Photo: city view

Tietosuoja 

Olennaisuus

Asiakkaiden ja muiden sidosryhmien henkilötietojen suojaaminen on ensisijaisen tärkeää Sampo-konsernin yhtiöille. Vakuutusalalla, joka on erittäin säännelty toimiala, käsitellään paljon henkilötietoja. Sampo-konsernille voi aiheutua liiketoimintariskejä, operatiivisia riskejä ja maineriskejä, jos se epäonnistuu tietosuojasääntelyn ja -ohjeiden noudattamisessa. 

Konsernin hallintotapa

Sampo-konsernissa tietosuojaan liittyvät ohjeasiakirjat ovat Sampo-konsernin toimintaperiaatteet ja Sampo-konsernin tietosuojaselvitys. Molemmat käydään läpi vuosittain ja hyväksytetään Sampo Oyj:n hallituksella. Lisäksi eri konserniyhtiöillä on täydentäviä, omaan liiketoimintaansa soveltuvia tietosuojapolitiikkoja ja -ohjeita. 

Sampo-konserni on sitoutunut henkilötietojen lailliseen, asianmukaiseen ja läpinäkyvään käsittelyyn kunnioittaen samalla ihmisoikeuksia kaikilla tiedonhallinnan osa-alueilla. Konserniyhtiöt ovat sitoutuneet hankkimaan, käyttämään ja säilyttämään henkilötietoja kaikkien tietosuojalakien ja -asetusten mukaisesti. 

Kaikki konserniyhtiöt pyrkivät takaamaan, ettei työnantajan, työntekijöiden, asiakkaiden ja muiden sidosryhmien yksityisyyttä loukata ja että konsernin työntekijöille ja konsulttina työskenteleville tilapäistyöntekijöille tarjotaan riittävästi tietosuojakoulutusta. Konserniyhtiöt varmistavat myös, että epäillyt rikkomustapaukset selvitetään ja korjaaviin toimenpiteisiin ryhdytään tarvittaessa. 

Konserniyhtiöt tekevät yhteistyötä lainvalvontaviranomaisten kanssa. Henkilötietojen luovuttamisen oikeusperusta arvioidaan huolellisesti tietosuoja-asetuksen ja tietosuojavalvojan ohjeiden mukaan ennen tietojen luovuttamista.  

Konsernin tavoitteet ja päämäärät

Sampo-konsernin yhtiöiden tietosuojatoiminnan tavoitteena on suojata henkilöstön, asiakkaiden ja muiden sidosryhmien henkilötietoja. 

Rekisteröityjen pyynnöt*
Sampo-konserni

  2022 2021 2020**
Oikeus saada pääsy henkilötietoihin 2 433 1 975 322
Oikeus tietojen oikaisemiseen 3 12 0
Oikeus tietojen poistamiseen 583 508 132
Oikeus käsittelyn rajoittamiseen 59 0 0
Oikeus siirtää tiedot järjestelmästä toiseen 1 0 2
Oikeus vastustaa tietojen käsittelyä 32 79 0
Oikeus olla joutumatta pelkästään automaattiseen käsittelyyn perustuvan päätöksen kohteeksi 0 0 0
Rekisteröityjen pyynnöt yhteensä 3 111 2 674 456

* Tiedot sisältävät Mandatumin, joka oli osa Sampo-konsernia 30.9.2023 asti.
** Pois lukien Hastings

 

Rekisteröityjen valitukset ja tietosuojaviranomaisten huomautukset*
Sampo-konserni

  2022 2021 2020**
Rekisteröityjen tekemät valitukset 119 60 74
Tietosuojaviranomaisten antamat huomautukset 9 18 10

* Tiedot sisältävät Mandatumin, joka oli osa Sampo-konsernia 30.9.2023 asti.
** Pois lukien Hastings

 

Paikallisille tietosuojavaltuutetuille ilmoitetut tietoturvaloukkaukset*
Sampo-konserni

  2022 2021 2020**
Paikallisille tietosuojavaltuutetuille ilmoitetut tietoturvaloukkaukset 175 175 110

* Tiedot sisältävät Mandatumin, joka oli osa Sampo-konsernia 30.9.2023 asti.
** Pois lukien Hastings

