Persónuvernd
Almennt
Verna MGA ehf, kt. 610421-0830, Ármúla 13, 108 Reykjavík, er annt um friðhelgi einstaklinga og tekur persónuvernd mjög alvarlega. Verna leggur mikla áherslu á að meðferð persónuupplýsinga sé ávallt í samræmi við gildandi persónuverndarlöggjöf. Í þessari tilkynningu má sjá hvaða persónuupplýsingum fyrirtækið safnar um einstaklinga vegna starfsemi sinnar og í hvaða tilgangi. Þá má hér finna upplýsingar um aðra viðtakendur upplýsinganna og hvað fyrirtækið geymir þær lengi. Auk þess má hér finna upplýsingar um á hvaða grundvelli Verna safnar persónuupplýsingum, hvaða réttinda einstaklingar njóta og fleiri mikilvægar upplýsingar sem tengjast lögum um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018 (hér eftir persónuverndarlög).
Verna er umboðsaðili vátryggingafélagsins TM tryggingar hf. (hér eftir „TM“). TM er rekið á grundvelli starfsleyfis frá Fjármálaeftirlitinu. Tilgangur TM er að hafa með höndum hvers konar vátryggingar og hliðarstarfsemi sem heimil er að lögum. TM bera ábyrgð á vinnslu og meðferð persónupplýsinga sem unnið er með í þeirra starfsemi. Í tengslum við framkvæmd vátryggingasamnings getur Verna sem umboðsaðili TM unnið með persónuupplýsingar þar sem TM er ábyrgðaraðili vinnslunnar og Verna sem vinnsluaðili. Við vinnslu persónuupplýsinga vegna þjónusta Verna sem tengist ekki framkvæmd vátryggingasamningsins telst Verna vera ábyrgðaraðili. Viðskiptavinir geta nálgast persónuverndarstefnu TM hér.
Hvað eru persónuupplýsingar og vinnsla persónuupplýsinga?
Með persónuupplýsingum er átt við allar upplýsingar sem hægt er að rekja til tiltekins einstaklings, svo sem upplýsingar um nafn, kennitölu, heimilisfang, netfang, símanúmer, fjárhag, heilsufar, IP tölu og fleira. Í 2. og 3. tl. 1. mgr. 3. gr. persónuverndarlaga er að finna nánari skilgreiningu á persónuupplýsingum.
Með viðkvæmum persónuupplýsingum er átt við persónuupplýsingar sem njóta sérstakrar verndar samkvæmt persónuverndarlögum s.s. upplýsingar um þjóðernisuppruna eða kynþátt, stjórnmála- og trúarskoðanir, stéttarfélagsaðild, erfðagögn, heilsu, kynlíf eða kynhneigð.
Með vinnslu persónuupplýsinga er átt við alla meðferð og notkun persónuupplýsinga svo sem söfnun, skráningu, varðveislu, breytingu eða eyðingu. Í 4. tl. 1. mgr. 3. gr. persónuverndarlaga er að finna nánari skilgreiningu á vinnslu persónuupplýsinga.
Tilgangur með söfnun persónuupplýsinga
Tilgangurinn með söfnun upplýsinganna er að:
- Geta efnt samningsskyldu, til dæmis við starfsmenn og viðsemjendur.
- Geta veitt viðskiptavinum umbeðna þjónustu.
- Gæta að lögmætum hagsmunum fyrirtækisins.
- Uppfylla lagaskyldu.
Lagagrundvöllur fyrir vinnslu persónuupplýsinga
Verna safnar og vinnur persónuupplýsingar á eftirfarandi lagagrundvelli:
- Á grundvelli samþykkis einstaklinga.
- Til að uppfylla samningsskyldu.
- Til að uppfylla lagaskyldu.
- Til að gæta að lögmætum hagsmunum fyrirtækisins.
- Til að unnt sé að stofna, hafa uppi eða verja réttarkröfu.
Hvernig vinnur Verna persónuupplýsingar?
Hjá Verna fer vinnsla persónuupplýsinga fram á lögmætum grundvelli og í samræmi við lög um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018. Fyrirtækið gætir jafnframt að því að persónuupplýsingar séu ekki unnar frekar á þann hátt að vinnslan sé ósamrýmanleg upprunalegum tilgangi vinnslunnar.
Fyrirtækið gætir að því að farið sé að eftirfarandi meginreglum:
- Að persónuupplýsingar séu unnar með sanngjörnum hætti.
- Að persónuupplýsingum sé einungis safnað í skýrum tilgangi.
- Að ekki sé safnað meiri persónuupplýsingum en nauðsynlegt er.
- Að persónuupplýsingar séu nákvæmar og uppfærðar þegar þörf krefur.
- Að persónuupplýsingar séu ekki geymdar lengur en þörf er á.
- Að gætt sé að öryggi persónuupplýsinga með viðeigandi varúðarráðstöfunum.
