Tietosuoja

Sampo-konsernissa henkilötietoja käsitellään lainmukaisesti, asianmukaisesti ja läpinäkyvästi. Tavoitteena on, että asiakkaiden, työntekijöiden, osakkeenomistajien ja muiden sidosryhmien yksityisyyttä ei loukata. Vakuutusalalla, joka on erittäin säännelty toimiala, käsitellään paljon henkilötietoja. Sampo-konsernille voi aiheutua liiketoimintariskejä, operatiivisia riskejä ja maineriskejä, jos se epäonnistuu tietosuojasääntelyn ja -ohjeiden noudattamisessa.

Hallintotapa

Sampo-konsernissa tietosuojaan liittyvät ohjeasiakirjat ovat Sampo-konsernin toimintaperiaatteet ja Sampo-konsernin tietosuojaselvitys. Molemmat dokumentit käydään läpi vuosittain ja hyväksytetään Sampo Oyj:n hallituksella. Lisäksi jokaisella konserniyhtiöllä on omaa toimintaansa ohjaavat täydentävät politiikkansa ja ohjeistuksensa (esim. tietosuojapolitiikat, tietoturvapolitiikat, eettiset toimintaperiaatteet) sekä tietosuojaviitekehykset tai niitä vastaavat prosessit, jotka luovat tietosuojaan sitoutuneen työkulttuurin. Prosesseihin kuuluvat esimerkiksi tietoisuuden lisääminen, raportointirakenteet, seulonnat, vaikutustenarvioinnit, turvallisuustoimenpiteet ja tietojenkäsittelysopimukset. Päävastuu konsernitason periaatteiden sekä yhtiökohtaisten politiikkojen ja prosessien toimeenpanosta on kunkin Sampo-konsernin yhtiön johdolla. Tietosuojasta raportoidaan säännöllisesti (esim. kvartaaleittain, aina tarvittaessa) konserniyhtiöiden toimitusjohtajille ja hallituksille.

Kolmannet osapuolet käsittelevät henkilötietoja tietosuojalakien ja Sampo-konsernin kanssa tehdyn tietojenkäsittelysopimuksen tai vastaavan sopimuksen edellyttämällä tavalla. Tietojenkäsittelysopimuksessa kerrotaan, miten Sampo-konsernin yhteistyökumppanit ja näiden mahdolliset alihankkijat käsittelevät Sampo-konsernin tietoja. Tarvittaessa konserni myös varmistaa, että alihankkijalla on asianmukaiset tietosuojapolitiikat. Henkilötietoja käsittelevät kolmannet osapuolet arvioidaan säännöllisesti. Sampo-konserni saattaa rajoitetuissa tapauksissa joutua siirtämään tietoja EU/ETA-alueen ulkopuolelle tai sallia pääsyn tietoihin EU/ETA-alueen ulkopuolelta. Tietojen siirto EU/ETA-alueen ulkopuolelle tehdään aina tietosuojalakeja noudattaen.

Sampo-konserni tarjoaa pakollista ja säännöllistä (esim. vuosittain) tietosuojakoulutusta työntekijöille ja konsulttina työskenteleville työntekijöille käyttäjiin liittyvien riskien ehkäisemiseksi ja vähentämiseksi. Henkilöstölle tarjotaan esimerkiksi pakollisia tietosuojaa käsitteleviä verkkokursseja ja kertauskursseja sekä kursseja liittyen vaikutustenarviointiin ja tietosuojan integrointiin. Kaikki nämä toimet auttavat työntekijöitä ja konsulttina työskenteleviä työntekijöitä ymmärtämään tietosuojan tärkeyden ja omaan toimintaan liittyvät riskit. Sampo-konsernin intranetsivujen tietosuojaosioissa on lisäksi käytännön apua, yhteystietoja, koulutusta, ohjeita sekä tietoa tietosuojaan liittyvistä prosesseista ja menetelmistä kaikille työntekijöille ja konsulttina työskenteleville työntekijöille.

Raportointi ja korjaavat toimenpiteet

Sampo-konsernissa varmistetaan, että epäillyt rikkomustapaukset selvitetään ja korjaaviin toimenpiteisiin ryhdytään tarvittaessa. Sampo-konsernilla on operatiivisia toimenpiteitä tietosuojaloukkausten ja tietomurtojen tarkkailemiseksi ja niihin reagoimiseksi. Toimenpiteet sisältävät eskalointiprosessit tietosuojavastaavan, tietoturvajohtajan ja muiden johtajien osallistamiseksi. Tietosuojaloukkaukset analysoidaan, käsitellään ja niistä ilmoitetaan vaatimusten mukaisesti 72 tunnin kuluessa. Rekisteröidylle aiheutuva riski selvitetään, analysoidaan ja arvioidaan, ja sen perusteella ryhdytään asianmukaisiin toimiin. Todisteet jokaisesta tietosuojaloukkauksesta kirjataan osoitusvelvollisuuden noudattamiseksi.

Tietosuojaloukkauksissa tapahtuvia trendejä käsitellään tietoturvakomiteoissa, jotta tunnistetaan tietosuojan ja tietoturvan välisiä riskienhallintasynergioita, kuten tapahtumien, vahinkojen ja rekisteröityjen oikeuksiin ja vapauksiin liittyvien riskien todennäköisyyttä.