Insurance
Insurance
Product Family
Product Family
Industries
Industries
Reinsurance
Reinsurance
Explore our offerings
Explore our offerings
Claims
Claims
Risk Consulting
Risk Consulting
Fast Fast Forward
Fast Fast Forward
Resources & Tools
Resources & Tools
Resources and Tools
Resources and Tools
About AXA XL
About AXA XL
About AXA XL
About AXA XL
Media Center
Media Center
Careers
Careers
Get In Touch
Get In Touch

Privacy Notice

Read in Polish

Read in English

INFORMACJA O OCHRONIE DANYCH OSOBOWYCH

Za pośrednictwem tego zawiadomienia informujemy Cię o zbieraniu, użytkowaniu, transferze i ochronie Państwa danych osobowych, a także o prawach, do których masz prawo w zakresie dostępu, wykorzystania i korekty tych danych.

Niniejsze zawiadomienie dotyczy wszystkich osób fizycznych, których dane osobowe są przetwarzane w ramach zawartej umowy ubezpieczeniowej. Jeśli osoby objęte przetwarzaniem nie są identyczne z ubezpieczonym (np. współubezpieczeni, beneficjenci lub osoby trzecie poszkodowane), to ubezpieczony jest zobowiązany do poinformowania tych osób, przekazując im to powiadomienie.

Administrator danych w rozumieniu art. 4 nr 7 RODO

XL Insurance Company SE
XL Catlin Services SE

Wolfe Tone House
Wolfe Tone Street
Dublin 1
D01 HP90
Irlandia

Dane kontaktowe odpowiedzialnych oddziałów dla Austrii, Europy Środkowej i Południowo-Wschodniej (CSEE):

XL Insurance Company SE - Zweigniederlassung für Österreich XL Catlin Services SE - Zweigniederlassung für Österreich

Tuchlauben 3
1010 Wien (Wiedeń)
Austria

Inspektor Ochrony Danych

Jeśli chcesz uzyskać informacje na temat swoich praw lub masz pytania dotyczące przetwarzania danych osobowych, skontaktuj się z naszym inspektorem ds. ochrony danych, z którym można się skontaktować pocztą pod jednym z powyższych adresów lub mailowo pod adresem dataprivacy@axaxl.com.

Zobowiązujemy się współpracować z Tobą, aby znaleźć sprawiedliwe rozwiązanie wszelkich skarg lub wątpliwości dotyczących ochrony danych. Jeśli uważasz, że nie mogliśmy pomóc Ci w sprawie skargi lub problemu, masz prawo złożyć skargę do odpowiednich organów ochrony danych (poniżej dane kontaktowe).

Dane i kategorie danych, które mogą być przet-warzane

Przetwarzamy Państwa dane osobowe zgodnie z Ogólnym Rozporządzeniem UE o ochronie danych (RODO), austriacką Ustawą o Ochronie Danych Osobowych (DSG), Polską Ustawą z 10 maja 2018 roku o ochronie danych osobowych oraz obowiązującymi przepisami dotyczącymi lub gwarantującymi ochronę prywatności danych w ramach obowiązujących austri-ackich i polskich przepisów ubezpieczeniowych.

Przetwarzamy dane osobowe, które zostały nam udostępnione w ramach wniosku i/lub zawarcia umowy ubezpieczeniowej i które są wymagane do prawidłowego wykonania relacji umownej (w tym rozpatrywania skarg).

W przypadku zgłoszenia roszczenia lub wniosku o od-szkodowanie, wymagamy danych osobowych do oceny naszego obowiązku zapłaty oraz ustalenia wysokości odszkodowania, które należy wypłacić.

Podczas zawierania umowy odpowiedź na niektóre pytania jest obowiązkowa. Bez tych informacji nie jest możliwe ani zawarcie, ani spełnienie umowy, ani rozpatrzenie roszczen-ia.

W szczególności przetwarzamy następujące dane i kategorie danych:

  • Dane główne i umowy (np. imię i nazwisko, adres, dane kontaktowe, stan cywilny, zawód, daty rozpoczęcia i wygaśnięcia, szczegóły ryzyka podlegającego ubezpieczeniu)
  • Specjalne kategorie danych osobowych (np. dane zdrowotne)
  • Informacje o sytuacjach osobistych (np. dane o zdolności kredytowej, majątku materialnym)
  • Dane dotyczące Państwa roszczeń oraz inne dane wynikające z wypełnienia naszych zobowiązań prawnych
  • Dane dotyczące kontaktów do Ciebie oraz przetwarzania transakcji
  • Okoliczności zaangażowania podmiotów danych (np. ubezpieczony, ubezpieczony, poszkodowany, świadek)
  • Pełnomocnictwa
  • Dane perspektyw

Konieczność przetwarzania określonych kategorii danych osobowych zależy od wymagań umowy ubezpieczeniowej lub wynika z innych okoliczności związanych z naszymi usługami ubezpieczeniowymi (np. rozliczenie rożeń). Wszelkie zgody, które mogą być wymagane w takim przypadku, w szczególności zgodnie z artykułem 9 ust. 2 (a) i artykułem 7 RODO, będą zbierane osobno, gdy będzie to konieczne.

