Kuukausi: joulukuu 2022

Tietosuojatutkimuksen taustatiedot 2021-2022

kirjoittaja

Kyselytutkimus toteutettiin sähköisenä lomakekyselynä, jonka linkkiä jaettiin sähköpostitse ja sosiaalisessa mediassa vuosina 2021 ja 2022. Vuoden 2021 kyselyn osalta saatiin 56 vastausta ja vuoden 2022 osalta 102 vastausta. Kumpanakin vuonna vastausaikaa oli noin kaksi kuukautta eikä vastaajia profiloitu. Tuloksia käsitellään tutkimusraportissa ainoastaan tilastollisina joukkoina, eikä yksittäisen vastaajan vastauksia ole pääteltävissä tuloksista. Kyselykutsuihin liittyvät personointitiedot hävitetään järjestelmästä kolmen kuukauden kuluessa.

Valinta- ja arvosanakysymykset raportoidaan kuvaajina. Avoimien kysymysten omasanaiset vastaukset löytyvät listattuna ja niistä on tehty tutkimusraporttiin joitakin nostoja.

Vastaajien taustatiedot

Vastaajien osalta organisaatioiden kokoluokan jakauma oli molempina vuosina hyvin samankaltainen, joka on nähtävissä kuvassa 1. Samoin jakauma organisaatioiden toimialojen osalta oli molempina vuosina hyvin yhteneväinen. Vastaajajoukko koostui monipuolisesti yrityksistä sekä julkisen sektorin toimijoista. Katso kuva 2.

Molempina vuosina vastaajat edustavat sekä päättäjiä että työntekijöitä. Katso kuva 3. Toimintaympäristön osalta vastaajissa oli edustettuna niin Suomessa kuin kansainvälisestikin toimivia yrityksiä, joiden päätoimipaikka sijaitsee ulkomailla. Vastaajien toimialueet löydät kuvasta 4.

Kuva 1: Organisaation henkilöstömäärä
Kuva 2: Yrityksen/organisaation toimiala
Kuva 3: Vastaajien asema
Kuva 4: Vastaajien toimialue

Palaa tästä takaisin tutkimustuloksiin!


Lisätietoja:

Juha Sallinen
Yrittäjä, tiedonhallinta- ja teknologia-arkkitehti

040 5666 900
[email protected]

Tietosuojatutkimuksen tulokset julki – 5 silmiä avaavaa faktaa tietosuojan nykytilasta Suomessa

kirjoittaja

Tietosuojatutkimuksen tulokset julki – 5 silmiä avaavaa faktaa tietosuojan nykytilasta Suomessa

Viime vuosina on käyty vilkasta keskustelua tietosuojasta ja yksityisyydestä. Usein keskusteluissa pohditaan erityisesti teknologiajättejä, kuten Metaa ja Googlea, jotka käyvät kauppaa käyttäjädatalla. Euroopan Unioni on ollut tietosuojaliikkeen eturintamassa ja määrännyt muun muassa useille suuryrityksille useiden miljoonien sakkoja henkilötietojen väärinkäsittelyn vuoksi. Myös Suomessa on noussut esiin tapauksia, joissa henkilötietoja on päätynyt rikollisille. Esimerkiksi julkisuudessa laajasti esillä olleessa tapauksessa  psykoterapiakeskuksen ex-toimitusjohtaja asetettiin syytteeseen tietosuojarikoksesta. Tämä tapaus on vielä avoinna.

Suomalainen yritys GDPR Tech Oy toteutti yhteistyössä Tutkimusvoima Oy:n kanssa tietosuojan nykytilaa koskevan kyselytutkimuksen peräkkäisinä vuosina 2021 ja 2022. Tutkimus selvitti miten EU:n yleinen tietosuoja-asetus (EU GDPR, TSA tai Suomen tietosuojalaki) on vaikuttanut Suomessa toimivien yritysten ja organisaatioiden toimintaan.

Tutkimustulokset antavat täysin uudenlaista ja uniikkia tietoa tietosuoja-asetuksesta sekä sen vaikutuksista Suomessa. Tulokset auttavat analysoimaan tietosuojan nykytilaa ja vastaanottoa Suomessa. Kysely oli molempina vuosina sama, jotta voitiin seurata tilanteen kehitystä. Tutkimuksen ja vastaajien tarkemmat taustatiedot löydät täältä.

