Marsh, součást skupiny Marsh & McLennan Companies, Inc. (dále jen „MMC“), usiluje o ochranu soukromí a důvěrnosti osobních údajů, které zpracovává v souvislosti se službami, jež poskytuje klientům. Služby společnosti Marsh zahrnují zejména rizikové poradenství a zprostředkování pojištění, které usnadňuje zvažování pojišťovacích služeb, přístup k nim, jejich spravování a uplatňování pojistných nároků.
Pojištění představuje sdílení rizika, že dojde k pojistné události. K tomu je nutné sdílení informací včetně osobních údajů různých kategorií fyzických osob mezi různými účastníky pojistného trhu po celou dobu trvání pojištění.
V zájmu vysvětlení pojmů používaných v tomto prohlášení o ochraně osobních údajů níže uvádíme úlohy hlavních účastníků pojistného trhu:
- Pojistníci: žádají o pojištění, aby se chránili před riziky, která by na ně mohla mít vliv. Mohou se obrátit na zprostředkovatele (jako je Marsh), aby uzavřeli pojištění, nebo na pojišťovnu, a to přímo či prostřednictvím internetových stránek zaměřených na srovnávání cen.
- Zprostředkovatelé: pomáhají pojistníkům a pojišťovnám při sjednávání pojištění. Mohou poskytovat poradenství a vyřizovat pojistné události. Mnoho pojistných a zajišťovacích smluv je uzavíráno přes zprostředkovatele.
- Pojišťovny: (také označovány jako pojistitelé): poskytují pojištění pojistníkům za úplatu (pojistné).
- Zajišťovny: poskytují pojištění jiné pojišťovně či zajišťovně. Tomuto pojištění se říká zajištění.
Během životního cyklu pojištění může společnost Marsh obdržet osobní údaje týkající se potenciálních či skutečných pojistníků, obmyšlených osob v rámci pojištění, jejich rodinných příslušníků, osob nárokujících pojistné plnění a dalších stran, jichž se pojistná událost týká. „Fyzickou osobou“ se v tomto prohlášení o ochraně osobních údajů proto rozumí jakákoli žijící osoba z výše uvedeného seznamu, jejíž osobní údaje společnost Marsh obdrží v souvislosti se službami, které poskytuje klientům. Toto prohlášení o ochraně osobních údajů uvádí, jakým způsobem Marsh dotčené osobní údaje používá a co sděluje ostatním účastníkům pojistného trhu a dalším třetím stranám.
Glosář hlavních pojmů použitých v tomto prohlášení o ochraně osobních údajů najdete zde.
TOTOŽNOST SPRÁVCE ÚDAJŮ A KONTAKTNÍ ÚDAJE
MARSH, s.r.o., Vinohradská 2828/151, 130 00 Praha 3 (Marsh nebo my) je správcem údajů, pokud jde o osobní údaje, které zpracovává v souvislosti se službami poskytovanými klientům.
V některých případech a za účelem poskytování určitých služeb se Marsh může s klientem dohodnout na tom, že Marsh bude zpracovatelem údajů. Jedná-li Marsh jako zpracovatel, dodržuje povinnosti stanovené v dohodě uzavřené s klientem.
Osobní údaje, které mohou být zpracovávány
Můžeme shromažďovat a zpracovávat tyto osobní údaje:
- Osobní údaje: Jméno, adresa bydliště (a doklad o bydlišti), jiné kontaktní údaje (např. e-mail a telefonní číslo), pohlaví, rodinný stav, údaje o rodině, datum a místo narození, zaměstnavatel, název pracovní pozice a předchozí zaměstnání, vztah k pojistníkovi, pojištěnci, obmyšlené osobě nebo osobě nárokující pojistné plnění.
- Identifikační údaje: Identifikační čísla přidělená orgány státní správy či státními agenturami (např. podle země, ve které se nacházíte, číslo sociálního pojištění nebo číslo národního pojištění, číslo pasu, identifikační číslo, DIČ, číslo řidičského průkazu).
