American Express Bindande Företagsbestämmelser EU (EU BFB)
Table of Contents
- Inledning
- De Bindande Företagsbestämmelsernas Bindande Natur
- Våra Bindande Företagsbestämmelsers Omfattning
- Hur Skyddar American Express Dina Personuppgifter?
- American Express Dataskyddsansvarigs Nätverk
- Utbildning Och Medvetandegörande
- Kontroll Och Revision
- Efterlevnad, Verkställighet Och Ansvarsskyldighet
- Hur Skickar Man In Ett Klagomål Och Tillämpar EU:S BFB-er?
- Skyldighet Att Samarbeta Med Tillsynsmyndigheter
- Hur Hanteras Eventuella Lagval?
- Uppdateringar Av EU:S BFB-er
Bilaga 1 – Natur Och Syften Med Att Överföra Personuppgifters Inom Ramen För BFB-er
Bilaga 2– American Express BFB-enheters Platser
1.1. Översikt
American Express värdesätter ditt förtroende och respekterar din integritet.
Dataskydd och informationssäkerhet är prioriteringar som vårt företag har gjort sedan en lång tid tillbaka. Vi är en multinationell organisation och vi har åtagit oss att skydda personuppgifter, oavsett var de används och alla personuppgifter som American Express samlar in hanteras i enlighet med våra Principer för dataskydd och sekretess.
2012 var American Express ett av de första företagen som publicerade bindande företagsbestämmelser (BFB), då godkända av den brittiska dataskyddsmyndigheten, Information Commissioner’s Office. Än idag utgör de bindande företagsbestämmelserna grunden till det ramverk för dataskydd som vi använder, vilket främjar en robust efterlevnadskultur i hela vår organisation.
Våra bindande företagsbestämmelser styr våra internationella överföringar av personuppgifter inom American Express BFB-enheter i enlighet med gällande dataskyddsbestämmelser och säkerställer att dina personuppgifter alltid har ett fullgott skydd oavsett vart de överförs.
1.2. Enkel åtkomst till de bindande företagsbestämmelserna
Våra bindande företagsbestämmelser finns på American Express webbsidor i hela Europa. Du kan även begära att få en kopia av våra bindande företagsbestämmelser i ett annat format från vårt Dataskyddsombud på adressen nedan eller från den lokala American Express-enhet som är ansvarig för dina personuppgifter. Observera att den ansvariga tillsynsmyndigheten för våra bindande företagsbestämmelser är Agencia Española de Protección de Datos (AEPD).
Våra bindande företagsbestämmelser är bindande för American Express BFB-enheter och deras anställda genom ett koncerninterntavtal mellan American Express Company och American Express Europe, S.A. (AEESA), juridisk representant för American Express inom EES.
Varje American Express BFB-enhet och deras anställda får bara behandla personuppgifter enligt dessa BFB-er. Anställda som bryter mot BFB-erna kan komma att omfattas av disciplinära åtgärder.
3.1. Geografisk omfattning
Våra BFB-er gäller för all behandling av personuppgifter som omfattas av gällande dataskyddslagar. Det innefattar personuppgifter om en registrerad som behandlas eller har behandlats i samband med aktiviteter hos en American Express BFB-enhet i EES även om behandlingen utförs av en American Express BFB-enhet utanför EES.
3.2. Materiell omfattning
I egenskap av personuppgiftsansvarig behandlar American Express personuppgifterna för tidigare, nuvarande och eventuella framtida medarbetare, direktörer, underleverantörer, enskilda konsulter, projektanställda som anställts av American Express vare sig heltid, deltid, tills vidare eller tillfälligt (”medarbetare”) och personuppgifter för tidigare, nuvarande och eventuella framtida American Express-konsumenter och fysiska personer som arbetar hos företagskunder, leverantörer och partner till American Express (”kunder”).
De syften för vilka American Express behandla personuppgifter har framför allt att göra med tjänster för konsumenter, handel, handlare, försäkring, resor, möten och evenemang samt nätverk samt personalledning.
För att utföra American Express globala aktiviteter kan behandlingen av personuppgifter som görs av American Express BFB-enheter, i samband med de syften som anges i BFB-erna innefatta internationella överföringar av personuppgifter om registrerade, från alla EES American Express BFB-enheter till andra American Express BFB-enheter utanför EES (inklusive från länder inom EES till USA där American Express huvudservrar finns) samt andra vidare överföringar av de mottagna personuppgifterna till tredje part utanför American Express-koncernen.
För mer omfattande information om American Express behandlings-aktiviteter hänvisar vi till bilaga 1. För att se var American Express BFB-enheter ligger hänvisar vi till bilaga 2.
När de behandla dina personuppgifter har American Express BFB-enehter ett åtagande att efterleva robusta dataskyddsprinciper (avsnitt 4.1) och att respektera dina dataskyddsrättigheter (avsnitt 4.2).
4.1.Dataskyddsprinciper
4.1.1. Transparens och rättvisa
American Express BFB-enheter samlar in och behandla dina personuppgifter på ett transparent och rättvist sätt.
Vi säkerställer att du får enkel åtkomst till information om våra behandlingsaktiviteter enligt vad som gäller i den allmänna dataskyddsförordningen (GDPR). Informationen görs tillgänglig för dig i ett samlat, transparent, lättförståeligt och lättillgängligt format. Vi använder ett klart och tydligt språk och informationen finns tillgänglig i relevanta sekretessmeddelanden från American Express beroende på vad som är relevant för vår relation. Meddelandena och användarvillkoren kan även innehålla ytterligare villkor som gäller för behandling av personuppgifter enligt nationella lagar och bestämmelser.
