Med dataskydd avses skydd av personuppgifter och tryggande av en ändamålsenlig behandling av uppgifterna. Personuppgifter är sådana uppgifter som hänför sig till en identifierad eller identifierbar person. I det följande, "Mandatum" och "vi" hänvisar till behandling av personuppgifter i tillämpliga delar inom Mandatum-koncernföretag, såsom Mandatum Livförsäkringsaktiebolag (Mandatum Life), Mandatum Asset Management Ab, Mandatum Life Service Ab och Mandatum Incentives Ab. I denna dataskyddspolicy berättar vi om Mandatums behandling av personuppgifter och bland annat om vilka personuppgifter som vi behandlar, hur vi använder dina uppgifter och vilka rättigheter du har i anslutning till behandlingen av uppgifterna. Detta är en allmän beskrivning av behandlingen av personuppgifter hos Mandatum. Mer ingående information om behandlingen av personuppgifter ges i samband med de tjänster som du använder.
När du använder Mandatums tjänster anförtror du oss dina uppgifter. Mandatum har förbundit sig att värna om dina individuella rättigheter och hålla dina personuppgifter skyddade. När du delar information med oss, kan vi betjäna dig bättre, exempelvis genom att erbjuda dig lämpligare produkter och tjänster samt hjälpa dig när du hanterar dina ärenden hos oss. De principer och tillvägagångssätt som framgår av denna dataskyddspolicy tillämpas i all verksamhet hos Mandatum till vilken hör behandling av personuppgifter. Exempel på tillämpningssituationer är användning av våra webb- och mobiltjänster, ansökan om försäkring eller ersättning samt anlitande av våra kapitalförvaltningstjänster. Dataskyddspolicyn tillämpas också vid behandling av personuppgifter som gäller våra anställda och arbetssökande samt ombud och anställda hos Mandatums övriga samarbetspartner.
Personuppgiftsansvarig i Mandatum-koncernen är Mandatum Livförsäkringsaktiebolag och/eller det koncernbolag med vilket du hanterar dina ärenden.
Mandatum Life Service Ab är personuppgiftsbiträde vid tillhandahållandet av tjänster till organisationskunder och deras medlemmar (se avsnitt 6). Personuppgiftsansvarig är respektive pensionsstiftelse, pensionskassa eller personalfond.
Mandatum Trader-tjänstens handelsplattform tillhandahålls av Saxo Bank A/S, vars dataskyddspolicy du kan läsa på Saxos webbplats. Mer information om Trader-tjänsten finns på Traders webbplats.
Denna dataskyddsbeskrivning omfattar följande delområden:
- Vems personuppgifter behandlar Mandatum?
- Vilka personuppgifter samlar Mandatum in?
- Hur kan Mandatum komma att använda dina personuppgifter och på vilken rättslig grund?
- Automatiserat beslutsfattande och profilering
- Till vem kan Mandatum komma att lämna ut personuppgifter?
- Hur skyddar Mandatum personuppgifterna och vilka risker är förenade med behand-ling av personuppgifter?
- Organisationskundernas medlemmar
- Vilka rättigheter har du?
- Cookies
- Hur länge behåller Mandatum dina personuppgifter?
- Vem kan du kontakta?
1. Vems personuppgifter behandlar Mandatum?
Mandatum behandlar i sin affärsverksamhet följande kategorier av registrerade:
- Mandatums kunder (t.ex. försäkrade, försäkringstagare, förmånstagare, investeringstjänsternas kunder, handelskunder och personer i anslutning till företagskundrelationer)
- Medlemmar hos Mandatums organisationskunder (personalfonder, pensionsstiftelser och pensionskassor)
- Mandatum Trader-kunder
- Personer som hör till målgrupperna för Mandatums marknadsföring
- Användare av Mandatums digitala tjänster (t.ex. webbplats och mobiltjänster)
- Ömsesidiga Försäkringsbolaget Kalevas kunder (t.ex. försäkrade, försäkringstagare, förmånstagare)
- Personer för vilka behandlingen av personuppgifter hänför sig till
- Mandatums lagstadgade skyldigheter
- Hyresgäster i fastigheter som ägs av Mandatum
- Mandatums anställda, andra personer som arbetar för Mandatum och arbetssökande
- Ansvarspersoner hos organisationer med nära anknytning till Mandatums verksamhet
2. Vilka personuppgifter samlar Mandatum in?
Vanligtvis samlas personuppgifter in direkt från dig eller genereras i samband med att du använder Mandatums produkter eller tjänster. Ibland kan vi också behöva vi ytterligare information för att hålla uppgifterna uppdaterade eller säkerställa att de uppgifter som vi samlat in är korrekta.
