¾ÅÉ«ÊÓƵ

Privacy Notice

Read in Polish

Read in English

INFORMACJA O OCHRONIE DANYCH OSOBOWYCH

Za poÅ›rednictwem tego zawiadomienia informujemy CiÄ™ o zbieraniu, użytkowaniu, transferze i ochronie PaÅ„stwa danych osobowych, a także o prawach, do których masz prawo w zakresie dostÄ™pu, wykorzystania i korekty tych danych.

Niniejsze zawiadomienie dotyczy wszystkich osób fizycznych, których dane osobowe sÄ… przetwarzane w ramach zawartej umowy ubezpieczeniowej. JeÅ›li osoby objÄ™te przetwarzaniem nie sÄ… identyczne z ubezpieczonym (np. wspóÅ‚ubezpieczeni, beneficjenci lub osoby trzecie poszkodowane), to ubezpieczony jest zobowiÄ…zany do poinformowania tych osób, przekazujÄ…c im to powiadomienie.

Administrator danych w rozumieniu art. 4 nr 7 RODO

XL ÓÈÎïÊÓƵCompany SE
XL Catlin Services SE

Wolfe Tone House
Wolfe Tone Street
Dublin 1
D01 HP90
Irlandia

Dane kontaktowe odpowiedzialnych oddziaÅ‚ów dla Austrii, Europy Åšrodkowej i PoÅ‚udniowo-Wschodniej (CSEE):

XL ÓÈÎïÊÓƵCompany SE - Zweigniederlassung für Österreich XL Catlin Services SE - Zweigniederlassung für Österreich

Tuchlauben 3
1010 Wien (Wiedeń)
Austria

Inspektor Ochrony Danych

JeÅ›li chcesz uzyskać informacje na temat swoich praw lub masz pytania dotyczÄ…ce przetwarzania danych osobowych, skontaktuj siÄ™ z naszym inspektorem ds. ochrony danych, z którym można siÄ™ skontaktować pocztÄ… pod jednym z powyższych adresów lub mailowo pod adresem dataprivacy@axaxl.com.

ZobowiÄ…zujemy siÄ™ wspóÅ‚pracować z TobÄ…, aby znaleźć sprawiedliwe rozwiÄ…zanie wszelkich skarg lub wÄ…tpliwoÅ›ci dotyczÄ…cych ochrony danych. JeÅ›li uważasz, że nie mogliÅ›my pomóc Ci w sprawie skargi lub problemu, masz prawo zÅ‚ożyć skargÄ™ do odpowiednich organów ochrony danych (poniżej dane kontaktowe).

Dane i kategorie danych, które mogÄ… być przet-warzane

Przetwarzamy PaÅ„stwa dane osobowe zgodnie z Ogólnym RozporzÄ…dzeniem UE o ochronie danych (RODO), austriackÄ… UstawÄ… o Ochronie Danych Osobowych (DSG), PolskÄ… UstawÄ… z 10 maja 2018 roku o ochronie danych osobowych oraz obowiÄ…zujÄ…cymi przepisami dotyczÄ…cymi lub gwarantujÄ…cymi ochronÄ™ prywatnoÅ›ci danych w ramach obowiÄ…zujÄ…cych austri-ackich i polskich przepisów ubezpieczeniowych.

Przetwarzamy dane osobowe, które zostaÅ‚y nam udostÄ™pnione w ramach wniosku i/lub zawarcia umowy ubezpieczeniowej i które sÄ… wymagane do prawidÅ‚owego wykonania relacji umownej (w tym rozpatrywania skarg).

W przypadku zgÅ‚oszenia roszczenia lub wniosku o od-szkodowanie, wymagamy danych osobowych do oceny naszego obowiÄ…zku zapÅ‚aty oraz ustalenia wysokoÅ›ci odszkodowania, które należy wypÅ‚acić.

Podczas zawierania umowy odpowiedź na niektóre pytania jest obowiÄ…zkowa. Bez tych informacji nie jest możliwe ani zawarcie, ani speÅ‚nienie umowy, ani rozpatrzenie roszczen-ia.

W szczególnoÅ›ci przetwarzamy nastÄ™pujÄ…ce dane i kategorie danych:

• Dane gÅ‚ówne i umowy (np. imiÄ™ i nazwisko, adres, dane kontaktowe, stan cywilny, zawód, daty rozpoczÄ™cia i wygaÅ›niÄ™cia, szczegóÅ‚y ryzyka podlegajÄ…cego ubezpieczeniu)
• Specjalne kategorie danych osobowych (np. dane zdrowotne)
• Informacje o sytuacjach osobistych (np. dane o zdolnoÅ›ci kredytowej, majÄ…tku materialnym)
• Dane dotyczÄ…ce PaÅ„stwa roszczeÅ„ oraz inne dane wynikajÄ…ce z wypeÅ‚nienia naszych zobowiÄ…zaÅ„ prawnych
• Dane dotyczÄ…ce kontaktów do Ciebie oraz przetwarzania transakcji
• OkolicznoÅ›ci zaangażowania podmiotów danych (np. ubezpieczony, ubezpieczony, poszkodowany, Å›wiadek)
• ±Ê±ðÅ‚²Ô´Ç³¾´Ç³¦²Ô¾±³¦³Ù·É²¹
• Dane perspektyw

