Insurance
Insurance
Product Family
Product Family
Industries
Industries
Reinsurance
Reinsurance
Explore our offerings
Explore our offerings
Claims
Claims
Risk Consulting
Risk Consulting
Resources & Tools
Resources & Tools
Resources and Tools
Resources and Tools
About AXA XL
About AXA XL
About AXA XL
About AXA XL
Media Center
Media Center
Careers
Careers
Get In Touch
Get In Touch

Privacy Notice

Read in Hungarian

Read in English

ADATKEZELÉSI TÁJÉKOZTATÓ A SZEMÉLYES ADATOK KEZELÉSÉRŐL

Ezzel a tájékoztatóval tájékoztatunk Önt személyes adatai gyűjtéséről, használatáról, átadásáról és védelméről, valamint azokról a jogokról, amelyekre jogosult az adatok hozzáférésére, felhasználására és javítására.

Ez az értesítés minden olyan természeti személyre vonatkozik, amelynek személyes adatait egy kötött biztosítási szerződés ke-retein belül dolgozzák fel. Ha a feldolgozás által érintett szemé-lyek nem egyeznek meg a biztosítóval (pl. társbiztosítással, har-madik fél kedvezményezettekkel vagy harmadik fél sérültekkel), kötelessége a kötelessége tájékoztatni ezeket a személyeket ezzel az értesítéssel.

Adatkezelő a GDPR 4. cikkének 7. cikke értelmében

XL Insurance Company SE
XL Catlin Services SE

Wolfe Tone House
Wolfe Tone Street
Dublin 1
D01 HP90
Írország

Az osztrák, közép- és délkelet-európai (CSEE) felelős fiókok elérhetőségei:

XL Biztosítótársaság SE - Zweigniederlassung für Österreich XL Catlin Services SE - Zweigniederlassung für Österreich

Tuchlauben 3
1010 Wien (Bécs)
Ausztria

Adatvédelmi tisztviselő

Ha információt szeretne a jogairól, vagy bármilyen kérdése van személyes adatai feldolgozásával kapcsolatban, kérjük, vegye fel a kapcsolatot adatvédelmi tisztviselőnkkel, akit postai úton lehet elérni a fenti címek egyikén, vagy e-mailben a dataprivacy@axaxl.com.

Vállaljuk, hogy együttműködünk Önnel, hogy tisztességes megoldást találjunk bármilyen adatvédelmi panaszokra vagy aggályokra. Ha úgy érzi, hogy nem tudtunk segíteni panaszában vagy aggályában, joga van panaszt benyújtani az illetékes adatvédelmi hatóságoknál (lásd az alábbi elérhetőségeket).

Feldolgozásra alkalmas adatok és adatkategóriák

Személyes adatait az EU Általános Adatvédelmi Rendelete (GDPR), az osztrák adatvédelmi törvény (DSG), a 2011-es CXII. Információs Önrendelkezésről szóló törvény és az információsza-badságról szóló törvény, az Osztrák Biztosítási Szerződés (VersVG) adatvédelmi rendelkezései és az alábbi jogszabályok szerint dol-gozzuk fel adataidat:

  • Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény („Infotv.”);
  • A biztosítási tevékenységről szóló 2014. évi LXXXVIII. törvény („Bit.”);
  • A pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló 2017. évi LIII. törvény („Pmt.”);
  • valamint egyéb alkalmazandó jogszabályok.

Feldolgozzuk azokat a személyes adatokat, amelyeket a biz-tosítási szerződés benyújtásának és/vagy lekötésének részeként biztosítottak, és amelyek szükségesek a szerződéses kapcsolat megfelelő teljesítéséhez (beleértve a panaszkezelést is).

Kártérítési értesítés vagy kártérítés igénylése esetén a személyes adatoknak kell felmérniük fizetési kötelezettségünket, és me-ghatározni a kártérítés összegét.

A szerződés lezárása során bizonyos kérdésekre kötelező válaszolni. E információk nélkül sem a szerződés lekötése, sem teljesítése, sem a kárigény feldolgozása nem lehetséges.

Különösen a következő adatokat és adatkategóriákat dolgozzuk fel:

  • Mester- és szerződésadatok (pl. név, cím, elérhetőség, családi állapot, foglalkozás, kezdő- és lejárati dátumok, a biztosítandó kockázat részletei)
  • Speciális személyes adatkategóriák (pl. egészségügyi adatok)
  • Személyes helyzetekről szóló információk (pl. hitelképességi adatok, anyagi eszközök)
  • Adatok az Ön igényeiről és egyéb jogi kötelezettségeink teljesítéséből eredő adatok
  • Adatok a kapcsolatokról és a tranzakciófeldolgozásról
  • Az adatalanyok (pl. biztosítási személy, biztosított személy, sérült, tanú) részvételének körülményei
  • Meghatalmazások
  • A kilátások adatai

A speciális személyes adatok feldolgozásának szükségessége a biztosítási szerződés követelményeitől függ, vagy más biztosítási szolgáltatásainkhoz kapcsolódó körülményekből (pl. kárrendezés) ered. Az ilyen esetekben szükséges hozzájárulásokat, különösen a GDPR 9. cikk (2) (a) és 7. cikke alapján, szükség esetén külön gyűjtik össze.