Lisätietoa yhtiöittäin

Hallinnointi

Ifin tietosuojayksikkö pyrkii varmistamaan, että yhtiössä noudatetaan tietosuojasääntöjä. Ifin tietosuoja pohjautuu yhtiön toimintaperiaatteisiin, tietoturvapolitiikkaan, tietosuojapolitiikkaan, eettisiin toimintaperiaatteisiin ja tietojenkäsittelysopimuksiin. Ifin tietosuojahallinnon viitekehys luo perustan tietosuojaan sitoutuneelle työkulttuurille. Viitekehykseen kuuluu tietoisuuden kasvattaminen, raportointirakenteet, seulonnat, arvioinnit, turvatoimet ja tietojenkäsittelysopimukset. 

Ifin tietosuojavastaava raportoi compliance-toiminnosta vastaavalle johtajalle. Tietosuojavastaava on kuitenkin lain vaatimalla tavalla riippumaton ja raportoi Ifin toimitusjohtajalle ja hallitukselle neljännesvuosittain ja aina tarvittaessa. Lisäksi Ifillä on tietoturvaloukkauksista vastaava johtaja sekä tietosuoja-asiantuntijat Ruotsissa, Norjassa ja Suomessa. 

Tietosuojayksikkö turvaa tietosuojan perustan yhtiön tietojenkäsittelyprosessien, uusien teknologioiden, kehitysprojektien, järjestelmien, palvelujen ja kolmansien osapuolien seulonnalla ja varhaisilla tietosuojan vaikutustenarvioinneilla (Data Protection Impact Assessment, DPIA). Seulonnan ja vaikutustenarviointien aikana arvioidaan Ifin puolesta henkilötietoja käsittelevien kolmansien osapuolien kykyä noudattaa tietosuoja-asetusta (GDPR) ja tietojenkäsittelysopimusta. Kolmannet osapuolet käsittelevät henkilötietoja tietosuojalakien ja Ifin kanssa tehdyn tietojenkäsittelysopimuksen edellyttämällä tavalla. Tietojenkäsittelysopimuksessa kerrotaan, miten Ifin yhteistyökumppanit ja näiden mahdolliset alihankkijat käsittelevät Ifin tietoja. If arvioi yhtiön puolesta henkilötietoja käsittelevät kolmannet osapuolet vuosittain. 

Ifin tietojen säilytyskäytännöt on dokumentoitu, ja niitä sovelletaan sekä tietojärjestelmien suorittamaan käsittelyyn että manuaaliseen käsittelyyn. Säilytyskäytännöt arvioidaan ja käydään läpi säännöllisesti. Ifin käyttämät tietojen poisto- ja anonymisointimenetelmät varmistavat, että henkilötietojen ja arkaluonteisten henkilötietojen säilytys on rajoitettua eikä yksilötietoja voi tunnistaa. Kaikki poisto- ja anonymisointimenetelmät on kattavasti kuvattu ja dokumentoitu. Tähän sisältyvät myös lokit, joilla todistetaan, että menetelmät on otettu käyttöön. 

If tekee käyttöoikeuksien valvontaa ja tarkastuksia säännöllisesti käyttöoikeuksien valvonnan parantamiseksi. Kaikki valvontatoimet ja tarkastukset dokumentoidaan kattavasti osoitusvelvollisuusperiaatteen mukaisesti. 

Paikallisen lainsäädännön ja GDPR:n tiukan tulkinnan vuoksi If käyttää henkilötietojen suojaamiseksi teknologiaa, joka salaa kaikki If-verkkoalueilta lähtevät sähköpostit vahvalla salauksella. 

If saattaa rajoitetuissa tapauksissa joutua siirtämään tietoja EU/ETA-alueen ulkopuolelle tai sallia pääsyn tietoihin EU/ETA-alueen ulkopuolelta. Tietojen siirto EU/ETA-alueen ulkopuolelle tehdään aina tietosuojalakeja noudattaen. 

Henkilöstön koulutus

Ifin tietosuojayksikkö pyrkii lisäämään tietoisuutta tietosuoja-asioissa käyttäjiin liittyvien riskien ehkäisemiseksi ja vähentämiseksi. Toiminnot on suunniteltu auttamaan työntekijöitä ja konsulttina työskenteleviä tilapäistyöntekijöitä ymmärtämään oman toimintansa vaikutukset henkilötietoloukkausten torjunnassa. 