- Finanční informace: Číslo platební karty, číslo bankovního účtu a bankovní údaje, údaje o příjmu a další finanční informace.
- Pojištěné riziko: Informace o pojištěném riziku, které obsahují osobní údaje a mohou zahrnovat, pouze v rozsahu relevantním pro pojištěné riziko, tyto informace:
- Údaje o zdravotním stavu: Současná či předchozí fyzická nebo duševní onemocnění, zdravotní stav, informace o zranění či zdravotním postižení, provedené lékařské zákroky, relevantní zvyky (např. kouření či konzumace alkoholu), informace o předepsaných lécích, anamnéza;
- Údaje z trestního rejstříku:Rozsudky v trestních věcech, včetně dopravních přestupků a
- Další zvláštní kategorie osobních údajů: Rasový či etnický původ, politické názory, náboženské nebo filozofické přesvědčení, členství v odborech, genetické údaje, biometrické údaje, údaje o sexuálním životě či sexuální orientaci fyzické osoby.
- Informace o pojištění: Informace o kalkulaci, kterou fyzická osoba obdrží, a pojištění, které uzavře.
- Údaje o úvěrech a údaje pro boj proti podvodům: Úvěrová historie a úvěrové skóre, informace o usvědčení z podvodu, obvinění z trestného činu a sankcích získané z různých databází zaměřených na boj proti podvodům a sankce nebo od regulačních či donucovacích orgánů.
- Minulé pojistné události: Informace o minulých pojistných událostech, které mohou obsahovat údaje o zdravotním stavu, údaje z trestního rejstříku a další zvláštní kategorie osobních údajů (popsané v definici pojištěného rizika výše).
- Současné pojistné události: Informace o současných pojistných událostech, které mohou obsahovat údaje o zdravotním stavu, údaje z trestního rejstříku a další zvláštní kategorie osobních údajů (popsané v definici pojištěného rizika výše).
- Marketingové údaje: Informace o tom, zda fyzická osoba souhlasila se zasíláním marketingových sdělení od nás nebo třetích stran, či nikoli.
V případech, kdy takové informace shromažďujeme přímo od fyzických osob, informujeme je o tom, zda jsou informace požadovány, a o důsledcích jejich neuvedení v příslušném formuláři.
Zdroje osobních údajů
Osobní údaje získáváme z různých zdrojů, včetně (v závislosti na zemi, ve které se nacházíte):
- fyzických osob a jejich rodinných příslušníků, přes internet, telefonicky nebo prostřednictvím písemné korespondence,
- zaměstnavatelů fyzických osob,
- v případě pojistné události od třetích stran včetně druhé strany pojistné události (osoby nárokující pojistné plnění / žalované strany), svědků, odborníků (včetně lékařských odborníků), likvidátorů pojistných událostí, právníků a subjektů vyřizujících pojistné události,
- ostatních účastníků pojistného trhu, jako jsou pojišťovny, zajišťovny a ostatní zprostředkovatelé,
- registrů dlužníků (v rozsahu, v jakém společnosti Marsh vzniká úvěrové riziko),
- databází zaměřených na boj proti podvodům a jiných databází třetích stran, včetně seznamů sankcí,
- státních agentur, jako jsou registry vozidel a daňové orgány,
- formulářů pro hlášení pojistných událostí
Jak používáme vaše osobní údaje a komu je předáváme
V tomto oddílu uvádíme, k jakým účelům používáme osobní údaje, vysvětlujeme, jak údaje sdílíme, a popisujeme právní důvody, na základě nichž údaje zpracováváme.
Tyto právní důvody stanoví obecné nařízení o ochraně osobních údajů, které umožňuje podnikům zpracovávat osobní údaje pouze tehdy, je-li zpracovávání založeno na konkrétních právních důvodech stanovených v nařízení zde.
