fsj/privacy/nationalcomm/index_en.htm.

  • AESEL kommer att kommunicera med och erkänna samtliga tillsynsmyndigheter med relevant jurisdiktion. Om en Registrerad Person framför klagomål hos den lokala tillsynsmyndigheten och tillsynsmyndigheten förklarar att ett företag i American Express-koncernen har brutit mot någon av rättigheterna under dessa Europeiska genomförandeprinciper, kommer det berörda företaget i American Express-koncernen att följa tillsynsmyndighetens beslut, med förbehåll för rätten att bestrida eller överklaga sådana beslut.


Efterlevnad och upprätthållande
Samtliga bolag i American Express-koncernen måste följa bestämmelserna i de Europeiska genomförandeprinciperna och American Express uppförandekod. Företag i American Express-koncernen kommer att säkerställa att de europeiska nationella dataskydds- och integritetslagarna efterlevs och att allt eventuellt upprätthållande kommer att ske i enlighet med de europeiska nationella lagarna.

Varje Registrerad Person, enligt definitionen ovan, kan göra gällande villkoren i Principerna och de Europeiska genomförandeprinciperna som tredjepartsförmånstagare och har rätt att begära ersättning för de faktiska skador som drabbat den klagande till följd av brott mot Principerna och/eller de Europeiska genomförandeprinciperna, inklusive, men inte begränsat till, skadestånd som tilldömts som ersättning för faktisk skada som den Registrerade Personen lidit som resultat av sådant brott.

Registrerade Personer vars uppgifter överförs från EES kan förutom att framföra rättsanspråk i EES-ursprungslandet för personuppgiftsöverföringen även framföra anspråket i landet där AESEL:s huvudkontor ligger, dvs. Storbritannien. Det är AESEL som har bevisbördan att påvisa att behandlingen av personuppgifter inte omfattas av Principerna.

Utbildning
American Express kommer att tillhandahålla lämpligt undervisningsmaterial och kurser för de anställda hos American Express som samlar in, använder eller har tillgång till personuppgifter eller som utvecklar system som behandlar personuppgifter, för att säkerställa att de är medvetna om sina skyldigheter enligt Principerna och de Europeiska genomförandeprinciperna.

Lagkonflikter
Om ett bolag inom American Express-koncernen har anledning att tro att gällande nationell europeisk lagstiftning hindrar bolaget från att fullgöra sina skyldigheter enligt Principerna eller de Europeiska genomförandeprinciperna ska bolaget omedelbart underrätta AESEL såvida detta inte är förbjudet i lag. AESEL kommer därefter att överväga hur man ska gå vidare och kommer om allvarliga tvivel föreligger att samråda med de behöriga tillsynsmyndigheterna.

Frågor om dessa Principer
Samtliga frågor om Principerna eller de Europeiska genomförandeprinciperna kan ställas till AESEL:s personuppgiftsombud på AESEL:s huvudkontor på American Express Services Europe Limited, Belgrave House, 76 Buckingham Palace Road, London, SW1W 9TX.

American Express sammanfattning av behandlingen av personuppgifter

Beskrivning av typer av personuppgifter

American Express är ett globalt betalningstjänst- och reseföretag som huvudsakligen ägnar sig åt två segment: i) kortutgivning och affärsnätverkstjänster, och (ii) reserelaterade tjänster. Den typ av personuppgifter som rutinmässigt behandlas av bolag i American Express-koncernen avser personuppgifter beträffande nuvarande, tidigare och framtida företagskunder, konsumenter, leverantörer och samarbetspartners i American Express-koncernen (tillsammans "Kunddata"). I enlighet med EU-direktivet 2007/64/EG ("Direktivet om betaltjänster"), har koncernen etablerat American Express Payment Services Limited ("AEPSL") som juridisk person för sina butiksinlösentjänster i Europa (referens nr.: 484347). Utöver koncernens egen robusta företagsledning och styrningspraxis kommer de betaltjänster som erbjuds av AEPSL att bli föremål för tillsyn av relevant myndighet för finansiella tjänster. Dessutom behandlar företag i American Express-koncernen personuppgifter och känsliga uppgifter för American Express-koncernens nuvarande, tidigare och framtida anställda och konsulter, oavsett om dessa är anställda på heltid, deltid, eller tillfälligt (gemensamt "Medarbetardata"). Känsliga kategorier av Medarbetardata innefattar information om arbetstagarnas hälsa, arbetshälsosystem, tillsyn över likabehandling, information om fackföreningar, information från medicinsk undersökning och provtagning, samt information från narkotika- och alkoholtester i länder där detta tillåts. American Express efterfrågar inte några känsliga Kunddata eftersom detta inte ingår i kundens förfrågan eller i någon annan av American Express tjänster. I den mån känsliga personuppgifter samlas in, kommer de endast att behandlas med de ytterligare datasäkerhetsåtgärder och med de lämpliga åtgärder som krävs enligt lag, inklusive enligt EU-direktiv 95/46/EG.