Emellett az AXA XL bizonyos esetekben büntető elítéltségekhez és bűncselekményekhez kapcsolódó személyes adatokat is feldolgozza. Ez különösen vonatkozik azokra a kárigényekre, amelyek a biztosított, a sérült vagy egy harmadik fél illegális magatartásából erednek. További feldolgozási tevékenységek az Osztrák Pénzmosás Törvény ("Finanzmarkt-Geldwäschegesetz" - FM-GwG) rendelkezései alapján a pénzmosás és a ter-rorfinanszírozás megelőzésére irányuló jogi kötelezettségekből vagy a helyi pénzmosás elleni törvények alapján is kiala-kulhatnak.

Az adatfeldolgozás céljai és jogi alapjai

A AXA XL biztosítója által összegyűjtött személyes adatokat a biztosítási szerződések kezelése és teljesítése céljából dolgozzuk fel. Az adatait különösen a következő célokra dolgozzák fel:

  • Az AXA XL-szel kötött biztosítási szerződés végrehajtása és/vagy a kapcsolódó szerződés előtti intézkedések (GDPR 6. cikk (1) (b) bekezdése), beleértve a kockázatértéke-lésekhez, valamint az ügyfél-elégedettséghez vagy vélemény-felmérésekhez szükséges feldolgozást és pro-filozást, különösen az alábbi célokra:
    • A biztosítási szerződés bevonása, kezelése (beleértve a kereskedelmi célokat is) és teljesítése, ha Ön a sér-tett fél, annak értékelése és rendezése, valamint a panaszok és visszavásárlások feldolgozása.
    • Statisztikai és aktuáriusi tanulmányok végrehajtása, valamint kockázatértékelések, kiválasztások, tesztek és értékelések kidolgozása a biztosítási díj kiszámítása céljából.
    • A bűncselekményekhez, elítélésekhez vagy biztonsági intézkedésekhez kapcsolódó adatok gyűjtése és feldolgozása, amennyiben ezek a biztosított kockázatnak tulajdoníthatók, és/vagy amelyek feldolgozása a biztosítási jog által előírható.
    • Tanácsadás lehetséges szerződésmódosításokkal vagy kiegészítésekkel, információkérések teljesítésé-vel és jóakaratdöntésekkel.
  • Továbbá személyes adatait a GDPR 6. cikk (1)(c) értelmében jogszabályi kötelezettségek teljesítése érdekében kezeljük. Ezek különösen a következők:
    • olyan igények feldolgozása, amelyekben a felperes nem része a biztosítási szerződésnek, például harmadik fél kedvezményezettként vagy sérültként;
    • a szankciós és pénzmosás elleni ellenőrzések elvé-gzése – különösen a haszonélvezeti tulajdonos azo-nosítására vonatkozóan – a vonatkozó pénzmosás törvényeinek és szankciós rendszereinek megfele-lően;
    • Statisztikai és aktuáriusi tanulmányok végrehajtása, valamint kockázatértékelések, kiválasztások, tesztek és értékelések megfogalmazása a 138/2009/EK irányelv 48. cikkéből ("Felkészülési II") által érintett jogi kötelezettségek keretében, valamint az EU-tagállamok és az ETAP által ezekből származó végre-hajtási jogok;
    • a szabályozási követelményeknek való megfelelés, beleértve a kereskedelmi és adótörvényben me-ghatározott megtartási kötelezettségeket, valamint tanácsadói kötelezettségeinket.
  • Emellett az Ön adatait a mi vagy egy harmadik fél által követett jogos érdekek érdekében is feldolgozzuk. Ez a feldolgozás a GDPR 6. cikk (1)(f) alapján történik, és többek között a következő eseteket érinti:
    • az IT biztonság és működés biztosítása, beleértve a teszteket is (amennyiben ez még nem szükséges a szerződés teljesítése vagy jogi kötelezettség tel-jesítése szempontjából);
    • az Ön tiltakozása mellett, hogy népszerűsítsük saját biztosítási termékeinket, valamint az AXA csoport és együttműködő partnerei termékeit, valamint piaci és vélemény-felméréseket készítsünk;
    • a bűncselekmények megelőzése és kivizsgálása, amennyiben ezt még nem írja elő törvényi vagy sza-bályozási kötelezettség; Különösen elemzéseket és kutatásokat használunk (szintén nyilvánosan elérhető forrásokból) a biztosítási csalás jeleinek fe-lismerésére;
    • az AXA XL-en és az egész AXA Csoporton belüli kockázatkezelési feladatokra;
    • az üzletvezetés és a folyamatok, szolgáltatások és termékek fejlesztése.
  • Bizonyos esetekben a személyes adatait is feldolgozzuk statisztikai tanulási modellek fejlesztése és/vagy fejlesztése céljából, gépi tanulás és más mesterséges intelligencia (MI) technológiák alkalmazásával. Ezeket a modelleket később produktívan használják különböző automatizációs fol-yamatainkban, nevezetesen a strukturálatlan adatok au-tomatizált kategorizálásában, üzleti folyamataink kezelésé-ben (például a bejövő levelezés automatikus elosztásában), valamint statisztikai aktuáriusi számítások és árképzési modellek céljában.
    • Személyes adataid feldolgozása statisztikai tanulási modelljeink fejlesztése és/vagy fejlesztése érdekében a belső üzleti folyamataink optimalizálásában ta-núsított jogos érdekünkön alapul. Itt különösen vál-laljuk, hogy teljes vagy részleges anonimizálás és/vagy álnévtelenítés érdekében dolgozunk az ada-taid teljes vagy részleges alkalmazása technikai le-hetőségeink keretein belül. Ez különösen a személyes adatok speciális kategóriáinak feldolgozására vonat-kozik, amely előírja a GDPR 9. cikk (2) (b) - (j) szerinti engedélyezési törvényt, illetve a GDPR 9. cikk (2) (a) értelmében kifejezett beleegyezést.
    • Ha a meglévő MI rendszereinkben dolgozzuk fel az Ön személyes adatait (például a beérkező levél helyes elosztásához egy igényben), az ilyen feldolgozás a tevékenység által kitűzött célhoz kapcsolódó jogi alapon alapul.

