Tietosuoja
Asiakkaiden ja muiden sidosryhmien henkilötietojen suojaaminen on ensisijaisen tärkeää Sampo-konsernille.
Vakuutusalalla, joka on erittäin säännelty toimiala, käsitellään paljon henkilötietoja. Sampo-konsernille voi aiheutua liiketoimintariskejä, operatiivisia riskejä ja maineriskejä, jos se epäonnistuu tietosuojasääntelyn ja -ohjeiden noudattamisessa.
Hallintotapa
Sampo-konsernissa tietosuojaan liittyvät ohjeasiakirjat ovat Sampo-konsernin toimintaperiaatteet ja Sampo-konsernin tietosuojaselvitys. Molemmat dokumentit käydään läpi vuosittain ja hyväksytetään Sampo Oyj:n hallituksella. Lisäksi jokaisella konserniyhtiöllä on omaa toimintaansa ohjaavat täydentävät politiikkansa ja ohjeistuksensa sekä tietosuojaviitekehykset tai niitä vastaavat prosessit, jotka luovat tietosuojaan sitoutuneen työkulttuurin. Prosesseihin kuuluvat esimerkiksi tietoisuuden lisääminen, raportointirakenteet, seulonnat, vaikutustenarvioinnit, turvallisuustoimenpiteet ja tietojenkäsittelysopimukset.
Sampo-konsernissa henkilötietoja käsitellään lainmukaisesti, asianmukaisesti ja läpinäkyvästi. Tavoitteena on, että työntekijöiden, asiakkaiden, osakkeenomistajien ja muiden sidosryhmien yksityisyyttä ei loukata. Tietosuojasta raportoidaan säännöllisesti konserniyhtiöiden toimitusjohtajille ja hallituksille. Sampo-konsernissa varmistetaan myös, että epäillyt rikkomustapaukset selvitetään ja korjaaviin toimenpiteisiin ryhdytään tarvittaessa.
Sampo-konserni tarjoaa tietosuojakoulutusta työntekijöille ja konsulttina työskenteleville työntekijöille käyttäjiin liittyvien riskien ehkäisemiseksi ja vähentämiseksi. Henkilöstölle tarjotaan esimerkiksi pakollisia tietosuojaa käsitteleviä verkkokursseja ja kertauskursseja sekä kursseja liittyen vaikutustenarviointiin ja tietosuojan integrointiin. Kaikki nämä toimet auttavat työntekijöitä ja konsulttina työskenteleviä työntekijöitä ymmärtämään tietosuojan tärkeyden ja omaan toimintaan liittyvät riskit. Intranetin tietosuojasivulla on lisäksi käytännön apua, yhteystietoja, koulutusta, ohjeita sekä tietoa tietosuojaan liittyvistä prosesseista ja menetelmistä kaikille yhtiön työntekijöille ja konsulttina työskenteleville työntekijöille.
Kolmannet osapuolet käsittelevät henkilötietoja tietosuojalakien ja Sampo-konsernin kanssa tehdyn tietojenkäsittelysopimuksen tai vastaavan sopimuksen edellyttämällä tavalla. Tietojenkäsittelysopimuksessa kerrotaan, miten Sampo-konsernin yhteistyökumppanit ja näiden mahdolliset alihankkijat käsittelevät Sampo-konsernin tietoja. Henkilötietoja käsittelevät kolmannet osapuolet arvioidaan säännöllisesti.
Tavoitteet ja päämäärät
Sampo-konsernin tietosuojatoiminnan tavoitteena on suojata henkilöstön, asiakkaiden ja muiden sidosryhmien henkilötietoja.
Rekisteröityjen pyynnöt
Sampo-konserni
| Rekisteröityjen pyynnöt | 2023 | 2022 | 2021 |
|---|---|---|---|
| Oikeus saada pääsy henkilötietoihin | 3 550 | 2 433 | 1 975 |
| Oikeus tietojen oikaisemiseen | 11 | 3 | 12 |
| Oikeus tietojen poistamiseen | 465 | 583 | 508 |
| Oikeus käsittelyn rajoittamiseen | 0 | 59 | 0 |
| Oikeus siirtää tiedot järjestelmästä toiseen | 0 | 1 | 0 |
| Oikeus vastustaa tietojen käsittelyä* | 105 | 32 | 79 |
| Oikeus olla joutumatta pelkästään automaattiseen käsittelyyn perustuvan päätöksen kohteeksi | 0 | 0 | 0 |
| Rekisteröityjen pyynnöt yhteensä | 4 131 | 3 111 | 2 574 |
Mandatum on mukana vuosien 2021 ja 2022 luvuissa.
