Marsh, et selskap i Marsh & McLennan Companies gruppen (MMC), tilstreber å ivareta personvernet og konfidensialiteten i Personopplysningene selskapet behandler i forbindelse med tjenestene selskapet tilbyr våre kunder. Marshs tjenester består hovedsakelig av risikorådgivning og forsikringsmegling, hvor vi rådgir våre kunder om tilgangen til, forvaltningen av og melding av skadesaker i anledning forsikringstjenester.
Forsikring er sammenslåing og deling av risiko mot mulige hendelser. For å kunne gjøre dette, må informasjon, herunder personopplysninger av ulike kategorier av enkeltpersoner, deles mellom ulike aktører i forsikringsmarkedet gjennom forsikringens livsløp.
For å forklare begrepene brukt i personvernerklæringen, har vi nedenfor beskrevet rollene til hovedaktørene i forsikringsmarkedet:
- Forsikringstakere: de som etterspør forsikring for å beskytte seg mot risikoer de kan utsettes for. De kan ta kontakt med en Forsikringsformidler (som Marsh) for å kjøpe forsikring eller de kan kontakte et Forsikringsselskap direkte eller via en webside for prissammenligning.
- Forsikringsformidlere: bistår Forsikringstakere og Forsikringsselskaper med å etablere forsikringsdekning. De kan tilby rådgivning og håndtere skademeldinger. Mange forsikrings- og gjenforsikringspoliser etableres gjennom Forsikringsformidlere.
- Forsikringsselskap: (noen ganger benevnt som assurandør) skaffer forsikringsdekning til Forsikringstakere mot betaling (premie).
- Reassurandører: skaffer forsikringsdekning til et annet Forsikringsselskap eller Reassurandør. Slik forsikring er kjent som reassuranse.
I løpet av forsikringens livsløp, kan Marsh motta Personopplysninger knyttet til mulige eller reelle Forsikringstakere, begunstigede i henhold til polisen, deres familiemedlemmer, skadeanmelder og andre parter involvert i en forsikringssak (skade-/forsikringsoppgjør). Derfor viser "enkeltpersoner" i denne personvernerklæringen til enhver fysisk person fra forannevnte opplisting, som Marsh mottar Personopplysninger om i forbindelse med tjenestene som tilbys i forbindelse med engasjementet for våre kunder. Personvernerklæringen angir Marshs bruk av personopplysninger og tilgjengeliggjøring av opplysninger for andre Forsikringsmarkedsaktører eller andre tredjeparter.
En ordliste med nøkkelbegrepene brukt i personvernerklæringen finnes her.
BEHANDLINGSANSVARLIGES IDENTITET OG KONTAKTOPPLYSNINGER
Marsh AS, Karenslyst allé 20, 0278 Oslo (Marsh eller Vi) er behandlingsansvarlig i tilknytning til Personopplysninger vi behandler i forbindelse med tjenestene vi tilbyr i henhold til oppdraget vi har med våre kunder.
I enkelte tilfeller og ved leveransen av noen tjenester, kan Marsh og kunden avtale at Marsh er en databehandler. I slike tilfeller vil Marsh forholde seg til de forpliktelser som følger av databehandleravtalen mellom Marsh og kunden.
Personopplysninger som kan bli behandlet
Vi vil kunne innhente og behandle følgende Personopplysninger:
- Informasjon om enkeltpersonen: navn, adresse (og bekreftelse av adressen), annen kontaktinformasjon (f.eks. e-post og telefoninformasjon), kjønn, sivilstatus, familieinformasjon, fødselsdato og –sted, arbeidsgiver, stillingstittel og arbeidserfaring, forhold til forsikringstaker, forsikrede, begunstigede eller skadeanmelder.
- Informasjon om identitet: ID-nummer utstedt av offentlige organer eller etater (f.eks. avhengig av landet du er i, passnummer, personnummer eller førerkortnummer).
- Økonomisk informasjon: debet- og kredittkortnummer, bankkontonummer og kontoinformasjon, inntekt og annen økonomisk informasjon.
- Forsikret risiko: Informasjon om den forsikrede risiko som inneholder Personopplysninger og kan omfatte i den utstrekning det er relevant for den forsikrede risiko
- Helseopplysninger: gjeldende eller tidligere fysiske eller psykiske medisinske forhold, helsetilstand, informasjon om skade eller invaliditet, utførte medisinske inngrep, personlige vaner av betydning (f.eks. røyking eller alkoholkonsum), reseptopplysninger, medisinsk historie ;
- Andre Særlige Kategorier av Personopplysninger: etnisk opprinnelse, politisk oppfatning, religion og livssyn, fagforeningsmedlemskap, genetisk informasjon, biometrisk informasjon, informasjon om personens sexliv eller seksuell legning.
