Tietosuojatutkimuksen tulokset julki – 5 silmiä avaavaa faktaa tietosuojan nykytilasta Suomessa
Viime vuosina on käyty vilkasta keskustelua tietosuojasta ja yksityisyydestä. Usein keskusteluissa pohditaan erityisesti teknologiajättejä, kuten Metaa ja Googlea, jotka käyvät kauppaa käyttäjädatalla. Euroopan Unioni on ollut tietosuojaliikkeen eturintamassa ja määrännyt muun muassa useille suuryrityksille useiden miljoonien sakkoja henkilötietojen väärinkäsittelyn vuoksi. Myös Suomessa on noussut esiin tapauksia, joissa henkilötietoja on päätynyt rikollisille. Esimerkiksi julkisuudessa laajasti esillä olleessa tapauksessa psykoterapiakeskuksen ex-toimitusjohtaja asetettiin syytteeseen tietosuojarikoksesta. Tämä tapaus on vielä avoinna.
Suomalainen yritys GDPR Tech Oy toteutti yhteistyössä Tutkimusvoima Oy:n kanssa tietosuojan nykytilaa koskevan kyselytutkimuksen peräkkäisinä vuosina 2021 ja 2022. Tutkimus selvitti miten EU:n yleinen tietosuoja-asetus (EU GDPR, TSA tai Suomen tietosuojalaki) on vaikuttanut Suomessa toimivien yritysten ja organisaatioiden toimintaan.
Tutkimustulokset antavat täysin uudenlaista ja uniikkia tietoa tietosuoja-asetuksesta sekä sen vaikutuksista Suomessa. Tulokset auttavat analysoimaan tietosuojan nykytilaa ja vastaanottoa Suomessa. Kysely oli molempina vuosina sama, jotta voitiin seurata tilanteen kehitystä. Tutkimuksen ja vastaajien tarkemmat taustatiedot löydät täältä.
Tärkeimmät tietosuojan noudattamista koskevat tilastot Suomessa vuonna 2022
- Yli 70 % vastaajista kokee tietosuojalainsäädännön parantaneen luottamusta tietojenkäsittelyyn.
- Enemmistö eli yli 65 % kokee GDPR:n hyödyttävän organisaatiota.
- Yli 80 % organisaatioista ovat kartoittaneet henkilötietojen käsittelyyn kohdistuvat riskit.
- Noin 10 % vastaajaorganisaatioista tietosuojatyö on jäänyt vain IT:n osaksi. Tämä viittaa siihen, että suomalaiset organisaatiot ymmärtävät tietosuoja-asetusten laajuuden ja sen takia tietosuojatyötä käsitellään organisaatioiden eri yksiköissä.
- Tiukentunut tietosuojalainsäädäntö otetaan Suomessa varsin positiivisesti vastaan ja siitä nähdään yleisesti olevan hyötyä niin organisaatioille kuin ihmisille.
Luottamus tietojenkäsittelyyn kasvussa ja hyödyt nähdään selkeämmin
Yli 70 % vastaajista tuntee, että GDPR ja kansallinen tietosuojalaki ovat parantaneet luottamusta tietojenkäsittelyyn. Prosenttiosuus on myös kasvanut noin kahdella prosenttiyksiköllä vuodesta 2021 verrattuna vuoteen 2022.
Vastaajien enemmistö (yli 65 %) kokee GDPR:n hyödyttävän organisaatiota. Vuosien 2021 ja 2022 välillä etenkin EI-vastausten määrä on olennaisesti pienentynyt sekä lisäksi KYLLÄ-vastauksia on 10 % yksikköä enemmän. Tämä heijastuu myös avoimissa vastauksissa, joissa osa huomauttaa GDPR:n tuottavan lisätöitä, mutta samaan aikaan tunnustetaan GDPR:ää koskevat hyödyt ja asennemuutos organisaatioiden sisällä.
Tietosuojariskien hallinta on osa suomalaisten organisaatioiden toimintaa
Henkilötietojen käsittelyn osalta tietosuojalainsäädäntö (ja GDPR) nostaa voimakkaasti esille riskienhallinnan. Riippumatta siitä, missä roolissa tietoja käsitellään, on organisaation arvioitava mahdollisia riskejä sekä riittäviä teknisiä ja organisatorisia toimia riskien minimoimiseksi. Yli 80 % vastaajaorganisaatiosta on kartoitettu henkilötietojen käsittelyyn kohdistuvat riskit. Edellisvuoteen verrattuna EI-vastausten määrä on noin viisi prosenttiyksikköä suurempi vuonna 2022. Usein PK-sektorilla juuri riskien tunnistamista erilaisissa projekteissa ei hallita prosessina tai osana säännöllistä toimintaa.
Vähintään joka viides työntekijä jää ilman tietosuojaperehdytystä
Vastaajista yli 60 % kertoo, että tietosuojaohjeistus kuluu uusien työntekijöiden perehdytykseen. On kuitenkin huolestuttavaa, että lähes 20 % organisaatioista ei perehdytä uutta työntekijää tietosuojan osalta ja toiset lähemmäs 20 % ei tiedä tapahtuuko perehdytystä.
