Suomalainen yritys GDPR Tech Oy on toteuttanut yhteistyössä kumppaninsa Tutkimusvoiman (Raimo Pöllänen) kanssa tietosuojan nykytilaa koskevaa kyselytutkimusta vuodesta 2021 lähtien. Tutkimus selvittää, miten EU:n yleinen tietosuoja-asetus (GDPR) ja tietosuojalaki ovat vaikuttaneet Suomessa toimivien yritysten ja organisaatioiden toimintaan.
Tutkimustulokset tarjoavat ainutlaatuista ja uutta tietoatietosuoja-asetuksesta ja sen vaikutuksista Suomessa. Tulokset auttavat analysoimaan tietosuojan nykytilaa ja kehitystä suomalaisissa organisaatioissa. Kyselyn sisältö on pysynyt samana vuodesta 2021 lähtien, jotta kehitystä voidaan seurata luotettavasti.
Tietosuojatyötä tehdään organisaatioissa GDPR:n eli EU:n yleisen tietosuoja-asetuksen mukaisesti, ja sitä pidetään yleisesti hyödyllisenä. Poikkeustilanteita harjoitellaan kuitenkin yhä vain noin kolmasosassa organisaatioista.
Tutkimuksen ja vastaajien tarkemmat taustatiedot löydät täältä!
Tärkeimmät tietosuojan noudattamista koskevat tilastot Suomessa vuonna 2024
- Enemmistö vastaajista kokee, että GDPR ja kansallinen tietosuojalaki ovat lisänneet luottamusta henkilötietojen käsittelyyn. Luku on noussut vuoden 2021 71 prosentista vuoden 2024 88 prosenttiin – merkittävä kasvu luottamuksen osalta.
- Lähes neljä viidesosaa vastaajista (78 %) kokee, että GDPR hyödyttää organisaatiota. Tekstivastaukset tukevat tätä esimerkiksi tiedonhallintaan liittyvillä havainnoilla.
- Vastaajien huoli omista henkilötiedoistaan on kasvanut aiemmasta noin 44 prosentin tasosta 54 prosenttiin.
- Edelleen vain 60 % vastaajista kokee, että tietosuojasta huolehditaan riittävästi organisaatioissa.
- Poikkeus- ja katastrofitilanteiden harjoituksia on lisätty aiemmista vuosista, ja nyt noin 39 % organisaatioista on toteuttanut niitä.
Luottamus tietosuojatyöhön kasvaa – myös organisaatiot näkevät hyödyt
Lähes 90 % vastaajista vuonna 2024 kokee, että GDPR ja kansallinen tietosuojalaki ovat parantaneet luottamusta tietojen käsittelyyn. Prosenttiosuus on kasvanut vuoden 2021 71,4 prosentista vuoden 2024 88 prosenttiin, mikä on merkittävä nousu.
Yli 78 % vastaajista kokee, että GDPR hyödyttää organisaatiota. Tämä jatkaa vuodesta 2021 alkanutta suuntausta: alkuvaiheen ajattelu, jossa ”GDPR kieltää kaiken”, on muuttunut. Nyt on huomattu, että tietosuojatyöllä voi olla myös positiivisia vaikutuksia. Tämä heijastuu hyvin myös vastauksissa – osa kokee GDPR:n kuitenkin edelleen haitallisena.

Kuva 1: Luottamus tietojen käsittelyyn – kyllä vastaukset

Kuva 2: Hyödyttääkö GDPR organisaatiotanne – kyllä vastaukset
GDPR ei jäänyt pelkästään IT:n vastuulle
Vuoden 2021 kyselyn mukaan tietosuojatyöstä vastasivat eri yksiköt, kuten IT-, talous-, HR- ja lakiyksiköt. Vuoden 2024 vastauksissa taloushallinnon osuus on hieman yllättäen selvästi pienentynyt.

