LB Forsikring A/S (herefter "LB") og AXA Forsikring Formidler A/S (herefter "AXA") har indgået en samarbejdsaftale om levering af erhvervsforsikringer til erhvervskunder.
I den forbindelse er LB og AXA fælles dataansvarlige for den behandling af personoplysninger, der finder sted i den afgrænsede del af it-systemet IBSuite, som både LB og AXA har adgang til. Parterne har som følge heraf indgået en aftale om fælles dataansvar.
Efter GDPR artikel 26, stk. 2, 2. pkt., skal parterne til en aftale om fælles dataansvar gøre det væsentligste indhold af denne aftale tilgængelig for de registrerede.
Nedenfor følger en beskrivelse af det væsentligste indhold af aftalen om fælles dataansvar mellem LB og AXA.
I samarbejdet er LB i sin egenskab af forsikringsdistributør ansvarlig for at distribuere erhvervsforsikringer til erhvervskunder på vegne af AXA Forsikring, filial af AXA Versicherung AG som forsikringsgiver og også på vegne af andre forsikringsgivere som fx HDI Global Specialty, filial af HDI Global Specialty SE (herefter ”HDI”) og ROLAND Rechtschutz-Versicherungs AG (herefter ”ROLAND”). I den forbindelse er LB overordnet den ansvarlige for kontakten til kunderne i relation til salg, indgåelse samt administration af aftalerne. Når AXA Forsikring, filial af AXA Versicherung AG er forsikringsgiver, er AXA navnlig ansvarlig for produktudvikling, skadesbehandling/udbetaling og præmieopkrævning, mens ved andre forsikringsgivere, som fx HDI og ROLAND, er AXA navnlig ansvarlig for præmieopkrævning.
LB er derfor generelt ansvarlig for og foretager alle behandlingsaktiviteter, der vedrører:
AXA er derfor generelt ansvarlig for og foretager alle behandlingsaktiviteter, der vedrører:
På baggrund heraf skal LB og AXA som udgangspunkt sikre overholdelsen af kravene i GDPR for så vidt angår behandlingsaktiviteterne, som henholdsvis LB og AXA er ansvarlige for og foretager, medmindre andet følger af pkt. 3 eller 4 nedenfor i denne beskrivelse.
3.1 LB
LB er i medfør af aftalen om fælles dataansvar forpligtet til at iagttage følgende krav i henhold til GDPR:
3.2 AXA
AXA er i medfør af aftalen om fælles dataansvar forpligtet til at iagttage følgende krav i henhold til GDPR:
LB er - som den part, der har kundekontakten - ansvarlig for at sikre, at der er et gyldigt behandlingsgrundlag, og for at kunne påvise dette.
LB og AXA er hver især ansvarlige for at overholde principperne i artikel 5 for behandling af personoplysninger, i det omfang reglerne finder anvendelse på ansvarsområderne for LB og AXA ifølge aftalen om fælles dataansvar.
4.2 De registreredes rettigheder
LB er ansvarlig for at udføre følgende opgaver:
4.3 Behandlingssikkerhed og dokumentation for overholdelse af GDPR
LB og AXA er hver især ansvarlige for:
4.4 Anvendelse af databehandlere og underdatabehandlere
LB og AXA er berettiget til at bruge databehandlere og/eller eventuelle underdatabehandlere i tilknytning til den fælles behandling, og parterne er hver især ansvarlige for at overholde kravene i GDPR artikel 28 og 32.
4.5 Fortegnelser over behandlingsaktiviteter
LB og AXA er hver især ansvarlige for at iagttage kravet i henhold til GDPR artikel 30 om fortegnelser over behandlingsaktiviteter.
4.6 Anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden
LB og AXA er begge ansvarlige for iagttagelsen af GDPR artikel 33 vedrørende anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden.
Hvis et brud på persondatasikkerheden er forårsaget af en ansat hos enten LB eller AXA, er den pågældende af LB eller AXA ansvarlig for at anmelde bruddet til tilsynsmyndigheden.
Hvis et brud på persondatasikkerheden er relateret til anvendelsen af databehandlere/underdatabehandlere, er den af LB eller AXA, der er ansvarlig for anvendelsen af databehandleren/underdatabehandleren, som har bruddet, ansvarlig for at underrette den anden part om bruddet og anmelde bruddet til tilsynsmyndigheden.
4.7 Underretning om brud på persondatasikkerheden til den registrerede
LB og AXA er begge ansvarlige for iagttagelsen af GDPR artikel 34 vedrørende underretning om brud på persondatasikkerheden til den registrerede.
Den af LB eller AXA, som er ansvarlig for at anmelde bruddet til tilsynsmyndigheden, er også ansvarlig for at underrette den registrerede om bruddet.
4.8 Konsekvensanalyse vedrørende databeskyttelse og forudgående høring
LB og AXA er begge ansvarlige for:
4.9 Overførsel af personoplysninger til tredjelande eller internationale organisationer
LB og AXA kan hver især træffe afgørelse om, at der kan ske overførsel af personoplysninger til tredjelande eller internationale organisationer.
Den pågældende part er ansvarlig for iagttagelsen af kravene i GDPR kapitel V, hvis der sker overførsel af personoplysninger til tredjelande eller internationale organisationer.
4.10 Klager
LB og AXA er hver især ansvarlige for håndteringen af eventuelle klager fra registrerede, hvis klagerne handler om overtrædelser af bestemmelser i GDPR, som LB eller AXA er ansvarlig for i henhold til aftalen om fælles dataansvar.
Hvis du har spørgsmål til aftalen om fælles dataansvar, er du velkommen til at kontakte LB Forsikring eller AXA på:
LB Forsikring A/S
Amerika Plads 15
2100 København Ø
CVR nr. 16 50 08 36
E-mail: persondata@lb.dk
Telefon: +45 33 11 77 55
AXA Forsikring Formidler A/S
Dalbergstrøget 9
2630 Taastrup
CVR nr. 73 77 19 19
E-mail: info@axa-forsikring.dk
Telefon: + 45 33 12 62 62
Januar 2024