Skip to main content

Polityka prywatności

Marsh Sp. z o.o. (Al. Jerozolimskie 98, 00-807 Warszawa), część  grupy Marsh & McLennan Companies Inc. (MMC), dokłada wszelkich starań, aby zapewnić prywatność i poufność Danych Osobowych przetwarzanych przez spółkę w związku z usługami świadczonymi na rzecz klientów. Usługi spółki Marsh obejmują przede wszystkim doradztwo w zakresie ryzyka i pośrednictwo ubezpieczeniowe.

Ubezpieczenie to łączenie i dzielenie ryzyka na wypadek wystąpienia określonych zdarzeń. Do osiągnięcia tego celu konieczna jest wymiana informacji, w tym Danych Osobowych różnych kategorii osób, pomiędzy różnymi uczestnikami rynku ubezpieczeniowego w całym okresie ważności umowy ubezpieczenia.

 

W celu wyjaśnienia terminów stosowanych w niniejszych Zasadach Ochrony Prywatności poniżej przedstawiono role kluczowych uczestników rynku ubezpieczeniowego:

  • Posiadacze polisy: wnioskują o ubezpieczenie w celu ochrony przed ryzykiem, które mogłoby mieć na nich wpływ. Mogą oni zwrócić się do Pośrednika (takiego, jak spółka Marsh) w celu wykupienia ubezpieczenia lub mogą zwrócić się do Zakładu Ubezpieczeń bezpośrednio lub za pośrednictwem strony internetowej służącej do porównywania cen.
  • Pośrednicy: pomagają Posiadaczom polisy i Zakładom Ubezpieczeń  w zaaranżowaniu  ubezpieczenia.  Mogą doradzać i rozpatrywać roszczenia. Wiele polis ubezpieczeniowych i reasekuracyjnych zawieranych jest za pośrednictwem  pośredników.
  • Zakłady Ubezpieczeń: (czasami nazywani również towarzystwami ubezpieczeniowymi lub ubezpieczycielami) zapewniają Posiadaczom polisy ochronę ubezpieczeniową w zamian za zapłatę (składkę).
  • Zakłady Reasekuracji: zapewniają ochronę ubezpieczeniową dla innego Ubezpieczyciela lub Reasekuratora.  Ubezpieczenie to nosi nazwę reasekuracji.

W okresie ważności umowy ubezpieczenia spółka Marsh może otrzymywać Dane Osobowe potencjalnych lub faktycznych Posiadaczy polisy, Beneficjentów polisy, członków ich rodzin, osób występujących z roszczeniem i innych osób związanych z procesem rozpatrywania roszczenia. W związku z tym odniesienia do „osób fizycznych” w niniejszych Zasadach Ochrony Prywatności  obejmują każdą żyjącą osobę spośród wymienionych powyżej, której Dane Osobowe otrzymuje spółka Marsh w związku ze świadczeniem usług w ramach współpracy  z klientami. Niniejsze Zasady Ochrony Prywatności określają sposób, w jaki spółka Marsh wykorzystuje te Dane Osobowe oraz ujawnia je innym uczestnikom rynku ubezpieczeniowego i osobom trzecim.

Glosariusz kluczowych terminów użytych w niniejszych Zasadach Ochrony Prywatności  można znaleźć [tu].

TOŻSAMOŚĆ ADMINISTRATORA DANYCH I DANE KONTAKTOWE 

Marsh Sp. z o.o. (Al. Jerozolimskie 98, 00-807 Warszawa) (Spółka Marsh lub my) jest administratorem danych osobowych, które otrzymuje w związku ze świadczeniem usług w ramach współpracy z klientem

W pewnych okolicznościach,  klient może powierzyć przetwarzanie danych osobowych Spółce Marsh, wówczas Spółka Marsh działa jako podmiot przetwarzający Dane Osobowe w rozumieniu art. 28 RODO  Spółka Marsh działając jako procesor będzie przetwarzać dane osobowe zgodnie z obowiązaniami określonymi w umowie zawartej z klientem

Dane osobowe, które mogą być przetwarzane

Możemy zbierać i przetwarzać następujące Dane Osobowe:

  • Dane osobowe: imię i nazwisko, adres (i dowód potwierdzający prawidłowość adresu), inne dane teleadresowe (np. adres e-mail i numer telefonu), płeć, stan cywilny, dane rodzinne, data i miejsce urodzenia, miejsce pracy, podstawa i historia zatrudnienia, związek z posiadaczem polisy, ubezpieczonym, beneficjentem lub osobą występującą z roszczeniem.
  • Dane identyfikacyjne: numery identyfikacyjne wydawane przez organy lub agencje rządowe (np. w zależności od kraju pobytu, numer ubezpieczenia społecznego lub krajowy numer ubezpieczenia, numer paszportu, numer dowodu osobistego, numer identyfikacji podatkowej, numer prawa jazdy).
  • Informacje finansowe: numer karty płatniczej, numer i inne informacje dotyczące rachunku bankowego, dochody i inne informacje finansowe.
  • Ryzyko ubezpieczonego: informacje na temat ryzyka ubezpieczonego, które zawierają Dane Osobowe i mogą obejmować, tylko w zakresie istotnym dla ryzyka osoby ubezpieczanej:
    • Dane dotyczące stanu zdrowia: aktualny lub dotychczasowy stan zdrowia fizycznego lub psychicznego, stan zdrowia, informacje o kontuzjach lub niepełnosprawności, przeprowadzonych zbiegach medycznych, nawykach osobistych (np. palenie tytoniu lub spożywanie alkoholu), informacje o receptach, historia chorób;
    • Dane z rejestrów karnych: informacje o wyrokach skazujących, w tym wyrokach skazujących za wykroczenia drogowe;
    • Inne specjalne kategorie danych osobowych: pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność do związków zawodowych, dane genetyczne, dane biometryczne, dane dotyczące życia seksualnego lub orientacji seksualnej
  • Informacje o polisie: informacje o otrzymanych wycenach i uzyskanych polisach.
  • Dane o kredytach i nadużyciach finansowych: historia kredytowa i wynik zdolności kredytowej, informacje o wyrokach skazujących za nadużycia finansowe, oskarżenia o przestępstwa i sankcje otrzymane z różnych baz danych zawierających dane o nadużyciach i sankcjach, czy informacje od organów regulacyjnych lub organów ścigania.
  • Wcześniejsze roszczenia: informacje o wcześniejszych roszczeniach, które mogą zawierać dane dotyczące stanu zdrowia, dane z rejestrów karnych oraz inne specjalne kategorie Danych Osobowych (jak opisano w definicji Ryzyko ubezpieczonego znajdującej się powyżej).
  • Bieżące roszczenia: informacje o bieżących roszczeniach, które mogą zawierać dane dotyczące stanu zdrowia, dane z rejestrów karnych oraz inne specjalne kategorie Danych Osobowych (jak opisano w definicji Ryzyko ubezpieczonego znajdującej się powyżej).
  • Dane marketingowe: informacje o wyrażeniu lub odmowie zgody na otrzymywanie informacji marketingowych od nas i osób trzecich.

W przypadku gromadzenia takich informacji bezpośrednio od osób fizycznych, poinformujemy je, czy informacje te są wymagane i jakie są konsekwencje ich nieprzekazania na odpowiednim formularzu.

Źródła danych osobowych 

Gromadzimy Dane Osobowe pochodzące z różnych źródeł, w tym (w zależności od kraju, w którym się znajdujesz):

  • od osób fizycznych i członków ich rodzin, online, telefonicznie lub drogą korespondencyjną lub pisemną;
  • pracodawców osób fizycznych;
  • w przypadku roszczeń, od osób trzecich, w tym od drugiej strony roszczenia (osoba występująca z roszczeniem/pozwany), świadków, biegłych (w tym ekspertów medycznych), likwidatorów szkód, adwokatów i osób zajmujących się rozpatrywaniem roszczeń;
  • pozostałych uczestników rynku ubezpieczeniowego, takich jak Zakłady Ubezpieczeń, Zakłady Reasekuracji inni pośrednicy;
  • kredytowych agencji referencyjnych (w zakresie, w jakim spółka Marsh podejmuje ryzyko kredytowe);
  • baz danych dotyczących zwalczania nadużyć finansowych oraz baz danych innych osób trzecich, w tym z wykazów sankcji;
  • agencji rządowych, takich jak organy rejestracji pojazdów i organy podatkowe;
  • formularz zgłoszenia roszczeń.

W jaki sposób wykorzystujemy i ujawniamy twoje dane osobowe

W tej sekcji przedstawiamy cele, do jakich wykorzystujemy Dane Osobowe, wyjaśniamy, w jaki sposób dzielimy się tymi informacjami oraz określamy „podstawy prawne”, na których opieramy się w zakresie przetwarzania tych informacji.