Beskrivning av olika typer av behandling och uppgiftsflöden
Personuppgifter överförs inom American Express-koncernen som är en världsomspännande organisation, och vidare till auktoriserade leverantörer och kunder. Detta flöde av information sker legitimt genom en kombination av EU-godkända bindande företagsregler ”BCR” (måste godkännas i varje medlemsstat) och överföringsavtal inklusive EU-modellkontrakt. Ingen utvärdering eller beslut om en registrerad person kommer att ske automatiskt såvida detta inte är tillåtet enligt tillämplig lag.

Flödet av personuppgifter för samtliga Kunddata och medarbetardata kan generellt beskrivas enligt följande:

Kunddata relaterat till kortet, utfärdande och affärsnätverkstjänster

För att utfärda ett kort till en kortinnehavare, kommer den lokala utfärdande enheten inom American Express-koncernen att samla in kortinnehavarens personuppgifter i operativt syfte och för att efterfölja regler. Den lokala utfärdande enheten ligger som huvudregel i det land där kortinnehavaren är bosatt. När kortet har utfärdats och kan nyttjas globalt kommer alla Kunddata att lagras centralt i flera av American Express-koncernens viktigaste servrar som alla är belägna i American Express-koncernens säkra datacenter i USA (Phoenix, Arizona, Salt Lake City, Utah). Dessutom, för att möjliggöra processen för kortets globala användning, är det värt att notera att både Kunddata och Medarbetardata kan överföras till andra länder utanför EU (t.ex. Indien och Malaysia).

När ett kort används hos en kvalificerad handlare var som helst i världen, sker det flera flöden av information:

  • Grundläggande transaktionsinformation sänds elektroniskt från försäljningsställets terminal till American Express-koncernens central, i landet eller regionen i fråga, som bekräftar transaktionen.

  • Den fullständiga transaktionsinformationen samlas sedan in av den lokala enheten för butiksinlösentjänster i American Express-koncernen som reglerar affären genom att betala handlaren och skicka detaljerad information om transaktionen till USA så att kortinnehavaren sedan faktureras för transaktionen.

Kunddata vid reserelaterade tjänster
Personuppgifter lämnas till American Express lokala resetjänstarrangörer av enskilda resenärer var som helst i världen samt när det gäller affärsresor av deras arbetsgivare. Dessa personuppgifter, som omfattar en profil som skapas av information som samlats in med resenärens samtycke, överförs sedan till den centrala databasen för ett av de globala bokningssystemen (såsom Galileo, Amadeus och Sabre) med vilka American Express-koncernen har ett samarbete. Detta innebär att när American Express-koncernen gör en reservation med hjälp av lokal passagerarinformation som lagras i bokningssystemet kommer detta att möjliggöra skapandet av en personlig reservation. Grundläggande information i den personliga reservationen kommer att användas av American Express-koncernen för att fakturera kunden priset för bokningen.

Medarbetardata

Medarbetardata lagras både centralt och icke-centralt i s.k. stordatorer på mellannivå och på lokala servrar inom hela American Express-koncernen. De flesta stordatorer finns i USA och Storbritannien men kan nås från hela världen av personal med särskild rätt att komma åt anställdas personuppgifter. Servrar på mellannivå och lokala replikerande servrar (endast för e-post och/eller arkivändamål) som lagrar information är fördelade på geografiska platser beroende på företagets behov.