Dodatkowo, AXA XL przetwarza również dane osobowe dotyczące wyroków karnych i przestępstw w niektórych przypadkach. Dotyczy to szczególnie roszczeń wynikających z nielegalnego zachowania ze strony ubezpieczonego, poszkodowanego lub osoby trzeciej. Dalsze działania przetwarzające mogą wynikać z prawnych obowiązków zapobiegania praniu pieniędzy i fi-nansowaniu terroryzmu zgodnie z przepisami austriackiej ustawy o praniu pieniędzy ("Finanzmarkt-Geldwäschegesetz" – FM-GwG) lub lokalnym przepisami antypraniającym pieniądze.

Cele i podstawy prawne przetwarzania danych

Przetwarzamy zebrane dane osobowe w celu zarządzania i real-izacji umów ubezpieczeniowych, dla których ubezpieczycielem jest AXA XL. Państwa dane będą przetwarzane w szczególności w następujących celach:

  • Wykonanie umowy ubezpieczeniowej z AXA XL i/lub powiązanych środków przedkontraktowych (art. 6 ust. 1 (b) RODO), w tym przetwarzanie i profilowanie wymagane do oceny ryzyka oraz ankiet satysfakcji klientów lub opinii, w szczególności w następujących celach:
    • Zaangażowanie, zarządzanie (w tym cele komer-cyjne) oraz realizację umowy ubezpieczeniowej w przypadku roszczenia, w którym jesteś stroną poszkodowaną, ocenę i ugodę w jego sprawie, a także rozpatrywanie skarg i rekultywacji.
    • Wykonywanie badań statystycznych i aktuarialnych oraz sporządzanie ocen ryzyka, selekcji, testów i ocen w celu obliczania składki ubezpieczeniowej.
    • Zbieranie i przetwarzanie danych dotyczących przestępstw, wyroków skazań lub środków bezpiec-zeństwa, o ile można je przypisać ubezpieczenio-wemu ryzyku i/lub którego przetwarzanie jest wyma-gane przez prawo ubezpieczeniowe.
    • Porady dotyczące możliwych zmian lub uzupełnień umów, spełniania wniosków informacyjnych oraz decyzji goodwill.
    • Ponadto przetwarzamy Państwa dane osobowe w ramach spełnienia obowiązków prawnych, którym my, jako kontroler danych, podlegamy zgodnie z art. 6 ust. 1 (c) RO-DO. Należą do nich w szczególności:
      • rozpatrywanie roszczeń, w których powód nie jest stroną umowy ubezpieczeniowej, na przykład jako beneficjent trzeci lub poszkodowany;
      • wykonywanie kontroli sankcji i prania pieniędzy – szczególnie w zakresie identyfikacji rzeczywistego właściciela – zgodnie z obowiązującymi przepisami i reżimami sankcyjnymi dotyczącymi prania pieniędzy;
      • Wykonywanie badań statystycznych i aktuarialnych oraz sporządzanie ocen ryzyka, selekcji, testów i ocen w ramach zobowiązań prawnych obowiązujących nas z art. 48 Dyrektywy 138/2009/WE ("Solventność II") oraz wynikających z nich prze-pisów wykonawczych państw członkowskich UE i EGP;
      • Zgodność z wymogami regulacyjnymi, w tym obowiązki retencyjne określone w prawie hand-lowym i podatkowym oraz nasze obowiązki doradcze.
    • Ponadto przetwarzamy Państwa dane w celach uzasadnionych interesów realizowanych przez nas lub przez osoby trzecie. Przetwarzanie to opiera się na art. 6 ust. 1 (f) RODO i dotyczy między innymi następujących przypadków:
      • zapewnienie bezpieczeństwa IT i jego funkcjonowan-ia, w tym testów (o ile nie jest to już wymagane w kontekście realizacji umowy lub spełnienia obowiązku prawnego);
      • z zastrzeżeniem sprzeciwu, reklamować własne produkty ubezpieczeniowe oraz produkty grupy AXA i jej partnerów współpracy, a także prowadzić bada-nia rynkowe i opiniotwórcze;
      • zapobieganie i prowadzenie dochodzeń w sprawach karnych, o ile nie jest to już określone przez usta-wowe lub regulacyjne zobowiązanie; w szczególności korzystamy z analiz i badań (również w publicznie dostępnych źródłach) do wykrywania oznak oszustw ubezpieczeniowych;
      • za zarządzanie ryzykiem w ramach AXA XL oraz całej Grupy AXA;
      • do zarządzania biznesem oraz rozwoju procesów, usług i produktów.
    • W niektórych przypadkach przetwarzamy również Państwa dane osobowe w celu opracowania i/lub ulepszania modeli uczenia statystycznego z wykorzystaniem uczenia maszynowego i innych technologii sztucznej inteligencji (SI). Modele te są następnie produktywnie wykorzystywane w naszych różnych procesach automatyzacji, zwłaszcza w obszarze automatycznej kategoryzacji danych nieustrukturyzowanych, zarządzania procesami biznesow-ymi (takich jak zautomatyzowana alokacja przychodzącej korespondencji), jak również do celów statystycznych obliczeń aktuarialnych i modeli cenowych.
      • Przetwarzanie Państwa danych osobowych w celu rozwoju i/lub ulepszania naszych modeli uczenia się statystycznego opiera się na naszym uzasadnionym interesie optymalizacji wewnętrznych procesów biznesowych. Szczególnie zobowiązujemy się do całkowitej lub częściowej anonimizacji i/lub pseu-donimizacji Państwa danych w ramach naszych możliwości technicznych. Dotyczy to szczególnie przetwarzania specjalnych kategorii danych osobowych, które również wymaga stosowania obowiązującej ustawy zezwalającej na pozwolenie, jak wskazano w art. 9 ust. 2 (b) - (j) RODO lub Państ-waj wyraźnej zgody w rozumieniu art. 9 ust. 2 (a) ROD.
      • Gdy przetwarzamy Państwa dane osobowe w naszych istniejących systemach I (na przykład w celu prawidłowego przypisania przychodzącej poczty w roszczeniu), takie przetwarzanie opiera się na od-powiednich podstawach prawnych związanych z celem danej działalności.

