Forretningsgangen er udstedt i henhold til: Databeskyttelsesloven samt bekendtgørelse nr. 1723 af 16. december 2015 om ledelse og styring af forsikringsselskaber m.v. Overordnet ansvarlig for forretningsgangen Selskabets Compliance funktion har det overordnede ansvar for forretningsgangen. Selskabets ledergruppe samt compliance funktion foretager et årlig tjek af forretningsgangen. Indledning Selskabets har tidligere søgt om tilladelse til behandling af personoplysninger i henhold til Persondataloven 50 stk.1 nr.1. Tilladelse er bevilliget af Datatilsynet december måned år 2011. Tilladelsen er arkiveret i såvel elektronisk arkiv (O-drev) samt i manuelt arkiv (ringbind i selskabets pengeskab). Den 6. juni 2012 har selskabet modtaget mail fra Datatilsynet, hvori de skriver Det er Datatilsynets vurdering, at den anmeldte behandling af personoplysninger ikke længere er anmeldelsespligtig. Formål Formålet med forretningsgangen er at sikre, at selskabet overholder lovens regler med hensyn til behandling af personoplysninger jf. Forordningen (GDPR). Uddrag af artikler i Forordningen om persondata er vedlagt som bilag. Selskabet er dataansvarlig for de oplysninger, der behandles om selskabets kunder samt eventuelle tredje parter i en sag, såsom reparatører eller en skadelidt som ikke er kunde hos os. Kategorier af personoplysninger Vi behandler almindelige personoplysninger på kunderne, som kan være navn, adresse, e-mail og lignende. Se omstående bilag for yderligere eksempler. Vi behandler følsomme personoplysninger på kunder der har haft personskade, som er helbredsoplysninger. Vi behandler desuden nogle særlige personoplysninger - såsom cpr. nr. og straffeoplysninger, som efter forordningen er almindelige personoplysninger. Vi forventer, at der eventuelt kommer særregel fra Dansk Lovgivning senere til disse typer af personoplysninger. Selskabets behandling I selskabets forsikringssystem TIA behandles persondata elektronisk og der kan forekomme fysiske papirer der arkiveres i en given periode. Dokumentansvarlig Tina Kruse Andersen Side 1 af 5 Godkendt af Dennis René Petersen
I TIA behandles persondata på følgende måde: 1. Kunder (forsikringstager) samt en eventuel tredje part i form af reparatør status: Her behandles alene ikke følsomme persondata såsom navn, adresse, e-mails, cpr. nr.. 2. Skadelidte i behandling af EAL-sager eller ulykkessager, som såvel kan være en kunde eller en tredje part: Her behandles såvel følsomme som ikke følsomme persondata. Opbevaring / Overdragelse / Videregivelse samt Sletning af persondata Sikkerhed Personalet i Thisted Forsikring er underlagt en lovhjemlet tavshedspligt i henhold til Lov om Finansiel Virksomhed. Papir oplysninger Persondata opbevaret på papir-format arkiveres i selskabets kælder- arkiv, som er aflåst efter endt arbejdstid. Skadessager med personfølsomme oplysninger arkivers i eget arkiv, som er aflåst hele tiden og kun personer med særlig tilladelse har adgang til arkivet. Elektroniske oplysninger Elektroniske opbevaret persondata er sikret ved adgangskontrol og password. Desuden er hele netværket beskyttet med firewalls, antivirus og logning. Overdragelse af behandling Hvis selskabet som dataansvarlig overlader til en anden, at udføre den praktiske behandling af personoplysninger på selskabets vegne, skal der foreligge en skriftlig databehandleraftale imellem Thisted Forsikring som dataansvarlig og den anden part som databehandler. Selskabets IT-chef skal sikre, at en sådan aftale er indgået forinden en overdragelse af personoplysningerne kan ske. IT-chefen skal tillige sørge for at sende databehandleraftalen til selskabets compliance ansvarlige. Videregivelse af persondata i visse situationer Thisted Forsikring må videregive persondata til SKAT, ATP og selskabets revisor uden samtykke. Videregivelsen er nødvendig for at selskabet kan opfylde dokumentationskrav for udført revision eller for dokumentation i henhold til skattelovgivningen, og derfor må videregivelsen ske uden samtykke. Slette regler Selskabets regler for sletning af persondata sker efter de oplistede kriterier. Der findes særskilt dokumentation for den elektroniske sletning, som opbevares hos selskabets it-chef. Salg - Assurandører Elektroniske kundedata med forsikringstilbud der ikke er blevet til en kunde i selskabet bliver anonymiseret i TIA 6 mdr. efter ikrafttrædelsesdato for tilbuddet. Dokumentansvarlig Tina Kruse Andersen Side 2 af 5 Godkendt af Dennis René Petersen
