Europeiska genomförandebestämmelser

 

 

American Express tillämpar bindande företagsbestämmelser (härefter ”BCR”) för att säkerställa att överföring av personuppgifter internationellt inom American Express-koncernen sker i enlighet med de dataskyddsregler som är tillämpliga inom det Europeiska ekonomiska samarbetsområdet (EES). Våra BCR består av American Express principer för data- och integritetsskydd samt dessa Europeiska genomförandebestämmelser. De har godkänts av Information Commissioner’s Office, den lokala Dataskyddsmydigheten i Storbritannien och har gällt sedan 28 januari 2013.

De Europeiska genomförandebestämmelserna innehåller information om hur American Express säkerställer efterlevnad av våra Principer för data- och integritetsskydd inom EES och hur man kan anmäla ett klagomål avseende sekretess inom EES.

 

BESTÄMMELSER
FÖR GENOMFÖRANDE AV AMERICAN EXPRESS PRINCIPER FÖR DATA- OCH INTEGRITETSKYDD INOM
DET EUROPEISKA EKONOMISKA SAMARBETSOMRÅDET (de ”EUROPEISKA
GENOMFÖRANDEBESTÄMMELSER”).

 

1.       Omfattning

 

 Bestämmelserna för genomförandet av American Express principer för data- och integritetsskydd inom det Europeiska ekonomiska samarbetsområdet (härefter ”Europeiska genomförandebestämmelser”) gäller för personuppgifter om en person som är eller har: (i) hanterats i samband med aktiviteter hos ett American Express-bolag som är registrerat i EES, (ii) hanterats av ett American Express-bolag som är registrerat utanför EES där  hanteringsaktiviteterna särskilt gäller erbjudande av varor eller tjänster till personer inom EES, eller (iii) hanterats av ett American Express-bolag som är registrerat utanför EES där hanteringsaktiviteterna särskilt gäller övervakning av individers beteenden inom EES (de registrerade).

 

Observera att hanteringsaktiviteterna för (ii) och (iii) ovan är begränsade till hanteringsaktiviteter som riktas mot personer inom EU, antingen genom att erbjuda varor eller tjänster till dem eller genom att övervaka deras beteende.

 

De Europeiska genomförandebestämmelserna anger (i) hur American Express principer för data- och integritetskydd (Principerna) ska genomföras av American Express Company, med säte i World Financial Center, 200 Vesey St. New York, NY 10285 (American Express eller Bolaget) samt vart och ett av bolagen i  American Express-koncernen som hanterar personuppgifter tillhörande de registrerade [JMW2] (samlat benämnt American Express-koncernen) och (ii) hur American Express-koncernens BCR-er träder i kraft. American Express Europe S.A. (AEESA) är det europeiska bolag inom American Express-koncernen som har ansvar för att säkerställa att de registrerades personuppgifter lagras och hanteras i enlighet med Principerna och De Europeiska genomförandebestämmelserna. 

 

Alla registrerade  som direkt omfattas av Principerna eller de Europeiska genomförandebestämmelserna kan vända sig till AEESA för att hävda sin rätt enligt vad som beskrivs nedan.  

 

Avseende de Europeiska genomförandebestämmelserna betyder "personuppgifter" all information om en identifierad eller identifieringsbar fysisk person, en identifieringsbar fysisk person är en person som kan identifieras, direkt eller indirekt, i synnerhet genom en identitetsbeteckning som namn, id-nummer, platsinformation, en identitetsbeteckning på internet eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, mentala, ekonomiska, kulturella eller sociala identitet.

 

2.       Tillgänglighet

 

Principerna och de Europeiska genomförandebestämmelserna finns att tillgå på American Express webbsidor i alla respektive länder inom EES. Det är även möjligt att begära en kopia av Principerna och de Europeiska genomförandebestämmelserna i något annat format från AEESA:s datakyddsombud  på adressen nedan eller från den lokala Amerikan Express-enheten som ansvarar för dina uppgifter.

