Marsh, en medlem av Marsh & McLennan Companies gruppen (MMC), strävar efter att skydda integriteten och sekretessen av Personuppgifter som bolaget behandlar i samband med tjänster man tillhandahåller till kunder. Marshs tjänster består huvudsakligen av riskhantering och försäkringsförmedling, vilket föranleder övervägande om, tillgång till, administration av och skadehantering avseende försäkringstjänster.
Försäkring är sammanslagning och delning av risk för en möjlig händelse. För att göra detta måste information, inklusive Personuppgifter för olika kategorier av enskilda personer, delas mellan olika försäkringsmarknadsaktörer under hela försäkringens livscykel.
För att klargöra vilka villkor som används i denna Integritetspolicy har vi redogjort för de viktigaste Försäkringsmarknadsaktörernas roller nedan:
- Försäkringstagare: begär försäkring för att skydda sig mot risker som kan påverka dem. De kan kontakta en Försäkringsförmedlare (t.ex. Marsh) för att köpa försäkring eller också kan de ta direktkontakt med en Försäkringsgivare eller gå via en webbplats för prisjämförelser.
- Försäkringsförmedlare: hjälper Försäkringstagare och Försäkringsgivare att ordna försäkringsskydd. De kan erbjuda rådgivning och hantera ersättningskrav. Många försäkrings- och återförsäkringsbrev erhålls via Försäkringsförmedlare.
- Försäkringsgivare: (ibland även kallade assuradör) ger försäkringsskydd till Försäkringstagare mot betalning (premie).
- Återförsäkrare: ger försäkringsskydd till annan Försäkringsgivare eller Återförsäkrare. En sådan försäkring kallas för återförsäkring.
Under försäkringens livscykel kan Marsh erhålla Personuppgifter relaterade till framtida eller nuvarande Försäkringstagare, Förmånstagare till en försäkring, deras familjemedlemmar, sökanden och andra parter som är involverade i ett ersättningskrav. Därför inkluderar hänvisningar till ”enskilda personer” i denna Integritetspolicy alla levande personer från föregående lista vars Personuppgifter Marsh erhåller i samband med de tjänster man tillhandhåller inom ramen för sina åtaganden gentemot sina kunder. Denna Integritetspolicy anger Marshs användning av dessa Personuppgifter och de utlämnanden de gör till andra Försäkringsmarknadsaktörer och andra tredje parter.
En ordlista med nyckelord som används i denna Integritetspolicy kan hittas här.
PERSONUPPGIFTSANSVARIGS IDENTITET OCH KONTAKTUPPGIFTER
Marsh AB på Klara Norra Kyrkogatan 29, 111 22, Stockholm, Sverige (Marsh eller Vi) är Personuppgiftsansvarig beträffande de Personuppgifter som behandlas i samband med de tjänster som tillhandahålls enligt det relevanta åtagandet gentemot dess kunder.
I vissa fall, och i syfte att utföra vissa tjänster, kan Marsh och dess kund ha kommit överens om att Marsh är Personuppgiftsbiträde. När Marsh agerar som ett Personuppgiftsbiträde, uppfylls de skyldigheter som anges i avtalet med kunden.
Personuppgifter som kan bli behandlade
Vi kan komma att samla in och behandla följande Personuppgifter:
- Personliga detaljer: namn, adress (och bevis på adress), andra kontaktuppgifter (t.ex. uppgifter om e-post och telefon), kön, civilstånd, familjeuppgifter, födelsedatum och -ort, arbetsgivare, befattning och anställningshistorik, förhållande till försäkringstagaren, försäkrade, förmånstagare eller sökande.
- Identifieringsuppgifter: ID-nummer utfärdade av myndigheter eller byråer (beroende på vilket land du befinner dig i exempelvis socialförsäkringsnummer eller personnummer, passnummer, ID-nummer, skatteidentifikationsnummer, körkortsnummer).
- Ekonomisk information: betalkortsnummer, bankkontonummer och kontouppgifter, inkomst och annan ekonomisk information.
- Försäkrad risk: Information om den försäkrade risken, som innehåller Personuppgifter och kan inkludera, endast i den utsträckning som är relevant för den risk som är försäkrad:
- Information om hälsa: nuvarande eller tidigare fysiska eller psykiska sjukdomar, hälsotillstånd, information om skada eller funktionshinder, utförda medicinska behandlingar, relevanta personliga vanor (t.ex. rökning eller alkoholkonsumtion), ordinationsinformation, medicinsk historik.