Við hönnun lausna félagsins hefur Verna m.a. leitast við að fylgja eftir hönnunarviðmiðum „the Good Data Institute“[2] sem t.a.m. miða að því að söfnun og vinnsla fari eingöngu fram á grunni upplýsts samþykkis viðskiptavina; að hún bæti hæfni einstaklinga til að taka ákvarðanir; og ef mögulegt er að heildin hagnist á opnu aðgengi að gagnlegum ópersónugreinanlegum upplýsingum.
Nánar tiltekið að þá aflar og vinnur félagið persónugreinanleg gögn til að:
- Draga úr áhættu viðskiptavina
- Draga úr mögulegum tjónum sem viðskiptavinir kunna að verða fyrir
- Meta og verðleggja áhættu með nýjum og sanngjarnari hætti
- Sjálfvirknivæða og bæta þjónustu
- Tryggja sanngjarna og hraðari útgreiðslu bóta
- Bæta tengsl við viðskiptavini
- Móta nýjar tryggingar og þjónustur sem mæta síbreytilegum þörfum viðskiptavina
Verna mun jafnframt skoða með samstarfsaðilum sínum hvort hægt sé að opna aðgengi að ópersónugreinanlegum umferðargögnum, sem gætu t.a.m. nýst við greiningu umferðahnúta, hættu á óhöppum á tilteknum vegarköflum sem með tíð og tíma gæti leitt til bættra og öruggara gatnakerfis.
Verna mun aldrei selja gögn viðskiptavina til þriðja aðila. Verna mun jafnframt aldrei nota akstursgögn, sem smáforrit félagsins safnar til að útbúa aksturskor, við sakamat þegar viðskiptavinir lenda í óhöppum.
Um hverja safnar Verna persónuupplýsingum?
Í starfsemi fyrirtækisins er nauðsynlegt að safna og vinna með persónuupplýsingar um mismunandi hópa einstaklinga.
Þær persónuupplýsingar sem fyrirtækið hefur undir höndum geta m.a. verið um starfsmenn þess, starfsumsækjendur, viðsemjendur, vænta vátryggingartaka, þ.e. einstaklinga sem óska eftir tilboði í vátryggingu eða ef félagið óskar eftir því að gefa þeim tilboð í vátryggingu. Viðskiptavini svo sem vátryggingartaka, maka og börn vátryggingartaka eða vænts vátryggingartaka og aðra þriðju aðila sem nauðsynlegt er að eiga samskipti við. Þeir geta verið einstaklingar sem hafa lent í tjóni og gera kröfu í ábyrgðartrygginu hins vátryggða, ökumenn sem eru við stjórn skráningarskylds vélknúins ökutækis í árekstri eða öðru umferðaróhappi, vitni sem veita upplýsingar um atvik í tjónamáli eða greiðandi iðgjalds vátryggingar.
Einstaklingur getur, ef hann svo kýs, veitt öðrum aðila umboð eða aðra lögmæta heimild til milligöngu í samskiptum við Verna og kunna auðkennis- og samskiptaupplýsinngar um þann einstakling að vera skráðar.
Hve lengi geymir Verna persónuupplýsingar?
Verna varðveitir gögn og upplýsingar eins og lög mæla fyrir um eða svo lengi sem málefnaleg ástæða er til. Þegar ekki þykja lengur málefnalegar ástæður til að varðveita upplýsingar er þeim eytt eða eftir atvikum gerðar ópersónugreinanlegar/dulkóðaðar.
Dæmi um varðveislutíma persónuupplýsinga eru eftirfarandi:
- Vátryggingarumsóknir, samningsgögn og tjónagögn einstaklinga eru varðveitt á meðan að viðskiptasambandið varir að því gefnu að fyrningarreglur laga kveði ekki á um annað.
- Sem umboðsaðili TM eru viðskiptafyrirmæli varðveitt hjá Verna í a.m.k. 5 ár í samræmi við leiðbeinandi tilmæli Seðlabanka Íslands nr. 1/2019 vegna áhættu við rekstur upplýsingakerfa eftirlitsskyldra aðila.
- Bókhaldsgögn eru varðveitt hjá Verna í a.m.k. 7 ár frá lokun reikningsárs í samræmi við lög um bókhald nr. 145/1994.
- Verna varðveitir tiltekin gögn um einstaklinga ótímabundið t.d. upplýsingar um hvaða vátryggingavernd einstaklingurinn hefur keypt, tilteknar tjónaupplýsingar o.fl.
- Akstursgögn eru geymd að lágmarki í fjögur ár. Vinnslusamningar Verna við Floow tryggja að gögn séu eingöngu geymd í ópersónugreinanlegu formi í kerfum félagsins og staðsett innan Evrópska efhangssvæðisins og á Bretlandi.
