Käytössäsi on vanha selainversio

Huomioithan, että sivusto ei välttämättä toimi oikein vanhentuneella selaimella. Suosittelemme selaimen päivittämistä tai toisen selaimen käyttämistä.

Tällä sivustolla käytetään evästeitä parhaan käyttäjäkokemuksen tarjoamiseksi. Jatkamalla sivuston selailua hyväksyt evästeiden käytön. Halutessasi voit muuttaa selaimesi asetuksia. Lisätietoja tietosuojailmoituksessamme.

Hyväksyn

Tietosuoja

Sampo-konsernin yhtiöt toimivat finanssi- ja vakuutusalalla, joka on erittäin säännelty toimiala. Alalla käsitellään myös paljon henkilötietoja. Useimmissa finanssi- ja vakuutuspalveluissa käsitellään tietoa, joka liittyy suoraan tai välillisesti yksittäisiin ihmisiin. Siksi henkilötietojen suojaaminen on ensiarvoisen tärkeää.

Sampo-konsernissa tietosuojaan liittyvät ohjeasiakirjat ovat Sampo-konsernin toimintaperiaatteet ja Sampo-konsernin tietosuojaselvitys. Molemmat dokumentit ovat Sampo Oyj:n hallituksen hyväksymiä, ja ne tarkistetaan vuosittain sekä päivitetään tarvittaessa. Lisäksi eri konserniyhtiöillä on yksityiskohtaisempia, omaan liiketoimintaansa liittyviä tietosuojapolitiikkoja ja ‑ohjeita.

Tietosuojarikkomuksia koskevien huomautusten lukumäärä, Sampo-konserni 2019
Rekisteröidyiltä saadut huomautukset 3
Tietosuojaviranomaisilta saadut huomautukset 0

If

Tietosuojavastaava ohjaa ja valvoo kaikkia yhtiön sisäisiin tietosuojatoimiin liittyviä periaatteita ja varmistaa, että Ifin toiminta on yleisen tietosuoja-asetuksen (GDPR) ja yhtiön kunkin toimintamaan paikallisen tietosuojalainsäädännön mukaista. Hän johtaa tietosuojayksikköä yhdessä Ruotsissa toimivan tietosuojaloukkauspäällikön ja neljän henkilötietosuojapäällikön kanssa. Henkilötietosuojapäälliköistä yksi toimii Ruotsissa, yksi Norjassa, kaksi Suomessa ja yksi Virossa. Tietosuojayksikön jäsenet ovat aloittaneet koulutuksen tavoitteenaan saada tietosuoja-ammattilaisen CIPP/E-sertifikaatti (Certified Information Privacy Professional, Europe) vuoteen 2022 mennessä.

Vuoden 2019 aikana kävi ilmi, että tietosuojavastaavan ja tietoturvajohtajan voimien yhdistäminen olisi hyödyllistä, koska roolien on tehtävä yhteistyötä useilla alueilla politiikkojen ja lähestymistapojen yhdenmukaisuuden varmistamiseksi. Tietosuojavastaava on helmikuusta 2020 alkaen raportoinut tietoturvajohtajalle. Tietosuojavastaava on lain vaatimalla tavalla riippumaton ja raportoi Ifin toimitusjohtajalle ja hallitukselle neljännesvuosittain ja aina tarvittaessa.

If tarkasteli vuonna 2020 edelleen sisäisiä prosessejaan, jotka liittyvät rekisteröityjen oikeuksiin. Tarkoituksena oli varmistaa, että yhtiön toiminta on GDPR:n mukaista ja että toiminnassa otetaan huomioon paikallisten tietosuojaviranomaisten ohjeet. Tarkastelussa keskityttiin siihen, miten rekisteröityjen esittämien suullisten pyyntöjen käsittelyä voitaisiin parantaa ja miten tiedettäisiin, milloin rekisteröidyllä on oikeus saada pääsy tietoihin ja millainen oikeus hänellä on sekä mitkä tiedot yhtiön on toimitettava rekisteröidyille ja milloin yhtiö voi evätä rekisteröidyn esittämän pyynnön.