- Andra Särskilda kategorier av Personuppgifter: ras eller etniskt ursprung, politiska åsikter, religiösa eller filosofiska övertygelser, fackligt medlemskap, genetiska data, biometriska data, uppgifter som rör en enskild persons sexliv eller sexuella läggning.
- Försäkringsinformation: Information om offerterna enskilda personer får och de försäkringar de skaffar.
- Kredit- och bedrägeribekämpningsuppgifter: kredithistorik och betalningsanmärkningar, eller uppgifter från tillsynsmyndigheter eller brottsbekämpande organ.
- Tidigare ersättningskrav: Information om tidigare ersättningskrav, som kan innehålla uppgifter om hälsa och andra Särskilda kategorier av Personuppgifter (som beskrivs i definitionen av Försäkrad risk ovan).
- Pågående ersättningskrav: Information om pågående ersättningskrav, som kan innehålla uppgifter om hälsa och andra Särskilda kategorier av Personuppgifter (som beskrivs i definitionen av Försäkrad risk ovan).
- Reklamuppgifter: Huruvida personen har samtyckt till att få reklam från oss och tredje parter.
När vi samlar in sådana uppgifter direkt från enskilda personer kommer vi att informera dem om huruvida uppgifterna är nödvändiga och konsekvenserna av att de inte lämnas på ett korrekt sätt.
Källor för personuppgifter
Vi samlar in Personuppgifter från olika källor, däribland (beroende på vilket land du befinner dig i):
- Enskilda personer och deras familjemedlemmar, online eller via telefon, eller genom skriftlig korrespondens
- Enskilda personers arbetsgivare
- I händelse av ett ersättningskrav, tredje parter inklusive den andra parten i ersättningskravet (sökande/svarande), vittnen, experter (inklusive medicinska experter), skadereglerare, advokater och skadehanterare
- Andra försäkringsmarknadsaktörer, som Försäkringsgivare, Återförsäkrare och andra Försäkringsförmedlare
- Kreditupplysningsföretag (i den mån Marsh tar några kreditrisker)
- Databaser för bedrägeribekämpning och andra tredje parts databaser, inklusive sanktionslistor
- Statliga myndigheter, t.ex. Transportstyrelsen och Skattemyndigheten
- Ersättningsanspråk
Hur vi använder och lämnar ut dina personuppgifter
I det här avsnittet anger vi för vilka ändamål vi använder Personuppgifter, förklarar hur vi delar uppgifterna och identifierar de ”rättsliga grunderna” som vår behandling av Personuppgifter vilar på.
Dessa ”rättsliga grunder” anges i den Allmänna dataskyddsförordningen (General Data Protection Regulation, (GDPR), som endast tillåter att företag behandlar Personuppgifter om behandlingen är tillåten enligt den specifika ”rättsliga grund” som anges i förordningen [här].
Samtycke
För att möjliggöra tillhandahållandet av försäkringsskydd och administrera ersättningskrav förlitar vi oss på den registrerades samtycke till att behandla Särskilda kategorier av Personuppgifter, såsom medicinska handlingar enligt vad som anges i tabellen ovan och för profilering enligt vad som anges i nästa avsnitt. Detta samtycke tillåter oss att dela uppgifterna med andra Försäkringsgivare, Försäkringsförmedlare och Återförsäkrare som kan behöva behandla uppgifterna för att kunna utföra sin roll på försäkringsmarknaden (vilket i sin tur möjliggör sammanslagning och prissättning av risker på ett hållbart sätt).
Den berörda enskilda personens samtycke till denna behandling av Särskilda kategorier av Personuppgifter är ett nödvändigt villkor för att Marsh ska kunna tillhandahålla de tjänster kunden begär.
Om du ger oss information om en annan person än dig själv godkänner du att du skall underrätta denne om vår användning av dennes Personuppgifter och skaffa ett sådant samtycke för vår räkning.
Enskilda personer kan när som helst dra tillbaka sitt samtycke till sådan behandling. Detta kan emellertid hindra Marsh från att fortsätta tillhandahålla tjänsterna. Dessutom, om en enskild person drar tillbaka sitt samtycke till en Försäkringsgivares eller Återförsäkrares behandling av deras Särskilda kategorier av Personuppgifter, kan det hända att försäkringsskyddet upphör.