- Markaðsleg tilvísunargögn, t.d. þegar þú býður vinum eða vandamönnum að koma í viðskipti til Verna, eru geymd í hármak 6 mánuði kjósi viðkomandi ekki að kaupa þjónustu af Verna innan þess tíma.
Sjálfvirk ákvarðanataka
Sjálfvirk ákvarðanataka er það ferli þegar tekin er ákvörðun með sjálfvirkum hætti án nokkurrar mannlegrar aðkomu. Slíkar ákvarðanir geta verið byggðar á persónusniðum, þ.e. þegar persónuupplýsingar eru notaðar til að meta ákveðna þætti er varða hagi einstaklings, einkum að greina eða spá fyrir um þætti er varða frammistöðu hans í starfi, fjárhagsstöðu, heilsu, o.fl. Verna framkvæmir áhættumat á hverjum umsækjanda og viðskiptavin sem liggur til grundvallar verðlagningu trygginga. Áhættumatið er sjálfvirkt byggir á þáttum eins og aldri, vélarstærð og orkugjafi ökutækis, fjölskylduaðstæður, fyrri tjónasaga o.fl. Jafnframt nýtir Verna smáforrit félagsins til að meta þá áhættu sem viðskiptavinir taka við akstur til að reikna út mánaðarlegt akstursskor sem aftur getur leitt til þess að iðjgöld næsta mánaðar lækka eða hækka.
Hvaða persónuupplýsingum safnar Verna?
Verna safnar ólíkum persónuupplýsingum um mismunandi hópa einstaklinga eftir því hvaða starfsemi fyrirtækisins er um að ræða. Undir öllum kringumstæðum leitast fyrirtækið við að safna einungis þeim persónuupplýsingum sem nauðsynlegar eru með hliðsjón af tilgangi vinnslunnar.
Í ákveðnum tilvikum þarf fyrirtækið að safna viðkvæmum persónuupplýsingum, svo sem upplýsingum um heilsufar og aðild að stéttarfélagi starfsmanna. Sérstök aðgát er höfð við meðferð slíkra upplýsinga.
Verna safnar og vinnur með eftirfarandi flokka persónuupplýsinga:
Umsóknarferli
Verna gerir viðskiptavinum kleift að kaupa tryggingar í gegnum smáforrit félagsins. Í umsóknarferlinu óskar Verna eftir persónugreinanlegum upplýsingum um m.a. kennitölu, nafn, heimilisfang, tölvupóst, símanúmer, fastanúmer ökutækis og greiðslukorta og bankaupplýsingar. Þessar upplýsingar eru svo með samþykki viðskiptavinar nýttar til að afla frekari gagna frá þriðja aðila (sjá kafla hér að neðan “Upplýsingavinnsla og þriðju aðilar”. Þessi upplýsingavinnsla er nauðsynleg til að gera Verna kleift að meta og verðleggja áhættuna við að tryggja ökutæki viðskiptavina, til að meta tryggingaþörf viðskiptavina, til að senda tilboð á viðskiptavini, til að senda skilmála, til að undirrita tryggingasamning við viðskiptavini, til að senda tryggingaskírteini á viðskiptavini, og til að koma í veg fyrir sviksemi.
Verna er vinnsluaðili TM í tengslum við framangreinda vinnslu.
Umsýsla og þjónusta trygginga
Verna safnar ýmsum persónugreinanlegum og ópersónugreinanlegum gögnum um viðskiptavini við veitingu þjónustu til þeirra. Það fer eftir því hvaða þjónustu viðskiptavinir óska eftir eða nýta sér hjá Verna hvaða gögn eru geymd í kerfum Verna, hve lengi þau eru geymd og hve fljótt hægt er að eyða út gögnum ósk viðskiptavinur þess. Eftirfarandi gögn eru m.a. geymd í kerfum Verna:
- Nafn, kennitala, heimilisfang, símanúmer og netfang.
- Bankaupplýsingar, svo sem greiðslukortaupplýsingar.
- Upplýsingar er varða sýndan áhuga viðskiptavinar á þjónustu eða upplýsingar um áhugamál ef viðskiptavinur hefur upplýst um slíkt eða þegar Verna metur það út frá notkun viðskiptavinar.
- Samskipti viðskiptavinar við Verna, svo sem símtöl/tölvupóstar/netsamskipti til fulltrúa Verna eða önnur samskipti við fyrirtækið eða tengda aðila. Símtöl þeirra starfsmanna Verna sem eru í beinum samskiptum við viðskiptavini eru hljóðrituð í þeim tilgangi að sannreyna munnleg samskipti símleiðis (s.s. viðskiptafyrirmæli). Verna skráir símanúmer og samskiptaupplýsingar s.s. netfang ásamt samskiptunum sjálfum.
- Upplýsingar um viðskipti viðskiptavinar við Verna, svo sem tegund þjónustu, vörukaup, reikningssögu, reikningsupphæðir, skuldastöðu og önnur atriði sem tengjast reikningi viðskiptavinar.
