Tietosuojan merkitys rakentuu vahvojen peruspilareiden varaan – Deloitte tukemassa SSAB:n tietosuojatyötä
Tietosuojavastaavan työ on monipuolista ja vaativaa, erityisesti kansainvälisessä organisaatiossa. Miia Kataja, teräsyhtiö SSAB:n Head of Data Privacy, jakaa näkemyksiään tietosuojatyön haasteista ja muutoksista sekä kertoo, miten Deloitten kanssa toteutettu tietosuojaprojekti on tuonut merkittäviä hyötyjä organisaatiolle. Tietosuojatyössä perusprosessien, mukaan lukien tietosuojatietoisuuteen panostamisen, on oltava kunnossa, jotta uusia tietosuojavaatimuksia voidaan tehokkaammin ajaa osaksi organisaation toimintaa.
Tietosuojatyön haasteet ja vaatimukset kansainvälisessä ympäristössä – perusprosessit oltava kunnossa
Tietosuojan kenttä on muuttunut merkittävästi viime vuosien aikana. Viimeistään GDPR:n voimaantulo on lisännyt tietosuojatietoisuutta organisaatioissa ja suuren yleisön keskuudessa, mutta se on tuonut mukanaan myös monia haasteita. Tietosuojatyön monimutkaisuus näkyy erityisen vahvasti kansainvälisten organisaatioiden tietosuojavastaavien pöydällä. Miia Katajan rooli on tästä hyvä esimerkki. Kataja toimii teräsyhtiö SSAB:n tietosuojavastaavana (Head of Data Privacy & Group Data Protection Officer). Hänen tehtävänään on johtaa tietosuojatoimintaa koko SSAB-konsernissa ja varmistaa, että yrityksessä on toimiva tietosuojan hallintamalli ja prosessit. Työ on monipuolista ja vaatii jatkuvaa valppautta, sillä tietosuojavaatimukset ja -sääntely kehittyvät jatkuvasti – liiketoiminnan tarpeita unohtamatta. ”Parhaimmillaan tietosuojatyö on kykyä tasapainottaa tietosuojavaatimukset ja liiketoiminnan tavoitteet. Tasapainon löytäminen näiden välillä ja toimivien työkalujen ja toimintamallien kehittäminen on keskeistä”, Kataja sanoo.
SSAB:lla tietosuojatyö ei rajoitu vain EU:hun ja GDPR:ään. Moniulotteisuutta tuo esimerkiksi tekoälyyn liittyvä sääntely, joka vaatii hallintamallin rakentamista ja perusasioihin panostamista. ”Tekoälyasetuksen vaatimusten huomioiminen kansainvälisessä ympäristössä edellyttää kokonaisvaltaista lähestymistapaa. Euroopassa toimivat yritykset keskittyvät usein GDPR:ään ja EU:n asetuksiin, mutta meidän on huomioitava tietosuojavaatimukset globaalisti”, Kataja sanoo. ”Perusasioihin kannattaa panostaa. Hyvät tietosuojan vaikutusten arviointimenetelmät ja riskien tunnistaminen ovat tärkeitä myös tekoälyn osalta. Tietosuojan näkökulmasta tekoälyriskien tunnistaminen on perinteisten tietosuojariskien tunnistamista haastavampaa. Kun perusprosessit ovat kunnossa, pystytään tekoälyyn liittyviä riskejä tunnistamaan ja niihin vastaamaan paremmin”, hän jatkaa.
”Parhaimmillaan tietosuojatyö on kykyä tasapainottaa tietosuojavaatimukset ja liiketoiminnan tavoitteet.”
”Deloitten tietosuojatukipalveluiden ansiosta olemme saaneet peruspilarit kuntoon ja voimme jatkaa kehitystyötä määrätietoisesti.”
Yhteistyö Deloitten kanssa on vahvistanut SSAB:n tietosuojan peruspilareita
Lisääntyvä sääntely on herättänyt tietosuoja-ammattilaisten keskuudessa keskustelua resurssien riittävyydestä. Tietosuoja-ammattilaisten työmäärä on kasvanut valtavasti. Riittävät resurssit mahdollistavat proaktiivisen lähestymistavan tietosuojatyöhön. Mikäli resurssit ovat tiukoilla, tietoturvaloukkauksen sattuessa tai rekisteröidyn pyynnön tullessa, joudutaan kehitystyö usein keskeyttämään. ”Monissa organisaatioissa kamppaillaan resurssikysymysten kanssa, ja priorisointi on tärkeää. Meillä tämä ratkaistiin hankkimalla ulkopuolista tukea. Deloitten tietosuojatukipalveluiden ansiosta olemme saaneet peruspilarit kuntoon ja voimme jatkaa kehitystyötä määrätietoisesti”, Kataja kertoo.
