1. Allmänt
I denna dataskyddsbeskrivning för Mandatumkoncernens anonyma rapporteringskanal, dvs. Whistleblowing-kanal, redogör vi för de uppgifter om bolagets behandling av personuppgifter som förutsätts i EU:s allmänna dataskyddsförordning (EU) 2016/679 (nedan ”dataskyddsförordningen”) och annan tillämplig dataskyddslagstiftning.
Vi redogör bland annat för vilka personuppgifter som Mandatumkoncernens bolag (nedan också ”Mandatum”) kan behandla i rapporteringskanalen och för vilka ändamål, till vem vi kan lämna ut dessa uppgifter samt vilka rättigheter du har i fråga om de personuppgifter som behandlas i rapporteringskanalen. Vi uppdaterar denna dataskyddsbeskrivning tidvis efter behov.
Om du har mer ingående frågor eller förfrågningar i anslutning till denna dataskyddsbeskrivning, behandlingen av dina personuppgifter eller dina rättigheter som registrerad, kan du kontakta oss via de servicekanaler som anges nedan.
2. Personuppgiftsansvariga och kontaktuppgifter
Mandatumkoncernens rapporteringskanal är gemensam för alla koncernbolag. Personuppgiftsansvarig är i respektive fall det bolag vars verksamhet den enskilda anmälan gäller eller hänför sig till, förutsatt att bolaget har specificerats i anmälan. I annat fall är Mandatum Abp personuppgiftsansvarig.
Mandatum Abp
Bulevarden 56, 00120 Helsingfors
PB 627, 00101 Helsingfors
Mandatum Livförsäkringsaktiebolag (Mandatum Life)
Bulevarden 56, 00120 Helsingfors
PB 627, 00101 Helsingfors
Mandatum Incentives Oy
c/o Mandatum Livförsäkringsaktiebolag
PB 627, 00101 Helsingfors
Mandatum Life Service Ab
Bulevarden 56, 00120 Helsingfors
PB 1210, 00101 Helsingfors
Mandatum Asset Management Ab
Bulevarden 56, 00120 Helsingfors
PB 1221, 00101 Helsingfors
Mandatum AM AIFM Ab
c/o Mandatum Asset Management Ab
PB 1221, 00101 Helsingfors
Mandatum Life SICAV-UCITS (fondbolag)
Mandatum Fund Management S.A. (fondförvaltningsbolag)
53, Boulevard Royal
Luxembourg L-2449, Luxembourg
Mandatum Asset Management Palvelut Oy
c/o Mandatum Asset Management Ab
PB 1221, 00101 Helsingfors
3. Dataskyddsombudets kontaktuppgifter
Mandatumkoncernens dataskyddsombud
E-post: dpo@mandatum.fi
Postadress: Mandatum, Dataskyddsombud, PB 627, 00101 Helsingfors
4. Personuppgifter som behandlas och personuppgiftskällor
Vi tar emot de personuppgifter som vi behandlar i samband med rapporteringskanalen genom de anmälningar som görs via kanalen. Personuppgifter kan samlas in och tas emot också i de utredningar som vi begärt, skaffat eller i övrigt fått med anledning av en anmälan eller i samband med utredningen av en anmälan och som inom de ramar som lagen tillåter från fall till fall kan skaffas från tillämpliga källor.
De personuppgifter som behandlas i anslutning till rapporteringskanalen bestäms i princip enligt vilka uppgifter som den rapporterande personen registrerar i anmälan samt vad som eventuellt senare framgår i samband med utredningen av anmälan. Sådana uppgifter kan exempelvis vara basuppgifter om den registrerade, såsom namn, kontaktuppgifter, personbeteckning och titel eller annan ställning i bolaget.
Uppgifterna kan gälla den rapporterande personen själv, om personen frivilligt vill uppge sin identitet när anmälan görs, eller den person som är föremål för anmälan eller en person som i övrigt anges i anmälan eller framgår i samband med utredning av misstänkt överträdelse.