I synnerhet om personuppgifterna samlas in från den registrerade så kan följande information lämnas vid den tidpunkt då personuppgifterna samlas in:
- identitet och kontaktuppgifter till den personuppgiftsansvariga även om dennes representant om det är tillämpligt,
- kontaktuppgifter till den dataskyddsansvariga,
- syftet med behandlingen för vilken personuppgifterna är avsedda samt den rättsliga grunden för behandlingen,
- mottagare eller mottagarkategorier av personuppgifterna, om sådana finns,
- förekomst av personuppgifts-överföringar till länder som inte har tillräcklig skyddsnivå och lämpliga skyddsåtgärder som vidtagits för att säkerställa samma skyddsnivå som enligt den allmänna dataskyddsförordningen (GDPR),
- perioden för vilken personuppgifterna kommer lagras, eller om det inte är möjligt, vilka kriterier som används för att bestämma sådan period, samt förekomst av registrerades rättigheter enligt den allmänna dataskyddsförordningen (GDPR).
Om personuppgifter inte har samlats in från den registrerade kommer tidigare information samt kategorier av personuppgifter som är berörda och den källa från vilken personuppgifterna kommer dessa meddelas i tid (om den registrerade inte redan har informationen, tillhandahållande av sådan information skulle visa sig vara omöjlig eller skulle innebära orimliga ansträngningar, om inhämtning eller delning uttryckligen uttrycks av EU eller medlemsstaten eller om personuppgifterna måste förbli konfidentiella på grund av skyldighet om yrkessekretess enligt bestämmelse eller lag i EU eller medlemsstat, inklusive lagstadgad sekretess).
Våra BFB-er informerar dig även om de rättigheter du har gentemot AEESA och andra American Express BFB-enhet som berättigad tredje part avseende behandling av dina personuppgifter enligt dessa BFB-er (berättigad tredje parts rättigheter) och om vilka medel som finns för att utöva sådan rättighet (se avsnitt 8). Dessutom ger dessa BFB-er dig information om de dataskyddsprinciper som vi använder när vi behandla dina personuppgifter (enligt avsnitt 4) samt information om de skyldigheter som American Express BFB-enheter har vid eventuella brott mot dessa BFB-er (se avsnitt 8)..
Dessutom kan du alltid på begäran erhålla en kopia av våra BFB-er. En offentlig version finns på American Express BFB-enheternas offentliga webbsidor inom EES samt på vårt intranät om du är medarbetare.
4.1.2. Laglighet i behandlingen
Dina personuppgifter och särskilda kategorier av personuppgifter samlas in och bearbetas rättvist och lagligt i enlighet med gällande dataskyddsbestämmelser. De lagliga grunderna för behandling av dina personuppgifter beskrivs mer i detalj i American Express sekretessmeddelanden beroende på ditt förhållande med American Express.
• Hantering av personuppgifter
Dina personuppgifter samlas in och bearbetas endast om det finns en laglig grund för behandlingen:
- om du har gett ditt uttryckliga samtycke (till exempel för att skicka dig e-postkommunikation med annonser, kampanjer och erbjudanden om American Express produkter och tjänster),
- om behandlingen är nödvändig för att utföra ett avtal där du är part eller för att vidta åtgärder på din begäran innan avtal ingås (till exempel för att administrera ett avtalsförhållande med dig och bearbeta din kortansökan, kontoansökan eller annan produkt eller för att hantera dina befintliga konton),
- om behandlingen är nödvändig för att efterleva en juridisk skyldighet (till exempel att rapportera misstänkta transaktioner till behöriga myndigheter enligt lagar och bestämmelser om pengatvätt eller enligt lag för att utföra bakgrundskontroller om kunder innan deras ansökningar kan godkännas), eller
- om behandlingen är nödvändig för legitima syften som en American Express BFB-enhet har eller tredje part(-er) (till exempel för att leverera produkter och tjänster, annonsera och marknadsföra produkter och tjänster, genomföra undersökningar och analyser samt hantera våra bedrägeri- och säkerhetsrisker) förutom om sådana intressen åsidosätts av dina intressen eller grundläggande fri- och rättigheter.
• Behandling av särskilda kategorier av personuppgifter
Vi kan samla in särskilda kategorier av personuppgifter inklusive data om hälsa, biometriska data, sexuell läggning och etniskt ursprung. Uppgifterna samlas in och bearbetas för att leva upp till lagliga krav för syften som är nödvändiga för att administrera en anställning eller om explicit samtycke finns och endast om det är tillåtet enligt gällande lagar.
Ibland kan du förse oss med den typen av uppgifter för att din upplevelse hos oss ska bli bättre (till exempel om du informerar oss om särskild kost eller behov av särskild assistans under en flygresa).
I den begränsade utsträckning som särskilda kategorier av personuppgifter samlas in kommer de endast att bearbetas enligt en av de lagliga grunder som nämnts ovan och förutsatt att villkoren för behandling av särskilda kategorier av personuppgifter gäller, till exempel om:
du har gett ditt uttryckliga samtycke till behandlingen,
- behandlingen är nödvändig för att utföra American Express särskilda skyldigheter och rättigheter inom anställning och socialförsäkring och socialförsäkringslagen,
- behandlingen är relaterad till särskilda kategorier av personuppgifter som du har offentliggjort,
- behandlingen är nödvändig för att upprätta, utöva eller försvara juridiska anspråk,
- behandlingen är nödvändig av skäl som är av väsentligt offentligt intresse baserat på EU-lag eller medlemsstats lag.
Dessutom kommer American Express BFB-enheterna att vidta förstärkta åtgärder för att bearbeta särskilda kategorier av personuppgifter enligt gällande dataskyddsbestämmelser.
4.1.3. Dataminimering, korrekthet och lagringsbegränsningar
American Express BFB-enheter använder lämplig teknik och etablerad medarbetar-praxis för att bearbeta dina personuppgifter snabbt och korrekt.
Vi vidtar rimliga åtgärder för att säkerställa att dina personuppgifter:
- är korrekta och uppdaterade och är relevanta för de syften för vilka de bearbetas (datakorrekthet). Felaktiga personuppgifter raderas eller korrigeras utan fördröjning,
- är adekvata, relevanta och inte är onödiga i relation till de syfte för vilket personuppgifterna samlas in och bearbetas (dataminimering),
- Inte sparas i identifierbart format längre än nödvändigt för de syften för vilka personuppgifterna bearbetas, och endast lagras för längre perioder för arkiveringsändamål eller enligt vad som är tillåtet eller om det är nödvändigt enligt gällande lagar, och då endast om lämpliga administrativa, tekniska och organisatoriska åtgärder har vidtagits.
