Tietosuojatutkimuksen tulokset julki – 5 silmiä avaavaa faktaa tietosuojan nykytilasta Suomessa

Tietosuojatutkimuksen tulokset julki – 5 silmiä avaavaa faktaa tietosuojan nykytilasta Suomessa

Viime vuosina on käyty vilkasta keskustelua tietosuojasta ja yksityisyydestä. Usein keskusteluissa pohditaan erityisesti teknologiajättejä, kuten Metaa ja Googlea, jotka käyvät kauppaa käyttäjädatalla. Euroopan Unioni on ollut tietosuojaliikkeen eturintamassa ja määrännyt muun muassa useille suuryrityksille useiden miljoonien sakkoja henkilötietojen väärinkäsittelyn vuoksi. Myös Suomessa on noussut esiin tapauksia, joissa henkilötietoja on päätynyt rikollisille. Esimerkiksi julkisuudessa laajasti esillä olleessa tapauksessa  psykoterapiakeskuksen ex-toimitusjohtaja asetettiin syytteeseen tietosuojarikoksesta. Tämä tapaus on vielä avoinna.

Suomalainen yritys GDPR Tech Oy toteutti yhteistyössä Tutkimusvoima Oy:n kanssa tietosuojan nykytilaa koskevan kyselytutkimuksen peräkkäisinä vuosina 2021 ja 2022. Tutkimus selvitti miten EU:n yleinen tietosuoja-asetus (EU GDPR, TSA tai Suomen tietosuojalaki) on vaikuttanut Suomessa toimivien yritysten ja organisaatioiden toimintaan.

Tutkimustulokset antavat täysin uudenlaista ja uniikkia tietoa tietosuoja-asetuksesta sekä sen vaikutuksista Suomessa. Tulokset auttavat analysoimaan tietosuojan nykytilaa ja vastaanottoa Suomessa. Kysely oli molempina vuosina sama, jotta voitiin seurata tilanteen kehitystä. Tutkimuksen ja vastaajien tarkemmat taustatiedot löydät täältä.

Tärkeimmät tietosuojan noudattamista koskevat tilastot Suomessa vuonna 2022

  • Yli 70 % vastaajista kokee tietosuojalainsäädännön parantaneen luottamusta tietojenkäsittelyyn. 
  • Enemmistö  eli yli 65 % kokee GDPR:n hyödyttävän organisaatiota.
  • Yli 80 % organisaatioista ovat kartoittaneet henkilötietojen käsittelyyn kohdistuvat riskit.
  • Noin 10 % vastaajaorganisaatioista tietosuojatyö on jäänyt vain IT:n osaksi. Tämä viittaa siihen, että suomalaiset organisaatiot ymmärtävät tietosuoja-asetusten laajuuden ja sen takia tietosuojatyötä käsitellään organisaatioiden eri yksiköissä.
  • Tiukentunut tietosuojalainsäädäntö otetaan Suomessa varsin positiivisesti vastaan ja siitä nähdään yleisesti olevan hyötyä niin organisaatioille kuin ihmisille.

Luottamus tietojenkäsittelyyn kasvussa ja hyödyt nähdään selkeämmin

Yli 70 % vastaajista tuntee, että GDPR ja kansallinen tietosuojalaki ovat parantaneet luottamusta tietojenkäsittelyyn. Prosenttiosuus on myös kasvanut noin kahdella prosenttiyksiköllä vuodesta 2021 verrattuna vuoteen 2022. 

Vastaajien enemmistö (yli 65 %) kokee GDPR:n hyödyttävän organisaatiota. Vuosien 2021 ja 2022 välillä etenkin EI-vastausten määrä on olennaisesti pienentynyt sekä lisäksi KYLLÄ-vastauksia on 10 % yksikköä enemmän. Tämä heijastuu myös avoimissa vastauksissa, joissa osa huomauttaa GDPR:n tuottavan lisätöitä, mutta samaan aikaan tunnustetaan GDPR:ää koskevat hyödyt ja asennemuutos organisaatioiden sisällä.

Luottamus tietojen käsittelyyn - taulukko
Hyödyttääkö GDPR organisaatiotanne - taulukko
Kyselyyn vastaaja
"GDPR:ää tulkitaan usein todella väärin ja siitä lähtökohdasta, että kaikkien henkilötietojen jakaminen on absoluuttisen kiellettyä ja rangaistavaa. Tämä aiheuttaa suurimmat ongelmat. GDPR:n tulkintoja on yhtä paljon kuin tulkitsijoitakin."
Kyselyyn vastaaja
"Lisää työmäärää, hidastaa työntekoa - hyötynä se, että tietoja säilytetään huolellisemmin - kaikki miettivät työssään tietosuoja-asioita, joten tuntuu turvallisemmalta."
Kyselyyn vastaaja
"Tietosuojaa ja tietoturvaa käsitellään vakavammin kuin esimerkiksi 20 vuotta sitten. On jalkautettu koko henkilökunnalle ja pidetään tietosuojan päiviä koko henkilökunnalle. Myös johto ottaa asian vakavasti. Tehtävää on vielä paljon ja keskeneräisiä asioita myös."
Previous slide
Next slide