- Símanúmer og tölvupóst þeirra sem viðskiptavinur býður að koma í viðskipti til Verna.
- Notkun viðskiptavinar á heimasíðu Verna, t.a.m. hvaða síður viðskiptavinur nýtir.
- Tjónagögn, m.a. tegund tjóns, dagsetning tjóns, staðsetning tjóns, tjónakostnaður.
- Upplýsingar um notkun viðskiptavina á smáforriti eða appi Verna.
- Kerfisupplýsingar sem tengjast viðskiptavini, svo sem tæknilegar merkjasendingar, bilanir/kerfisatvik og tímasetningar þeirra.
Verna er vinnsluaðili TM í tengslum við framangreinda vinnslu.
Tjónaupplýsingum
Eðli þjónustu Verna felur í sér að félagið tekur á móti tjónatilkynningum og tjónagögnum frá viðskiptavinum, lögreglu, vátryggingarfélögum annarra ökumanna og þjónustuaðilum sem veita vettvangsaðstoð þegar ökutæki lenda í tjóni, s.s. Aðstoð og öryggi ehf. og Króki ehf. Við úrvinnslu tjóna kann félagið að óska eftir frekari upplýsingum frá viðskiptavinum.
Viðskiptavinir geta tilkynnt um tjón í smáforriti félagsins, og síðar einnig í gegnum heimasíðu Verna. Í tjónatilkynningarferlinu eru viðskiptavinir m.a. beðnir um eftirfarandi upplýsingar:
- Hvaða ökutæki skemmdust, s.s. eitt eða fleira.
- Nafn og kennitölu ökumanns og annarra ökumanna sem áttu aðild að tjóninu.
- Símanúmer og netfang annarra ökumanna sem áttu aðili að tjóninu.
- Hvaða dag og klukkan hvað tjónið átti sér stað.
- Hvar tjónið átti sér stað.
- Ljósmyndir af tjónuðum ökutækjum og staðarháttum.
- Lýsingu á því hvað gerðist og eiga viðskiptavinir kost á því að senda inn bæði hljóðupptökur með lýsingu á atvikinu og/eða að senda inn skrifaða texta.
Áður en tjónatilkynningin er send eru viðskiptavinir beðnir um að undirrita hana rafrænt.
Viðskiptavinir kunna að kjósa að kalla til Aðstoð og öryggi ehf. til að aðstoða við öflun og úrvinnslu upplýsinga um óhappið. Aðstoð og öryggi ehf. miðlar tjónaskýrslu til vátryggingafélaga allra þeirra sem eru þátttakendur í atvikinu sem og viðskiptavinar Verna.
Ef slys verða á fólki í óhappinu eða ef einn af aðilunum sem koma að atvikinu er undir áhrifum áfengis eða annarra vímugjafa er lögregla ávallt kölluð til sem útbýr lögregluskýrslu og miðlar til vátryggingafélaga allra þeirra sem eru þátttakendur í atvikinu.
Öll ofangreind gögn eru nauðsynleg við mat á tjóni og fyrir útgreiðslu bóta.
Verna er vinnsluaðili TM í tengslum við framangreinda vinnslu.
Úrvinnsla slysatjóna
Við úrvinnslu tjóna þar sem slys hafa orðið á fólk þarf Verna, og eða vátryggingarfélagið TM, að afla ýmissa viðbótarupplýsinga frá tjónþola og heilbrigðisyfirvöldum um heilsufar, m.a. áverka- og heilsufarsupplýsingar fyrir og eftir slys. Jafnframt kann Verna eða TM að afla upplýsinga um laun tjónþola, starfshlutfall sem og örorkulífeyrisréttindi hjá lífeyrissjóði, eingreiddar örorkubætur slysatryggingar almannatrygginga o.fl. samkvæmt 4. mgr. 5. gr. skaðabótalaga.
Markmið þessari gagnaöflunar og -vinnslu er að meta bótaskyldu og bótafjárhæð. Þessara upplýsinga er aflað með samþykki þess einstaklings sem á í hlut (vátryggðs eða eða annarra tjónþola) sbr. 1. tölulið 1. mgr. 11. gr. laga um persónuvernd. Þessum upplýsingum er enn fremur miðlað til matsmanna, t.a.m. ráðgefandi læknis og lögfræðings, sem leggja mat á afleiðingar líkamstjóns í samræmi við vátryggingarsamning eða skaðabótalög nr. 50/1993.
Verna annast skráningu slysatjóna en TM sér um úrvinnslu slysatjóna í kerfum Verna. Hér er hlekkur á persónuverndarstefnu TM.
Verna er vinnsluaðili TM í tengslum við framangreinda vinnslu.