If lisää tietoisuutta koulutuksilla. Henkilöstölle on tarjolla pakollisia tietosuojaa käsitteleviä verkkokursseja ja kertauskursseja sekä kursseja liittyen vaikutustenarviointiin ja tietosuojan integrointiin. Koulutusta täydennetään 120:n Privacy Champion -tietosuoja-asiantuntijan verkostolla. Kaikki nämä toimet auttavat työntekijöitä ja konsulttina työskenteleviä tilapäistyöntekijöitä ymmärtämään tietosuojan tärkeyden ja omaan toimintaan liittyvät riskit. Ifin intranetin tietosuojasivulla on lisäksi käytännön apua, yhteystietoja, koulutusta, ohjeita sekä tietoa tietosuojaan liittyvistä prosesseista ja menetelmistä kaikille yhtiön työntekijöille. 

Raportointi

If tarkastelee tietosuojaloukkauksia kuukausittain trendien havaitsemiseksi ja liiketoimintojen tukemiseksi niiltä suojautumisessa. Trendejä käydään läpi myös Ifin tietoturvakomiteassa. Pyrkimyksenä on tunnistaa tietosuojan ja tietoturvan välisiä riskienhallintasynergioita, kuten tapahtumien, vahinkojen ja rekisteröityjen oikeuksiin ja vapauksiin liittyvien riskien todennäköisyys.  

If analysoi, käsittelee ja ilmoittaa tietosuojaloukkauksista vaatimusten mukaisesti 72 tunnin kuluessa, ennalta määriteltyä ja yhdenmukaista prosessia noudattaen. Rekisteröidylle aiheutuva riski selvitetään, analysoidaan ja arvioidaan, ja sen perusteella ryhdytään asianmukaisiin toimiin. If kirjaa jokaisesta tietosuojaloukkauksesta todisteet osoitusvelvollisuuden noudattamiseksi. 

Hallinnointi

Topdanmarkilla on kattava tietosuojanhallintajärjestelmä, joka määrittää henkilötietojen käsittelyn toimintatavat ja käytännöt. Kokonaisvastuu Topdanmarkin tietosuojan riittävästä tasosta ja resursoinnista on yhtiön hallituksella ja ylimmällä johdolla. 

Topdanmark tekee alihankkijoiden riskiarviointeja ja ohjeistaa tietojenkäsittelysopimuksilla, miten alihankkijoiden tulee käsitellä henkilötietoja. Riskiarviointien perusteella yhtiö päättää tietojenkäsittelijöiden valvonnan laajuudesta ja tarkastuksien tiheydestä. Topdanmark tekee myös tiivistä yhteistyötä Tanskan tietosuojaviranomaisen kanssa, joka vastaa valitusten tutkimisesta ja tarjoaa tukea riskien tunnistamiseen ja tietoisuuden lisäämiseen. 

Topdanmarkin tietosuojavastaava antaa neuvoja ja suosituksia tietosuojan sekä rekisteröityjen oikeuksien jatkuvaksi parantamiseksi. Turvatoimien osalta neuvontaa annetaan yhteistyössä tietoturvapäällikön kanssa. Lisäksi tietosuojavastaava tekee säännöllisesti selvityksiä Topdanmarkin tietosuojasta ja raportoi neljännesvuosittain yhtiön hallitukselle ja johtoryhmälle. 

Henkilöstön koulutus

Topdanmark varmistaa henkilötietojen käsittelyä koskevan lainsäädännön noudattamisen työntekijöiden jatkuvalla koulutuksella. Jokaisen Topdanmarkin uuden työntekijän on suoritettava henkilötietojen oikeaa ja turvallista käsittelyä koskeva verkkokoulutus. Myös nykyiset työntekijät osallistuvat koulutukseen säännöllisin väliajoin. Työntekijöillä on lisäksi mahdollisuus ottaa yhteyttä tietosuojavastaavaan ja kokeneisiin yleiseen tietosuoja-asetukseen perehtyneisiin juristeihin tarvitessaan neuvoja. Henkilötietoihin liittyvä ohjeistus on saatavilla myös Topdanmarkin intranetissä. 