De personuppgifter som vi samlar in kan delas in i följande kategorier:
Basuppgifter, såsom kundens, organisationskundens representants eller den försäkrades namn, personbeteckning, kontaktuppgifter, språk, medborgarskap, uppgift om medlemskap som berättigar till förmåner, uppgift om intressebevakning, uppgifter för kundkontroll och uppgifter i anslutning till beskattningen.
Uppgifter om ärendehantering, såsom kommunikation som rör kundrelationen, samarbete eller exempelvis arbetssökande, uppdrag, uppgifter om webbsidornas och applikationernas användare, transaktionsregistreringar i webbtjänsten, kontakter med andra kunder, svar på kundnöjdhetsenkäter och i fråga om handelskunder handelsuppgifter.
Avtalsuppgifter, såsom arbetsavtal, samarbetsavtal eller i fråga om kunder försäkringsgren och försäkringsskydd, uppgifter om avtalet och försäkringen, särskilda kategorier av personuppgifter (såsom hälsorelaterade uppgifter eller uppgift om medlemskap i fackförbund), ställning i avtalet (försäkrad, försäkringstagare eller förmånstagare), antal och typ av värdepapper i förvar.
Ekonomiska uppgifter, såsom betalda premier och avgifter, fakturor, besparingar, uppgifter om arv och uppgifter i anslutning till försäkringsersättningar.
Personuppgifter som vi kan komma att samla in från dig
Som ny kund ber vid dig till exempel om personuppgifter såsom namn, personbeteckning, e-postadress och telefonnummer för att kunna erbjuda dig den produkt eller tjänst som du är intresserad av. För tillhandahållandet av tjänster inom försäkringsverksamheten behövs exempelvis kartläggningar av försäkringsbehov, skatteuppgifter, läkarundersökningar och läkarutlåtanden samt uppgifter om yrke och fritidsintressen som inverkar på risken. För investeringsverksamheten behöver vi uppgifter om typ och slag av investering, uppgifter om fonden och en placeringsplan. För anställningsförhållanden behöver vi exempelvis kontaktuppgifter och skattekort.
Vi samlar också in information som du meddelar oss via våra digitala kanaler, till exempel genom återkoppling eller annan interaktion. Samtal och chattkonversationer kan också spelas in och registreras för verifiering av uppdrag, för dokumentation och kvalitetskontroll samt i utvecklingssyfte. Av säkerhetsskäl har vi övervakningskameror på våra kontor och utanför dem.
Personuppgifter som vi kan komma att samla in från andra än personen själv
Vi samlar in personuppgifter från offentligt tillgängliga källor, såsom register som förs av myndigheter (t.ex. befolkningsregistret, Skatteförvaltningens register, bolagsregister och register hos tillsynsmyndigheter), sanktionslistor (t.ex. Centralkriminalpolisens nationella sanktionslista, listor hos EU och FN samt amerikanska Office of Foreign Assets Control, OFAC), kreditupplysningsregistret och kommersiella informationsleverantörer av uppgifter om exempelvis verkliga förmånstagare och personer i politiskt utsatt ställning.
Vi får uppgifter från arbetsgivarna för de anställdas gruppförsäkringar. Vi tar också emot uppgifter från andra bolag som hör till samma ekonomiska sammanslutning och med vilka vi samarbetar. Dessutom behandlar vi uppgifter som samlats in från försäkringsbolagens gemensamma missbruksregister.
3. Hur kan Mandatum komma att använda dina personuppgifter och på vilken rättslig grund?
Vi använder dina personuppgifter för att uppfylla våra avtalsförpliktelser och rättsliga skyldigheter och för att ge dig erbjudanden, rådgivning och annan service:
Ikraftträdande och administration av tjänste- och produktavtal (verkställande av avtal)
Huvudsyftet med behandlingen av personuppgifter är att samla in, behandla och verifiera personuppgifter inför och vid offerter och tecknandet av avtal, samt att dokumentera, administrera och utföra avtalsenliga uppdrag.