Lisäksi If järjesti edelleen vuonna 2020 tietosuojakoulutusta kaikille uusille työntekijöille. Koulutus on osa yhtiön työntekijöiden pakollista koulutusta. Jo aiemmin vuonna 2018 yhtiö otti käyttöön kaikille työntekijöille tarkoitetut tietosuojaa koskevat nano-oppimiskokonaisuudet, joita seuraa perinteisempi verkkokoulutus. Vuodesta 2019 alkaen on järjestetty verkkokoulutuksia, joissa käsitellään muun muassa sisäänrakennettua ja oletusarvoista tietosuojaa koskevia ohjeita sekä sen varmistamiseen liittyviä vastuita, että tietoihin pääsy kirjataan vaatimusten mukaisesti. Tietosuojaa koskevaan vaikutustenarviointiin liittyvä koulutus annettiin aiemmin paikan päällä, mutta nyt koulutukseen käytetään digitaalista luokkahuonetta. Verkkokoulutukset ovat luonnollinen osa kaikille työntekijöille tarkoitettua Ifin Learning Centeriä, joka on myös tilapäisten työntekijöiden käytettävissä.

Verkkokoulutusten ja digitaalisen luokkahuoneen lisäksi Ifillä on 120 tietosuoja-asiantuntijan eli Privacy Championin verkosto. He saavat jatkuvasti syvällistä tietosuojakoulutusta. Heidän tehtävänään on jakaa hankkimaansa tietoa tiimeissään, osastoissaan, toiminnoissaan ja yksiköissään. Lisäksi Ifin intranetissä oleva tietosuojasivu on tietolähde kaikille yhtiön työntekijöille. Sivulla on tarjolla käytännön apua, yhteystietoja, koulutusta, ohjeita sekä tietoa prosesseista ja menetelmistä aiheeseen liittyen.

If saattaa joutua luovuttamaan henkilötietoja sellaisille yhteistyökumppaneille, jotka tuottavat palveluita Ifin puolesta. Yhteistyökumppanit käsittelevät henkilötietoja tietosuojalakien ja Ifin kanssa tehdyn tietojenkäsittelysopimuksen edellyttämällä tavalla. Tietojenkäsittelysopimuksessa kerrotaan, miten Ifin yhteistyökumppanit ja näiden mahdolliset alihankkijat käsittelevät Ifin tietoja. Tietojen siirto EU/ETA-alueen alkupuolelle tehdään aina tietosuojalakeja noudattaen.

Mahdolliset tietosuojaloukkaukset analysoidaan ja käsitellään ja niistä ilmoitetaan vaaditussa 72 tunnin määräajassa tarkkaan määritellyn ja yhtenäisen prosessin avulla. Rekisteröityyn kohdistunut riski tunnistetaan, analysoidaan ja arvioidaan Euroopan unionin kyberturvallisuusviraston vahvistaman kehyksen perusteella, minkä jälkeen toteutetaan asianmukaiset toimenpiteet. Tietosuojaloukkauksia tarkastellaan kuukausittain, jotta voidaan seurata kehitystä ja antaa toiminnoille tukea.

Ifin tietojen säilyttämispolitiikkoja sovelletaan sekä järjestelmissä suoritettavaan käsittelyyn että manuaaliseen käsittelyyn. Käytössä on poistomenettelyjä ja anonymisointimenetelmiä, joilla varmistetaan arkaluonteisten ja muiden henkilötietojen säilytyksen rajoittaminen ja anonymisointi. Käyttäjäoikeuksia tarkastellaan säännöllisesti. Tietosuojaa koskevia vaikutustenarviointeja on tehty kaikkiaan yli 400. Suostumus- ja evästekäytäntöjä on parannettu sen varmistamiseksi, että käsittelyperiaatteita noudatetaan.

Paikallisen lainsäädännön ja GDPR:n tiukan tulkinnan vuoksi If käyttää henkilötietojen suojaamiseksi teknologiaa, joka salaa kaikki If-verkkoalueilta lähtevät sähköpostit vahvalla salauksella.

Ifin tietosuojaselosteessa verkossa kerrotaan, kuinka ja miksi If kerää ja käsittelee henkilötietoja. Tietosuojaselosteessa on esitetty myös rekisteröityjen oikeudet ja niiden toimeenpano Ifissä.

Topdanmark

Kokonaisvastuu Topdanmarkin tietosuojan riittävästä tasosta ja resursoinnista on yhtiön hallituksella ja ylimmällä johdolla.