Tärkeimmät tietosuojan noudattamista koskevat tilastot Suomessa vuonna 2022

  • Yli 70 % vastaajista kokee tietosuojalainsäädännön parantaneen luottamusta tietojenkäsittelyyn. 
  • Enemmistö  eli yli 65 % kokee GDPR:n hyödyttävän organisaatiota.
  • Yli 80 % organisaatioista ovat kartoittaneet henkilötietojen käsittelyyn kohdistuvat riskit.
  • Noin 10 % vastaajaorganisaatioista tietosuojatyö on jäänyt vain IT:n osaksi. Tämä viittaa siihen, että suomalaiset organisaatiot ymmärtävät tietosuoja-asetusten laajuuden ja sen takia tietosuojatyötä käsitellään organisaatioiden eri yksiköissä.
  • Tiukentunut tietosuojalainsäädäntö otetaan Suomessa varsin positiivisesti vastaan ja siitä nähdään yleisesti olevan hyötyä niin organisaatioille kuin ihmisille.

Luottamus tietojenkäsittelyyn kasvussa ja hyödyt nähdään selkeämmin

Yli 70 % vastaajista tuntee, että GDPR ja kansallinen tietosuojalaki ovat parantaneet luottamusta tietojenkäsittelyyn. Prosenttiosuus on myös kasvanut noin kahdella prosenttiyksiköllä vuodesta 2021 verrattuna vuoteen 2022. 

Vastaajien enemmistö (yli 65 %) kokee GDPR:n hyödyttävän organisaatiota. Vuosien 2021 ja 2022 välillä etenkin EI-vastausten määrä on olennaisesti pienentynyt sekä lisäksi KYLLÄ-vastauksia on 10 % yksikköä enemmän. Tämä heijastuu myös avoimissa vastauksissa, joissa osa huomauttaa GDPR:n tuottavan lisätöitä, mutta samaan aikaan tunnustetaan GDPR:ää koskevat hyödyt ja asennemuutos organisaatioiden sisällä.

Luottamus tietojen käsittelyyn - taulukko
Hyödyttääkö GDPR organisaatiotanne - taulukko
Kyselyyn vastaaja
"GDPR:ää tulkitaan usein todella väärin ja siitä lähtökohdasta, että kaikkien henkilötietojen jakaminen on absoluuttisen kiellettyä ja rangaistavaa. Tämä aiheuttaa suurimmat ongelmat. GDPR:n tulkintoja on yhtä paljon kuin tulkitsijoitakin."
Kyselyyn vastaaja
"Lisää työmäärää, hidastaa työntekoa - hyötynä se, että tietoja säilytetään huolellisemmin - kaikki miettivät työssään tietosuoja-asioita, joten tuntuu turvallisemmalta."
Kyselyyn vastaaja
"Tietosuojaa ja tietoturvaa käsitellään vakavammin kuin esimerkiksi 20 vuotta sitten. On jalkautettu koko henkilökunnalle ja pidetään tietosuojan päiviä koko henkilökunnalle. Myös johto ottaa asian vakavasti. Tehtävää on vielä paljon ja keskeneräisiä asioita myös."
Previous slide
Next slide

Tietosuojariskien hallinta on osa suomalaisten organisaatioiden toimintaa

Henkilötietojen käsittelyn osalta tietosuojalainsäädäntö (ja GDPR) nostaa voimakkaasti esille riskienhallinnan. Riippumatta siitä, missä roolissa tietoja käsitellään, on organisaation  arvioitava mahdollisia riskejä sekä  riittäviä teknisiä ja organisatorisia toimia riskien minimoimiseksi. Yli 80 % vastaajaorganisaatiosta on kartoitettu henkilötietojen käsittelyyn kohdistuvat riskit. Edellisvuoteen verrattuna  EI-vastausten määrä on noin viisi prosenttiyksikköä suurempi vuonna 2022. Usein PK-sektorilla juuri riskien tunnistamista erilaisissa projekteissa ei hallita prosessina tai osana säännöllistä toimintaa.