Souhlas
Abychom mohli zajistit poskytnutí pojištění a správu pojistných událostí, potřebujeme souhlas subjektu údajů se zpracováváním zvláštních kategorií osobních údajů a údajů z trestního rejstříku jako jsou lékařské záznamy a záznamy o rozsudcích v trestních věcech, jak stanoví tabulka výše, a pro účely profilování, jak je uvedeno v následujícím oddílu. Na základě tohoto souhlasu můžeme sdílet informace s ostatními pojišťovnami, zajišťovnami a zprostředkovateli, které mohou potřebovat dotčené informace zpracovávat, aby mohli plnit svoji úlohu na pojistném trhu (což zároveň umožňuje sdílet riziko a určovat jeho cenu udržitelným způsobem).
Souhlas dotčené fyzické osoby se zpracováním zvláštních kategorií osobních údajů a údajů z trestního rejstříku je nezbytnou podmínkou pro to, aby společnost Marsh mohla poskytovat služby, které klient požaduje.
Když nám poskytujete informace o jiné osobě, souhlasíte s tím, že tuto osobu budete informovat o tom, že používáme její osobní údaje, a získáte pro nás její souhlas.
Fyzické osoby mohou svůj souhlas s takovým zpracováváním údajů vzít kdykoli zpět. Pokud tak ovšem učiní, nemusí být společnost Marsh schopna dále poskytovat své služby [SMAZAT: příslušnému klientovi]. Dále, pokud fyzická osoba vezme zpět svůj souhlas s tím, aby pojišťovna nebo zajišťovna zpracovávaly její osobní údaje zařazené do zvláštních kategorií osobních údajů a údaje z trestního rejstříku může se stát, že pojistná smlouva za takových okolností nemůže dále platit.
Profilování a automatizované rozhodování
Pojistné se vypočítá tak, že účastníci pojistného trhu srovnávají atributy klientů a obmyšlených osob s atributy jiných klientů a obmyšlených osob a tendence vzniku pojistné události. Při uvedeném srovnávání musí společnost Marsh a další účastníci pojistného trhu analyzovat a sestavovat informace získané od všech pojištěnců, obmyšlených osob nebo osob nárokujících pojistné plnění, aby mohli vytvářet modely těchto tendencí. Podle toho můžeme používat osobní údaje jednak k tomu, abychom je porovnávali s informacemi v modelech, a jednak k tomu, abychom vytvářeli modely, které určí cenu pojistného obecně a pro ostatní pojištěnce. Marsh a další účastníci pojistného trhu mohou k takovému modelování používat zvláštní kategorie osobních údajů a údaje z trestního rejstříku v rozsahu, který je relevantní, např. anamnéza pro životní pojištění nebo dopravní přestupky v minulosti pro pojištění motorových vozidel.
Marsh a ostatní účastníci pojistného trhu používají podobné prediktivní techniky k posuzování informací, které poskytnou klienti a fyzické osoby, s cílem porozumět způsobům podvodného jednání, pravděpodobnosti skutečných ztrát v budoucnosti ve scénářích pojistných událostí a doplňte případné další profilování prováděné za použití osobních údajů.
Tyto modely používáme pouze pro účely uvedené v tomto prohlášení o ochraně osobních údajů. [Ve většině případů] naši zaměstnanci přijímají rozhodnutí na základě těchto modelů. [V následujících případech se rozhodnutí přijímají výlučně na základě modelů a automatizovaného srovnávání osobních údajů s modely:
Platforma pro automatizované zprostředkování pojištění
Pokud klienti použijí některou platformu pro automatizované zprostředkování pojištění, poskytují se kalkulace zcela na základě porovnání, zda atributy uvedené klientem splňují kritéria stanovená pojišťovnami, na základě čehož se určí, v rozsahu povoleném ze zákona, a) zda bude kalkulace poskytnuta; b) za jakých podmínek a c) jaká bude cena. Každá pojišťovna používá k určení ceny jiné algoritmy a klienti se musejí seznámit se zásadami ochrany osobních údajů každé pojišťovny, kde najdou podrobnější informace. Naše platforma pouze zjišťuje, zda atributy klientů splňují modely pojišťoven, a poté zobrazí výsledek. Na informace, které klienti poskytnou, též uplatňujeme algoritmy pro predikci podvodů, které nám pomáhají zaznamenat podvody a předcházet jim. Všechny profilovací a související algoritmy pravidelně přezkoumáváme, zda neobsahují nepřesnosti a zkreslení.