5. Rättslig grund för och ändamålet med behandlingen av personuppgifter
Ändamålet med behandlingen av personuppgifter i anslutning till rapporteringskanalen är att uppfylla Mandatums lagstadgade skyldigheter enligt lagen om skydd för personer som rapporterar om överträdelser av EU-rätten och den nationella lagstiftningen (1171/2022, nedan ”visselblåsarlagen”), lagen om förhindrande av penningtvätt och av finansiering av terrorism (444/2017) och annan tillämplig lagstiftning. För att uppfylla våra lagstadgade skyldigheter ska Mandatum ha en oberoende rapporteringskanal, via vilken Mandatums anställda, ombud och andra parter kan göra anmälan vid misstanke om överträdelser av lagstiftning eller föreskrifter och bestämmelser som utfärdats med stöd av lag. Anmälan kan också innehålla personuppgifter, om den rapporterande personen lämnar uppgifter om sig själv eller gör anmälan om en annan person. Behandling av sådana personuppgifter kan vara nödvändigt för att hantera visselblåsarrapporter samt för att undersöka, utreda och eventuellt inleda förundersökning hos myndighet av misstänkta överträdelser som är föremål för anmälan och följa upp skedena i förundersökningen. Den rapporterande personens personuppgifter kan i detta sammanhang också behandlas för den kontakt som hanteringen och undersökningen av anmälan förutsätter.
Utöver våra lagstadgade skyldigheter kan vi också behandla personuppgifter med stöd av Mandatums eller en tredje parts berättigade intresse eller uttryckliga samtycke.
Mandatum har berättigat intresse att behandla personuppgifter till den del som det är fråga om uppgifter om en person som är föremål för misstanke om överträdelse eller någon annan person som anges i anmälan eller hänför sig till den. Berättigat intresse tillämpas som rättslig grund för behandlingen av sådana uppgifter framför allt när anmälan gäller något annat än misstänkt överträdelse som omfattas av tillämpningsområdet för ovannämnda lagar. Rapporteringskanalen är ett viktigt sätt för att övervaka och säkerställa att lagstadgade skyldigheter och myndighetskrav samt Mandatums interna bestämmelser om tillvägagångssätt och principer iakttas i bolagets verksamhet. Rapporteringskanalen möjliggör tillgång till information och ändamålsenlig reaktion på olika misstänkta överträdelser och missbruk.
Behandlingen av personuppgifter kan också basera sig på den registrerades samtycke till behandling av personuppgifterna till den del som det är fråga om sådana uppgifter varav den rapporterande personens identitet framgår och som i övrigt lämnas frivilligt. Om du har gett ditt samtycke till behandling av dina personuppgifter har du också rätt att när som helst återkalla ditt samtycke.
6. Automatiserat beslutsfattande och profilering
Den behandling av personuppgifter som görs i samband med rapporteringskanalen är inte förenad med automatiskt beslutsfattande som har betydande rättsverkan eller andra motsvarande betydande effekter och inte heller med profilering som görs utgående från personuppgifter.
7. Mottagare av personuppgifter och överföring av personuppgifter
Utlämnande av personuppgifter
Mandatum lämnar i regel inte ut personuppgifter som hänför sig till rapporteringskanalen till tredje parter, förutom om hanteringen, utredningen eller inledandet av undersökning av anmälan eller exempelvis begäran om information av myndighet nödvändigtvis förutsätter det. I dessa fall kan uppgifter inom de ramar som lagstiftningen tillåter lämnas ut till förundersökningsmyndigheter eller andra behöriga myndigheter till den del som det är motiverat.
Innan uppgifterna lämnas ut säkerställer vi alltid att utlämnandet har en lagenlig grund och sker med iakttagande av tillämpliga lagstadgade skyldigheter.
Personuppgiftsbiträden och överföring av uppgifter utanför Europeiska ekonomiska samarbetsområdet
Den rapporteringskanal som vi använder förvaltas av vår utomstående underleverantör WhistleB, som också kan behandla personuppgifter för Mandatums räkning i den omfattning som det är nödvändigt för att tillhandahålla en tjänst i anslutning till rapporteringskanalen. Behandlingsåtgärderna hänför sig då till de personuppgifter som framgår av anmälan och eventuella utredningar och kontakter i anslutning till anmälan. Vår underleverantör behandlar däremot inte personuppgifter för egna syften.