Personuppgifter överförs för följande ändamål:

- Personaladministration (t.ex. tillsättningar eller avskedanden, lön, disciplinära åtgärder, pensionsrätter, arbetsledning eller andra personalfrågor beträffande koncernens personal).

- Brottsförebyggande åtgärder och lagföring av gärningsmän (t.ex. att förebygga och upptäcka brott samt gripande och lagföring av gärningsmän).

- Licensiering och registrering (t.ex. administrering av licensiering eller underhåll av officiella register).

- Hantering av register över anställda.

- Information och förvaltning av databanker (t.ex. upprätthållande av information eller databanker som ett referensverktyg eller allmän resurs. Detta inkluderar kataloger, listor, adresskalendrar och bibliografiska databaser).

- Taxering och uppbörd av skatter och övriga inkomster (t.ex. taxering och uppbörd av skatter, tullar, avgifter och övriga intäkter).

- Redovisning och revision (t.ex. tillhandahållande av redovisnings- och tillhörande tjänster samt tillhandahållande av en revision där en sådan granskning krävs).

Behandling efter överföring: Personaldata som överförs kommer att behandlas för administrering av HR-funktioner och underhåll av koncernens personal och kan vidare behandlas av tredjepartsleverantörer som tillhandahåller lönetjänster, hälsa och andra försäkringar samt övriga förmåner till de anställda.


Implementering av beslut och policy


Besluten i följande interna grupper och följande policys är bindande och ska användas av American Express-koncernen globalt för genomförande av Principerna:
1. American Express Services Europe Limited - Förfarande för hantering av klagomål gällande skydd för personuppgifter och integritet .

2. Uppförandekod .
3. American Express Privacy Office Policy.

  • American Express hanterar vanligtvis integritetsfrågor via American Express Privacy Office, en självständig avdelning med särskilt ansvar för de system, processer och rutiner som styr insamling, behandling och delning av personuppgifter om kunder, potentiella kunder och medarbetare. Privacy Office leder också ”Privacy Board” som sammanträder regelbundet för att granska integritetsfrågor, skapa lösningar och upprätta policys och riktlinjer.

  • Enligt förfarandet ”Privacy Policy Review Process”, måste Privacy Office genomföra en översyn av alla integritetspolicys var 24:e månad, eller i enlighet med denna policy. Eventuella ändringar som krävs till följd av till exempel, utveckling av tillämpliga lagar och förordningar måste granskas av ansvarig för Privacy Office eller Juridiska avdelningen (i förekommande fall).

4. American Express Company – Ledningspolicy.
  • Denna policy gäller alla lednings- och finanspolicys som ska genomföras inom American Express-organisationen. Detta inkluderar nya policys och ändringar av befintliga policys.

  • Alla American Express Business-grupper omfattas av denna policy.

  • Policy för ledningen:
    • kräver att alla frågor gällande ledning- och finanspolicy ska lösas via den globala gruppen för policys och rutiner (Global Policies and Procedures Group),

    • främjar aktivt ett globalt genomförande av företagets policy, som ersätter, där praktiskt möjligt, de regionala policys som ej går att anpassa,

    • fastställer globala företagspolicys auktoritet över regionala policydokument

    • anger det minimala innehållet i policydokument, och

    • fastställer tidsramar för definierade stadier för policyns införande, förberedelse och genomförande.

5. Avtal om tillhandahållande av tjänster.
  • American Express-koncernens standardavtal för upphandling kräver att alla säljare och tredjepartsdatabehandlare följer American Express-koncernens stränga krav på informationsskydd för att garantera säkerheten för alla personuppgifter som innehas av American Express-koncernen och behandlas av tjänsteleverantörer.

  • De avtalade kraven på informationsskydd har införlivats i alla avtal med tredje parter när behandling av personuppgifter övervägs.

  • Valet av tredjepartsdatabehandlare och -säljare bygger delvis på deras prestanda mot riskbedömningsmallar och översynen av deras datasäkerhetsrutiner och risker.