Tietosuojariskien hallinta on osa suomalaisten organisaatioiden toimintaa

Henkilötietojen käsittelyn osalta tietosuojalainsäädäntö (ja GDPR) nostaa voimakkaasti esille riskienhallinnan. Riippumatta siitä, missä roolissa tietoja käsitellään, on organisaation  arvioitava mahdollisia riskejä sekä  riittäviä teknisiä ja organisatorisia toimia riskien minimoimiseksi. Yli 80 % vastaajaorganisaatiosta on kartoitettu henkilötietojen käsittelyyn kohdistuvat riskit. Edellisvuoteen verrattuna  EI-vastausten määrä on noin viisi prosenttiyksikköä suurempi vuonna 2022. Usein PK-sektorilla juuri riskien tunnistamista erilaisissa projekteissa ei hallita prosessina tai osana säännöllistä toimintaa.

Riskien kartoitustilanne- taulukko

Vähintään joka viides työntekijä jää ilman tietosuojaperehdytystä

Vastaajista yli 60 % kertoo, että tietosuojaohjeistus kuluu uusien työntekijöiden perehdytykseen. On kuitenkin huolestuttavaa, että lähes 20 % organisaatioista ei perehdytä uutta työntekijää tietosuojan osalta ja toiset lähemmäs 20 % ei tiedä tapahtuuko perehdytystä.

Osa vastaajista kertoi, ettei työntekijöitä aina muisteta perehdyttää tietosuojaan, mutta myös säännöllinen koulutus puuttuu. GDPR Tech Oy:n toimitusjohtajan Juha Sallisen mukaan käytännön toimet ovat usein organisaatiossa hajanaisia: ”Yhdessä tietosuojan tilannekuva-projektissa kävi ilmi, että kaikki työntekijät oli koulutettu eri maissa vuonna 2018. Ei kuitenkaan ketään sen jälkeen. Tällainen kerran tehty koulutus tuo toki ”tick in the box” merkinnän, mutta ei todellisuudessa muuta toimintatapoja organisaatiossa tai tuo tietoisuutta käytännön toimiin. Kuka muistaa mitä neljä vuotta sitten käydyssä koulutuksessa puhuttiin?”

Onko GDPR-ohjeistus osana perehdytystä - taulukko
Kyselyyn vastaaja
"GDPR on tuonut tietosuojan näkyvyyttä laajemmin toimijoille Suomessa. Meillä toteutetaan henkilöstölle tietosuojakokeet säännöllisin väliajoin tietoturvallisuuden ja tietosuojan asioista. Myös tietojenkäsittelystä ja tietosuojasta tiedotetaan aika ajoin."
Kyselyyn vastaaja
"Enimmäkseen IT-puolen hallussa, mutta yksittäisissä asioissa esim. oman yksikön omat lomakkeet, minut on jätetty ihan yksin GDPR-asioissa. Oletetaan, että ne ovat hoidossa, ikään kuin GDPR tulisi itsestään. En edes tiedä olenko hoitanut GDPR-asiat niin kuin pitää, mutta se ei kiinnosta ketään."
Previous slide
Next slide

Suomalaiset organisaatiot ovat hyvin tietoisia GDPR-seuraamuksista ja sanktioista

Tutkimuksessa vastaajilta kysyttiin ovatko he tietoisia mahdollisista tietosuojarikkomusten seuraamuksista esimerkiksi sakkojen tai käsittelykieltojen osalta. 95 % oli hyvin selvillä mitä tapahtuu, jos lakia ei noudateta riittävällä tavalla ja ainoastaan noin 5 % ei osaa sanoa tai ei tiedä sanktioista tai mahdollisista muista seuraamuksista.

Vastaajat kommentoivat myös kysymystä hyvin eri lähtökohdista. Osasta vastaajista tuntuu, että organisaatiot ottavat GDPR-asiat nyt enemmän vakavasti ja osa vastaajista koki, että asian kanssa ollaan edelleen tietämättömiä. Sallinen kommentoi asiaa asiantuntijan näkökulmasta: ”Tietosuojaa koskevat asiat ovat vielä hyvin eri tasoilla eri organisaatiossa. Osalle GDPR näyttäytyy ainoastaan pakollisena verkkosivujen evästehyväksyntä-kyselynä, kun taas toisissa organisaatiossa on tehty erinomaisen hienoa työtä ja muutettu toimintatapoja. Tietosuoja-asioista huolehtimalla saadaan toiminnasta kustannustehokkaampaa sekä turvallisempaa – vastuullisuudesta puhumattakaan. Olennaista tietosuojan kannalta on läpinäkyvyys: jokaisen on tiedettävä miten heidän tietoja käsitellään.”

