Käytössäsi on vanha selainversio

Huomioithan, että sivusto ei välttämättä toimi oikein vanhentuneella selaimella. Suosittelemme selaimen päivittämistä tai toisen selaimen käyttämistä.

Tällä sivustolla käytetään evästeitä parhaan käyttäjäkokemuksen tarjoamiseksi. Jatkamalla sivuston selailua hyväksyt evästeiden käytön. Halutessasi voit muuttaa selaimesi asetuksia. Lisätietoja tietosuojailmoituksessamme.

Hyväksyn

Tietosuoja

Sampo-konsernin yhtiöiden tietosuojatoiminnan perimmäisenä tavoitteena on suojata asiakkaiden sekä muiden ulkoisten ja sisäisten sidosryhmien henkilötietoja.

Sampo-konsernissa halutaan, että henkilötietoihin liittyvät prosessit suoritetaan lainmukaisesti, työntekijät ovat tietoisia tietosuojasäännöistä ja noudattavat niitä, henkilötietojen suojaamiseksi toteutetaan tarvittavat tekniset ja organisatoriset toimenpiteet, ja että yksittäisten konserniyhtiöiden tietosuojakäytännöt ja -periaatteet ovat läpinäkyviä rekisteröidyille, sidosryhmille ja muille asianomaisille.

Sampo-konserni noudattaa tietosuojan suhteen kansallista lainsäädäntöä ja EU-sääntelyä ja konserniyhtiöt ovat sitoutuneet käsittelemään henkilötietoja lainmukaisesti, asianmukaisesti ja läpinäkyvästi. Kaikki konserniyhtiöt pyrkivät takaamaan, ettei työntekijöiden, asiakkaiden, osakkeenomistajien ja muiden sidosryhmien yksityisyyttä loukata ja että konsernin työntekijöille tarjotaan riittävästi koulutusta tietosuojaan liittyen.

Sampo-konsernissa tietosuojaan liittyvät ohjeasiakirjat ovat Sampo-konsernin toimintaperiaatteet ja Sampo-konsernin tietosuojaselvitys. Molemmat dokumentit ovat Sampo Oyj:n hallituksen hyväksymiä ja ne tarkistetaan vuosittain sekä päivitetään tarvittaessa. Lisäksi eri konserniyhtiöillä on yksityiskohtaisempia, omaan liiketoimintaansa liittyviä tietosuojapolitiikkoja ja -ohjeita.

Ifin tietosuojaseloste
Topdanmarkin tietosuojaseloste (englanniksi)
Hastingsin tietosuojaseloste (englanniksi)
Mandatum Lifen tietosuojaseloste

Rekisteröityjen pyynnöt, Sampo-konserni* 2020 2019
Oikeus saada pääsy henkilötietoihin 322 187
Oikeus tietojen oikaisemiseen 0 0
Oikeus tietojen poistamiseen 132 111
Oikeus käsittelyn rajoittamiseen 0 0
Oikeus siirtää tiedot järjestelmästä toiseen 2 2
Oikeus vastustaa tietojen käsittelyä 0 0
Oikeus olla joutumatta pelkästään automaattiseen käsittelyyn perustuvan päätöksen kohteeksi 0 0
Rekisteröityjen pyynnöt yhteensä 456 300

* Pois lukien Hastings

Rekisteröityjen valitukset ja tietosuojaviranomaisten huomautukset, Sampo-konserni* 2020 2019
Rekisteröityjen tekemät valitukset 74 3
Tietosuojaviranomaisten antamat huomautukset 10 0

* Pois lukien Hastings

Paikallisille tietosuovaltuutetuille ilmoitetut tietoturvaloukkaukset, Sampo-konserni* 2020 2019
Paikallisille tietosuojavaltuutetuille ilmoitetut tietoturvaloukkaukset 110 41

* Pois lukien Hastings

Sampo-konserni sai yhteensä 456 pyyntöä rekisteröidyiltä vuonna 2020. Rekisteröidyt tekivät vuoden aikana 74 valitusta, ja konserni sai 10 huomautusta viranomaisilta. Viranomaisten huomautukset olivat asiakkaiden suoraan viranomaisille esittämiä valituksia tai vastauksia selvennyspyyntöihin. Kaikki huomautukset ja valitukset ratkaistiin ajoissa. Valitusten ja huomautusten määrän kasvu johtui pääasiassa siitä, että rekisteröidyt ovat entistä tietoisempia oikeuksistaan.