Konieczność przetwarzania okreÅ›lonych kategorii danych osobowych zależy od wymagaÅ„ umowy ubezpieczeniowej lub wynika z innych okolicznoÅ›ci zwiÄ…zanych z naszymi usÅ‚ugami ubezpieczeniowymi (np. rozliczenie rożeÅ„). Wszelkie zgody, które mogÄ… być wymagane w takim przypadku, w szczególnoÅ›ci zgodnie z artykuÅ‚em 9 ust. 2 (a) i artykuÅ‚em 7 RODO, bÄ™dÄ… zbierane osobno, gdy bÄ™dzie to konieczne.

Dodatkowo, ¾ÅÉ«ÊÓƵprzetwarza również dane osobowe dotyczÄ…ce wyroków karnych i przestÄ™pstw w niektórych przypadkach. Dotyczy to szczególnie roszczeÅ„ wynikajÄ…cych z nielegalnego zachowania ze strony ubezpieczonego, poszkodowanego lub osoby trzeciej. Dalsze dziaÅ‚ania przetwarzajÄ…ce mogÄ… wynikać z prawnych obowiÄ…zków zapobiegania praniu pieniÄ™dzy i fi-nansowaniu terroryzmu zgodnie z przepisami austriackiej ustawy o praniu pieniÄ™dzy ("Finanzmarkt-Geldwäschegesetz" – FM-GwG) lub lokalnym przepisami antypraniajÄ…cym pieniÄ…dze.

Cele i podstawy prawne przetwarzania danych

Przetwarzamy zebrane dane osobowe w celu zarzÄ…dzania i real-izacji umów ubezpieczeniowych, dla których ubezpieczycielem jest AXA XL. PaÅ„stwa dane bÄ™dÄ… przetwarzane w szczególnoÅ›ci w nastÄ™pujÄ…cych celach:

