20.3.2017

Kohti uusia liiketoimintamahdollisuuksia: näin hallitset tietosuojariskejä

Yksi tulevan tietosuoja-asetuksen keskeisimpiä tavoitteita on tietosuojalainsäädännön tehokkaampi täytäntöönpano. Tämä näkyy muun muassa siinä, että kansallisille valvontaviranomaisille on myönnetty valtuudet langettaa hyvinkin suuria sakkoja lainvastaisesta henkilötietojen käsittelystä.

Lähes kaikki yritykset käsittelevät toiminnassaan henkilötietoja. Ne ovat siis rekisterinpitäjiä, joiden täytyy noudattaa henkilötietolainsäädäntöä. Asetus tuokin tässä mielessä tietosuojan aivan uudessa mittakaavassa osaksi kaikkien yritysten riskienhallintaa. Näiden riskien asianmukainen ja tehokas tunnistaminen, hallinta ja minimointi ei kuitenkaan onnistu, jos yritykset lähestyvät asiaa vain omien liiketoimintariskiensä näkökulmasta eivätkä muista, kenen riskeistä todellisuudessa on kyse.

Tietosuojariski on aina yksilön riski

Henkilötietolainsäädäntö on luotu suojelemaan yksilöiden – minun, sinun ja meistä jokaisen – oikeutta tietojensa yksityisyyteen. Myös henkilötietojen asiattomaan käsittelyyn liittyvä riski kohdistuu ensisijaisesti yksilöön. Jos asiaa lähestyy numeroiden valossa, lainsäätäjä on vääntänyt tämän lähes rautalangasta tulevassa asetuksessa: sana ”riski” esiintyy tietosuoja-asetuksessa noin 70 kertaa, mikä on nykyiseen tietosuojadirektiiviin verrattuna peräti kymmenkertainen määrä.

Tietosuoja-asetuksessa korostetaan siis rekisterinpitäjien velvollisuutta arvioida ja suunnitella käsittelytoimensa niin, että niihin liittyvät yksilötason riskit otetaan ennakoivasti huomioon. Ei riitä, että yritykset ottavat tietosuojariskit osaksi olemassa olevia riskienhallintaprosessejaan, vaan riskiajattelun tulee näkyä ja olla läsnä kaikessa rekisterinpitäjän tietosuojatyössä.

Tietosuojalainsäädännön asianmukainen implementointi ei onnistu, ellei lähtökohtana pidetä yksilölle aiheutuvien potentiaalisten vaikutusten arviointia. Miten esimerkiksi voidaan valita oikea lakiperuste (kuten selvittää, onko rekisterinpitäjän oikeutettu etu tasapainoisessa suhteessa yksilön oikeuksiin nähden) tai määrittää käsittelyn asianmukainen tietoturvataso, jos ei tiedetä, millaisten yksilötason riskien parissa työskennellään?

Systemaattisuudella monta riskiä yhdellä iskulla

Sisään rakennetun tietosuojan (privacy by default) periaatteen mukaisesti yritysten tulisi tunnistaa ja huomioida yksilöihin kohdistuvat riskit jo hyvissä ajoin ennen tietojenkäsittelyn aloittamista. Riskien tunnistamiseksi yritysten kannattaa ottaa käyttöön jonkinlainen vaikutustenarviointimalli (privacy impact assessment), jonka avulla tietojenkäsittelyyn liittyviä riskejä voidaan arvioida ja dokumentoida systemaattisesti.

Yksi uuden tietosuoja-asetuksen mukanaan tuomista suurista muutoksista on yritysten osoitusvelvollisuus (accountability). Enää ei riitä, että yrityksen toiminta on lainmukaista, vaan yrityksen on myös kyettävä osoittamaan se. Edellä jo mainittu riskienhallinta on oleellinen osa tämänkin velvollisuuden täyttämistä.

Systemaattinen, yksilön riskit huomioon ottava tietosuoja ei pelkästään suojaa yrityksiä turhilta sakoilta ja muilta seuraamuksilta, vaan ylläpitää lisäksi yksilöiden luottamusta yritystä kohtaan. Se taas toimii pohjana seuraavalle askeleelle, jossa tietosuoja muuttuu riskitekijästä liiketoimintaa edistäväksi ja mahdollistavaksi tekijäksi. Juuri tähän yrityksen tulisikin pelkän riskien välttämisen sijaan pitkällä aikavälillä pyrkiä.

