Marsh indgår i Marsh & McLennan Companies Inc (MMC) - koncernen og bestræber sig på at beskytte fortroligheden af de Personoplysninger, som vi behandler i forbindelse med de serviceydelser, vi leverer til vores kunder. Marshs serviceydelser består primært af risikorådgivning og forsikringsformidling, hvor vi assisterer kunder i deres overvejelser om og adgang til forsikringsydelser samt i administrationen af samme såvel som anmeldelse af skade.
Forsikring handler om at samle og deles om risikoen for, at en eventuel hændelse indtræffer. For at kunne gøre det, er de forskellige deltagere på forsikringsmarkedet nødt til at dele oplysninger, herunder personoplysninger for forskellige kategorier af enkeltpersoner, i forsikringsforløbet.
For at forklare de betegnelser, vi anvender i denne meddelelse om behandling, giver vi herunder en kort oversigt over de roller, som de centrale Forsikringsmarkedsdeltagere har:
I forsikringsforløbet modtager Marsh muligvis Personoplysninger om mulige eller eksisterende Forsikringstagere, om de Begunstigede i henhold til en police, deres familiemedlemmer, skadesanmeldere eller andre parter involveret i en skadesanmeldelse. Henvisning til "enkeltpersoner" i denne meddelelse om behandling omfatter således enhver levende person fra ovenstående liste, hvis Personoplysninger Marsh modtager i forbindelse med de ydelser, som vi leverer i engagementet med vores kunder. Nærværende meddelelse om behandling beskriver, hvordan Marsh anvender sådanne personoplysninger, samt hvad vi videregiver til andre Forsikringsmarkedsdeltagere og andre tredjeparter.
En oversigt over de forskellige nøglebetegnelser, som vi anvender i denne meddelelse om behandling, kan findes [her].
Marsh A/S, Teknikerbyen 1, 2830 Virum, Denmark er dataansvarlig for de Personoplysninger, vi modtager i forbindelse med de ydelser, der leveres i henhold til det pågældende engagement med kunden.
I nogle tilfælde og med det formål at udføre visse serviceydelser kan Marsh og vores kunde aftale, at Marsh er databehandler. Når Marsh agerer som databehandler, vil vi opfylde de forpligtelser, der fremgår af den aftale herom, der er indgået med kunden.
Vi må indhente og behandle følgende Personoplysninger:
Ved indsamling af sådanne oplysninger direkte fra den enkelte person, oplyser vi vedkommende om, hvorvidt oplysningerne er påkrævet samt om konsekvenserne ved ikke at anføre oplysningerne på den pågældende blanket.
Vi indhenter Personoplysninger fra forskellige kilder, herunder (afhængigt af opholdsland):
I dette afsnit beskriver vi de formål, hvortil vi anvender Personoplysninger, forklarer hvordan vi deler oplysningerne, og definerer det retsgrundlag, som vi henholder os til i behandlingen af oplysningerne.
Dette retsgrundlag er anført i Persondataforordningen (General Data Protection Regulation (GDPR)), og tillader kun virksomheder at behandle Personoplysninger, såfremt behandling er tilladt ifølge det specifikke retsgrundlag anført i lovgivningen [her].
For at kunne levere forsikringsdækning og administrere skadesanmeldelser har vi brug for den registreredes samtykke til at behandle Særlige Kategorier af Personoplysninger og straffeattestoplysninger, såsom oplysninger om helbred eller modtagne domme, således som det fremgår af ovenstående tabel, samt til profilering som omtalt i det følgende. Et sådant samtykke giver os mulighed for at dele oplysningerne med andre Forsikringsgivere, Forsikringsmæglere og Reassurandører, som kan have behov for at behandle oplysningerne for at kunne varetage deres rolle i forsikringsmarkedet (hvilket omvendt giver muligheden for at samle og prissætte risici på en bæredygtig måde).
Den pågældende enkeltpersons samtykke til en sådan behandling af Særlige Kategorier af Personoplysninger og straffeattestoplysninger er en betingelse for, at Marsh er i stand til at levere de ydelser, som kunderne efterspørger.
Når kunden giver os oplysninger om andre personer end kunden selv, accepterer kunden at informere disse andre personer om vores anvendelse af deres Personoplysninger samt at indhente deres samtykke til os.
