Vuoden 2024 tietosuojavastaava Juha Sallisella riittää vielä työsarkaa

GDPR Techin yrittäjä ja perustaja tietosuojakonsultti Juha Sallinen palkittiin vuoden 2024 tietosuojavastaavana. 

Palkinto myönnetään vuosittain henkilölle, joka esimerkillisesti kehittää tietosuojakäytäntöjä ja edistää ammattilaisten verkostoitumista, osaamista ja tiedonjakoa organisaatiorajat ylittäen. Tunnustus jaettiin Alma Insightsin ja Tietosuojavaltuutetun toimiston järjestämässä Tietosuojapäivä 2025 -tapahtumassa 28.1.2025. Päätökset palkittavista teki asiantuntijaraati. 

Kerrotaan tarkemmin Juhan ja GDPR Techin matkasta tähän pisteeseen.

Matka tietosuojan asiantuntijaksi

Juhan polku tietosuojan pariin on ollut monivaiheinen. Ennen täysipäiväistä tietosuojatyötä Juha työskenteli lähes 20 vuotta tietotekniikan alalla, jossa hän pääsi seuraamaan teknologiakehityksen suuria murroksia, kuten pilvipalveluiden kehittymistä ja niihin liittyviä riskejä. Kokemus kouluttajana sekä tehtävät IT yhtiö Tiedolla, HP Enterprisessa sekä tietoturvayhtiö Symantecilla ja tiedonhallintayhtiö Veritas Technologiesissa loivat vankan pohjan tietosuojan vaatimustenmukaisuuden ymmärtämiselle. Insinööritausta ja myöhemmin suoritettu eMBA-tutkinto ovat tuoneet laajemman näkökulman sekä teknisiin, että liiketoiminnallisiin kysymyksiin.

Vuodesta 2016 lähtien Juha on toiminut yrittäjänä GDPR Techissä, jonka kantavana ajatuksena on tuoda luottamusta tietosuojaan käytännön toimilla. Tähän sisältyy niin koulutuksia kuin teknisiä toimenpiteitä, joiden avulla organisaatiot voivat kehittää tietosuojakäytäntöjään.

Kuva Alma Insights. Kuvassa vasemmalta oikealle: Reijo Aarnio, Oona Matinpalo, Juha Sallinen, Kimmo Rousku, Ida-Emilia Laasonen.

Tietosuojatyön suurimmat haasteet

Tietosuojatyössä Juhan mielestä yksi suurimpia haasteita on priorisointi – miten kohdistaa oma aikansa ja resurssinsa tehokkaasti huomioiden yritysten hyvin erilaiset lähtötilanteet tietosuojan saralla. “Näen edelleen organisaatioita, jotka eivät ole edes aloittaneet tietosuojatyötä”, Juha toteaa ja antaa valaisevan esimerkin: “Suomen yksi yleisimmistä salasanoista on edelleen ”salasana”. Jos tietoturvan taso on tämä, ei voida olettaa että tietoja on todellisuudessa suojattu muutenkaan – tai jos salasana on tyhjä – näitäkin siis on. Työtä on siis vielä paljon tehtävänä ja oma osaaminen pitääkin valjastaa parhaiten tukemaan kunkin asiakkaan yksilöllistä tilannetta.   

“Vuosina 2016–2018 liikkui paljon väärää tietoa GDPR:stä, ja osa tästä harhaluulosta on jäänyt elämään monissa yrityksissä”, Juha hämmästelee. Juha mainitsee esimerkkinä uskomuksen siitä, että GDPR ei koskisi kaikkia yrityksiä. Todellisuudessa GDPR on tavalla tai toisella osa jokaisen yrityksen toimintaa. ”Järkeä tosin saa käyttää – esimerkiksi yksinyrittäjänä toimivalla maanrakennusyrityksellä, joka tekee kaivuutöitä kunnalle, ei ole juurikaan tekemistä henkilötietojen kanssa. Sen sijaan, jos yksinyrittäjä työskentelee lääkärinä hyvinvointialueelle, hän käsittelee jo täysin toisenlaista ja huomattavasti arkaluonteisempaa tietoa.”

