É«¶à¶àÊÓƵ

Privacy Notice

Read in Polish

Read in English

Informacja o ochronie prywatności w zakresie wykorzystywania danych osobowych

W niniejszej informacji informujemy PaÅ„stwa o przetwarzaniu PaÅ„stwa danych osobowych przez É«¶à¶àÊÓƵoraz o PaÅ„stwa prawach wynikajÄ…cych z przepisów o ochronie danych osobowych.

Informacja ta dotyczy również osoby ubezpieczonej. JeÅ›li ubezpieczony nie jest ubezpieczajÄ…cym, wówczas ubezpieczajÄ…cy przekaże tÄ™ informacjÄ™ ubezpieczonemu.

Ponadto informacje te odnoszÄ… siÄ™ również do upoważnionych osób trzecich (np. przedstawicieli ustawowych, upoważnionych przedstawicieli itp.), którym (potencjalny) klient przekaże te informacje.

Administrator danych przetwarzajÄ…cy dane

XL Catlin Services SE
É«¶à¶àÊÓƵ– A Division of AXA

8 St Stephen's Green
Dublin 2
D02 VK30
Irlandia

Tel.: +353 1 607 5300
Fax: +353 1 607 5333

Z naszym inspektorem ds. ochrony danych można skontaktować siÄ™ pocztÄ… na adres podany w dokumencie z dopiskiem „- DPO -” lub pocztÄ… elektronicznÄ… pod adresem: dataprivacy@axaxl.com.

Cele i podstawy prawne przetwarzania danych

Przetwarzamy PaÅ„stwa dane osobowe zgodnie z ogólnym rozporzÄ…dzeniem o ochronie danych osobowych (RODO), polskÄ… ustawÄ… o ochronie danych osobowych (USTAWA z dnia 10 maja 2018 r. o ochronie danych osobowych), odpowiednimi przepisami o ochronie danych osobowych zawartymi w polskiej ordynacji podatkowej i ustawie o rachunkowoÅ›ci oraz innymi obowiÄ…zujÄ…cymi przepisami prawa.

W przypadku ubiegania siÄ™ o ochronÄ™ ubezpieczeniowÄ… lub zapytania ofertowego, wymagamy informacji, które podajÄ… PaÅ„stwo, aby móc zawrzeć z PaÅ„stwem umowÄ™ i ocenić ryzyko, które akceptujemy. W przypadku zawarcia umowy ubezpieczeniowej przetwarzamy dane w celu realizacji umowy, np. w celu wystawienia polisy lub wystawienia faktury. W celu ustalenia zasadnoÅ›ci roszczenia i ustalenia jego wysokoÅ›ci prosimy o podanie informacji o roszczeniach.

Zawarcie lub wykonanie umowy ubezpieczeniowej, jak również rozpatrzenie roszczenia, nie sÄ… ³¾´Çż±ô¾±·É±ð bez przetwarzania PaÅ„stwa danych osobowych. PaÅ„stwa dane osobowe sÄ… nam również potrzebne do celów zwiÄ…zanych z zapytaniem ofertowym.

Wymagamy również PaÅ„stwa danych osobowych w celu wykorzystywania ich do tworzenia statystyk specyficznych dla branży ubezpieczeniowej, na przykÅ‚ad w celu opracowania nowych modeli cenowych lub speÅ‚nienia wymogów prawnych. Dane zawarte we wszystkich umowach zawieranych z firmÄ… AXA wykorzystujemy do przeglÄ…du caÅ‚ej relacji z klientami, np. w celu doradzania w zakresie zmian polityki, uzupeÅ‚nieÅ„, decyzji dotyczÄ…cych dobrej woli lub w celu dostarczenia kompletnych informacji.

Podstawy przetwarzania danych osobowych do celów przedumownych i umownych oraz przetwarzania roszczeÅ„ sÄ… okreÅ›lone w art. 6 ust. 1 lit. (b) RODO. Jeżeli w tym celu wymagane sÄ… specjalne kategorie danych osobowych (np. dane o stanie zdrowia), uzyskamy PaÅ„stwa zgodÄ™ zgodnie z art. 9 ust. 2 lit. (a) w zwiÄ…zku z art. 7 RODO.