Kuva 3: Mikä yksikkö/mitkä yksiköt teillä vastaavat tietosuojatyöstä (GDPR:stä)?
Riskienhallinta on kehittynyt ainakin vuoden 2024 osalta. Vuonna 2023 sen sijaan nähtiin laskeva suuntaus, jossa riskejä ei ollut kartoitettu. IT:llä on merkittävä rooli käytännön tietosuojatyössä – erityisesti tietoturvan ja teknisten suojausten osalta – mutta organisaatioiden riskienhallinta ei yleisesti kuulu IT:n vastuualueisiin.
Vuoden 2024 vastauksissa näkyy selvä parannus henkilötietojen riskienhallinnassa. Vastausten taustalla voi olla myös lisääntynyt tietoisuus mediassa esillä olleista tietoturvaloukkauksista.

Kuva 4: Onko organisaatiossanne kartoitettu henkilötietoihin kohdistuvat riskit?
Huolestuttavaa on kysymykseen ”Onko mielestänne teillä huolehdittu tietosuojasta riittävästi?” saadut vastaukset: ”EI” -vastausten osuus on kasvanut 25,5 prosentista vuonna 2023 aina 29 prosenttiin vuonna 2024.
”Asiakastyössä näkee vieläkin sitä, ettei tietosuoja meille kuulu. Esimerkiksi asiakaspalvelun esihenkilö ei suostunut osallistumaan tietosuojavastaavan vetämään vaikutustenarviointi -työpajaan, koska ”ei tietosuoja meille kuulu”. Kyseisessä organisaatiossa koulutusta on ollut tarjolla, mutta kaikki eivät sitä ole suorittaneet – tämä näkyy käytännön työssä.”
Juha Sallinen, Toimitusjohtaja GDPR Tech

Kuva 5: Onko mielestänne teillä huolehdittu tietosuojasta riittävästi?
Joka viidettä työntekijää ei perehdytetä tietosuojaan
Vastaajista 80 % kertoo, että uusille työntekijöille annetaan tietosuojaohjeistus osana perehdytystä. Tämä tarkoittaa, että viidesosa vastaajaorganisaatioista ei kouluta uusia työntekijöitä tietosuojasta perehdytyksen yhteydessä. Osa vastaajista kertoi, että työntekijöitä ei aina muisteta perehdyttää tietosuojaan, ja säännöllinen koulutus puuttuu usein kokonaan.
GDPR Techin toimitusjohtajan Juha Sallisen mukaan käytännön toimet ovat organisaatioissa usein hajanaisia: ”Usein olemme huomanneet tilanteen, jossa organisaatio on kouluttanut henkilöstöään jollain tavalla vuonna 2018, mutta ei sen jälkeen. On myös yleistä, että GDPR- tai tietosuojakoulutuksia on saatavilla, mutta niiden suorittamista ei seurata.”

Kuva 6: Onko GDPR-ohjeistus osana perehdytystä?

Kuva 7: Onko henkilökuntanne koulutettu toimimaan GDPR:n mukaisesti?
Tietoisuus seuraamuksista kasvanut – suhtautuminen GDPR:ään vaihtelee
Tutkimuksessa vastaajilta kysyttiin, ovatko he tietoisia mahdollisista tietosuojarikkomusten seuraamuksista, kuten sakoista tai käsittelykielloista. Kaikki vastaajat (100 %) ilmoittivat olevansa hyvin perillä siitä, mitä tapahtuu, jos lakia ei noudateta riittävällä tavalla. Vuonna 2021 vastaava osuus oli noin 93 %. Oletamme, että tietoisuus on kasvanut muun muassa median esiin nostamien tietosuojasanktioiden myötä.
Vastaajat kommentoivat aihetta myös hyvin erilaisista lähtökohdista. Osa koki, että organisaatiot suhtautuvat nyt GDPR-asioihin entistä vakavammin, kun taas toiset pitivät tietoisuuden tasoa edelleen riittämättömänä.