  • Tredjepartsdatabehandlare och -säljare måste styras av tillbörliga avtalsbestämmelser som inkluderar nödvändiga tekniska och organisatoriska säkerhetsåtgärder för att skydda American Express-koncernens data. Policyn fastställer som minimum att:
    • konsulter, underleverantörer och säljare ska teckna sekretessavtal och/eller avtal om yppandeförbud som en del av deras ursprungliga arbets- och anställningsvillkor/avtal även omfattande senare villkorsändring.

    • vissa avtal ska innehålla en vitesklausul som blir tillämplig vid behandling av Kunddata, eller information med begränsad åtkomst, på ett annat sätt än vad som föreskrivs i avtalet.

    • de säkerhetsregler och normer som följs av säljare ska vara lika med eller striktare än American Express-koncernens policys och normer. Säljares säkerhetspraxis ska också uppfylla gällande krav på dataskydd, eftersom krav kan komma att uppdateras från tid till annan.

6. Policy för underleverantörstjänster
  • American Express policy avseende underleverantörstjänster innebär att underleverantörer måste följa American Express-koncernens policys och normer när de anlitas av ett företag inom American Express-koncernen och att detta åtagande bekräftas skriftligen. Detta gäller all personal som deltar i val och övervakning av underleverantörer, inklusive American Express-koncernens personal, dess respektive samarbetspartners, dotterbolag, tredjeparts- konsulter, underleverantörer, säljare samt alla enskilda eller företag som beviljas extern åtkomst till American Express-koncernens informationskällor.

Uppförandekoden


Uppförandekoden uttrycker för närvarande följande beträffande de anställdas integritet:

"Vi måste skydda integriteten, sekretessen och säkerheten för personligt identifierbara uppgifter om anställda. Våra kollegor samt blivande och tidigare anställda, litar på att vi behandlar och använder deras personliga information på ett tillbörligt sätt. Av denna anledning måste vi känna till och vid varje tidpunkt följa American Express principer för anställdas personuppgifts- och integritetsskydd (American Express Employee Data Privacy Principles). Denna policy styr insamling, åtkomst till, behandling och offentliggörande av anställdas personuppgifter. Sådana uppgifter omfattar information om löner, medarbetarsamtal, funktionshinder och tjänstledighet, samt mer känsliga uppgifter som statligt utfärdade identifikationsnummer. Vi får endast använda dessa uppgifter för relevanta och särskilda affärssyften. Vi får inte dela denna information med någon, vare sig inom eller utanför vårt företag, som inte har rätt att känna till informationen. Dessutom måste vi vidta åtgärder för att på ett adekvat sätt vid varje tidpunkt skydda sådana uppgifter. Många länder har nationella lagstadgade krav avseende behandlingen av uppgifter om anställda. Kontakta Personalavdelningen om du är osäker på dessa krav."

Uppförandekoden uttrycker för närvarande följande beträffande kundernas integritet:


"Vi är ansvariga för att skydda den personliga integriteten, sekretessen och säkerheten för den kundinformation som anförtros vårt företag. För att upprätthålla vårt företags rykte och på bästa sätt betjäna våra kunder, har vårt företag åtagit sig att vaksamt skydda våra kunders integritet. Det innebär att vi måste samla in, behandla och skydda kundernas information enligt vår integritetspolicy (Online Privacy Statement och Minimum Standards for Safeguarding Customer Information Policy) för att skydda våra kunders personuppgifter. Vi får aldrig dela kundinformation med tredje part eller med någon kollega som inte har rätt att känna till informationen. Vi måste också vidta åtgärder för att förhindra oavsiktligt yppande av kundinformation. Vid eventuellt yppande, följ etablerade företagsrutiner. I händelse av incident där potentiella personuppgifter röjs, kontakta omedelbart CSI Data Privacy Office och Enterprise Incident Response (EIRP) på Lotus Notes. Dela inte några detaljer om incidenten med andra, vare sig internt eller externt, som inte har rätt till sådan kännedom. Se vår EIRP för mer information om att identifiera och rapportera situationer där personuppgifter röjs. Om en myndighet begär information om en av våra kunder, måste vi kontakta Juridiska avdelningen (General Counsel’s Office) innan vi tillhandahåller någon information. Dessutom har många länder nationella lagstadgade krav som styr användningen av kundinformation. Om du är osäker på de lokala kraven eller har andra frågor om integritet, bör du kontakta din närmsta chef, din efterlevnadsansvarige (Compliance Officer) eller Juridiska avdelningen."