Enkeltpersoner kan til enhver tid tilbagetrække deres samtykke til sådan databehandling. Dette kan dog forhindre Marsh i fortsat at levere ydelserne. Såfremt en enkeltperson tilbagetrækker sit samtykke til en Forsikringsgivers eller Reassurandørs behandling af vedkommendes Særlige Kategori af Personoplysninger og straffeattestoplysninger, kan det desuden vise sig umuligt at fortsætte forsikringsdækningen.
Forsikringspræmier udregnes ved, at Forsikringsmarkedsdeltagerne vurderer kundernes og de begunstigedes egenskaber op imod andre kunders og begunstigedes egenskaber samt sandsynligheden for, at den forsikrede begivenhed indtræffer. En sådan vurdering forudsætter, at Marsh og andre Forsikringsmarkedsdeltagere analyserer og kompilerer de oplysninger, der er modtaget fra alle forsikrede, begunstigede eller skadeanmeldere for at kunne opstille sandsynlighedsmodeller. Vi kan således anvende Personoplysninger både til at matche med oplysningerne i modellerne og til at udforme de modeller, som afgør prissætning af præmier generelt såvel som for andre forsikrede. Marsh og andre Forsikringsmarkedsdeltagere kan, i det omfang det er relevant, anvende Særlige Kategorier af Personoplysninger og straffeattestoplysninger til opstilling af sådanne modeller, fx sygdomshistorik i forbindelse med livsforsikring eller tidligere færdselsdomme i forbindelse med bilforsikring.
Marsh og andre forsikringsmarkedsdeltagere anvender lignende retningsgivende teknikker til at vurdere de oplysninger, som kunder og enkeltpersoner afgiver, for at afdække bedragerimønstre, sandsynligheden for fremtidige tab i forskellige skadesanmeldelsesscenarier, samt som anført i det følgende.
Vi anvender kun disse modeller til de formål, som er angivet i nærværende meddelelse om beskyttelse af personoplysninger. I de fleste tilfælde træffer vores medarbejdere beslutninger baseret på disse modeller.
Når kunden benytter en automatisk mæglerplatform, afgives forsikringstilbud alene ved match af, om de egenskaber, som kunden har anført, opfylder de kriterier, som forsikringsgiveren har opstillet, hvilket afgør (a) om der afgives et tilbud, (b) på hvilke betingelser, og (c) til hvilken pris. Forsikringsgiverne anvender forskellige algoritmer til at afgøre deres prissætning, og kunden må undersøge den enkelte forsikringsgivers politik vedrørende beskyttelse af personoplysninger. Vores platform spørger blot ind til, hvorvidt en eventuel forsikringskundes egenskaber opfylder forsikringsgivers modeller og vender dernæst tilbage med et svar. Hvis den eventuelle forsikringskundes egenskaber ikke opfylder forsikringsgivernes modeller, henvises forespørgslen efter et tilbud til gennemsyn af et forsikringsteam. Vi anvender også bedragerisandsynlighedsalgoritmer på de oplysninger, som kunderne afgiver, for at opdage og forhindre bedrageri. Vi gennemgår jævnligt al profilering og de tilhørende algoritmer for at afdække småfejl og skævheder.
Disse delvist automatiserede arbejdsgange kan resultere i, at en kunde ikke bliver tilbudt forsikring, eller at forsikringens pris eller betingelser påvirkes.
Kunden kan anmode om at få oplyst hvilken metodik, der er anvendt ved beslutningstagning, og bede os verificere, at den automatiske beslutning korrekt. Vi kan afvise anmodningen i henhold til gældende lovgivning, herunder hvis afgivelse af sådanne oplysninger ville resultere i videregivelse af forretningshemmeligheder eller være i konflikt med forebyggelse eller afdækning af bedrageri eller kriminalitet. Generelt vil vi dog i sådanne situationer verificere, at algoritmen og kildeoplysningerne fungerer som forventet uden fejl eller skævheder.
Vi har etableret fysiske, elektroniske og proceduremæssige sikkerhedsforanstaltninger, som modsvarer følsomheden af de oplysninger, vi varetager. Disse sikkerhedsforanstaltninger vil variere alt efter Personoplysningernes følsomhed, format, sted, mængde, fordeling og lagring og omfatter tiltag, der er målrettet mod at beskytte Personoplysningerne mod uautoriseret adgang. Såfremt det er hensigtsmæssigt, kan sikkerhedsforanstaltningerne omfatte kryptering af kommunikation via SSL, kryptering af oplysninger under lagring, firewalls, adgangskontroller, adskillelse af arbejdsopgaver og lignende sikkerhedsprotokoller. Hos os er adgangen til Personoplysninger begrænset til personale og til tredjeparter, som anmoder om adgang til sådanne oplysninger i berettiget forretningsøjemed.