Kuva 8: Tietoisuus seuraamuksista, jos lakia ei noudateta
Luottamus puuttuu – tietosuoja kaipaa konkretiaa
Vastausten perusteella huolestuttavaa on luottamuksen taso organisaatioiden tietojen suojaamiseen. Kun vastaajilta kysyttiin, ovatko he huolissaan omien tietojensa käsittelystä, enemmistö (54 %) kertoi olevansa huolissaan. Tietosuojan jalkautus ja riskienhallinta vaativat selvästi lisää työtä, jotta luottamusta henkilötietojen käsittelyyn saadaan vahvistettua.

Kuva 9: Oletko huolissasi omista tiedoistasi?
Evästeet seuraavat – mutta harva tietää miten
Kysymys ”Tiedätkö, että verkkosivujen evästeillä seurataan käyttäytymistäsi ja kohdennetaan markkinointia myös muiden tuotteiden osalta?” kartoitti vastaajien tietoisuutta verkkosivujen seurantatekniikoista – ja tulokset ovat huolestuttavia. Kaikista eväste- ja seurantahyväksynnöistä huolimatta vastaajat ovat yhä epävarmoja siitä, mitä verkkosivulla tapahtuu ja mitä heidän tiedoillaan tehdään.
Epäselvyyttä lisää todennäköisesti se, että Suomessa verkkosivujen käyttäjäseurantaa valvoo Tietosuojavaltuutetun sijaan Traficom, jonka ohjeistukset aiheesta julkaistiin jo vuonna 2021. Nämä ohjeet ovat todennäköisesti jääneet monelta huomaamatta. Suomessa ei edelleenkään näyttäisi olevan seurauksia tai sanktioita viranomaisohjeiden vastaisesta seurantateknologioiden käytöstä.

Kuva 10: Tiedätkö, että verkkosivujen evästeillä seurataan käyttäytymistäsi ja kohdennetaan markkinointia myös muiden tuotteiden osalta?
Tietosuojatyö kaipaa jatkuvuutta – projektit eivät yksin riitä
Neljän vuoden vastausten perusteella näyttää siltä, että monessa organisaatiossa tietosuojatoimia on toteutettu projektiluonteisesti, mutta niiden jalkautus osaksi arkea on jäänyt puutteelliseksi. Vaikka GDPR on yhä suhteellisen nuori asetus, myös käyttäjien tietoisuus on selvästi kasvussa.
Keskusteluissa ja mediassa nousevat usein esiin tietosuojalainsäädäntö ja siihen liittyvä viestinnän tarve. Yhä useampi kuluttaja on huolissaan omista henkilötiedoistaan ja odottaa organisaatioilta lainmukaista toimintaa myös GDPR:n osalta.
Suomessa mediaan asti päätyneiden tietomurtojen ja seuraamusten määrä on edelleen hyvin pieni verrattuna moniin muihin Euroopan maihin. Tämä selittyy osin maamme pienellä väkiluvulla.
Vastaajien kommenteissa nousevat esiin tekoälyyn, tiedonkäyttöön ja kustannuksiin liittyvät huolet. Näkemykset ovat samankaltaisia kuin projekteissa ja koulutuksissa. GDPR:stä esiintyy edelleen vääriä tulkintoja, mikä johtaa siihen, että sitä pidetään liian rajoittavana. Organisaatioissa, joissa tietosuojatyö on integroitu osaksi arkea, on saavutettu selkeitä hyötyjä, kuten toimintojen yhdenmukaisuus, selkeytyminen ja prosessien tehostuminen. Luottamus on keskeistä – avoimuudella ja vastuullisuudella voidaan vahvistaa asiakkaiden luottamusta yritykseen”, Sallinen summaa lopuksi.
Lisätietoja:
Juha Sallinen
Yrittäjä, tiedonhallinta- ja teknologia-arkkitehti
GDPR Tech
040 5666 900
[email protected]