Förfarande vid hantering av klagomål om personuppgifts- och integritetsskydd



American Express Services Europe Ltd
Förfarande vid hantering av klagomål om personuppgifts- och integritetsskydd

Kundnöjdhet
Vårt mål är att ge dig bästa möjliga service vid varje tillfälle. Vi inser dock att ibland kan misstag ske och vi behöver din hjälp för att bli bättre. Om något skulle bli fel så har vi inrättat ett förfarande för hantering av klagomål som är lätt att följa och som kommer att se till att du får snabba och grundliga svar på de eventuella klagomål eller frågor som du kan tänkas ha.

Klagomålsförfarandet
Detta klagomålsförfarande gäller dig som bor inom det Europeiska ekonomiska samarbetsområdet ("EES") och vars personuppgifter behandlas av bolag i American Express-koncernen med säte inom EES och som även kan komma att behandlas av bolag i American Express-koncernen med säte utom EES.
Om du är anställd i något av bolagen i American Express-koncernen och din fråga eller ditt klagomål avser din arbetsplats bör du förfara enligt de interna riktlinjer som på finns på intranätet.

Steg 1
Kontakta oss beträffande allmänna frågor om hantering av personuppgifter

Om du har några allmänna synpunkter eller funderingar på hur vi hanterar dina personuppgifter, kan du tala med någon i vårt kundserviceteam på ett av numren nedan:
08456080845 eller 0044 1293 820925
Alternativt kan du kontakta oss skriftligen på följande adress:
American Express Services Europe Ltd
Dept. 66
Amex House
Edward Street
Brighton BN88 1AH
United Kingdom
Du kan även kontakta oss via det lokala American Express-bolaget. Kontaktinformation anges i de handlingar som du tidigare har mottagit med nationella villkor, integritetsmeddelanden samt övrig dokumentation.
När du kontaktar oss, tala om:
  • Ditt namn

  • Ditt kontonummer

  • Typ av klagomål


Steg 2
Kontakta oss angående mer detaljerade förfrågningar

Om du önskar erhålla detaljerade uppgifter om vilka av dina personuppgifter som vi har och behandlar, eller om du vill göra några särskilda invändningar mot hur vi behandlar dina personuppgifter kan du göra en specificerad förfrågan. Med en specificerad förfrågan har du rätt att:
  • invända mot behandlingen av dina personuppgifter;

  • kräva att dina personuppgifter raderas eller förstörs;

  • korrigera dina personuppgifter;

  • blockera insamling av dina personuppgifter;

  • utöva dina åtkomsträttigheter som registrerad person, vilket ger dig rätt att:
    • få veta om American Express behandlar några av dina personuppgifter;

    • få en beskrivning av personuppgifterna som behandlas, anledningen till behandlingen och information om personuppgifterna kommer att ges ut till andra organisationer eller personer;

    • få en kopia av informationen som innehåller dina personuppgifter,

    • få information om källan till personuppgifterna, om möjligt, och

    • få veta anledningen till eventuella automatiserade beslut som fattats baserat på dina personuppgifter, samt

övrig information som kan finnas tillgängligt för dig enligt tillämplig lagstiftning.
Vi hanterar dessa förfrågningar centralt. Kontakta oss skriftligen på följande adress:
American Express Services Europe Ltd
Data Privacy Officer
Amex House
Edward Street
Brighton BN88 1AH
United Kingdom
När du kontaktar oss, tala om:
  • Ditt namn

  • Ditt kontonummer

  • Information om hur vi kan nå dig

  • Typ av klagomål

Vi kommer att kontakta dig snarast för att bekräfta din identitet. När detta är gjort kommer vi att försöka hantera din förfrågan inom 5 (fem) arbetsdagar. För vissa typer av ingående undersökningar uttas en mindre avgift, om så är fallet kommer vi att upplysa dig om denna avgift när vi kontaktar dig. I vissa fall kan du ha rätt till ersättning för eventuell underlåtenhet från American Express sida om vi inte har behandlat dina personuppgifter korrekt eller i enlighet med American Express principer för personuppgifts- och integritetsskydd