    W odniesieniu do tych uzasadnionych interesów zapewniamy, dzięki procedurom kontroli wewnętrznej i ocenie, ich zgodność z obowiązującą sytuacją ustawową i prawną oraz że interesy lub podstawowe prawa i wolności podmiotu danych nie przeważają nad nimi.

    Jeśli jesteś dotknięty jedną z tych czynności przetwarzania i chciałbyś ustalić, czy okoliczności w Państwaj konkretnej sytuacji doprowadziły do przeważenia nad twoimi in-teresami, skontaktuj się z naszym inspektorem ds. ochrony danych w dowolnym momencie i poproś o kopię oceny pro-porcjonalności.

    Transfery i odbiorcy danych osobowych

    Zebrane dane osobowe mogą być przekazywane partnerom kon-traktowym AXA XL, którzy uczestniczą w zawieraniu, zarządzaniu i realizacji umowy, a także w innych wcześniej wymienionych czynnościach przetwarzania. Należą do nich między innymi:

    • inne firmy ubezpieczeniowe i reasekuracyjne;
    • Pośrednicy ubezpieczeniowi (np. brokerzy ubezpieczeniowi, agenci, ...);
    • lekarzy, eksperci i rzeczoznawcy (np. do rozliczania roszczeń, oceny ryzyka i zobowiązań odszkodowawczych);
    • agencje kredytowe i prywatni detektywi (do kontroli kredytowej i/lub zapobiegania i prowadzenia śledztw w zakresie oszustw ubezpieczeniowych);
    • prawnicy (doradczy oraz w przypadku reprezentacji w postępowaniach sądowych) oraz
    • innych dostawców usług (np. zewnętrznych konsultantów, administratorów, dostawców usług IT itp.)

    Przetwarzanie danych w ramach Grupy AXA:

    Dodatkowo, niektóre zadania i funkcje przetwarzania w naszej grupie są wykonywane centralnie przez wyspecjalizowane firmy lub działy. W przypadku umowy ubezpieczeniowej między Tobą a jedną lub kilkoma spółkami grupy, Państwa dane mogą być przetwarzane centralnie przez firmę należącą do naszej grupy, na przykład do centralnego zarządzania danymi kontaktowymi, obsługi telefonicznej, przetwarzania umów w tym obsługi i ob-sługi roszczeń, do realizacji i wypłat lub do obsługi poczty.

    Inni laureaci:

    Ponadto nasze obowiązki prawne mogą wymagać w określonych przypadkach przekazania Państwa danych innym odbiorcom, konkretnym organom (np. instytucjom ubezpieczenia społecznego, organom podatkowym oraz organom nadzorczym lub sądowym), instytucjom kredytowym, doradcom podatkowym oraz audytorom ustawowym.