Ponadto przetwarzamy PaÅ„stwa dane osobowe w celu ochrony naszych uzasadnionych interesów lub interesów osób trzecich. PodstawÄ… prawnÄ… jest art. 6 ust. 1 lit. (f) RODO. Może to być konieczne zwÅ‚aszcza w nastÄ™pujÄ…cych przypadkach:

• aby zagwarantować bezpieczeÅ„stwo informatyczne i operacji informatycznych, w tym testów (jeżeli nie sÄ… one wymagane do wykonania umowy),
• w zakresie marketingu naszych produktów ubezpieczeniowych i innych produktów przez spóÅ‚ki AXA Group i ich partnerów, jak również w zakresie badaÅ„ rynkowych i badaÅ„ opinii publicznej, chyba że sprzeciwili siÄ™ PaÅ„stwo wykorzystaniu swoich danych w tym celu,
• w celu zapobiegania przestÄ™pstwom i ich Å›cigania, chyba że jest to już przedmiotem ustawowego obowiÄ…zku; w szczególnoÅ›ci wykorzystujemy analizÄ™ danych i badania (również w publicznie dostÄ™pnych źródÅ‚ach) w celu wykrycia oznak oszustw ubezpieczeniowych,
• w celu zarzÄ…dzania ryzykiem w ramach É«¶à¶àÊÓƵi AXA Group jako caÅ‚oÅ›ci,
• w celu zarzÄ…dzania przedsiÄ™biorstwem oraz doskonalenia procesów, usÅ‚ug i produktów.

Ponadto przetwarzamy PaÅ„stwa dane osobowe w celu speÅ‚nienia zobowiÄ…zaÅ„ prawnych, takich jak wymogi regulacyjne, okresy przechowywania wymagane przez prawo handlowe i podatkowe lub w celu wypeÅ‚nienia naszych obowiÄ…zków doradczych. PodstawÄ… przetwarzania danych w tym przypadku sÄ… obowiÄ…zujÄ…ce przepisy ustawowe w zwiÄ…zku z art. 6 ust. 1 lit. (c) RODO.

Jeżeli będziemy chcieli przetwarzać Państwa dane osobowe w celu niewymienionym powyżej, poinformujemy Państwa z wyprzedzeniem w zakresie naszych zobowiązań prawnych, w tym zawartych na naszej stronie internetowej /privacy-statement-axa-xl-poland.

Dane i kategorie danych

Przetwarzamy w szczególnoÅ›ci nastÄ™pujÄ…ce dane i kategorie danych:

• Dane gÅ‚ówne i dane dotyczÄ…ce umowy (np. imiÄ™ i nazwisko, adres, dane kontaktowe, stan cywilny, zawód, daty rozpoczÄ™cia i zakoÅ„czenia, szczegóÅ‚y dotyczÄ…ce ryzyka ujÄ™tego ubezpieczeniem)
• Specjalne kategorie danych osobowych (np. dane dotyczÄ…ce zdrowia)
• Informacje o sytuacjach osobistych (np. dane dotyczÄ…ce zdolnoÅ›ci kredytowej, aktywa materialne)
• Dane dotyczÄ…ce PaÅ„stwa roszczeÅ„ i inne dane wynikajÄ…ce z wypeÅ‚nienia naszych zobowiÄ…zaÅ„ prawnych
• PaÅ„stwa dane kontaktowe i dane dotyczÄ…ce obsÅ‚ugi transakcji
• Role osób, których dane dotyczÄ… (np. ubezpieczajÄ…cy, osoba ubezpieczona, poszkodowany, Å›wiadek)
• ±Ê±ðÅ‚²Ô´Ç³¾´Ç³¦²Ô¾±³¦³Ù·É²¹
• Numer ubezpieczenia spoÅ‚ecznego, numer identyfikacji podatkowej
• Dane zainteresowanych stron

Kategorie odbiorców danych osobowych

Reasekuratorzy:

Ryzyka, które akceptujemy, ubezpieczamy u specjalnych towarzystw ubezpieczeniowych (reasekuratorów). Może zaistnieć konieczność przekazania umowy i ewentualnie danych dotyczÄ…cych Å›wiadczenia/roszczenia reasekuratorowi, aby mógÅ‚ on sformuÅ‚ować wÅ‚asnÄ… opiniÄ™ na temat ryzyka lub roszczenia. Możemy również uzyskać poradÄ™ od reasekuratora É«¶à¶àÊÓƵw oparciu o jego szczególnÄ… wiedzÄ™ fachowÄ… w zakresie oceny ryzyka lub Å›wiadczenia lub oceny kwestii proceduralnych. PaÅ„stwa dane przekazujemy reasekuratorowi tylko wtedy, gdy jest to konieczne do wykonania naszej umowy ubezpieczeniowej z PaÅ„stwem, tzn. w zakresie wymaganym do ochrony naszych uzasadnionych interesów.