Profilering [och automatiserat beslutsfattande]
Försäkringspremier beräknas genom att Försäkringsmarknadsaktörer jämför kunders och förmånstagares attribut med andra kunders och förmånstagares attribut och benägenheten för försäkrade händelser att inträffa. Denna jämförelse kräver att Marsh och andra Försäkringsmarknadsaktörer analyserar och sammanställer information som erhållits från alla försäkrade, förmånstagare eller fordringsägare för att kunna beräkna sådana benägenheter. Följaktligen kan vi använda Personuppgifter både för att matcha informationen i beräkningsmodellerna och för att skapa de beräkningsmodeller som bestämmer premieprissättningen i allmänhet och för andra försäkrade. Marsh och andra Försäkringsmarknadsaktörer kan använda Särskilda kategorier av Personuppgifter för sådan beräkning i den mån det är relevant, såsom medicinsk historik för livförsäkring.
Marsh och andra Försäkringsmarknadsaktörer använder liknande prediktiva tekniker för att bedöma information som kunder och enskilda personer tillhandahåller för att förstå bedrägerimönster, sannolikheten för framtida förluster som faktiskt förekommer i skadescenarier och såsom anges nedan.
Vi använder dessa beräkningsmodeller enbart för de ändamål som räknas upp i denna Integritetspolicy. I de flesta fall fattar vår personal beslut som är baserade på beräkningsmodellerna.
Automatiserad mäklarplattform
När kunder använder en automatiserad mäklarplattform erbjuds försäkringsofferter endast genom att se om de attribut som kunden har angett uppfyller de kriterier som fastställts av försäkringsgivarna, vilket avgör, (a) om en offert skall skapas, (b) med vilka villkor och (c) till vilket pris. Varje försäkringsgivare kommer att använda olika algoritmer för att avgöra sin prissättning, och kunder måste granska varje försäkringsgivares integritetspolicy för ytterligare information. Vår plattform undersöker endast om potentiella försäkringstagares attribut passar in i försäkringsgivarnas beräkningsmodeller och returnerar resultaten. Om den potentiella försäkringstagarens attribut inte passar in i försäkringsgivarens beräkningsmodeller, hänvisas offertförfrågan till granskning av ett team med behörighet att utfärda försäkringen. För att hjälpa oss att upptäcka och förebygga bedrägeri tillämpar vi även algoritmer som förutsäger bedrägeri på de uppgifter kunder tillhandahåller. Vi granskar regelbundet all profilering och associerade algoritmer för att upptäcka felaktigheter och partiskhet.
Dessa delvis automatiserade processer kan resultera i att en kund inte erbjuds försäkring eller påverka priset eller försäkringsvillkoren.
Kunder kan begära att vi lämnar information om beslutsmetodiken och be oss verifiera att det automatiska beslutet har fattats på korrekt sätt. Vi kan avslå en sådan begäran, enligt vad som medges enligt tillämplig lag, inklusive när informationen, om den tillhandahölls, skulle resultera i ett avslöjande av en affärshemlighet eller skulle förhindra förebyggande eller upptäckt av bedrägeri eller annat brott, men i allmänhet kommer vi under dessa omständigheter att verifiera att algoritmen och källdata fungerar som förväntat utan fel eller partiskhet.
Skyddsåtgärder
Vi har fysiska, elektroniska och processuella skyddsåtgärder på plats som är anpassade efter känsligheten hos den information vi upprätthåller. Dessa skyddsåtgärder varierar beroende på känsligheten, formatet, placeringen, mängden, distributionen och lagringen av Personuppgifterna och inkluderar åtgärder som är utformade för att hålla Personuppgifter skyddade mot obehörig åtkomst. Om det är lämpligt inkluderar skyddsåtgärderna kryptering av kommunikation via SSL, kryptering av information under lagringstiden, brandväggar, åtkomstkontroller, åtskillnad mellan arbetsuppgifter och liknande säkerhetsprotokoll. Vi begränsar tillgång till Personuppgifter till personal och tredje parter som måste ha tillgång till sådan information för legitima, relevanta affärsändamål.
Begränsning av insamling och lagring av personuppgifter
Vi samlar in, använder, lämnar ut och behandlar Personuppgifter på de sätt som behövs för de ändamål som identifieras i denna Integritetspolicy eller som medges enligt lag. Om vi behöver Personuppgifter för ett ändamål som inte stämmer överens med de ändamål som vi identifierat i denna Integritetspolicy kommer vi att underrätta våra kunder om det nya ändamålet och, om så krävs, söka de enskilda personernas samtycke till (eller be andra parter att göra det på Marshs vägnar) att behandla Personuppgifter för de nya ändamålen.
