Huomioithan, että sivusto ei välttämättä toimi oikein vanhentuneella selaimella. Suosittelemme selaimen päivittämistä tai toisen selaimen käyttämistä.
Tietosuoja
Olennaisuus
Asiakkaiden ja muiden sidosryhmien henkilötietojen suojaaminen on ensisijaisen tärkeää. Sampo-konsernin yhtiöt toimivat finanssi- ja vakuutusalalla, joka on erittäin säännelty toimiala. Alalla käsitellään myös paljon henkilötietoja. Sampo-konsernille voi aiheutua liiketoimintariskejä, operatiivisia riskejä ja maineriskejä, jos se epäonnistuu tietosuojasääntelyn ja -ohjeiden noudattamisessa.
Konsernin hallintotapa
Sampo-konsernissa tietosuojaan liittyvät ohjeasiakirjat ovat Sampo-konsernin toimintaperiaatteet ja Sampo-konsernin tietosuojaselvitys. Molemmat dokumentit ovat Sampo Oyj:n hallituksen hyväksymiä, ja ne tarkistetaan vuosittain sekä päivitetään tarvittaessa. Lisäksi eri konserniyhtiöillä on täydentäviä, omaan liiketoimintaansa liittyviä tietosuojapolitiikkoja ja -ohjeita.
Sampo-konserni on sitoutunut henkilötietojen lailliseen, asianmukaiseen ja läpinäkyvään käsittelyyn kunnioittaen samalla ihmisoikeuksia kaikilla tiedonhallinnan osa-alueilla. Konserniyhtiöt ovat sitoutuneet hankkimaan, käyttämään ja säilyttämään henkilötietoja kaikkien tietosuojalakien ja -asetusten mukaisesti.
Kaikki konserniyhtiöt pyrkivät takaamaan, ettei työnantajan, työntekijöiden, asiakkaiden ja muiden sidosryhmien yksityisyyttä loukata ja että konsernin työntekijöille ja ulkopuoliselle työvoimalle tarjotaan riittävästi tietosuojakoulutusta. Konserniyhtiöt varmistavat myös, että epäillyt rikkomustapaukset selvitetään ja korjaaviin toimenpiteisiin ryhdytään tarvittaessa.
| Rekisteröityjen pyynnöt, Sampo-konserni | 2021 | 2020* | 2019* |
| Oikeus saada pääsy henkilötietoihin | 1 975 | 322 | 187 |
| Oikeus tietojen oikaisemiseen | 12 | 0 | 0 |
| Oikeus tietojen poistamiseen | 508 | 132 | 111 |
| Oikeus käsittelyn rajoittamiseen | 0 | 0 | 0 |
| Oikeus siirtää tiedot järjestelmästä toiseen | 0 | 2 | 2 |
| Oikeus vastustaa tietojen käsittelyä** | 79 | 0 | 0 |
| Oikeus olla joutumatta pelkästään automaattiseen käsittelyyn perustuvan päätöksen kohteeksi | 0 | 0 | 0 |
| Rekisteröityjen pyynnöt yhteensä | 2 674 | 456 | 300 |
* Pois lukien Hastings
**Ei saatavilla Topdanmarkin osalta
| Rekisteröityjen valitukset ja tietosuojaviranomaisten huomautukset, Sampo-konserni | 2021 | 2020* | 2019* |
| Rekisteröityjen tekemät valitukset | 60 | 74 | 3 |
| Tietosuojaviranomaisten antamat huomautukset | 18 | 10 | 0 |
* Pois lukien Hastings
| Paikallisille tietosuovaltuutetuille ilmoitetut tietoturvaloukkaukset, Sampo-konserni | 2021 | 2020* | 2019* |
| Paikallisille tietosuojavaltuutetuille ilmoitetut tietoturvaloukkaukset | 175 | 110 | 41 |
* Pois lukien Hastings
Sampo-konsernin yhtiöiden tietosuojaselosteet
Kaikki Sampo-konsernin yhtiöt ovat laatineet tietosuojaselosteet, ja ne ovat saatavilla verkossa. Tietosuojaselosteissa kerrotaan esimerkiksi, kuinka ja miksi henkilötietoja kerätään ja käsitellään. Tietosuojaselosteissa on esitetty myös rekisteröityjen oikeudet ja niiden toimeenpano.