Osa vastaajista kertoi, ettei työntekijöitä aina muisteta perehdyttää tietosuojaan, mutta myös säännöllinen koulutus puuttuu. GDPR Tech Oy:n toimitusjohtajan Juha Sallisen mukaan käytännön toimet ovat usein organisaatiossa hajanaisia: ”Yhdessä tietosuojan tilannekuva-projektissa kävi ilmi, että kaikki työntekijät oli koulutettu eri maissa vuonna 2018. Ei kuitenkaan ketään sen jälkeen. Tällainen kerran tehty koulutus tuo toki ”tick in the box” merkinnän, mutta ei todellisuudessa muuta toimintatapoja organisaatiossa tai tuo tietoisuutta käytännön toimiin. Kuka muistaa mitä neljä vuotta sitten käydyssä koulutuksessa puhuttiin?”
Suomalaiset organisaatiot ovat hyvin tietoisia GDPR-seuraamuksista ja sanktioista
Tutkimuksessa vastaajilta kysyttiin ovatko he tietoisia mahdollisista tietosuojarikkomusten seuraamuksista esimerkiksi sakkojen tai käsittelykieltojen osalta. 95 % oli hyvin selvillä mitä tapahtuu, jos lakia ei noudateta riittävällä tavalla ja ainoastaan noin 5 % ei osaa sanoa tai ei tiedä sanktioista tai mahdollisista muista seuraamuksista.
Vastaajat kommentoivat myös kysymystä hyvin eri lähtökohdista. Osasta vastaajista tuntuu, että organisaatiot ottavat GDPR-asiat nyt enemmän vakavasti ja osa vastaajista koki, että asian kanssa ollaan edelleen tietämättömiä. Sallinen kommentoi asiaa asiantuntijan näkökulmasta: ”Tietosuojaa koskevat asiat ovat vielä hyvin eri tasoilla eri organisaatiossa. Osalle GDPR näyttäytyy ainoastaan pakollisena verkkosivujen evästehyväksyntä-kyselynä, kun taas toisissa organisaatiossa on tehty erinomaisen hienoa työtä ja muutettu toimintatapoja. Tietosuoja-asioista huolehtimalla saadaan toiminnasta kustannustehokkaampaa sekä turvallisempaa – vastuullisuudesta puhumattakaan. Olennaista tietosuojan kannalta on läpinäkyvyys: jokaisen on tiedettävä miten heidän tietoja käsitellään.”
Luottamus organisaation omien tietojen suojaamiseen on kuitenkin yleisesti heikko
Vastaajien osalta huolestuttavaa on puutteellinen luottamus organisaatioiden kykyyn suojata omia tietojaan. Kun kysyttiin, oletko huolissasi omista tiedoistasi, vain hieman yli 50 % ei ollut huolissaan. Yli 40 % on ollut huolissaan kumpanakin vuonna, ja vuoden 2022 osalta määrä on kasvanut parilla prosenttiyksiköllä. Tietosuojan jalkautus ja riskienhallinta vaatii selvästi lisää työtä, jotta saamme luottamusta tietojemme käsittelyyn parannettua.
2020 voimaan tullut tiedonhallintalaki vaikuttaa julkishallintoon
Tutkimuksessa keskityttiin tietosuojalakiin (EU GDPR, TSA tai Suomen tietosuojalaki), mutta haluttiin myös saada tilannekuva tiedonhallintalain vaikutuksesta. Vastaajista osa on töissä julkishallinnossa tai toimittaa palveluita julkishallinnolle. Näissä tapauksissa vuonna 2020 voimaan tullut tiedonhallintalaki vaikuttaa myös osaltaan vastaajaorganisaatioihin. Taustakyselyn tarkoitus oli selvittää, miten isossa osassa joudutaan miettimään kahden varsin suuren muutoksia aiheuttavan lainsäädännön resursointia toimenpiteiden osalta.
Vastaajista yli 40 % koskee myös tiedonhallintalaki, jossa on omia vaatimuksia niin dokumentointiin kuin käytännön toimiin liittyen. ”On huomattava se, että vaikka kyselyssä keskityttiin tietosuoja- ja tiedonhallintalakeihin, niin organisaatioissa henkilötietojen käsittelyä ohjaa monet muutkin lait, kuten osakeyhtiölaki, kirjanpitolaki ja työaikalaki. Näissä laissa on usein tarkentavia ohjeita esimerkiksi tiedonsäilytysaikoihin liittyen.”, Sallinen toteaa.
Tietosuojatyössä riittää yhä kehitettävää
GDPR on varsin nuori asetus ja Suomessa tietosuojalaki on ollut voimassa vasta vuodesta 2019 lähtien. Keskusteluissa ja mediassa nousee esille kuitenkin usein tietosuojalainsäädäntö ja siitä laajemmin tiedottaminen. Yhä useampi kuluttaja on huolissaan omista tiedoistaan ja vaatii organisaatioilta lainmukaisia GDPR-toimia. Suomessa mediaan asti päätyneiden tietomurtojen ja seuraamusten määrä on ollut hyvin pieni verrattuna muihin Euroopan maihin, mutta tämä osittain johtuu maamme pienestä väkiluvusta.
”Vastaajien erilaiset näkemykset ovat samankaltaisia kuin me näemme projekteissa sekä koulutuksissa. Huomattavan paljon on vääriä tulkintoja aiheen osalta ja sen takia koetaan GDPR:n ”kieltävän kaiken”. Niissä organisaatioissa, joissa selvästi on käyty myös toimintamalleja ja otettu tietosuojatyö mukaan arkeen, on saavutettu etuja, kuten toimintojen yhdenmukaisuutta sekä selkiytymistä. Myös luottamus on nostettu useassa vastauksessa esiin – toimimalla avoimesti ja vastuullisesti voidaan parantaa asiakkaiden luottamusta yrityksen toimintaa kohti.”, summaa Sallinen lopuksi.