Tilgangur
Persónuverndarstefna þessi er sett í þeim tilgangi að veita skráðum einstaklingum, hér eftir nefndir „einstaklingar“, upplýsingar um það hvernig Sjóvá vinnur með persónuupplýsingar. Henni er ætlað að stuðla að áreiðanleika gagna, gæðum vinnslu og vernd upplýsinga um einstaklinga, og að unnið sé með persónuupplýsingar í samræmi við gildandi löggjöf um persónuvernd.
Megintilgangur með vinnslu persónuupplýsinga hjá Sjóvá samstæðunni er að veita einstaklingum þjónustu á sviði samnings- og lögboðinna trygginga.
Umfang og ábyrgð
Ábyrgðaraðili er Sjóvá-Almennar tryggingar hf., kt. 650909-1270, Kringlunni 5, 103 Reykjavík. Sjóvá-Almennar líftryggingar hf. kt. 650568-2789 er dótturfélag Sjóvá og er allri starfsemi þess útvistað til móðurfélagsins. Félögin koma fram sem sameiginlegir ábyrgðaraðilar varðandi þá vinnslu sem líftryggingafélagið útvistar til móðurfélagsins. Félögin eru vátryggingafélög og starfa samkvæmt lögum um hlutafélög nr. 2/1995, lögum um vátryggingastarfsemi nr. 100/2016 og lögum um vátryggingasamstæður nr. 60/2017. Sjóvá samstæðan, hér eftir nefnt „Sjóvá“, starfar á vátryggingamarkaði og er alhliða vátryggingafélag með starfsemi á Íslandi á sviði skaða- og líftrygginga.
Stefnan nær til viðskiptavina Sjóvá, forsvarsmanna viðskiptavina sem eru lögaðilar, þeirra einstaklinga sem setja sig í samband við Sjóvá eða heimsækja starfsstöðvar félagsins sem og umsækjenda um störf. Vinnslusamningar sem Sjóvá gerir við þá sem vinna með persónuupplýsingar fyrir hönd Sjóvár skulu samræmast stefnunni.
Hvað eru persónuupplýsingar?
Persónuupplýsingar eru upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings. Með því er m.a. átt við nöfn, kennitölur, heimilisföng, staðsetningargögn, netföng, símanúmer, fastanúmer húseigna, bílnúmer, kreditkortanúmer, netauðkenni s.s. IP tölur, upplýsingar um bankareikninga, auðkenni vegabréfa eða annarra persónuskilríkja, myndir, myndskeið og notendanöfn.
Viðkvæmar persónuupplýsingar eru m.a. heilsufarsupplýsingar, stjórnmálaskoðanir, trúarbrögð, erfða- og lífkennaupplýsingar.
Með vinnslu persónuupplýsinga er átt við aðgerð eða röð aðgerða þar sem unnið er með persónugreinanlegar upplýsingar hvort sem það er handvirkt eða rafrænt.
Persónuupplýsingar sem Sjóvá vinnur með
Sjóvá vinnur fyrst og fremst með persónuupplýsingar sem skráðir einstaklingar gefa sjálfir s.s. við tryggingatöku og tilkynningu tjóns. Viðskiptavinir gefa þá upp almennar persónuupplýsingar s.s. nafn, kennitölu og heimilisfang, en einnig kann félagið að vinna með upplýsingar sem auðkenna einstaklinga, s.s. fjárhags- og heilsufarsleg málefni. Sjóvá kann einnig að fá upplýsingar frá öðrum aðilum, s.s. lögmönnum, lögreglu, heilbrigðisstofnunum, öðrum tryggingafélögum og úr tjónagrunni tryggingafélaganna.