 

Principerna och De Europeiska genomförandebestämmelserna ska läsas tillsammans med Sekretesspolicy online (kunder) eller Sekretessmeddelande för rekrytering online (för eventuella medarbetare), och andra meddelanden och användarvillkor som gäller i samband med din relation till American Express. Dessa meddelanden och användarvillkor kan innehålla ytterligare villkor som är relevanta när det gäller hantering av personuppgifter i enlighet med gällande nationella lagar och bestämmelser.

 

3       Registrerades rättigheter

 

I enlighet med dessa Europeiska genomförandebestämmelser ska Principerna ändras enligt följande, för att efterleva EU:s allmänna dataskyddsförordning (GDPR), för de bolag i American Express-koncernen som hanterar Personuppgifter om Registrerade.

3.1.   Insamlande

Hantering av Personuppgifter om Registrerade ska ske lagligt, rättvist och på ett öppet sätt i relation till de Registrerade. Bolag inom American Express-koncernenbedriver verksamhet inom globala betalningstjänster och resor. En beskrivning av de olika slags personuppgifter och särskilda kategorier av personuppgifter som hanteras och det sätt på vilket de hanteras finns i sekretessmeddelandena och andra meddelanden och villkor som du får när du inleder ditt samarbete med oss. 

 

American Express-koncernens bolag samlar endast in personuppgifter om Registrerade för specifika, uttryckta och legitima syften, och ska se till att personuppgifter inte hanteras vidare på ett sätt som inte stämmer överens med sådana syften.

 

3.2.  Meddelanden, rättvisa och öppenhet

American Express-koncernens bolag som är skyldiga att tillhandahålla information till Registrerade enligt GDPR ska ge Registrerade rätt till att enkelt komma åt informationen som krävs. Informationen ska tillhandahållas till den Registrerade i ett koncist, öppet, begripligt och lättillgängligt format på ett enkelt och tydligt språk. Informationen är tillgänglig i Meddelandet för internetsekretess (kunder) eller Sekretessmeddelande för rekrytering online (för eventuella medarbetare).

 

3.3   Uppgifternas kvalitet 

American Express-koncernens bolag som hanterar personuppgifter om Registrerade ska vidta rimliga åtgärder för att se till att Registrerades personuppgifter som är felaktiga, med avseende på syftet för vilket de samlats in, omedelbart raderas eller korrigeras. Personuppgifter om Registrerade ska lagras i ett format som inte möjliggör identifiering av Registrerade för en längre tid än vad som är nödvändigt för de syften för vilka personuppgifterna hanteras. Personuppgifter får lagras under en längre tid för arkivering eller annat som tillåts i GDPR eller gällande lag, och endast då lämpliga tekniska och organisatoriska åtgärder vidtas.

 

3.4.  Säkerhet och sekretess 

Kraven i den här principen innefattar lämpliga tekniska och organisatoriska åtgärder för skydd av de Registrerades personuppgifter mot icke godkänd eller olaglig hantering och mot oavsiktlig förlust, förstörelse eller skada.

 

3.5. Öppenhet och åtkomst till uppgifter

Bolagen inom American Express-koncernen ska följa följande rättigheter för Registrerade: rätt till information, rätt till korrigering, rätt att motsätta sig hantering, rätt att återta samtycke och rätt att inte omfattas av beslut som enbart grundar sig på automatiserad beslutsfattning, inklusive profilering.

 

3.6.  Internationella överföringar

Registrerades Personuppgifter överförs inom American Express-koncernen. Dataflödet är legitimt genom en kombination av EU-godkända Bindande företagsregler (BCR) och avtal om uppgiftsöverföring inklusive EU:s modellavtal. Särskild kategoridata om Registrerade får inte överföras vidare om inte den Registrerade har gett sitt samtycke till sådan överföring.