Riskien kartoitustilanne- taulukko

Vähintään joka viides työntekijä jää ilman tietosuojaperehdytystä

Vastaajista yli 60 % kertoo, että tietosuojaohjeistus kuluu uusien työntekijöiden perehdytykseen. On kuitenkin huolestuttavaa, että lähes 20 % organisaatioista ei perehdytä uutta työntekijää tietosuojan osalta ja toiset lähemmäs 20 % ei tiedä tapahtuuko perehdytystä.

Osa vastaajista kertoi, ettei työntekijöitä aina muisteta perehdyttää tietosuojaan, mutta myös säännöllinen koulutus puuttuu. GDPR Tech Oy:n toimitusjohtajan Juha Sallisen mukaan käytännön toimet ovat usein organisaatiossa hajanaisia: ”Yhdessä tietosuojan tilannekuva-projektissa kävi ilmi, että kaikki työntekijät oli koulutettu eri maissa vuonna 2018. Ei kuitenkaan ketään sen jälkeen. Tällainen kerran tehty koulutus tuo toki ”tick in the box” merkinnän, mutta ei todellisuudessa muuta toimintatapoja organisaatiossa tai tuo tietoisuutta käytännön toimiin. Kuka muistaa mitä neljä vuotta sitten käydyssä koulutuksessa puhuttiin?”

Onko GDPR-ohjeistus osana perehdytystä - taulukko
Kyselyyn vastaaja
"GDPR on tuonut tietosuojan näkyvyyttä laajemmin toimijoille Suomessa. Meillä toteutetaan henkilöstölle tietosuojakokeet säännöllisin väliajoin tietoturvallisuuden ja tietosuojan asioista. Myös tietojenkäsittelystä ja tietosuojasta tiedotetaan aika ajoin."
Kyselyyn vastaaja
"Enimmäkseen IT-puolen hallussa, mutta yksittäisissä asioissa esim. oman yksikön omat lomakkeet, minut on jätetty ihan yksin GDPR-asioissa. Oletetaan, että ne ovat hoidossa, ikään kuin GDPR tulisi itsestään. En edes tiedä olenko hoitanut GDPR-asiat niin kuin pitää, mutta se ei kiinnosta ketään."
Previous slide
Next slide

Suomalaiset organisaatiot ovat hyvin tietoisia GDPR-seuraamuksista ja sanktioista

Tutkimuksessa vastaajilta kysyttiin ovatko he tietoisia mahdollisista tietosuojarikkomusten seuraamuksista esimerkiksi sakkojen tai käsittelykieltojen osalta. 95 % oli hyvin selvillä mitä tapahtuu, jos lakia ei noudateta riittävällä tavalla ja ainoastaan noin 5 % ei osaa sanoa tai ei tiedä sanktioista tai mahdollisista muista seuraamuksista.

Vastaajat kommentoivat myös kysymystä hyvin eri lähtökohdista. Osasta vastaajista tuntuu, että organisaatiot ottavat GDPR-asiat nyt enemmän vakavasti ja osa vastaajista koki, että asian kanssa ollaan edelleen tietämättömiä. Sallinen kommentoi asiaa asiantuntijan näkökulmasta: ”Tietosuojaa koskevat asiat ovat vielä hyvin eri tasoilla eri organisaatiossa. Osalle GDPR näyttäytyy ainoastaan pakollisena verkkosivujen evästehyväksyntä-kyselynä, kun taas toisissa organisaatiossa on tehty erinomaisen hienoa työtä ja muutettu toimintatapoja. Tietosuoja-asioista huolehtimalla saadaan toiminnasta kustannustehokkaampaa sekä turvallisempaa – vastuullisuudesta puhumattakaan. Olennaista tietosuojan kannalta on läpinäkyvyys: jokaisen on tiedettävä miten heidän tietoja käsitellään.”

Tietoisuus seuraamuksista, jos lakia ei noudateta - taulukko
Kyselyyn vastaaja
"Pakottaa kaikki toimijat markkinoilla samalle viivalle. Ennen oli toimijoita, jotka lepsuilivat tietosuojan kanssa. Lisää käyttäjien luottamusta."
Kyselyyn vastaaja
"GDPR on täysin väärinymmärretty. Jos oikeasti tehtäisiin tarkastuksia niin kokemuksen mukaan kaikki toimivat vastoin ohjeistuksia jokaisessa yrityksessä, jossa olen toiminut. Tietosuojan ymmärrys, valvonta ja toteutus on edelleen lasten kengissä."
Previous slide
Next slide