Hur länge Personuppgifter lagras hos oss är beroende av affärsbehov och juridiska krav. Vi lagrar Personuppgifter så länge som behövs för det eller de ändamål med behandlingen för vilka uppgifterna samlades in och eventuella andra tillåtna, relaterade ändamål eller av det som följer av lagen. Till exempel kan vi spara vissa transaktionsuppgifter och korrespondens tills dess att tidsfristen för fordringar som härrör från transaktionen har löpt ut, eller för att uppfylla lagstadgade krav avseende lagring av sådana uppgifter. När Personuppgifter inte längre behövs kan vi antingen anonymisera uppgifterna oåterkalleligt (och därefter spara och använda de anonymiserade uppgifterna) eller förstöra uppgifterna på ett säkert sätt.
Gränsöverskridande överföring av personuppgifter
Marsh överför Personuppgifter till, eller medger tillgång till Personuppgifter från, länder utanför det Europeiska ekonomiska samarbetsområdet (EES). Dessa länders dataskyddslagar erbjuder inte alltid samma skyddsnivå för Personuppgifter som erbjuds i EES. Vi kommer under alla omständigheter att skydda Personuppgifter på de sätt som anges i denna Integritetspolicy.
Den Europeiska kommissionen har bedömt att vissa länder utanför EES tillhandahåller väsentligen likvärdigt skydd som EES dataskyddslagar. EU:s dataskyddslagar medger att Marsh fritt kan överföra Personuppgifter till sådana länder.
Om vi överför Personuppgifter till andra länder utanför EES, kommer vi att fastställa rättsliga grunder som berättigar sådan överföring, såsom MMC:s bindande företagsbestämmelser, standardavtalsklausuler, enskilda personers samtycke eller annan rättslig grund som tillåts av tillämpliga juridiska krav.
Enskilda personer kan begära ytterligare information om de särskilda skyddsåtgärder som tillämpas vid exporten av deras Personuppgifter genom att kontakta Compliance Officer på nedanstående adress.
KORREKTHET, ANSVAR, ÖPPENHET OCH DINA RÄTTIGHETER
Vi strävar efter att upprätthålla Personuppgifter som är korrekta, fullständiga och aktuella. Enskilda personer bör kontakta oss på Privacy-Marsh.Sweden@Marsh.com om uppgifterna behöver uppdateras.
Frågor om Marshs integritetsrutiner bör i första hand riktas till Marshs Compliance Officer.
Under vissa omständigheter har enskilda personer rätt att be Marsh att:
- Lämna ytterligare information om hur vi använder och bearbetar deras Personuppgifter.
- Tillhandahålla en kopia av de Personuppgifter vi har om den enskilda personen.
- Uppdatera eventuella felaktigheter i de Personuppgifter vi innehar.
- Radera Personuppgifter som vi inte längre har någon rättslig grund att behandla.
- Dra tillbaka samtycke, när behandlingen är baserad på samtycke.
- Invända mot en behandling av Personuppgifter som Marsh rättfärdigar på den rättsliga grunden ”berättigade intressen”, såvida inte våra skäl för att vidta den behandlingen väger tyngre än eventuell inskränkning av den enskilda personens integritetsrättigheter.
- Begränsa hur vi behandlar Personuppgifterna medan vi överväger din förfrågan.
Dessa rättigheter är föremål för vissa undantag för att skydda allmänintresset (t.ex. att förebygga eller upptäcka brott) och våra intressen (t.ex. att upprätthålla sekretesskydd). Vi svarar på de flesta förfrågningar inom 30 dagar.
Om vi inte kan svara på en förfrågan eller lösa ett klagomål, har enskilda personer rätt att lämna ett klagomål till Datainspektionen.
FRÅGOR, FÖRFRÅGNINGAR ELLER KLAGOMÅL
Om du har frågor eller vill göra förfrågningar angående denna Integritetspolicy eller Marshs integritetsrutiner, skriv till Compliance Officer på följande adress:
Compliance Officer
Marsh AB
Klara Norra Kyrkogata 29, 111 22 Stockholm
Privacy-Marsh.Sweden@Marsh.com
ÄNDRINGAR AV DETTA INTEGRITETSMEDDELANDE
Denna Integritetspolicy kan ändras när som helst. Den ändrades senast den 23-03-18. Om vi gör ändringar av denna Integritetspolicy kommer vi att uppdatera senaste ändringsdatum. Eventuella ändringar som vi gör av denna Integritetspolicy träder i kraft omedelbart.
En kopia av denna Integritetspolicy (och eventuella väsentliga ändringar) kan erhållas här. Observera att länken inte är tillgänglig via en allmän sökning på webben.