Sampo-konserni ilmoitti vuonna 2020 tietosuojavaltuutetuille 110 tietoturvaloukkauksesta, joista kaikki johtuivat teknisistä ja inhimillisistä virheistä. Tietosuoja- ja tietoturvaloukkausten hallintaprosessit on määritelty konserniyhtiöiden sisäisissä toimintaohjeissa ja käytännöissä. Havaituista tapauksista ilmoitettiin asianmukaisesti rekisteröidyille ja tietosuojaviranomaisille, ja tapausten johdosta ryhdyttiin tarvittaviin toimenpiteisiin, kuten muutettiin menettelyjä tai muistutettiin henkilöstöä asianmukaisesta huolellisuudesta.

If

Ifin tietosuoja pohjautuu yhtiön toimintaperiaatteisiin, tietoturvapolitiikkaan, tietosuojapolitiikkaan, eettisiin toimintaperiaatteisiin ja yrityskulttuuriin.

Ifin tietosuojavastaava pitää yhtiön tietosuojan perusteet kunnossa tietoisuutta lisäävien koulutusohjelmien ja sisäisen tietosuojaverkoston avulla. Organisaatiorakenteen mukaan tietosuojavastaava raportoi tietoturvapäällikölle. Tietosuojavastaava on kuitenkin lain vaatimalla tavalla riippumaton ja raportoi Ifin toimitusjohtajalle ja hallitukselle neljännesvuosittain ja aina tarvittaessa.

Tietosuojavastaava johtaa Ifin tietosuojayksikköä. Yksiköllä on paikalliset tietoturvaloukkauksista vastaavat henkilöt ja tietosuoja-asiantuntijat Ruotsissa, Norjassa, Suomessa ja Virossa. Tietosuojayksikön työntekijät suorittavat CIPP/E-tietosuojasertifikaatin vuoteen 2022 mennessä.

If tarjoaa tietosuojaa käsitteleviä verkkokursseja ja digitaalisia luentoja kaikille vakituisille ja määräaikaisille työntekijöilleen. Koulutusta täydennetään 120 Privacy Champion -tietosuoja-asiantuntijan verkostolla. Näille asiantuntijoille annetaan jatkuvasti syventävää tietosuojakoulutusta, josta saamaansa tietoa he jakavat tiimeissään, osastoillaan, toiminnoissaan ja yksiköissään. Ifin intranetin tietosuojasivulla on lisäksi käytännön apua, yhteystietoja, koulutusta, ohjeita sekä tietoa tietosuojaan liittyvistä prosesseista ja menetelmistä kaikille yhtiön työntekijöille.

Kaikki tietoturvaloukkaukset analysoidaan, käsitellään ja tarvittaessa ilmoitetaan vaatimusten mukaisesti 72 tunnin kuluessa, ennalta määriteltyä ja yhdenmukaista prosessia noudattaen. Rekisteröidylle aiheutuva riski selvitetään, analysoidaan ja arvioidaan Euroopan unionin kyberturvallisuusviraston (ENISA) kehyksen mukaisesti, ja sen perusteella ryhdytään asianmukaisiin toimiin. Tietoturvaloukkauksia tarkastellaan kuukausittain trendien havaitsemiseksi ja liiketoimintojen tukemiseksi niiltä suojautumisessa.

Ifin tietojensäilytyskäytännöt koskevat sekä tietojen automaattista käsittelyä tietojärjestelmissä että manuaalisia käsittelyprosesseja. Säilytysajan rajoittamisesta sekä henkilötietojen ja arkaluontoisten tietojen tunnistamattomaksi tekemisestä on huolehdittu tietojen poistamista koskevilla käytännöillä ja anonymisointimenetelmillä. Käyttöoikeuksia tarkastellaan säännöllisesti, ja If on tehnyt yli 400 tietosuojan vaikuttavuusarviointia yleisen tietosuojaasetuksen voimaantulon jälkeen. Yhtiö kehittää suostumus- ja evästekäytäntöjään jatkuvasti, jotta se voi varmistaa tietosuojaperiaatteiden noudattamisen.

If saattaa joutua luovuttamaan henkilötietoja sellaisille yhteistyökumppaneille, jotka tuottavat palveluita Ifin puolesta. Yhteistyökumppanit käsittelevät henkilötietoja tietosuojalakien ja Ifin kanssa tehdyn tietojenkäsittelysopimuksen edellyttämällä tavalla. Tietojenkäsittelysopimuksessa kerrotaan, miten Ifin yhteistyökumppanit ja näiden mahdolliset alihankkijat käsittelevät Ifin tietoja. Tietojen siirto EU/ETA-alueen alkupuolelle tehdään aina tietosuojalakeja noudattaen.