Såfremt sælger har udarbejdet et forsikringstilbud ved hjælp af den elektroniske begæring (Excel) scannes dette tilbud ind i TIA på kunden og makuleres straks herefter. Salgsafdelingen har ikke fysiske papirer liggende (tilbud der er afgivet). Selskabets salgschef følger op overfor sine sælgere, at der sker retmæssig sletning/makulering. Kundeservice Elektroniske kundedata i TIA, det vil sige for kunder som ingen skader har/har haft, bliver slettes 10 år efter kundeforholdets ophør.. Der gælder dog særregler for kunder der har/har haft skader. Dette er beskrevet under afsnittet om skade. Papirsager: Papirmæssige kundedata i arkiv makuleres således: Kundemapper 2 år efter kundeforholdets ophør Indscannede dokumenter der arkiveres i kælderarkiv for sig selv, det vil sige de papirer der ikke ligger i kundernes kundemapper 1 år efter indscanning. Selskabets kundeservicechef har ansvaret for, at der sker retmæssig makulering. Skade Kunder i TIA der er registreret med en EAL-skadesag eller en Ulykkes-skade slettes først efter 30 år i henhold til forældelsesreglerne. Kunder i TIA der er registreres med en anden skade må tidligst slettes efter 10 år i henhold til forældelsesreglerne. Papirsager: Al skadepost bliver indscannet i selskabets forsikringssystem og gemmes i arkiv 1 år, hvorefter det makuleres. Selskabet har dog gamle papir skadessager liggende fra tidligere forsikringssystem. Disse sager gennemgås årlig, hvor skadessager der er mere end 30 år gamle makuleres. Selskabets skadechef har ansvaret for, at der sker retmæssig makulering. Kundens rettigheder Vær opmærksom på en kundens rettigheder. Disse er: 1) Kunden har ret til at vide hvilke data der er registreret, herunder - Ret til at få besked om, at der behandles personoplysninger - Ret til at se oplysninger - Ret til at få oplysninger rettet eller slettet 2) Kunden har retten til at trække samtykke tilbage på ethvert tidspunkt 3) Kunden har retten til at transmittere sine oplysninger 4) Kunden har retten til at indgive en klage til en tilsynsmyndighed Dokumentansvarlig Tina Kruse Andersen Side 3 af 5 Godkendt af Dennis René Petersen
Kundes ret til at se oplysninger / Indsigtsret: Vi har til en start nedsat en komite, hvis hovedformål er at være specialister på kundens indsigtsret og hermed hjælpe os med oplysninger om, hvad der konkret må udleveres af data til kunden. Der bliver løbende udarbejdet et opslagsværktøj gående på henvendelser fra selskabets kunder om denne indsigtsret med beskrivelser af hvad, hvordan og hvilke oplysninger, der må udleveres i den pågældende situation til kunden. Komitéens medlemmer er: Karen Højmose fra skadeafdelingen Bente Petersen fra IT Lotte Have fra kundeservice Kontroller Der føres kontrol med hensyn til korrekt opbevaring, behandling, adgangsrettigheder, sletning i forhold til de beskrevne regler for selskabets kundedata/ og tredjemands persondata. Kontrollen styres og dokumenteres i selskabets kontrolsystem. Rapportering Ved væsentlig brud på persondatasikkerheden rapporteres der straks til såvel direktionen samt selskabets DPO- funktion. Selskabets databeskyttelsesfunktion varetages af compliancechef Tina Kruse Andersen. Dokumentansvarlig Tina Kruse Andersen Side 4 af 5 Godkendt af Dennis René Petersen
BILAG Hvad er persondata Persondata kategorier jfr. Loven Forordningen opdeler persondata i to kategorier. Almindelige oplysninger og følsomme oplysninger. Almindelige oplysninger Definitionen af disse almindelige personoplysninger i forordningen er meget bred, da den omfatter alle tænkelige former for personoplysninger. Artikel 4,1: En hver form for information om en identificeret eller identificerbar fysisk person. Ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved identifikator som f.eks. navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet. Eksempler på hvilke data der kan være omfattet af ovennævnte artikel 4.1: Navn, adresse, e-mail, IP-adresse, billede, fødselsdato, nummerplade, pasnr., løn, størrelse på tøj og sko, stilling, køn, alder, journal nr., cpr. nr. (dog art. 87), interesser, hårfarve, rejseoplysninger, civilstatus, kreditoplysninger, straffeattest (dog art. 10), sociale problemer og andre private forhold, som ikke er følsomme oplysninger. Følsomme oplysninger Definitionen af disse følsomme personoplysninger i forordningen er listet i artikel 9.1 og den er udtømmende. Artikel 9,1. Behandling af særlige kategorier af personoplysninger. Behandling af personoplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering er forbudt. Formater af persondata Hvis behandlingen af persondata falder ind under definitionen i artikel 2.1, da er behandlingen omfattet uanset format. Artikel 2.1: Denne forordning finder anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikkeautomatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register. Følgende formater er derfor omfattet: Elektroniske data Persondata registreret i forsikringssystem, mailsystem, word-dokumenter, excel-ark og lignende. Data på papir Persondata på fysisk papir, hvis disse er indehold i et register. Fysiske sagsmapper anses for omfattet, da disse normalt vil være journaliseret efter cpr. nr., lønnummer eller lign. Dokumentansvarlig Tina Kruse Andersen Side 5 af 5 Godkendt af Dennis René Petersen