Tietosuojatutkimus 2023: GDPR hyödyttää organisaatioita, mutta siihen ei panosteta riittävästi

Suomalaiset organisaatiot toteuttavat tietosuojatyötä ja noudattavat EU:n yleistä tietosuoja-asetusta, henkilötietojen suojaamiseksi. Organisaatiot myös kokevat hyötyvänsä tästä toiminnasta. Kuitenkin vain alle kolmasosassa organisaatioista harjoitellaan poikkeustilanteita.

Suomalainen yritys GDPR Tech Oy on yhdessä Garagelabs Oy:n kanssa toteuttanut vuodesta 2021 lähtien kyselytutkimuksen, joka keskittyy tietosuojan nykytilaan. Tutkimuksessa selvitetään, miten EU:n yleinen tietosuoja-asetus (EU GDPR), tietosuojalaki (TSA) tai vastaavat säännökset ovat vaikuttaneet Suomessa toimivien yritysten ja organisaatioiden toimintaan.

Tutkimustulokset tarjoavat ainutlaatuista ja uniikkia tietoa tietosuoja-asetuksesta sekä sen vaikutuksista Suomessa. Tämä data mahdollistaa tietosuojan nykytilan ja sen vastaanoton analysoinnin Suomessa. Kysely on ollut samanlainen vuodesta 2021 lähtien, jotta voimme seurata aiheen kehitystä ja muutoksia ajan myötä.

Tutkimuksen ja vastaajien tarkemmat taustatiedot löydät täältä!

Tärkeimmät tietosuojan noudattamista koskevat tilastot Suomessa vuonna 2023

      • Vastaajista enemmistö kokee, että GDPR sekä kansallinen tietosuojalaki, on parantanut vastaajan luottamusta hänen tietojensa käsittelyyn. Määrä on noussut vuoden 2021 71,4 prosentista vuoden 2023 78,0 % – merkittävä kasvu luottamuksen osalta.

      • Vain 60 % vastaajista kuitenkin kokee, että tietosuojasta huolehditaan riittävästi organisaatiossa

      • Erityisesti julkishallintoa, mutta myös muita sidosryhmiä, koskee tiedonhallintalaki, joka koski yli 43 prosenttia vastaajista vuonna 2023.

      • Pääosa vastaajista (yli 80 %) tietää, kuka on heidän organisaationsa tietosuojavastaava.

      • Poikkeus- ja katastrofitilanteiden harjoituksia on lisätty, mutta silti vain noin kolmasosassa organisaatioista (vuonna 2023 31,4 %) toteuttaa niitä.


    Luottamus tietojenkäsittelyyn ja hyötyjen havaitseminen ovat edelleen kasvussa

    Vuonna 2023 lähes 80 prosenttia vastaajista tuntee, että GDPR ja kansallinen tietosuojalaki ovat parantaneet luottamusta tietojen käsittelyyn. Tämä on kasvua vuoden 2021 71,4 prosentista vuoden 2023 78 prosenttiin.

    Vastaajista yli 68 prosenttia kokee GDPR:n hyödyttävän organisaatiota. Tämä on jatkoa vuoden 2021 trendille, jossa alun perin “GDPR kieltää kaiken” -asenteesta on huomattu, että tietosuojatyöllä voi olla myös positiivisia vaikutuksia. Tämä näkyy selvästi myös vastaajien asenteissa, vaikka osa kokee edelleen GDPR:n haittana.

    Kyselyyn vastaaja
    Ymmärryksen puuttumisen seurauksena tehdään lukuisia turhia tietojenkäsittelysopimuksia, dokumentteja ja selvityksiä. Hyötynä näen kasvavan huomion tietosuoja-asioihin vaikkakin toimenpiteet ovat vielä pääosin tehty muodollisuuksien täyttämiseksi todellisen tietosuojan parantamisen sijasta.
    Kyselyyn vastaaja
    Kustannuksia syntyy ja toteutetaan tietojumppaa, digiloikkaa ja kartoituskävelyitä, mutta työ ei muutu, koska se ei voi muuttua.
    Kyselyyn vastaaja
    Datan käsittely on nykyään paljon järjestelmällisempää, joka on helpottanut mm. tiedon löytämistä. Haittana on dokumentointi ja tuon tiedon ylläpitäminen. Uhkana koen edelleen sen, että ihmiset eivät noudata näitä säädöksiä ja siten tulee tietovuotoja. Mahdollisuutena koen, että tiedosta yleisesti tulee paremmin järjesteltävää ja hallittavaa
    Previous slide
    Next slide

