Suomalaiset organisaatiot toteuttavat tietosuojatyötä ja noudattavat EU:n yleistä tietosuoja-asetusta, henkilötietojen suojaamiseksi. Organisaatiot myös kokevat hyötyvänsä tästä toiminnasta. Kuitenkin vain alle kolmasosassa organisaatioista harjoitellaan poikkeustilanteita.
Suomalainen yritys GDPR Tech Oy on yhdessä Garagelabs Oy:n kanssa toteuttanut vuodesta 2021 lähtien kyselytutkimuksen, joka keskittyy tietosuojan nykytilaan. Tutkimuksessa selvitetään, miten EU:n yleinen tietosuoja-asetus (EU GDPR), tietosuojalaki (TSA) tai vastaavat säännökset ovat vaikuttaneet Suomessa toimivien yritysten ja organisaatioiden toimintaan.
Tutkimustulokset tarjoavat ainutlaatuista ja uniikkia tietoa tietosuoja-asetuksesta sekä sen vaikutuksista Suomessa. Tämä data mahdollistaa tietosuojan nykytilan ja sen vastaanoton analysoinnin Suomessa. Kysely on ollut samanlainen vuodesta 2021 lähtien, jotta voimme seurata aiheen kehitystä ja muutoksia ajan myötä.
Tutkimuksen ja vastaajien tarkemmat taustatiedot löydät täältä!
Tärkeimmät tietosuojan noudattamista koskevat tilastot Suomessa vuonna 2023
-
- Vastaajista enemmistö kokee, että GDPR sekä kansallinen tietosuojalaki, on parantanut vastaajan luottamusta hänen tietojensa käsittelyyn. Määrä on noussut vuoden 2021 71,4 prosentista vuoden 2023 78,0 % – merkittävä kasvu luottamuksen osalta.
-
- Vain 60 % vastaajista kuitenkin kokee, että tietosuojasta huolehditaan riittävästi organisaatiossa
-
- Erityisesti julkishallintoa, mutta myös muita sidosryhmiä, koskee tiedonhallintalaki, joka koski yli 43 prosenttia vastaajista vuonna 2023.
-
- Pääosa vastaajista (yli 80 %) tietää, kuka on heidän organisaationsa tietosuojavastaava.
-
- Poikkeus- ja katastrofitilanteiden harjoituksia on lisätty, mutta silti vain noin kolmasosassa organisaatioista (vuonna 2023 31,4 %) toteuttaa niitä.
Luottamus tietojenkäsittelyyn ja hyötyjen havaitseminen ovat edelleen kasvussa
Vuonna 2023 lähes 80 prosenttia vastaajista tuntee, että GDPR ja kansallinen tietosuojalaki ovat parantaneet luottamusta tietojen käsittelyyn. Tämä on kasvua vuoden 2021 71,4 prosentista vuoden 2023 78 prosenttiin.
Vastaajista yli 68 prosenttia kokee GDPR:n hyödyttävän organisaatiota. Tämä on jatkoa vuoden 2021 trendille, jossa alun perin ”GDPR kieltää kaiken” -asenteesta on huomattu, että tietosuojatyöllä voi olla myös positiivisia vaikutuksia. Tämä näkyy selvästi myös vastaajien asenteissa, vaikka osa kokee edelleen GDPR:n haittana.
Kuva 1: Luottamus tietojen käsittelyyn – kyllä vastaukset
Kuva 2: Hyödyttääkö GDPR organisaatiotanne – kyllä vastaukset
Joka viides katsoo, että GDPR:n toteutus on pelkästään IT-osaston vastuulla
Vuoden 2021 kyselyn perusteella eri yksiköt, kuten IT, talous, HR ja lakiyksiköt, vastasivat tietosuojatyöstä. Lakiyksikön osuus tietosuojatyöhön liittyvistä asioista oli jopa kolmasosa vastaajien mukaan. Vuosien 2022 ja 2023 kyselyissä lakiyksikön osuus putosi alle 28 prosenttiin.