4.1.4. Begränsning i syfte
American Express BFB-enheter samlar endast in personuppgifter för specifika och legitima syften. Vi behandla dina personuppgifter rättvist och endast för de syften som vi har meddelat dig, för syften som du har tillåtit eller enligt gällande dataskyddsbestämmelser. Vi säkerställer att dina personuppgifter inte bearbetas ytterligare på sätt som inte motsvarar dessa syften.
4.1.5. Datasekretess och konfidentialitet
American Express har infört och åtar sig att upprätthålla ett omfattande säkerhetsprogram med skriftlig information som följer gällande lagar och gällande dataskyddsbestämmelser.
American Express BFB-enheterna inför lämpliga administrativa, tekniska och organisatoriska åtgärder för att skydda dina personuppgifter mot oavsiktlig eller olaglig destruktion, förlust, ändring, icke godkänd delning av eller åtkomst till de personuppgifter som skickas, lagras eller på annat sätt bearbetas. Vi håller dina personuppgifter konfidentiella och begränsar åtkomsten till dina personuppgifter till dem som har ett specifikt behov av dem för att utföra sin affärsverksamhet, förutom enligt vad som är tillåtet enligt lag som gäller oss.
Sådana åtgärder säkerställer en skyddsnivå som är lämplig för risken och beaktar behandlingens moderna teknik, införandekostnad, karaktär, omfattning, kontext och syfte samt risken med varierande sannolikhet och allvar avseende de registrerade personernas fri- och rättigheter och kan omfatta följande vid behov:
- pseudonymisering och kryptering av personuppgifter för registrerade,
- åtgärder för att säkerställa kontinuerlig sekretess, integritet, tillgänglighet och uthållighet avseende behandlingssystemen och tjänsterna,
- åtgärder för att säkerställa möjlighet att återställa tillgänglighet och åtkomst till personuppgifter för registrerade i tid i händelse av en fysisk eller teknisk incident, och
- en rutin för att regelbundet testa, bedöma och värdera hur effektiva de tekniska och organisatoriska åtgärderna är för att säkerställa säkerheten i behandlingen.
Vi kräver också lämpliga administrativa, tekniska och organisatoriska åtgärder av de tredje parter som har godkänts av oss för att bearbeta dina personuppgifter på vårt uppdrag och vi ingår avtal avseende detta åtagande med interna och externa personuppgiftsbiträde för att säkerställa att de följer de skyddsåtgärder som krävs enligt Den allmänna dataskyddsförordningen (GDPR).
I synnerhet behandling som genomförs av personuppgiftsbiträde ska regleras av ett avtal som är bindande för personuppgiftsbiträden avseende personuppgiftsansvarig och som beskriver ärendet och syftet med behandlingen, behandlingens natur och syfte, typ av personuppgifter och kategorier med registrerade samt skyldigheter och rättigheter för den personuppgiftsansvariga.
Följande skyldigheter måste även ingå i avtalet som kräver att personuppgiftsbiträden:
- endast behandla personuppgifterna enligt dokumenterade instruktioner från personuppgiftsansvarig eller säkerställer att de personer som har befogenhet att bearbeta personuppgifterna omfattas av åtagande om sekretess eller lämpliga lagstadgad sekretesskyldighet,
- vidtar alla lämpliga tekniska och organisatoriska åtgärder som krävs för att garantera en godkänd säkerhetsnivå,
- inte ger i uppdrag till någon annan personuppgiftsbiträde (underleverantör), utan föregående specifikt eller allmänt godkännande från den personuppgiftsansvariga och endast förutsatt att samma dataskyddsskyldigheter som de som står i avtalet mellan den personuppgiftsansvariga och personuppgiftsbiträden gäller för underleverantören,
- assisterar den personuppgiftsansvariga med lämpliga tekniska och organisatoriska åtgärder där så är möjligt för att uppfylla personuppgiftsansvarigs skyldigheter att svara på registrerades begäran när de utövar sina rättigheter,
- assistera den personuppgiftsansvariga med att uppfylla sina skyldigheter avseende säkerheten vid behandling, personuppgiftsincident och konsekvensbedömningar av dataskyddsintrång,
- enligt personuppgiftsansvarigs val radera eller återsända alla personuppgifter till personuppgiftsansvarig efter att tjänsterna levererats vilka omfattas av behandling, samt att radera alla förekommande kopior, såvida gällande lag inte kräver lagring av personuppgifter,
- göra tillgängligt för personuppgiftsansvarig all information som behövs för att kunna uppvisa efterlevnad med de skyldigheter som framgår i artikel 28 i den allmänna dataskyddsförordningen (GDPR) om personuppgiftsbiträde och tillåta och bidra till revision, inklusive inspektioner, som genomförs av personuppgiftsansvarig eller annan granskare med tillåtelse från personuppgiftsansvarig.
Dessutom har American Express BFB-enheter implementerat administrativa, tekniska och organisatoriska åtgärder för att upptäcka undersöka, eskalera och åtgärda personuppgiftsincident. American Express dataskyddsansvariga meddelas om personuppgiftsincident av American Express BFB-enheter utan fördröjning och American Express dataskyddsansvariga avgör om man ska meddela behörig tillsynsmyndighet och de registrerade i enlighet med kraven i den allmäna uppgiftsskyddsförordningen (GDPR). Alla personuppgiftsincident dokumenteras (omfattar fakta om personuppgiftsincidentet, dess effekter och vidtagna åtgärder) och dokumentationen finns tillgänglig på tillsynsmyndighetens begäran
4.1.6. Vidarebefordringar av information
Dina personuppgifter överförs i alla American Express BFB-enheter samt vidare till tredje part, där vi alltid säkerställer en tillräcklig skyddsnivå för behandling av dina uppgifter enligt gällande dataskyddsbestämmelser, oavsett vart de överförs.