Tyto automatizované procesy mohou vést k tomu, že klientovi nebude pojištění nabídnuto, nebo mohou ovlivnit cenu či podmínky pojištění.
Klienti mohou požádat, abychom jim poskytli informace o metodice rozhodování a abychom ověřili, zda automatizované rozhodování proběhlo správně. Tuto žádost můžeme v souladu s platnými právními předpisy zamítnout, včetně situací, kdy by poskytnutím informací došlo k prozrazení obchodního tajemství nebo kdy by zasahovalo do prevence či zjišťování podvodů nebo jiné trestné činnosti, avšak za těchto okolností zpravidla ověříme, zda algoritmus a zdrojové údaje fungují podle předpokladů bez chyb a zkreslení.
Záruky
Máme zavedené odpovídající fyzické, elektronické a procesní záruky s ohledem na citlivý charakter údajů, které uchováváme. Tyto záruky se liší podle citlivosti, formátu, umístění, množství, předávání a uchovávání osobních údajů a zahrnují opatření na ochranu osobních údajů před neoprávněným přístupem. V příslušných případech záruky zahrnují šifrování komunikace prostřednictvím SSL, šifrování údajů během uchovávání, firewally, kontrolu přístupu, oddělení povinností a podobné bezpečnostní protokoly. Omezujeme přístup k osobním údajům na zaměstnance a třetí strany, které přístup k takovým informacím vyžadují z oprávněných a relevantních obchodních důvodů.
Omezování shromažďování a uchovávání osobních údajů
Shromažďujeme, používáme, zpřístupňujeme a jinak zpracováváme osobní údaje, které jsou nezbytné pro účely uvedené v tomto prohlášení o ochraně osobních údajů, nebo v rozsahu povoleném právní předpisy. Pokud požadujeme osobní údaje pro jiný účel, než jak je uvedeno v tomto prohlášení o ochraně osobních údajů, uvědomíme o takovém novém účelu klienty a v případě nutnosti požádáme o jejich souhlas (či požádáme jiné strany, aby tak učinily jménem společnosti Marsh) se zpracováváním osobních údajů pro nové účely.
Období uchovávání osobních údajů vycházejí z obchodních potřeb a zákonných požadavků. Osobní údaje uchováváme pouze po dobu nezbytnou pro účely zpracovávání, pro něž byly informace shromážděny, a pro jakékoli další přípustné, související účely, nebo jak vyžadují právní předpisy. Například můžeme uchovávat informace o některých transakcích a korespondenci, dokud neuplyne lhůta pro uplatnění nároku plynoucího z dotčené transakce, nebo abychom splnili zákonné požadavky týkající se uchovávání takových údajů. Pokud osobní údaje již nejsou potřeba, buď provedeme jejich nevratnou anonymizaci (a případně dále uchováváme a používáme anonymizované informace), nebo je bezpečně zlikvidujeme.
Předávání osobních údajů přeshranice
Marsh předává osobní údaje do zemí mimo Evropský hospodářský prostor (EHP) nebo umožňuje přístup k osobním údajům z těchto zemí. Právní předpisy o ochraně osobních údajů v těchto zemích nenabízejí vždy stejnou úroveň ochrany osobních údajů jako v EHP. Osobní údaje za všech okolností zabezpečíme, jak je stanoveno v tomto prohlášení o ochraně osobních údajů.