• Wykonanie umowy ubezpieczeniowej z ¾ÅÉ«ÊÓƵi/lub powiÄ…zanych Å›rodków przedkontraktowych (art. 6 ust. 1 (b) RODO), w tym przetwarzanie i profilowanie wymagane do oceny ryzyka oraz ankiet satysfakcji klientów lub opinii, w szczególnoÅ›ci w nastÄ™pujÄ…cych celach:
  • Zaangażowanie, zarzÄ…dzanie (w tym cele komer-cyjne) oraz realizacjÄ™ umowy ubezpieczeniowej w przypadku roszczenia, w którym jesteÅ› stronÄ… poszkodowanÄ…, ocenÄ™ i ugodÄ™ w jego sprawie, a także rozpatrywanie skarg i rekultywacji.
  • Wykonywanie badaÅ„ statystycznych i aktuarialnych oraz sporzÄ…dzanie ocen ryzyka, selekcji, testów i ocen w celu obliczania skÅ‚adki ubezpieczeniowej.
  • Zbieranie i przetwarzanie danych dotyczÄ…cych przestÄ™pstw, wyroków skazaÅ„ lub Å›rodków bezpiec-zeÅ„stwa, o ile można je przypisać ubezpieczenio-wemu ryzyku i/lub którego przetwarzanie jest wyma-gane przez prawo ubezpieczeniowe.
  • Porady dotyczÄ…ce możliwych zmian lub uzupeÅ‚nieÅ„ umów, speÅ‚niania wniosków informacyjnych oraz decyzji goodwill.
• Ponadto przetwarzamy PaÅ„stwa dane osobowe w ramach speÅ‚nienia obowiÄ…zków prawnych, którym my, jako kontroler danych, podlegamy zgodnie z art. 6 ust. 1 (c) RO-DO. Należą do nich w szczególnoÅ›ci:
  • rozpatrywanie roszczeÅ„, w których powód nie jest stronÄ… umowy ubezpieczeniowej, na przykÅ‚ad jako beneficjent trzeci lub poszkodowany;
  • wykonywanie kontroli sankcji i prania pieniÄ™dzy – szczególnie w zakresie identyfikacji rzeczywistego wÅ‚aÅ›ciciela – zgodnie z obowiÄ…zujÄ…cymi przepisami i reżimami sankcyjnymi dotyczÄ…cymi prania pieniÄ™dzy;
  • Wykonywanie badaÅ„ statystycznych i aktuarialnych oraz sporzÄ…dzanie ocen ryzyka, selekcji, testów i ocen w ramach zobowiÄ…zaÅ„ prawnych obowiÄ…zujÄ…cych nas z art. 48 Dyrektywy 138/2009/WE ("Solventność II") oraz wynikajÄ…cych z nich prze-pisów wykonawczych paÅ„stw czÅ‚onkowskich UE i EGP;
  • Zgodność z wymogami regulacyjnymi, w tym obowiÄ…zki retencyjne okreÅ›lone w prawie hand-lowym i podatkowym oraz nasze obowiÄ…zki doradcze.
• Ponadto przetwarzamy PaÅ„stwa dane w celach uzasadnionych interesów realizowanych przez nas lub przez osoby trzecie. Przetwarzanie to opiera siÄ™ na art. 6 ust. 1 (f) RODO i dotyczy miÄ™dzy innymi nastÄ™pujÄ…cych przypadków:
  • zapewnienie bezpieczeÅ„stwa IT i jego funkcjonowan-ia, w tym testów (o ile nie jest to już wymagane w kontekÅ›cie realizacji umowy lub speÅ‚nienia obowiÄ…zku prawnego);
  • z zastrzeżeniem sprzeciwu, reklamować wÅ‚asne produkty ubezpieczeniowe oraz produkty grupy AXA i jej partnerów wspóÅ‚pracy, a także prowadzić bada-nia rynkowe i opiniotwórcze;
  • zapobieganie i prowadzenie dochodzeÅ„ w sprawach karnych, o ile nie jest to już okreÅ›lone przez usta-wowe lub regulacyjne zobowiÄ…zanie; w szczególnoÅ›ci korzystamy z analiz i badaÅ„ (również w publicznie dostÄ™pnych źródÅ‚ach) do wykrywania oznak oszustw ubezpieczeniowych;
  • za zarzÄ…dzanie ryzykiem w ramach ¾ÅÉ«ÊÓƵoraz caÅ‚ej Grupy AXA;
  • do zarzÄ…dzania biznesem oraz rozwoju procesów, usÅ‚ug i produktów.
• W niektórych przypadkach przetwarzamy również PaÅ„stwa dane osobowe w celu opracowania i/lub ulepszania modeli uczenia statystycznego z wykorzystaniem uczenia maszynowego i innych technologii sztucznej inteligencji (SI). Modele te sÄ… nastÄ™pnie produktywnie wykorzystywane w naszych różnych procesach automatyzacji, zwÅ‚aszcza w obszarze automatycznej kategoryzacji danych nieustrukturyzowanych, zarzÄ…dzania procesami biznesow-ymi (takich jak zautomatyzowana alokacja przychodzÄ…cej korespondencji), jak również do celów statystycznych obliczeÅ„ aktuarialnych i modeli cenowych.
  • Przetwarzanie PaÅ„stwa danych osobowych w celu rozwoju i/lub ulepszania naszych modeli uczenia siÄ™ statystycznego opiera siÄ™ na naszym uzasadnionym interesie optymalizacji wewnÄ™trznych procesów biznesowych. Szczególnie zobowiÄ…zujemy siÄ™ do caÅ‚kowitej lub częściowej anonimizacji i/lub pseu-donimizacji PaÅ„stwa danych w ramach naszych możliwoÅ›ci technicznych. Dotyczy to szczególnie przetwarzania specjalnych kategorii danych osobowych, które również wymaga stosowania obowiÄ…zujÄ…cej ustawy zezwalajÄ…cej na pozwolenie, jak wskazano w art. 9 ust. 2 (b) - (j) RODO lub PaÅ„st-waj wyraźnej zgody w rozumieniu art. 9 ust. 2 (a) ROD.
  • Gdy przetwarzamy PaÅ„stwa dane osobowe w naszych istniejÄ…cych systemach I (na przykÅ‚ad w celu prawidÅ‚owego przypisania przychodzÄ…cej poczty w roszczeniu), takie przetwarzanie opiera siÄ™ na od-powiednich podstawach prawnych zwiÄ…zanych z celem danej dziaÅ‚alnoÅ›ci.

W odniesieniu do tych uzasadnionych interesów zapewniamy, dziÄ™ki procedurom kontroli wewnÄ™trznej i ocenie, ich zgodność z obowiÄ…zujÄ…cÄ… sytuacjÄ… ustawowÄ… i prawnÄ… oraz że interesy lub podstawowe prawa i wolnoÅ›ci podmiotu danych nie przeważajÄ… nad nimi.

Jeśli jesteś dotknięty jedną z tych czynności przetwarzania i chciałbyś ustalić, czy okoliczności w Państwaj konkretnej sytuacji doprowadziły do przeważenia nad twoimi in-teresami, skontaktuj się z naszym inspektorem ds. ochrony danych w dowolnym momencie i poproś o kopię oceny pro-porcjonalności.

Transfery i odbiorcy danych osobowych

Zebrane dane osobowe mogÄ… być przekazywane partnerom kon-traktowym ¾ÅÉ«ÊÓƵ którzy uczestniczÄ… w zawieraniu, zarzÄ…dzaniu i realizacji umowy, a także w innych wczeÅ›niej wymienionych czynnoÅ›ciach przetwarzania. Należą do nich miÄ™dzy innymi:

• inne firmy ubezpieczeniowe i reasekuracyjne;
• PoÅ›rednicy ubezpieczeniowi (np. brokerzy ubezpieczeniowi, agenci, ...);
• lekarzy, eksperci i rzeczoznawcy (np. do rozliczania roszczeÅ„, oceny ryzyka i zobowiÄ…zaÅ„ odszkodowawczych);
• agencje kredytowe i prywatni detektywi (do kontroli kredytowej i/lub zapobiegania i prowadzenia Å›ledztw w zakresie oszustw ubezpieczeniowych);
• prawnicy (doradczy oraz w przypadku reprezentacji w postÄ™powaniach sÄ…dowych) oraz
• innych dostawców usÅ‚ug (np. zewnÄ™trznych konsultantów, administratorów, dostawców usÅ‚ug IT itp.)