Personuppgifter som behandlas i samband med rapporteringskanalen överförs i regel inte utanför Europeiska ekonomiska samarbetsområdet. Om uppgifter behöver överföras exempelvis i samband med en undersökning eller övriga fortsatta åtgärder i anslutning till anmälan, görs det endast, om förutsättningarna för överföring av uppgifter enligt dataskyddsbestämmelserna uppfylls. Vi baserar då överföringen av personuppgifter på de överföringsmekanismer som lagstiftningen tillåter, såsom EU-kommissionens beslut om adekvat skyddsnivå i det mottagande landet (se aktuell lista över likvärdighetsbeslut på kommissionens webbplats) eller standardiserade dataskyddsbestämmelser godkända av EU-kommissionen (se standardiserade dataskyddsbestämmelser på kommissionens webbplats). Vi kompletterar dem vid behov också med olika skyddsåtgärder för att kunna garantera ett adekvat dataskydd.
8. Lagringstider för personuppgifter
Vi sparar personuppgifter som behandlas i samband med rapporteringskanalen så länge som de behövs för att iaktta våra lagstadgade skyldigheter eller uppgifterna i övrigt är behövliga i förhållande till de ändamål för vilka de samlats in eller i övrigt behandlats. Vi raderar eller anonymiserar uppgifterna efter lagringstidens slut.
Uppgifter som erhållits via Whistleblowing-kanalen sparas i fem (5) år, såvida det inte är nödvändigt att spara dem en längre tid för att tillgodose lagstadgade rättigheter eller skyldigheter, för att fastställa, göra gällande eller försvara rättsliga anspråk eller för att trygga en anhängig rättegång, myndighetsutredning eller rättigheterna för den rapporterande personen eller den person som är föremål för anmälan.
Personuppgifter som inte är av uppenbar betydelse för behandlingen av anmälan, raderas utan obefogat dröjsmål.
9. Skydd av och säkerhet för personuppgifter
Mandatumkoncernens rapporteringskanal är anonym och baserar sig på en skyddad och krypterad tjänst som förvaltas av en utomstående samarbetspartner, WhistleB, som i sin tur ansvarar för ett ändamålsenligt dataskydd och en lämplig datasäkerhet, inklusive säkerställandet av den rapporterande personens anonymitet. I kanalen lagras ingen information som skulle kunna användas för att identifiera den person som skickat meddelandet. Personen kan emellertid uppge sin identitet i anmälan.
Alla anmälningar, oavsett om identitetsuppgifter har lämnats eller inte, handläggs konfidentiellt, och behandlingen av rapporter som inkommit via rapporteringskanalen samt eventuella personuppgifter som ingår i dem är tillåten endast av arbetsrelaterad orsak. Tillgången till anmälningar och uppgifter i rapporteringskanalen har noggrant begränsats endast till en begränsad grupp separat namngivna personer, som har rätt och skyldighet att behandla anmälningarna.
Åtkomsträttigheter till system som innehåller personuppgifter är personliga och användningen av rättigheterna övervakas. De anställda hos Mandatum som behandlar personuppgifter omfattas utöver av lagstadgad tystnadsplikt också av en separat sekretessförbindelse. Personuppgifter som inte längre behövs raderas med iakttagande av informationssäkerheten.
Utöver de särskilda skyddsåtgärderna i anslutning till rapporteringskanalen har vi också i övrigt vidtagit nödvändiga och ändamålsenliga tekniska och administrativa säkerhetsåtgärder i enlighet med bästa praxis för att skydda personuppgifter och andra uppgifter. Sådana metoder är bland annat användning av brandväggar, stark krypteringsteknik och trygga utrustningsutrymmen, passerkontroll i lokalerna och förvaring av fysiskt material i låsta utrymmen, beviljande av begränsad behörighet, instruering och utbildning av den personal som deltar i behandlingen av personuppgifter samt omsorgsfullt val av underleverantörer. Utöver tillämplig lagstiftning förbinder sig underleverantörerna att iaktta Mandatums dataskyddsprinciper och anvisningar.
Trots omsorgsfullt skydd och lämplig informationssäkerhet är behandling av uppgifter alltid förenad med risk. Om det trots våra åtgärder sker en sådan personuppgiftsincident som sannolikt medför en hög risk för din integritet eller dina övriga rättigheter, kontaktar vi dig snarast möjligt.