Exempel på uppdrag för att verkställa ett avtal:
- verkställande av samarbetsavtal, anställningsavtal, försäkringsavtal, förvaringsavtal, kapitalförvaltningsavtal eller avtal om förmedling av uppdrag och villkoren för avtalet
- kundservice under avtalsperioden
Uppfyllande av krav och skyldigheter enligt lagar, bestämmelser eller beslut av myndigheter och tillsynsorgan (lagstadgad skyldighet)
Förutom vid verkställandet av avtal behandlar vi också personuppgifter för att uppfylla de skyldigheter som vi har enligt lag, bestämmelser och myndighetsbeslut.
Exempel på lagstadgade skyldigheter som förutsätter behandling av personuppgifter:
- kundkontroll (KYC)
- åtgärder för att förhindra, upptäcka och utreda penningtvätt, finansiering av terrorism och bedrägeri
- sanktionskontroll
- bokförings- och skattelagstiftning
- rapportering till myndigheter
- skyldigheter vid hantering av risker i anslutning till exempelvis försäkringar och kapitaltäckning
- lagstadgad kommunikation i anslutning till försäkringsprodukter, såsom leverans av årsav-räkningar för försäkringsprodukter samt information om väsentliga förändringar i försäkringsvillkoren eller försäkringens innehåll.
- övriga skyldigheter som hänför sig till tjänste- eller produktspecifik lagstiftning, till exempel i anslutning till försäkringar och investeringstjänster
Kundkommunikation, marknadsföring, produkt- och kundanalys (berättigat intresse)
Mandatum har rätt att behandla personuppgifter i sin kundkommunikation och i samband med marknadsföring samt produkt- och kundanalyser. Vi gör detta för att förbättra vårt produktutbud och optimera de tjänster som vi erbjuder våra kunder. Vi marknadsför exempelvis våra produkter och tjänster både till Mandatums nuvarande kunder och till potentiella kunder elektroniskt, per brev och per telefon. Till våra nuvarande kunder skickar vi också kundkommunikation (t.ex. marknadsöversikter, nyhetsbrev och responsenkäter). Taggen som används i e-postlänkarna vi skickar kan användas för att koppla e-post som skickas till dig med den kundinformation vi håller om dig. Med taggen kan du hantera dina personliga kommunikationsinställningar via länkarna i e-postmeddelandena som skickas till dig. Vi genomför digital marknadsföring bland annat med webbannonser, där vi kan utnyttja anpassade målgrupper i exempelvis Facebook eller LinkedIn. Du kan motsätta dig riktad marknadsföring här. Marknadsföringen kan också innefatta profilering, som vi berättar mer om i avsnitt 4.
Samtycke
Det finns tillfällen när vi ber om ditt samtycke till att behandla dina personuppgifter. Till dessa tillfällen hör exempelvis samtycke till elektronisk direktmarknadsföring eller behandling av vissa särskilda kategorier av personuppgifter. Begäran om samtycke kommer att innehålla information om behandlingen av uppgifterna i fråga. Om du har gett ditt samtycke till behandling av dina personuppgifter kan du alltid återkalla ditt samtycke. Du kan till exempel hantera ditt samtycke till elektronisk direktmarknadsföring genom att logga in på webbtjänsten eller här. Du kan också kontrollera detta och andra samtycken genom att kontakta vår kundtjänst.
4. Automatiserat beslutsfattande och profilering
Med automatiserat beslutsfattande avses beslutsfattande som enbart grundas på automatisk behandling av personuppgifter. Vi använder automatiserat beslutsfattande vid skadehanteringen för att påskynda handläggningen av ersättningsansökan och erbjuda våra kunder bättre service. I samband med det automatiserade beslutsfattandet bedömer vi på basis av de uppgifter som lämnats i ansökan huruvida förutsättningarna för beviljande av ersättning i enlighet med villkoren uppfylls. Utöver uppgifterna i ansökan använder vi vid beslutsfattandet uppgifter som hänför sig till kundrelationen, avtalen och ersättningarna. Automatiserat beslutsfattande gäller endast positiva ersättningsbeslut. Negativa beslut handläggs alltid av en person. Du kan alltid begära omprövning av ett beslut som fattats automatiserat, varvid din ansökan handläggs av en person.