Raportointi

Topdanmark käsittelee tietoturvaloukkaukset määriteltyjen prosessien mukaisesti, ja tapaukset arvioidaan ja niistä ilmoitetaan tietosuojaviranomaiselle oikea-aikaisesti. Jos rekisteröityyn kohdistuva riski katsotaan suureksi, hänelle ilmoitetaan tapauksesta. Topdanmark tutkii jokaisen tietoturvaloukkauksen ja arvioi miten vastaavat tapahtumat voidaan välttää jatkossa. 

Hallinnointi

Hastingsilla on tietosuojapolitiikka ja henkilötietojen säilytystä koskeva politiikka, joita sovelletaan kaikkiin yhtiön toimintoihin, kuten tietoihin, jotka liittyvät olemassa oleviin tai potentiaalisiin asiakkaisiin tai työntekijöihin. Yhtiö pitää huolen siitä, että käyttäjätietojen keräämistä, käyttöä, jakamista ja säilyttämistä koskevat käytännöt ovat lainmukaisia, reiluja, avoimia, selkeästi kuvattuja ja kaikkien rekisteröityjen saatavilla.  

Hastingsilla on oma ohjausryhmä tietohallinnolle. Ohjausryhmään kuuluvat Hastings-konsernin riskienhallintajohtaja, operatiivinen johtaja, talousjohtaja, tietoturvajohtaja, tietohallintopäällikkö ja tietosuojavastaava. Jokaisen liiketoiminta-alueen johtaja on vastuussa siitä, että Hastingsin tietosuojakäytäntöä noudatetaan kyseisellä liiketoiminta-alueella. Tätä seurataan kuukausittaisilla johtoryhmätason katsauksilla ja tietohallinnon ohjausryhmän kuukausittaisissa kokouksissa. Hastingsilla on yhtiön laajuinen tietosuojaedustajien (Data Protection Champion) verkosto, joka auttaa sisäänrakennetun ja oletusarvoisen tietosuojan ja yksityisyyden periaatteiden jalkauttamisessa liiketoimintaan. Hastings käyttää ulkopuolisia asiantuntijatarkastajia tietosuojakäytäntöjensä ja -menettelyjensä riippumattomaan arviointiin ja sitoutuu toimimaan heidän suositusten mukaisesti. 

Alihankkijoiden osalta Hastings varmistaa, että sopimuksissa on pykäliä, joiden mukaan alihankkijat vastaavat tietosuojakoulutuksensa ajantasaisuudesta. Tarvittaessa yhtiö varmistaa myös, että alihankkijalla on asianmukaiset tietosuojapolitiikat. 

Henkilöstön koulutus

Kaikki Hastingsin työntekijät suorittavat pakollisen tietosuojakoulutuksen aloittaessaan yhtiössä ja vuosittain siitä eteenpäin. Lisäksi tietosuojatiimi järjestää tietosuojaedustajien avustuksella kaikille liiketoiminnoille räätälöityä tietosuojakoulutusta, jonka tavoitteena on organisaation tietosuojatietoisuuden ja -osaamisen jatkuva parantaminen. 

Raportointi

Hastingsilla on operatiivisia toimenpiteitä tietosuojaloukkausten ja tietomurtojen tarkkailemiseksi ja niihin reagoimiseksi. Tapahtumista ja huolenaiheista raportoidaan tietosuojatiimille tutkintaa, dokumentointia ja tukea varten. Yhtiön poikkeamanhallintaprosessi sisältää eskalointiprosessit tietosuojavastaavan, tietoturvajohtajan ja muiden johtajien osallistamiseksi tarpeen mukaan. 

Hallinnointi

Sampo Oyj:n lakiosasto ohjaa ja valvoo Sampo Oyj:n tietosuojatoimia varmistaakseen, että asiaankuuluvia säädöksiä noudatetaan jatkuvasti. Lakiosasto varmistaa, että tietoisuus tietosuoja-asioista on riittävällä tasolla ja avustaa liiketoimintayksiköitä tietosuojaan liittyvien prosessien tunnistamisessa ja henkilötietojen käsittelyssä sekä muissa tietosuoja-asetukseen liittyvissä aiheissa. 

Henkilöstön koulutus

Tietosuoja on olennainen osa uusien työntekijöiden perehdytysprosessia, ja nykyisille työntekijöille tarjotaan tarvittaessa lisäkoulutusta.

Päivitetty