Te „podstawy prawne” zostały określone w ogólnym rozporządzeniu o ochronie danych osobowych (RODO), które zezwala spółkom na przetwarzanie danych osobowych tylko wtedy, gdy jest to dozwolone przez szczególne „podstawy prawne” określone w rozporządzeniu [tutaj].

Należy pamiętać, że oprócz informacji podanych w poniższej tabeli, możemy ujawniać Dane Osobowe do celów, które wyjaśniamy w niniejszych Zasadach Ochrony Prywatności usługodawcom, kontrahentom, agentom oraz spółkom z grupy MMC prowadzącym działalność w naszym imieniu.

Zgoda

W celu ułatwienia świadczenia ochrony ubezpieczeniowej i administrowania roszczeniami ubezpieczeniowymi polegamy na zgodzie na przetwarzanie szczególnych kategorii danych osobowych , takich jak kartoteki medyczne i karne, zgodnie z powyższą tabelą wyrażonej przez osobę, której dane dotyczą. Zgoda ta pozwala nam na dzielenie się informacjami z Zakładami Ubezpieczeń, Zakładami Reasekuracji, innymi  Pośrednikami, którzy mogą potrzebować przetworzenia tych informacji w celu podjęcia swojej roli na rynku ubezpieczeniowym (co z kolei umożliwia łączenie i ustalanie cen ryzyka w sposób zrównoważony).

Zgoda osoby na takie przetwarzanie specjalnych kategorii Danych Osobowych i danych z rejestrów karnych jest warunkiem koniecznym, aby spółka Marsh mogła świadczyć usługi zgodnie z życzeniem klienta.

Osoby fizyczne mogą w każdej chwili wycofać swoją zgodę na takie przetwarzanie. Może to jednak uniemożliwić spółce Marsh dalsze świadczenie usług. Ponadto, jeżeli osoba fizyczna wycofa zgodę na przetwarzanie przez Zakład Ubezpieczeń lub Zakład Reasekuracji swoich specjalnych kategorii Danych Osobowych kontynuowanie ochrony ubezpieczeniowej może nie być możliwe.

Profilowanie i zautomatyzowany proces decyzyjny

Składki ubezpieczeniowe obliczane są przez uczestników rynku ubezpieczeń, porównując atrybuty klientów i beneficjentów z atrybutami i predyspozycjami innych klientów i beneficjentów w zakresie występowania zdarzeń objętych ubezpieczeniem. Benchmarking ten wymaga od spółki Marsh i innych uczestników rynku ubezpieczeniowego analizowania i zestawiania informacji otrzymanych od wszystkich ubezpieczonych, beneficjentów lub osób występujących z roszczeniem w celu modelowania takich skłonności. W związku z tym możemy wykorzystywać Dane Osobowe zarówno do dopasowania ich do informacji zawartych w modelach, jak i do stworzenia modeli określających ogólną wycenę składki oraz dla innych ubezpieczycieli. Spółka Marsh i inni uczestnicy rynku ubezpieczeniowego mogą wykorzystywać do tego modelowania w zakresie, w jakim jest to istotne, specjalne kategorie danych osobowych  takie jak historia medyczna w ubezpieczeniach na życie [lub wcześniejsze wyroki skazujące w zakresie ubezpieczeń komunikacyjnych dla pojazdów mechanicznych].

Spółka Marsh i inni uczestnicy rynku ubezpieczeniowego stosują podobne metody predykcyjne do oceny informacji, które klienci i osoby fizyczne dostarczają, w celu zrozumienia schematów oszustw, prawdopodobieństwa przyszłych strat rzeczywiście występujących w scenariuszach roszczeń, jak określono poniżej.

Modele te są wykorzystywane wyłącznie do celów wymienionych w niniejszych zasadach ochrony prywatności. W większości przypadków nasi pracownicy podejmują decyzje w oparciu o modele.

