Tietosuojatutkimus 2024: GDPR kuuluu jo arkeen, mutta ei täysin käytäntöön

Suomalainen yritys GDPR Tech Oy on toteuttanut yhteistyössä kumppaninsa Tutkimusvoiman (Raimo Pöllänen) kanssa tietosuojan nykytilaa koskevaa kyselytutkimusta vuodesta 2021 lähtien. Tutkimus selvittää, miten EU:n yleinen tietosuoja-asetus (GDPR) ja tietosuojalaki ovat vaikuttaneet Suomessa toimivien yritysten ja organisaatioiden toimintaan.

Tutkimustulokset tarjoavat ainutlaatuista ja uutta tietoatietosuoja-asetuksesta ja sen vaikutuksista Suomessa. Tulokset auttavat analysoimaan tietosuojan nykytilaa ja kehitystä suomalaisissa organisaatioissa. Kyselyn sisältö on pysynyt samana vuodesta 2021 lähtien, jotta kehitystä voidaan seurata luotettavasti.

Tietosuojatyötä tehdään organisaatioissa GDPR:n eli EU:n yleisen tietosuoja-asetuksen mukaisesti, ja sitä pidetään yleisesti hyödyllisenä. Poikkeustilanteita harjoitellaan kuitenkin yhä vain noin kolmasosassa organisaatioista.

Tutkimuksen ja vastaajien tarkemmat taustatiedot löydät täältä!

Tärkeimmät tietosuojan noudattamista koskevat tilastot Suomessa vuonna 2024

  • Enemmistö vastaajista kokee, että GDPR ja kansallinen tietosuojalaki ovat lisänneet luottamusta henkilötietojen käsittelyyn. Luku on noussut vuoden 2021 71 prosentista vuoden 2024 88 prosenttiin – merkittävä kasvu luottamuksen osalta.
  • Lähes neljä viidesosaa vastaajista (78 %) kokee, että GDPR hyödyttää organisaatiota. Tekstivastaukset tukevat tätä esimerkiksi tiedonhallintaan liittyvillä havainnoilla.
  • Vastaajien huoli omista henkilötiedoistaan on kasvanut aiemmasta noin 44 prosentin tasosta 54 prosenttiin.
  • Edelleen vain 60 % vastaajista kokee, että tietosuojasta huolehditaan riittävästi organisaatioissa.
  • Poikkeus- ja katastrofitilanteiden harjoituksia on lisätty aiemmista vuosista, ja nyt noin 39 % organisaatioista on toteuttanut niitä.

Luottamus tietosuojatyöhön kasvaa – myös organisaatiot näkevät hyödyt

Lähes 90 % vastaajista vuonna 2024 kokee, että GDPR ja kansallinen tietosuojalaki ovat parantaneet luottamusta tietojen käsittelyyn. Prosenttiosuus on kasvanut vuoden 2021 71,4 prosentista vuoden 2024 88 prosenttiin, mikä on merkittävä nousu.

Yli 78 % vastaajista kokee, että GDPR hyödyttää organisaatiota. Tämä jatkaa vuodesta 2021 alkanutta suuntausta: alkuvaiheen ajattelu, jossa ”GDPR kieltää kaiken”, on muuttunut. Nyt on huomattu, että tietosuojatyöllä voi olla myös positiivisia vaikutuksia. Tämä heijastuu hyvin myös vastauksissa – osa kokee GDPR:n kuitenkin edelleen haitallisena.

Kyselyyn vastaaja
(GDPR) vaikeuttaa kaikella mahdollisella tavalla en haluaisi enää olla kuluttajan kanssa tekemisissä kun pelkäät vain että joku porsaanreikä jää auki josta sinut haastetaan oikeuteen.
Kyselyyn vastaaja
(GDPR) hyödyt: tiedon tuhoaminen, prosessien selkeys
Kyselyyn vastaaja
(GDPR) uhat: tietysti henkilöllisyysvarkaus voi olla ongelma, mutta vastuun pitäisi olla myyjällä, ei ostajalla, henkilöllisyysvarkauden ei pitäisi olla uhka vaan asiakassuhteen luominen pitäisi olla niin selkeä, että väärinkäytöksille ei jää tilaa.
Kyselyyn vastaaja
(GDPR) mahdollisuudet: kai IT-järjestelmät pikkuhiljaa oppii hallinnoituun tuhoamiseen. Lopputulos voi olla hyvä prosessi, mutta sen hyödyistä en ole ihan vakuuttunut.

Kuva 1: Luottamus tietojen käsittelyyn – kyllä vastaukset

Kuva 2: Hyödyttääkö GDPR organisaatiotanne – kyllä vastaukset

GDPR ei jäänyt pelkästään IT:n vastuulle

Vuoden 2021 kyselyn mukaan tietosuojatyöstä vastasivat eri yksiköt, kuten IT-, talous-, HR- ja lakiyksiköt. Vuoden 2024 vastauksissa taloushallinnon osuus on hieman yllättäen selvästi pienentynyt.

Kuva 3: Mikä yksikkö/mitkä yksiköt teillä vastaavat tietosuojatyöstä (GDPR:stä)?

