Tietosuoja-asetus tunnetaan, mutta käytännön soveltamisessa riittää vielä haasteita

Kolme vuotta sitten voimaan astunut tietosuoja-asetus vaikuttaisi olevan yrityksille tuttu asia. Yritysten tietämystä ja haasteita kartoitettiin maaliskuussa tietosuojavaltuutetun toimiston ja TIEKEn verkkokyselyssä. Vastaajia oli noin 350. Vastaajista suurin osa oli alle viiden henkilön kaupallisen alan yrityksiä.

Erikokoiset yritykset kokivat tietosuojan asettamat vaatimukset eri tavoin. Mitä suurempi yritys, sitä paremmin tietosuoja-asetuksen vaatimuksista oltiin tietoisia. Suurissa yrityksissä oli tehty eniten töitä vaatimusten täyttämiseksi. Vastaavasti pienemmissä yrityksissä tietoisuus vaatimuksista oli vaatimattomampaa, ja myös vaatimusten täyttämiseksi oli tehty vähemmän töitä. 

Suuremmissa, yli 20 hlön yrityksissä tietosuojahaasteet ovat laajempia tai ne ainakin koetaan sellaisiksi. Suuremmista yrityksistä lähes 70 % oli turvautunut ulkopuoliseen apuun. Pienemmät yritykset näyttivät suhtautuivan ulkopuolisten apuun varauksellisemmin, sillä vain 30 % oli hankkinut yrityksen ulkopuolista apua tietosuoja-asetuksen soveltamiseen liittyvissä kysymyksissä. Tähän syynä voi olla esimerkiksi lakiasiantoimistojen tai konsulttien avun korkea hinta, jota pienet yritykset eivät ole valmiita maksamaan. 

Pienimpiä yrityksiä olikin auttanut tietosuoja-asioissa useimmiten verkkopalvelun tarjoaja tai muu tietotekniikkapalveluja tarjoava kumppani. Omaan tai ulkopuolisen osaamiseen oltiin pääosin tyytyväisiä: suurista yrityksistä 70 % vastasi, että tietosuoja-asetusta on osattu soveltaa käytännössä yrityksen liiketoiminnassa hyvin tai erittäin hyvin. Pienistä yrityksistä 60 % oli tyytyväinen soveltamisen tasoon. 

Yllättävää kuitenkin oli, että yli 80 % suurten yritysten edustajista koki tietosuoja-asetuksen edelleen asettavan haasteita. Pienten yritysten osalta vastaava osuus oli yli 60 %. Voisiko olla niin, että viime talven tietomurtouutiset ovat saaneet yritykset epäilemään oman tietosuojansa pitävyyttä? Tämä on saattanut herättää yritykset siihen, että tietosuoja-asetuksessa on osa-alueita, jotka ovat jääneet yrityksessä vähemmälle huomiolle. Onko myös niin, että suuremmilla yrityksillä on toimintaa laajemmin ja näin myös enemmän huomioon otettavia asioita?

Vastausten perusteella haasteellisimmiksi osa-alueiksi koettiin osoitusvelvollisuus ja käsittelyn turvallisuus eli tietoturvaan liittyvät vaatimukset. Myös tietosuojaa koskevat vaikutustenarvioinnit, rekisteröityjen informointi ja rekisteröityjen oikeudet olivat osa-alueita, joihin liittyen yritykset toivovat saavansa apua. 

Kartoitimme myös sitä, millaisesta käytännön avusta olisi yrityksille eniten hyötyä. Otaksuttavasti korona-aikana opittu etätyöskentely näkyi vastauksissa: suosituimpia vaihtoehtoja olivat erilaiset tarkistuslistat, kirjalliset ohjeet ja webinaarit. Sitä vastoin koulutustilaisuuksista oli kiinnostunut vai joka neljäs.

Pk-yritysten tietosuojaosaamista kartoittava kysely toteutettiin osana tietosuojavaltuutetun toimiston ja TIEKEn GDPR2DSM-yhteistyöhanketta (GDPR opening doors to the digital single market: SME centric online tools and support for leveraging the opportunity). Hankkeen tavoitteena on auttaa suomalaisia yrityksiä parantamaan tietosuojaosaamistaan ja helpottaa tätä kautta pääsyä EU:n sisämarkkinoille. Hanketta rahoittaa Euroopan unionin Perusoikeudet, tasa-arvo ja kansalaisuus -ohjelma (Rights, Equality and Citizenship Programme).

Pienet yritykset = alle 5 henkilöä. Vastauksia 197 kpl 

Keskisuuret yritykset = 5-19 henkilöä. Vastauksia 64 kpl 

Suuret yritykset = yli 20 henkilöä. Vastauksia 80 kpl 

Vastaajat olivat luokitelleet itsensä seuraavasti: Teollisuus 35 kpl, Kauppa 35 kpl, Rakentaminen 32 kpl, Palvelut 204 kpl, Muut 64 kpl. Vastaajat pystyivät luokittelemaan itsensä useampaan kuin yhteen luokkaan.