±Ê´ÇÅ›°ù±ð»å²Ô¾±³¦²â:

W przypadku otrzymania od poÅ›rednika pomocy w zakresie umów ubezpieczeniowych, poÅ›rednik ten przetwarza dane dotyczÄ…ce wniosków, umów i strat wymagane do zawarcia i wykonania umowy. É«¶à¶àÊÓƵprzekazuje te dane również poÅ›rednikom, którzy sÄ… za PaÅ„stwa odpowiedzialni, o ile potrzebujÄ… oni informacji w celu wsparcia i doradztwa PaÅ„stwu w zakresie usÅ‚ug ubezpieczeniowych i finansowych.

D Przetwarzanie danych w ramach AXA Group:

Wyspecjalizowane przedsiÄ™biorstwa lub dziaÅ‚y w ramach naszej grupy kapitaÅ‚owej ponoszÄ… gÅ‚ównÄ… odpowiedzialność za okreÅ›lone zadania zwiÄ…zane z przetwarzaniem danych dla grupy spóÅ‚ek powiÄ…zanych. Jeżeli zawarli PaÅ„stwo umowÄ™ ubezpieczenia z jednÄ… lub kilkoma spóÅ‚kami z naszej grupy, PaÅ„stwa dane mogÄ… być przetwarzane centralnie przez spóÅ‚kÄ™ z grupy, na przykÅ‚ad w celu centralnego zarzÄ…dzania danymi adresowymi, telefonicznej obsÅ‚ugi klienta, przetwarzania umów i Å›wiadczeÅ„/roszczeÅ„, gromadzenia/rozliczania lub centralnego przetwarzania poczty. SpóÅ‚ki AXA uczestniczÄ…ce w scentralizowanym przetwarzaniu danych znajdÄ… PaÅ„stwo w zaÅ‚Ä…czonej liÅ›cie dostawców usÅ‚ug. DostÄ™p do odpowiedniej i aktualnej wersji można uzyskać w dowolnym momencie na stronie /. 

Zewnętrzni dostawcy usług:

W niektórych przypadkach korzystamy z usÅ‚ug zewnÄ™trznych usÅ‚ugodawców w celu wywiÄ…zania siÄ™ z naszych zobowiÄ…zaÅ„ umownych i prawnych, jak również w celu realizacji naszych uzasadnionych interesów.

W naszej zaÅ‚Ä…czonej liÅ›cie usÅ‚ugodawców znajdujÄ… siÄ™ ci z naszych usÅ‚ugodawców, którzy nie sÄ… jedynie zaangażowani w tymczasowe stosunki handlowe, jak również inne szczegóÅ‚owe informacje. DostÄ™p do odpowiedniej i aktualnej wersji można uzyskać w dowolnym momencie na stronie /. 

Inni odbiorcy:

Ponadto możemy przekazywać PaÅ„stwa dane osobowe innym odbiorcom, takim jak organy publiczne (np. w zwiÄ…zku z ustawowymi obowiÄ…zkami powiadamiania zakÅ‚adów ubezpieczeÅ„ spoÅ‚ecznych, organów podatkowych lub organów Å›cigania przestÄ™pstw), instytucje kredytowe (np. w celu przetwarzania transakcji pÅ‚atniczych), lekarze lub eksperci (np. w celu zaspokojenia roszczeÅ„ lub oceny ryzyka i zobowiÄ…zaÅ„ usÅ‚ugowych), agencje kredytowe (np. w celu sprawdzenia zdolnoÅ›ci kredytowej i oceny ryzyka) lub prawnicy (np. w celu obrony i egzekwowania roszczeÅ„ prawnych).

Okres przechowywania danych

Usuwamy PaÅ„stwa dane osobowe, gdy tylko nie sÄ… one już potrzebne do celów okreÅ›lonych powyżej. Dane osobowe mogÄ… być przechowywane przez okres, w którym można dochodzić roszczeÅ„ wobec AXA XL. Ustawowe okresy przedawnienia wynoszÄ… od trzech do trzydziestu lat.

