Juha Sallinen ja GDPR Tech – käytännön tietosuojaa liiketoiminnan ehdoilla
Kun Espoossa toimiva yrittäjä Juha Sallinen puhuu tietosuojasta, sävy on kaukana pykäläviittauksista ja moralisoivasta lähestymistavasta. Hänen tapansa käsitellä GDPR:ää on käytännönläheinen. Kyse ei ole kieltojen luettelosta, vaan toimivista ratkaisuista arjessa – sellaisista, joissa ei enää yritetä sovittaa “kuutiota pyöreään maljaan”.
Juha Sallinen on GDPR Techin perustaja. Hänen tarinansa kulkee kansainvälisistä IT- ja konesaliprojekteista kohti käytännön tietosuojatyötä, jossa periaatteet mitataan käytännössä. Juuri tämä tausta selittää, miksi yritys toimii tänään kuten toimii.
Kokemus, joka määrittää nykyisen fokuksen
Juha on yrittäjänä jo kolmannessa yrityksessään, mutta osaamista on kertynyt rutkasti palkkatyövuosilta. Hän työskenteli noin kahdeksan vuotta Tiedossa kansainvälisissä ulkoistusprojekteissa sekä kuusi vuotta HPE:llä konesalipuolella.
Näissä projekteissa opittiin ymmärtämään prosesseja, vastuita ja riippuvuuksia – sekä sitä, miten asiat todellisuudessa liikkuvat organisaatioissa. Samat elementit muodostavat myös GDPR Techin nykyisen toimintamallin ytimen: tietosuoja ei ole irrallinen projekti, vaan osa toimintaa.
Koulutukseltaan Juha on insinööri, ja taustaa täydentävät eMBA-tutkinto kansainvälisestä liiketoiminnasta sekä useat alan sertifikaatit. Yrittäjyyteen hän siirtyi vuonna 2016. Yrittäjyydessä kiehtoi mahdollisuus vaikuttaa omilla valinnoilla siihen, mitä asiakkaille tarjotaan ja mitä kumppaneiden palveluita käytetään. Juha tiivistää motiivin osuvasti: sen sijaan, että yritettäisiin sovittaa kuutiota pyöreään maljaan, hän halusi rakentaa ratkaisut niin, että ne toimivat käytännössä.
Inspiraatiota ja mentoreita on kertynyt vuosien varrella sekä Suomesta että ulkomailta. Se on näkynyt tekemisessä: fokus ei synny sattumalta, ja verkosto ei rakennu itsestään.
Miksi GDPR Tech on olemassa
GDPR Tech syntyi tarpeesta tehdä tietosuojasta käytännöllistä ja hallittavaa. Yrityksen toiminta rakentuu kolmen ydinkokonaisuuden varaan.
Ensimmäinen on konsultointi. GDPR Tech tarjoaa ulkoistetun tietosuojavastaavan palveluja ja auditointeja, joissa ei tyydytä pelkkään tarkistuslistaan. Tavoitteena on varmistaa, että organisaatio pystyy osoittamaan, mitä se tekee, miksi se tekee niin ja miten toiminta kestää tarkastelun.
Toinen keskeinen osa-alue on koulutus. GDPR Techillä on oma sähköinen koulutusalusta, ja Juha kouluttaa sekä puhuu tapahtumissa. Osaaminen ei pysy organisaatiossa ohjeilla tai yksittäisillä projekteilla, vaan ymmärryksen kautta.
Kolmas kokonaisuus on rakenteettoman tiedon kartoitus ja hallinta. Usein juuri verkkolevyille ja pilvipalveluihin kertynyt tiedostomassa sisältää henkilötietoja “vahingossa”: vanhoissa kansioissa, exporteissa ja aineistoissa, joiden omistajuus on hämärtynyt vuosien aikana.
Kilpailijoista GDPR Tech erottuu nimenomaan käytännön toimilla ja laajalla kumppaniverkostolla.
Alkuvaiheen haasteet ja ajattelutavan muutos
Yrityksen perustamisessa ja kasvattamisessa suurimmat haasteet ovat olleet resurssit ja asiakashankinta. GDPR Tech aloitti tyhjästä alalla, jossa moni edelleen luulee, että tietosuojaa tekevät vain juristit. Se harhaluulo hidastaa päätöksentekoa ja typistää tietosuojan helposti pelkäksi juridiseksi harjoitteeksi, vaikka käytännön työ on usein prosesseja, järjestelmiä, vastuita ja arjen toimintaa.
Juha ei lähtenyt rakentamaan kaikkea yksin, vaan hyödynsi verkostojaan ja kumppaneitaan. Tämä toimintatapa on säilynyt: osaaminen kytketään yhteen ja kokonaisuus pidetään hallinnassa.