Riskienhallinta on kehittynyt ainakin vuoden 2024 osalta. Vuonna 2023 sen sijaan nähtiin laskeva suuntaus, jossa riskejä ei ollut kartoitettu. IT:llä on merkittävä rooli käytännön tietosuojatyössä – erityisesti tietoturvan ja teknisten suojausten osalta – mutta organisaatioiden riskienhallinta ei yleisesti kuulu IT:n vastuualueisiin.

Vuoden 2024 vastauksissa näkyy selvä parannus henkilötietojen riskienhallinnassa. Vastausten taustalla voi olla myös lisääntynyt tietoisuus mediassa esillä olleista tietoturvaloukkauksista.

Kuva 4: Onko organisaatiossanne kartoitettu henkilötietoihin kohdistuvat riskit?

Huolestuttavaa on kysymykseen ”Onko mielestänne teillä huolehdittu tietosuojasta riittävästi?” saadut vastaukset: ”EI” -vastausten osuus on kasvanut 25,5 prosentista vuonna 2023 aina 29 prosenttiin vuonna 2024.

”Asiakastyössä näkee vieläkin sitä, ettei tietosuoja meille kuulu. Esimerkiksi asiakaspalvelun esihenkilö ei suostunut osallistumaan tietosuojavastaavan vetämään vaikutustenarviointi -työpajaan, koska ”ei tietosuoja meille kuulu”. Kyseisessä organisaatiossa koulutusta on ollut tarjolla, mutta kaikki eivät sitä ole suorittaneet – tämä näkyy käytännön työssä.”

Juha Sallinen, Toimitusjohtaja GDPR Tech

Kuva 5: Onko mielestänne teillä huolehdittu tietosuojasta riittävästi?

Kyselyyn vastaaja
Henkilötietojen säilyttämiseen on selkeät raamit
Kyselyyn vastaaja
Vaikuttaa kaikessa toiminnassa henkilöihin yhdistettävän tiedon käsittelyyn, salassapitoon, säilyttämiseen ja tietojen luovutukseen.

Joka viidettä työntekijää ei perehdytetä tietosuojaan

Vastaajista 80 % kertoo, että uusille työntekijöille annetaan tietosuojaohjeistus osana perehdytystä. Tämä tarkoittaa, että viidesosa vastaajaorganisaatioista ei kouluta uusia työntekijöitä tietosuojasta perehdytyksen yhteydessä. Osa vastaajista kertoi, että työntekijöitä ei aina muisteta perehdyttää tietosuojaan, ja säännöllinen koulutus puuttuu usein kokonaan.

GDPR Techin toimitusjohtajan Juha Sallisen mukaan käytännön toimet ovat organisaatioissa usein hajanaisia: ”Usein olemme huomanneet tilanteen, jossa organisaatio on kouluttanut henkilöstöään jollain tavalla vuonna 2018, mutta ei sen jälkeen. On myös yleistä, että GDPR- tai tietosuojakoulutuksia on saatavilla, mutta niiden suorittamista ei seurata.

Kyselyyn vastaaja
Luovat hyvän pohjan henkilötietojenkäsittelylle
Kyselyyn vastaaja
Hidasteena ja uhkana on että julkisen sektorin työtä on vaikeutettu ja pakollinen valvonta maksaa tuhansia vuodessa. Julkishallinnon täytyy todentaa tekemisensä, joka usein on jo valmiiksi lakisääteistä. Mutta tuo todentaminen maksaa euroja, joita ei ole toimintaa hyödyttämättömiin asioihin. GDPR hidastaa ja vaikeuttaa julkishallinnon toimintaa ja maksaa rahaa. Se ei helpota tai nopeuta tekemistämme.

Kuva 6: Onko GDPR-ohjeistus osana perehdytystä?

Kuva 7: Onko henkilökuntanne koulutettu toimimaan GDPR:n mukaisesti?

Tietoisuus seuraamuksista kasvanut – suhtautuminen GDPR:ään vaihtelee

Tutkimuksessa vastaajilta kysyttiin, ovatko he tietoisia mahdollisista tietosuojarikkomusten seuraamuksista, kuten sakoista tai käsittelykielloista. Kaikki vastaajat (100 %) ilmoittivat olevansa hyvin perillä siitä, mitä tapahtuu, jos lakia ei noudateta riittävällä tavalla. Vuonna 2021 vastaava osuus oli noin 93 %. Oletamme, että tietoisuus on kasvanut muun muassa median esiin nostamien tietosuojasanktioiden myötä.

Vastaajat kommentoivat aihetta myös hyvin erilaisista lähtökohdista. Osa koki, että organisaatiot suhtautuvat nyt GDPR-asioihin entistä vakavammin, kun taas toiset pitivät tietoisuuden tasoa edelleen riittämättömänä.

