Tilgangur
Persónuverndarstefna þessi er sett í þeim tilgangi að tryggja að unnið sé með persónuupplýsingar í samræmi við gildandi löggjöf um persónuvernd. Henni er ætlað að stuðla að áreiðanleika gagna, gæðum vinnslu og vernd upplýsinga um einstaklinga. Megintilgangur með vinnslu persónuupplýsinga hjá Sjóvár samstæðunni er að veita einstaklingum þjónustu á sviði samnings- og lögboðinna trygginga.
Umfang og ábyrgð
Ábyrgðaraðili er Sjóvá-Almennar tryggingar hf., kt. 650909-1270, Kringlunni 5, 103 Reykjavík. Sjóvá-Almennar líftryggingar hf. kt. 650568-2789 er dótturfélag Sjóvár og er allri starfsemi þess útvistað til móðurfélagsins. Félögin eru vátryggingafélög og starfa samkvæmt lögum um hlutafélög nr. 2/1995, lögum um vátryggingastarfsemi nr. 100/2016 og lögum um vátryggingasamstæður nr. 60/2017. Sjóvá samstæðan (hér eftir nefnt Sjóvá) starfar á vátryggingamarkaði og er alhliða vátryggingafélag með starfsemi á Íslandi á sviði skaða- og líftrygginga.
Stefnan nær til allra starfsmanna og stjórna Sjóvá. Einnig er hún grunnur að þeim vinnslusamningum sem Sjóvá gerir við þá sem vinna með persónuupplýsingar fyrir hönd Sjóvár.
Hvað eru persónuupplýsingar
Persónuupplýsingar eru upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings. Með því er m.a. átt við nöfn, kennitölur, heimilisföng, staðsetningargögn, netföng, símanúmer, fastanúmer húseigna, bílnúmer, kreditkortanúmer, netauðkenni s.s. IP tölur, upplýsingar um bankareikninga, auðkenni vegabréfa eða annarra persónuskilríkja, myndir, myndskeið og notendanöfn.
Viðkvæmar persónuupplýsingar eru m.a. heilsufarsupplýsingar, stjórnmálaskoðanir, trúarbrögð, erfða- og lífkennaupplýsingar.
Með vinnslu persónuupplýsinga er átt við aðgerð eða röð aðgerða þar sem unnið er með persónugreinanlegar upplýsingar hvort sem það er handvirkt eða rafrænt.
Persónuupplýsingar sem Sjóvá vinnur með
Sjóvá vinnur fyrst og fremst með persónuupplýsingar sem viðskiptavinur gefur sjálfur s.s. við tryggingatöku og tilkynningu tjóns. Viðskiptavinir gefa þá upp almennar persónuupplýsingar s.s. nafn, kennitölu og heimilisfang, en einnig kann félagið að vinna með upplýsingar sem auðkenna einstaklinga, s.s. fjárhags- og heilsufarsleg málefni. Sjóvá kann einnig að fá upplýsingar frá öðrum aðilum, s.s. lögmönnum, lögreglu, heilbrigðisstofnunum og úr tjónagrunni SFF.
Sjóvá notast í sumum tilvikum við sérfræðiaðstoð utanaðkomandi aðila í tjónamálum, til að mynda við högg- og hraðaútreikninga, og byggir slík vinnsla á vinnslusamningum sem gilda milli Sjóvár og vinnsluaðila.
Heimildir Sjóvár til vinnslu upplýsinganna byggja einkum á ákvæðum laga nr. 90/2018 um persónuvernd varðandi samþykki hins skráða fyrir vinnslu, nauðsyn til að efna samning við hinn skráða, til að gæta lögmætra hagsmuna og lagaskyldu sem hvílir á félaginu.
Réttindi hins skráða
Einstaklingur á rétt á að fara fram á að fá aðgang að persónuupplýsingum sínum, þó með þeim takmörkunum sem lög nr. 90/2018 gera ráð fyrir. Sjóvá leggur áherslu á að persónuupplýsingar séu áreiðanlegar og réttar hverju sinni. Einstaklingur á þann rétt, við ákveðnar aðstæður, að láta leiðrétta upplýsingarnar, eyða þeim eða takmarka vinnslu þeirra.
Viðskiptavinir og aðilar að tjónum hafa rétt til að andmæla vinnslu, flytja eigin gögn og draga samþykki sitt til vinnslu til baka. Vegna eðlis starfsemi vátryggingafélags byggir samningssamband á réttri upplýsingagjöf og getur afturköllun samþykkis því jafngilt uppsögn samnings eða hindrað vinnslu tjóns og bótaákvörðunar. Viðskiptavinir og aðilar að tjónum eiga rétt á leggja fram kvörtun um vinnslu persónuupplýsinga til Sjóvár og eftirlitsaðila.