Med profilering avses automatisk behandling av personuppgifter till vilken hänför sig exempelvis bedömning eller förutsägelser av personens intressen eller beteende. Vi använder profilering för att rikta direktmarknadsföring och marknadsföring på webben i syfte att erbjuda produkter och tjänster ur vårt sortiment som bäst lämpar sig för och är av största intresse varje enskild kund. För att rikta direktmarknadsföring använder vi kunduppgifter, uppgifter som erhållits från våra samarbetspartner och offentliga register samt uppgifter som kunden själv uppgett om exempelvis preferenser. Webbmarknadsföring riktas utgående från uppgifter om besökarna på våra webbsidor: för besökarna kan till exempel visas annonser som hänför sig till produkter och tjänster som funnits på sådana sidor som personen tidigare besökt. Läs mer om cookies i Mandatums policy för cookies. Den profilering som görs i samband med marknadsföring är inte förenad med automatiskt beslutsfattande som har betydande rättsverkan.
5. Till vem kan Mandatum komma att lämna ut personuppgifter?
Personuppgifter kan lämnas ut utanför Mandatum när lagstiftningen tillåter eller förpliktar det. Uppgifter kan lämnas ut exempelvis till
- myndigheter (såsom polisen, Skatteförvaltningen, Folkpensionsanstalten och utsöknings-myndigheter),
- försäkringsbolagens gemensamma missbruksregister
- återförsäkringsbolag
- bolag som hör till samma ekonomiska sammanslutning.
Med kundens samtycke eller på basis av avtal lämnar vi ut uppgifter också till sådana samarbetspartner som anknyter till produkter eller tjänster som kunden valt.
Överföring av uppgifter till tredjeländer
I vissa fall kan Mandatum överföra personuppgifter till organisationer i så kallade tredjeländer, dvs. länder utanför Europeiska ekonomiska samarbetsområdet.
Sådana överföringar av uppgifter kan göras, om något av följande villkor uppfylls:
- EU-kommissionen har beslutat att landet i fråga har adekvat dataskyddsnivå.
- Andra lämpliga skyddsåtgärder har vidtagits, till exempel användning av modellklausuler som EU-kommissionen har godkänt eller säkerställande att det företag som behandlar uppgifter har bindande företagsbestämmelser.
6. Hur skyddar Mandatum personuppgifterna och vilka risker är förenade med behandling av personuppgifter?
Vi har vidtagit nödvändiga och ändamålsenliga tekniska och administrativa säkerhetsåtgärder i enlighet med bästa praxis för att skydda personuppgifter och andra uppgifter som vi har. Sådana metoder är bland annat användning av brandväggar, stark krypteringsteknik och trygga utrustningsutrymmen, passerkontroll i lokalerna, beviljande av begränsad behörighet, instruering och utbildning av den personal som deltar i behandlingen av personuppgifter samt omsorgsfullt val av underleverantörer. Utöver tillämplig lagstiftning förbinder sig underleverantörerna att iaktta Mandatums dataskyddsprinciper och anvisningar.
Behandling av personuppgifter är tillåten endast av arbetsrelaterad orsak. Åtkomsträttigheter till system som innehåller personuppgifter är personliga och användningen av rättigheterna övervakas. De anställda hos Mandatum som behandlar personuppgifter omfattas utöver lagstadgad tystnadsplikt också av en separat sekretessförbindelse. Personuppgifter som inte längre behövs raderas med iakttagande av informationssäkerheten.
Trots omsorgsfullt skydd och lämplig informationssäkerhet är behandling av uppgifter alltid förenad med risk. Om det trots våra åtgärder sker en sådan personuppgiftsincident som sannolikt medför en hög risk för din integritet eller dina övriga rättigheter, kontaktar vi dig snarast möjligt.