Kyselyyn vastaaja
Hidastaa ja hankaloittaa kovasti, vaikka koenkin tärkeäksi. On myös jatkuva huoli ja pelko, että onko tehnyt jotain väärin.
Kyselyyn vastaaja
Kymmeniä järjestelmiä ja tuhansia työntekijöitä. Vaihtuvuus on suurta. Vanhojen työntekijöiden tietojen hallintaan pitää kiinnittää huomiota

Kuva 8: Tietoisuus seuraamuksista, jos lakia ei noudateta

Luottamus puuttuu – tietosuoja kaipaa konkretiaa

Vastausten perusteella huolestuttavaa on luottamuksen taso organisaatioiden tietojen suojaamiseen. Kun vastaajilta kysyttiin, ovatko he huolissaan omien tietojensa käsittelystä, enemmistö (54 %) kertoi olevansa huolissaan. Tietosuojan jalkautus ja riskienhallinta vaativat selvästi lisää työtä, jotta luottamusta henkilötietojen käsittelyyn saadaan vahvistettua.

Kuva 9: Oletko huolissasi omista tiedoistasi?

Evästeet seuraavat – mutta harva tietää miten

Kysymys ”Tiedätkö, että verkkosivujen evästeillä seurataan käyttäytymistäsi ja kohdennetaan markkinointia myös muiden tuotteiden osalta?” kartoitti vastaajien tietoisuutta verkkosivujen seurantatekniikoista – ja tulokset ovat huolestuttavia. Kaikista eväste- ja seurantahyväksynnöistä huolimatta vastaajat ovat yhä epävarmoja siitä, mitä verkkosivulla tapahtuu ja mitä heidän tiedoillaan tehdään.

Epäselvyyttä lisää todennäköisesti se, että Suomessa verkkosivujen käyttäjäseurantaa valvoo Tietosuojavaltuutetun sijaan Traficom, jonka ohjeistukset aiheesta julkaistiin jo vuonna 2021. Nämä ohjeet ovat todennäköisesti jääneet monelta huomaamatta. Suomessa ei edelleenkään näyttäisi olevan seurauksia tai sanktioita viranomaisohjeiden vastaisesta seurantateknologioiden käytöstä.

Kuva 10: Tiedätkö, että verkkosivujen evästeillä seurataan käyttäytymistäsi ja kohdennetaan markkinointia myös muiden tuotteiden osalta?

Kyselyyn vastaaja
GDPR määrittelee hyvinkin pitkälti keille voidaan lähettää markkinointiviestejä ja mitä pitää huomioida markkinoinnin automaatiossa. Lisäksi nettisivujen privacy policy ja cookie-käytäntöjä on jouduttu säätämään GDPR:n vuoksi aika lailla.

Tietosuojatyö kaipaa jatkuvuutta – projektit eivät yksin riitä

Neljän vuoden vastausten perusteella näyttää siltä, että monessa organisaatiossa tietosuojatoimia on toteutettu projektiluonteisesti, mutta niiden jalkautus osaksi arkea on jäänyt puutteelliseksi. Vaikka GDPR on yhä suhteellisen nuori asetus, myös käyttäjien tietoisuus on selvästi kasvussa.

Keskusteluissa ja mediassa nousevat usein esiin tietosuojalainsäädäntö ja siihen liittyvä viestinnän tarve. Yhä useampi kuluttaja on huolissaan omista henkilötiedoistaan ja odottaa organisaatioilta lainmukaista toimintaa myös GDPR:n osalta.

Suomessa mediaan asti päätyneiden tietomurtojen ja seuraamusten määrä on edelleen hyvin pieni verrattuna moniin muihin Euroopan maihin. Tämä selittyy osin maamme pienellä väkiluvulla.

Vastaajien kommenteissa nousevat esiin tekoälyyn, tiedonkäyttöön ja kustannuksiin liittyvät huolet. Näkemykset ovat samankaltaisia kuin projekteissa ja koulutuksissa. GDPR:stä esiintyy edelleen vääriä tulkintoja, mikä johtaa siihen, että sitä pidetään liian rajoittavana. Organisaatioissa, joissa tietosuojatyö on integroitu osaksi arkea, on saavutettu selkeitä hyötyjä, kuten toimintojen yhdenmukaisuus, selkeytyminen ja prosessien tehostuminen. Luottamus on keskeistä – avoimuudella ja vastuullisuudella voidaan vahvistaa asiakkaiden luottamusta yritykseen”, Sallinen summaa lopuksi.

Lisätietoja:

Juha Sallinen
Yrittäjä, tiedonhallinta- ja teknologia-arkkitehti
GDPR Tech

040 5666 900
[email protected]

Ajankohtaista tietoa

Blogista löydät ajankohtaista tietoa, kiinnostavia artikkeleita sekä paljon yksityiskohtaista infoa liittyen tietosuojaan.

Lue myös nämä artikkelit

Jaa kirjoitus somessa

Pyydä tarjous palveluista

Ota yhteyttä

Tilaa uutiskirjeemme!

Saat GDPR vinkit, tiedotteet ja tapahtumat suoraan sähköpostiisi!

Ota yhteyttä

+358 40 5666 900
[email protected]

Arkisin klo 8–17
Puolikkotie 8, 5.krs, 02230 Espoo

Facebook Twitter Linkedin

Palvelut

Lisätietoja

Tietosuojalupaus

© 2022 GDPR Tech