Vinnsla persónuupplýsinga einstaklinga fer fram við gerð tilboða í tryggingaviðskipti, við tryggingatöku, í tjónaþjónustu, við afgreiðslu vegna Stofnvilda í vildarþjónustunni Stofni sem í sumum tilvikum er unnin af utanaðkomandi aðilum, verslunum og þjónustuaðilum, við framsetningu upplýsinga á mínum síðum viðskiptavina á Mitt Sjóvá, við notkun á Innsýn fjarskoðunarlausninni, í samskiptum og markaðsmálum, í innra eftirliti, úttektum og áhættustýringarverkefnum og í samskiptum og vinnslu um forsvarsmenn viðskiptavina sem eru lögaðilar.
Vinnsla getur einnig farið fram í tengslum við samskipti einstaklinga við Sjóvá varðandi ábendingar og hrós, kvartanir til Sjóvá, upplýsingagjöf og upplýsingaöflun í netspjalli, vegna styrkbeiðna til Sjóvá og við vinnslu starfsumsókna til Sjóvá.
Þá kann félagið í samhengi við viðeigandi áhættumat að afla upplýsinga um stjórnmálaleg tengsl einstaklinga í áhættuhópi í samræmi við lög um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka.
Vinnsla persónuupplýsinga á sér einnig stað í rafrænni vöktun hjá Sjóvá, í formi hljóðritunar símtala og í myndavélaeftirliti á starfsstöðvum Sjóvá. Símtöl til og frá Sjóvá kunna að vera hljóðrituð. Tilgangur hljóðritunar er að tryggja áreiðanleika og rekjanleika upplýsinga og viðskiptafyrirmæla, tryggja öryggi starfsfólks og tryggja sönnun er varðar vátryggingastarfsemina. Hljóðritun getur einnig verið liður í þjálfun starfsfólks og notuð til að bæta þjónustuna.
Eftirlitsmyndavélakerfi er starfrækt á starfsstöðvum Sjóvá í þeim tilgangi að tryggja öryggi starfsmanna, húsnæðis og eignavörslu.
Heimildir Sjóvár til vinnslu upplýsinganna byggja einkum á ákvæðum laga nr. 90/2018 um persónuvernd varðandi samþykki hins skráða fyrir vinnslu, nauðsyn til að efna samning við hinn skráða, til að gæta lögmætra hagsmuna og lagaskyldu sem hvílir á félaginu.
Persónusnið
Við ákvörðun viðskiptakjara við útgáfu trygginga og endurnýjun styðst félagið við tiltekna flokkun á viðskiptavinum sem unnin er á sjálfvirkan hátt í kerfum félagsins. Iðgjöld, tjónasaga og viðskiptasaga eru grundvöllur þeirrar flokkunar og er henni ætlað að stuðla að sanngjarnari dreifingu iðgjalda og er liður í áhættudreifingu hjá Sjóvá. Félagið hefur lögmæta hagsmuni af flokkun viðskiptavina eftir áhættu og er það mikilvægur liður í iðgjaldasetningu. Flokkun viðskiptavina er jafnframt notuð í markaðs- og tölfræðilegum tilgangi en lögmætir hagsmunir eru grundvöllur þeirrar vinnslu.
Sjálfvirk ákvarðanataka
Við ákveðnar aðstæður nýtir Sjóvá sjálfvirka ákvarðanatöku við veitingu þjónustu. Sjálfvirk ákvarðanataka felst í því að upplýsingatæknikerfi vinna gögn með sjálfvirkum hætti á grundvelli fyrirfram ákveðinna forsenda og er niðurstöðunni miðlað til starfsfólks eða beint til einstaklinga. Sjóvá nýtir sjálfvirka ákvarðanatöku í eftirfarandi ferlum og liggja fyrirliggjandi upplýsingar um einstakling og viðskipti hans til grundvallar:
- Við bótaákvörðun, samþykkt tjónamats og greiðslu tjónabóta. Tilgangur vinnslu er að afgreiða tjónauppgjör og greiðslu bóta hratt og örugglega. Grundvöllur vinnslu er nauðsyn til að uppfylla samning.