- Forsikringsinformasjon: Informasjon om pristilbud enkeltpersonen mottar og forsikringsavtalen han/hun får.
- Kreditt- og bedrageribekjempelses informasjon: kredittopplysninger og kredittrangering, informasjon om domfellelse for bedrageri, anklager om kriminalitet og politiattest mottatt fra ulike registere for bekjempelse av bedrageri, , som politi- og strafferegister, eller lovgivende myndigheter eller tilsynsmyndigheter.
- Tidligere krav: Informasjon om tidligere krav som kan omfatte helseopplysninger, og andre Særlige Kategorier av Personopplysninger (som beskrevet i definisjonen av Forsikret Risiko ovenfor).
- Nåværende kra: Informasjon om nåværende krav som kan omfatte helseopplysninger, og andre Særlige Kategorier av Personopplysninger (som beskrevet i definisjonen av Forsikret Risiko ovenfor).
- Markedsføringsopplysninger: Hvorvidt enkeltpersonen har samtykket til å motta markedsføringsmateriell fra oss og fra tredjeparter.
Når vi innhenter slik informasjon direkte fra enkeltpersoner, skal vi informere dem om informasjonen er påkrevet og konsekvensene av ikke å gi opplysningene i det aktuelle formatet.
Kilder for personopplysninger
Vi innhenter Personopplysninger fra ulike kilder, herunder (avhengig av hvilket land du befinner deg i):
- Enkeltpersoner og deres familiemedlemmer, online, pr. telefon eller skriftlig henvendelse
- Enkeltpersonens arbeidsgiver
- Ved krav om forsikringsutbetaling, tredjeparter herunder den andre parten (saksøker/saksøkt), vitner, eksperter (blant annet medisinsk ekspertise), takstmenn, advokater og skadebehandlere
- Andre aktører i forsikringsmarkedet, som Forsikringsselskap, Reassurandører og andre Forsikringsformidlere
- Kredittvurderingsselskaper (i den grad Marsh tar noen kredittrisiko)
- Bedrageriregistere og andre tredjepartsdatabaser, herunder strafferegister
- Offentlige etater, som Statens vegvesen (kjøretøyopplysninger), bilregisteret og skatteetaten
- Skademeldingsskjemaer
Behandling og distribusjon av personopplysninger
I denne avsnittet utdyper vi formålet med vår anvendelse av Personopplysninger, forklarer hvordan vi tilgjengeliggjør opplysningene, og fastsetter det " rettslige grunnlaget" (behandlingsgrunnlaget) for behandling av opplysningene.
Behandlingsgrunnlagene er fastsatt i personvernforordningen (GDPR) som kun gir selskaper rett til å behandle personopplysninger når slik behandling følger av et behandlingsgrunnlag fastsatt i forordningen og relevant lovgivning. Komplett beskrivelse av hvert grunnlag finnes [her].
Samtykke
For å legge til rette for å yte forsikringsdekning og administrere forsikringskrav, er vi avhengig av den registrertes samtykke for å behandle Særlige Kategorier av Personopplysninger som medisinske opplysninger og dommer slik beskrevet i tabellen over samt for profilering som beskrevet under neste punkt. Samtykket gir oss anledning til å dele informasjonen med andre slik som Forsikringsselskaper, Forsikringsformidlere og Re-assurandører som kan ha behov for å behandle opplysningene for å kunne utøve sin rolle i forsikringsmarkedet (som igjen gjør det mulig å samle og prise risiko på en forsvarlig måte).
De berørte enkeltpersonenes samtykke til slik behandling av Særlige Kategorier av Personopplysninger er en nødvendig forutsetning for at Marsh kan tilby de tjenestene kunden ber om.
Når Kunden gir oss informasjon om en andre personer enn Kunden selv, forplikter Kunden seg til å informere vedkommende om vår bruk av deres Personopplysninger og innhente deres samtykke for oss.
Personer kan når som helst trekke tilbake sitt samtykke til slik behandling. Dette kan imidlertid være til hinder for at Marsh kan fortsette å tilby tjenestene. I tillegg, kan det være umulig å videreføre forsikringen dersom en person trekker sitt samtykke til et Forsikringsselskap eller Reassurandører når det gjelder behandling av Spesielle Kategorier av Personopplysninger kan det vise seg umulig å fortsette forsikringsdekningen.