Steg 3
Svarstider

Under vissa omständigheter kanske det inte är möjligt för oss att lösa ditt problem omedelbart och vi kan behöva göra en mer ingående undersökning. Om så är fallet kommer vi att skriva till dig inom 10 (tio) arbetsdagar för att berätta vem som kommer att behandla dina frågor och hur lång tid det förmodligen kommer att ta att utreda frågan helt. Vårt mål är att ge dig ett fullständigt svar inom 4 (fyra) veckor. Om du inte är nöjd med detta svar ber vi dig informera oss om detta så att vi kan undersöka saken ytterligare.

Steg 4
Om du inte är nöjd
Om du tycker att vi inte har löst ditt klagomål tillfredsställande eller om du inte har fått ett slutgiltigt svar efter fyra veckor har du rätt att inge ditt klagomål till den lokala tillsynsmyndigheten för behandling av personuppgifter.
Du kan kontakta lämplig dataskyddsmyndighet i respektive land:

Land Österrike

Kontakta
Österreichische Datenschutzkommission
Ballhausplatz, 1
A - 1014 WIEN
Tel. +43 1 531 15 25 25
Fax +43 1 531 15 26 90
e-post: dsk@dsk.gv.at
webbplats

Belgien

Commission de la protection de la vie privée
Rue Haute, 139
B - 1000 BRUXELLES
Tel. +32 2 213 8540
Fax +32 2 213 8545
e-post: commission@privacy.fgov.be
webbplats

Bulgarien

Commission for Personal Data Protection
Mrs. Veneta Shopova
1 Dondikov Blvd.
Sofia 1000
Bulgarien
Tel. +3592 940 2046
Fax +3592 940 3640
e-post: kzld@government.bg
webbplats

Kroatien

Mr. Franjo LACKO
Director
Croatian Personal Data Protection Agency
Republike Austrije 25
10000 Zagreb
Kroatien
Tel. +385 1 4609 000
v Fax +385 1 4609 099
e-post: azop@azop.hr eller info@azop.hr
webbplats

Cypern

Commissioner for Personal Data Protection
Ms Goulla Frangou
40, Th. Dervis Street
CY - 1066 Nicosia
Tel. +357 22 818 456
Fax +357 22 304 565
e-post: commissioner@dataprotection.gov.cy
webbplats

Tjeckien

Mr. Igor Nemec
The Office for Personal Data Protection
Urad pro ochranu osobnich udaju
Pplk. Sochora 27
CZ - 170 00 Prague 7
Tel. +420 234 665 111
Fax +420 234 665 444
e-post: posta@uoou.cz
webbplats

Danmark

Datatilsynet
Borgergade 28, 5
DK - 1300 Köpenhamn K
Tel. +45 33 19.32.00
Fax +45 33 19.32.18
e-post: dt@datatilsynet.dk
webbplats

Estland

Estonian Data Protection Inspectorate
(Andmekaitse Inspektsioon)
Director General
Mr Viljar Peep (Ph.D)
Väike-Ameerika 19
10129 Tallinn
Estland
Tel. +372 6274 135
Fax +372 6274 137
e-post: viljar.peep @ dp.gov.ee
webbplats

Finland

Office of the Data Protection
Ombudsman
P.O. Box 315
FIN-00181 Helsingfors
Tel. +358 10 3666 700
Fax +358 10 3666 735
e-post: tietosuoja@om.fi
webbplats

Före detta jugoslaviska republiken Makedonien

Ms. Marijana MARUSIC
Directorate for Personal Data Protection
Samoilova 10
1000 Skopje
Före detta jugoslaviska republiken Makedonien
Tel. +389 (0) 2 3244 760
Fax +389 (0) 2 3244 766
e-post: info@dzlp.gov.mk
webbplats

Frankrike

Commission Nationale de l'Informatique et des Libertés
8, rue Vivienne, CS 30223
F-75002 Paris, CEDEX 02
Tel. +33 (0) 1 53 73 22 22
Fax +33 (0) 1 53 73 22 00
webbplats