- Við ákvörðun um töku í viðskipti sem byggir á fyrirliggjandi upplýsingum um einstakling og viðskipti hans. Tilgangur vinnslu er að afgreiða beiðni um tryggingu eins fljótt og auðið er. Grundvöllur vinnslu er nauðsyn til að uppfylla samning.
- Við sjálfvirka útgáfu persónutrygginga þurfa einstaklingar að svara spurningum í umsóknarferli um heilsufar. Áhættumat vegna umsóknar um líf- og sjúkdómatryggingar er að hluta til byggt á sjálfvirku reiknilíkani endurtryggjanda Sjóvá, Munich RE, en engum persónugreinanlegum upplýsingum er miðlað til þeirra við vinnsluna. Tilgangur vinnslu er að afgreiða beiðni um tryggingu eins fljótt og auðið er. Við vinnslu heilsufarsupplýsinga er samþykki grundvöllur vinnslu.
Einstaklingar eiga alltaf rétt á að fá mannlega íhlutun óski þeir þess, koma sjónarmiðum sínum á framfæri, fá útskýringu á ákvörðun og andmæla henni.
Miðlun persónuupplýsinga til þriðja aðila
Sjóvá miðlar ekki persónuupplýsingum til þriðja aðila í öðrum tilgangi en þeim sem nauðsyn krefur til að félagið geti uppfyllt skyldur sínar og samninga eða í öðrum lögmætum tilgangi.
Sjóvá kann að miðla persónuupplýsingum þínum til þriðju aðila, svo sem þjónustuaðila sem veita Sjóvá þjónustu á sviði endurtrygginga, upplýsingatækni, innheimtuaðila vegna innheimtu skulda eða til annarra þriðju aðila, svo sem verkstæða og þjónustuaðila tjónaþjónustu, sem og vegna annarrar þjónustu sem tengist vinnslu og rekstri félagsins. Heimildir til vinnslu byggja á lögmætum hagsmunum Sjóvá og nauðsynjum til að uppfylla samning.
Sjóvá notast í sumum tilvikum við sérfræðiaðstoð utanaðkomandi aðila í tjónamálum, til að mynda við högg- og hraðaútreikninga, mat á læknisfræðilegum gögnum, skýrslugerð og skoðanir vegna tjóna, og byggir slík vinnsla á vinnslusamningum sem gilda milli Sjóvár og vinnsluaðila. Slík aðstoð og gögn sem henni kunna að fylgja geta verið þáttur í mati á rétti til tjónabóta. Heimildir til vinnslu byggja á lögmætum hagsmunum Sjóvá.
Sjóvá miðlar upplýsingum um tjón í tjónagrunn tryggingafélaganna sem vistaður er hjá Creditinfo. Þar er um að ræða upplýsingar um skráð tjón sem tilkynnt eru til félagsins að undanskildum tjónum sem falla undir líf- og sjúkdómatryggingar og tjón barna undir sakhæfisaldri. Tjónagrunnur er sameiginlegur skráningar- og uppflettigrunnur tryggingafélaga. Tilgangur tjónagrunns er að stemma stigu við tryggingasvikum og ofgreiðslu vátryggingabóta. Sjá hér spurningar og svör um tjónagrunn.
Persónuupplýsingar kunna að vera afhentar þriðja aðila ef þess er krafist á grundvelli viðeigandi laga eða reglna, svo sem til stjórnvalda eða dómstóla.
Réttindi hins skráða
Einstaklingur á rétt á að fara fram á að fá aðgang að persónuupplýsingum sínum, þó með þeim takmörkunum sem lög nr. 90/2018 gera ráð fyrir. Einstaklingur á rétt á afriti af upplýsingum og getur óskað eftir þeim með því að fylla út beiðnaform sem aðgengilegt er á vef félagsins. Sjóvá ber að afhenda upplýsingarnar innan 30 daga frá því að beiðni berst.