Ezekkel a jogos érdekekkel kapcsolatos belső ellenőrzési és ér-tékelési eljárásokkal biztosítjuk, hogy megfeleljenek az alkalma-zandó törvényi és jogi helyzetnek, valamint hogy az érintett érde-kei vagy alapvető jogai és szabadságai ne jelentsék felül azokat.

Ha valamelyik feldolgozási tevékenység érinti, és szeretné megbizonyosodni, hogy az Ön konkrét helyzete miatt az Ön érdekei felülírták-e, kérjük, bármikor vegye fel a kapcsolatot adatvédelmi tisztviselőnkkel, és kérje az arányossági ér-tékelés másolatát.

Személyes adatok átadásai és címzettjei

A gyűjtött személyes adatok átadhatók az AXA XL szerződéses partnereinek, akik részt vesznek a szerződés megkötésében, keze-lésében és teljesítésében, valamint a fent említett feldolgozási tevékenységekben. Ezek közé tartoznak többek között:

  • más biztosító- és újrabiztosító cégek;
  • Biztosítási közvetítők (pl. biztosítási brókerek, ügynökök, ...);
  • orvosok, szakértők és értékbecslők (pl. kárrendezés, kockázatértékelés és kártérítési kötelezettségek esetén);
  • hitelügynökségek és magánnyomozók (hitelellenőrzések és/vagy biztosítási csalás megelőzése és kivizsgálása);
  • ügyvédek (tanácsadó és képviselet esetén peres) és
  • más szolgáltatók (pl. külső tanácsadók, adminisztrátorok, IT szolgáltatók stb.)

Adatfeldolgozás az AXA csoporton belül:

Ezenkívül bizonyos feldolgozó feladatokat és funkciókat a csopor-tunkon belül központilag végzik speciális vállalatok vagy oszt-ályok. Ha Ön és egy vagy több csoportvállalat között biztosítási szerződés köt, adatait központilag feldolgozhatja a csoportunkon belüli cég, például az elérhetőségi adatok központi kezelése, telefonos ügyfélszolgálat, szerződésfeldolgozás, beleértve a szol-gáltatást és kárkezelést, a beváltítás és kifizetések vagy a levél feldolgozása érdekében.

Egyéb kinyertek:

Továbbá jogi kötelezettségeink bizonyos esetekben előírhatják, hogy adataidat más kedvezményezetteknek is átadjuk, például bizonyos hatóságoknak (pl. társadalombiztosítási intézmények, adóhatóságok, valamint felügyelő vagy igazságügyi hatóságok), hitelintézeteknek, adótanácsadóknak és törvényes könyvvizsgálóknak.