Evropská komise schválila některé země mimo EHP jako země, jejichž právní předpisy poskytují v zásadě ekvivalentní ochranu jako právní předpisy o ochraně osobních údajů v rámci EHP. Právní předpisy o ochraně osobních údajů v EU umožňují společnosti Marsh předávat osobní údaje do těchto zemí.
Předáváme-li osobní údaje do jiných zemí mimo EHP, uvedeme právní důvody pro takové předávání, jako jsou závazné podnikové předpisy MMC, vzorové smluvní doložky, souhlas fyzické osoby nebo jiné právní důvody v souladu s platnými zákonnými požadavky.
Fyzické osoby mohou požádat o doplňující informace o specifických zárukách uplatňovaných na předávání jejich osobních údajů do zahraničí tak, že se obrátí na Úředník pro dodržování předpisů na níže uvedené adrese.
PŘESNOST, ODPOVĚDNOST, OTEVŘENOST A VAŠE PRÁVA
Usilujeme o to, aby osobní údaje byly přesné, úplné a aktuální. Fyzické osoby by nás měly kontaktovat na adrese cz.osobniudaje@marsh.com pokud chtějí své údaje aktualizovat.
Otázky týkající se postupů společnosti Marsh v oblasti ochrany osobních údajů by měly být adresovány v prvé řadě pověřenci pro ochranu osobních údajů ve společnosti Marsh.
Fyzické osoby mají za určitých okolností právo požádat Marsh o:
- poskytnutí podrobnějších informací o tom, jak používáme a zpracováváme jejich osobní údaje,
- poskytnutí kopie osobních údajů, které o dané fyzické osobě uchováváme,
- opravu jakýchkoli nepřesností v osobních údajích, které uchováváme,
- smazání osobních údajů, k jejichž zpracovávání již nemáme právní důvod,
- o zpětvzetí souhlasu se zpracováváním údajů v případech, kde je toto zpracovávání založeno na souhlasu,
- vznést námitku proti zpracovávání osobních údajů, které Marsh odůvodňuje právními důvody v podobě oprávněných zájmů, pokud naše důvody pro dotčené zpracovávání nejsou důležitější než jakékoli ohrožení práv fyzické osoby v oblasti ochrany osobních údajů, a
- omezení způsobů zpracovávání osobních údajů během posuzování vaší žádosti.
Na tato práva se vztahují určité výjimky k ochraně veřejných zájmů (např. prevence či odhalování trestné činnosti) a našich zájmů (např. uchování právní výsady). Na většinu žádostí odpovíme do 30 dnů.
Pokud nebudeme schopni žádost či stížnost vyřešit, fyzické osoby jsou oprávněny podat stížnost u příslušného orgánu dohledu uveďte název místního úřadu pro ochranu údajů.
DOTAZY, ŽÁDOSTI NEBO STÍŽNOSTI
Dotazy nebo žádosti týkající se tohoto prohlášení o ochraně osobních údajů nebo postupů společnosti Marsh v oblasti ochrany osobních údajů zasílejte Úředník pro dodržování předpisů na adresu:
Úředník pro dodržování předpisů
MARSH, s.r.o.,
Vinohradská 2828/151,
130 00 Praha 3
cz.osobniudaje@marsh.com
ZMĚNY TOHOTO PROHLÁŠENÍ O OCHRANĚ OSOBNÍCH ÚDAJŮ
Toto prohlášení o ochraně osobních údajů může být kdykoli změněno. Poslední změna byla provedena dne 05.04.18. Provedeme-li v tomto prohlášení o ochraně osobních údajů změny, budeme aktualizovat datum poslední změny. Veškeré změny tohoto prohlášení o ochraně osobních údajů nabývají účinku okamžitě [SMAŽTE: jakmile vás o nich vyrozumíme e-mailem zaslaným na adresu uvedenou v dohodě].