Sjóvá leggur áherslu á að persónuupplýsingar séu áreiðanlegar og réttar hverju sinni. Einstaklingur á þann rétt, við ákveðnar aðstæður, að láta leiðrétta upplýsingarnar, eyða þeim eða takmarka vinnslu þeirra.
Einstaklingar hafa rétt til að andmæla vinnslu, flytja eigin gögn og draga samþykki sitt til vinnslu til baka. Vegna eðlis starfsemi vátryggingafélags byggir samningssamband á réttri upplýsingagjöf og getur afturköllun samþykkis því jafngilt uppsögn samnings eða hindrað vinnslu umsóknar, tjóns og bótaákvörðunar. Einstaklingar eiga rétt á leggja fram kvörtun um vinnslu persónuupplýsinga til Sjóvár og/eða til Persónuverndar.
Varðveisla og öryggi gagnanna
Sjóvá hefur öryggi að leiðarljósi við meðferð og vinnslu persónuupplýsinga. Aðgangsstýringarstefna hefur verið sett í því skyni og verklag innleitt um aðgangsheimildir starfsmanna og umboðsmanna. Með því vill Sjóvá tryggja að einungis þeir sem þurfa að vinna með upplýsingarnar hafi aðgang að þeim. Sjóvá hefur jafnframt innleitt ISO27001:2013 upplýsingaöryggisstaðalinn og er vottað samkvæmt því.
Sjóvá útvistar rekstri upplýsingakerfa félagsins og gerir kröfur til vistunar- og þjónustuaðila sinna um að þeir uppfylli kröfur um vernd persónuupplýsinga og upplýsingaöryggi.
Sjóvá hefur sett sér skjalavistunaráætlun sem hefur að geyma upplýsingar um hversu lengi varðveita skuli gögn, þ.m.t. persónugreinanleg gögn. Geymslutími gagnanna er ákvarðaður út frá mismunandi nauðsyn á varðveislu eftir eðli þeirra. Ræðst geymslutími gagnanna m.a. af lögum og reglum, svo sem um fyrningu krafna sem geta verið 4-20 ár, lögum um bókhald sem eru 7 ár og reglum um rafrænt eftirlit sem gerir ráð fyrir 30 daga varðveislu að hámarki. Starfsumsóknum er eytt eftir 6 mánuði. Þegar ekki er lengur talin nauðsyn á varðveislu gagnanna er þeim eytt með óafturkræfum hætti. Í því skyni hefur Sjóvá sett sér reglur um eyðingu gagna.
Bannmerkingar og svik
Verði einstaklingar uppvísir að sviksamlegri háttsemi eða þeir hafa í hótunum við starfsmenn félagsins getur það leitt til þess að þeir verði útilokaðir frá viðskiptum. Sama gildir um þá sem eru í verulegum vanskilum við félagið. Félagið merkir í viðskiptakerfum félagsins þá sem eru útilokaðir frá viðskiptum af þessum sökum.
Vakni grunur um sviksamlega háttsemi kann einn liður í rannsókn að vera öflun persónuupplýsinga frá öðrum en hinum skráða einstaklingi. Vinnslan er gerð í þeim tilgangi að koma í veg fyrir vátryggingasvik og þar með að viðskiptavinir greiði með iðgjöldum sínum fyrir óverðskuldaðar bætur.
Persónuverndarfulltrúi
Sjóvá hefur tilnefnt persónuverndarfulltrúa og geta einstaklingar haft samband við hann með öll mál sem tengjast vinnslu persónuupplýsinga þeirra og hvernig þeir geta neytt réttar síns. Hægt er að koma á framfæri ábendingum og hafa samband við persónuverndarfulltrúa Sjóvár með því að senda tölvupóst á netfangið personuvernd@sjova.is.
Stefna þessi er endurskoðuð eftir þörfum og getur meðal annars verið endurskoðuð vegna breytinga á vinnslu persónuupplýsinga hjá félaginu, vegna breytinga á persónuverndarlögum eða reglugerðum.