Przetwarzanie danych w ramach Grupy AXA:

Dodatkowo, niektóre zadania i funkcje przetwarzania w naszej grupie sÄ… wykonywane centralnie przez wyspecjalizowane firmy lub dziaÅ‚y. W przypadku umowy ubezpieczeniowej miÄ™dzy TobÄ… a jednÄ… lub kilkoma spóÅ‚kami grupy, PaÅ„stwa dane mogÄ… być przetwarzane centralnie przez firmÄ™ należącÄ… do naszej grupy, na przykÅ‚ad do centralnego zarzÄ…dzania danymi kontaktowymi, obsÅ‚ugi telefonicznej, przetwarzania umów w tym obsÅ‚ugi i ob-sÅ‚ugi roszczeÅ„, do realizacji i wypÅ‚at lub do obsÅ‚ugi poczty.

Inni laureaci:

Ponadto nasze obowiązki prawne mogą wymagać w określonych przypadkach przekazania Państwa danych innym odbiorcom, konkretnym organom (np. instytucjom ubezpieczenia społecznego, organom podatkowym oraz organom nadzorczym lub sądowym), instytucjom kredytowym, doradcom podatkowym oraz audytorom ustawowym.

Wreszcie, może być również konieczne udostÄ™pnienie swoich danych osobowych potencjalnym nabywcom lub wybranym partnerom w zwiÄ…zku z nadzwyczajnymi transakcjami biznesow-ymi (w tym analizÄ… warunków ekonomicznych, prawnych, podat-kowych i finansowych – "due diligence"), takimi jak fuzje, sprzed-aż firm i inne transakcje.

Transfery danych z krajów trzecich

W zakresie, w jakim dane osobowe sÄ… przekazywane do krajów spoza Europejskiego Obszaru Gospodarczego, zapewniamy, że odbywa siÄ™ to wyÅ‚Ä…cznie zgodnie z prawem Unii oraz obowiÄ…zujÄ…cymi przepisami ustawowymi:

Zgodnie z art. 45 RODO transfery do krajów trzecich, gdzie Komis-ja Europejska uznaÅ‚a, że zapewniajÄ… odpowiedni poziom ochrony, nie wymagajÄ… specjalnej zgody. Obecnie obejmuje to AndorÄ™, ArgentynÄ™, KanadÄ™ (tylko podmioty handlowe), Wyspy Owcze, Guernsey, Izrael, WyspÄ™ Man, JaponiÄ™, Jersey, NowÄ… ZelandiÄ™, SzwajcariÄ™, KoreÄ™ PoÅ‚udniowÄ…, Urugwaj oraz WielkÄ… BrytaniÄ™.

Transfery do firm w ramach grupy AXA opierajÄ… siÄ™ również na (BCR) zgodnie z artykuÅ‚em 47 RODO.

W zakresie, w jakim transfery nie sÄ… objÄ™te jednym z wy-mienionych aktów prawnych, ¾ÅÉ«ÊÓƵzapewnia zgodnie z art. 44 i nast. RODO, że adekwatność poziomu ochrony danych jest zapewniona przez zawarcie zgodnie z art. 46 RODO.

Ponadto ¾ÅÉ«ÊÓƵwdrożyÅ‚a dodatkowe Å›rodki umowne, organi-zacyjne i techniczne, aby zapewnić, że odbiorcy speÅ‚niajÄ… swoje zobowiÄ…zania wynikajÄ…ce z wiążących zasad korporacyjnych oraz standardowych klauzul umownych UE, które obejmujÄ… także ich wykonalność.

Środki te obejmują nowoczesne szyfrowanie danych osobowych (w tranzycie i w spoczynku), pseudonimizację danych, ograni-czenie dostępu do danych osobowych oraz zobowiązania dotyczące przejrzystości i informacji umownej i organizacyjnej.

W odniesieniu do wszystkich odbiorców, ¾ÅÉ«ÊÓƵoceniÅ‚a ryzyka zwiÄ…zane z transferem do odpowiednich krajów trzecich i od-powiednio je udokumentowaÅ‚a w raporcie ("Transfer Risk As-sessment" – TIA).

W przypadku dalszych pytaÅ„, informacji i dokumentacji dotyczÄ…cych naszych miÄ™dzynarodowych transferów danych prosimy o kontakt z naszym oficerem ds. ochrony danych.