Végül szükség lehet arra, hogy személyes adatait potenciális vevőkkel vagy kiválasztott partnerekkel osztja meg rendkívüli üzleti tranzakciók (beleértve a gazdasági, jogi, adózási és pénzügyi feltételek elemzését – "átvilágítást"), például egyesülések, cégeladások és egyéb tranzakciók esetén.

Harmadik országok adatátvitelei

Amennyiben a személyes adatokat az Európai Gazdasági Térségen kívüli országokba továbbítják, biztosítjuk, hogy ez kizárólag az uniós jog és az alkalmazandó törvényi előírások szerint történik:

A GDPR 45. cikke szerint a harmadik országokba történő átadások, ahol az EU Bizottsága úgy döntött, hogy ezek megfele-lő szintű védelmet biztosítanak, nem igényelnek külön jóváhagyást. Ez jelenleg magában foglalja Andorrát, Argentínát, Kanadát (csak kereskedelmi szervezetek), a Feröer-szigeteket, Guernsey-t, Izraelt, a Man-szigetet, Japánt, Jersey-t, Új-Zélandot, Svájcot, Dél-Koreát, Uruguayt és az Egyesült Királyságot.

Az AXA csoporton belüli vállalatok közötti átruházások szintén a GDPR 47. cikke szerinti kötelező érvényű vállalati szabályokon (BCR) alapulnak.

Amennyiben az átruházást nem fedezi az említett jogi eszközök, az AXA XL a GDPR 44. cikke és további rendelkezései szerint biz-tosítja, hogy az adatvédelmi szint megfelelőségét az EU szab-ványos szerződéses záradékainak lekötése biztosítja a GDPR 46. cikke szerint.

Ezen túlmenően az AXA XL további szerződéses, szervezeti és műszaki intézkedéseket vezetett be annak érdekében, hogy a kedvezményezettek teljesítsék kötelezettségeiket a kötelező ér-vényű vállalati szabályok és az EU szabványos szerződéses zá-radékai alapján, amelyek szintén tartalmazzák azok ér-vényesíthetőségét.

Ezek az intézkedések magukban foglalják a személyes adatok modern titkosítását (szállítás közben és nyugalmi állapotban), az adatok álnév megfogalmazását, a személyes adatokhoz való hozzáférés korlátozását, valamint a szerződéses és szervezeti átláthatóságot és az információs kötelezettségeket.

Minden kedvezményezett esetében az AXA XL felmérte a harmadik országokba történő áthelyezéssel kapcsolatos kockázatokat, és ezeket egy jelentésben ("Áthelyezési Kockázatértékelés" - TIA) dokumentálta.

További kérdésekért, információkért és dokumentumokból nemzetközi adatátvitelünkről kérjük, vegye fel a kapcsolatot adatvédelmi tisztviselőnkkel.

Adatmegőrzés

Általában csak addig tároljuk és dolgozzuk fel a személyes adataidat, amíg szükséges a feldolgozás céljából.

Ha az adatait ezen időszakon túl tároljuk, vagy a vonatkozó tör-vényi megőrzési időszak betartása érdekében (például adózási, kereskedelmi vagy szociális jogi szabályozások miatt), vagy azért, mert az adatai szükségesek lehetnek jogi igények létrehozásához, gyakorlásához vagy védelméhez. Az utóbbi esetben a tartozási időt az alkalmazandó elévülési idő határozza meg.

Ausztriában az adó-, kereskedelmi és szociális jogi megőrzési időszakok általában 7 év, Magyarországon pedig 8 év. A polgári jogi követelések általános elévülési ideje Magyarországon három év, de akár 10 évre is meghosszabbítható, különösen személyi sérüléssel kapcsolatos ügyekben.

Mivel a megőrzési időszakok jelentősen eltérhetnek a feldolgozás és az adott helyzet függvényében, kérjük, hogy konkrét kérdések esetén vegye fel a kapcsolatot adatvédelmi tisztviselőnkkel.

Adatalanyok jogai

Az alábbi jogokat az említett címeken érvényesítheti ellenünk:

Megerősítés és hozzáférés az Önökre vonatkozó személyes adato-khoz (GDPR 15. cikk);

Pontatlan vagy hiányos adatok javítása vagy kizárása (GDPR 16. cikk);

Az Önökre vonatkozó adatok azonnali törlése (GDPR 17. cikk), vagy a feldolgozás korlátozása a GDPR 18. cikke szerint, ha a törlés még nem merül figyelembe a GDPR 17(3) cikk szerinti okok alapján;

Az Önről szóló és általad biztosított adatok átvétele strukturált, általános és géppel olvasható formátumban, valamint ezek to-vábbítása más szolgáltatóknak/irányítóknak (GDPR 20. cikk).