Uusimmat referenssit

Avustimme Suominen Oyj:tä merkintäetuoikeusannissa. Anti ylimerkittiin, ja yhtiö keräsi annissa noin 28 miljoonan euron bruttovarat. Avustimme Suomista myös yhtiön kolmivuotisen 100 miljoonan euron arvoisen syndikoidun lainajärjestelyn ehtojen uudelleenneuvottelussa, jossa laina-aikaa pidennettiin ja kovenanttiehtoihin lisättiin liikkumavaraa. ”Haluan kiittää kaikkia osakkeenomistajia tuesta ja luottamuksesta Suomisen tulevaisuutta kohtaan. Toteutettu osakeanti vauhdittaa Full Potential -ohjelman toimeenpanoa ja vahvistaa samalla pääomarakennettamme. Muutosohjelma keskittyy erityisesti tuotantomme ja toimitusketjumme luotettavuuden ja tehokkuuden sekä kaupallisten kyvykkyyksiemme parantamiseen. Näin kykenemme entistä paremmin vastaamaan asiakkaidemme ja osakkeenomistajiemme odotuksiin”, toteaa Suomisen toimitusjohtaja Charles Héaulmé. Suominen on kuitukangasvalmistaja, joka toimii globaaleilla markkinoilla. Suominen luo arvoa hankkimalla kuituraaka-aineita ja valmistamalla niistä kuitukankaita, joita yhtiön asiakkaat jatkojalostavat tuotteiksi sekä kuluttajille että ammattikäyttöön. Suomisen visio on olla edelläkävijä innovatiivisissa ja vastuullisissa kuitukankaissa. Suomisen liikevaihto vuonna 2025 oli 412,4 milj. euroa ja yhtiö työllistää lähes 700 ammattilaista Euroopassa sekä Pohjois- ja Etelä-Amerikassa. Suomisen osake noteerataan Nasdaq Helsingissä. 
Julkaistu 6.7.2026
Toimimme Nordea Bank Oyj:n ja Avain Yhtiöiden neuvonantajana noin 48 miljoonan euron rahoitusjärjestelyssä. Järjestely sisälsi luottoja olemassa olevan kiinteistöportfolion jälleenrahoitukseen sekä yrityksien hankkimiseen – ja kiinteistökehitystarpeisiin. Rahoitusjärjestely tukee Avain Yhtiöiden tavoitetta rakentaa ja ylläpitää toimivaa, turvallista ja ympäristöystävällistä asumisympäristöä sekä kehittää asumisen ja rakentamisen yleistä laatua. Avain Yhtiöt on suomalainen asumiseen, asumispalveluihin, rakennusurakointiin ja uudisrakentamiseen keskittyvä konserni. Yhtiön tavoitteena on rakentaa vuosittain 1 000 uutta asuntoa Suomen keskeisille kasvualueille. 
Julkaistu 2.7.2026
Avustimme Suomen Autohuolto Oy:n osakkeenomistajia heidän myydessä yhtiön koko osakekannan SAKA Finland Group Oy:lle. Suomen Autohuolto -konserni on yksi Suomen suurimmista autojen merkkihuoltoon keskittyvistä yrityksistä ja sillä on toimipisteitä Oulussa, Tampereella ja heinäkuusta eteenpäin myös Järvenpäässä. Kaupan lopullinen voimaantulo edellyttää Kilpailu- ja kuluttajaviraston (KKV) hyväksyntää.
Julkaistu 26.6.2026
Järjestimme Luonnonvarakeskuksen (Luke) juristeille kaksi heille räätälöityä tekoälytyöpajaa. Keskustelimme tekoälymurroksesta ja sen vaikutuksista juristien ajatusmalleihin ja työtapoihin sekä tarjosimme osallistujille käytännönläheisiä ratkaisuja oman työnsä tehostamiseen ja virtaviivaistamiseen Legoran avulla. Tekoälyyn erikoistuneet juristimme valmistelivat työpajoja varten Lukelle räätälöityjä ja julkishallinnon tarpeisiin soveltuvia käyttötapauksia, jotka Luke sai työpajojen jälkeen omaan käyttöönsä. Käyttötapaukset kattoivat muun muassa seuraavat kokonaisuudet: miten oikeuslähteitä ja organisaation omaa dataa hyödynnetään tekoälytulosten maksimoimisessa miten tekoälytyönkulkuja rakennetaan ja hyödynnetään miten sopimusten luonnostelua ison asiakirjamassan pohjalta tehostetaan tekoälyn avulla. Työpajoissa heräsi monipuolista keskustelua tekoälyn roolista ja hyödyistä juristin työtehtävissä. Osallistujat arvostivat sitä, miten ymmärrettävästi ja kattavasti asiantuntijamme osasivat esitellä tekoälyn luonnetta ja sen hyötyjä juuri juridisessa kontekstissa. ”Työpajat tukivat erinomaisesti Luken tavoitetta hyödyntää tekoälyä hallitusti ja toivat konkreettisia käytännön oppeja heti hyödynnettäväksi”, sanoo Luken hallintojohtaja Hannu Laitinen.
Julkaistu 26.6.2026