* Topdanmark ei ole mukana vuosien 2021–2023 luvuissa, koska tieto ei ollut saatavilla.
Rekisteröityjen valitukset ja tietosuojaviranomaisten huomautukset
Sampo-konserni
| 2023 | 2022 | 2021 | |
|---|---|---|---|
| Rekisteröityjen tekemät valitukset | 197 | 119 | 60 |
| Tietosuojaviranomaisten antamat huomautukset | 6 | 9 | 18 |
Mandatum on mukana vuosien 2021 ja 2022 luvuissa.
Paikallisille tietosuojavaltuutetuille ilmoitetut tietoturvaloukkaukset
Sampo-konserni
| 2023 | 2022 | 2021 | |
|---|---|---|---|
| Paikallisille tietosuojavaltuutetuille ilmoitetut tietoturvaloukkaukset | 167 | 175 | 175 |
Mandatum on mukana vuosien 2021 ja 2022 luvuissa.
Lisätietoa yhtiöittäin
Hallinnointi
Ifin tietosuojayksikkö pyrkii varmistamaan, että yhtiössä noudatetaan tietosuojasääntöjä. Ifin tietosuoja pohjautuu yhtiön toimintaperiaatteisiin, tietoturvapolitiikkaan, tietosuojapolitiikkaan, eettisiin toimintaperiaatteisiin ja tietojenkäsittelysopimuksiin. Ifin tietosuojahallinnon viitekehys luo perustan tietosuojaan sitoutuneelle työkulttuurille. Viitekehykseen kuuluu tietoisuuden kasvattaminen, raportointirakenteet, seulonnat, arvioinnit, turvatoimet ja tietojenkäsittelysopimukset.
Ifin tietosuojavastaava raportoi compliance-toiminnosta vastaavalle johtajalle. Tietosuojavastaava on kuitenkin lain vaatimalla tavalla riippumaton ja raportoi Ifin toimitusjohtajalle ja hallitukselle neljännesvuosittain ja aina tarvittaessa. Lisäksi Ifillä on tietoturvaloukkauksista vastaava johtaja sekä tietosuoja-asiantuntijat Ruotsissa, Norjassa ja Suomessa.
Tietosuojayksikkö turvaa tietosuojan perustan yhtiön tietojenkäsittelyprosessien, uusien teknologioiden, kehitysprojektien, järjestelmien, palvelujen ja kolmansien osapuolien seulonnalla ja varhaisilla tietosuojan vaikutustenarvioinneilla (Data Protection Impact Assessment, DPIA). Seulonnan ja vaikutustenarviointien aikana arvioidaan Ifin puolesta henkilötietoja käsittelevien kolmansien osapuolien kykyä noudattaa tietosuoja-asetusta (GDPR) ja tietojenkäsittelysopimusta. Kolmannet osapuolet käsittelevät henkilötietoja tietosuojalakien ja Ifin kanssa tehdyn tietojenkäsittelysopimuksen edellyttämällä tavalla. Tietojenkäsittelysopimuksessa kerrotaan, miten Ifin yhteistyökumppanit ja näiden mahdolliset alihankkijat käsittelevät Ifin tietoja. If arvioi yhtiön puolesta henkilötietoja käsittelevät kolmannet osapuolet vuosittain.
Ifin tietojen säilytyskäytännöt on dokumentoitu, ja niitä sovelletaan sekä tietojärjestelmien suorittamaan käsittelyyn että manuaaliseen käsittelyyn. Säilytyskäytännöt arvioidaan ja käydään läpi säännöllisesti. Ifin käyttämät tietojen poisto- ja anonymisointimenetelmät varmistavat, että henkilötietojen ja arkaluonteisten henkilötietojen säilytys on rajoitettua eikä yksilötietoja voi tunnistaa. Kaikki poisto- ja anonymisointimenetelmät on kattavasti kuvattu ja dokumentoitu. Tähän sisältyvät myös lokit, joilla todistetaan, että menetelmät on otettu käyttöön.
If tekee käyttöoikeuksien valvontaa ja tarkastuksia säännöllisesti käyttöoikeuksien valvonnan parantamiseksi. Kaikki valvontatoimet ja tarkastukset dokumentoidaan kattavasti osoitusvelvollisuusperiaatteen mukaisesti.
Paikallisen lainsäädännön ja GDPR:n tiukan tulkinnan vuoksi If käyttää henkilötietojen suojaamiseksi teknologiaa, joka salaa kaikki If-verkkoalueilta lähtevät sähköpostit vahvalla salauksella.