Tiltakozáshoz való jog

Jogosult arra, hogy bármikor tiltakozzon a személyes adatai közvetlen üzletszerzés célból történő kezelése ellen.

Minden olyan adatkezelés vonatkozásban, amely a társaságunk jogos érdekén alapul, bármikor tiltakozhat a személyes adatai kezelése ellen az Ön egyedi helyzetével összefüggő okból, amely ellentmond az adatkezelésnek.

Ha az adatait a GDPR 7. cikkében említett hozzájárulás alapján dolgozzuk fel, akkor jogod van bármikor visszavonni ezt a hozzájárulást indoklás nélkül. Minden beleegyezést általában külön írásos nyilatkozat keretében szerzik meg, amelyben ismét kifejezetten tájékoztatnak a visszavonási jogáról és az ezen alapján végzett feldolgozási tevékenységekről.

Továbbá joga van panaszt benyújtani az alább felsorolt felügye-leti hatóságoknál, ha úgy véli, hogy az Önökre vonatkozó szemé-lyes adatok feldolgozása megsérti az adatvédelmi előírásokat (GDPR 77. cikk).

Végül szeretnénk tájékoztatni, hogy a személyes adatai feldolgozása során alkalmazott folyamatok egyike sem teszi Önet kizárólag automatizált egyéni döntéshozatal alá. Amennyiben automatizált döntéseket hozunk a folyamatainkon keresztül – különösen MI technológiák használata esetén – ezek kizárólag felfelé vezető adminisztratív folyamatok, amelyek egy természetes személy által hozott végső döntés előkészítését szolgálják. Így megfelelő belső ellenőrzési eljárásokkal, képzésekkel és irányelvekkel biztosítjuk, hogy a végső döntéshozatali folyama-tokat ne befolyásolja hátrányosan az automatizált felfelé irányuló feldolgozás, és hogy bármikor átláthatóak és au-ditálhatók maradjanak.

Vezető adatvédelmi felügyeleti hatóság a GDPR 56. és 60. cikk értelmében:

Data Protection Commission
(An Coimisiún um Chosaint Sonraí)

21 Fitzwilliam Square South
Dublin 2
D02 RD28
Írország

Adatvédelmi hatóság az Osztrák Köztársaság területén a feladatok ellátására és hatáskörök gyakorlására (GDPR 55., 60. cikk):

Datenschutzbehörde (Adatvédelmi Hatóság)

Barichgasse 40-42
1030 Wien (Bécs)
Ausztria

Adatvédelmi hatóság a feladatok ellátására és hatáskörök gyakorlására Magyarország területén (GDPR 55., 60. cikk):

Nemzeti Adatvédelmi és Információszabadság Hatóság

Központ: HU-1125 Budapest, Szilágyi Erzsébet fasor 22/C Postai cím: 1530 Budapest, Pf.: 5.

A GDPR 77. cikkében említett panasz bármelyik három hatósághoz benyújtható. Ezért szabadon dönthetsz arról, melyik hatóságot keresd; azonban figyelem meg, hogy a magyar nyelvű panaszokat kizárólag az Adatvédelmi és Információszabadság Nemzeti Hatóságához kell irányítani. A panaszodat valószínűleg a három hatóság közölni fogja a GDPR 55. és 56. cikk szerinti eltérő hatáskörük szerint.

Tól: 02/2026

 

Privacy Notice

By means of this notice, we are informing you about the collec-tion, use, transfer and protection of your personal data, as well as the rights to which you are entitled concerning the access, use and rectification of this data.

This notice applies to all natural persons whose personal data is processed within the scope of a concluded insurance contract. If the persons affected by the processing are not identical with the policyholder (e.g. co-insured, third-party beneficiaries or third-party injured), it is incumbent on the policyholder to inform these persons by providing them with this notice.

Data Controller within the Meaning of Art. 4 No 7 GDPR

XL Insurance Company SE
XL Catlin Services SE

Wolfe Tone House
Wolfe Tone Street
Dublin 1
D01 HP90
Ireland

Contact Details of the Responsible Branches for Austria, Central, and Southeastern Europe (CSEE):

XL Insurance Company SE - Zweigniederlassung für Österreich XL Catlin Services SE - Zweigniederlassung für Österreich

Tuchlauben 3
1010 Wien (Vienna)
Austria

Data Protection Officer

If you would like information about your rights or have any ques-tions concerning the processing of your personal data, please reach out to our data protection officer, who can be reached by postal mail at one of the above addresses or by email at dataprivacy@axaxl.com

We will undertake to work with you to find a fair solution to any complaints or concerns you may have regarding data protection. Should you feel that we have been unable to help you with your complaint or concern, you have the right to lodge a complaint with the relevant data protection authorities (see below for the contact details).