Akstursgögn
Smáforrit Verna nýtir nema sem eru í öllum snjallsímum í dag til að búa til akstursskor fyrir notendur þess, sem nýtt er til að reikna út iðgjöld viðskiptavina og til að veita viðskiptavinum aðgengi að upplýsingum sem gerir þeim kleift að bæta akstur sinn.
Smáforrit Verna nýtir eftirfarandi nema:
- Hraðanemi (e. accelerometer) sem hægt er að nýta til að meta hversu harkalega bíl er ekið af stað, hemlað og/eða ört er skipt um akrein.
- Snúður (e. gyroscope) sem hægt er að nota hvort að haldið sé á síma við akstur t.d. til að svara tölvupóstum eða smáskilaboðum.
- Nándarnemi (e. proximity meter) sem getur m.a. numið hvort að síma sé haldið við andlitið.
- Þyngdaraflsnemi (e. magnetometer) sem m.a. er hægt að nýta til meta hröðun bifreiðar inn og út úr beygjum.
- Skjár virkur (e. screen unlock) sem hægt er að nota til að meta hvort að verið sé að nýta símann við aksturs.
- GPS gögn eru nýtt til að meta hvert var ekið, hve lengi aksturinn varði og hve hratt var ekið.
Þessir nemar eru nýttir til að búa til heildar akstursskor fyrir hvern viðskiptavin og fimm mismunandi undirskor fyrir mýkt, hraða, truflun, tíma dags og þreytu við akstur. Verna hefur gert samning við breska félagið Floow sem sérhæfir sig í að túlka snjallsíma gögn yfir í akstursskor, en Floow vinnur með mörgum af stærstu tryggingafélögum heims.
Til að tryggja persónuvernd geymir Verna eingöngu mjög afmörkuð akstursgögn í sínum kerfum, þ.e.a.s. heildar akstursskor viðskiptavina og heildar undirskor viðskiptavina (sbr. mýkt, hraði, truflun, tími dags og þreytu við akstur). Verna tekur hvorki á móti né geymir gögn í sínum kerfum um einstaka ferðir viðskiptavina (sbr. skor hverrar ferðar, hvað olli lágu eða háu skori né kortagögn sem sýna hvar var keyrt) en þau gögn verða geymd á persónugreinanlegu formi í símum viðskiptavina.
Til að tryggja þennan aðskilnað er samstarfinu við Floow stillt upp með þeim hætti að Verna óskar eftir að nýtt ópersónugreinanlegt auðkenni sé stofnað í hvert sinn sem nýr viðskiptavinur kemur í viðskipti til Verna. Verna lætur Floow ekki fá neinar persónugreinanlegar upplýsingar í því ferli. Verna miðlar Floow ópersónugreinanlega auðkenni til síma viðskiptavinarins í gegnum Verna smáforritið. Smáforrit Verna miðlar því næst ferðum til Floow í gegnum dulkóðuð fjarskipti ásamt ópersónugreinanlega auðkenninu. Sími viðskiptavinar sækir í framhaldinu unnin akstursgögn beint til Floow og nýtir aftur til þess ópersónugreinanlega auðkennið. Í framhaldinu skilar Floow jafnframt á hverjum tíma til Verna heildar- og undirskorum fyrir hvert ópersónugreinanlega auðkenni ásamt fjölda ferða, samanlagt magn ekinna km og samanlagðan aksturstíma allra ferða. Þannig er tryggt að Floow viti aldrei hver sé eigandi símtækisins og að Verna geymi eingöngu heildarskor, heildar undirskorin, fjöldi ferða, samanlagðan aksturstíma, og samanlagðan fjölda ekinna km fyrir hvern viðskiptavin í sínum kerfum. Verna geymir ekki akstursgögn um einstaka ferðir, s.s. hraða, mýkt, tíma dags, þreytu við akstur, truflun, akstursviðburði ferðar eða kort af hverri ferð.
Persónuvernd viðskiptavina er enn fremur tryggð með því að leyfa viðskiptavinum í 48 tíma frá því að ferð var tekin að eyða út einstaka ferðum. Ef viðskiptavinur er kerfisbundið að eyða út slæmum ferðum að þá mun Floow flagga því sérstaklega gagnvart Verna en slík hegðun gæti leitt til hækkunar á áhættumati á viðkomandi viðskiptavini.
Verna mun ekki nýta akstursgögnin fyrir sakarmat vegna óhappa sem viðskiptavinir lenda í. Aðskilnaður hlutverka á milli Verna og Floow tryggir að félagið geti í raun ekki nýtt sér akstursgögnin til að meta ábyrgð viðskiptavina í einstaka atvikum.
Verna geymir heldur engin gögn í sínum kerfum um hvort að umferðarlög hafi verið brotin. Þannig mælir hraðaskorið sem viðskiptavinur fær fyrir hverja ferð t.a.m. ekki hvort að viðskiptavinur hafi keyrt yfir hámarkshraða heldur mælir það svo kallaðan umhverfishraða, þ.e.a.s. keyrði viðkomandi viðskiptavinur tiltekinn vegarbút miklu hraðar eða hægar en aðrir ökumenn óku sama vegarbút að jafnaði. Þannig getur mjög hægur akstur skapa mikla hættu í umferðinni eins og mjög hraður akstur.