Ifin tietosuojaseloste
Topdanmarkin tietosuojaseloste (englanniksi)
Hastingsin tietosuojaseloste (englanniksi)
Mandatum Lifen tietosuojaseloste
If
Hallinnointi
Ifin tietosuojayksikkö pyrkii varmistamaan, että yhtiössä noudatetaan tietosuojasääntöjä. Ifin tietosuoja pohjautuu yhtiön toimintaperiaatteisiin, tietoturvapolitiikkaan, tietosuojapolitiikkaan, eettisiin toimintaperiaatteisiin ja tietojenkäsittelysopimuksiin. Ifin tietosuojahallinnon viitekehys luo perustan tietosuojaan sitoutuneelle työkulttuurille. Viitekehykseen kuuluu tietoisuuden kasvattaminen, raportointirakenteet, seulonnat, arvioinnit, turvatoimet ja tietojenkäsittelysopimukset.
Ifin tietosuojavastaava raportoi tietoturvapäällikölle. Tietosuojavastaava on kuitenkin lain vaatimalla tavalla riippumaton ja raportoi Ifin toimitusjohtajalle ja hallitukselle neljännesvuosittain ja aina tarvittaessa. Lisäksi Ifillä on tietoturvaloukkauksista vastaava johtaja sekä tietosuoja-asiantuntijat Ruotsissa, Norjassa, Suomessa ja Virossa.
Tietosuojayksikkö turvaa tietosuojan perustan yhtiön tietojenkäsittelyprosessien, uusien teknologioiden, kehitysprojektien, järjestelmien ja kolmansien osapuolien seulonnalla ja varhaisilla tietosuojan vaikutustenarvioinneilla mahdollisten rikkomusten varalta. Seulonnan ja vaikutustenarviointien aikana arvioidaan kolmansien osapuolien kykyä noudattaa tietosuoja-asetusta (GDPR) ja tietojenkäsittelysopimusta.
Seulonnan ja riskinarviointien lisäksi Ifin henkilötietojen käsittelijöitä arvioidaan vuosittain. Tilivelvollisuusperiaate edellyttää, että rekisterinpitäjät ja henkilötietojen käsittelijät ottavat vastuun käsittelytoimistaan ja tietosuojaperiaatteiden noudattamisesta.
Ifin tietojen säilytyskäytännöt on dokumentoitu, ja niitä sovelletaan sekä tietojärjestelmien suorittamaan käsittelyyn että manuaaliseen käsittelyyn. Säilytyskäytäntöjä arvioidaan ja tarkistetaan säännöllisesti. Ifin käyttämät tietojen poistomenettelyt ja anonymisointimenetelmät varmistavat, että henkilötietojen ja arkaluonteisten henkilötietojen säilytys on rajoitettua eikä yksilötietoja voi tunnistaa. Kaikki poisto- ja anonymisointimenettelyt on kattavasti kuvattu ja dokumentoitu osoituksena tilivelvollisuusperiaatteen noudattamisesta. Tähän sisältuu myös lokit, joilla todistetaan, että menettelyt on otettu käyttöön.
If tekee käyttöoikeuksien valvontaa ja tarkastuksia säännöllisesti käyttöoikeuksien valvonnan parantamiseksi. Kaikki valvontatoimet ja tarkastukset dokumentoidaan kattavasti tilivelvollisuuden periaatteen mukaisesti.