Automatyczna platforma pośrednictwa

W przypadku, gdy klienci korzystają ze zautomatyzowanej platformy pośrednictwa, oferty ubezpieczeniowe oferowane są w całości poprzez dopasowanie atrybutów dostarczonych przez klienta do kryteriów ustalonych przez Zakłady Ubezpieczeń, które określają: (a) czy zostanie sporządzona oferta; (b) na jakich warunkach; oraz (c) po jakiej cenie. Każdy Zakład Ubezpieczeń  stosuje różne algorytmy ustalania cen, a klienci muszą zapoznać się z polityką prywatności każdego Zakładu Ubezpieczeń w celu uzyskania dodatkowych informacji. Nasza platforma sprawdza jedynie, czy atrybuty potencjalnych ubezpieczonych odpowiadają modelom Zakładów Ubezpieczeń , a następnie przedstawia wyniki. Jeżeli atrybuty potencjalnego ubezpieczonego nie odpowiadają modelom Zakładów Ubezpieczeń , zapytanie o wycenę kierowane jest do rozpatrzenia przez zespół w instytucji ubezpieczeniowej. Stosujemy również algorytmy przewidywania oszustw w odniesieniu do informacji dostarczanych przez klientów, aby pomóc nam w wykrywaniu i zapobieganiu oszustwom. Regularnie analizujemy wszystkie wyniki profilowań i związane z nimi algorytmy pod kątem nieścisłości i stronniczości.

Te częściowo zautomatyzowane procesy mogą skutkować tym, że klientowi nie zostanie zaoferowane ubezpieczenie lub mogą mieć wpływ na cenę lub warunki ubezpieczenia.

Klienci mogą poprosić nas o podanie informacji na temat metodologii podejmowania decyzji i o sprawdzenie, czy zautomatyzowana decyzja została podjęta prawidłowo. Możemy odrzucić taki wniosek, na co zezwalają obowiązujące przepisy prawa, również w przypadku, gdy przekazanie informacji spowodowałoby ujawnienie tajemnicy handlowej lub kolidowałoby z zapobieganiem lub wykrywaniem oszustw lub innych przestępstw, ale ogólnie rzecz biorąc w takich okolicznościach sprawdzimy, czy algorytm i dane źródłowe funkcjonują zgodnie z oczekiwaniami bez błędów lub stronniczości.

Zabezpieczenia

Dysponujemy fizycznymi, elektronicznymi i proceduralnymi zabezpieczeniami odpowiednimi do stopnia wrażliwości przechowywanych przez nas informacji. Zabezpieczenia te różnią się w zależności od wrażliwości, formatu, lokalizacji, ilości, dystrybucji i sposobu przechowywania Danych Osobowych, a także obejmują środki mające na celu ochronę danych osobowych przed nieupoważnionym do nich dostępem. W stosownych przypadkach zabezpieczenia obejmują szyfrowanie komunikacji za pomocą protokołu SSL, szyfrowanie informacji podczas przechowywania, zapory sieciowe, kontrole dostępu, rozdzielenie obowiązków i podobne protokoły bezpieczeństwa. Ograniczamy dostęp do Danych Osobowych wyłącznie do personelu i osób trzecich, które wymagają dostępu do takich informacji w uzasadnionych i istotnych celach biznesowych.

Ograniczenie gromadzenia i przechowywania danych osobowych

Gromadzimy, wykorzystujemy, ujawniamy i w inny sposób przetwarzamy Dane Osobowe, które są niezbędne do celów określonych w niniejszych Zasadach Ochrony Prywatności lub w sposób dozwolony przez prawo. Jeśli wymagamy Danych Osobowych w celach niezgodnych z celami wskazanymi w niniejszych Zasadach Ochrony Prywatności, poinformujemy klientów o nowym celu i, w razie potrzeby, zwrócimy się z prośbą o zgodę (lub poprosimy pozostałe strony o wyrażenie zgody w imieniu spółki Marsh) na przetwarzanie Danych Osobowych dla nowych celów.

Nasze okresy przechowywania Danych Osobowych oparte są na potrzebach biznesowych i wymogach prawnych. Dane Osobowe przechowujemy tak długo, jak jest to konieczne do celów przetwarzania, dla których informacje zostały zebrane oraz do wszelkich innych dozwolonych, powiązanych celów lub zgodnie z wymogami prawa. Na przykład, możemy zatrzymać pewne szczegóły transakcji i korespondencję do czasu upływu terminu na roszczenia wynikające z transakcji lub w celu spełnienia wymogów prawnych dotyczących zatrzymywania takich danych. Gdy Dane Osobowe nie będą już potrzebne, albo anonimizujemy je nieodwracalnie (i możemy dalej je przechowywać i wykorzystywać w formie zanonimizowanej), albo bezpiecznie niszczymy.

Transgraniczny transfer danych osobowych

Spółka Marsh przekazuje Dane Osobowe do krajów spoza Europejskiego Obszaru Gospodarczego (EOG) lub umożliwia im dostęp do Danych Osobowych. Przepisy dotyczące ochrony Danych Osobowych w tych krajach nie zawsze zapewniają taki sam poziom ochrony Danych Osobowych jak w EOG. W każdych okolicznościach będziemy chronić Dane Osobowe zgodnie z treścią niniejszych Zasad Ochrony Prywatności.