Vi rekommenderar också att du tar del av användarvillkoren för Mandatums webbtjänster och webbplats samt informationssäkerhetsanvisningen för mobiltjänstens användare och säkerställer att informationssäkerheten i de enheter och förbindelser som du använder är up-to-date. Mer information och allmänna tips och anvisningar som gäller informationssäkerhet finns exempelvis också på Cybersäkerhetscentalens webbplats.
7. Organisationskundernas medlemmar
Mandatum Life Service Ab erbjuder pensionsstiftelser och pensionskassor tjänster i anslutning till bland annat dagliga funktioner, såsom ombudstjänster, pensionshandläggning, försäkringsteknik, bokföring samt kapitalförvaltning och riskhantering. För personalfonder tillhandahåller Mandatum Life Service Ab förvaltningstjänster, inklusive upprätthållande av medlemsuppgifter, utbetalning av fondandelar, fondens bokföring och rådgivning till medlemmarna. Mandatum Life Service Ab är personuppgiftsbiträde vid tillhandahållandet av tjänster till organisationskunder och deras med-lemmar. Personuppgiftsansvarig är respektive pensionsstiftelse, pensionskassa eller personalfond. Mer information om behandlingen av organisationskundernas personuppgifter finns i följande beskrivningar:
Beskrivning av behandlingen av uppgifter om personalfondernas medlemmar (Länken är inte längre tillgänglig)
Beskrivning av behandlingen av medlemmarnas uppgifter i anslutning till pensionsersättningar
Beskrivning av behandlingen av medlemmarnas uppgifter i anslutning till pensionstiftelsens medlemsregister
Beskrivning av behandlingen av medlemmarnas uppgifter i anslutning till beräkning av tilläggspensionsansvar
Beskrivning av behandlingen av medlemmarnas uppgifter i anslutning till beräkning av lagstadgat pensionsansvar
Beskrivning av behandlingen av personuppgifter i anslutning till IFRS-beräkningar
8. Vilka rättigheter har du?
Du har på det sätt som beskrivs mer ingående nedan rätt att bland annat kontrollera dina uppgifter och rätt att få ofullständiga eller felaktiga uppgifter rättade. Beakta också att Mandatums verksamhet är förenad med lagstadgade skyldigheter att lagra uppgifter och Mandatum kan därför vara förpliktat att behandla dina personuppgifter, även om du skulle begära begränsning av behandling eller radering av uppgifter.
I fråga om organisationskundernas (pensionskassor, pensionsstiftelser och personalfonder) medlemmar är den personuppgiftsansvarige respektive organisationskund. Mer information om utövandet av rättigheterna för organisationskundernas medlemmar finns i beskrivningarna av be-handlingen, som du hittar i avsnitt 7.
Du kan utöva dina nedan beskrivna rättigheter genom att kontakta vår kundtjänst.
Rätt till tillgång
Du har rätt att av Mandatum få bekräftelse på huruvida vi behandlar personuppgifter som rör dig. Om personuppgifter om dig behandlas, har du rätt att få en kopia av uppgifterna och kontrollera uppgifterna. De bestämmelser avseende tystnadsplikt som ingår i speciallagstiftningen gällande försäkrings- och finansbranschen kan begränsa utövandet av din rätt att få information.
Rätt till rättelse
Du har rätt att av Mandatum få eventuella felaktiga personuppgifter rättade och komplettera eventuella ofullständiga uppgifter.
Rätt till radering (rätten att bli bortglömd)
Du har rätt att begära att dina personuppgifter raderas och till den del som behandlingen av dina personuppgifter grundar sig på samtycke, återkalla ditt samtycke. Om du begär att dina uppgifter raderas eller du återkallar ditt samtycke till behandling av dina personuppgifter, raderar vi uppgifterna från våra system, såvida det inte finns någon annan rättslig grund för behandling av uppgif-terna eller vi inte har lagstadgad skyldighet att lagra uppgifterna. Vi raderar dina personuppgifter i vilket fall som helst efter att den av oss fastställda eller lagstadgade lagringstiden har löpt ut.
Rätt till begränsning av behandling
Du har under vissa separat stadgade förutsättningar rätt att begära att vi begränsar behandlingen av dina personuppgifter. Rätten till begränsning av behandling av personuppgifter gäller emellertid inte behandling av personuppgifter med anledning av Mandatums lagstadgade skyldigheter.