Profilering og automatiserte beslutninger
Forsikringspremier beregnes av Forsikringsmarkedsaktører som med utgangspunkt i kunders og begunstigedes egenskaper sammenlignet med andre kunders og begunstigedes egenskaper samt risikoen for at den forsikrede hendelsen inntrer. Denne beregningen krever at Marsh og andre Forsikringsmarkedsaktører analyserer og sammenstiller informasjon mottatt fra alle forsikrede, begunstigede og skademeldere for å utforme modeller for slike risiko. Vi kan dermed benytte Personopplysninger både for å avstemme mot informasjonen i modellene og for å lage modeller som fastsetter premieprising generelt og for andre forsikrede. Marsh og andre Forsikringsmarkedsaktører kan benytte Særlige Kategorier av Personopplysninger og opplysninger fra strafferegister til slik utforming av modeller i den utstrekning som er relevant, som medisinsk historikk for livsforsikring eller tidligere trafikkforseelser for bilforsikring.
Marsh og andre Forsikringsmarkedsaktører benytter lignende metoder for å vurdere informasjon som kunder og enkeltpersoner gir, for å forutsi og forstå bedragerimønstre, sannsynligheten for at fremtidige tap faktisk inntreffer i erstatningssammenheng, og som fastsatt nedenfor.
Vi benytter disse modellene kun til de formålene oppført i denne Personvernerklæringen. I de fleste tilfeller tar våre medarbeidere beslutninger basert på modellene.
Automatisert meglerplattform
Dersom kunder benytter en automatisert meglerplattform, blir forsikring tilbudt utelukkende ved å avstemme hvorvidt de opplysningene kunden har gitt, oppfyller kriteriene fastsatt av forsikringsselskapene som avgjør (a) hvorvidt forsikringen tilbys; (b) på hvilke vilkår; og (c) til hvilken pris. Hvert forsikringsselskap vil benytte ulike algoritmer for å fastsette sine priser, og kundene må undersøke hvert forsikringsselskaps personvernerklæring for ytterligere informasjon. Vår plattform undersøker bare hvorvidt opplysningene til potensielle forsikringstakere tilfredsstiller forsikringsselskapenes modeller og returnerer resultatene. Dersom den potensielle forsikringstakerens opplysninger ikke tilfredsstiller Forsikringsselskapenes modeller, vil forsikringsforespørselen bli henvist til gjennomgang av team med myndighet til å godkjenne eller avslå søknaden. Vi benytter også forutsigelsesalgoritmer til informasjonen klientene gir for å kunne oppdage og forebygge bedrageri. Vi gjennomgår regelmessig all profilering og tilhørende algoritmer mot unøyaktigheter og partiskhet.
Disse delvis automatiserte prosessene kan resultere i at en kunde ikke tilbys forsikring, eller at prisen eller forsikringsbetingelsene blir påvirket.
Kunder kan be om informasjon om beslutningsmetoden og be oss verifisere om den automatiske avgjørelsen er utført på korrekt måte. Vi kan avvise forespørselen i henhold til gjeldende lovgivning, herunder når informasjonen vil avsløre forretningshemmeligheter eller forhindre forebygging eller være i konflikt med forebygging eller avsløring av bedrageri eller annen kriminalitet, men generelt vil vi under slike omstendigheter bekrefte at algoritmene og kildedata fungerer som forventet og uten feil eller partiskhet.
Sikkerhetstiltak
Vi har etablert fysiske, elektroniske og organisatoriske sikkerhetstiltak tilpasset sensitiviteten i opplysningene som vi behandler. Denne sikkerheten vil variere avhengig av sensitiveten, formatet, plassering, mengde, utveksling og lagring av Personopplysningene, herunder tiltak utformet for å beskytte Personopplysningene mot uautorisert tilgang. Om nødvendig, omfatter denne sikkerheten kryptering av kommunikasjon via SSL, kryptering av opplysningene mens de er lagret, brannmurer, tilgangskontroll, atskillelse av oppgaver og lignende sikkerhetsrutiner. Vi begrenser tilgangen til Personopplysninger til ansatte og tredjeparter som trenger tilgang til slik informasjon til berettigede, og relevante forretningsformål.
Begrenset innhenting og oppbevaring av personopplysninger
Vi innhenter, behandler og vidersender Personopplysninger som er nødvendig for formålene fastsatt i denne Personvernerklæringen eller som er tillatt ved lov. Dersom vi trenger Personopplysninger til et formål som ikke er forenelig med formålene fastsatt i denne Personvernerklæringen, vil vi varsle kundene om det nye formålet og, når det er påkrevet, innhente personens samtykke (eller be andre parter om å innhente på Marsh sine vegne) for å kunne behandle Personopplysninger for dette formålet.