10. Dina rättigheter
Du har rätt att av Mandatum få bekräftelse på huruvida vi behandlar personuppgifter som rör dig. Om personuppgifter om dig behandlas, har du rätt att få en kopia av uppgifterna och kontrollera uppgifterna. När du lägger fram begäran elektroniskt, skickar vi uppgifterna till dig i allmänt använt elektroniskt format, om du inte begär något annat. Lagstiftningen, andra personers rättigheter och friheter samt övriga särskilda grunder kan begränsa din rätt att få tillgång till en del av de personuppgifter som gäller dig. Rätten till tillgång kan begränsas delvis eller i sin helhet, om och till den del som det är nödvändigt och proportionerligt för att säkra utredningen av rapportens riktighet eller skydda den rapporterande personens identitet, eller om utlämnandet av uppgifterna kan försvåra utredningen av brott eller missbruk.
Om du anser att de personuppgifter som vi behandlar och som gäller dig är felaktiga eller inexakta, har du rätt att begära att Mandatum rättar personuppgifterna samt rätt att komplettera eventuella bristfälliga uppgifter.
Du har också rätt att begära att Mandatum raderar dina personuppgifter och till den del som behandlingen av dina personuppgifter grundar sig på samtycke, återkalla ditt samtycke. Om du begär att dina uppgifter raderas, raderar vi uppgifterna från våra system, såvida det inte finns någon annan rättslig grund för behandling av uppgifterna. Beakta emellertid att Mandatum kan ha lagstadgad skyldighet eller något annat vägande skäl att spara personuppgifter som erhållits via rapporteringskanalen, och vi kan sålunda ha ett motiverat behov att fortfarande behandla dina personuppgifter, även om du begär att de ska raderas. Vi raderar dina personuppgifter i vilket fall som helst efter att den av oss fastställda eller lagstadgade lagringstiden har löpt ut.
Du kan under vissa separat angivna förutsättningar ha rätt att kräva att vi begränsar behandlingen av dina personuppgifter. Till den del som det är fråga om behandling i enlighet med visselblåsarlagen, tillämpas den registrerades rätt till begränsad behandling emellertid inte på sådan behandling av personuppgifter som avses i lagen.
Du har dessutom rätt att göra invändningar mot behandling av dina personuppgifter av skäl som hänför sig till din specifika situation till den del som behandlingen grundar sig på ändamål som rör Mandatums eller tredje parts berättigade intressen. Vi bedömer rättens tillämplighet från fall till fall i förhållande till Mandatums berättigade intresse.
Till den del som behandlingen av dina personuppgifter grundar sig på samtycke eller avtal, har du rätt att ta del av de personuppgifter som du har lämnat till oss i ett strukturerat och allmänt använt format och rätt att få uppgifterna överförda till en annan personuppgiftsansvarig.
Utövandet av rättigheter
Du kan utöva dina ovan beskrivna rättigheter genom att kontakta vår kundtjänst med ett webbmeddelande via Mandatums webbtjänst, per telefon på numret +358 200 31120 (lna/msa) mån–fre 9–17, per post på adressen Mandatum, Kundtjänst, PB 627, 00101 Helsingfors, eller genom att besöka vårt närmaste kontor. Du hittar kontaktuppgifterna och öppettiderna för våra kontor på vår webbplats.
Rätt att inge klagomål till tillsynsmyndighet
I ärenden och frågor som gäller behandling och skydd av dina personuppgifter ber vi dig i första hand kontakta Mandatums kundtjänst på ovan beskrivet sätt eller Mandatumkoncernens dataskyddsombud, vars kontaktuppgifter anges ovan i avsnitt 3 i denna dataskyddsbeskrivning.
Om du inte är nöjd med det svar som du fått av oss eller om du anser att vår behandling av personuppgifter strider mot dataskyddslagstiftningen, kan du kontakta dataombudsmannens byrå som är behörig tillsynsmyndighet.
Dessutom kan du i de situationer där du begär tillgång till dina egna uppgifter men vi är tvungna att begränsa din rätt av ovan beskrivna skäl, exempelvis för att säkra utredningen av rapportens riktighet, begära att dina uppgifter lämnas ut till dataombudsmannen.
Uppdaterad 16.9.2024