Flödet är legitimt via våra BFB-er, vilket låter oss överföra personuppgifter från EES till American Express BFB-enheter som finns utanför EES.
I alla fall av vidarebefordringar av information, dvs. överföringar (dvs. personuppgifter som inledningsvis har överförts från en EES-baserad American Express BFB-enhet till en icke-EES-baserad American Express BFB-enhet och som senare överförs till tredje part(-er) som inte omfattas av BFB-er) kommer American Express BFB-enheterna säkerställa att ett skriftligt avtal ingås med dessa tredje parter som innehåller villkor som säkerställer att personuppgifterna skyddas lägst till nivån som motsvarar sekretess och säkerhetsstandard enligt BFB-er, eller använder en annan laglig metod för att säkerställa att överföringen är laglig och att tillräckliga garantier kan lämnas i enlighet med artikel 46 i den allmänna dataskyddsförordningen (GDPR).
4.1.7. Ansvarsskyldighet
Alla American Express BFB-enheter är ansvariga för att, och måste kunna uppvisa, efterlevnad av BFB-er. Efterlevnad av kraven innefattar:
- upprätthållande av elektroniska arkiv för behandlings-aktiviteter, tillgängliga på tillsynsmyndigheternas begäran, vilka innehåller den information som krävs enligt den allmänna dataskyddsförordningen (GDPR), till exempel namn och kontaktuppgifter för personuppgiftsansvarig, syften med behandlingen, kategorier med registrerade kategorier med personuppgifter, mottagare av personuppgifter, överföringar till länder utanför EES, tidsbegränsningarna för radering av kategorierna med personuppgifter och en beskrivning av de säkerhetsåtgärder som används),
- genomförande av konsekvensbedömningar av uppgiftsskydd (gäller endast om behandlings -aktiviteterna sannolikt kan leda till hög risk för registrerades fri- och rättigheter, och
- konsultation med behöriga tillsynsmyndigheter när så krävs för att uppvisa sådan efterlevnad.
Dessutom har American Express BFB-enheter har infört lämpliga administrativa, tekniska och organisatoriska åtgärder som har utformats för att införa dataskyddsprinciper och för att underlätta efterlevnad med kraven enligt BFB-erna (dataskydd enligt metod och som standard).
4.2. Registrerades rättigheter
• Rätt till åtkomst, begränsning, protest, rättelse, radering, rätt att återta samtycke och dataportabilitet
American Express BFB-enheter svarar på dina förfrågningar om att utöva dina rättigheter enligt den allmänna uppgiftsskyddsförordningen, där så är tillämpligt. Mer specifikt säkerställer vi att du kan utöva din rätt att:
- få åtkomst till dina personuppgifter (rätt till åtkomst),
- begränsa och/eller protestera mot behandling av dinapersonuppgifter (rätt till begränsning av behandling och rätt att protestera mot behandling),
- korrigera dina personuppgifter (rätt till korrigering),
- radera dina personuppgifter (rätt till radering),
- återta ett tidigare lämnat samtycke till behandling, och
- att få ut dina personuppgifter på ett strukturerat, vanligen använt och maskinläsbart format och/eller överföra sådan information till annan personuppgiftsansvarig (rätt till portabilitet).
American Express BFB-enheter omfattas av policyer om hur man hanterar sådana förfrågningar för att säkerställa att du har de verktyg som behövs för att utöva dessa rättigheter. Om du vill utöva dina rättigheter kan du kontakta vår dataskyddsansvariga på DPO-Europe@aexp.com.
• Automatiserad beslutsfattning
American Express BFB-enheter säkerställer att du inte omfattas av beslut som enbart fattas på automatiserad behandling av personuppgifter, inklusive profilering, som har lagliga eller liknande väsentliga effekter, såvida behandlingen inte är:
- nödvändig för att ingå i eller utföra ett avtal mellan dig och American Express;
- godkänd enligt lag som gäller för American Express och som anger lämpliga metoder för att säkerställa dina fri- och rättigheter och legitima intressen, eller
- bygger på ditt uttryckta samtycke till sådan behandling.
Enligt gällande lagar kommer vi införa lämpliga åtgärder för att skydda dina fri- och rättigheter och legitima intressen, minst rätten att få mänsklig intervention, att uttrycka din synpunkt och protestera mot beslutet.
För att efterleva restriktionerna kan vi komma att använda automatiserade processer som stöd till oss för att fatta vissa beslut (till exempel för att besluta om ditt konto använts för bedrägeri eller pengatvätt eller för att upptäcka om bedragare har haft tillgång till ditt konto), eller för att hantera kortansökningar och bedöma kredit- och säkerhetsrisker. Metoderna testas regelbundet för att säkerställa att de är rättvisa, effektiva och objektiva.
Du kan kontakta vår dataskyddsansvariga på DPO-Europe@aexp.com för att utöva din rätt att begära en manuell granskning av vissa automatiserade behandlings -aktiviteter som kan påverka dina lagliga eller avtalsmässiga rättigheter eller som kan ha liknande effekt.
American Express har utsett en dataskyddsanvarig som granskar efterlevnad av BFB-er. Den dataskyddsansvariga har följande uppgifter:
- Informerar och ger råd till American Express-enheter och American Express medarbetare om deras skyldigheter enligt gällande dataskyddsbestämmelser,
- övervakar efterlevnad av gällande dataskyddsbestämmelser via bedömning av väsentliga riskindikatorer och kontroller. Den dataskyddsansvariga rapporterar övervakningsaktiviteterna till relevant internt högre chefsforum,
- ger råd i samband med konsekvensbedömningar av dataskydd och övervakar dess funktion,
- samarbetar medtillsynsmyndigheter, och
- agerar som kontaktperson för tillsynsmyndigheter.
Den dataskyddsansvariga som utses på professionella grunder rapporterar till American Express datatillsynschef. Den dataskyddsansvariga utses av europeiska American Express-enheter som styrelseordförande för AEESA och American Express Payments Europe SA vilka utgör koncernens primära utförande och förvärvande enheter i Europa.