Tietoisuus seuraamuksista, jos lakia ei noudateta - taulukko
Kyselyyn vastaaja
"Pakottaa kaikki toimijat markkinoilla samalle viivalle. Ennen oli toimijoita, jotka lepsuilivat tietosuojan kanssa. Lisää käyttäjien luottamusta."
Kyselyyn vastaaja
"GDPR on täysin väärinymmärretty. Jos oikeasti tehtäisiin tarkastuksia niin kokemuksen mukaan kaikki toimivat vastoin ohjeistuksia jokaisessa yrityksessä, jossa olen toiminut. Tietosuojan ymmärrys, valvonta ja toteutus on edelleen lasten kengissä."
Previous slide
Next slide

Luottamus organisaation omien tietojen suojaamiseen on kuitenkin yleisesti heikko

Vastaajien osalta huolestuttavaa on puutteellinen luottamus organisaatioiden kykyyn suojata omia tietojaan. Kun kysyttiin, oletko huolissasi omista tiedoistasi, vain hieman yli 50 % ei ollut huolissaan. Yli 40 % on ollut huolissaan kumpanakin vuonna,  ja vuoden 2022 osalta määrä on kasvanut parilla prosenttiyksiköllä. Tietosuojan jalkautus ja riskienhallinta vaatii selvästi lisää työtä, jotta saamme luottamusta tietojemme käsittelyyn parannettua.

Oletko huolissasi omista tiedoistasi - taulukko

2020 voimaan tullut tiedonhallintalaki vaikuttaa julkishallintoon

Tutkimuksessa keskityttiin tietosuojalakiin (EU GDPR, TSA tai Suomen tietosuojalaki), mutta haluttiin myös saada tilannekuva tiedonhallintalain vaikutuksesta. Vastaajista osa on töissä julkishallinnossa tai toimittaa palveluita julkishallinnolle. Näissä tapauksissa vuonna 2020 voimaan tullut tiedonhallintalaki vaikuttaa myös osaltaan vastaajaorganisaatioihin. Taustakyselyn tarkoitus oli selvittää, miten isossa osassa joudutaan miettimään kahden varsin suuren muutoksia aiheuttavan lainsäädännön resursointia toimenpiteiden osalta.

Vastaajista yli 40 % koskee myös tiedonhallintalaki, jossa on omia vaatimuksia niin dokumentointiin kuin käytännön toimiin liittyen. ”On huomattava se, että vaikka kyselyssä keskityttiin tietosuoja- ja tiedonhallintalakeihin, niin organisaatioissa henkilötietojen käsittelyä ohjaa monet muutkin lait, kuten osakeyhtiölaki, kirjanpitolaki ja työaikalaki. Näissä laissa on usein tarkentavia ohjeita esimerkiksi tiedonsäilytysaikoihin liittyen.”, Sallinen toteaa.

Koskeeko teitä myös tiedonhallintalaki - taulukko

Tietosuojatyössä riittää yhä kehitettävää

GDPR on varsin nuori asetus ja Suomessa tietosuojalaki on ollut voimassa vasta vuodesta 2019 lähtien. Keskusteluissa ja mediassa nousee esille kuitenkin usein tietosuojalainsäädäntö ja siitä laajemmin tiedottaminen. Yhä useampi kuluttaja on huolissaan omista tiedoistaan ja vaatii organisaatioilta lainmukaisia GDPR-toimia. Suomessa mediaan asti päätyneiden tietomurtojen ja seuraamusten määrä on ollut hyvin pieni verrattuna muihin Euroopan maihin, mutta tämä osittain johtuu maamme pienestä väkiluvusta.

”Vastaajien erilaiset näkemykset ovat samankaltaisia kuin me näemme projekteissa sekä koulutuksissa. Huomattavan paljon on vääriä tulkintoja aiheen osalta ja sen takia koetaan GDPR:n ”kieltävän kaiken”. Niissä organisaatioissa, joissa selvästi on käyty myös toimintamalleja ja otettu tietosuojatyö mukaan arkeen, on saavutettu etuja, kuten toimintojen yhdenmukaisuutta sekä selkiytymistä. Myös luottamus on nostettu useassa vastauksessa esiin – toimimalla avoimesti ja vastuullisesti voidaan parantaa asiakkaiden luottamusta yrityksen toimintaa kohti.”, summaa Sallinen lopuksi.

Lisätietoja

Juha Sallinen | Yrittäjä, tiedonhallinta- ja teknologia-arkkitehti | 040 566 6900 | [email protected]

Ajankohtaista tietoa

Blogista löydät ajankohtaista tietoa, kiinnostavia artikkeleita sekä paljon yksityiskohtaista infoa liittyen tietosuojaan.

Lue myös nämä artikkelit

Jaa kirjoitus somessa

Pyydä tarjous palveluista