Personvernerklæring

PFMs personvernerklæring jfr krav i Lov om behandling av personopplysninger (LOV- 2018-06-15-38) (POPPLYL) og EUs personvernforordning (General Data Protection Regulation/GDPR), dvs. POPPLYL §34.

Pareto Forsikringsmegling AS (PFM) kan håndtere følgende personopplysninger (POPPLYL, kapittel 9: GDPR kap. I, art 4, pkt. 1):

  • Navn
  • Adresse
  • Telefonnummer
  • E-post adresser
  • Bilnummer
  • Lønn
  • Fødsels- og personnummer
  • Stilling
  • Uføregrad (%)
  • Politi- og konkursattester

PFM kan håndtere følgende sensitive personopplysninger (POPPLYL, kapittel 9: GDPR kap. II, art. 9):

  • Helseopplysninger (muntlig eller skriftlig dersom vi er i dialog med våre kunders ansatte som følge av skademelding), herunder sykdomsstatus og personlige forhold knyttet til personforsikringsløsninger (yrkesskade, ulykke, helseforsikring, annen sykdom, livsforsikring mv.)
  • Medlemskap i fagforeninger

Risikovurdering (POPPLYL, kapittel 9: GDPR pkt. 83, 84, 90 samt kap. IV, art. 24, 25):

  • Risikovurdering (DPIA) av uønskede hendelser knyttet til PFMs håndtering av personopplysninger foreligger. Denne risikovurderingen er benyttet til vurdering av vårt sikkerhetsnivå og nødvendige tiltak for å styrke personvernet.

Behandlingsansvarlig (POPPLYL, kapittel 9: GDPR kap. I, art. 4, pkt. 7)

Pareto Forsikringsmegling AS har definert oss selv som behandlingsansvarlig etter GDPR art 4, pkt. 7. Dette da vi mener at vi utfra vår rolle som forsikringsrådgiver og -megler på vegne av våre kunder innehar et selvstendig formål med behandlingen av personopplysninger. Vi viser også til Finans Norge som fraråder både sine medlemsbedrifter og deres næringslivskunder å inngå databehandleravtale ved ordinære kundeforhold. Lenke her.

Databehandler (POPPLYL, kapittel 9: GDPR kap. I, art. 4, pkt. 8)

På vegne av PFM behandler (lagrer) følgende virksomheter våre data:

  • Pareto Securities AS, org. nr. 956632374 (PFMs IT-avd.)

Paretos formål ved behandling av personopplysninger (POPPLYL, kapittel 9: GDPR kap. II, art. 5, pkt. 1)

På oppdrag fra våre kunder megler Pareto Forsikringsmegling AS forsikringsavtaler innen skadeforsikring, personforsikring og pensjonsforsikring. Dette innebærer at kundenes samlede forsikringsløsning tidvis blir gjenstand for anbud eller forhandling.

I denne prosessen må Pareto Forsikringsmegling AS oppgi data om de(n) forsikrede. Dette i form av oversikter som fremstiller de opplysninger som forsikringsgiver er avhengig av for å kunne effektuere forsikringsavtalen. Ved skadebehandling og i erstatningssaker vil vi også være nødt til å behandle tilsvarende opplysninger.

Paretos behandlingsgrunnlag / rettsgrunnlag (POPPLYL, kapittel 9: GDPR kap. II, art. 6 og 9)

Samtykke (POPPLYL, kapittel 9: GDPR kap. II, art. 6, 7 og 9)

Behandling av personopplysninger er en forutsetning for at Pareto Forsikringsmegling AS skal kunne utføre gjøremål etter oppdragsgivernes og den registrertes ønsker, jfr. POPPLYL kapittel 9: GDPR art. 9, pkt. 2b og 2c.

Behandlingen av personopplysninger gjennomføres uten samtykke, da den er nødvendig for å oppfylle den avtale som den registrerte er part i, eller for å gjennomføre tiltak på den registrertes anmodning før en avtaleinngåelse. Denne begrunnelse er gitt med hjemmel i POPPLYL kapittel 9: GDPR artikkel 6 (1) b.

Dersom behandlingen omfatter sensitive personopplysninger (helseopplysninger og opplysninger om medlemskap i fagforening m.m.) må slik behandling i tillegg skje med basis i et samtykke, jfr. POPPLYL kapittel 9: GDPR artikkel 9 (2) a.

Hvor får Pareto opplysninger fra?

Pareto Forsikringsmegling AS mottar hovedsakelig opplysninger knyttet til person fra våre oppdragsgivere og våre forsikringsgivere (forsikringsselskap).

Utlevering av personopplysninger

For å kunne utføre vårt oppdrag overfor oppdragsgiver må Pareto Forsikringsmegling AS utlevere personopplysninger til aktuell forsikringsgiver (forsikringsselskap). I noen tilfeller ønsker oppdragsgiver å få tilsendt oversikter som inneholder personopplysninger, f.eks. knyttet til pensjonsavtalen. I skade- og erstatningssaker hender det at Pareto må oversende person-opplysninger til advokat, etterlatte eller myndigheter (f.eks. løyvemyndigheter). Dette for å innfri vår misjon som forsikringsmegler for våre oppdragsgivere. Utover dette vil ikke Pareto Forsikringsmegling AS utlevere personopplysninger til annen instans uten fullmakt fra den registrerte.

Taushetsplikt

PFMs ansatte skal bevare konfidensialitet og taushet om alle personopplysninger under vår behandling, den registrertes personlige forhold, sikkerhetsmessige og forretningsmessige forhold, opplysninger som kan skade den registrerte eller som kan utnyttes av utenforstående. Personopplysningene skal kun benyttes til det tiltenkte formål. Alle ansatte har undertegnet taushetserklæring.