Asiantuntijuus on jatkuvaa oppimista

Tietosuojalainsäädäntö kehittyy jatkuvasti, ja ajan tasalla pysyminen vaatii säännöllistä opiskelua ja aktiivista seurantaa. Juha pitää osaamistaan yllä osallistumalla valikoituihin alan seminaareihin, kuten Alpine Privacy Days ja Nordic Privacy Arena, joista saa arvokasta tietoa myös muiden maiden tietolainsäädännön kehityksestä. Juha nostaa esiin kiinnostavan esimerkin Etelä-Afrikan POPIA:sta (Protection of Personal Information Act), joka sisältää poikkeuksellisen ankarat seuraamukset tietosuojarikkomuksista – sakoista (10 miljoonaa randia) aina vankeusrangaistuksiin (enintään 10 vuotta).

“Tällä hetkellä seuraamme Yhdysvaltojen tilannetta: pysyykö riittävyyspäätös (tietosuojakehys) voimassa, kaatuuko Data Privacy Framework vai onko tulossa Schrems III. Näillä päätöksillä olisi suora vaikutus organisaatioiden käyttämiin yhdysvaltalaisiin palveluihin, kuten pilvipohjaisiin toimisto-ohjelmiin.”

Omat vahvuudet esiin tietosuojatyössä

Tietosuojatyö voi tuntua aluksi valtavalta kokonaisuudelta, jossa on paljon huomioon otettavaa niin juridiselta kuin tekniseltä kannalta. “Tietosuojatyössä voi helposti tulla ähky”, Juha vahvistaa. Siksi Juha kannustaakin löytämään oman erityisalueen, jossa haluaa toimia sekä verkostoitumaan alan muiden toimijoiden kanssa. Yhteistyö ja tiedon jakaminen ovat avainasemassa jatkuvasti kehittyvällä alalla.

Tiedonhallinta nousee tietosuojan keskiöön

Juha kertoo, että EU:n GDPR on jo osoittanut olevansa eräänlainen ”kultainen standardi”, johon viitataan esimerkiksi Kiinan PIPL- ja Brasilian LGPD-lainsäädännössä. Samalla kuitenkin jatkuvasti lisääntyvä sääntely voi aiheuttaa ähkyä monille organisaatioille.

“Jatkuvasti kehittyvät uudet teknologiat, kuten tekoäly eri muodoissaan, tuovat uusia haasteita tietosuojaan, ja niiden vaikutuksia tullaan näkemään vielä pitkään”, Juha pohtii.

Vuoden 2025 suurimmaksi tietosuojateemaksi Juha ennustaa tiedonhallintaa. Monet tietosuojaloukkaukset johtuvat siitä, että vanhaa tietoa säilytetään ilman hallintaa. “GDPR:n ytimessä oleva ”D” – data – tulee muistaa: pelkkien sopimusten lisäksi tarvitaan valvontaa ja teknisiä toimenpiteitä ihmisten tietojen suojaamiseksi”, Juha painottaa.

Tietosuoja-ammattilaisen arki ja tulevaisuus

Päivittäisen tietosuojatyön vastapainoksi Juha viettää talvisin aikaa lumilautailemassa ja kesäisin riittää paljon puuhaa maaseudulla, jossa Juha asuu. 

”Jos en työskentelisi tietosuojan parissa, suuntaisin todennäköisesti kiinnostukseni entistä enemmän tiedonhallintaan”, Juha toteaa. Kymmenen viime vuotta ovat olleet todella mielenkiintoisia, ja tietosuoja tarjoaa jatkuvasti uusia haasteita ja oppimismahdollisuuksia.

Vuoden tietosuojavastaava -diplomi päätyy Juhan etätoimiston seinälle muistuttamaan pitkästä ja vaiherikkaasta matkasta tietosuojan parissa. Erityisen iloinen Juha on siitä, että hän tuli palkituksi ulkoistettuna tietosuojavastaavana. 

Juha haluaa antaa tunnustuksen myös muille alalla toimijoille: “Jokainen, joka työskentelee tietosuojan parissa, ansaitsisi vastaavan kunnianosoituksen, sillä ala on täynnä osaavia ja omistautuneita asiantuntijoita”.  Lopuksi Juha vertaa tietosuojaa rakkaaseen lajiinsa lumilautailuun – pilke silmäkulmassa:

“Tietosuojakäytäntö ei ole hidaste, vaan mahdollisuus sujuvampaan ja turvallisempaan tekemiseen – vähän kuin hyvä lumilauta, joka tekee laskemisesta nautinnollista eikä jarruta menoa!”

GDPR Tech onnittelee Vuoden 2024 tietosuojateko -palkinnon saanutta VAHTI Tietosuojakehittämistyöryhmää.