Oppbevaringsperioden for Personopplysninger er basert på forretningsmessige behov og rettslige krav. Vi oppbevarer Personopplysninger så lenge det er nødvendig for behandlingsformål(ene) opplysningene er innhentet for, og ethvert annet tillatt formål, eller det som følger av lov. Vi kan, f.eks. oppbevare visse transaksjonsopplysninger og korrespondanse inntil fristen for mulige krav etter transaksjonen har utløpt, eller for å overholde regulatoriske krav knyttet til oppbevaring av slike data. Når det ikke lenger er behov for Personopplysningene, vil vi enten anonymisere dataene på en ugjenkallelig måte (og vi kan da fortsette å oppbevare og bruke den anonymiserte informasjonen) eller ødelegge dataene på en sikker måte.
Overføring av personopplysninger på tvers av landegrenser
Marsh overfører Personopplysninger til, eller tillater innsyn i Personopplysninger for, land utenfor EØS-området (EØS). Personvernlovgivningen i disse landene gir ikke alltid samme beskyttelsesnivå for Personopplysninger som i EØS. Uansett forhold, beskytter vi Personopplysninger som fastsatt i denne Personvernerklæringen.
Visse land utenfor EØS oppfyller EU-kommisjonens krav til forsvarlig behandling av personopplysninger. EUs personvernlovgivning gir Marsh tillatelse til fritt å overføre Personopplysninger til slike land.
Dersom vi overfører Personopplysninger til andre land utenfor EØS, vil vi sørge for rettslig grunnlag som hjemler slik overføring, som f.eks. "MMC Binding Corporate Rules", utforme kontraktsklausuler, innhente enkeltpersoners samtykke, eller andre rettslige grunnlag i samsvar med gjeldende lovgivning.
Enkeltpersoner kan be om ytterligere opplysninger om de konkrete sikkerhetstiltakene som gjelder for overføring av deres Personopplysninger ved å kontakte Personvernansvarlig på adressen under.
NØYAKTIGHET, PÅLITLIGHET, ÅPENHET OG KUNDENS RETTIGHETER
Vi tilstreber å opprettholde nøyaktige, komplette og oppdaterte Personopplysninger. For å oppdatere egen informasjon, bør enkeltpersoner kontakte oss på Privacy-Marsh.Norway@Marsh.com.
Spørsmål vedrørende Marsh sin personvernpraksis bør i første omgang rettes til Personvernansvarlig hos Marsh.
I visse tilfeller kan enkeltpersoner ha krav på å be Marsh om å:
- gi ytterligere opplysninger om hvordan vi bruker og behandler deres Personopplysninger;
- utlevere kopi av Personopplysningene vi oppbevarer om enkeltpersonen;
- rette eventuelle feil i Personopplysninger vi oppbevarer;
- slette Personopplysninger som vi ikke lenger har rettslig grunnlag for å behandle;
- trekke tilbake samtykke når behandling er basert på samtykke;
- motsette seg enhver behandling av Personopplysninger som Marsh begrunner i hensynet til å ivareta en berettiget interesse, medmindre våre grunner for å gjennomføre behandlingen overstiger hensynet til den registrertes personvern; og
- begrense vår behandling av Personopplysningene mens vi vurderer forespørselen.
Disse rettighetene er underlagt visse unntak for å sikre allmenne interesser (f.eks. forebygge og avsløre kriminalitet) og våre interesser (f.eks. opprettholde konfidensialitet). Vi vil svare på de fleste forespørsler innen 30 dager.
Dersom vi ikke er i stand til å treffe beslutning vedrørende en forespørsel eller klage, kan enkeltpersonen klage til Datatilsynet.
SPØRSMÅL, ANMODNINGER OG KLAGER
For å sende inn spørsmål eller anmodninger vedrørende denne Personvernerklæringen eller Marsh sin personvernpraksis, vennligst skriv til Personvernsansvarlignpå følgende adresse:
Personvernsansvarlig
Marsh AS
Karenslyst allé 20,
0278 Oslo, Norway
Privacy-Marsh.Norway@Marsh.com
ENDRINGER AV NÆRVÆRENDE ERKLÆRING
Denne Personvernerklæringen er gjenstand for endringer til enhver tid. Den ble sist endret 23.03.2018. Dersom vi gjør endringer i Personvernerklæringen, vil vi oppdatere den med de siste endringene. Eventuelle endringer som gjøres i Personvernerklæringen trer i kraft umiddelbart.