Retencja danych

Zazwyczaj przechowujemy i przetwarzamy PaÅ„stwa dane osobowe tylko tak dÅ‚ugo, jak jest to konieczne do celów, w których sÄ… one przetwarzane.

Jeśli przechowujemy Państwa dane po tym okresie, robimy to albo w celu spełnienia obowiązującego ustawowego okresu przechowywania (np. ze względu na przepisy podatkowe, hand-lowe lub społeczne), albo dlatego, że Państwa dane mogą być wymagane do ustanowienia, wykonania lub obrony roszczeń prawnych. W tym drugim przypadku okres zatrzymania jest określany przez obowiązujący termin przedawnienia.

W Austrii okresy utrzymania wedÅ‚ug prawa podatkowego, hand-lowego i spoÅ‚ecznego wynoszÄ… zazwyczaj 7 i 5 lat w Polsce. Ogól-ny ustawowy okres przedawnienia roszczeÅ„ ubezpieczeniowych w Polsce wynosi trzy lata, jednak wyjÄ…tki mogÄ… siÄ™ wahać od 1 roku (ubezpieczenie transportu) do nawet 20 lat, zwÅ‚aszcza w przypad-ku deliktów.

Ponieważ okresy przechowywania mogÄ… siÄ™ znacznie różnić w zależnoÅ›ci od procesu przetwarzania i sytuacji, uprzejmie prosimy o kontakt z naszym inspektorem ds. ochrony danych w przypadku konkretnych zapytaÅ„.

Prawa podmiotów danych

Możesz skorzystać z nastÄ™pujÄ…cych praw wobec nas pod jednym z wymienionych adresów:

• Potwierdzenie i dostÄ™p do danych osobowych dotyczÄ…cych Ciebie (artykuÅ‚ 15 RODO);
• Sprostowanie lub uzupeÅ‚nienie niedokÅ‚adnych lub niepeÅ‚nych danych (art. 16 RODO);
• Natychmiastowe usuniÄ™cie danych dotyczÄ…cych Ciebie (art. 17 RODO) lub ograniczenie przetwarzania zgodnie z art. 18 ROD, jeÅ›li usuniÄ™cie nie jest jeszcze rozpatrywane z powodów wynikajÄ…cych z art. 17 ust. 3 ROD;
• Odbiór danych dotyczÄ…cych Ciebie, które zostaÅ‚y przez Ciebie dostarczone, w uporzÄ…dkowanym, wspólnym i maszynowo czytelnym formacie, a także przekazanie tych danych innym dostawcom/kontrolerom (art. 20 RODO).

JeÅ›li bÄ™dziemy przetwarzać PaÅ„stwa dane na podstawie zgody, zgodnie z art. 7 RODO, masz również prawo wycofać tÄ™ zgodÄ™ w dowolnym momencie bez podawania uzasadnienia. Każda zgoda jest zazwyczaj uzyskiwana za pomocÄ… osobnego pisemnego oÅ›wiadczenia, w którym ponownie jesteÅ› wyraźnie informowany o swoim prawie do wycofania siÄ™ oraz o dziaÅ‚aniach przet-warzajÄ…cych na podstawie tej zgody.

Ponadto masz prawo zÅ‚ożyć skargÄ™ do wymienionych poniżej organów nadzorczych, jeÅ›li uważasz, że przetwarzanie danych osobowych dotyczÄ…cych Ciebie narusza którekolwiek z przepisów dotyczÄ…cych ochrony danych osobowych (art. 77 RODO).

Na koniec chcielibyÅ›my poinformować, że żaden z procesów stosowanych podczas przetwarzania PaÅ„stwa danych osobowych nie podlega wyÅ‚Ä…cznie automatycznemu, indywidu-alnemu podejmowaniu decyzji. W zakresie, w jakim decyzje au-tomatyczne sÄ… podejmowane przez nasze procesy – zwÅ‚aszcza przy wykorzystaniu technologii AI – sÄ… to wyÅ‚Ä…cznie procesy ad-ministracyjne sÅ‚użące przygotowaniu ostatecznej decyzji podjÄ™tej przez osobÄ™ fizycznÄ…. DziÄ™ki temu zapewniamy, dziÄ™ki od-powiednim procedurom kontroli wewnÄ™trznej, szkoleniom i wytycznym, że ostateczne procesy decyzyjne nie sÄ… negatywnie wpÅ‚ywane przez zautomatyzowane przetwarzanie w górnym toku i że pozostajÄ… przejrzyste i podlegajÄ…ce audytowi w każdym mo-mencie.