Pewne kraje spoza EOG zostały zatwierdzone przez Komisję Europejską jako zapewniające zasadniczo taką samą ochronę jak prawo EOG w zakresie ochrony danych. Unijne przepisy o ochronie danych pozwalają spółce Marsh swobodnie przekazywać Dane Osobowe do takich krajów.

W przypadku przekazywania Danych Osobowych do innych krajów poza EOG ustalamy podstawy prawne uzasadniające takie przekazywanie, takie jak wiążące reguły korporacyjne MMC, wzorcowe klauzule umowne, zgoda osób fizycznych lub inne podstawy prawne dozwolone przez obowiązujące wymogi prawne.

Osoby fizyczne mogą zwrócić się o dodatkowe informacje na temat szczególnych zabezpieczeń stosowanych przy przekazywaniu ich Danych Osobowych [kontaktując się z Inspektorem Ochrony Danych pod adresem podanym poniżej.

DOKŁADNOŚĆ, ODPOWIEDZIALNOŚĆ, OTWARTOŚĆ I TWOJE PRAWA

Dążymy do tego, aby Dane Osobowe były dokładne, kompletne i aktualne. Osoby prywatne powinny skontaktować się z nami pod adresem IOD@Marsh.com w celu aktualizacji swoich informacji.

Pytania dotyczące praktyki ochrony prywatności spółki Marsh należy kierować w pierwszej kolejności do Inspektora Ochrony Danych spółki Marsh.

Osoby fizyczne mają prawo przedłożyć spółce Marsh wniosek o podjęcie określonych czynności:

  • podanie większej liczby szczegółów na temat sposobu, w jaki wykorzystujemy i przetwarzamy ich Dane Osobowe;
  • przedstawienie kopii przechowywanych przez nas Danych Osobowych dotyczących danej osoby;
  • aktualizacji wszelkich nieścisłości w przechowywanych przez nas Danych Osobowych;
  • usunięcie Danych Osobowych, do przetwarzania których nie mamy już podstawy prawnej;
  • w przypadku, gdy przetwarzanie opiera się na zgodzie, o wycofanie zgody;
  • sprzeciwienie się przetwarzaniu Danych Osobowych, które spółka Marsh uzasadnia na podstawie prawnej „uzasadnionych interesów”, chyba że nasze powody uzasadniające takie przetwarzanie przewyższają jakiekolwiek naruszenie prawa do prywatności danej osoby; oraz
  • ograniczenie sposobu przetwarzania Danych Osobowych podczas rozpatrywania zapytania.

Prawa te podlegają pewnym wyłączeniom w celu ochrony interesu publicznego (np. zapobieganie przestępstwom lub ich wykrywanie) i naszych interesów (np. zachowanie tajemnicy prawnej). W ciągu 30 dni odpowiemy na wszystkie zapytania..

Jeśli nie możemy rozstrzygnąć zapytania lub skargi, osoby fizyczne mają prawo do złożenia skargi odpowiedniemu organowi nadzorczemu (Urząd Ochrony Danych Osobowych).

PYTANIA, PROŚBY LUB SKARGI

Aby przesłać pytania lub prośby dotyczące niniejszych Zasad Ochrony Prywatności lub praktyk z zakresu ochrony prywatności spółki Marsh, prosimy o kontakt z Inspektorem Ochrony Danych   pod poniższym adresem:

Inspektor Ochrony Danych
Sabrina Salhi

Marsh Sp. z o.o.
Al. Jerozolimskie 98
00-807 Warszawa
+48 22 456 42 00
IOD@marsh.com

ZMIANY NINIEJSZYCH ZASAD OCHRONY PRYWATNOŚCI

Niniejsze Zasady Ochrony Prywatności mogą ulec zmianie w dowolnym momencie. Ostatnio uległy one zmianie 04/05/2018. Jeśli wprowadzimy zmiany do niniejszych Zasad Ochrony Prywatności, uaktualnimy datę ich ostatniej zmiany.  Wszelkie zmiany dokonane przez nas w niniejszych Zasadach Ochrony Prywatności stają się skuteczne natychmias.

Kopię niniejszych zasad ochrony prywatności (oraz wszelkich istotnych zmian) można uzyskać pod adresem URL Privacy Notice. Należy zauważyć, że ten adres URL nie jest dostępny za pomocą ogólnego wyszukiwania w sieci.