Personvernerklæring

1. Behandlingsansvarlig

Myre & Partnere AS er behandlingsansvarlig for behandlingen av personopplysninger som beskrevet i denne erklæringen. Det betyr at vi er ansvarlige for å bestemme formålet med behandlingen og hvilke midler som benyttes.

For spørsmål om personvern eller utøvelse av dine rettigheter, bruk e-postadressen ovenfor. Vi har vurdert kravene i GDPR art. 37 og er ikke pliktige til å oppnevne personvernombud, men har utpekt en intern personvernkontakt som besvarer henvendelser.

2. Hvilke personopplysninger behandler vi?

Vi samler inn og behandler følgende kategorier av personopplysninger:

• Kontaktopplysninger: Navn, adresse, telefonnummer, e-postadresse
• Identifikasjonsopplysninger: Fødselsnummer eller D-nummer (se punkt 4 om særskilt grunnlag)
• Forsikringsopplysninger: Informasjon om eksisterende og nye forsikringsavtaler, skadehistorikk, forsikringsbehov og risikoopplysninger
• Økonomisk informasjon: Opplysninger som er nødvendige for beregning av forsikringspremier og oppfyllelse av hvitvaskingsloven
• Kommunikasjonsdata: Innhold i e-post, telefonsamtaler og annen korrespondanse med oss
• Bedriftsinformasjon: For sameier, borettslag og bedriftskunder – organisasjonsnummer, virksomhetstype, kontaktpersoner og relevante forsikringsopplysninger
• Tekniske data: IP-adresse og bruksdata fra vår nettside (se punkt 10 om informasjonskapsler)

3. Hvor henter vi opplysningene fra?

Vi samler inn personopplysninger fra følgende kilder:

• Direkte fra deg – når du tar kontakt med oss, fyller ut kontaktskjema, inngår avtale eller på annen måte oppgir opplysninger til oss
• Storebrand Forsikring AS – som vi formidler forsikringer på vegne av, og som vi utveksler kundeopplysninger med i forbindelse med tegning og oppfølging av forsikringsavtaler
• Offentlige registre – som Folkeregisteret, Brønnøysundregistrene og andre offentlig tilgjengelige kilder, for å verifisere identitet og bedriftsinformasjon
• Andre forsikringsselskaper – ved overføring av forsikringsavtaler, dersom du har gitt samtykke til dette

4. Formål og rettslig grunnlag

Vi behandler personopplysninger for følgende formål:

Om fødselsnummer: Fødselsnummer behandles kun når det er saklig behov for sikker identifisering, og metoden er nødvendig for å oppnå slik identifisering, jf. personopplysningsloven § 12. Dette er nødvendig blant annet for å tegne forsikring, oppfylle krav i hvitvaskingsloven og kommunisere med Storebrand om kundeforhold.

Om berettiget interesse: Der vi benytter berettiget interesse som grunnlag, har vi vurdert at vår interesse i å behandle opplysningene veier tyngre enn ulempene for deg som registrert. Du kan når som helst kontakte oss for å få innsyn i disse vurderingene, og du har rett til å protestere mot slik behandling (se punkt 8).

5. Automatiserte avgjørelser og profilering

Vi tar ikke avgjørelser som utelukkende er basert på automatisert behandling, herunder profilering, som har rettslige virkninger eller på tilsvarende måte i betydelig grad påvirker deg. Endelig vurdering av forsikringssøknader og rådgivning gjøres av våre rådgivere. Storebrand som forsikringsleverandør kan benytte automatiserte verktøy i sin egen behandling – se Storebrands personvernerklæring for informasjon om dette.

6. Hvem deler vi opplysninger med?

Personopplysninger kan bli delt med følgende mottakere:

• Storebrand Forsikring AS – for tegning, administrasjon og oppfølging av forsikringsavtaler. Storebrand er selvstendig behandlingsansvarlig for sin behandling av personopplysninger knyttet til forsikringsavtalene.
• Offentlige myndigheter – når vi er rettslig forpliktet til det, herunder Finanstilsynet, Skatteetaten og Økokrim (ved mistanke om hvitvasking)
• IT- og systemleverandører – som leverer drift, lagring, e-post og fagsystemer på vegne av oss

Vi har inngått databehandleravtaler med alle våre databehandlere for å sikre at personopplysninger behandles i tråd med personvernregelverket.

7. Overføring til land utenfor EØS

Hovedregelen er at vi lagrer og behandler personopplysninger innenfor EU/EØS-området. Enkelte av våre IT- og systemleverandører kan imidlertid være etablert i, eller benytte underleverandører i, land utenfor EØS – typisk USA. Ved slik overføring benytter vi ett av følgende overføringsgrunnlag etter GDPR kapittel V:

• EU-kommisjonens standard personvernbestemmelser (Standard Contractual Clauses)
• EU-kommisjonens adekvansbeslutning (f.eks. EU-US Data Privacy Framework for sertifiserte amerikanske leverandører)

Du kan kontakte oss på jan.oyvind.nevestad@storebrand.no for å få mer informasjon om hvilke overføringer som skjer og hvilke garantier som er etablert.