    Kuva 1: Luottamus tietojen käsittelyyn – kyllä vastaukset

     

    Kuva 2: Hyödyttääkö GDPR organisaatiotanne – kyllä vastaukset

     

    Joka viides katsoo, että GDPR:n toteutus on pelkästään IT-osaston vastuulla

    Vuoden 2021 kyselyn perusteella eri yksiköt, kuten IT, talous, HR ja lakiyksiköt, vastasivat tietosuojatyöstä. Lakiyksikön osuus tietosuojatyöhön liittyvistä asioista oli jopa kolmasosa vastaajien mukaan. Vuosien 2022 ja 2023 kyselyissä lakiyksikön osuus putosi alle 28 prosenttiin.

    Vuoden 2023 kyselyssä noin viidennes vastaajista oli sitä mieltä, että GDPR oli jäänyt pelkästään IT:n vastuulle. Huolta herättää erityisesti riskienhallinta ja Vuonna 2023 havaittiinkin laskeva suuntaus, ettei riskejä ollut kartoitettu riittävästi. On myös tärkeää muistaa, että vaikka käytännön tietosuojatyötä, erityisesti teknisten suojausten osalta, tehdään pääasiassa IT:ssä, organisaation riskienhallinta ei yleisesti ottaen kuulu IT:n vastuualueisiin.

    Kuva 3: Onko GDPR jäänyt vain IT:n vastuulle?

     

    Kuva 4: Onko organisaatiossanne kartoitettu henkilötietoihin kohdistuvat riskit?


    Huolta herättävää on myös vastaus kysymykseen “Onko mielestänne teillä huolehdittu tietosuojasta riittävästi”, jossa neljäsosa vastaajista (25,5 %) vastasi kieltävästi.

    ”Olemme vuosien ajan tehneet organisaatioiden kanssa tietosuojan tilannekuvakartoituksia, ja tässä on nähtävissä henkilöstön tietoisuuden kasvaminen. Ihmiset ovat nyt kriittisempiä organisaation toimintatapojen suhteen ja he tuovat avoimemmin esiin havaintojaan. Erityisesti keskisuurissa yrityksissä riskienhallinta ei välttämättä kata tietosuojan riskejä osana jatkuvaa riskienhallintaa, vaan tietosuoja saattaa toimia omassa erillään olevassa prosessissaan.”

    Juha Sallinen, Toimitusjohtaja GDPR Tech

    Kuva 5: Onko mielestänne teillä huolehdittu tietosuojasta riittävästi?

    Kyselyyn vastaaja
    Tietoisuus tietosuojaan liittyvistä kysymyksistä on oleellisesti parantunut, prosesseja on kehitetty jne.
    Kyselyyn vastaaja
    Riski on vanhat järjestelmät, osittain ulkopuoliset järjestelmien käyttäjät, ihmiset eivät ymmärrä myöskään tietosuojalain tarkoitusta tai miten se vaikuttaa heidän työhönsä.
    Previous slide
    Next slide

     

    Vähintään joka neljättä työntekijää ei perehdytetä tietosuojaan

    Vastaajista hieman yli 60 prosenttia ilmoittaa, että uusille työntekijöille annetaan tietosuojaohjeistus osana perehdytystä. Huolestuttavaa on kuitenkin, että vuoden 2021 hyvistä tuloksista, jolloin lähes 90 prosenttia henkilöstöstä oli koulutettu GDPR:ään liittyen, luku on laskenut 75 prosenttiin vuonna 2023. Samalla neljäsosa vastaajista ei kouluta uusia työntekijöitä tietosuojan osalta osana perehdytystä.