Kansainvälisesti toimivan SSAB:n kohdalla kokonaisvaltaisen tietosuojan hallintamallin ja ohjelman rakentaminen ei ole yksinkertainen tehtävä. Katajan mukaan organisaation ulkopuolinen tuki ja sparrailu ovat tietosuojavastaavalle erittäin hyödyllisiä, sillä ne mahdollistavat monimutkaisten asioiden selkeämmän hahmottamisen ja yksinkertaistamisen. Lisäkäsiparit ovat usein tarpeen, jotta tietosuojavastaava voi keskittyä ydintehtäviinsä. Deloitten toimittamassa tietosuojaprojektissa on kehitetty SSAB:n riskienarviointiprosesseja, tehty riskiarviointeja, laadittu tietosuojaan liittyviä ohjeita sekä panostettu tietosuojaan liittyvään viestintään. ”Olemme saaneet merkittäviä asioita aikaan vuoden aikana: prosessit ja toimintatavat on saatu kuntoon ja organisaation tietosuojatietoisuus on kasvanut”, Kataja kertoo. Yhteistyö jatkuu edelleen keskittyen tietosuojan hallintamallin jatkokehittämiseen.
Privacy by design – avain tietosuojatyössä onnistumiseen
Tietosuojatyössä on tärkeää huomioida organisaation eri sidosryhmät. Se ei saa rajoittua vain tietosuojavastaavan tai lakiosaston tehtäväksi, vaan siihen tulee osallistaa myös liiketoiminnan edustajat ja muut keskeiset toiminnot, kuten IT, markkinointi ja HR. ”Tietosuojassa on avainasemassa yhdessä tekeminen ja tiivis tiimityö – niillä saadaan parhaat tulokset aikaiseksi. Yksi tuoreimmista, organisaation eri osa-alueet kattavista projekteista on ollut tietosuojaselosteiden uudistaminen. Se ei olisi ollut mahdollista ilman innostunutta yhteistyötä asiantuntijoiden kesken. Olemme lopputuloksesta kaikki ylpeitä”, Kataja mainitsee. Parhaimmillaan liiketoimintalähtöinen tietosuojatyö integroi tietosuojan saumattomasti osaksi organisaation päivittäistä toimintaa, parantaa riskienhallintaa ja tehokkuutta, kasvattaa henkilöstön ja asiakkaiden luottamusta ja varmistaa sääntelyvaatimusten noudattamisen. Lisäksi johdon tuki on ratkaisevan tärkeää, sillä se mahdollistaa resurssien kohdentamisen ja tietosuojatyön asianmukaisen priorisoinnin.
Kataja on samoilla linjoilla. ”Tietosuojatietoisuuden lisääminen organisaatiossa vaatii jatkuvaa käytännönläheistä työtä, jotta työntekijät ymmärtävät tietosuojan merkityksen ja osaavat tunnistaa tietosuojariskejä. Tietoisuuden lisääminen onnistuu parhaiten käytännön työn kautta, esimerkiksi riski- ja vaikutustenarviointien yhteydessä. Tällöin työntekijät pääsevät itse pohtimaan tietosuojan merkitystä ja riskejä”, Kataja painottaa. ”Meillä on lisäksi luotu toimiva tietosuojan ohjausmalli, joka tarjoaa väylän raportoida ja viedä eteenpäin havaintoja johdolle. Johdon tuki on auttanut merkittävästi tietosuojatyön onnistumisessa”, Kataja jatkaa.
Kataja korostaa, että Privacy by design on keskeinen periaate tietosuojatyössä. Tämä tarkoittaa, että tietosuoja otetaan huomioon jo prosessien ja järjestelmien suunnitteluvaiheessa, eikä vasta jälkikäteen. Hän painottaa, että käytännönläheiset ja konkreettiset neuvot ja ohjeet ovat avainasemassa tietosuojatyön onnistumisessa. ”Privacy by design auttaa luomaan positiivista tietosuojakulttuuria organisaatiossa samalla varmistaen, että tietosuojavaatimukset täyttyvät liiketoiminnan tavoitteita tukien”, Kataja päättää.