Paikallisen lainsäädännön ja GDPR:n tiukan tulkinnan vuoksi If käyttää henkilötietojen suojaamiseksi teknologiaa, joka salaa kaikki If-verkkoalueilta lähtevät sähköpostit vahvalla salauksella.

Topdanmark

Topdanmark on ottanut käyttöön kattavan tietosuojanhallintajärjestelmän, joka määrittää henkilötietojen käsittelyn menettelyt ja käytännöt.

Kokonaisvastuu Topdanmarkin tietosuojan riittävästä tasosta ja resursoinnista on yhtiön hallituksella ja ylimmällä johdolla. Hallitukselle raportoiva tietosuojavastaava seuraa tietosuojasääntelyn noudattamista yhtiössä ja neuvoo hallitusta siihen liittyen. Tietosuojavastaava myös ilmoittaa hallitukselle tietoturvaloukkauksista.

Topdanmarkin hallitus on hyväksynyt henkilötietojen käsittelyä koskevan politiikan. Lisäksi Topdanmark tekee riskiarviointeja esimerkiksi korvauskäsittelyssä käytettävistä ulkopuolisista tietojen käsittelijöistä.

Henkilötietojen käsittelyä koskevan lainsäädännön noudattaminen varmistetaan esimerkiksi työntekijöiden jatkuvalla koulutuksella. Jokaisen Topdanmarkin uuden työntekijän on suoritettava henkilötietojen oikeaa käsittelyä ja yleistä tietosuoja-asetusta käsittelevä verkkokoulutus. Kaikkien työntekijöiden tietosuojaosaamista pidetään yllä säännöllisin väliajoin suoritettavalla lyhyellä verkkokurssilla.

Hastings

Hastings Group (Hastings) suhtautuu henkilötietojen suojaamiseen erittäin vakavasti ja ymmärtää, että asiakkaat ja työntekijät haluavat selkeyttä ja avoimuutta siihen, miten heidän tietojaan käytetään ja suojataan.

Hastingsilla on virallinen tietosuojapolitiikka, jota sovelletaan kaikkeen yhtiön toimintaan, kuten tietoihin, jotka liittyvät olemassa oleviin tai potentiaalisiin asiakkaisiin tai työntekijöihin. Politiikan lisäksi kaikki työntekijät koulutetaan asianmukaisesti tehtäväänsä ja heidän tulee suorittaa vuosittain sertifikaatti yhtiön oppimisalustan kautta.

Hastings yhdistää tietosuojaan ja tietojen hallintaan liittyvän toimintansa yhtiön tavoitteisiin ja strategiaan ja edistää päivittäin kohtaamiensa kyberturvallisuusriskien, tietoriskien ja uhkien tehokasta hallintaa.

Hastings varmistaa, että sen lähestymistapa käyttäjätietojen keräämiseen, käyttöön, jakamiseen ja säilyttämiseen on selkeästi ilmoitettu ja kaikkien rekisteröityjen saatavilla. Jos tietosuojailmoituksia ja muita rekisteröityihin liittyviä tietokäytäntöjä muutetaan, Hastings on sitoutunut ilmoittamaan asiasta oikea-aikaisesti ja asianmukaisesti niille rekisteröidyille, joita asia koskee.

Hastings varmistaa, että asiakkaiden lakisääteisiä oikeuksia yksityisyyteen ylläpidetään, mukaan lukien sitoutuminen siihen, että henkilötietoja käsitellään turvallisesti käyttäen soveltuvia teknisiä ja organisatorisia toimintatapoja. Hastingsin toimintatavoilla ja käytännöillä pyritään varmistamaan, että tietoja kerätään, tallennetaan ja käytetään oikein, että henkilötietoja suojataan ja että tietoja säilytetään vain niin kauan kuin on tarpeen.

Mandatum Life

Mandatum Lifen henkilötietojen käsittely perustuu yhtiön hallituksen vuosittain hyväksymään tietosuojapolitiikkaan. Tietosuojapolitiikkaa sovelletaan kaikkeen henkilötietojen käsittelyyn Mandatum Lifessa, ja se koskee sekä koko Mandatum Lifen että yhtiön ulkopuolisten kumppaneiden henkilöstöä. Yksi politiikan keskeisistä tavoitteista on varmistaa rekisteröityjen oikeuksien toteutuminen yleisen tietosuoja-asetuksen mukaisesti.