 

3.7.   Ansvarsskyldighet

Alla bolag inom American Express-koncernen som hanterar Registrerades personuppgifter ska vara ansvariga för, och kunna visa efterlevnad av GDPR, inklusive underhåll av elektroniska register för alla hanteringsaktiviteters kategorier för av kunna visa sådan efterlevnad.

 

4.       Inbyggt integritetsskydd

Express-koncernen som hanterar Registrerades personuppgifter ska använda tekniska och organisatoriska åtgärder som har tagits fram för att införa uppgiftskyddsprinciper och för att underlätta efterlevnad av kraven i de Europeiska genomförandebestämmelserna.

 

5.     Program för efterlevnad 

5.1.  Efterlevnad 

För att säkerställa efterlevnad av Principerna och de Europeiska genomförandebestämmelserna har ett efterlevnadsprogram inrättats som innehåller regelbundna kontroller och granskningar av efterlevnaden när det gäller verksamheten i American Express-koncernen. Resultatet  av efterlevnadskontrollerna och granskningarna skickas till American Express Kontor för Global sekretess, AEESA:s dataskyddssombud, lämpliga tillsynsmyndigheter (om så begärts) och där det är lämpligt även till American Express-bolagets granskningskommitté inom styrelsen. Om man upptäcker en brist i efterlevnaden måste lämpligt bolag inom EES i American Express-koncernen följa alla särskilda begäranden från AEESA:s personuppgiftsombud och om begäranden inte kan följas ska skälen för detta dokumenteras. American Express-koncernen ska även samarbeta med alla efterlevnadskontroller som genomförs av tillsynsmyndigheter som har lämplig jurisdiktion, vare sig dessa har påbörjats som svar på ett klagomål från en Registrerad eller på initiativ av tillsynsmyndigheten.

 

5.2. Samarbete

Alla bolag inom American Express-koncernen som hanterar personuppgifter om Registrerade ska samarbeta med alla relevanta tillsynsmyndigheter vid hantering av krav, granskningar, frågor och klagomål.  Om tillsynsmyndigheten upptäcker att något bolag inom American Express-koncernen har brutit mot någon av rättigheterna i de Europeiska genomförandebestämmelserna ska det relevanta bolaget inom American Express-koncernen följa det som tillsynsmyndigheten funnit, med rätt att ifrågasätta eller överklaga sådana fynd.

 

6.       Efterlevnad, verkställighet och ansvarsskyldighet

 

Alla bolag inom American Express-koncernen som hanterar personuppgifter om Registrerade måste följa bestämmelserna i de Europeiska
genomförandebestämmelserna och andra policyer och rutiner som är bindande för American Express-koncernen. Bolag i American Express-koncernen ska säkerställa efterlevnad med europeiska nationella lagar och bestämmelse om uppgiftsskydd och att all verkställighet som sker följer dessa europeiska lagar.

 

6.1. Verkställighet

Alla Registrerade kan göra anspråk gentemot AEESA eller bolag inom American Express-koncernen som hanterar personuppgifter om Registrerade avseende villkoren i följande bestämmelser i de Europeiska genomförandebestämmelserna i egenskap av tredje parts-förmånstagare:

a)     Registrerades rättigheter (avsnitt 3),

b)     Lagkonflikter (avsnitt 8),

c)      Frågor och klagomål (avsnitt 9),

d)     Samarbete (avsnitt 5.2), och

e)     Efterlevnad, verkställighet och ansvarsskyldighet (avsnitt 6.1 och 6.2).

Registrerade har rätt till juridiska korrigerande åtgärder vid avtalsbrott och rätt att erhålla ersättning och, där det är lämpligt, kompensation med upp till den verkliga skadan som den klagande har lidit som ett resultat av överträdelsen av den ovan nämnda rättigheterna för tredje parts-förmånstagare. Registrerade kan vända sig till en behörig domstol inom EU med sin klagan där det aktuella bolaget inom American Express-koncernen är registrerat eller där den Registrerande är folkbokförd.

