Tietosuoja

Sampo-konsernissa henkilötietoja käsitellään lainmukaisesti, asianmukaisesti ja läpinäkyvästi. Tavoitteena on, että asiakkaiden, työntekijöiden, osakkeenomistajien ja muiden sidosryhmien yksityisyyttä ei loukata. Sampo-konsernille voi aiheutua liiketoimintariskejä, operatiivisia riskejä ja maineriskejä, jos se epäonnistuu tietosuojasääntelyn ja -ohjeiden noudattamisessa.

Hallintotapa

Sampo-konsernissa tietosuojaan liittyvät ohjeasiakirjat ovat Sampo-konsernin toimintaperiaatteet ja Sampo-konsernin tietosuojaselvitys. Molemmat dokumentit käydään läpi vuosittain ja hyväksytään Sammon hallituksessa, ja ne ovat saatavilla Sammon verkkosivuilla. Konsernitasoisten periaatteiden lisäksi Sampo-konsernilla on täydentäviä ja yksityiskohtaisempia politiikkoja ja due diligence -prosesseja määriteltyihin tarkoituksiin. Esimerkkejä politiikoista ovat erilaiset tietosuojapolitiikat ja -ohjeet ja prosesseihin kuuluvat muun muassa tietoisuuden lisääminen, raportointirakenteet, seulonnat, vaikutustenarvioinnit, turvallisuustoimenpiteet ja tietojenkäsittelysopimukset. Päävastuu konsernitason periaatteiden sekä yhtiökohtaisten politiikkojen ja prosessien toimeenpanosta on kunkin Sampo-konsernin yhtiön johdolla. Tietosuojasta raportoidaan säännöllisesti (esim. kvartaaleittain, aina tarvittaessa) konserniyhtiöiden toimitusjohtajille ja hallituksille.

Kolmannet osapuolet käsittelevät henkilötietoja tietosuojalakien ja Sampo-konsernin kanssa tehdyn tietojenkäsittelysopimuksen tai vastaavan sopimuksen edellyttämällä tavalla. Tietojenkäsittelysopimuksessa kerrotaan, miten konsernin yhteistyökumppaneiden ja näiden mahdollisten alihankkijoiden tulee käsitellä Sampo-konsernin tietoja. Tarvittaessa konserni myös varmistaa, että alihankkijalla on asianmukaiset tietosuojapolitiikat. Henkilötietoja käsittelevät kolmannet osapuolet arvioidaan säännöllisesti. Sampo-konserni saattaa rajoitetuissa tapauksissa joutua siirtämään tietoja EU/ETA-alueen ulkopuolelle tai sallia pääsyn tietoihin EU/ETA-alueen ulkopuolelta. Tietojen siirto EU/ETA-alueen ulkopuolelle tehdään aina tietosuojalakeja noudattaen.

Sampo-konserni suorittaa neljännesvuosittain riskinarviointeja sen käyttäjätietoihin vaikuttavista teknologioista ja käytännöistä. Tietojenkäsittelyrekisteriin rekisteröidyt tietojenkäsittelytapahtumat tarkistetaan myös vuosittain. Lisäksi konserni suorittaa yleisen tietosuoja-asetuksen (General Data Protection Regulation, GDPR) mukaisia seurantatoimia ja riskiarviointeja aina, kun se katsotaan tarpeelliseksi, keskittyen tiettyihin aihealueisiin. Tietosuojaan liittyviä sisäisiä tarkastuksia tehdään vaihtelevalla tiheydellä ja laajuudella.

Henkilöstön koulutus

Sampo-konserni tarjoaa pakollista ja säännöllistä (esim. vuosittain) tietosuojakoulutusta työntekijöille ja konsulttina työskenteleville työntekijöille käyttäjiin liittyvien riskien ehkäisemiseksi ja vähentämiseksi. Henkilöstölle tarjotaan esimerkiksi pakollisia tietosuojaa käsitteleviä verkkokursseja ja kertauskursseja sekä kursseja liittyen vaikutustenarviointiin ja tietosuojan integrointiin. Kaikki nämä toimet auttavat työntekijöitä ja konsulttina työskenteleviä työntekijöitä ymmärtämään tietosuojan tärkeyden ja omaan toimintaan liittyvät riskit. Sampo-konsernin intranetsivujen tietosuojaosioissa on lisäksi käytännön apua, yhteystietoja, koulutusta, ohjeita sekä tietoa tietosuojaan liittyvistä prosesseista ja menetelmistä kaikille työntekijöille ja konsulttina työskenteleville työntekijöille.

Raportointi ja korjaavat toimenpiteet

Sampo-konsernilla on toimintatavat mahdollisten tietosuojaloukkausten tutkimiseen ja prosessit korjaaville toimenpiteille kuluttajien ja loppukäyttäjien henkilötietojen suojaamiseksi. Tietosuojaloukkauksia analysoidaan ja käsitellään ennalta määrättyjen prosessien mukaisesti, ja ne arvioidaan ja raportoidaan soveltuvin osin paikallisille viranomaisille oikea-aikaisesti. Toimenpiteet sisältävät eskalointiprosessit tietosuojavastaavien ja muiden johtajien osallistamiseksi.

Tietosuojaloukkaukset analysoidaan, käsitellään ja niistä ilmoitetaan vaatimusten mukaisesti 72 tunnin kuluessa. Rekisteröidylle aiheutuva riski selvitetään, analysoidaan ja arvioidaan, ja sen perusteella ryhdytään asianmukaisiin toimiin. Todisteet jokaisesta tietosuojaloukkauksesta kirjataan osoitusvelvollisuuden noudattamiseksi. Sampo-konserni myös käsittelee tietosuojaloukkauksissa tapahtuvia trendejä tietoturvakomiteoissa (tai vastaavissa), jotta konserni voi tunnistaa tietosuojan ja tietoturvan välisiä riskienhallintasynergioita, kuten tapahtumien, vahinkojen ja rekisteröityjen oikeuksiin ja vapauksiin liittyvien riskien todennäköisyyttä.