Tyskland

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Husarenstraße 30
53117 Bonn
Tel. +49 (0) 228 997799 0 eller +49 (0) 228 81995 0
Fax +49 (0) 228 997799 550 eller +49 (0) 228 81995 550
e-post: poststelle@bfdi.bund.de
webbplats

Grekland

Grekiska dataskyddsmyndigheten
Kifisias Av. 1-3, PC 11523
Ampelokipi Aten, Grekland
Tel. +30 210 6475 600
Fax +30 210 6475 628
e-post: contact@dpa.gr
webbplats

Guernsey

Dr. Peter Harris C. Eng, MA, PhD, FBCS
Data Protection Commissioner
P.O. Box 642
Frances House
Sir William Place
St. Peter Port
Guernsey GY1 3JE
Tel. +44 1481 742074
Fax +44 1481 742077
e-post: dataprotection@gov.gg
webbplats

Ungern

Data Protection Commissioner of Hungary
Parlamentarisk kommissionär för dataskydd och informationsfrihet
Dr. Attila Péterfalvi
Nádor u. 22.
H - 1051 Budapest
Tel. +36 1 475 7186
Fax +36 1 269 3541
e-post: adatved@obh.hu
webbplats

Island

Icelandic Data Protection Agency
(Persónuvernd)
Rauðarárstíg 10
105 Reykjavík, Ísland
Tel. +354 510 9600
Fax +354 510 9606
e-post: postur@personuvernd.is
webbplats

Irland

Data Protection Commissioner
Canal House
Station Road
Portarlington
Co. Laois
Irland Lo-Call: 1890 25 22 31
Tel. +353 57 868 4800
Fax +353 57 868 4757
e-post: info@dataprotection.ie
webbplats

Isle of Man

Mr Iain McDonald
Data Protection Supervisor
Office of Data Protection Supervisor
P.O. Box 69
Douglas
Isle of Man IM99 1EQ
Brittiska öarna
Tel. +44 (0) 1624 693260
Fax +44 (0) 1624 6610
e-post: enquiries@odps.gov.im
webbplats

Italien

Garante per la protezione dei dati personali
Piazza di Monte Citorio, 121
I - 00186 Roma
Tel. +39 06 69677 1
Fax +39 06 69677 785
e-post: garante@garanteprivacy.it
webbplats

Jersey

The Office of the Data Protection Commissioner
Mrs. Emma Martins
Morier House
Halkett Place
St. Helier
Jersey JE1 1DD
Tel. +44 (0) 1534 441064
Fax +44 (0) 1534 441065
e-post: dataproteciton@gov.je, e.martins @ gov.je
webbplats

Lettland

Data State Inspectorate
Riga, Lettland
Director Ms Signe Plumina
Kr. Barona Street 5-4
LV - 1050 Riga
Tel. +371 6722 3131
Fax +371 6722 3556
e-post: info@dvi.gov.lv
webbplats

Lichtenstein

Dr. Philipp Mittelberger
Datenschutzbeauftragter des Fürstentums Liechtenstein
Stabsstelle für Datenschutz
Kirchstrass 8, Postfach 684
9490 Vaduz
Liechtenstein
Tel. +423 236 6091
Fax +423 236 6099
e-post: info@sds.llv.li
Verwaltung: http://www.sds.llv.li
Liechtenstein: http://www.liechtenstein.li

Litauen

State Data Protection
Inspectorate Director
Mr Algirdas Kuncinas
Žygimantu str. 11-6a
LT - 011042 Vilnius
Tel. + 370 5 279 14 45
Fax +370 5 261 94 94
e-post: ada@ada.lt
webbplats

Luxemburg

Commission nationale pour la protection des données
41, avenue de la Gare
L-1611 Luxembourg
Tel. +352 2610 60 1
Fax +352 2610 60 29
e-post: info@cnpd.lu
webbplats

Malta

Office of the Data Protection Commissioner
Data Protection Commissioner
Mr Paul Mifsud Cremona
2, Airways House
High Street, Sliema SLM 16, Malta
Tel. +356 2328 7100
Fax +356 2328 7198
e-post: commissioner.dataprotection@gov.mt
webbplats