Ponadto, jeÅ›li wymaga tego prawo, kontynuujemy przechowywanie PaÅ„stwa danych osobowych. Odpowiednie obowiÄ…zki w zakresie dostarczania dowodów i przechowywania danych sÄ… okreÅ›lone w polskiej ordynacji podatkowej, ustawie o rachunkowoÅ›ci, Kodeksie pracy i innych aktach prawnych. Zgodnie z tymi zapisami okresy przechowywania wynoszÄ… do dziesiÄ™ciu lat. W tym przypadku podstawÄ… prawnÄ… przetwarzania danych sÄ… odpowiednie przepisy ustawowe w zwiÄ…zku z art. 6 ust. 1 lit. c) RODO.

Jeżeli umowa ubezpieczenia nie została zawarta, usuniemy Państwa dane po 6 latach, na koniec ustawowego okresu przechowywania danych.

Prawa osoby, której dane dotyczÄ…

Mogą Państwo skorzystać z następujących praw pod adresem wskazanym w formularzu zgłoszeniowym:

• Potwierdzenie i dostÄ™p do przechowywanych danych osobowych (art. 15 RODO).
• Sprostowanie lub uzupeÅ‚nienie niepoprawnych lub niekompletnych danych (por. także art. 16 RODO);
• Natychmiastowe usuniÄ™cie danych dotyczÄ…cych PaÅ„stwa (art. 17 RODO) lub ograniczenie przetwarzania zgodnie z art. 18 RODO, jeżeli usuniÄ™cie nie jest jeszcze rozpatrywane z przyczyn okreÅ›lonych w art. 17 ust. 3 RODO;
• Przyjmowanie dotyczÄ…cych PaÅ„stwa danych, które zostaÅ‚y przez PaÅ„stwa dostarczone, w ustrukturyzowanym, powszechnie znanym i czytelnym maszynowo formacie, jak również przekazywanie tych danych innym dostawcom/administratorom danych (art. 20 RODO);
• Zażalenie do wymienionych poniżej organów nadzoru, jeÅ›li uważajÄ… PaÅ„stwo, że przetwarzanie PaÅ„stwa danych osobowych narusza którekolwiek z przepisów o ochronie danych (art. 77 RODO).

Prawo do wniesienia sprzeciwu

Mają Państwo prawo sprzeciwić się przetwarzaniu swoich danych osobowych w celach marketingu bezpośredniego.

Jeżeli przetwarzamy PaÅ„stwa dane w celu realizacji naszych uzasadnionych interesów, mogÄ… PaÅ„stwo sprzeciwić siÄ™ takiemu przetwarzaniu z przyczyn zwiÄ…zanych z PaÅ„stwa szczególnÄ… sytuacjÄ…, które stojÄ… w sprzecznoÅ›ci z przetwarzaniem danych.

Organy nadzorcze ds. ochrony danych

Nasze właściwe organy nadzorcze ds. ochrony danych osobowych to:

Jako gÅ‚ówny organ nadzorczy w zakresie ochrony danych w rozumieniu art. 56 ust. 1 RODO:

Data Protection Commission
(An Coimisiún um Chosaint Sonraí)

21 Fitzwilliam Square South
Dublin 2
D02 RD28
Irlandia

a także organ ochrony danych do realizacji zadań i wykonywania kompetencji na terytorium Polski (art. 55 RODO):

UrzÄ…d Ochrony Danych Osobowych (UODO)

ul. Stawki 2

00-193 Warszawa

fax: 22 531-03-01

Zasadniczo można kierować pisemne skargi do obu organów nadzoru. Jednakże skÅ‚adanie skarg do UODO ³¾´Çż±ô¾±·É±ð jest jedynie w jÄ™zyku polskim.