If saattaa joutua luovuttamaan henkilötietoja sellaisille yhteistyökumppaneille, jotka tuottavat palveluita Ifin puolesta. Yhteistyökumppanit käsittelevät henkilötietoja tietosuojalakien ja Ifin kanssa tehdyn tietojenkäsittelysopimuksen edellyttämällä tavalla. Tietojenkäsittelysopimuksessa kerrotaan, miten Ifin yhteistyökumppanit ja näiden mahdolliset alihankkijat käsittelevät Ifin tietoja. Globalisaation ja teknologisen kehityksen takia If saattaa rajoitetuissa tapauksissa joutua siirtämään tietoja EU/ETA-alueen ulkopuolelle tai sallia pääsyn tietoihin EU/ETA-alueen ulkopuolelta. Tietojen siirto EU/ETA-alueen ulkopuolelle tehdään aina tietosuojalakeja noudattaen. If tekee kaikkensa suojatakseen asiakkaiden yksityisyyttä käsittelemällä henkilötietoja huolellisesti sekä riittävillä suojatoimilla.
Paikallisen lainsäädännön ja GDPR:n tiukan tulkinnan vuoksi If käyttää henkilötietojen suojaamiseksi teknologiaa, joka salaa kaikki If-verkkoalueilta lähtevät sähköpostit vahvalla salauksella.
Henkilöstön koulutus
Ifin tietosuojayksikkö pyrkii lisäämään tietoisuutta tietosuoja-asioissa käyttäjiin liittyvien riskien ehkäisemiseksi ja vähentämiseksi. Toiminnot on suunniteltu auttamaan vakituisia ja määräaikaisia työntekijöitä (konsultteja ja ulkopuolisia urakoitsijoita) ymmärtämään oman toimintansa vaikutukset henkilötietoloukkausten torjunnassa.
If lisää tietoisuutta koulutuksilla. Henkilöstölle on tarjolla pakollisia tietosuojaa käsitteleviä verkkokursseja ja kertauskursseja sekä kursseja liittyen vaikutustenarviointiin ja tietosuojan integrointiin. Koulutusta täydennetään 120:n Privacy Champion -tietosuoja-asiantuntijan verkostolla. Kaikki nämä toimet auttavat vakituisia ja määräaikaisia työntekijöitä ymmärtämään tietosuojan tärkeyden ja omaan toimintaan liittyvät riskit. Ifin intranetin tietosuojasivulla on lisäksi käytännön apua, yhteystietoja, koulutusta, ohjeita sekä tietoa tietosuojaan liittyvistä prosesseista ja menetelmistä kaikille yhtiön työntekijöille.
Raportointi
If tarkastelee tietosuojaloukkauksia kuukausittain trendien havaitsemiseksi ja liiketoimintojen tukemiseksi niiltä suojautumisessa. Trendejä käydään läpi myös Ifin tietoturvakomiteassa. Pyrkimyksenä on tunnistaa tietosuojan ja tietoturvan välisiä riskienhallintasynergioita, kuten tapahtumien, vahinkojen ja rekisteröityjen oikeuksiin ja vapauksiin liittyvien riskien todennäköisyys, tai arvioida yhtiön yleistä tietosuojan tasoa. Yhteistyö tietosuojavastaavan ja tietoturvapäällikön välillä on ensiarvoisen tärkeää turvatason määrittämisessä suhteessa riskiin.
If analysoi, käsittelee ja ilmoittaa tietosuojaloukkauksista vaatimusten mukaisesti 72 tunnin kuluessa, ennalta määriteltyä ja yhdenmukaista prosessia noudattaen. Rekisteröidylle aiheutuva riski selvitetään, analysoidaan ja arvioidaan Euroopan unionin kyberturvallisuusviraston (ENISA) kehyksen mukaisesti, ja sen perusteella ryhdytään asianmukaisiin toimiin. If kirjaa jokaisesta tietosuojaloukkauksesta todisteet osoitusvelvollisuuden noudattamiseksi.