Tietosuojapolitiikkaa täydennetään työntekijöille ja tarvittaessa keskeisille yhteistyökumppaneille suunnatuilla tietosuojaperiaatteilla ja -ohjeilla. Tietosuojapolitiikka liittyy läheisesti myös muihin Mandatum Lifen sisäisiin politiikkoihin, kuten tiedonhallintapolitiikkaan ja tietoturvapolitiikkaan, jotka sisältävät yksityiskohtaisempia ohjeita tietojen luokittelusta, käsittelystä, ongelmatilanteiden valvonnasta ja hallinnasta sekä tietojen ja järjestelmien turvaamisesta alan johtavien käytäntöjen mukaisesti.

Mandatum Lifen hallitus ja toimitusjohtaja vastaavat siitä, että yhtiön tietosuojakäytännöt ovat riittävät ja että niihin suunnataan riittävästi resursseja. Tietohallintoyksikkö ohjaa ja valvoo yhtiön tietosuoja- ja tietoturvatoimenpiteitä. Yksikköä johtaa yhtiön tietosuojavastaava. Tietosuojavastaava kuuluu myös Mandatum Lifen riskienhallintatoimintoon ja raportoi operatiiviselle johtoryhmälle, hallitukselle ja Sampo-konsernin tarkastusvaliokunnalle neljännesvuosittain ja aina tarvittaessa. Yhtiön työntekijät ja asiakkaat voivat olla yhteydessä tietosuojavastaavaan tietosuojaan liittyvissä kysymyksissä. Tietosuojavastaavan tehtävät on määritelty yleisessä tietosuoja-asetuksessa. Tietosuojavastaava vastaa esimerkiksi Mandatum Lifen tietosuojastrategiasta, -politiikasta, -ohjeista, -valvonnasta ja -raportoinnista sekä tietosuojapoikkeamien käsittelystä. Lisäksi tietosuojavastaava tuo esiin tietosuojaan liittyviä kehitystarpeita ja edistää toimia, joilla näihin tarpeisiin vastataan.

Mandatum Life noudattaa toiminnassaan sisäänrakennetun ja oletusarvoisen tietosuojan periaatetta sekä muita lainsäädännön vaatimuksia. Tietosuojariskien hallinta on osa yhtiön operatiivisten riskien hallintaprosessia. Näiden velvoitteiden noudattaminen edellyttää, että arkaluonteisten tietojen käsittelyä vaativien toimintatapojen suunnittelun yhteydessä arvioidaan perusteellisesti ne riskit, joita henkilötietojen käsittely rekisteröidyille aiheuttaa. Rekisteröidyn oikeuksiin ja vapauksiin kohdistuvan riskin todennäköisyys ja vakavuus määritellään käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoituksen perusteella.

Mandatum Life luokittelee ja suojaa yhtiön tietojärjestelmät niihin liittyvien riskien mukaan. Palveluiden hankinnan tai uusien menettelyjen tai teknologian käyttöönoton suunnitteluvaiheessa tehdään tietosuojaa koskeva vaikutustenarviointi (Data Protection Impact Assessment, DPIA). Arvioinnin tarkoituksena on selvittää, aiheuttavatko suunnitellut tietojenkäsittelytoimet korkean riskin rekisteröityjen oikeuksille ja vapauksille. Arviointitulosten avulla vähennetään riskejä ja varmistetaan, että yleisen tietosuoja-asetuksen vaatimukset on huomioitu.

Pääsyä henkilötietoihin rajoitetaan Mandatum Lifessa käyttäjäoikeuksien hallinnalla. Tietosuojakäytäntö kieltää henkilötietojen käsittelyn ilman työhön liittyvää syytä, ja siitä syystä tietojenkäsittelyä seurataan ja valvotaan. Yhtiön verkkopalveluihin kirjautuminen vaatii asiakkaalta vahvan tunnistautumisen, ja asiakkaiden käyttämät verkkopalvelut toimivat salatulla yhteydellä.

Jokainen Mandatum Lifen työntekijä osallistuu tietosuojakoulutukseen vuosittain. Uudet työntekijät saavat koulutuksen osana perehdytystä. Tarvittaessa koulutusta annetaan myös ulkoisille palveluntarjoajille. Tietosuojan verkko-opintojen suoritusastetta seurataan säännöllisesti. Yleisten verkko-opintojen ohella tiimeille ja yksiköille järjestetään räätälöityä koulutusta läpi vuoden.

Lisätietoa on saatavilla Sampo-konsernin yritysvastuuraportissa, s. 35.

Aiheeseen liittyvät dokumentit

Päivitetty 14.10.2021