Informacje o ratingu kredytowym i kontrola sankcji

Zastrzegamy sobie prawo do uzyskania informacji kredytowych i sankcji od zewnÄ™trznych usÅ‚ugodawców (np. Infoscore, Dow Jones, Thomson-Reuters, etc.) na podstawie procedur matematyczno-statystycznych. W tym celu PaÅ„stwa dane zostanÄ… przekazane usÅ‚ugodawcy, o ile sÄ… one istotne dla umowy (zazwyczaj imiÄ™, nazwisko i adres). PodstawÄ… prawnÄ… tego przetwarzania jest nasz uzasadniony interes w rzetelnoÅ›ci naszych roszczeÅ„ zgodnie z art. 6 ust. 1 lit. f) RODO a także obowiÄ…zek prawny w rozumieniu art. 6 ust. 1 lit. c) RODO, któremu podlegamy na mocy obowiÄ…zujÄ…cych przepisów dotyczÄ…cych przeciwdziaÅ‚ania praniu pieniÄ™dzy.

Wymiana danych z poprzednim ubezpieczycielem

Aby móc sprawdzić i, jeÅ›li to konieczne, zmienić PaÅ„stwa dane przy zawieraniu umowy ubezpieczenia lub w przypadku zajÅ›cia zdarzenia objÄ™tego ubezpieczeniem, dane osobowe mogÄ… być wymieniane w niezbÄ™dnym zakresie z poprzednim ubezpieczycielem wskazanym przez PaÅ„stwa w formularzu wniosku.

Przekazywanie danych do kraju trzeciego

W przypadku przekazywania danych osobowych spóÅ‚kom AXA i usÅ‚ugodawcom spoza Europejskiego Obszaru Gospodarczego (EOG), przekazanie danych osobowych nastÄ…pi tylko wtedy, gdy Komisja Europejska ustali, że poziom ochrony danych w danym kraju trzecim jest odpowiedni lub istniejÄ… inne odpowiednie zabezpieczenia w zakresie ochrony danych (np. wiążące wewnÄ™trzne przepisy dotyczÄ…ce ochrony danych firm, standardowe klauzule umowne UE lub Tarcza PrywatnoÅ›ci UE-USA). O szczegóÅ‚owe informacje na ten temat oraz na temat poziomu ochrony danych osobowych mogÄ… PaÅ„stwo zwrócić siÄ™ do naszych usÅ‚ugodawców, korzystajÄ…c z podanych powyżej danych kontaktowych.

Status 04/2022

Lista usÅ‚ugodawców dla AXA XL

Firmy, które uczestniczÄ… we wspólnym przetwarzaniu danych w ramach AXA Group lub dla których przetwarzanie danych jest gÅ‚ównym przedmiotem umowy:

• AXA Versicherungen AG, Winterthur
• AXA Group Operations SA
• AXE Services SAS
• AXA Konzern AG
• AXA Business Services, India
• XL Catlin Services SE
• X.L. Global Services, Inc.
• XL India Business Services Ltd.

Kategorie dostawców usÅ‚ug, dla których przetwarzanie danych jest gÅ‚ównym przedmiotem umowy:

Kategoria usług	Przedmiot/cel umowy	Dane dotyczące zdrowia
Zarządzanie listą obserwowanych	Obowiązek prawny. Kontrola sankcji i zapobieganie praniu pieniędzy	nie
ObsÅ‚uga roszczeÅ„	Wsparcie w przetwarzaniu roszczeÅ„ (zewnÄ™trzne podmioty zajmujÄ…ce siÄ™ roszczeniami)	³¾´Çż±ô¾±·É±ð
Kancelarie prawne	Windykacja dÅ‚ugów, reprezentowanie w sporach prawnych	³¾´Çż±ô¾±·É±ð
Firmy zajmujÄ…ce siÄ™ badaniem rynku	Badanie rynku, analiza satysfakcji klientów	nie
Agencje/dostawcy usług marketingowych	Działalność marketingowa	nie
Przedsiębiorstwa windykacyjne/agencje kredytowe	Przetwarzanie należności, weryfikacja tożsamości	nie
Świadczenie rehabilitacyjne	Zarządzanie świadczeniami rehabilitacyjnymi	tak
Planowanie map i tras (oprogramowanie)	Ustalenie lokalizacji ryzyka i rozpatrywanie roszczeń	nie
Telefoniczna obsługa klienta	Tymczasowa obsługa klienta w specjalnych procesach biznesowych, obsługa klienta	tak
±Ê´ÇÅ›°ù±ð»å²Ô¾±³¦²â/µþ°ù´Ç°ì±ð°ù³ú²â/´¡²µ±ð²Ô³¦¾±	Przetwarzanie wniosków, usÅ‚ug i roszczeÅ„, konsultacje	³¦³úęś³¦¾±´Ç·É´Ç
Eksperci/eksperci medyczni/konsultanci	PrzeglÄ…d wniosku/usÅ‚ugi/odwoÅ‚ania, konsultacje	³¦³úęś³¦¾±´Ç·É´Ç