GÅ‚ówny organ nadzorujÄ…cy ochronÄ™ danych w rozumieniu art. 56, 60 RODO:

Data Protection Commission
(An Coimisiún um Chosaint Sonraí)

21 Fitzwilliam Square South
Dublin 2
D02 RD28
Irlandia

Organ ochrony danych osobowych do realizacji zadań i wykonywania kompetencji na terytorium Republiki Austrii (art. 55, 60 ROD):

Datenschutzbehörde (UrzÄ…d Ochrony Danych)

Barichgasse 40-42
1030 Wien (Wiedeń)
Austria

Organ ochrony danych osobowych do realizacji zadań i wykonywania kompetencji na terytorium Rzeczypospolitej Polskiej (art. 55, 60 ROD):

UrzÄ…d Ochrony Danych Osobowych (UODO)

ul. Stanisława Moniuszki 1A
00-014 Warszawa
Polska

SkargÄ™ wymienionÄ… w art. 77 RODO można zÅ‚ożyć do któregokol-wiek z trzech organów. Masz wiÄ™c swobodÄ™ wyboru, do którego organu siÄ™ zwrócić; należy jednak pamiÄ™tać, że skargi w jÄ™zyku polskim należy kierować wyÅ‚Ä…cznie do UrzÄ™du ds. Ochrony Danych Osobowych. Twoja skarga prawdopodobnie zostanie przekazana pomiÄ™dzy trzema organami zgodnie z ich różnymi kompetencjami na podstawie art. 55 i 56 RODO.

Aktualizacja: 02/2026

 

Privacy Notice

By means of this notice, we are informing you about the collec-tion, use, transfer and protection of your personal data, as well as the rights to which you are entitled concerning the access, use and rectification of this data.

This notice applies to all natural persons whose personal data is processed within the scope of a concluded insurance contract. If the persons affected by the processing are not identical with the policyholder (e.g. co-insured, third-party beneficiaries or third-party injured), it is incumbent on the policyholder to inform these persons by providing them with this notice.

Data Controller within the Meaning of Art. 4 No 7 GDPR

XL ÓÈÎïÊÓƵCompany SE
XL Catlin Services SE

Wolfe Tone House
Wolfe Tone Street
Dublin 1
D01 HP90
Ireland

Contact Details of the Responsible Branches for Austria, Central, and Southeastern Europe (CSEE):

XL ÓÈÎïÊÓƵCompany SE - Zweigniederlassung für Österreich
XL Catlin Services SE - Zweigniederlassung für Österreich

Tuchlauben 3
1010 Wien (Vienna)
Austria

Data Protection Officer

If you would like information about your rights or have any ques-tions concerning the processing of your personal data, please reach out to our data protection officer, who can be reached by postal mail at one of the above addresses or by email at dataprivacy@axaxl.com.

We will undertake to work with you to find a fair solution to any complaints or concerns you may have regarding data protection. Should you feel that we have been unable to help you with your complaint or concern, you have the right to lodge a complaint with the relevant data protection authorities (see below for the contact details).

Data and Data Categories that May be Processed

We process your personal data in compliance with the EU General Data Protection Regulation (GDPR), the Austrian Data Protection Act (DSG), the Polish Act of 10 May 2018 on the Protection of Per-sonal Data, as well as the applicable provisions affecting or ensur-ing data privacy within the applicable Austrian and Polish insur-ance regulation.

We process personal data that has been made available to us as part of the application and/or conclusion of the insurance contract and that is required for the proper performance of the contractual relationship (including complaint handling).

In the event of a claim notification or the assertion of an indemnifi-cation, we require the personal data to assess our obligation to pay and to determine the amount of the indemnification to be paid.

During the contractual conclusion, the response to certain ques-tions is mandatory. Without this information, neither the con-clusion nor the fulfilment of the contract or the processing of a claim is possible.

In particular, we process the following data and data categories:

• Master and contract data (e.g. name, address, contact details, marital status, occupation, start and expiry dates, details of the risk to be insured)
• Special categories of personal data (e.g. health data)
• Information about personal situations (e.g. creditworthiness data, material assets)
• Data on your claims and other data arising from the fulfilment of our legal obligations
• Data on contacts to you and on transaction processing
• Circumstances of the involvement of the data subjects (e.g. policyholder, insured person, injured party, witness)
• Powers of attorney
• Data of prospects

The necessity to process special categories of personal data de-pends on the requirements of the insurance contract or arises from other circumstances in connection with our insurance services (e.g., claims settlement). Any consents that may be required in that case, in particular pursuant to Article 9 (2) (a) and Article 7 GDPR, will be collected separately when necessary.

Additionally, ¾ÅÉ«ÊÓƵalso processes personal data on criminal convictions and criminal offenses in certain cases. This applies in particularly to claims that are rooted in an illegal behaviour on the part of the insured, the injured, or a third party. Further processing activities may result from the legal obligations to prevent money laundering and terrorist financing according to the provisions of the Austrian Money Laundering Act ("Finanzmarkt-Geldwäschegesetz" - FM-GwG) or locally applicable anti-money-laundering laws.