Utseendet meddelas tillsynsmyndigheter i de europeiska länder där American Express har verksamhet.
Den dataskyddsansvariga arbetar nära tillsammans med ett nätverk av sekretesspecialister och efterlevnadsadvokater i var och en av de europeiska marknaderna som granskar efterlevnad av gällande dataskyddslagar i respektive region. Den dataskyddsansvariga stöds i sitt arbete av det globala sekretesskontoret som leds av American Express datatillsynschef.
Alla American Express BFB-enheter tillhandahåller lämpliga utbildningsmaterial och kurser till medarbetare, i synnerhet till medarbetare som samlar in, behandla, har ständig eller regelbunden tillgång till personuppgifter eller som är inblandade i utveckling av verktyg som används för att behandla personuppgifter för att säkerställa att de är medvetna om gällande dataskyddsbestämmelser och dessa BFB-er. Sådana kurser är obligatoriska och att man genomför dem följs upp.
American Express har infört ett efterlevnadsprogram som ombesörjer regelbundna efterlevnadskontroller och revisioner av American Express BFB-enheternas verksamhet (av interna, eller vid behov, externa revisorer) för att säkerställa att BFB-erna och alla tillhörande policyer och rutiner respekteras och är aktuella.
Dataskyddsrevisioner omfattar alla delar av BFB-erna, inklusive metoder för att säkerställa att korrigerande åtgärder vidtas.
Ytterligare dataskyddsinspektioner kan begäras av den dataskyddsansvariga på dennes initiativ eller på begäran från en American Express BFB-enhet. American Express interna revisionsgrupp, ett oberoende kontrollorgan, värderar möjligheten för sådana revisionsbegäranden enligt deras riskbedömningsramverk.
Resultatet av sådana efterlevnadskontroller och revisioner meddelas den dataskyddsansvariga på American Express, den dataskyddsansvariga, relevanta tillsynsmyndigheter (om det har begärts) och görs tillgängliga för revisionskommittén inom styrelsen för American Express Company.
Om något glapp skulle upptäckas måste American Express BFB-enheten följa specifika råd från den dataskyddsansvariga. Om råden inte kan följas måste American Express BFB-enheten dokumentera skälet till detta.
American Express kommer även samarbeta med alla efterlevnadskontroller som genomförs av någon tillsynsmyndighet som har gällande jurisdiktion, vare sig den har inletts som svar på ett klagomål från en registrerad eller på tillsynsmyndighetens eget initiativ.
8.1. Ansvarsskyldighet för American Express BFB-enheter
American Express BFB-enheterna är ansvariga för efterlevnad av BFB-er. Utöver de enskilda ansvar som American Express BFB-enheterna har kommer AEESA vara ansvarig för brott mot BFB-er som begås av American Express BFB-enheter utanför EES som behandla personuppgifter enligt gällande dataskyddsbestämmelser. AEESA har rätt att vidta nödvändiga åtgärder för att motverka ageranden eller underlåtenhet som genomförs av American Express BFB-enheter som behandla personuppgifter som bryter mot BFB-er.
AEESA är ansvarigt för att betala kompensation för materiell och icke-materiell skada som orsakats registrerade som följd av brott mot BFB-er. Kompensation måste godkännas av den dataskyddsansvariga innan ett erbjudande om prövning eller betalning fattas. Kompensation betalas i sin helhet gentemot den registrerades anspråk mot American Express BFB-enheter. För att undvika oklarheter sträcker sig AEESA:s ansvarsskyldighet till ageranden eller underlåtenhet som genomföra av American Express BFB-enhet som inte ligger inom EES som bryter mot BFB-er.
Om någon American Express BFB-enhet (inklusive om sådan enhet ligger utanför EES) bryter mot BFB-erna har behöriga europeiska domstolar jurisdiktion över sådan överträdelse. Om en American Express BFB-enhet bryter mot BFB-erna kan registrerade, tillsynsmyndigheter och domstolar med gällande jurisdiktion utöva sina rättigheter och anföra klagan gentemot AEESA som om sådant beteende hade utförts av AEESA inom EES (för mer information om hur man anför ett klagomål hänvisas till avsnitt 9 nedan).
8.2. Behöriga tredje parters rättigheter
Alla registrerade kan gentemot AEESA eller annan American Express BFB-enhet anföra de villkor som framgår enligt nedanstående som gäller BFB-er som berättigad tredje part:
- dataskyddsprinciper (avsnitt 4.1),
- transparens och enkel åtkomst till BFB
-er (avsnitt 1.2 och 4.1.1),
- registrerades rättigheter (avsnitt 4.2),
- efterlevnad, verkställighet och skydd (avsnitt 8),
- rätten att klaga via American Express interna klagomålsfunktion (avsnitt 9),
- rätt att lämna in ett klagomål till tillsynsmyndighet och till behörig europeisk domstol (avsnitt 9),
- samarbeta med tillsynsmyndigheter (avsnitt 10), och
- lagval (avsnitt 11.1).
8.3. Bevisbörda
AEESA har bevisbördan för att visa att American Express BFB-enheter som ligger utanför EES inte är skyldig till någon påstådd överträdelse av BFB-er som leder till att den registrerade gör anspråk på skadestånd. Om AEESA kan bevisa att en American Express BFB-enhet utanför EES inte är ansvarig för någon händelse som leder till skadeståndsanspråk kan AEESA och sådant företag friskriva sig från sådant ansvar och skadestånd.
Om du vill skicka in ett klagomål eller hävda och utöva dina rättigheter avseende dessa BFB-er uppmanas du att kontakta den dataskyddsansvariga när som helst skriftligen till AEESAs huvudkontor på American Express Europe SA, Avenida Partenón 12 – 14, 28042 Madrid / SPANIEN eller via e-post till DPO-Europe@aexp.com.