Kategorie dostawców usÅ‚ug, dla których przetwarzanie danych nie jest gÅ‚ównym przedmiotem umowy:

Kategoria usług	Przedmiot/cel umowy	Dane dotyczące zdrowia
Asystent	UsÅ‚ugi assistance	³¦³úęś³¦¾±´Ç·É´Ç
Firmy rozsyłające listy z reklamami/drukarnie	Mailingi/newsletter (e-mail)	tak
Przechowywanie plików	Przechowywanie plików	tak
Dostawca usÅ‚ug informatycznych	Konserwacja/eksploatacja/rozwój Systemy/aplikacje/usÅ‚ugi online	tak
Towarzystwa reasekuracyjne	Monitorowanie	tak
PrzedsiÄ™biorstwa zajmujÄ…ce siÄ™ usuwaniem odpadów	Usuwanie odpadów i niszczenie akt (profesjonalne usuwanie akt)	tak
Planowanie map i tras (oprogramowanie)	Planowanie	nie

 

Privacy Notice

By means of this privacy notice, we inform you about the processing of your personal data by É«¶à¶àÊÓƵand the rights that have been granted to you in accordance with the applicable data protection legislation.

This information is also applicable in relation to the insured person. Where the insured person is not also the policyholder, the policyholder shall forward this information to the insured person.

In addition, this information also applies to third parties (e.g. legal representatives, plenipotentiaries, etc.) which have been authorised by the customer and to which this information has been forwarded.

Data Controller responsible for the Processing of your Personal Data

XL Catlin Services SE
É«¶à¶àÊÓƵ– A Division of AXA

8 St Stephen's Green
Dublin 2
D02 VK30
Eire

Tel.: +353 1 607 5300
Fax: +353 1 607 5333

You may contact our Data Protection Officer by post at the addresses given in the document by adding "- DPO -" to the address or via e-mail at: dataprivacy@axaxl.com.

Purpose and Legal Basis of the Data Processing

We process your personal data in compliance with the EU General Data Protection Regulation (GDPR), the Polish act on the protection of personal data (the Act of 10 May 2018 on the protection of personal data), the relevant provisions on the protection of personal data contained in the Polish Tax Code and the Act on accounting, as well as all other applicable laws.

When applying for an insurance contract, we require your personal information to conclude the contract and to assess the risks that would be assumed by us. Once the contract has been concluded, the personal data is processed within the performance of the contractual relationship, e.g. for policing or invoicing. In the event you report or assert a claim, we need the personal information provided to assess our obligation and to determine the amount of compensation to be paid.

The conclusion or the performance of the insurance contract, as well as the processing of a claim, are not possible without processing your personal data. This applies also to quotation purposes.

We also require your personal data to compile statistics that are specific to the insurance industry, for instance to develop new pricing models or to fulfil regulatory requirements. We use the data contained in all contracts entered into with an AXA company to review the entire customer relationship, for instance to advise on policy adjustments, additions, for goodwill decisions or to provide complete information.

Legal basis for the processing of personal data for pre-contractual and contractual purposes and the handling of claims is Article 6 (1) (b) GDPR. Where special categories of personal data (e.g. your health data) are required for this purpose, we will obtain your consent in accordance with Article 9 (2) (a) in conjunction with Article 7 GDPR.

Moreover, we process your personal data to protect our legitimate interests or the legitimate interests of third parties. The legal basis thereof is Art. 6 paragraph 1 (f) GDPR. This may be particularly necessary in the following cases:

• to guarantee IT security and IT operations including testing (where not required for the performance of the contract already),
• for the marketing of our insurance products and other products by AXA Group companies and their cooperation partners, as well as for market surveys and opinion polls, unless you have objected to the use of your data for this purpose,
• for the prevention and prosecution of criminal offenses, unless this is already subject to a statutory obligation; in particular, we use data analysis and research (also in publicly accessible sources) to detect indications of insurance fraud,
• for risk management within É«¶à¶àÊÓƵand the AXA Group as a whole,
• for business management and the improvement of processes, services and products.