Topdanmark
Hallinnointi
Topdanmarkilla on kattava tietosuojanhallintajärjestelmä, joka määrittää henkilötietojen käsittelyn menettelyt ja käytännöt. Kokonaisvastuu Topdanmarkin tietosuojan riittävästä tasosta ja resursoinnista on yhtiön hallituksella ja ylimmällä johdolla.
Topdanmark suorittaa alihankkijoiden riskiarviointeja ja määrää tietojenkäsittelysopimuksilla, miten alihankkijoiden tulee käsitellä henkilötietoja. Riskiarviointien perusteella yhtiö päättää tietojenkäsittelijöiden valvonnan laajuudesta ja tarkastuksien tiheydestä.
Topdanmarkin tietosuojavastaava antaa neuvoja ja suosituksia tietosuojan sekä rekisteröityjen oikeuksien jatkuvaksi parantamiseksi. Turvatoimien osalta neuvontaa annetaan yhteistyössä tietoturvapäällikön kanssa. Lisäksi tietosuojavastaava tekee säännöllisesti selvityksiä Topdanmarkin tietosuojasta ja raportoi neljännesvuosittain yhtiön hallitukselle ja johtoryhmälle.
Henkilöstön koulutus
Topdanmark varmistaa henkilötietojen käsittelyä koskevan lainsäädännön noudattamisen työntekijöiden jatkuvalla koulutuksella. Jokaisen Topdanmarkin uuden työntekijän on suoritettava henkilötietojen oikeaa ja turvallista käsittelyä koskeva verkkokoulutus. Myös nykyiset työntekijät osallistuvat koulutukseen säännöllisin väliajoin, mikä takaa jatkuvan keskittymisen aiheeseen.
Työntekijöillä on lisäksi mahdollisuus ottaa yhteyttä tietosuojavastaavaan ja kokeneisiin yleiseen tietosuoja-asetukseen perehtyneisiin asianajajiin tarvitessaan neuvoja. Henkilötietoihin liittyvä ohjeistus on saatavilla myös Topdanmarkin intranet-sivulla.
Raportointi
Topdanmarkille asiakkaiden tietosuoja on erittäin tärkeää ja tavoitteena on välttää tietosuojaloukkaukset kokonaan. Loukkauksien tapahtuessa, usein inhimillisen syyn seurauksena, tapahtumat käsitellään, arvioidaan ja raportoidaan tarvittaessa tietosuojavaltuutetuille oikea-aikaisesti. Mikäli rekisteröityihin kohdistuva riski on merkittävä, rekisteröidyille ilmoitetaan tapahtumasta. Topdanmark arvioi jokaisen tapahtuman kohdalla kuinka vastaavat tapahtumat voidaan välttää tulevaisuudessa ja ryhtyy tarvittaviin toimenpiteisiin.
Hastings
Hallinnointi
Hastingsilla on virallinen tietosuojapolitiikka, jota sovelletaan kaikkeen yhtiön toimintaan, kuten tietoihin, jotka liittyvät olemassa oleviin tai potentiaalisiin asiakkaisiin tai työntekijöihin. Hastings varmistaa, että sen lähestymistapa käyttäjätietojen keräämiseen, käyttöön, jakamiseen ja säilyttämiseen on selkeästi ilmoitettu ja kaikkien rekisteröityjen saatavilla. Jos tietosuojailmoituksia ja muita rekisteröityihin liittyviä tietokäytäntöjä muutetaan, Hastings on sitoutunut ilmoittamaan asiasta oikea-aikaisesti ja asianmukaisesti niille rekisteröidyille, joita asia koskee.
Hastings varmistaa, että asiakkaiden lakisääteisestä oikeudesta yksityisyyteen pidetään huolta, mukaan lukien sitoutuminen siihen, että henkilötietoja käsitellään turvallisesti käyttäen soveltuvia teknisiä ja organisatorisia toimintatapoja. Hastingsin toimintatavoilla ja käytännöillä pyritään varmistamaan, että tietoja kerätään, tallennetaan ja käytetään oikein, että henkilötietoja suojataan ja että tietoja säilytetään vain niin kauan kuin on tarpeen.