“Isoihin pöytiin” – saavutuksia, jotka muuttivat fokuksen
Vuosien määrätietoisen työn tulokset näkyvät sekä arjessa että referensseissä. GDPR Tech toimii pääasiassa keskisuurten yritysten kanssa, mutta tiedonkartoituksen osalta työ on myös kansainvälistä: tällä hetkellä käydään saksalaisen asiakkaan tietoja läpi Yhdysvalloissa ja Latinalaisessa Amerikassa.
GDPR Tech on mukana Kuntien Tieran toimittajalistalla, samassa seurassa kuin monet alan isot toimijat. Yrityksellä on sekä julkisesti kovia referenssejä että “takataskussa vielä kovempia”, joita ei nimeltä voi mainita. Merkittävä henkilökohtainen tunnustus oli Juhan valinta Vuoden tietosuojavastaava 2024-palkinnon saajaksi.
Juha kuvaa tilannetta sanomalla, että GDPR Tech on “päässyt isoihin pöytiin”. Samalla kaikkeen ei enää lähdetä mukaan. Esimerkiksi Maltalla toimiva kasino ja idässä operoiva kaasuyhtiö jäivät projektien ulkopuolelle – ei osaamisen puutteen vuoksi, vaan siksi, etteivät ne tukeneet yrityksen pitkän aikavälin suuntaa.
Born in the Cloud – kustannukset ja kontrolli edellä
GDPR Tech on “Born in the Cloud”, mutta teknologiset ratkaisut on valittu kustannukset ja kontrolli edellä. Testilaboratorio pyörii pääosin omissa ympäristöissä, ja ulkoisia pilvipalveluja käytetään harkiten. Yritys ei kehitä omia ohjelmistoja. Tämä on tietoinen valinta: fokus pysyy palvelussa ja vaikuttavuudessa. Digitaalinen koulutusalusta on ollut osa toimintaa jo vuosia.
Käytännön kehitystyö näkyy myös raportoinnissa. GDPR Tech otti Power BI -raportoinnin käyttöön tiedonhallinnan projekteissa jo vuotta ennen kuin ohjelmistovalmistaja toi vastaavan ratkaisun osaksi omaa tuotettaan. Läpinäkyvyys ei ole lisäarvo, vaan perusvaatimus.
Viime vuonna GDPR Tech tunnisti privacy by design -periaatteeseen liittyvän käytännön ongelman muutamassa sähköisessä allekirjoituspalvelussa. Se on Juhan mukaan merkki siitä, että osaaminen ei rajoitu auditointilistoihin.
Tulevaisuus: hallittu kasvu ja tietosuojan ydin
Kun Juha puhuu strategiasta, hän palaa toistuvasti fokukseen: valitaan toimialat, joissa halutaan olla, pidetään fokus ja jaetaan asiakkaiden palaute tiimille. Suunta on selkeä: kasvua ja kansainvälistymistä hallitusti. Fokus säilyy siinä, missä yritys tuo eniten arvoa asiakkailleen.
Tavoitteet ovat yhtä aikaa konkreettisia ja kunnianhimoisia. Tavoitteena on miljoonan euron liikevaihto sekä yritys, jonka oma vaatimustenmukaisuus on jatkuvasti kunnossa. Juha kiteyttää aikajänteen omalla tavallaan: “Markka-ajan miljoona meni jo rikki.”
Yrittäjyys, jaksaminen ja järjen käyttö
Yrittäjyys on Juhan tarinassa myös tasapainottelua. Etätyö ja yrittäminen antavat vapautta, mutta ne ovat myös riski. Työajan seuraaminen ja palautumisesta huolehtiminen ovat nousseet tärkeiksi. Palautumista ovat tukeneet perhe ja maalla asuminen. Myös lumilautailu on Juhalle tapa nollata ajatukset ja irrottautua työstä – lajia hän on harrastanut jo 14 vuotta.
Toimittuaan kolme vuotta urheiluseuran hallituksessa Juha on nähnyt, että seuroissa käsitellään usein henkilötietoja vastuullisesti mutta talkoopohjalta, ilman riittävää tietosuojan tukea. Siksi GDPR Tech tarjoaa urheiluseuroille maksuttoman tietosuojakoulutuksen henkilötietojen turvalliseen käsittelyyn.
Lopuksi Juha tiivistää ajattelunsa yksinkertaiseen mottoon: “GDPR-asioissa järjen käyttö on sallittua.”
Ja juuri tämä ajatus kiteyttää myös GDPR Techin toiminnan: tietosuoja ei ole kieltojen kokoelma, vaan järkevää, perusteltua ja hallittua tekemistä.