    Wreszcie, może być również konieczne udostępnienie swoich danych osobowych potencjalnym nabywcom lub wybranym partnerom w związku z nadzwyczajnymi transakcjami biznesow-ymi (w tym analizą warunków ekonomicznych, prawnych, podat-kowych i finansowych – "due diligence"), takimi jak fuzje, sprzed-aż firm i inne transakcje.

    Transfery danych z krajów trzecich

    W zakresie, w jakim dane osobowe są przekazywane do krajów spoza Europejskiego Obszaru Gospodarczego, zapewniamy, że odbywa się to wyłącznie zgodnie z prawem Unii oraz obowiązującymi przepisami ustawowymi:

    Zgodnie z art. 45 RODO transfery do krajów trzecich, gdzie Komis-ja Europejska uznała, że zapewniają odpowiedni poziom ochrony, nie wymagają specjalnej zgody. Obecnie obejmuje to Andorę, Argentynę, Kanadę (tylko podmioty handlowe), Wyspy Owcze, Guernsey, Izrael, Wyspę Man, Japonię, Jersey, Nową Zelandię, Szwajcarię, Koreę Południową, Urugwaj oraz Wielką Brytanię.

    Transfery do firm w ramach grupy AXA opierają się również na Wiążących Zasadach Korporacyjnych (BCR) zgodnie z artykułem 47 RODO.

    W zakresie, w jakim transfery nie są objęte jednym z wy-mienionych aktów prawnych, AXA XL zapewnia zgodnie z art. 44 i nast. RODO, że adekwatność poziomu ochrony danych jest zapewniona przez zawarcie standardowych klauzul umów UE zgodnie z art. 46 RODO.

    Ponadto AXA XL wdrożyła dodatkowe środki umowne, organi-zacyjne i techniczne, aby zapewnić, że odbiorcy spełniają swoje zobowiązania wynikające z wiążących zasad korporacyjnych oraz standardowych klauzul umownych UE, które obejmują także ich wykonalność.

    Środki te obejmują nowoczesne szyfrowanie danych osobowych (w tranzycie i w spoczynku), pseudonimizację danych, ograni-czenie dostępu do danych osobowych oraz zobowiązania dotyczące przejrzystości i informacji umownej i organizacyjnej.

    W odniesieniu do wszystkich odbiorców, AXA XL oceniła ryzyka związane z transferem do odpowiednich krajów trzecich i od-powiednio je udokumentowała w raporcie ("Transfer Risk As-sessment" – TIA).

    W przypadku dalszych pytań, informacji i dokumentacji dotyczących naszych międzynarodowych transferów danych prosimy o kontakt z naszym oficerem ds. ochrony danych.

    Retencja danych

    Zazwyczaj przechowujemy i przetwarzamy Państwa dane osobowe tylko tak długo, jak jest to konieczne do celów, w których są one przetwarzane.

    Jeśli przechowujemy Państwa dane po tym okresie, robimy to albo w celu spełnienia obowiązującego ustawowego okresu przechowywania (np. ze względu na przepisy podatkowe, hand-lowe lub społeczne), albo dlatego, że Państwa dane mogą być wymagane do ustanowienia, wykonania lub obrony roszczeń prawnych. W tym drugim przypadku okres zatrzymania jest określany przez obowiązujący termin przedawnienia.

    W Austrii okresy utrzymania według prawa podatkowego, hand-lowego i społecznego wynoszą zazwyczaj 7 i 5 lat w Polsce. Ogól-ny ustawowy okres przedawnienia roszczeń ubezpieczeniowych w Polsce wynosi trzy lata, jednak wyjątki mogą się wahać od 1 roku (ubezpieczenie transportu) do nawet 20 lat, zwłaszcza w przypad-ku deliktów.

    Ponieważ okresy przechowywania mogą się znacznie różnić w zależności od procesu przetwarzania i sytuacji, uprzejmie prosimy o kontakt z naszym inspektorem ds. ochrony danych w przypadku konkretnych zapytań.

    Prawa podmiotów danych

    Możesz skorzystać z następujących praw wobec nas pod jednym z wymienionych adresów:

    • Potwierdzenie i dostęp do danych osobowych dotyczących Ciebie (artykuł 15 RODO);
    • Sprostowanie lub uzupełnienie niedokładnych lub niepełnych danych (art. 16 RODO);
    • Natychmiastowe usunięcie danych dotyczących Ciebie (art. 17 RODO) lub ograniczenie przetwarzania zgodnie z art. 18 ROD, jeśli usunięcie nie jest jeszcze rozpatrywane z powodów wynikających z art. 17 ust. 3 ROD;
    • Odbiór danych dotyczących Ciebie, które zostały przez Ciebie dostarczone, w uporządkowanym, wspólnym i maszynowo czytelnym formacie, a także przekazanie tych danych innym dostawcom/kontrolerom (art. 20 RODO).