Norge

Datatilsynet
Datainspektionen
P.O.Box 8177 Dep
N - 0034 OSLO
Tel. +47 22 39 69 00
Fax +47 22 42 23 50
e-post: postkasse@datatilsynet.no
webbplats

Polen

The Bureau of the Inspector General for the Protection of Personal Data
Mr Michal Serzycki
Inspector General for the Protection of Personal Data
ul. Stawki 2
00-193 Warszawa
Tel. +48 22 860 70 81
Fax +48 22 860 70 90
e-post: sekretariat@giodo.gov.pl
webbplats

Portugal

Comissão Nacional de Protecção de Dados
R. de São. Bento, 148-3°
P - 1200-821 LISSABON
Tel. +351 21 392 84 00
Fax +351 21 397 68 32
e-post: geral@cnpd.pt
webbplats

Rumänien

The National Supervisory Authority for Personal Data Processing
Mrs. Georgeta BASARABESCU
President
Str. Olari nr. 32
Sector 2, BUCURESTI
Cod postal 024057
Rumänien
Tel. +40 21 252 5599
Fax +40 21 252 5757
e-post: anspdcp@dataprotection.ro
webbplats

Slovakien

Office for Personal Data Protection of the SR
Mr Gyula Veszelei
President
Odborárske námestie c. 3
817 60, Bratislava
Slovakien
Tel. + 421 2 5023 9418
Fax + 421 2 5023 9441
e-post: statny.dozor@pdp.gov.sk eller gyula.veszelei@pdp.gov.sk
webbplats

Slovenien

Information Commissioner
Ms. Natasa Pirc Musar
Vošnjakova 1
SI - 1000 LJUBLJANA
Tel. +386 (0) 1 230 9730
Fax +386 (0) 1 230 9778
e-post: gp.ip @ ip-rs.si
webbplats webbplats

Spanien

Agencia de Protección de Datos
C/Jorge Juan, 6
E - 28001 MADRID
Tel. +34 91399 6200
Fax +34 91455 5699
e-post: internacional@agpd.es
webbplats

Sverige

Datainspektionen
Fleminggatan, 14
9th Floor
Box 8114
S - 104 20 STOCKHOLM
Tel. +46 8 657 6100
Fax +46 8 652 8652
e-mail: datainspektionen@datainspektionen.se
website

Schweiz

Data Protection Commissioner of Switzerland
Eidgenössischer Datenbeauftragter
Hanspeter THÜR
Feldeggweg 1
CH - 3003 Bern
Tel. +41 (0) 31 322 4395
Fax +41 (0) 31 325 9996
e-post: info@edsb.ch
webbplats

Nederländerna

College bescherming persoonsgegevens (CBP)
Dutch Data Protection Authority
Juliana van Stolberglaan 4-10
P.O.Box 93374
NL - 2509 AJ Den Haag
Nederländerna
Tel. +31 70 888 8500
Fax +31 70 888 8501
e-post: info@cbpweb.nl
webbplats
webbplats

Storbritannien

Mr Richard Thomas
Information Commissioner
The Office of the Information Commissioner Executive Department
Water Lane, Wycliffe House
UK - WILMSLOW - CHESHIRE SK9 5AF
Tel. +44 1 625 54 57 00 (växel)
e-post: använd online-formuläret på vår webbplats
webbplats


Steg 5
Väcka talan i domstol
Om du inte lyckas erhålla det svar du behöver från någon av oss eller från din lokala tillsynsmyndighet kan du väcka talan vid en lokal domstol. I detta läge, rekommenderar vi att du först konsulterar en oberoende och lämpligt kvalificerad juridisk rådgivare. American Express kommer att acceptera rättsanspråk mot antingen din lokala American Express-enhet eller direkt mot AESEL.
Principerna och de Europeiska genomförandeprinciperna är bindande för American Express-koncernen och ger dig rättigheter som avtalsenlig tredjepartsförmånstagare enligt programdokumentationen.
Om du behöver ta reda på namnet på din lokala American Express-enhet eller har andra frågor om det femte steget, vänligen kontakta oss med hjälp av uppgifterna i steg 2 "Kontakta oss angående mer detaljerade förfrågningar". I detta fall behöver du inte betala någon administrativ avgift.