    Osa vastaajista mainitsi, että työntekijöitä ei aina muisteta perehdyttää tietosuojaan, ja lisäksi säännöllinen koulutus puuttuu. GDPR Techin toimitusjohtaja Juha Sallisen mukaan käytännön toimet ovat organisaatioissa usein hajanaisia: “Olemme usein havainneet tilanteen, jossa organisaatio on kouluttanut henkilöstöään jollain tavalla vuonna 2018, mutta sen jälkeen ei ole tapahtunut mitään. On myös yleistä, että GDPR- ja tietosuojakoulutuksia on saatavilla, mutta niiden suoritusta ei seurata.”

    Kyselyyn vastaaja
    Tietojen kalasteluyrityksiä on paljon, joten vaatii paljon panostusta tietosuojaan ja tietoturvaan, mutta se on toki muutenkin olennaista alalla kuin alalla, ja ymmärrettävää. Lisäksi käsittelemme sensitiivistä tietoa, joten erityisen tärkeää on varmistaa, että kaikki ymmärtävät tietosuojan tärkeyden, eikä sitä pidetä pakollisena pahana tai siitä luistettaisiin.
    Kyselyyn vastaaja
    GDPR on täysin turhaa ajan ja resurssien käyttöä. Mikään ei muuttunut paitsi verkkosivustot ovat täynnä pop-uppeja ja kaikki on hankalampaa.
    Previous slide
    Next slide

    Kuva 6: Onko GDPR-ohjeistus osana perehdytystä?

     

    Kuva 7: Onko henkilökuntanne koulutettu toimimaan GDPR:n mukaisesti?

     

    Suomalaiset organisaatiot ovat tietoisia GDPR seuraamuksista ja sanktioista

    Tutkimuksessa vastaajilta kysyttiin ovatko he tietoisia mahdollisista tietosuojarikkomusten seuraamuksista esimerkiksi sakkojen tai käsittelykieltojen osalta. 100 % oli hyvin selvillä mitä tapahtuu, jos lakia ei noudateta riittävällä tavalla. Vuonna 2021 vastaava luku oli noin 93 prosenttia, ja oletamme, että tietoisuuden lisääntymiseen ovat vaikuttaneet myös mediassa aika ajoin esillä olleet tietosuojarikkomuksia koskevat uutiset.

    Osa heistä koki, että organisaatiot ottavat GDPR-asian nyt vakavammin, kun taas osa vastaajista koki, että asian kanssa edelleen ollaan tietämättömiä. Yksi kyselyyn vastaaja muun muassa kommentoi: “Hidastaa ja hankaloittaa kovasti, vaikka koenkin tärkeäksi. On myös jatkuva huoli ja pelko, että onko tehnyt jotain väärin.”

     

    Kuva 8: Tietoisuus seuraamuksista, jos lakia ei noudateta.

     

    Luottamus omien tietojen suojaamiseen organisaatiotasolla on yleisesti heikko

    Vastaajien osalta huolestuttavaa on luottamus organisaatioiden kykyyn suojata tietoja. Kun kysyttiin, oliko vastaajat huolissaan omien tietojensa käsittelystä, vain hieman yli 50 prosenttia ilmoitti, ettei ole huolissaan. Yli 40 prosenttia vastaajista vuosina 2021–2023 kuitenkin kertoi olevansa huolissaan omien tietojensa käsittelystä. Tietosuojan jalkautus ja riskienhallinta vaativat selvästi lisää työtä, jotta voimme parantaa luottamusta tietojemme käsittelyyn.

    Kuva 9: Oletko huolissasi omista tiedoistasi?

     

    Verkkosivujen evästeet ja kävijäseuranta ei ole kaikille selvä asia

    Kysymys, jossa ”Tiedätkö, että verkkosivujen evästeillä seurataan käyttäytymistäsi ja kohdennetaan markkinointia myös muiden tuotteiden osalta” haettiin vastaajien tietoisuutta verkkosivujen seurantatekniikoista. Vastaukset antavat huolestuttavaa tietoa. Huolimatta evästeiden ja seurantahyväksyntöjen myöntämisestä, vastaajat ovat vähemmän tietoisia siitä, mitä verkkosivuilla tapahtuu ja siten myös vähemmän tietoisia siitä, miten heidän tietojaan käytetään.