Purposes and Legal Bases of the Data Processing

We process the personal data collected for the purpose of manag-ing and fulfilling the insurance contracts for which ¾ÅÉ«ÊÓƵis the insurer. Your data will be processed in particular for the following purposes:

• The performance of an insurance contract with ¾ÅÉ«ÊÓƵand/or the associated pre-contractual measures (Art. 6 (1) (b) GDPR), including the processing and profiling required for risk assessments as well as customer satisfaction or opin-ion surveys, in particular for the following purposes:
  • The engrossment, management (including commer-cial purposes) and fulfilment of your insurance con-tract, in the event of a claim in which you are the in-jured party, the assessment and settlement of the same, as well as the processing of complaints and rec-lamations.
  • The performance of statistical and actuarial studies and drafting of risk assessments, selections, tests, and ratings for the purpose of calculating the insurance premium.
  • The collection and processing of data relating to crim-inal offences, convictions, or security measures insofar as those can be attributed to the insured risk and/or the processing of which is required by insurance law.
  • Advice on possible contract adjustments or supple-ments, fulfilment of information requests and goodwill decisions.
• Furthermore, we process your personal data in fulfilment of legal obligations to which we as data controller are subject according to Art. 6 (1) (c) GDPR. These include in particular:
  • the processing of claims in which the claimant is not a party to the insurance contract, for example as a third-party beneficiary or injured;
  • the performance of sanction and money laundering checks - particularly regarding the identification of the beneficial ownership - in accordance with the appli-cable money laundering legislation and sanction re-gimes;
  • The performance of statistical and actuarial studies and drafting of risk assessments, selections, tests, and ratings within the framework of the legal obligations affecting us from Art. 48 of Directive 138/2009/EC (“Solvency II”) and the implementing laws of the EU member states and the EEA derived therefrom;
  • compliance with regulatory requirements, including retention obligations set forth in commercial and tax legislation, and our advisory obligations.
• Additionally, we also process your data for the purposes of the legitimate interests pursued by us or by a third party. This processing is based on Art. 6 (1) (f) GDPR and concerns, among others, the following cases:
  • to ensure IT security and operations, including tests (insofar it is not already required in the context of the performance of the contract or the fulfilment of a legal obligation);
  • subject to your objection, to advertise our own insur-ance products and the products of the AXA group and its cooperation partners as well as for market and opinion surveys;
  • to prevent and investigate criminal offenses, insofar as it is not already prescribed by a statutory or regulatory obligation; in particular, we use analyses and research (also in publicly accessible sources) to detect indica-tions of insurance fraud;
  • for risk management within ¾ÅÉ«ÊÓƵand the AXA Group as a whole;
  • for business management and the development of processes, services, and products.
• In certain cases, we also process your personal data for the purpose of the development and/or improvement of statistical learning models using machine learning and other artificial intelligence (AI) technologies. These models are subsequently being used productively in our various automation processes, namely in the area of automated categorisation of unstructured data, the management of our business processes (such as the automated allocation of incoming correspondence) as well as for purposes of statistical actuarial calculations and pricing models.
  • The processing of your personal data for the develop-ment and/or improvement of our statistical learning models is based on our legitimate interest in optimis-ing our internal business processes. Here, we particu-larly undertake to work towards complete or partial anonymisation and/or pseudonymisation of your data within the scope of our technical possibilities. This applies particularly to the processing of special cate-gories of personal data, which also necessitates an applicable permitting statute as referred to in Art. 9 (2) (b) - (j) GDPR or your express consent within the meaning of Art. 9 (2) (a) GDPR.
  • Where we process your personal data in our existing AI systems (for instance, to correctly allocate an incom-ing mail in a claim), such processing would be based on the applicable legal ground associated with the purpose pursued by that activity.

Regarding these legitimate interests, we ensure by means of inter-nal control and assessment procedures their compliance with the applicable statutory and legal situation and that the interests or fundamental rights and freedoms of the data subject do not out-weigh them.

Transfers and Recipients of Personal Data

The personal data collected may be transferred to contractual partners of ¾ÅÉ«ÊÓƵwho are involved in the conclusion, manage-ment and performance of the contract as well as the other afore-mentioned processing activities. These include, among others:

• other insurance and reinsurance companies;
• ÓÈÎïÊÓƵintermediaries (e.g., insurance brokers, agents, ...);
• physicians, experts and appraisers (e.g., for claims settlement, assessing risks, and compensation obligations);
• credit agencies and private investigators (for credit checks and/or to prevent and investigate insurance fraud);
• lawyers (advisory and in case of representation in litigation) and
• other service providers (e.g. external consultants, administrators, IT service providers, etc.)

Data Processing Within the AXA Group:

Additionally, certain processing tasks and functions within our group are performed centrally by specialised companies or de-partments. In case of an insurance contract between you and one or more group companies, your data may be processed centrally by a company in our group, such as for the central management of your contact details, telephone customer service, contract pro-cessing including service and claims handling, for encashment and disbursements, or for mail processing.

Other Recipients:

Furthermore, our legal obligations may require us in certain cases to transfer your data to other recipients, in particular authorities (e.g., social security institutions, tax authorities, and supervisory or judicial authorities), credit institutions, tax consultants and statutory auditors.

Finally, it may also be necessary to share your personal data with potential buyers or selected partners in connection with extraordi-nary business transactions (including the analysis of economic, legal, tax and financial conditions – “due diligence”), such as mergers, company sales and other transactions.