Verna er vinnsluaðili TM í tengslum við framangreinda vinnslu.
Tölvupóstssamskipti og netspjall
Við notum m.a. tölvupóst til að eiga í samskiptum við viðskiptavini og aðra tengiliði og söfnum í þeim tilgangi tengiliðaupplýsingum ásamt samskiptunum sjálfum. Verna býður einnig upp á netspjall við viðskiptavini í gegnum smáforrit og heimasíðu félagsins og safnar Verna þá tengiliða upplýsingum og samskiptunum sjálfum.
Verna kann að vera annað hvort vinnsluaðili TM eða ábyrgðaraðili í tengslum við framangreinda vinnslu, eftir því hvort samskiptin snúa að framkvæmd vátryggingasamnings eða ekki.
Samningar
Í þeim tilgangi að gera samninga við viðsemjendur, söfnum við grunnupplýsingum um þá.
Verna kann að vera annað hvort vinnsluaðili TM eða ábyrgðaraðili í tengslum við framangreinda vinnslu, eftir því hvort um sé að ræða vátryggingasamning eða ekki.
Reikningagerð
Í þeim tilgangi að senda út reikninga og innheimta greiðslur, söfnum við grunnupplýsingum um viðskiptamenn ásamt reikningsupphæð.
Verna kann að vera annað hvort vinnsluaðili TM eða ábyrgðaraðili í tengslum við framangreinda vinnslu, eftir því hvort hún snýr að framkvæmd vátryggingasamnings eða ekki.
Viðskiptamannaskrá
Í þeim tilgangi að halda skrá um núverandi og fyrrverandi viðskiptavini okkar ásamt viðskiptasögu, söfnum við grunnupplýsingum um þá.
Að auki safnar fyrirtækið myndefni úr eftirlitsmyndavélum þar sem finna má persónuupplýsingar.
Verna kann að vera annað hvort vinnsluaðili TM eða ábyrgðaraðili í tengslum við framangreinda vinnslu, eftir því hvort hún snýr að framkvæmd vátryggingasamnings eða ekki.
Frá hverjum safnar Verna upplýsingum um þig?
Verna safnar að meginstefnu til persónuupplýsingum beint frá þeim einstaklingum sem um ræðir, s.s við tryggingartöku og tilkynningu tjóns. Félagið styðst einnig við opinberar skrár og upplýsingar frá stjórnvöldum í vinnslu sinni. Verna nýtir sér eftirfarandi gagnaþjónustur:
Þjóðskrá
Við tilboðsgerð aflar Verna upplýsinga úr þjóðskrá til að staðreyna nafn, kennitölu, fjölskylduaðstæður og heimilisfang viðkomandi viðskiptavinar.
Ökutækjaskrá
Samgöngustofa er ábyrgðaraðili ökutækjaskrá en Verna hefur gert vinnslusamning við stofnunina sem gerir félaginu kleift að fletta upp í henni kjósi viðskiptavinur að kaupa eða óska eftir tilboði í tryggingu hjá Verna. Við tilboðsgerð aflar Verna m.a. eftirfarandi upplýsinga í ökutækjaskrá:
- Kannað er hvort að skráningarnúmer ökutækis sé rétt.
- Kannað er viðkomandi viðskiptavinur sé skráður eigandi, meðeigandi eða umráða- maður ökutækis.
- Kannað hvort að eigandi/meðeigandi/umráðamaður ökutækis sé með gilt ökuskírteini og hvenær það komi næst til endurnýjunar.
- Sóttar eru ýmsar tæknilegar upplýsingar um ökutækið, m.a. gerð, vélarstærð, litur ökutækis og aldur.
- Kannað er hvort að ökutækið hafi lenti í tjóni.
- Kannað er hvort að ökutækinu hafi verið breytt.
- Hvenær ökutækið var síðast skoða og/eða hvenær ökutækið eigi að fara í skoðun.
Verna miðlar janframt upplýsingum til Samgöngustofu ef ökutækið lendir í tjóni. Jafnframt ber Verna sem vinnsluaðila að halda skrá og varðveita í tvö ár upplýsingar sem veittar eru úr ökutækjaskrá, rafrænan uppruna fyrirspurna, nafn þess er fær upplýsingarnar, þau atriði sem leitað er eftir og þær upplýsingar sem birtast í niðurstöðu.
Bílabankinn
Á vegum Alþjóðlegra bifreiðatryggingá á Íslandi (ABÍ), er rekinn gagnabanki, sem kallast bílabanki, yfir ökutækjatryggingar sem heldur utan um hjá hvaða tryggingafélagi ökutæki séu vátryggð. Bílabankinn er nýttur til að tryggja eðlilegan flutning á vátryggingavernd frá einu tryggingafélagi til annars þegar viðskiptavinir kjósa að skipta um tryggingafélag.