Vår dataskyddsansvariga kommer att svara på ditt klagomål utan orimlig fördröjning och senast inom en månad. Med tanke på den sakens komplexa natur och antalet förfrågningar kan perioden på en månad förlängas till maximalt ytterligare två månader, vilket vi i så fall kommer att informera dig om.
För mer information om American Express rutiner för att hantera klagomål och hur man skickar in klagomål hänvisar vi till sekretessmeddelande online.
Om saken inte får en lösning som du är nöjd med kan du även:
- skicka in ett klagomål till tillsynsmyndigheten i den medlemsstat där du är skriven, arbetsplats eller platsen där överträdelsen i fråga har ägt rum,
- skicka in ett ärende till behörig domstol i det europeiska land där aktuell American Express BFB-enhet är registrerad eller där du är skriven, och där så är lämpligt erhålla kompensation för skador som du har lidit på grund av överträdelsen av de ovan nämnda behörig tredje parts rättigheter.
Alla American Express BFB-enheter kommer att samarbeta med, och godkänna revision av behöriga tillsynsmyndigheter och kommer följa tillsynsmyndigheternas råd i frågor om gällande dataskyddsbestämmelser.
Om tillsynsmyndigheten finner att en av American Express BFB-enheterna har brutit mot någon av rättigheterna som registrerade har enligt dessa BFB-er kommer den American Express BFB-enheten följa tillsynsmyndighetens resultat, med förbehåll för rätten att utmana eller överklaga sådana resultat.
11.1. Nationell lagstiftning som hindrar efterlevnad av EU:s BFB-er
Om en American Express BFB-enhet har skäl att tro att en lag som man omfattas av utgör hinder för efterlevnad av BFB-erna eller sannolikt skulle ha väsentlig effekt på de garantier som lämnas i BFB-erna är kommen den berörda kontakten hos denna American Express BFB-enhet att informera den dataskyddsansvariga på AEESA såvida det inte är möjligt enligt gällande lagar. Vid behov kommer den dataskyddsansvariga informera behörig tillsynsmyndighet om lagvalssituationen, såvida det inte är tillåtet enligt gällande lagar.
Om en American Express BFB-enhet får en begäran om att lämna ut personuppgifter av en brottsbekämpande myndighet eller nationellt säkerhetsorgan kommer den dataskyddsansvariga att informera behörig tillsynsmyndighet om sådan begäran (inklusive information om vilka uppgifter som begärts ut, begärande enhet och den juridiska grunden för utlämning av uppgifter). Om i specifika fall sådan återkallelse och/eller meddelande till den behöriga tillsynsmyndigheten inte förhindras av några gällande lagar kommer American Express att göra sitt nästa för att upphäva förbudet om att snabbt kommunicera så mycket information som möjligt med den behöriga tillsynsmyndigheten, och kunna uppvisa att man har gjort så.
Om American Express BFB-enhet i ovanstående fall och trots att man har vidtagit rimliga åtgärder inte är i en position där man kan meddela behörig tillsynsmyndighet, kommer man att årligen tillhandahålla allmän information på de förfrågningar man får från behörig tillsynsmyndighet (till exempel antal förfrågningar om uppgiftsdelning, typ av personuppgifter som har begärts, begärande parts namn om möjligt, etc).
Överföringar av personuppgifter från en American Express BFB-enhet till offentlig myndighet kommer aldrig att vara omfattande, oproportionerliga och godtyckliga. Begränsningen gäller alla juridiskt bindande förfrågningar om delning av personuppgifter från brottsbekämpande myndighet eller nationellt säkerhetsorgan.
11.2. Förhållande mellan nationella lagar och EU:s BFB-er
Om gällande dataskyddsbestämmelser kräver en högre skyddsnivå för personuppgifter ska sådana dataskyddslagar ha företräde före dessa BFB-er.
Vi kan komma att uppdatera villkoren i våra BFB-er för att till exempel överväga ändringar i tillsynsfunktionen eller företagsstrukturen. Vi åtar oss att rapportera väsentliga ändringar i våra BFB-er utan dröjsmål till alla American Express BFB-enheter och till AEPD. Alla ändringar i BFB-er eller i listan med American Express BFB-enheter rapporteras en gång per år till lämpliga tillsynsmyndigheter, via behöriga tillsynsmyndigheter med en kort förklaring av skälen till ändringen. Om en ändring eventuellt skulle kunna påverka skyddsnivån enligt våra BFB-er eller väsentligt påverka dessa BFB-er kommer det meddelas utan dröjsmål till lämpliga tillsynsmyndigheter, via behöriga tillsynsmyndighet.
American Express har utsett en grupp som upprättar en helt uppdaterad lista på American Express BFB-enheterna och följer samt registrerar eventuella uppdateringar av reglerna och tillhandahåller nödvändig information till registrerade och tillsynsmyndigheter på begäran. Dessutom kommer inte American Express BFB-enheter genomföra några överföringar till nya American Express BFB-enheter förrän den nya enheten omfattas av BFB-erna och kan uppfylla efterlevnad.
• Beskrivning av typer och syften med behandlingsaktiviteter
American Express är ett globalt företag för integrerade betalningar och resor som i huvudsak bedriver verksamhet inom fyra segment: i) betaltjänster, ii) Tjänster för Affärspartners, iii) nätverkstjänster och drift och (iv) tjänster inom resor, möten och evenemang. Våra behandlings-aktiviteter genomförs inom ramen för dessa aktiviteter enligt vad som framgår nedan.
i) Kundbetaltjänster
American Express erbjuder ett brett utbud av betaltjänster (till exempel betalkort och kreditkort) till enskilda personer, var och en med tillhörande tjänster (som lojalitetsprogram, medlemskaps- och bonusprogram samt försäkringsförmedling).
--->Vi behandla kunders personuppgifter huvudsakligen för att administrera och betjäna våra avtalsrelationer, för att hantera förmåner, försäkringar och andra program där du är medlem, för att leverera produkter och tjänster, för att genomföra studier och analyser för att förbättra våra produkter och tjänster, för att bättre förstå våra kunder och leverera mer personligt anpassade tjänster, att hantera våra bedrägeri- och säkerhetsrisker, för att marknadsföra våra produkter och tjänster (efter samtycke där så krävs enligt gällande dataskyddsbestämmelser), eller för att följa gällande lagar.