If saattaa rajoitetuissa tapauksissa joutua siirtämään tietoja EU/ETA-alueen ulkopuolelle tai sallia pääsyn tietoihin EU/ETA-alueen ulkopuolelta. Tietojen siirto EU/ETA-alueen ulkopuolelle tehdään aina tietosuojalakeja noudattaen.
Henkilöstön koulutus
Ifin tietosuojayksikkö pyrkii lisäämään tietoisuutta tietosuoja-asioissa käyttäjiin liittyvien riskien ehkäisemiseksi ja vähentämiseksi. Toiminnot on suunniteltu auttamaan työntekijöitä ja konsulttina työskenteleviä tilapäistyöntekijöitä ymmärtämään oman toimintansa vaikutukset henkilötietoloukkausten torjunnassa.
If lisää tietoisuutta koulutuksilla. Henkilöstölle on tarjolla pakollisia tietosuojaa käsitteleviä verkkokursseja ja kertauskursseja sekä kursseja liittyen vaikutustenarviointiin ja tietosuojan integrointiin. Koulutusta täydennetään 120:n Privacy Champion -tietosuoja-asiantuntijan verkostolla. Kaikki nämä toimet auttavat työntekijöitä ja konsulttina työskenteleviä tilapäistyöntekijöitä ymmärtämään tietosuojan tärkeyden ja omaan toimintaan liittyvät riskit. Ifin intranetin tietosuojasivulla on lisäksi käytännön apua, yhteystietoja, koulutusta, ohjeita sekä tietoa tietosuojaan liittyvistä prosesseista ja menetelmistä kaikille yhtiön työntekijöille.
Raportointi
If tarkastelee tietosuojaloukkauksia kuukausittain trendien havaitsemiseksi ja liiketoimintojen tukemiseksi niiltä suojautumisessa. Trendejä käydään läpi myös Ifin tietoturvakomiteassa. Pyrkimyksenä on tunnistaa tietosuojan ja tietoturvan välisiä riskienhallintasynergioita, kuten tapahtumien, vahinkojen ja rekisteröityjen oikeuksiin ja vapauksiin liittyvien riskien todennäköisyys.
If analysoi, käsittelee ja ilmoittaa tietosuojaloukkauksista vaatimusten mukaisesti 72 tunnin kuluessa, ennalta määriteltyä ja yhdenmukaista prosessia noudattaen. Rekisteröidylle aiheutuva riski selvitetään, analysoidaan ja arvioidaan, ja sen perusteella ryhdytään asianmukaisiin toimiin. If kirjaa jokaisesta tietosuojaloukkauksesta todisteet osoitusvelvollisuuden noudattamiseksi.
Hallinnointi
Topdanmarkilla on kattava tietosuojanhallintajärjestelmä, joka määrittää henkilötietojen käsittelyn toimintatavat ja käytännöt. Kokonaisvastuu Topdanmarkin tietosuojan riittävästä tasosta ja resursoinnista on yhtiön hallituksella ja ylimmällä johdolla.
Topdanmark tekee alihankkijoiden riskiarviointeja ja ohjeistaa tietojenkäsittelysopimuksilla, miten alihankkijoiden tulee käsitellä henkilötietoja. Riskiarviointien perusteella yhtiö päättää tietojenkäsittelijöiden valvonnan laajuudesta ja tarkastuksien tiheydestä. Topdanmark tekee myös tiivistä yhteistyötä Tanskan tietosuojaviranomaisen kanssa, joka vastaa valitusten tutkimisesta ja tarjoaa tukea riskien tunnistamiseen ja tietoisuuden lisäämiseen.
Topdanmarkin tietosuojavastaava antaa neuvoja ja suosituksia tietosuojan sekä rekisteröityjen oikeuksien jatkuvaksi parantamiseksi. Turvatoimien osalta neuvontaa annetaan yhteistyössä tietoturvapäällikön kanssa. Lisäksi tietosuojavastaava tekee säännöllisesti selvityksiä Topdanmarkin tietosuojasta ja raportoi neljännesvuosittain yhtiön hallitukselle ja johtoryhmälle.
Henkilöstön koulutus
Topdanmark varmistaa henkilötietojen käsittelyä koskevan lainsäädännön noudattamisen työntekijöiden jatkuvalla koulutuksella. Jokaisen Topdanmarkin uuden työntekijän on suoritettava henkilötietojen oikeaa ja turvallista käsittelyä koskeva verkkokoulutus. Myös nykyiset työntekijät osallistuvat koulutukseen säännöllisin väliajoin. Työntekijöillä on lisäksi mahdollisuus ottaa yhteyttä tietosuojavastaavaan ja kokeneisiin yleiseen tietosuoja-asetukseen perehtyneisiin juristeihin tarvitessaan neuvoja. Henkilötietoihin liittyvä ohjeistus on saatavilla myös Topdanmarkin intranetissä.