In addition, we process your personal data for the fulfilment of legal obligations such as regulatory requirements, storage periods required under commercial and fiscal law or for the fulfilment of our advisory duties. The basis for processing in this case are the applicable statutory provisions in conjunction with Article 6 (1) (c) GDPR.

Where we wish to process your personal data for a purpose not mentioned above, we will inform you in advance within the framework of our legal obligations, including on our website /privacy-statement-axa-xl-poland.

Data and data categories

We process, particularly the following data and data categories:

• Master and contract data (e.g. name, address, contact details, marital status, occupation, start and expiry dates, details of the risk to be insured)
• Special categories of personal data (e.g. health data)
• Information about personal situations (e.g. creditworthiness data, material assets)
• Data on your claims and other data arising from the fulfilment of our legal obligations
• Data on contacts to you and on transaction processing
• Roles of the data subjects (e.g. policyholder, insured person, injured party, witness)
• Powers of attorney
• Social É«¶à¶àÊÓƵ ID number, Tax ID
• Data of prospects

Categories of recipient of the personal data

Reinsurers:

We insure the risks we accept with special insurance companies (reinsurers). It may be necessary to submit your contract and possibly your benefit/claim data as well to a reinsurer so that it may form its own opinion of the risk or the claim. We may also obtain advice from the reinsurer É«¶à¶àÊÓƵbased on its particular expertise in risk or benefit assessment or in the evaluation of procedural matters. We only transmit your data to the reinsurer where it is necessary for the performance of our insurance contract with you, i.e. in the extent that is required to protect our legitimate interests.

Intermediaries:

Where you receive assistance from an intermediary regarding your insurance contracts, your intermediary will process the application, contract and loss data required to conclude and perform the contract. É«¶à¶àÊÓƵalso transmits this data to the intermediaries who are responsible for you, insofar as they require the information for your support and advice in their insurance and financial services matters.

Data processing within AXA Group:

Specialized companies or divisions within our group of companies are assigned central responsibility for certain data processing tasks for the group of affiliated companies. Where you have entered into an insurance contract with one or several companies in our group, your data may be processed centrally by a group company, for instance for the central management of address data, for telephone customer service, for the processing of contracts and benefits/claims, for collections/disbursements or for the central processing of mail. You will find the AXA companies participating in centralized data processing in the attached List of service providers. You can access the respective current version at any time at /.

External service providers:

In some cases, we use external service providers in order to comply with our contractual and legal obligations as well as to pursue our legitimate interests.

In our attached list of service providers, you will find the categories of service providers, with whom we entertain not only temporary business relationships. You can access the current version at any time at .

Other recipients:

In addition, we may transfer your personal data to other recipients, such as public authorities (e.g. due to statutory notification obligations to social insurance carriers, tax authorities or criminal prosecution authorities), credit institutions (e.g. to process payment transactions), physicians or experts (e.g. for claims handling or for the assessment of risks and obligations), credit agencies (e.g. to check creditworthiness and assess risks), or lawyers / solicitors (e.g. to defend against and enforce legal claims).

Data Retention

We delete your personal data as soon as it is no longer required for the aforementioned purposes. It may occur that personal data is kept for the time in which claims against É«¶à¶àÊÓƵcan be made. In these cases, the statutory limitation periods are between three and thirty years.

We also store your personal data, in case of a legal obligation requiring us to do so. Among other, such legal requirements for evidence and retention are provided by means of the Polish Tax Code, the Accounting Act, the Labor Code and other legal acts. According to those, retention periods can be up to ten years. In this case, the respective legal regulations serve as the legal basis for processing as referred to in Art. 6 (1) (c) GDPR.

If an insurance contract is not concluded, we will delete your data at the end of the 6-year statutory limitation period.

Data Subject Rights

You may exercise the following rights against us at one the aforementioned addresses:

• Confirmation and access to personal data stored about you (Art. 15 GDPR).
• Rectification or completion of inaccurate or incomplete data (see also Art. 16 GDPR);
• Immediate erasure of data concerning you (Art. 17 GDPR), or the restriction of the processing in accordance with Art. 18 GDPR, if a deletion should is not yet to be considered for reasons pursuant to Art. 17(3) GDPR;
• Reception of the data concerning you, and which have been provided by you, in a structured, common and machine-readable format as well as transmission of those data to other providers/controllers (Art. 20 GDPR);
• Lodge a complaint with one of the supervisory authorities listed below, if you are of the opinion that the processing of personal data relating to you infringes any of the data protection regulations (Art. 77 GDPR).