Third Country Data Transfers

Insofar as personal data is transferred to countries outside the European Economic Area, we ensure that this is done exclusively in accordance with Union law and the applicable statutory provi-sions:

According to Art. 45 GDPR, transfers to third countries, where the EU Commission has decided that that those ensure an adequate level of protection, do not require any special approval. This cur-rently includes Andorra, Argentina, Canada (commercial entities only), the Faroe Islands, Guernsey, Israel, the Isle of Man, Japan, Jersey, New Zealand, Switzerland, South Korea, Uruguay and the United Kingdom.

Transfers to companies within AXA group are also based on (BCR) in accordance with Article 47 GDPR.

Insofar as transfers are not covered by one of the aforementioned legal instruments, ¾ÅÉ«ÊÓƵensures in accordance with Art. 44 et seq. GDPR that the adequacy of the level of data protection is ensured by the conclusion of in accord-ance with Art. 46 GDPR.

In addition, ¾ÅÉ«ÊÓƵhas implemented additional contractual, or-ganisational, and technical measures to ensure that recipients meet their obligations under the binding corporate rules and the EU standard contractual clauses, which also includes their en-forceability.

These measures include modern encryption of personal data (in transit and at rest), pseudonymisation of data, restriction of access to personal data, and contractual and organisational transparen-cy and information obligations.

With regard to all recipients, ¾ÅÉ«ÊÓƵhas evaluated the risks asso-ciated with the transfer to the respective third countries and has documented them accordingly in a report (“Transfer Risk Assess-ment” - TIA).

For further questions, information, and documentation on our international data transfers, please contact our data protection officer.

Data Retention

Generally, we store and process your personal data only for as long as is necessary for the purposes for which they are being processed.

If we store your data beyond this period, we do so either for com-pliance with an applicable statutory retention period (e.g. due to tax, commercial or social law regulations) or because your data may be required for the establishment, exercise or defence of legal claims. In the latter case, the retention period is determined by the applicable statute of limitations.

In Austria, the retention periods under tax, commercial and social law are generally at 7 years and 5 years in Poland. The general statutory limitation period for insurance claims is three years in Poland, but exceptions may vary between 1 year (transport insur-ance) and up to 20 years, the latter notably in case of tort.

Since the retention periods may vary considerably depending on the processing and the respective situation, we kindly ask you to contact our data protection officer in case of specific inquiries.

Data Subject Rights

You may exercise the following rights against us at one the afore-mentioned addresses:

• Confirmation and access to the personal data concerning you (Article 15 GDPR);
• Rectification or completion of inaccurate or incomplete data (Art. 16 GDPR);
• Immediate erasure of data concerning you (Art. 17 GDPR), or the restriction of the processing in accordance with Art. 18 GDPR, if a deletion should is not yet to be considered for reasons pursuant to Art. 17(3) GDPR;
• Reception of the data concerning you, and which have been provided by you, in a structured, common, and machine-readable format as well as transmission of those data to other providers/controllers (Art. 20 GDPR).

If we should process your data based on consent as referred to in Art. 7 GDPR, you also have the right to withdraw this consent at any given time and without providing any justification. Any con-sent is generally obtained by means of a separate written declara-tion, in which you are again expressly informed about your right of withdrawal and the processing activities performed based on this consent.

Furthermore, you have the right to lodge a complaint with the supervisory authorities listed below, if you are of the opinion that the processing of personal data relating to you infringes any of the data protection regulations (Art. 77 GDPR).

Finally, we would like to inform you that none of the processes used during the processing of your personal data makes you sub-ject to a solely automated individual decision-making. To the extent automated decisions are made through our processes - especially when using AI technologies - these are exclusively up-stream administrative processes serving the preparation of a final decision made by a natural person. Thereby, we ensure by means of appropriate internal control procedures, training, and guide-lines that the final decision-making processes are not adversely affected by the automated upstream processing and that they remain transparent and auditable at any time.

Lead data protection supervisory authority within the mean-ing of Art. 56, 60 GDPR:

Data Protection Commission
(An Coimisiún um Chosaint Sonraí)

21 Fitzwilliam Square South
Dublin 2
D02 RD28
Ireland

Data protection authority for the fulfilment of tasks and ex-ercise of competences in the territory of the Republic of Aus-tria (Art. 55, 60 GDPR):

Datenschutzbehörde (Data Protection Authority)

Barichgasse 40-42
1030 Wien (Vienna)
Austria

Data protection authority for the fulfilment of tasks and ex-ercise of competences in the territory of the Republic of Po-land (Art. 55, 60 GDPR):

UrzÄ…d Ochrony Danych Osobowych (UODO)
(Office for Personal Data Protection)

ul. Stanisława Moniuszki 1A
00-014 Warszawa (Warsaw)
Poland

A complaint as referred to in Art. 77 GDPR can be lodged with ei-ther of the three authorities. You are therefore free to decide which authority to contact; please note, however, that complaints in Polish should be directed exclusively to the Office for Personal Data Protection. Your complaint is likely to be communicated between the three authorities according to their different compe-tences under Art. 55 and 56 GDPR.

Last Status: 02/2026