Topdanmarkin compliance-yksikkö vastaa yhtiön tietosuojastrategiasta, liiketoimintamenettelyistä, toimintaohjeista, valvonnasta, raportoinnista ja tietoturvaloukkauksista ilmoittamisesta. Yhtiön tietosuojavastaava on vastuussa tietosuojan analysoinnista ja jatkuvasta kehittämisestä. Topdanmarkin tietoturvakomitea vastaa tietoturvan pitämisestä hyvällä tasolla tiiviissä yhteistyössä tietosuojavastaavan, liiketoiminnan ja compliance-yksikön kanssa. Yhtiö varmistaa tietojärjestelmiensä avulla, että henkilötiedot ovat ajan tasalla, pitävät paikkansa ja että tarpeettomat tiedot poistetaan ja asiattomat henkilöt eivät pääse tietoihin käsiksi.

Topdanmarkin hallitus on hyväksynyt henkilötietojen käsittelyä koskevan politiikan. Yhtiö varmistaa henkilötietosuojan korkean tason käsittelyprosessien jatkuvalla seurannalla ja riskiarvioinneilla. Lisäksi Topdanmark tekee riskiarviointeja esimerkiksi korvauskäsittelyssä käytettävistä ulkopuolisista tietojen käsittelijöistä. Topdanmark vahvisti vuonna 2019 yleiseen tietosuoja-asetukseen liittyviä prosessejaan parantamalla henkilötietojen käsittelijöiden riskiarviointia ja valvontaa sekä varmistamalla, että uusien digitaalisten järjestelmien tietoturva arvioidaan jo hankkeen suunnitteluvaiheessa.

Jokaisen Topdanmarkin uuden työntekijän on suoritettava henkilötietojen oikeaa käsittelyä ja yleistä tietosuoja-asetusta käsittelevä verkkokoulutus. Kaikkien työntekijöiden tietosuojaosaamista pidetään yllä säännöllisin väliajoin suoritettavalla lyhyellä verkkokurssilla.

Topdanmark ottaa vuonna 2020 käyttöön teknologian, joka salaa lähtevät sähköpostit automaattisesti vahvimmalla mahdollisella salauksella. Lisäksi yhtiö siirtää sähköistä viestintää entistä enemmän suojattuihin kanaviin.

Topdanmarkin tietosuojaseloste on luettavissa englanniksi verkossa. Siinä kerrotaan, miten ja miksi yhtiö säilyttää ja käsittelee henkilötietoja. Tietosuojaselosteessa on esitetty myös rekisteröityjen oikeudet ja niiden toimeenpano Topdanmarkissa.

Mandatum Life

Mandatum Lifen henkilötietojen käsittely perustuu yhtiön hallituksen vuosittain hyväksymään tietosuojapolitiikkaan. Tietosuojapolitiikkaa sovelletaan kaikkeen henkilötietojen käsittelyyn Mandatum Lifessa, ja se koskee sekä koko Mandatum Lifen että yhtiön ulkopuolisten kumppaneiden henkilöstöä. Yksi politiikan keskeisistä tavoitteista on varmistaa rekisteröityjen oikeuksien toteutuminen yleisen tietosuoja-asetuksen mukaisesti. Tietosuojapolitiikkaa täydennetään työntekijöille ja tarvittaessa keskeisille yhteistyökumppaneille suunnatuilla tietosuojaperiaatteilla ja -ohjeilla. Tietosuojapolitiikka liittyy läheisesti myös muihin Mandatum Lifen sisäisiin politiikkoihin, kuten tiedonhallintapolitiikkaan ja tietoturvapolitiikkaan, jotka sisältävät yksityiskohtaisempia ohjeita tietojen luokittelusta, käsittelystä, ongelmatilanteiden valvonnasta ja hallinnasta sekä tietojen ja järjestelmien turvaamisesta alan johtavien käytäntöjen mukaisesti.

Mandatum Lifen hallitus ja toimitusjohtaja vastaavat siitä, että yhtiön tietosuojakäytännöt ovat riittävät ja että niihin suunnataan riittävästi resursseja. Mandatum Life on nimittänyt tietosuojavastaavan, johon yhtiön työntekijät ja asiakkaat voivat olla yhteydessä tietosuojaan liittyvissä kysymyksissä. Tietosuojavastaavan tehtävät on määritelty yleisessä tietosuoja-asetuksessa. Tietosuojavastaava vastaa esimerkiksi Mandatum Lifen tietosuojastrategiasta, -politiikasta, -ohjeista, -valvonnasta ja -raportoinnista sekä tietosuojapoikkeamien käsittelystä. Lisäksi tietosuojavastaava tuo esiin tietosuojaan liittyviä kehitystarpeita ja edistää toimia, joilla näihin tarpeisiin vastataan.