Data and Data Categories that May be Processed

We process your personal data in compliance with the EU General Data Protection Regulation (GDPR), the Austrian Data Protection Act (DSG), Act CXII of 2011 on the Right of Informational Self-Determination and on Freedom of Information, the applicable provisions affecting or ensuring data privacy within the Austrian Insurance Contract Act (VersVG) as well as the following applica-ble laws:

  • Act CXII of 2011 on the right to information self-determination and freedom of information (“Information Act”);
  • Act LXXXVIII of 2014 on insurance activities ("Bit.")
  • Act LIII of 2017 on the Prevention and Suppression of Money Laundering and Terrorist Financing (“Pmt.”);
  • as well as other applicable legislation.

We process personal data that has been made available to us as part of the application and/or conclusion of the insurance con-tract and that is required for the proper performance of the con-tractual relationship (including complaint handling).

In the event of a claim notification or the assertion of an indemni-fication, we require the personal data to assess our obligation to pay and to determine the amount of the indemnification to be paid.

During the contractual conclusion, the response to certain ques-tions is mandatory. Without this information, neither the conclusion nor the fulfilment of the contract or the pro-cessing of a claim is possible.

In particular, we process the following data and data categories:

  • Master and contract data (e.g. name, address, contact details, marital status, occupation, start and expiry dates, details of the risk to be insured)
  • Special categories of personal data (e.g. health data)
  • Information about personal situations (e.g. creditworthiness data, material assets)
  • Data on your claims and other data arising from the fulfilment of our legal obligations
  • Data on contacts to you and on transaction processing
  • Circumstances of the involvement of the data subjects (e.g. policyholder, insured person, injured party, witness)
  • Powers of attorney
  • Data of prospects

The necessity to process special categories of personal data de-pends on the requirements of the insurance contract or arises from other circumstances in connection with our insurance ser-vices (e.g., claims settlement). Any consents that may be required in that case, in particular pursuant to Article 9 (2) (a) and Article 7 GDPR, will be collected separately when necessary.

Additionally, AXA XL also processes personal data on criminal convictions and criminal offenses in certain cases. This applies in particularly to claims that are rooted in an illegal behaviour on the part of the insured, the injured, or a third party. Further pro-cessing activities may result from the legal obligations to prevent money laundering and terrorist financing according to the provi-sions of the Austrian Money Laundering Act ("Finanzmarkt-Geldwäschegesetz" - FM-GwG) or locally applicable anti-money-laundering laws.

Purposes and Legal Bases of the Data Processing

We process the personal data collected for the purpose of manag-ing and fulfilling the insurance contracts for which AXA XL is the insurer. Your data will be processed in particular for the following purposes:

  • The performance of an insurance contract with AXA XL and/or the associated pre-contractual measures (Art. 6 (1) (b) GDPR), including the processing and profiling required for risk assessments as well as customer satisfaction or opinion surveys, in particular for the following purposes:
    • The engrossment, management (including commer-cial purposes) and fulfilment of your insurance con-tract, in the event of a claim in which you are the in-jured party, the assessment and settlement of the same, as well as the processing of complaints and reclamations.
    • The performance of statistical and actuarial studies and drafting of risk assessments, selections, tests, and ratings for the purpose of calculating the insur-ance premium.
    • The collection and processing of data relating to criminal offences, convictions, or security measures insofar as those can be attributed to the insured risk and/or the processing of which is required by insur-ance law.
    • Advice on possible contract adjustments or supple-ments, fulfilment of information requests and good-will decisions.
  • Furthermore, we process your personal data in fulfilment of legal obligations to which we as data controller are subject according to Art. 6 (1) (c) GDPR. These include in particular:
    • the processing of claims in which the claimant is not a party to the insurance contract, for example as a third-party beneficiary or injured;
    • the performance of sanction and money laundering checks - particularly regarding the identification of the beneficial ownership - in accordance with the applicable money laundering legislation and sanc-tion regimes;
    • The performance of statistical and actuarial studies and drafting of risk assessments, selections, tests, and ratings within the framework of the legal obliga-tions affecting us from Art. 48 of Directive 138/2009/EC (“Solvency II”) and the implementing laws of the EU member states and the EEA derived therefrom;
    • compliance with regulatory requirements, including retention obligations set forth in commercial and tax legislation, and our advisory obligations.
  • Additionally, we also process your data for the purposes of the legitimate interests pursued by us or by a third party. This processing is based on Art. 6 (1) (f) GDPR and concerns, among others, the following cases:
    • to ensure IT security and operations, including tests (insofar it is not already required in the context of the performance of the contract or the fulfilment of a le-gal obligation);
    • subject to your objection, to advertise our own insur-ance products and the products of the AXA group and its cooperation partners as well as for market and opinion surveys;
    • to prevent and investigate criminal offenses, insofar as it is not already prescribed by a statutory or regu-latory obligation; in particular, we use analyses and research (also in publicly accessible sources) to de-tect indications of insurance fraud;
    • for risk management within AXA XL and the AXA Group as a whole;
    • for business management and the development of processes, services, and products.
  • In certain cases, we also process your personal data for the purpose of the development and/or improvement of statistical learning models using machine learning and other artificial intelligence (AI) technologies. These models are subsequently being used productively in our various automation processes, namely in the area of au-tomated categorisation of unstructured data, the man-agement of our business processes (such as the auto-mated allocation of incoming correspondence) as well as for purposes of statistical actuarial calculations and pricing models.
    • The processing of your personal data for the devel-opment and/or improvement of our statistical learn-ing models is based on our legitimate interest in op-timising our internal business processes. Here, we particularly undertake to work towards complete or partial anonymisation and/or pseudonymisation of your data within the scope of our technical possibili-ties. This applies particularly to the processing of special categories of personal data, which also ne-cessitates an applicable permitting statute as re-ferred to in Art. 9 (2) (b) - (j) GDPR or your express consent within the meaning of Art. 9 (2) (a) GDPR.
    • Where we process your personal data in our existing AI systems (for instance, to correctly allocate an in-coming mail in a claim), such processing would be based on the applicable legal ground associated with the purpose pursued by that activity.