Vuoden 2023 kyselyssä noin viidennes vastaajista oli sitä mieltä, että GDPR oli jäänyt pelkästään IT:n vastuulle. Huolta herättää erityisesti riskienhallinta ja Vuonna 2023 havaittiinkin laskeva suuntaus, ettei riskejä ollut kartoitettu riittävästi. On myös tärkeää muistaa, että vaikka käytännön tietosuojatyötä, erityisesti teknisten suojausten osalta, tehdään pääasiassa IT:ssä, organisaation riskienhallinta ei yleisesti ottaen kuulu IT:n vastuualueisiin.
Kuva 3: Onko GDPR jäänyt vain IT:n vastuulle?
Kuva 4: Onko organisaatiossanne kartoitettu henkilötietoihin kohdistuvat riskit?
Huolta herättävää on myös vastaus kysymykseen ”Onko mielestänne teillä huolehdittu tietosuojasta riittävästi”, jossa neljäsosa vastaajista (25,5 %) vastasi kieltävästi.
”Olemme vuosien ajan tehneet organisaatioiden kanssa tietosuojan tilannekuvakartoituksia, ja tässä on nähtävissä henkilöstön tietoisuuden kasvaminen. Ihmiset ovat nyt kriittisempiä organisaation toimintatapojen suhteen ja he tuovat avoimemmin esiin havaintojaan. Erityisesti keskisuurissa yrityksissä riskienhallinta ei välttämättä kata tietosuojan riskejä osana jatkuvaa riskienhallintaa, vaan tietosuoja saattaa toimia omassa erillään olevassa prosessissaan.”
Juha Sallinen, Toimitusjohtaja GDPR Tech
Kuva 5: Onko mielestänne teillä huolehdittu tietosuojasta riittävästi?
Vähintään joka neljättä työntekijää ei perehdytetä tietosuojaan
Vastaajista hieman yli 60 prosenttia ilmoittaa, että uusille työntekijöille annetaan tietosuojaohjeistus osana perehdytystä. Huolestuttavaa on kuitenkin, että vuoden 2021 hyvistä tuloksista, jolloin lähes 90 prosenttia henkilöstöstä oli koulutettu GDPR:ään liittyen, luku on laskenut 75 prosenttiin vuonna 2023. Samalla neljäsosa vastaajista ei kouluta uusia työntekijöitä tietosuojan osalta osana perehdytystä.
Osa vastaajista mainitsi, että työntekijöitä ei aina muisteta perehdyttää tietosuojaan, ja lisäksi säännöllinen koulutus puuttuu. GDPR Techin toimitusjohtaja Juha Sallisen mukaan käytännön toimet ovat organisaatioissa usein hajanaisia: ”Olemme usein havainneet tilanteen, jossa organisaatio on kouluttanut henkilöstöään jollain tavalla vuonna 2018, mutta sen jälkeen ei ole tapahtunut mitään. On myös yleistä, että GDPR- ja tietosuojakoulutuksia on saatavilla, mutta niiden suoritusta ei seurata.”
Kuva 6: Onko GDPR-ohjeistus osana perehdytystä?
Kuva 7: Onko henkilökuntanne koulutettu toimimaan GDPR:n mukaisesti?
Suomalaiset organisaatiot ovat tietoisia GDPR seuraamuksista ja sanktioista
Tutkimuksessa vastaajilta kysyttiin ovatko he tietoisia mahdollisista tietosuojarikkomusten seuraamuksista esimerkiksi sakkojen tai käsittelykieltojen osalta. 100 % oli hyvin selvillä mitä tapahtuu, jos lakia ei noudateta riittävällä tavalla. Vuonna 2021 vastaava luku oli noin 93 prosenttia, ja oletamme, että tietoisuuden lisääntymiseen ovat vaikuttaneet myös mediassa aika ajoin esillä olleet tietosuojarikkomuksia koskevat uutiset.
Osa heistä koki, että organisaatiot ottavat GDPR-asian nyt vakavammin, kun taas osa vastaajista koki, että asian kanssa edelleen ollaan tietämättömiä. Yksi kyselyyn vastaaja muun muassa kommentoi: ”Hidastaa ja hankaloittaa kovasti, vaikka koenkin tärkeäksi. On myös jatkuva huoli ja pelko, että onko tehnyt jotain väärin.”
Kuva 8: Tietoisuus seuraamuksista, jos lakia ei noudateta.