    Prawo do wniesienia sprzeciwu

    Mają Państwo prawo sprzeciwić się przetwarzaniu swoich danych osobowych w celach marketingu bezpośredniego.

    Jeżeli przetwarzamy Państwa dane w celu realizacji naszych uzasadnionych interesów, mogą Państwo sprzeciwić się takiemu przetwarzaniu z przyczyn związanych z Państwa szczególną sytuacją, które stoją w sprzeczności z przet-warzaniem danych.

    Jeśli będziemy przetwarzać Państwa dane na podstawie zgody, zgodnie z art. 7 RODO, masz również prawo wycofać tę zgodę w dowolnym momencie bez podawania uzasadnienia. Każda zgoda jest zazwyczaj uzyskiwana za pomocą osobnego pisemnego oświadczenia, w którym ponownie jesteś wyraźnie informowany o swoim prawie do wycofania się oraz o działaniach przet-warzających na podstawie tej zgody.

    Ponadto masz prawo złożyć skargę do wymienionych poniżej organów nadzorczych, jeśli uważasz, że przetwarzanie danych osobowych dotyczących Ciebie narusza którekolwiek z przepisów dotyczących ochrony danych osobowych (art. 77 RODO).

    Na koniec chcielibyśmy poinformować, że żaden z procesów stosowanych podczas przetwarzania Państwa danych osobowych nie podlega wyłącznie automatycznemu, indywidu-alnemu podejmowaniu decyzji. W zakresie, w jakim decyzje au-tomatyczne są podejmowane przez nasze procesy – zwłaszcza przy wykorzystaniu technologii AI – są to wyłącznie procesy ad-ministracyjne służące przygotowaniu ostatecznej decyzji podjętej przez osobę fizyczną. Dzięki temu zapewniamy, dzięki od-powiednim procedurom kontroli wewnętrznej, szkoleniom i wytycznym, że ostateczne procesy decyzyjne nie są negatywnie wpływane przez zautomatyzowane przetwarzanie w górnym toku i że pozostają przejrzyste i podlegające audytowi w każdym mo-mencie.

    Główny organ nadzorujący ochronę danych w rozumieniu art. 56, 60 RODO:

    Data Protection Commission
    (An Coimisiún um Chosaint Sonraí)

    21 Fitzwilliam Square South
    Dublin 2
    D02 RD28
    Irlandia

    Organ ochrony danych osobowych do realizacji zadań i wykonywania kompetencji na terytorium Republiki Austrii (art. 55, 60 ROD):

    Datenschutzbehörde (Urząd Ochrony Danych)

    Barichgasse 40-42
    1030 Wien (Wiedeń)
    Austria

    Organ ochrony danych osobowych do realizacji zadań i wykonywania kompetencji na terytorium Rzeczypospolitej Polskiej (art. 55, 60 ROD):

    Urząd Ochrony Danych Osobowych (UODO)

    ul. Stanisława Moniuszki 1A
    00-014 Warszawa
    Polska

    Skargę wymienioną w art. 77 RODO można złożyć do któregokol-wiek z trzech organów. Masz więc swobodę wyboru, do którego organu się zwrócić; należy jednak pamiętać, że skargi w języku polskim należy kierować wyłącznie do Urzędu ds. Ochrony Danych Osobowych. Twoja skarga prawdopodobnie zostanie przekazana pomiędzy trzema organami zgodnie z ich różnymi kompetencjami na podstawie art. 55 i 56 RODO.

    Aktualizacja: 02/2026

     

    Privacy Notice

    By means of this notice, we are informing you about the collec-tion, use, transfer and protection of your personal data, as well as the rights to which you are entitled concerning the access, use and rectification of this data.

    This notice applies to all natural persons whose personal data is processed within the scope of a concluded insurance contract. If the persons affected by the processing are not identical with the policyholder (e.g. co-insured, third-party beneficiaries or third-party injured), it is incumbent on the policyholder to inform these persons by providing them with this notice.

    Data Controller within the Meaning of Art. 4 No 7 GDPR

    XL Insurance Company SE
    XL Catlin Services SE

    Wolfe Tone House
    Wolfe Tone Street
    Dublin 1
    D01 HP90
    Ireland

    Contact Details of the Responsible Branches for Austria, Central, and Southeastern Europe (CSEE):

    XL Insurance Company SE - Zweigniederlassung für Österreich
    XL Catlin Services SE - Zweigniederlassung für Österreich

    Tuchlauben 3
    1010 Wien (Vienna)
    Austria

    Data Protection Officer

    If you would like information about your rights or have any ques-tions concerning the processing of your personal data, please reach out to our data protection officer, who can be reached by postal mail at one of the above addresses or by email at dataprivacy@axaxl.com.