Regarding these legitimate interests, we ensure by means of internal control and assessment procedures their compliance with the applicable statutory and legal situation and that the interests or fundamental rights and freedoms of the data subject do not outweigh them.

If you are affected by one of these processing activities and would like to ascertain whether the circumstances in your specific situation led to an overriding of your interests, please contact our data protection officer at any time and request a copy of the proportionality assessment.

Transfers and Recipients of Personal Data

The personal data collected may be transferred to contractual partners of AXA XL who are involved in the conclusion, manage-ment and performance of the contract as well as the other afore-mentioned processing activities. These include, among others:

  • other insurance and reinsurance companies;
  • Insurance intermediaries (e.g., insurance brokers, agents, ...);
  • physicians, experts and appraisers (e.g., for claims settlement, assessing risks, and compensation obligations);
  • credit agencies and private investigators (for credit checks and/or to prevent and investigate insurance fraud);
  • lawyers (advisory and in case of representation in litigation) and
  • other service providers (e.g. external consultants, administrators, IT service providers, etc.)

Data Processing Within the AXA Group:

Additionally, certain processing tasks and functions within our group are performed centrally by specialised companies or de-partments. In case of an insurance contract between you and one or more group companies, your data may be processed centrally by a company in our group, such as for the central management of your contact details, telephone customer service, contract processing including service and claims handling, for encash-ment and disbursements, or for mail processing.

Other Recipients:

Furthermore, our legal obligations may require us in certain cases to transfer your data to other recipients, in particular authorities (e.g., social security institutions, tax authorities, and supervisory or judicial authorities), credit institutions, tax consultants and statutory auditors.

Finally, it may also be necessary to share your personal data with potential buyers or selected partners in connection with extraor-dinary business transactions (including the analysis of economic, legal, tax and financial conditions – “due diligence”), such as mergers, company sales and other transactions.

Third Country Data Transfers

Insofar as personal data is transferred to countries outside the European Economic Area, we ensure that this is done exclusively in accordance with Union law and the applicable statutory provi-sions:

According to Art. 45 GDPR, transfers to third countries, where the EU Commission has decided that that those ensure an adequate level of protection, do not require any special approval. This currently includes Andorra, Argentina, Canada (commercial entities only), the Faroe Islands, Guernsey, Israel, the Isle of Man, Japan, Jersey, New Zealand, Switzerland, South Korea, Uruguay and the United Kingdom.

Transfers to companies within AXA group are also based on Binding Corporate Rules (BCR) in accordance with Article 47 GDPR.

Insofar as transfers are not covered by one of the aforementioned legal instruments, AXA XL ensures in accordance with Art. 44 et seq. GDPR that the adequacy of the level of data protection is ensured by the conclusion of EU standard contractual clauses in accordance with Art. 46 GDPR.

In addition, AXA XL has implemented additional contractual, organisational, and technical measures to ensure that recipients meet their obligations under the binding corporate rules and the EU standard contractual clauses, which also includes their en-forceability.