Behandling av personopplysninger - papir

Generelt føres det tilsyn med papirmessig behandling av personopplysninger. Dokumenter med personopplysninger skrives i hovedregel ikke ut på papir. Det føres aktivt tilsyn med skrivebord, printere og avfallscontainere. Det er rutine å låse PC-skjerm når arbeidsplass forlates.

Overføring og arkivering av personopplysninger – datasikkerhet

Personopplysningsloven setter krav til den behandlingsansvarlige og databehandleren vedr. konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger.

Pareto Forsikringsmegling AS lagrer personopplysninger på sikker server som kun ansatte i Pareto Forsikringsmegling og supportavdeling IT har tilgang til. Nettverkslinjer og server er sikret med oppgraderte sikkerhetssystemer som brannmurer, antivirus og antihacking applikasjoner.

Paretos domene er registrert i finansnæringens infrastrukturselskap Bits. Pareto Forsikringsmegling benytter av denne grunn tvungen TLS1 ved overføring av data via mailsystem. Pareto tar direkte kontakt med de selskaper som ikke er registrert ved Bits. Der tvungen TLS ikke er gjennomførbart vil Pareto Forsikringsmegling benytte kryptering2 eller passordbeskyttede dokumenter ved overføring av personopplysninger via mail.

Lagring

Personopplysninger skal i henhold til personopplysningsloven slettes når oppbevaring ikke lenger er nødvendig for å oppfylle formålet med behandlingen. Det betyr at så lenge du er kunde, vil personopplysninger være lagret for at vi skal kunne administrere forsikringsavtalen. Etter at et kundeforhold er avsluttet, vil vi fremdeles lagre personopplysninger for å kunne besvare eventuelle fremtidige erstatningskrav som kan tilbakeføres til forsikringsforholdet. Det rettslige grunnlaget for behandlingen følger av GDPR Artikkel 6 (1) bokstav f. Behandlingen (lagringen) er nødvendig for å kunne forsvare et rettskrav ved klagebehandling for klagenemnd oppnevnt av departementet i medhold av lov om forsikringsformidling § 9-1, eller for å kunne forsvare et rettskrav for domstolene. Slik behandling utgjør en berettiget interesse jf. GDPR artikkel 21 (1) annet punktum. Personopplysninger blir derfor lagret frem til foreldelsesfrist for eventuelle erstatningskrav utløper jfr. lov om foreldelse av fordringer §§ 2-3, jf. § 10, eller § 9. I tillegg har Pareto oppbevaringsplikt for regnskapsmateriale jf. bokføringsloven § 13. Slike opplysninger skal lagres i fem år etter regnskapsårets slutt. Det rettslige grunnlaget for slik behandling følger av GDPR artikkel 6 (1) bokstav c. Behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som påhviler Pareto.

Rettigheter for den registrerte personen (POPPLYL, kapittel 9: GDPR kap. III, art. 15,16,17,20)

Den registrerte personen har rettigheter etter norsk lovgivning, herunder POPPLYL og GDPR. Den registrerte personen har rett til innsyn, retting, sletting og dataportabilitet jfr POPPLYL kapittel 9: GDPR art. 15, 16, 17 og 20.

Enhver som ber om det har rett til innsyn, retting og sletting i vår behandling av personopplysninger. Ved slike henvendelser skal Pareto Forsikringsmegling AS oppgi

  • navn på den behandlingsansvarlige hos oss
  • formålet med behandlingen
  • beskrive hvilke personopplysninger som behandles
  • hvor opplysningene er hentet fra
  • om vår utlevering/videreformidling av personopplysninger til tredjepart

Dersom den som ber om innsyn er registrert hos oss, skal Pareto Forsikringsmegling AS opplyse om

  • hvilke opplysninger om den registrerte som behandles
  • om personopplysningene vil bli utlevert/videreformidlet til tredjepart og hvem dette er
  • våre sikkerhetstiltak ved vår behandling

Den registrerte kan kreve å ta med seg opplysningene sine til en annen virksomhet. Dette kalles dataportabilitet. Dersom det er teknisk mulig, kan den registrerte kreve at den behandlingsansvarlige sørger for å overføre opplysningene til den nye virksomheten.

Hvem er behandlingsansvarlig hos Pareto Forsikringsmegling?

Behandlingen av personopplysninger skjer ved delegert myndighet til meglere og forvaltere i vår virksomhet. Det daglige ansvaret har vår adm.dir. Vegard M. Finsæther. Behandlingsansvarlig kan kontaktes gjennom vår personvernrådgiver.

Kontaktinformasjon personvernrådgiver

Oppdragsgivere eller registrerte kan ta kontakt med vår personvernrådgiver for innsyn, retting, sletting eller dataportabilitet:

Pareto Forsikringsmegling AS ved personvernrådgiver Lars G Wessel Johnsen. Pb. 1527 Vika, 0117 Oslo, Norge. Dir: +47 99 72 00 19. E-post: lwj@pareto.no

Klageadgang

Datatilsynets oppgave er å kontrollere at personvernregelverket blir fulgt. Dersom du opplever noe du mener er et brudd på regelverket, kan man henvende seg skriftlig til Datatilsynet: Datatilsynet, Postboks 8177, 0034 Oslo.

Siste revisjon: 14. april 2021. LWJ

  1. Forced transport layer security. Sikkerheten kan sammenlignes med å sende brev i konvolutt.
  2. Kryptering sørger for at informasjon ikke kan leses av uvedkommende. Sikkerheten kan sammenlignes med å sende et rekommandert brev.