Luottamus organisaation omien tietojen suojaamiseen on kuitenkin yleisesti heikko

Vastaajien osalta huolestuttavaa on puutteellinen luottamus organisaatioiden kykyyn suojata omia tietojaan. Kun kysyttiin, oletko huolissasi omista tiedoistasi, vain hieman yli 50 % ei ollut huolissaan. Yli 40 % on ollut huolissaan kumpanakin vuonna,  ja vuoden 2022 osalta määrä on kasvanut parilla prosenttiyksiköllä. Tietosuojan jalkautus ja riskienhallinta vaatii selvästi lisää työtä, jotta saamme luottamusta tietojemme käsittelyyn parannettua.

Oletko huolissasi omista tiedoistasi - taulukko

2020 voimaan tullut tiedonhallintalaki vaikuttaa julkishallintoon

Tutkimuksessa keskityttiin tietosuojalakiin (EU GDPR, TSA tai Suomen tietosuojalaki), mutta haluttiin myös saada tilannekuva tiedonhallintalain vaikutuksesta. Vastaajista osa on töissä julkishallinnossa tai toimittaa palveluita julkishallinnolle. Näissä tapauksissa vuonna 2020 voimaan tullut tiedonhallintalaki vaikuttaa myös osaltaan vastaajaorganisaatioihin. Taustakyselyn tarkoitus oli selvittää, miten isossa osassa joudutaan miettimään kahden varsin suuren muutoksia aiheuttavan lainsäädännön resursointia toimenpiteiden osalta.

Vastaajista yli 40 % koskee myös tiedonhallintalaki, jossa on omia vaatimuksia niin dokumentointiin kuin käytännön toimiin liittyen. ”On huomattava se, että vaikka kyselyssä keskityttiin tietosuoja- ja tiedonhallintalakeihin, niin organisaatioissa henkilötietojen käsittelyä ohjaa monet muutkin lait, kuten osakeyhtiölaki, kirjanpitolaki ja työaikalaki. Näissä laissa on usein tarkentavia ohjeita esimerkiksi tiedonsäilytysaikoihin liittyen.”, Sallinen toteaa.

Koskeeko teitä myös tiedonhallintalaki - taulukko

Tietosuojatyössä riittää yhä kehitettävää

GDPR on varsin nuori asetus ja Suomessa tietosuojalaki on ollut voimassa vasta vuodesta 2019 lähtien. Keskusteluissa ja mediassa nousee esille kuitenkin usein tietosuojalainsäädäntö ja siitä laajemmin tiedottaminen. Yhä useampi kuluttaja on huolissaan omista tiedoistaan ja vaatii organisaatioilta lainmukaisia GDPR-toimia. Suomessa mediaan asti päätyneiden tietomurtojen ja seuraamusten määrä on ollut hyvin pieni verrattuna muihin Euroopan maihin, mutta tämä osittain johtuu maamme pienestä väkiluvusta.

”Vastaajien erilaiset näkemykset ovat samankaltaisia kuin me näemme projekteissa sekä koulutuksissa. Huomattavan paljon on vääriä tulkintoja aiheen osalta ja sen takia koetaan GDPR:n ”kieltävän kaiken”. Niissä organisaatioissa, joissa selvästi on käyty myös toimintamalleja ja otettu tietosuojatyö mukaan arkeen, on saavutettu etuja, kuten toimintojen yhdenmukaisuutta sekä selkiytymistä. Myös luottamus on nostettu useassa vastauksessa esiin – toimimalla avoimesti ja vastuullisesti voidaan parantaa asiakkaiden luottamusta yrityksen toimintaa kohti.”, summaa Sallinen lopuksi.

Lisätietoja

Juha Sallinen | Yrittäjä, tiedonhallinta- ja teknologia-arkkitehti | 040 566 6900 | [email protected]
Ota yhteyttä

Tilaa uutiskirjeemme!

Saat GDPR vinkit, tiedotteet ja tapahtumat suoraan sähköpostiisi!

Ota yhteyttä

+358 40 5666 900
[email protected]

Arkisin klo 8–17
Puolikkotie 8, 5.krs, 02230 Espoo

Facebook Twitter Linkedin

Palvelut

Lisätietoja

Tietosuojalupaus

© 2022 GDPR Tech