American Express erbjuder även kommersiella produkter och tjänster till företag (inklusive företagsbetalningar, utgiftshanteringstjänster och låneprodukter).
--->Vi behandla kunders personuppgifter huvudsakligen för att administrera och betjäna våra avtalsrelationer, för att hantera kommersiella produkter och tjänster, att möjliggöra för kunder att själva ta fram rapporter som gör att de kan behålla effektiva inköpspolicyer, resepolicyer och rutiner, att utveckla riskhanteringspolicyer, modeller och rutiner och/eller fatta beslut om hur vi hanterar kunders konton, att utväxla information med bedrägeribekämpande myndigheter för att spåra gäldenärer, förhindra bedrägerier, hantera konton och försäkringar, att fatta beslut om produktutbud som till exempel krediter och andra relaterade tjänster, eller för att följa gällande lagar.
ii) Handlartjänster
American Express driver globala handlartjänster, vilket innefattar inhämtning av godkännande från handlare om att ta emot American Express-kort och andra finansiella produkter från kunder som betalningsmedel, samt tillåtelse för American Express att utföra behandling och reglering av korttransaktioner för sådana handlare.
Som en del i handlartjänsterna assisterar American Express handlare som tar emot American Express-kort genom att tillhandahålla analys- och konsultexpertis för att identifiera nya trender, möjliggöra produktinnovation och möjliggöra expansion och förbättringar i marknadsföringen genom en mer effektiv användning av American Express datainfrastruktur. Behandlings-aktiviteterna som genomförs för dessa syften skapar avidentiferade eller aggregerade databaser där det är lämpligt.
--->Vi behandla personuppgifter främst för att administrera och utföra vår avtalsrelation med handlare, för att utbyta information med kreditupplysningsföretag för att undvika bedrägerier eller för att spåra gäldenärer eller för identifiering, för att utveckla våra produkter och/eller om samtycke finns enligt vad som krävs enligt gällande dataskyddsbestämmelser för att erbjuda produkter och tjänster, eller för att följa gällande lagar, inklusive lagar om pengatvätt och terrorism.
iii) Nätverkstjänster och verksamhet
American Express nätverk autentiserar, godkänner och verkställer korttransaktioner och tillhandahåller marknadsföringsprogram och förmågor för flera kanaler samt tjänster och dataanalyser. Det hanterar och utvecklar American Express betalningsnätverks pålitlighet, säkerhet och hanteringsförmågor för att möjliggöra global handel. Dessutom hanterar American Express nätverk flera olika förmågor som möjliggör betalningar i nya former och kanaler samtidigt som man inför policyer som reglerar alla parter som använder nätverket.
--->Vi behandla personuppgifter främst för att administrera transaktioner som genomförs av American Express kunder hos handlare som tar emot American Express. Behandlings-aktiviteter innefattar steg för att förhindra bedrägerier och för att följa gällande lagar, inklusive lagar om pengatvätt och terrorism.
iv) Rese-, mötes- och evenemangstjänster
American Express är en av världens största resebyråer och man bokar årligen miljontals resor åt konsumenter och enskilda medarbetare hos våra företagskunder och ibland även deras resesällskap som vill resa vart som helst i världen.
American Express Global Business Travel (GBT) tillhandahåller även resehanteringsexpertis till företagskunder och hjälper kunder att anordna möten och evenemang globalt. Detaljer om GBT:s bearbetningsaktiviteter finns här- https://privacy.amexgbt.com/.
American Express tillhandahåller även resetjänster till enskilda konsumenter, men främst till dem som har kort hos något av American Express varumärken.
--->Vi behandla kunders personuppgifter främst för att hantera företagsrelationen, för att leverera tjänster, för att genomföra studier och analyser för att förbättra våra produkter och tjänster, för att bättre förstå våra kunder och tillhandahålla personligt anpassade tjänster, för att främja våra produkter och tjänster, (förutsatt att samtycke finns där så krävs enligt gällande dataskyddsbestämmelser), eller för att följa gällande lagar.
v) Personalresurser
American Express BFB-enheter behandla även medarbetares personuppgifter främst för att administrera och fullgöra medarbetarrelationen med American Express medarbetare (till exempel för möten och avgångsvederlag, bakgrundskontroller, prestationsutveckling, arbetsledning eller andra personalrelaterade uppgifter avseende ledning av medarbetar-relationer), för att följa interna policyer och gällande lagar.
• Beskrivning av olika typer av personuppgifter
De olika typerna av personuppgifter som bearbetas beskrivs i respektive American Express sekretessmeddelanden, enligt vad som gäller för de registrerades relation med American Express och kan beskrivas enligt nedan:
i) Kunders personuppgifter
Kunders personuppgifter kan innehålla personlig information (till exempel namn, adress och andra kontaktuppgifter), information om produkter och tjänster som används och har köpts, kreditvärdighet, onlineaktiviteter inklusive till exempel information som vi samlar in när kunder använder vår online-kontotjänst, eller via cookies och liknande tekniker, information om livsstil och social situation, etc. För att utföra tjänster inom resor, möten och evenemang måste American Express bearbeta resenärens personuppgifter, inklusive nationalitet, passuppgifter, kön, födelsedatum, födelseort och resepreferenser (samlat Kunders personuppgifter).
I vissa fall kan kunders personuppgifter innehålla särskilda kategorier av personuppgifter som till exempel biometrisk information av säkerhetsskäl (t.ex. röst-ID) eller, för resetjänster, information om eventuella funktionsnedsättningar som kan påverka möjligheten att resa.
ii) Medarbetares personuppgifter
Medarbetares personuppgifter innefattar ofta, till exempel, personuppgifter (som namn, adress, födelsedatum, telefonnummer), information om familjen, information om livsstil och social situation, produkter och tjänster som används, onlineaktiviteter, kreditvärdighet, offentliga befattningar, immigrationsstatus, utbildnings- och arbetshistorik och andra medarbetarrelaterade uppgifter som prestationer och talanginriktningar och kompensation och förmåner (samlat medarbetares personuppgifter).