Varðveisla og öryggi gagnanna
Sjóvá hefur öryggi að leiðarljósi við meðferð og vinnslu persónuupplýsinga. Aðgangsstýringarstefna hefur verið sett í því skyni og verklag innleitt um aðgangsheimildir starfsmanna og umboðsmanna. Með því vill Sjóvá tryggja að einungis þeir sem þurfa að vinna með upplýsingarnar hafi aðgang að þeim. Sjóvá hefur jafnframt innleitt ISO27001:2013 upplýsingaöryggisstaðalinn og er vottað samkvæmt því.
Sjóvá útvistar rekstri upplýsingakerfa félagsins og gerir kröfur til vistunar- og þjónustuaðila sinna um að þeir uppfylli kröfur um vernd persónuupplýsinga og upplýsingaöryggi.
Sjóvá hefur sett sér skjalavistunaráætlun sem hefur að geyma upplýsingar um hversu lengi varðveita skuli gögn, þ.m.t. persónugreinanleg gögn. Geymslutími gagnanna er ákvarðaður út frá mismunandi nauðsyn á varðveislu eftir eðli þeirra. Ræðst geymslutími gagnanna m.a. af fyrningar- og bókhaldsreglum. Þegar ekki er lengur talin nauðsyn á varðveislu gagnanna er þeim eytt með óafturkræfum hætti. Í því skyni hefur Sjóvá sett sér reglur um eyðingu gagna.
Sjóvá deilir ekki persónuupplýsingum í öðrum tilgangi en þeim sem nauðsyn krefur til að félagið geti uppfyllt skyldur sínar og samninga eða í öðrum lögmætum tilgangi.
Persónusnið
Við ákvörðun viðskiptakjara við endurnýjun og útgáfu trygginga styðst félagið við tiltekna flokkun á viðskiptavinum sem unnin er á sjálfvirkan hátt í kerfum félagsins. Iðgjöld, tjónasaga og viðskiptasaga eru grundvöllur þeirrar flokkunar og er henni ætlað að stuðla að sanngjarnari dreifingu iðgjalda og er liður í áhættudreifingu hjá Sjóvá. Félagið hefur lögmæta hagsmuni af flokkun viðskiptavina eftir áhættu og er það mikilvægur liður í iðgjaldasetningu. Flokkun viðskiptavina er jafnframt notuð í markaðs- og tölfræðilegum tilgangi.
Sjálfvirk ákvarðanataka
Við ákveðnar aðstæður nýtir Sjóvá sjálfvirka ákvarðanatöku við veitingu þjónustu. Sjálfvirk ákvarðanataka felst í því að upplýsingatæknikerfi vinna gögn með sjálfvirkum hætti á grundvelli fyrirfram ákveðinna forsenda og er niðurstöðunni miðlað til starfsfólks eða beint til einstaklinga. Einstaklingar eiga alltaf rétt á að fá mannlega íhlutun, koma sjónarmiðum sínum á framfæri, fá útskýringu á ákvörðun og andmæla henni. Sem dæmi um sjálfvirka ákvarðanatöku má nefna bótaákvörðun, greiðslu tjónabóta og ákvörðun um viðskipti sem byggja á fyrirliggjandi upplýsingum um einstakling og viðskipti hans.
Stofn
Vildarþjónustan Stofn er fyrir viðskiptavini sem uppfylla tiltekin skilyrði. Þeir sem eru í Stofni njóta ákveðinna fríðinda og er við þá vinnslu unnið með persónuupplýsingar. Í sumum tilvikum er slík þjónusta veitt af utanaðkomandi aðila s.s. vegna Vegaaðstoðar eða afsláttarkjara hjá verslunum og þjónustuaðilum. Kjósi viðskiptavinur að nota slík fríðindi hjá þjónustuaðila er þeim aðila heimilt að kanna hjá félaginu hvort hann sé í Stofni. Nánari upplýsingar um Stofn og Stofnendurgreiðslu er að finna á heimasíðu félagsins, www.sjova.is.
Bannmerkingar og svik
Verði viðskiptavinir uppvísir að sviksamlegri háttsemi eða þeir hafa í hótunum við starfsmenn félagsins getur það leitt til þess að þeir verði útilokaðir frá viðskiptum. Sama gildir um þá sem eru í verulegum vanskilum við félagið. Félagið merkir í viðskiptakerfum félagsins þá sem eru útilokaðir frá viðskiptum af þessum sökum.
Vakni grunur um sviksamlega háttsemi kann einn liður í rannsókn að vera öflun persónuupplýsinga frá öðrum en hinum skráða einstaklingi. Vinnslan er gerð í þeim tilgangi að koma í veg fyrir vátryggingasvik og þar með að viðskiptavinir greiði með iðgjöldum sínum fyrir óverðskuldaðar bætur.
Persónuverndarfulltrúi
Sjóvá hefur tilnefnt persónuverndarfulltrúa og geta einstaklingar haft samband við hann með öll mál sem tengjast vinnslu persónuupplýsinga þeirra og hvernig þeir geta neytt réttar síns. Hægt er að koma á framfæri ábendingum og hafa samband við persónuverndarfulltrúa Sjóvár með því að senda tölvupóst á netfangið personuvernd@sjova.is.