Raportointi
Topdanmark käsittelee tietoturvaloukkaukset määriteltyjen prosessien mukaisesti, ja tapaukset arvioidaan ja niistä ilmoitetaan tietosuojaviranomaiselle oikea-aikaisesti. Jos rekisteröityyn kohdistuva riski katsotaan suureksi, hänelle ilmoitetaan tapauksesta. Topdanmark tutkii jokaisen tietoturvaloukkauksen ja arvioi miten vastaavat tapahtumat voidaan välttää jatkossa.
Hallinnointi
Hastingsilla on tietosuojapolitiikka ja henkilötietojen säilytystä koskeva politiikka, joita sovelletaan kaikkiin yhtiön toimintoihin, kuten tietoihin, jotka liittyvät olemassa oleviin tai potentiaalisiin asiakkaisiin tai työntekijöihin. Yhtiö pitää huolen siitä, että käyttäjätietojen keräämistä, käyttöä, jakamista ja säilyttämistä koskevat käytännöt ovat lainmukaisia, reiluja, avoimia, selkeästi kuvattuja ja kaikkien rekisteröityjen saatavilla.
Hastingsilla on oma ohjausryhmä tietohallinnolle. Ohjausryhmään kuuluvat Hastings-konsernin riskienhallintajohtaja, operatiivinen johtaja, talousjohtaja, tietoturvajohtaja, tietohallintopäällikkö ja tietosuojavastaava. Jokaisen liiketoiminta-alueen johtaja on vastuussa siitä, että Hastingsin tietosuojakäytäntöä noudatetaan kyseisellä liiketoiminta-alueella. Tätä seurataan kuukausittaisilla johtoryhmätason katsauksilla ja tietohallinnon ohjausryhmän kuukausittaisissa kokouksissa. Hastingsilla on yhtiön laajuinen tietosuojaedustajien (Data Protection Champion) verkosto, joka auttaa sisäänrakennetun ja oletusarvoisen tietosuojan ja yksityisyyden periaatteiden jalkauttamisessa liiketoimintaan. Hastings käyttää ulkopuolisia asiantuntijatarkastajia tietosuojakäytäntöjensä ja -menettelyjensä riippumattomaan arviointiin ja sitoutuu toimimaan heidän suositusten mukaisesti.
Alihankkijoiden osalta Hastings varmistaa, että sopimuksissa on pykäliä, joiden mukaan alihankkijat vastaavat tietosuojakoulutuksensa ajantasaisuudesta. Tarvittaessa yhtiö varmistaa myös, että alihankkijalla on asianmukaiset tietosuojapolitiikat.
Henkilöstön koulutus
Kaikki Hastingsin työntekijät suorittavat pakollisen tietosuojakoulutuksen aloittaessaan yhtiössä ja vuosittain siitä eteenpäin. Lisäksi tietosuojatiimi järjestää tietosuojaedustajien avustuksella kaikille liiketoiminnoille räätälöityä tietosuojakoulutusta, jonka tavoitteena on organisaation tietosuojatietoisuuden ja -osaamisen jatkuva parantaminen.
Raportointi
Hastingsilla on operatiivisia toimenpiteitä tietosuojaloukkausten ja tietomurtojen tarkkailemiseksi ja niihin reagoimiseksi. Tapahtumista ja huolenaiheista raportoidaan tietosuojatiimille tutkintaa, dokumentointia ja tukea varten. Yhtiön poikkeamanhallintaprosessi sisältää eskalointiprosessit tietosuojavastaavan, tietoturvajohtajan ja muiden johtajien osallistamiseksi tarpeen mukaan.
Hallinnointi
Sampo Oyj:n lakiosasto ohjaa ja valvoo Sampo Oyj:n tietosuojatoimia varmistaakseen, että asiaankuuluvia säädöksiä noudatetaan jatkuvasti. Lakiosasto varmistaa, että tietoisuus tietosuoja-asioista on riittävällä tasolla ja avustaa liiketoimintayksiköitä tietosuojaan liittyvien prosessien tunnistamisessa ja henkilötietojen käsittelyssä sekä muissa tietosuoja-asetukseen liittyvissä aiheissa.
Henkilöstön koulutus
Tietosuoja on olennainen osa uusien työntekijöiden perehdytysprosessia, ja nykyisille työntekijöille tarjotaan tarvittaessa lisäkoulutusta.
Aiheeseen liittyvää tietoa:
Päivitetty