    Tämä saattaa aiheuttaa hämmennystä, sillä Suomessa esimerkiksi verkkosivujen käyttäjien seuranta kuuluu Traficomin valvontaan ja ohjeistukseen eikä Tietosuojavaltuutetulle. Monilta on mahdollisesti jäänyt huomaamatta Traficomin vuonna 2021 antamat ohjeistukset sekä Suomessa näyttää siltä, että evästeiden käsittelystä ei ole tulossa sanktioita.

    Kuva 10: Tiedätkö, että verkkosivujen evästeillä seurataan käyttäytymistäsi ja kohdennetaan markkinointia myös muiden tuotteiden osalta?

    Kyselyyn vastaaja
    Tietojen kalasteluyrityksiä on paljon, joten vaatii paljon panostusta tietosuojaan ja tietoturvaan, mutta se on toki muutenkin olennaista alalla kuin alalla, ja ymmärrettävää. Lisäksi käsittelemme sensitiivistä tietoa, joten erityisen tärkeää on varmistaa, että kaikki ymmärtävät tietosuojan tärkeyden, eikä sitä pidetä pakollisena pahana tai siitä luistettaisiin.
    Kyselyyn vastaaja
    GDPR on täysin turhaa ajan ja resurssien käyttöä. Mikään ei muuttunut paitsi verkkosivustot ovat täynnä pop-uppeja ja kaikki on hankalampaa.
    Previous slide
    Next slide

    Tietosuojatyössä riittää edelleen kehitettävää

    Kolmen vuoden aikana saadut vastaukset viittaavat siihen, että monissa organisaatioissa on toteutettu GDPR-toimia projektina, mutta nämä toimet ovat jääneet siirtämättä osaksi arkipäivän toimintaa. Vaikka GDPR on edelleen suhteellisen uusi asetus, käyttäjien tietoisuus siitä kasvaa jatkuvasti. Keskusteluissa ja mediassa käsitellään usein tietosuojalainsäädäntöä ja sen tiedottamista laajemmin.

    Suomessa tiedotusvälineisiin päätyneiden tietomurtojen ja niistä seuranneiden seuraamusten määrä on ollut verrattain pieni muihin Euroopan maihin verrattuna. Silti yhä useampi kuluttaja on kuitenkin huolissaan omista tiedoistaan ja odottaa organisaatioilta lainmukaista toimintaa myös GDPR:n osalta.

    Ensimmäistä kertaa vastaajien kommenteissa nousee esiin myös tekoäly ja tiedonkäyttö – tämä oli hyvin mielenkiintoista. Vastaajien erilaiset näkemykset muistuttavat meitä projekteissa ja koulutuksissa näkemistämme haasteista. Olemme huomanneet väärinkäsityksiä aiheen suhteen, minkä vuoksi osa edelleen kokee GDPR:n “kieltävän kaiken”.

    Organisaatioissa, joissa toimintamallit on selvästi määritelty ja tietosuojatyö on osa päivittäistä toimintaa, on saavutettu etuja, kuten toimintojen yhdenmukaisuutta ja selkeyttä. Prosessien tehostuminen ja toiminnan selkeytyminen on havaittu myös vastaajien keskuudessa. Luottamuksen merkitystä korostetaankin useissa vastauksissa – avoimuudella ja vastuullisella toiminnalla voidaan parantaa asiakkaiden luottamusta yritykseen”, Sallinen summaa lopuksi.

    Lisätietoja:

    Juha Sallinen
    Yrittäjä, tiedonhallinta- ja teknologia-arkkitehti
    GDPR Tech

    040 5666 900
    [email protected]

    Ajankohtaista tietoa

    Blogista löydät ajankohtaista tietoa, kiinnostavia artikkeleita sekä paljon yksityiskohtaista infoa liittyen tietosuojaan.

    Lue myös nämä artikkelit

    Jaa kirjoitus somessa

    Pyydä tarjous palveluista