8. Dine rettigheter

Du har følgende rettigheter etter personvernregelverket:

• Rett til innsyn (art. 15) – Du kan be om å få vite hvilke personopplysninger vi har registrert om deg, og få en kopi av disse
• Rett til retting (art. 16) – Du kan be om at uriktige eller ufullstendige opplysninger rettes
• Rett til sletting (art. 17) – Du kan i visse tilfeller be om at opplysninger slettes. Vær oppmerksom på at vi kan være rettslig forpliktet til å oppbevare visse opplysninger (se punkt 9).
• Rett til begrensning (art. 18) – Du kan be om at behandlingen begrenses i bestemte situasjoner
• Rett til dataportabilitet (art. 20) – Du kan be om å få utlevert opplysningene du selv har gitt oss i et maskinlesbart format
• Rett til å protestere (art. 21) – Du kan protestere mot behandling som er basert på berettiget interesse, herunder direkte markedsføring
• Rett til å trekke tilbake samtykke (art. 7) – Der behandling er basert på samtykke, kan du når som helst trekke samtykket tilbake. Dette påvirker ikke lovligheten av behandling som er gjort før samtykket ble trukket.

For å benytte deg av rettighetene dine, kontakt oss på jan.oyvind.nevestad@storebrand.no. Vi vil svare på henvendelsen din uten ugrunnet opphold, og senest innen 30 dager. Vi kan be om legitimasjon for å bekrefte din identitet før vi gir ut opplysninger.

9. Lagringstid

Vi lagrer personopplysninger bare så lenge det er nødvendig for formålet de ble samlet inn for, eller så lenge vi er pålagt å lagre dem etter lov:

• Forsikringsdokumentasjon: Inntil 10 år etter at forsikringsforholdet er avsluttet, i henhold til forsikringsformidlingsloven og foreldelsesloven
• Regnskapsmateriale: 5 år etter regnskapsårets slutt, jf. bokføringsloven
• Dokumentasjon etter hvitvaskingsloven: 5 år etter at kundeforholdet er avsluttet, jf. hvitvaskingsloven § 30
• Henvendelser via kontaktskjema og e-post (uten kundeforhold): Inntil 12 måneder, deretter slettes de
• Markedsføringssamtykker: Inntil samtykket trekkes tilbake, eller du protesterer mot behandlingen

10. Informasjonskapsler (cookies)

Vår nettside bruker informasjonskapsler for å sikre at nettsiden fungerer og for å analysere bruksmønstre. En informasjonskapsel er en liten tekstfil som lagres i nettleseren din.

Vi bruker følgende typer informasjonskapsler:

• Nødvendige informasjonskapsler – Kreves for at nettsiden skal fungere. Disse settes uten samtykke, jf. ekomloven § 2-7b.
• Analyse- og statistikkverktøy – Brukes for å forstå hvordan besøkende bruker nettsiden. Settes kun etter ditt samtykke.
• Markedsføring – Brukes for å vise relevant innhold og annonser. Settes kun etter ditt samtykke.

Du gir samtykke til ikke-nødvendige informasjonskapsler via samtykkebanneret som vises første gang du besøker nettsiden. Du kan når som helst endre eller trekke tilbake samtykket ditt via innstillingene i nettleseren din eller ved å nullstille samtykket på vår nettside.

11. Sikkerhet

Vi har iverksatt tekniske og organisatoriske tiltak for å beskytte personopplysningene dine mot uautorisert tilgang, endring, spredning eller sletting. Tiltakene inkluderer blant annet:

• Kryptering av data ved overføring (TLS) og lagring der det er hensiktsmessig
• Tilgangsstyring basert på rolle og tjenstlig behov
• Logging av tilgang til systemer med personopplysninger
• Toveis autentisering for kritiske systemer
• Jevnlige sikkerhetsoppdateringer av programvare og infrastruktur
• Interne rutiner for håndtering av personopplysninger og opplæring av ansatte
• Avtaler om taushetsplikt med ansatte og databehandlere

Dersom det skulle oppstå et brudd på personopplysningssikkerheten som medfører risiko for dine rettigheter og friheter, vil vi varsle Datatilsynet innen 72 timer, og deg direkte når kravene i GDPR art. 34 er oppfylt.

12. Klagerett

Dersom du mener at vi behandler personopplysninger i strid med personvernregelverket, oppfordrer vi deg til først å ta kontakt med oss. Du har også rett til å klage til Datatilsynet:

13. Endringer i personvernerklæringen

Vi kan oppdatere denne personvernerklæringen ved behov, for eksempel ved endringer i regelverk eller i hvordan vi behandler personopplysninger. Gjeldende versjon er alltid tilgjengelig på vår nettside, med dato for siste oppdatering øverst. Ved vesentlige endringer vil vi informere om dette på vår nettside, og der det er aktuelt direkte til berørte registrerte.