Tilgangur
Persónuverndarstefna þessi er sett í þeim tilgangi að tryggja að unnið sé með persónuupplýsingar í samræmi við gildandi löggjöf um persónuvernd. Henni er ætlað að stuðla að áreiðanleika gagna, gæðum vinnslu og vernd upplýsinga um einstaklinga. Megintilgangur með vinnslu persónuupplýsinga hjá Sjóvár samstæðunni er að veita einstaklingum þjónustu á sviði samnings- og lögboðinna trygginga.
Umfang og ábyrgð
Ábyrgðaraðili er Sjóvá-Almennar tryggingar hf., kt. 650909-1270, Kringlunni 5, 103 Reykjavík. Sjóvá-Almennar líftryggingar hf. kt. 650568-2789 er dótturfélag Sjóvár og er allri starfsemi þess útvistað til móðurfélagsins. Félögin eru vátryggingafélög og starfa samkvæmt lögum um hlutafélög nr. 2/1995, lögum um vátryggingastarfsemi nr. 100/2016 og lögum um vátryggingasamstæður nr. 60/2017. Sjóvá samstæðan (hér eftir nefnt Sjóvá) starfar á vátryggingamarkaði og er alhliða vátryggingafélag með starfsemi á Íslandi á sviði skaða- og líftrygginga.
Stefnan nær til allra starfsmanna Sjóvá-Almennra trygginga hf. og stjórna félaganna. Einnig er hún grunnur að þeim vinnslusamningum sem Sjóvá gerir við þá sem vinna með persónuupplýsingar fyrir hönd Sjóvár.
Hvað eru persónuupplýsingar
Persónuupplýsingar eru upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings. Með því er m.a. átt við nöfn, kennitölur, heimilisföng, staðsetningargögn, netföng, símanúmer, fastanúmer húseigna, bílnúmer, kreditkortanúmer, netauðkenni s.s. IP tölur, upplýsingar um bankareikninga, auðkenni vegabréfa eða annarra persónuskilríkja, myndir, myndskeið og notendanöfn.
Viðkvæmar persónuupplýsingar eru m.a. heilsufarsupplýsingar, stjórnmálaskoðanir, trúarbrögð, erfða- og lífkennaupplýsingar.
Með vinnslu persónuupplýsinga er átt við aðgerð eða röð aðgerða þar sem unnið er með persónugreinanlegar upplýsingar hvort sem það er handvirkt eða rafrænt.
Persónuupplýsingar sem Sjóvá vinnur með
Sjóvá vinnur fyrst og fremst með persónuupplýsingar sem viðskiptavinur gefur sjálfur s.s. við tryggingatöku og tilkynningu tjóns. Viðskiptavinir gefa þá upp almennar persónuupplýsingar s.s. nafn, kennitölu og heimilisfang, en einnig kann félagið að vinna með upplýsingar sem auðkenna einstaklinga, s.s. fjárhags- og heilsufarsleg málefni einstaklinga. Sjóvá kann einnig að fá upplýsingar frá öðrum aðilum, s.s. lögmönnum, lögreglu og heilbrigðisstofnunum.
Heimildir Sjóvár til vinnslu upplýsinganna byggja einkum á ákvæðum laga nr. 90/2018 um persónuvernd er varðar samþykki hins skráða fyrir vinnslu, nauðsynjar til að framkvæma samning við hinn skráða og lagaskyldu sem hvílir á félaginu.
Réttindi hins skráða
Einstaklingur á rétt á að fara fram á að fá aðgang að persónuupplýsingum sínum, þó með þeim takmörkunum sem lög nr. 90/2018 gera ráð fyrir. Sjóvá leggur áherslu á að persónuupplýsingar séu áreiðanlegar og réttar hverju sinni. Einstaklingur á þann rétt, við ákveðnar aðstæður, að láta leiðrétta upplýsingarnar, eyða þeim eða takmarka vinnslu þeirra.
Viðskiptavinir og aðilar að tjónum hafa rétt til að andmæla vinnslu, flytja eigin gögn og draga samþykki sitt til vinnslu til baka. Vegna eðlis starfsemi vátryggingafélags byggir samningssamband á réttri upplýsingagjöf og getur afturköllun samþykkis jafngilt uppsögn samnings eða hindrað vinnslu tjóns og bótaákvörðunar. Viðskiptavinir og aðilar að tjónum eiga rétt á leggja fram kvörtun um vinnslu persónuupplýsinga til Sjóvár og eftirlitsaðila.