These measures include modern encryption of personal data (in transit and at rest), pseudonymisation of data, restriction of access to personal data, and contractual and organisational transparency and information obligations.

With regard to all recipients, AXA XL has evaluated the risks asso-ciated with the transfer to the respective third countries and has documented them accordingly in a report (“Transfer Risk Assess-ment” - TIA).

For further questions, information, and documentation on our international data transfers, please contact our data protection officer.

Data Retention

Generally, we store and process your personal data only for as long as is necessary for the purposes for which they are being processed.

If we store your data beyond this period, we do so either for com-pliance with an applicable statutory retention period (e.g. due to tax, commercial or social law regulations) or because your data may be required for the establishment, exercise or defence of legal claims. In the latter case, the retention period is determined by the applicable statute of limitations.

In Austria, the retention periods under tax, commercial and social law are generally at 7 years and 8 years in Hungary. The general statutory limitation period for civil claims is three years in Hunga-ry, but may be extended to up to 10 years, particularly in cases involving personal injury.

Since the retention periods may vary considerably depending on the processing and the respective situation, we kindly ask you to contact our data protection officer in case of specific inquiries.

Data Subject Rights

You may exercise the following rights against us at one the aforementioned addresses:

Confirmation and access to the personal data concerning you (Article 15 GDPR);

Rectification or completion of inaccurate or incomplete data (Art. 16 GDPR);

Immediate erasure of data concerning you (Art. 17 GDPR), or the restriction of the processing in accordance with Art. 18 GDPR, if a deletion should is not yet to be considered for reasons pursuant to Art. 17(3) GDPR;

Reception of the data concerning you, and which have been provided by you, in a structured, common, and machine-readable format as well as transmission of those data to other provid-ers/controllers (Art. 20 GDPR).

Right to Object

You have the right to object to the processing of your per-sonal data for direct marketing purposes.

Where we process your data to pursue our legitimate inter-ests, you may object to this processing on grounds relating to your particular situation that contradict data processing.

If we should process your data based on consent as referred to in Art. 7 GDPR, you also have the right to withdraw this consent at any given time and without providing any justification. Any con-sent is generally obtained by means of a separate written declara-tion, in which you are again expressly informed about your right of withdrawal and the processing activities performed based on this consent.

Furthermore, you have the right to lodge a complaint with the supervisory authorities listed below, if you are of the opinion that the processing of personal data relating to you infringes any of the data protection regulations (Art. 77 GDPR).

Finally, we would like to inform you that none of the processes used during the processing of your personal data makes you subject to a solely automated individual decision-making. To the extent automated decisions are made through our processes - especially when using AI technologies - these are exclusively upstream administrative processes serving the preparation of a final decision made by a natural person. Thereby, we ensure by means of appropriate internal control procedures, training, and guidelines that the final decision-making processes are not ad-versely affected by the automated upstream processing and that they remain transparent and auditable at any time.

Lead data protection supervisory authority within the meaning of Art. 56, 60 GDPR:

Data Protection Commission
(An Coimisiún um Chosaint Sonraí)
21 Fitzwilliam Square South
Dublin 2
D02 RD28
Ireland

Data protection authority for the fulfilment of tasks and exercise of competences in the territory of the Republic of Austria (Art. 55, 60 GDPR):

Datenschutzbehörde (Data Protection Authority)
Barichgasse 40-42
1030 Wien (Vienna)
Austria

Data protection authority for the fulfilment of tasks and exercise of competences in the territory of Hungary (Art. 55, 60 GDPR):

Nemzeti Adatvédelmi és Információszabadság Hatóság (National Authority for Data Protection and Freedom of Infor-mation)

Headquarter: HU-1125 Budapest, Szilágyi Erzsébet fasor 22/C Mailing Address: 1530 Budapest, Pf.: 5.

A complaint as referred to in Art. 77 GDPR can be lodged with either of the three authorities. You are therefore free to decide which authority to contact; please note, however, that complaints in Hungarian should be directed exclusively to the National Authority for Data Protection and Freedom of Information. Your complaint is likely to be communicated between the three authorities according to their different competences under Art. 55 and 56 GDPR.

Last Status: 02/2026

Privacy Pages
THIS AXA WEBSITE USES COOKIES

AXA XL, as a controller, uses cookies to provide its services, improve user experience, measure audience engagement, and interact with users’ social network accounts among others. Some of these cookies are optional and we won't set optional cookies unless you enable them by clicking the "ACCEPT ALL" button. You can disable these cookies at any time via the "How to manage your cookie settings" section in our cookie policy.

Find Out More About the Cookie Policy Privacy Notice
Accept All
Refuse All
Cookie Settings