Rätt till dataportabilitet
Till den del som behandlingen av dina personuppgifter grundar sig på samtycke eller avtal, har du rätt att ta del av de personuppgifter som du har lämnat till oss i ett strukturerat och allmänt använt format och rätt att få uppgifterna överförda till en annan personuppgiftsansvarig.
Rätt att göra invändningar
Du har rätt att göra invändningar mot behandling av dina personuppgifter till den del som behand-lingen grundar sig på ändamål som rör Mandatums eller tredje parts berättigade intressen.
Du har också rätt att invända mot behandling av dina personuppgifter för direktmarknadsföring. Mer information om förbud mot direktmarknadsföring finns i dataskyddspolicyn i avsnitt 8.
Rätt att inge klagomål
Om du anser att behandlingen av dina personuppgifter strider mot gällande lagstiftning, kan du lämna in ett klagomål till dataombudsmannen.
9. Cookies
Cookies (kakor) är små textfiler som lagras på besökarens dator eller någon annan enhet i samband med besöket på Mandatums webbplats. När vi i denna dataskyddsbeskrivning hänvisar till cookies, innefattar detta också övriga motsvarande tekniker och verktyg, som samlar in och lagrar uppgifter på din webbläsare och i vissa fall överför sådan information till tredje parter på samma sätt som cookies.
På Mandatums webbplats och i Mandatums webbtjänst används cookies för att upprätt-hålla sessionen efter att användaren loggat in på webbtjänsten och för att komma ihåg de val som användaren gjort vid byte till en annan sida. Med hjälp av cookies kan vi dessutom identifiera och exempelvis statistikföra besökarna på vår webbplats. Cookies används också i samband med chattjänsten på Mandatums webbplats samt för att rikta reklam. På Mandatums webbplats och i Mandatums webbtjänst används temporära sessionscookies och permanenta cookies som satts av både av Mandatum Life och våra samarbetspartner. Mer information om cookies finns i vår policy för cookies.
10. Hur länge behåller Mandatum dina personuppgifter?
Vi sparar dina uppgifter så länge som de behövs för att fullgöra ett avtal och så länge som det förutsätts enligt gällande krav på lagringstider i lagar och bestämmelser. Om vi behåller dina uppgifter i ett annat syfte än för att fullgöra ett avtal, till exempel för krav gällande förhindrande av penningtvätt, bokföring och krav enligt kapitaltäckningsregler, behåller vi uppgifterna endast om det är nödvändigt för ändamålet i fråga och/eller det krävs enligt lagar eller bestämmelser.
Exempel på våra lagringstider:
- Uppgifter om personer som fått en offert sparas i 3 år efter offerten. Vi sparar uppgifter om andra potentiella kunder i högst 3 år.
- Om en person har prenumererat på ett nyhetsbrev eller en tryckt tidning från oss eller gett markandsföringstillstånd, sparas uppgifterna så länge som prenumerationen/tillståndet är i kraft.
- Vi sparar i regel kundens uppgifter under kundrelationen och i högst 13 år efter att det sista avtalet har upphört eller den sista ersättningen har betalats ut.
- Vi sparar uppgifter i anslutning till kundkontroll i 5 år efter att det sista avtalet upphört.
- Vi sparar inspelningar av samtal i anslutning till skötseln av avtal i 10 år.
- Vi sparar uppgifter om kundnöjdhetsenkäter i 5 år.
- Inom kundorganisationsverksamheten sparar vi personuppgifter i 1 år efter att medlemskapet upphört.
- Uppgifter i anslutning till beskattning, bokföring och rapporteringsskyldigheter (inkl. förpliktelser med anledning av internationella FATCA/CRS-avtal) sparar vi i 6 år efter utgången av respektive beskattningsår.
- Lagringstiderna för uppgifter om organisationskundernas medlemmar finns i beskrivningarna av behandlingen av personuppgifter i avsnitt 6
- Uppgifter som lämnats i samband med en arbetsansökan sparas i högst 2 år
11. Vem kan jag kontakta?
I frågor som gäller dataskydd kan du primärt kontakta Mandatum Lifes kundtjänst. Du kan kontakta Mandatums dataskyddsombudet på tietosuoja@mandatumlife.fi.
Uppdaterad den 21 oktober 2021