    We will undertake to work with you to find a fair solution to any complaints or concerns you may have regarding data protection. Should you feel that we have been unable to help you with your complaint or concern, you have the right to lodge a complaint with the relevant data protection authorities (see below for the contact details).

    Data and Data Categories that May be Processed

    We process your personal data in compliance with the EU General Data Protection Regulation (GDPR), the Austrian Data Protection Act (DSG), the Polish Act of 10 May 2018 on the Protection of Per-sonal Data, as well as the applicable provisions affecting or ensur-ing data privacy within the applicable Austrian and Polish insur-ance regulation.

    We process personal data that has been made available to us as part of the application and/or conclusion of the insurance contract and that is required for the proper performance of the contractual relationship (including complaint handling).

    In the event of a claim notification or the assertion of an indemnifi-cation, we require the personal data to assess our obligation to pay and to determine the amount of the indemnification to be paid.

    During the contractual conclusion, the response to certain ques-tions is mandatory. Without this information, neither the con-clusion nor the fulfilment of the contract or the processing of a claim is possible.

    In particular, we process the following data and data categories:

    • Master and contract data (e.g. name, address, contact details, marital status, occupation, start and expiry dates, details of the risk to be insured)
    • Special categories of personal data (e.g. health data)
    • Information about personal situations (e.g. creditworthiness data, material assets)
    • Data on your claims and other data arising from the fulfilment of our legal obligations
    • Data on contacts to you and on transaction processing
    • Circumstances of the involvement of the data subjects (e.g. policyholder, insured person, injured party, witness)
    • Powers of attorney
    • Data of prospects

    The necessity to process special categories of personal data de-pends on the requirements of the insurance contract or arises from other circumstances in connection with our insurance services (e.g., claims settlement). Any consents that may be required in that case, in particular pursuant to Article 9 (2) (a) and Article 7 GDPR, will be collected separately when necessary.

    Additionally, AXA XL also processes personal data on criminal convictions and criminal offenses in certain cases. This applies in particularly to claims that are rooted in an illegal behaviour on the part of the insured, the injured, or a third party. Further processing activities may result from the legal obligations to prevent money laundering and terrorist financing according to the provisions of the Austrian Money Laundering Act ("Finanzmarkt-Geldwäschegesetz" - FM-GwG) or locally applicable anti-money-laundering laws.

    Purposes and Legal Bases of the Data Processing

    We process the personal data collected for the purpose of manag-ing and fulfilling the insurance contracts for which AXA XL is the insurer. Your data will be processed in particular for the following purposes:

    • The performance of an insurance contract with AXA XL and/or the associated pre-contractual measures (Art. 6 (1) (b) GDPR), including the processing and profiling required for risk assessments as well as customer satisfaction or opin-ion surveys, in particular for the following purposes:
      • The engrossment, management (including commer-cial purposes) and fulfilment of your insurance con-tract, in the event of a claim in which you are the in-jured party, the assessment and settlement of the same, as well as the processing of complaints and rec-lamations.
      • The performance of statistical and actuarial studies and drafting of risk assessments, selections, tests, and ratings for the purpose of calculating the insurance premium.
      • The collection and processing of data relating to crim-inal offences, convictions, or security measures insofar as those can be attributed to the insured risk and/or the processing of which is required by insurance law.
      • Advice on possible contract adjustments or supple-ments, fulfilment of information requests and goodwill decisions.
    • Furthermore, we process your personal data in fulfilment of legal obligations to which we as data controller are subject according to Art. 6 (1) (c) GDPR. These include in particular:
      • the processing of claims in which the claimant is not a party to the insurance contract, for example as a third-party beneficiary or injured;
      • the performance of sanction and money laundering checks - particularly regarding the identification of the beneficial ownership - in accordance with the appli-cable money laundering legislation and sanction re-gimes;
      • The performance of statistical and actuarial studies and drafting of risk assessments, selections, tests, and ratings within the framework of the legal obligations affecting us from Art. 48 of Directive 138/2009/EC (“Solvency II”) and the implementing laws of the EU member states and the EEA derived therefrom;
      • compliance with regulatory requirements, including retention obligations set forth in commercial and tax legislation, and our advisory obligations.
    • Additionally, we also process your data for the purposes of the legitimate interests pursued by us or by a third party. This processing is based on Art. 6 (1) (f) GDPR and concerns, among others, the following cases:
      • to ensure IT security and operations, including tests (insofar it is not already required in the context of the performance of the contract or the fulfilment of a legal obligation);
      • subject to your objection, to advertise our own insur-ance products and the products of the AXA group and its cooperation partners as well as for market and opinion surveys;
      • to prevent and investigate criminal offenses, insofar as it is not already prescribed by a statutory or regulatory obligation; in particular, we use analyses and research (also in publicly accessible sources) to detect indica-tions of insurance fraud;
      • for risk management within AXA XL and the AXA Group as a whole;
      • for business management and the development of processes, services, and products.
    • In certain cases, we also process your personal data for the purpose of the development and/or improvement of statistical learning models using machine learning and other artificial intelligence (AI) technologies. These models are subsequently being used productively in our various automation processes, namely in the area of automated categorisation of unstructured data, the management of our business processes (such as the automated allocation of incoming correspondence) as well as for purposes of statistical actuarial calculations and pricing models.
      • The processing of your personal data for the develop-ment and/or improvement of our statistical learning models is based on our legitimate interest in optimis-ing our internal business processes. Here, we particu-larly undertake to work towards complete or partial anonymisation and/or pseudonymisation of your data within the scope of our technical possibilities. This applies particularly to the processing of special cate-gories of personal data, which also necessitates an applicable permitting statute as referred to in Art. 9 (2) (b) - (j) GDPR or your express consent within the meaning of Art. 9 (2) (a) GDPR.
      • Where we process your personal data in our existing AI systems (for instance, to correctly allocate an incom-ing mail in a claim), such processing would be based on the applicable legal ground associated with the purpose pursued by that activity.