Alihankkijoiden osalta Hastings varmistaa, että heidän sopimuksissaan on pykäliä, joiden mukaan alihankkijat vastaavat tietosuojakoulutuksensa ajantasaisuudesta. Tarvittaessa yhtiö varmistaa myös, että alihankkijalla on asianmukaiset tietosuojapolitiikat.
Henkilöstön koulutus
Kaikki työntekijät koulutetaan asianmukaisesti tehtäväänsä ja heidän tulee suorittaa vuosittain tietosuojasertifikaatti Hastingsin oppimisalustan kautta.
Raportointi
Hastingsilla on operatiivisia toimenpiteitä tietosuojaloukkausten ja tietomurtojen tarkkailemiseksi ja niihin reagoimiseksi. Tapahtumista ja huolenaiheista raportoidaan tietosuojatiimille tutkintaa, dokumentointia ja tukea varten. Tietosuojavastaava ja tarpeen mukaan muu johto liittyy mukaan eskalointiprosessiin osana yhtiönlaajuista tietosuojaloukkausten hallinnointiprosessia.
Mandatum
Hallinnointi
Mandatumin henkilötietojen käsittely perustuu Mandatum Asset Managementin ja Mandatum Lifen hallituksien vuosittain hyväksymään tietosuojapolitiikkaan. Tietosuojapolitiikkaa sovelletaan kaikkeen henkilötietojen käsittelyyn Mandatumissa, ja se koskee sekä koko Mandatumin että yhtiön ulkopuolisten kumppaneiden henkilöstöä. Tietosuojapolitiikka kertoo henkilötietojen käsittelystä Mandatumissa, käsiteltyjen ja käytettyjen henkilötietojen laadusta, tiedon jakamisesta viranomaisten ja Mandatumin kumppanien kanssa lakisääteisten vaatimusten mukaisesti sekä rekisteröityjen oikeuksista. Mandatum täydentää tietosuojapolitiikkaa työntekijöille ja tarvittaessa keskeisille yhteistyökumppaneille suunnatuilla tietosuojaperiaatteilla ja -ohjeilla. Kolmansien osapuolien on allekirjoitettava tietojenkäsittelysopimus osana hankintasopimusta.
Tietosuojapolitiikka liittyy läheisesti myös muihin Mandatumin sisäisiin politiikkoihin, kuten tiedonhallintapolitiikkaan ja tietoturvapolitiikkaan. Tiedonhallintapolitiikan tarkoituksena on tiedon tunnistaminen ja omistajuuden määrittäminen sekä tietojen luokittelu. Lisäksi politiikkaa täydentävät tiedonhallintaperiaatteet, jotka sisältävät yksityiskohtaisempia tietoja rooleista ja tehtävistä sekä tietojen luokitteluun liittyvistä prosesseista.
Mandatum Asset Managementin ja Mandatum Lifen hallitukset ja toimitusjohtajat vastaavat siitä, että yhtiöiden tietosuojakäytännöt ovat riittävät ja että niihin suunnataan riittävästi resursseja. Tiedonhallintayksikkö ohjaa ja valvoo yhtiön tietosuoja- ja tietoturvatoimenpiteitä. Yksikköä johtaa tietosuojavastaava. Tietosuojavastaava kuuluu myös Mandatumin riskienhallintatoimintoon ja raportoi operatiiviselle johtoryhmälle, hallitukselle ja Sampo-konsernin tarkastusvaliokunnalle neljännesvuosittain ja aina tarvittaessa. Yhtiön työntekijät ja asiakkaat voivat olla yhteydessä tietosuojavastaavaan tietosuojaan liittyvissä kysymyksissä. Tietosuojavastaava vastaa esimerkiksi Mandatumin tietosuojastrategiasta, -politiikasta, -ohjeista, -valvonnasta ja -raportoinnista sekä tietosuojapoikkeamien käsittelystä. Lisäksi tietosuojavastaava tuo esiin tietosuojaan liittyviä kehitystarpeita ja edistää toimia, joilla näihin tarpeisiin vastataan.