Verna kannar í bílabankanum hjá hverjum ökutæki sé tryggt þegar tilboð er gert í nýja tryggingu. Verna sendir jafnframt gögn inn í bílabankann um að eigandi ökutækis hafi gert samning við Verna um að kaupa ökutækjatryggingu í gefnum félagið og að vátryggingaverndin flytjist frá núverandi vátryggjanda yfir á TM frá og með tiltekinni dagsetningu. Að því gefnu að engar frekari skuldbindingar séu útistandandi hjá upprunalega vátryggjandanum er tryggingin flutt til Verna við þar næstu mánaðarmót.
Tjónagrunnur
Creditinfo rekur samkvæmt heimild Persónuverndar sameiginlegan gagnagrunn fyrir skaðatryggingar á Íslandi, en tilgangur tjónagrunnsins er að koma í veg fyrir tryggingasvik og ofgreiðslu bóta.
Verna sem umboðsaðili TM skráir gögn beint í tjónagrunninn og er ábyrgðaraðili þeirra gagna sem félagið skráir í grunninn en Creditinfo er vinnsluaðili gagnanna.
Eftirfarandi upplýsingar eru skráðar í tjónagrunninn:
- Nafn vátryggingafélags.
- Fastanúmer ökutækis.
- Kennitala tjónþola.
- Númer máls hjá félagi.
- Tegund vátryggingar.
- Tegund tjóns.
- Dagsetning tjóns.
- Dagsetning skráningar í tjónagrunn.
- Staðsetning tjóns.
- Einkvæmt númer hins tryggða s.s. skráningarnúmer ökutækis o.fl.
Óheimilt er að skrá í tjónagrunn upplýsingar um einstök heilsufarsleg atriði í tengslum við líkamstjón.
CABAS tjónamatskerfi
CABAS er tjónamatskerfi sem tryggingafélög og bílaverkstæði nýta til að miðla upplýsingum sín á milli um mat og þjónustu á tjónuðum ökutækjum. Kerfið er í eigu sænska félagsins CAB Group AB.
Eftirfarandi upplýsingar eru m.a. skráðar í CABAS tjónamatskerfið:
- Skráningarnúmer ökutækis
- Nafn vátryggingafélags
- Kennitala tjónþola og eiganda ökutækis
- Númer máls hjá vátryggingafélagi
- Tegund vátryggingar
- Dagsetning skráningar í kerfið
- Umfang tjóns á ökutæki
- Heimild vátryggingarfélags fyrir viðgerð á ökutæki
- Áætlaður og raunkostnaður við viðgerð á ökutæki
- Upplýsingar um framgang og stöðu viðgerðar ökutækis
- Sjálfsábyrgð viðskiptavinar
Verna skráir gögn beint í tjónagrunninn og er ábyrgðaraðili þeirra gagna sem félagið skráir í grunninn en Creditinfo er vinnsluaðili gagnanna.
Rafræn auðkenning og undirritun
Verna nýtir þjónustur frá Dokobit til að rafrænt auðkenna viðskiptavini og við rafræna undirritun skjala. Í grunninn eru rafræna skilríki viðskiptavina nýtt til að staðfesta hver viðskiptavinurinn sé við innskráningu inn í smáforrit félagsins og við undirritun skjala. Rafræn skilríki eru persónuskilríki sem notuð eru í rafrænum heimi. Það að auðkenna sig með rafrænum skilríkjum á netinu jafngildir því að framvísa persónuskilríkjum. Rafræn skilríki er hægt að nota til fullgildrar undirritunar og jafngildir hún eigin undirritun.
Aðrir þjónustuveitendur
Í gegnum smáforrit félagsins býður Verna viðskiptavinum að nýta sér ýmsa virðisaukandi þjónustu, meðal annars að greiða fyrir bílastæði. Kjósi viðskiptavinur að nýta sér þjónustuna gæti Verna þurft að miðla persónugreinanlegum upplýsingum, m.a. nafni, kennitölu og skráningarnúmer ökutækis. Verna er ábyrgðaraðili þeirra gagna sem er miðla til slíkra þjónustuaðila sem flokkast sem vinnsluaðilar persónugreinanlegra upplýsinga. Allir slíkir vinnsluaðilar undirrita vinnslusamning við Verna og undirrita trúnaðaryfirlýsingu um verndun persónugreinanlegra upplýsinga sem þeim berast vegna veitingu þjónustu til viðskiptavina Verna.
Þegar og ef upplýsingum er safnað frá öðrum þriðju aðilum reynir fyrirtækið eftir fremsta megni að upplýsa viðkomandi um það.