    Regarding these legitimate interests, we ensure by means of inter-nal control and assessment procedures their compliance with the applicable statutory and legal situation and that the interests or fundamental rights and freedoms of the data subject do not out-weigh them.

    If you are affected by one of these processing activities and would like to ascertain whether the circumstances in your specific situation led to an overriding of your interests, please contact our data protection officer at any time and request a copy of the proportionality assessment.

    Transfers and Recipients of Personal Data

    The personal data collected may be transferred to contractual partners of AXA XL who are involved in the conclusion, manage-ment and performance of the contract as well as the other afore-mentioned processing activities. These include, among others:

    • other insurance and reinsurance companies;
    • Insurance intermediaries (e.g., insurance brokers, agents, ...);
    • physicians, experts and appraisers (e.g., for claims settlement, assessing risks, and compensation obligations);
    • credit agencies and private investigators (for credit checks and/or to prevent and investigate insurance fraud);
    • lawyers (advisory and in case of representation in litigation) and
    • other service providers (e.g. external consultants, administrators, IT service providers, etc.)

    Data Processing Within the AXA Group:

    Additionally, certain processing tasks and functions within our group are performed centrally by specialised companies or de-partments. In case of an insurance contract between you and one or more group companies, your data may be processed centrally by a company in our group, such as for the central management of your contact details, telephone customer service, contract pro-cessing including service and claims handling, for encashment and disbursements, or for mail processing.

    Other Recipients:

    Furthermore, our legal obligations may require us in certain cases to transfer your data to other recipients, in particular authorities (e.g., social security institutions, tax authorities, and supervisory or judicial authorities), credit institutions, tax consultants and statutory auditors.

    Finally, it may also be necessary to share your personal data with potential buyers or selected partners in connection with extraordi-nary business transactions (including the analysis of economic, legal, tax and financial conditions – “due diligence”), such as mergers, company sales and other transactions.

    Third Country Data Transfers

    Insofar as personal data is transferred to countries outside the European Economic Area, we ensure that this is done exclusively in accordance with Union law and the applicable statutory provi-sions:

    According to Art. 45 GDPR, transfers to third countries, where the EU Commission has decided that that those ensure an adequate level of protection, do not require any special approval. This cur-rently includes Andorra, Argentina, Canada (commercial entities only), the Faroe Islands, Guernsey, Israel, the Isle of Man, Japan, Jersey, New Zealand, Switzerland, South Korea, Uruguay and the United Kingdom.

    Transfers to companies within AXA group are also based on Binding Corporate Rules (BCR) in accordance with Article 47 GDPR.

    Insofar as transfers are not covered by one of the aforementioned legal instruments, AXA XL ensures in accordance with Art. 44 et seq. GDPR that the adequacy of the level of data protection is ensured by the conclusion of EU standard contractual clauses in accord-ance with Art. 46 GDPR.

    In addition, AXA XL has implemented additional contractual, or-ganisational, and technical measures to ensure that recipients meet their obligations under the binding corporate rules and the EU standard contractual clauses, which also includes their en-forceability.