I vissa fall och där det är tillåtet enligt nationella lagar kan medarbetares personuppgifter innehålla särskilda kategorier av personuppgifter, inklusive information om etniskt ursprung, sexuell läggning, information om medarbetares hälsa, företagsbaserade hälsovårdssystem, biometriska data, granskning av likabehandling, information om fackförbund och företagsråd.
American Express BFB-enheter finns i följande länder:
- Argentina
- Österrike
- Australien
- Belgien
- Kanada
- Folkrepubliken Kina
- Colombia
- Tjeckien
- Danmark
- Finland
- Frankrike
- Tyskland
- Grekland
- Hong Kong
- Ungern
- Indien
- Irland
- Italien
- Japan
- Jersey
- Malaysia
- Mexiko
- Nederländerna
- Norge
- Filippinerna
- Polen
- Ryssland
- Singapore
- Slovakien
- Spanien
- Sverige
- Schweiz
- Taiwan
- Thailand
- Storbritannien
- Amerikas förenta stater
“AEESA” – betyder American Express Europe, S.A., med adress Avenida Partenón 12 -14, Madrid, 28042. AEESA är det europeiska bolag inom American Express som är ansvarigt för att personuppgifter bearbetas i enlighet med BFB-er. AEESA är avtalspart i koncernavtalet .
“American Express BFB-enhet ” eller “American Express BFB-enheter” eller “vi” eller “oss” – betyder den/de American Express-enhet(-er) som omfattas av de bindande företagsbestämmelserna.
“American Express Company” - betyder American Express Company, med adress World Financial Center, 200 Vesey St., New York, NY 10285 USA. American Express Company är avtalspart i koncernavtalet.
“American Express sekretessmeddelanden” - betyder kortmedlemmens sekretessmeddelande (för kortmedlemmar), sekretessmeddelande online (för kunder och webbplatsens besökare), sekretessmeddelande för online-rekrytering (för framtida medarbetare), eller meddelande om sekretess (for nuvarande medarbetare), samt andra meddelanden och användarvillkor (till exempel för handlare och företagskunder) som gäller för den registrerades förhållande med American Express med de ändringar som sker från tid till annan.
“Behandling” eller ”behandla” – betyder en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter med automatiserade åtgärder, såsom insamling, arkivering, organisation, strukturering, lagring, anpassning eller ändring, upphämtning, konsultering, användning, delning via överföring, spridning eller på annat sätt göra informationen tillgänglig, anpassa eller kombinera, begränsa, radera eller förstöra den.
“EES” – betyder det Europeiska ekonomiska samarbetsområdet där alla EU-länder ingår samt Island, Liechtenstein och Norge.
“Dataincident” eller “personuppgiftsincident” - betyder en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt röjande, eller obehörig åtkomst till personuppgifter som överförts, lagrats eller på annat sätt behandlats.
“Den allmänna datasskyddsförordningen (GDPR)” – betyder den allmänna dataskyddsförordningen (GDPR) 2016/679.
“Gällande dataskyddsbestämmelser” – betyder den allmänna dataskyddsförordningen (GDPR) (samt nationella gällande lagar), direktivet om integritet och elektronisk kommunikation 2002/58/EC (samt nationella gällande lagar), och andra dataskyddslagar och bestämmelser inom EES (allt ovanstående kan ändras från tid till annan).
“Koncernavtal” – betyder det avtal som binder American Express BFB-enheter till BFB-erna.
“Konsekvensbedömning avseende dataskydd”– betyder en bedömning av en planerad behandlings konsekvenser för skyddet av personuppgifter som genomförs om behandlingen sannolikt kommer leda till hög risk för den registrerades fri- och rättigheter.
“Överföring” ”– betyder all överföring av personuppgifter från ett företag inom EES till ett annat eller vidare överföring som annars skulle omfattas av den allmänna dataskyddsförordningen (GDPR). En överföring innebär kommunikation av, kopiering eller delning av personuppgifter via ett nätverk, inklusive fjärråtkomst till en databas eller överföring från ett medium till ett annat.
“Personuppgifter” – betyder all information om en identifierad eller identifieringsbar fysisk person (registrerad) som omfattas av BFB-erna.
“Personuppgiftsansvarig” - betyder den fysiska eller juridiska person, myndighet, instituation eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandling av personuppgifter.
“PersonuppgiftsbiträdeData”-betyder den fysiska eller juridiska person, myndighet, institution eller annat organ som behandla personuppgifter på uppdrag av och för den personuppgiftsansvariges räkning.
“Profilering” – betyder automatiserad behandling av personuppgifter med avsikt att analysera, värdera vissa personliga aspekter om enskilda personer (som deras prestation på arbetet, kreditvärdighet, pålitlighet och uppförande) eller att göra förutsägelser om dem.
“Registrerad(e)” eller ”du” – betyder en identifieringsbar fysisk person som kan identifieras, direkt eller indirekt, i synnerhet genom referens till en identifierare som namn, ett id-nummer, platsdata, en onlineidentifierare eller en eller flera faktorer som är specifika för den fysiska, fysiologiska, genetiska, mentala, ekonomiska, kulturella eller sociala identitet avseende den fysiska personen som omfattas av dessa BFB-er.
“Samtycke” – betyder varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, via ett uttalande eller en entydigt bekräftande handling, genom vilken den registrerade godtar behandling av dennes personuppgifter.
“Särskilda kategorier av personuppgifterkategorier av personuppgifter” – betyder alla personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religion eller filosofisk tro eller medlem i fackförbund, genetiska uppgifter, biometriska uppgifter som behandlas i syfte att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en persons sexliv eller sexuell läggning.
“Tillsynsmyndighet”– betyder en oberoende myndighet som har inrättats av en medlemsstat enligt artikel 51 i den allmänna dataskyddsförordningen (GDPR).