Luottamus omien tietojen suojaamiseen organisaatiotasolla on yleisesti heikko
Vastaajien osalta huolestuttavaa on luottamus organisaatioiden kykyyn suojata tietoja. Kun kysyttiin, oliko vastaajat huolissaan omien tietojensa käsittelystä, vain hieman yli 50 prosenttia ilmoitti, ettei ole huolissaan. Yli 40 prosenttia vastaajista vuosina 2021–2023 kuitenkin kertoi olevansa huolissaan omien tietojensa käsittelystä. Tietosuojan jalkautus ja riskienhallinta vaativat selvästi lisää työtä, jotta voimme parantaa luottamusta tietojemme käsittelyyn.
Kuva 9: Oletko huolissasi omista tiedoistasi?
Verkkosivujen evästeet ja kävijäseuranta ei ole kaikille selvä asia
Kysymys, jossa ”Tiedätkö, että verkkosivujen evästeillä seurataan käyttäytymistäsi ja kohdennetaan markkinointia myös muiden tuotteiden osalta” haettiin vastaajien tietoisuutta verkkosivujen seurantatekniikoista. Vastaukset antavat huolestuttavaa tietoa. Huolimatta evästeiden ja seurantahyväksyntöjen myöntämisestä, vastaajat ovat vähemmän tietoisia siitä, mitä verkkosivuilla tapahtuu ja siten myös vähemmän tietoisia siitä, miten heidän tietojaan käytetään.
Tämä saattaa aiheuttaa hämmennystä, sillä Suomessa esimerkiksi verkkosivujen käyttäjien seuranta kuuluu Traficomin valvontaan ja ohjeistukseen eikä Tietosuojavaltuutetulle. Monilta on mahdollisesti jäänyt huomaamatta Traficomin vuonna 2021 antamat ohjeistukset sekä Suomessa näyttää siltä, että evästeiden käsittelystä ei ole tulossa sanktioita.
Kuva 10: Tiedätkö, että verkkosivujen evästeillä seurataan käyttäytymistäsi ja kohdennetaan markkinointia myös muiden tuotteiden osalta?
Tietosuojatyössä riittää edelleen kehitettävää
Kolmen vuoden aikana saadut vastaukset viittaavat siihen, että monissa organisaatioissa on toteutettu GDPR-toimia projektina, mutta nämä toimet ovat jääneet siirtämättä osaksi arkipäivän toimintaa. Vaikka GDPR on edelleen suhteellisen uusi asetus, käyttäjien tietoisuus siitä kasvaa jatkuvasti. Keskusteluissa ja mediassa käsitellään usein tietosuojalainsäädäntöä ja sen tiedottamista laajemmin.
Suomessa tiedotusvälineisiin päätyneiden tietomurtojen ja niistä seuranneiden seuraamusten määrä on ollut verrattain pieni muihin Euroopan maihin verrattuna. Silti yhä useampi kuluttaja on kuitenkin huolissaan omista tiedoistaan ja odottaa organisaatioilta lainmukaista toimintaa myös GDPR:n osalta.
”Ensimmäistä kertaa vastaajien kommenteissa nousee esiin myös tekoäly ja tiedonkäyttö – tämä oli hyvin mielenkiintoista. Vastaajien erilaiset näkemykset muistuttavat meitä projekteissa ja koulutuksissa näkemistämme haasteista. Olemme huomanneet väärinkäsityksiä aiheen suhteen, minkä vuoksi osa edelleen kokee GDPR:n ”kieltävän kaiken”.
Organisaatioissa, joissa toimintamallit on selvästi määritelty ja tietosuojatyö on osa päivittäistä toimintaa, on saavutettu etuja, kuten toimintojen yhdenmukaisuutta ja selkeyttä. Prosessien tehostuminen ja toiminnan selkeytyminen on havaittu myös vastaajien keskuudessa. Luottamuksen merkitystä korostetaankin useissa vastauksissa – avoimuudella ja vastuullisella toiminnalla voidaan parantaa asiakkaiden luottamusta yritykseen”, Sallinen summaa lopuksi.
Lisätietoja:
Juha Sallinen
Yrittäjä, tiedonhallinta- ja teknologia-arkkitehti
GDPR Tech
040 5666 900
[email protected]