Mandatum noudattaa toiminnassaan sisäänrakennetun ja oletusarvoisen tietosuojan periaatetta sekä muita lainsäädännön vaatimuksia. Tietosuojariskien hallinta on osa yhtiön operatiivisten riskien hallintaprosessia. Tietosuojariskejä arvioidaan säännöllisesti ja riskiarvioinnit käydään läpi neljännesvuosittain. Rekisteröidyn oikeuksiin ja vapauksiin kohdistuvan riskin todennäköisyys ja vakavuus määritellään käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoituksen perusteella. Merkittävimmät riskit raportoidaan sekä riskienhallintakomitealle että hallituksille neljännesvuosittain. Lisäksi uusien menettelyjen tai teknologian käyttöönoton suunnitteluvaiheessa tai nykyisten menettelyjen päivitysvaiheessa tehdään tietosuojaa koskeva vaikutustenarviointi (Data Protection Impact Assessment, DPIA).
Mandatum luokittelee ja suojaa yhtiön tietojärjestelmät niihin liittyvien riskien mukaan. Palveluiden hankinnan tai uusien menettelyjen tai teknologian käyttöönoton suunnitteluvaiheessa tehdään tietosuojaa koskeva vaikutustenarviointi (Data Protection Impact Assessment, DPIA). Arvioinnin tarkoituksena on selvittää, aiheuttavatko suunnitellut tietojenkäsittelytoimet korkean riskin rekisteröityjen oikeuksille ja vapauksille. Arviointitulosten avulla vähennetään riskejä ja varmistetaan, että yleisen tietosuoja-asetuksen vaatimukset on huomioitu.
Pääsyä henkilötietoihin rajoitetaan Mandatumissa käyttäjäoikeuksien hallinnalla. Tietosuojakäytäntö kieltää henkilötietojen käsittelyn ilman työhön liittyvää syytä, ja siitä syystä tietojenkäsittelyä seurataan ja valvotaan. Yhtiön verkkopalveluihin kirjautuminen vaatii asiakkaalta vahvan tunnistautumisen, ja asiakkaiden käyttämät verkkopalvelut toimivat salatulla yhteydellä.
Henkilöstön koulutus
Jokainen Mandatumin työntekijä osallistuu tietosuojakoulutukseen vuosittain. Uudet työntekijät saavat koulutuksen osana perehdytystä. Tarvittaessa koulutusta annetaan myös ulkoisille palveluntarjoajille. Tietosuojan verkkokoulutuksen suoritusastetta seurataan säännöllisesti. Yleisen verkkokoulutuksen ohella tiimeille ja yksiköille järjestetään räätälöityä koulutusta läpi vuoden.
Raportointi
Merkittävät tietosuojarikkomukset raportoidaan sekä riskienhallintakomitealle että yhtiöiden hallituksille neljännesvuosittain, pois lukien heti raportoivat poikkeamat.
Sampo Oyj
Sampo Oyj:n lakiosasto ohjaa ja valvoo Sampo Oyj:n tietosuojatoimia varmistaakseen, että asiaankuuluvia säädöksiä noudatetaan jatkuvasti. Lakiosasto varmistaa, että tietoisuus tietosuoja-asioista on riittävällä tasolla, avustaa liiketoimintayksiköitä tietosuojaan liittyvien prosessien tunnistamisessa ja henkilötietojen käsittelyssä sekä muissa tietosuojasetukseen liittyvissä aiheissa.
Tietosuoja on olennainen osa uusien työntekijöiden perehdytysprosessia, ja nykyisille työntekijöille tarjotaan tarvittaessa lisäkoulutusta.
Lisätietoa on saatavilla Sampo-konsernin vastuullisuusportissa.