Trúnaður og vernd upplýsinga
Verna leitast við að gæta ýtrasta öryggis í meðferð persónuupplýsinga. Starfsmenn Verna undirrita trúnaðaryfirlýsingu vegna starfa sinna hjá félagsins og eru bundnir trúnaði um vitneskju og störf sín hjá Verna. Trúnaðarskyldan hvílir á starfsmönnum jafnvel þótt þeir láti af störfum hjá Verna. Brot á trúnaði varða brottrekstri og kann slíkum málum að vera vísað til lögreglu. Verna er ábyrgt fyrir meðferð þinna persónuupplýsinga og einsetur sér að framfylgja reglum um vernd og öryggi upplýsinganna. Sérfræðingar á vegum Verna hafa eftirlit með því að gögn viðskiptavina Verna séu örugglega varin og komist ekki í hendur annarra en þeirra sem þurfa að vinna með þau. Aðgengi gagna er sérstaklega aðgangsstýrt þannig að starfsmenn hafi eingöngu aðgang að þeim gögnum sem nauðsynleg eru til að þeir geti sinnt sínum störfum hjá Verna.
Hvenær miðlar Verna þínum persónuupplýsingum til þriðju aðila og af hverju?
Verna miðlar persónuupplýsingum til þriðju aðila sem ráðnir eru af fyrirtækinu til að vinna fyrir fram ákveðna vinnu, svo sem þjónustuveitenda, umboðsmanna eða verktaka. Í þeim tilfellum gerir Verna vinnslusamning við viðkomandi aðila. Slíkur samningur kveður meðal annars á um skyldu hans til að fylgja fyrirmælum fyrirtækisins um meðferð persónuupplýsinga og er honum óheimilt að nota þær í öðrum tilgangi. Jafnframt ber honum skylda til að tryggja öryggi upplýsinganna með viðeigandi hætti.
Í öðrum tilvikum getur einnig verið nauðsynlegt fyrir fyrirtækið að miðla persónuupplýsingum til þriðju aðila, til dæmis þegar skylda stendur til þess samkvæmt lögum.
Flutningur persónuupplýsinga út fyrir Evrópska efnahagssvæðið
Verna er kunnugt um að ströng skilyrði gilda um flutning persónuupplýsinga til ríkja sem staðsett eru utan Evrópska efnahagssvæðisins. Verna gerir það ekki undir neinum kringumstæðum nema fullnægjandi heimild standi til þess samkvæmt lögum um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018.
Réttindi einstaklinga
Hafi einstaklingar veitt samþykki fyrir vinnslu tiltekinna persónuupplýsinga eiga þeir rétt samkvæmt lögum um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018 að afturkalla samþykki sitt hvenær sem er. Sá réttur hefur þó ekki áhrif á lögmæti þeirrar vinnslu sem fram fór áður en samþykki var afturkallað. Þá njóta þeir einnig annarra réttinda, svo sem réttar til að vera upplýstir um vinnslu, réttar til aðgangs að gögnum, réttar til að fá rangar eða villandi upplýsingar leiðréttar, réttar til að persónuupplýsingum verði eytt, réttar til að hindra að unnið verði með persónuupplýsingar um þá og réttar til að flytja eigin upplýsingar. Hafa skal í huga að réttindi einstaklinga eru ekki alltaf fortakslaus og kunna að vera háð ýmsum skilyrðum.
Samskiptaupplýsingar Verna
Nafn: Verna MGA ehf.
Heimilisfang: Ármúla 13, 108 Reykjavík.
Netfang: verna@verna.is
Sími: 449 7700
Frekari upplýsingar og persónuverndarfulltrúi
Hafi einstaklingar frekari spurningar um persónuverndaryfirlýsingu þessa geta þeir ávallt haft samband við persónuverndarfulltrúa Verna:
Nafn: Dattaca Labs Iceland ehf.
Heimilisfang: Kalkofnsvegur 2, 101 Reykjavík.
Netfang: dpo@dattacalabs.com.
Símanúmer: 517 3444.
Réttur til að leggja fram kvörtun hjá persónuvernd
Dragir þú í efa að Verna meðhöndli persónuupplýsingar þínar í samræmi við lög um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018 hefur þú rétt til að leggja fram kvörtun hjá Persónuvernd.
Endurskoðun á þessari persónuverndaryfirlýsingu
Persónuverndaryfirlýsing þessi getur frá einum tíma til annars tekið breytingum í samræmi við breytingar á viðeigandi lögum og reglugerðum eða ef breytingar verða gerðar á því hvernig Verna vinnur með persónuupplýsingar. Verði breytingar gerðar á persónuverndaryfirlýsingu þessari verður tilkynnt um slíkt á heimasíðu fyrirtækisins www.verna.is
Eftir að breytingar hafa verið gerðar á persónuverndaryfirlýsingu taka þær gildi þegar uppfærð útgáfa hefur verið birt.
Síðast uppfært í apríl 2022.