Varðveisla og öryggi gagnanna
Sjóvá hefur öryggi að leiðarljósi við meðferð og vinnslu persónuupplýsinga. Aðgangsstýringarstefna hefur verið sett í því skyni og verklag innleitt um aðgangsheimildir starfsmanna. Með því vill Sjóvá tryggja að einungis þeir sem þurfa að vinna með upplýsingarnar hafi aðgang að þeim. Sjóvá hefur jafnframt innleitt ISO27001:2013 upplýsingaöryggisstaðalinn og er vottað samkvæmt því.
Sjóvá útvistar rekstri upplýsingakerfa félagsins og gerir því kröfur til vistunar- og þjónustuaðila um að þeir uppfylli kröfur um vernd persónuupplýsinga og upplýsingaöryggi.
Sjóvá hefur sett sér skjalavistunaráætlun sem hefur að geyma upplýsingar um hversu lengi varðveita skuli gögn, þ.m.t. persónugreinanleg gögn. Geymslutími gagnanna er ákvarðaður út frá mismunandi nauðsyn á varðveislu eftir eðli þeirra. Ræðst geymslutími gagnanna m.a. af fyrningar- og bókhaldsreglum. Þegar ekki er lengur talin nauðsyn á varðveislu gagnanna er þeim eytt með óafturkræfum hætti. Í því skyni hefur Sjóvá sett sér reglur um eyðingu gagna.
Sjóvá deilir ekki persónuupplýsingum í öðrum tilgangi en þeim sem nauðsyn krefur til að félagið geti uppfyllt skyldur sínar og samninga eða í öðrum lögmætum tilgangi.
Persónusnið
Við ákvörðun viðskiptakjara við endurnýjun og útgáfu trygginga styðst félagið við tiltekna flokkun á viðskiptavinum sem unnin er á sjálfvirkan hátt í kerfum félagsins og er forsenda samnings milli viðskiptavina og Sjóvár. Iðgjöld, tjónasaga og viðskiptasaga eru grundvöllur þeirrar flokkunar og er henni ætlað að stuðla að sanngjarnari dreifingu iðgjalda og liður í áhættudreifingu hjá Sjóvá. Jafnframt kann félagið að nota flokkunina í markaðs- og tölfræðilegum tilgangi.
Stofn
Sjóvá er með vildarþjónustuna Stofn fyrir viðskiptavini sem uppfylla tiltekin skilyrði. Þeir sem eru í Stofni njóta ákveðinna fríðinda og er við þá vinnslu unnið með persónuupplýsingar. Í sumum tilvikum er slík þjónusta veitt af utanaðkomandi aðila s.s. vegna Vegaaðstoðar eða afsláttarkjara hjá verslunum og þjónustuaðilum. Kjósi viðskiptavinur að nota slík fríðindi hjá þjónustuaðila er þeim aðila heimilt að kanna hjá félaginu hvort viðskiptavinur sé í Stofni. Nánari upplýsingar um Stofn og Stofnendurgreiðslu er að finna á heimasíðu félagsins, www.sjova.is.
Bannmerkingar og svik
Verði viðskiptavinir uppvísir að sviksamlegri háttsemi eða þeir hafa í hótunum við starfsmenn félagsins getur það leitt til þess að þeir verði útilokaðir frá viðskiptum. Sama gildir um þá sem eru í verulegum vanskilum við félagið. Félagið merkir í viðskiptakerfum félagsins þá sem eru útilokaðir frá viðskiptum af þessum sökum.
Vakni grunur um sviksamlega háttsemi kann einn liður í rannsókn að vera öflun persónuupplýsinga frá öðrum en hinum skráða einstaklingi. Vinnslan er gerð í þeim tilgangi að koma í veg fyrir vátryggingasvik og þar með að viðskiptavinir greiði með iðgjöldum sínum fyrir óverðskuldaðar bætur.
Persónuverndarfulltrúi
Sjóvá hefur tilnefnt persónuverndarfulltrúa og geta einstaklingar haft samband við hann með öll mál sem tengjast vinnslu persónuupplýsinga þeirra og hvernig þeir geta neytt réttar síns. Hægt er að hafa samband við persónuverndarfulltrúa Sjóvár með því að senda tölvupóst á netfangið personuvernd@sjova.is.