 

6.2.  Ansvarsskyldighet

AEESA antar ansvar för överträdelser av Principerna eller de Europeiska genomförandebestämmelserna som begås av bolag inom American Express-koncernen utanför EU som hanterar personuppgifter om Registrerade. AEESA vidtar nödvändiga åtgärder för att ersätta ageranden eller underlåtenhet som gäller bolag inom American Express-koncernen som hanterar personuppgifter om Registrerade.

 

AEESA är skyldigt att betala ersättning för materiella och icke-materiella skador som Registrerade lidit i samband med överträdelse av Principerna eller de Europeiska genomförandebestämmelserna. Ersättningen måste godkännas av AEESA:s dataskyddsombud innan ett erbjudande om ersättning eller betalning kan göras. Sådan ersättning ska fullgöra hela den Registrerades ersättningsanspråk gentemot alla bolag inom American Express-koncernen. För att undvika tveksamheter omfattar AEESA:s skyldigheter alla ageranden eller underlåtenheter avseende alla bolag inom American Express-koncernen som inte ligger inom EU.

 

Om ett bolag inom American Express-koncernen som ligger utanför EU överträder Principerna eller de Europeiska genomförandebestämmelserna kommer domstolar eller andra behöriga myndigheter inom EU ha jurisdiktion gällande sådan överträdelse. Om ett bolag inom American Express-koncernen som hanterar personuppgifter skulle överträda de Europeiska genomförandebestämmelserna kan Registrerade, tillsynsmyndigheter och
domstolar med gällande jurisdiktion utöva sina rättigheter och lämna in en klagan gentemot AEESA som om agerandet hade utförts av AEESA inom EU.

 

AEESA har bevisskyldighet för att visa att bolaget inom American Express-koncernen som ligger utanför EU inte är skyldigt till den påstådda  överträdelsen av Principerna eller de Europeiska genomförandebestämmelserna som har lett till den Registrerades begäran om kompensation för skada. Om AEESA kan bevisa att bolaget inom American Express-koncernen utanför EU inte är skyldigt till händelsen som lett till skadan kan AEESA och bolaget i fråga avsäga sig ansvaret och ansvarsskyldigheten.

 

7.      Utbildning

 

American Express kommer att tillhandahålla lämpligt utbildningsmaterial och kurser till American Express-medarbetare som samlar in, använder och har tillgång till personuppgifter om Registrerade, eller som utvecklar system som hanterar personuppgifter om Registrerade för att säkerställa att de känner till sina skyldigheter i enlighet med Principerna och de Europeiska genomförandebestämmelserna.

 

8.      Lagkonflikter

 

Om ett bolag inom American Express-koncernen har skäl att anta att en lag som man omfattas av utgör ett hinder för efterlevnad av Principerna eller de Europeiska genomförandebestämmelserna, eller sannolikt kommer ha väsentlig påverkan på de garantier som lämnas i Principerna eller de Europeiska genomförandebestämmelserna ska lämplig kontaktperson för det aktuella bolaget inom American Express-koncernen informera AEESA:s personuppgiftsombud, såvida det inte är förbjudet enligt gällande lagstiftning.  Där så är nödvändigt ska personuppgiftsombudet meddela behörig tillsynsmyndighet, såvida det inte är förbjudet enligt gällande lagstiftning.

 

9.       Frågor och klagomål

 

En Registrerad kan när som helst skicka in ett klagomål eller en begäran och utöva sina rättigheter med avseende på Principerna eller de Europeiska genomförandebestämmelserna. De kan skickas till AEESA:s dataskyddssombud på AEESA:s huvudkontor: Data Proctection Officer, American Express Europe S.A. Avenida Partenón 12-14, 28042, Madrid, ESPANA. Klicka här för mer information om hur American Express hanterar klagomål och hur du lämnar in ett klagomål