Vi indsamler, videregiver og behandler Personoplysninger som nødvendigt i forhold til de formål, som er angivet i nærværende Meddelelse om Beskyttelse af Personoplysninger, eller i henhold til lovgivningen. Såfremt vi har behov for Personoplysninger til formål, som ikke er i overensstemmelse med de formål, der er anført i nærværende Meddelelse om Beskyttelse af Personoplysninger, vil vi orientere kunderne om det nye formål og, såfremt det er påkrævet, anmode om den enkeltes samtykke (eller bede øvrige parter om at anmode på vegne af Marsh) til at behandle Personoplysninger til det nye formål.
Hvor længe vi opbevarer Personoplysninger, afhænger af forretningsbehov og lovgivningsmæssige krav. Vi opbevarer Personoplysninger så længe, det er nødvendigt for den behandling, som oplysningerne blev indhentet til, samt til ethvert andet tilladt og relateret formål, eller så længe vi efter loven er forpligtet til at opbevare dem. Vi kan fx opbevare transaktionsdetaljer og korrespondance frem til det tidspunkt, hvor fristen for anmeldelse af en skade udløber for den pågældende transaktion, eller for at overholde lovmæssige bestemmelser for opbevaring af sådanne oplysninger. Når Personoplysninger ikke længere er påkrævet, anonymiserer vi oplysningerne (og kan evt. opbevare og anvende de anonymiserede oplysninger igen) eller destruerer dem på sikker vis.
Marsh overfører Personoplysninger til eller tillader adgang til Personoplysninger fra lande uden for det Europæiske Økonomiske Samarbejde (EØS). Disse landes persondatalovgivning giver ikke altid den samme grad af beskyttelse af Personoplysninger som inden for EØS. Vi beskytter under alle omstændigheder Personoplysninger som beskrevet i nærværende Meddelelse om Beskyttelse af Personoplysninger.
EU-Kommissionen har godkendt visse lande uden for EØS, som yder grundlæggende samme beskyttelse som EØS-landenes databeskyttelseslovgivning. I henhold til EU's databeskyttelseslovgivning kan Marsh frit overføre Personoplysninger til disse lande.
Ved overføring af Personoplysninger til andre lande uden for EØS anfører vi de juridiske årsager, der ligger til grund for en sådan overføring, som fx MMC's bindende koncernregler, kontraktbestemmelser, enkeltpersonens samtykke eller andet retsgrundlag i henhold til gældende lovgivning.
Den enkelte kan udbede sig yderligere oplysning om de specifikke sikkerhedsforanstaltninger, der er anvendt ved eksporten af vedkommendes Personoplysninger ved at kontakte Marshs Data Protection Officer på nedenstående adresse.
Vores mål er at føre Personoplysninger, der er nøjagtige, fyldestgørende og opdaterede. Den enkelte bør kontakte os på compliance.denmark@marsh.com for at få opdateret sine oplysninger.
Spørgsmål angående Marshs arbejdsgange i forbindelse med beskyttelse af Personoplysninger bør stilles til Marshs Compliance Officer.
Under visse omstændigheder har enkeltpersoner ret til at anmode Marsh om at:
Disse rettigheder er underlagt visse undtagelser til sikring af offentlige interesser (fx forhindring eller opklaring af forbrydelser) og vores interesser (fx opretholdelse af kravet om fortrolighed). Vi besvarer de fleste anmodninger i løbet af 30 dage.
Hvis vi ikke kan finde en løsning på en forespørgsel eller en klage, kan den enkelte person kontakte Datatilsynet.
Spørgsmål eller anmodninger i forbindelse med nærværende Meddelelse om Beskyttelse af Personoplysninger eller Marshs beskyttelse af Personoplysninger kan sendes skriftligt til Marshs Compliance Officer på adressen:
Data Compliance Officer
Marsh A/S
Teknikerbyen 1,
2830 Virum,
Denmark
compliance.denmark@marsh.com
Denne Meddelelse om Beskyttelse af Personoplysninger kan til enhver tid ændres. Seneste ændring blev foretaget den 23.03.18. Ved ændring af nærværende Meddelelse om Beskyttelse af Personoplysninger opdateres datoen for seneste ændring. Ændringer, der foretages i nærværende Meddelelse om Beskyttelse af Personoplysninger, træder i kraft straks.