Mandatum Life noudattaa toiminnassaan sisäänrakennetun ja oletusarvoisen tietosuojan periaatetta sekä muita yleisen tietosuoja-asetuksen mukaisia velvoitteita. Näiden velvoitteiden noudattaminen edellyttää, että arkaluonteisten tietojen käsittelyä vaativien toimintatapojen suunnittelun yhteydessä arvioidaan perusteellisesti ne riskit, joita henkilötietojen käsittely rekisteröidyille aiheuttaa. Rekisteröidyn oikeuksiin ja vapauksiin kohdistuvan riskin todennäköisyys ja vakavuus määritellään käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoituksen perusteella. Mandatum Life luokittelee ja suojaa yhtiön tietojärjestelmät niihin liittyvien riskien mukaan. Palveluiden hankinnan tai uusien menettelyjen tai teknologian käyttöönoton suunnitteluvaiheessa tehdään tietosuojaa koskeva vaikutustenarviointi (Data Protection Impact Assessment, DPIA). Arvioinnin tarkoituksena on selvittää, aiheuttavatko suunnitellut tietojenkäsittelytoimet korkean riskin rekisteröityjen oikeuksille ja vapauksille. Arviointitulosten avulla vähennetään riskejä ja varmistetaan, että GDPR-vaatimukset on huomioitu. Mandatum Lifessa suoritettiin tai aloitettiin vuonna 2019 yli 20 tietosuojaa koskevaa vaikutustenarviointia.

Pääsyä henkilötietoihin rajoitetaan Mandatum Lifessa käyttäjäoikeuksien hallinnalla. Tietosuojakäytäntö kieltää henkilötietojen käsittelyn ilman työhön liittyvää syytä, ja siitä syystä tietojenkäsittelyä seurataan ja valvotaan.

Jokainen Mandatum Lifen työntekijä osallistuu tietosuojakoulutukseen vuosittain. Uudet työntekijät saavat koulutuksen perehdytyksensä aikana. Tarvittaessa koulutusta annetaan myös ulkoisille palveluntarjoajille. Tietosuojan verkko-opintojen suoritusastetta seurataan säännöllisesti. Vuoden 2019 lopussa 99 prosenttia Mandatum Lifen henkilöstöstä oli suorittanut koulutuksen, uusien työntekijöiden perehdytysaika huomioon ottaen. Yleisten verkko-opintojen ohella tiimeille ja yksiköille järjestetään räätälöityä koulutusta läpi vuoden. Vuonna 2019 Mandatum Life koulutti erityisesti myynnin ja myynnin tuen, IT:n ja liiketoiminnan kehittämisen yksiköitä.

Mandatum Lifessa oli vuonna 2019 käynnissä useita yhtiön tietoturvan ja tietosuojan varmentamiseen ja riippumattomaan arviointiin liittyviä hankkeita. Tietosuojan itsearvioinnin lisäksi riippumaton taho arvioi Mandatum Lifen tietoturvan maturiteetin ja suoritti eläkevakuutus- ja henkilöstörahastopalveluiden ISAE 3000 Type I -tarkastuksen. Tarkastus kattoi henkilötietojen käsittelyn tietoturva- ja tietosuojanäkökohdat. Mandatum Life jatkoi vuonna 2019 myös erilaisten vuosittaisten seurantatehtävien, katsausten ja arviointien toteuttamista sekä säännöllistä raportointia sidosryhmilleen.

Mandatum Lifen tietosuojaseloste on asiakkaiden ja muiden sidosryhmien luettavissa verkossa. Selosteessa kerrotaan, miten ja miksi yhtiö käsittelee ja säilyttää henkilötietoja. Tietosuojaselosteessa on esitetty myös rekisteröityjen oikeudet ja niiden toimeenpano Mandatum Lifessa.


Lisätietoa saatavilla yritysvastuuraportista (sivu 32).

Aiheeseen liittyvät dokumentit

Päivitetty 19.2.2021