    These measures include modern encryption of personal data (in transit and at rest), pseudonymisation of data, restriction of access to personal data, and contractual and organisational transparen-cy and information obligations.

    With regard to all recipients, AXA XL has evaluated the risks asso-ciated with the transfer to the respective third countries and has documented them accordingly in a report (“Transfer Risk Assess-ment” - TIA).

    For further questions, information, and documentation on our international data transfers, please contact our data protection officer.

    Data Retention

    Generally, we store and process your personal data only for as long as is necessary for the purposes for which they are being processed.

    If we store your data beyond this period, we do so either for com-pliance with an applicable statutory retention period (e.g. due to tax, commercial or social law regulations) or because your data may be required for the establishment, exercise or defence of legal claims. In the latter case, the retention period is determined by the applicable statute of limitations.

    In Austria, the retention periods under tax, commercial and social law are generally at 7 years and 5 years in Poland. The general statutory limitation period for insurance claims is three years in Poland, but exceptions may vary between 1 year (transport insur-ance) and up to 20 years, the latter notably in case of tort.

    Since the retention periods may vary considerably depending on the processing and the respective situation, we kindly ask you to contact our data protection officer in case of specific inquiries.

    Data Subject Rights

    You may exercise the following rights against us at one the afore-mentioned addresses:

    • Confirmation and access to the personal data concerning you (Article 15 GDPR);
    • Rectification or completion of inaccurate or incomplete data (Art. 16 GDPR);
    • Immediate erasure of data concerning you (Art. 17 GDPR), or the restriction of the processing in accordance with Art. 18 GDPR, if a deletion should is not yet to be considered for reasons pursuant to Art. 17(3) GDPR;
    • Reception of the data concerning you, and which have been provided by you, in a structured, common, and machine-readable format as well as transmission of those data to other providers/controllers (Art. 20 GDPR).

    Right to Object

    You have the right to object to the processing of your person-al data for direct marketing purposes.

    Where we process your data to pursue our legitimate inter-ests, you may object to this processing on grounds relating to your particular situation that contradict data processing.

    If we should process your data based on consent as referred to in Art. 7 GDPR, you also have the right to withdraw this consent at any given time and without providing any justification. Any con-sent is generally obtained by means of a separate written declara-tion, in which you are again expressly informed about your right of withdrawal and the processing activities performed based on this consent.

    Furthermore, you have the right to lodge a complaint with the supervisory authorities listed below, if you are of the opinion that the processing of personal data relating to you infringes any of the data protection regulations (Art. 77 GDPR).

    Finally, we would like to inform you that none of the processes used during the processing of your personal data makes you sub-ject to a solely automated individual decision-making. To the extent automated decisions are made through our processes - especially when using AI technologies - these are exclusively up-stream administrative processes serving the preparation of a final decision made by a natural person. Thereby, we ensure by means of appropriate internal control procedures, training, and guide-lines that the final decision-making processes are not adversely affected by the automated upstream processing and that they remain transparent and auditable at any time.

    Lead data protection supervisory authority within the mean-ing of Art. 56, 60 GDPR:

    Data Protection Commission
    (An Coimisiún um Chosaint Sonraí)

    21 Fitzwilliam Square South
    Dublin 2
    D02 RD28
    Ireland

    Data protection authority for the fulfilment of tasks and ex-ercise of competences in the territory of the Republic of Aus-tria (Art. 55, 60 GDPR):

    Datenschutzbehörde (Data Protection Authority)

    Barichgasse 40-42
    1030 Wien (Vienna)
    Austria

    Data protection authority for the fulfilment of tasks and ex-ercise of competences in the territory of the Republic of Po-land (Art. 55, 60 GDPR):

    Urząd Ochrony Danych Osobowych (UODO)
    (Office for Personal Data Protection)

    ul. Stanisława Moniuszki 1A
    00-014 Warszawa (Warsaw)
    Poland

    A complaint as referred to in Art. 77 GDPR can be lodged with ei-ther of the three authorities. You are therefore free to decide which authority to contact; please note, however, that complaints in Polish should be directed exclusively to the Office for Personal Data Protection. Your complaint is likely to be communicated between the three authorities according to their different compe-tences under Art. 55 and 56 GDPR.

    Last Status: 02/2026

    Privacy Pages
    THIS AXA WEBSITE USES COOKIES

    AXA XL, as a controller, uses cookies to provide its services, improve user experience, measure audience engagement, and interact with users’ social network accounts among others. Some of these cookies are optional and we won't set optional cookies unless you enable them by clicking the "ACCEPT ALL" button. You can disable these cookies at any time via the "How to manage your cookie settings" section in our cookie policy.

    Find Out More About the Cookie Policy Privacy Notice
    Accept All
    Refuse All
    Cookie Settings