Right to object

You have the right to object to the processing of your personal data for direct marketing purposes.

Where we process your data to pursue our legitimate interests, you may object to this processing on grounds relating to your particular situation that contradict data processing.

Data Protection Supervisory Authorities

The data protection supervisory authorities competent for us are:

Lead data protection supervisory authority within the meaning of Art. 56, 60 GDPR:

Data Protection Commission

 (An Coimisiún um Chosaint Sonraí)

21 Fitzwilliam Square South

Dublin 2

D02 RD28

Eire

Data protection authority for the fulfilment of tasks and exercise of competences in the territory of Poland (Art. 55 GDPR):

Office for Personal Data Protection (UODO)

ul. Stawki 2
00-193 Warsaw
fax: 22 531-03-01

In general, you can address written complaints to both supervisory authorities. Complaints in Polish language, however, must be addressed exclusively to the UODO.

Credit Information & Sanction Screening

We reserve the right to request credit and sanction list information from external service providers (e.g., Infoscore, Dow Jones, Thomson-Reuters, etc.) based on mathematical-statistical methods. For this purpose, your data will be forwarded to the service provider, provided it is relevant (usually name and address). The legal basis for this processing is our legitimate interest in the reliability of our claims and the prevention of insurance fraud in accordance with Art. 6 para. 1 lit. f) GDPR as well as a legal obligation within the meaning of Article 6 (1) (c) GDPR to which we are subject under applicable anti-money-laundering legislation.

Exchanging data with your previous insurer

To be able to check and, if necessary, amend your details when the insurance contract is established or when the insured event occurs, personal data may be exchanged to the necessary extent with the previous insurer named by you in the application form.

Transfer to a Third Country

Where we transfer personal data to AXA companies and service providers outside the European Economic Area (EEA), the transfer will only take place if the level of data protection has been decided to be adequate in the respective third country by the EU Commission or other appropriate data protection safeguards (e.g. binding internal company data protection regulations, EU standard contract clauses or EU-US Privacy Shield) are in place. You can request detailed information about this and on the level of data protection subject to our service providers using the contact information given above

Status: 04/2022

List of É«¶à¶àÊÓƵService Provider

Companies participating in the joint processing of personal data within the AXA Group or for which the processing of such data is the main subject of their contract:

• AXA Versicherungen AG, Winterthur
• AXA Group Operations SA
• AXE Services SAS
• AXA Konzern AG
• AXA Business Services, India
• XL Catlin Services SE
• X.L. Global Services, Inc.
• XL India Business Services Ltd.

Categories of service providers for whom the processing of personal data processing is the main subject of their contract:

Service Provider Category <	Subject / Purpose of the Commissioning	Health Data
Watchlist Management	Legal obligation. Sanction control and prevention of money laundering.	no
Claims Services	Assistance in processing and handling claims (external loss-adjusters)	possible
Law firms	Debt collection, representation in litigation issues.	possible
Market research companies	Market research, customer satisfaction surveys / analysis	no
Marketing agencies / -provider	Marketing events	no
Debt collection agencies / credit bureaus	Debt collection and identity verification	no
Rehabilitation services	Rehabilitation management	yes
Maps and route planner (software)	Determination of the risk location and claims processing	no
Telephone customer service	Temporary customer service in special business processes, customer care zákaznický servis	yes
Intermediaries / broker / agents	Processing of application, services and claims, consultation	partially
Experts / physicians / consultants	Reviews of applications, services, and recourse, consultation	partially

Categories of service providers for whom the processing of personal data is not the main subject of their contract:

Service Provider Category	Subject / Purpose of the Commissioning	Health Data
Assistance providers	Assistance services	partially
Letter shops / Printing houses	Mailings / Newsletter (email)	yes
File archives	Storage of (paper) files	yes
IT-Providers	Maintenance / operation / system development / applications / online services	yes
Reinsurance companies	Monitoring	yes
Waste disposal companies	Waste disposal and file destruction (professional file disposal companies)	yes
Maps and route planner (software)	Scheduling	no

Last Status: April 2022