EU:n yleisen tietosuoja-asetuksen GDPR:n voimaantulo vaikutti erityisesti pieni- ja keskikokoisten, tietointensiivisten yritysten kannattavuuteen, käy ilmi tänään julkaistusta tutkimuksesta. Tiukentuneen tietosuojasääntelyn kustannukset olivat sen voimassaolon ensimmäisenä kalenterivuotena mittavat ainakin osalle eurooppalaisia yrityksiä. Tietointensiivisten yritysten voittomarginaalit kasvoivat vähemmän kuin vastaavissa yhdysvaltalaisissa yrityksissä.
Etlan tänään julkistaman tutkimuksen mukaan EU:n yleinen tietosuoja-asetus eli GDPR vaikutti lyhyellä aikavälillä ainakin paljon dataa käsittelevien eurooppalaisten pk-yritysten kannattavuuteen. Etlan tutkimusjohtajan Heli Kosken ja tutkija Nelli Valmarin raportin ”Short-term Impacts of the GDPR on Firm Performance” (ETLA Working Papers 77) mukaan tiukentuneen tietosuojasääntelyn kustannukset olivat osalle yrityksistä ensimmäisenä vuotena jopa mittavat.
Tietointensiivisten yritysten voittomarginaalit kasvoivat asetuksen voimaantullessa selvästi vähemmän kuin vastaavissa yhdysvaltalaisissa yrityksissä. Keskimäärin voittomarginaali oli 1,7 – 3,4 prosenttiyksikköä pienempi. GDPR vaikutti eniten pieni- ja keskikokoisten tietointensiivisten eurooppalaisten yritysten kannattavuuteen, kun taas isojen yritysten voittoihin asetus vaikutti suhteellisesti vähemmän.
– Tutkimuksessa kävi ilmi myös, ettei hyvin suurten eurooppalaisten ja yhdysvaltalaisten tietointensiivisten yritysten kannattavuuskehityksessä näkynyt tilastollisesti merkitsevää eroa. Löydös on odotettu, koska myös hyvin suuret yhdysvaltalaiset yritykset toimivat eurooppalaisilla markkinoilla ja käsittelevät EU-kansalaisten henkilötietoja. Näin ollen myös heille on koitunut mittavia kustannuksia GDPR:n noudattamisesta, arvioi Etlan tutkimusjohtaja Heli Koski.
GDPR eli uusi henkilötietojen käsittelyä sääntelevä tietosuoja-asetus tuli voimaan kaikissa EU-maissa 25.5.2018. Nyt julkaistussa tutkimuksessa selvitettiin sen vaikutuksia yritysten kannattavuuteen laajan, vuodet 2014-2018 käsittävän yritysaineiston avulla.
– Kyselytutkimukset viittaavat siihen, että monet yritykset aloittivat GDPR-kelpoisuuteen tähtäävät toimet vasta vuonna 2018 ja että vuonna 2019 prosessi oli yhä kesken huomattavassa osassa yrityksiä. Tästä syystä GDPR:n noudattamisen lyhyen aikavälin kannattavuusvaikutukset ovat todennäköisesti todellisuudessa vieläkin suuremmat kuin vuoden 2018 aineiston perusteella arvioimamme, Etlan Koski huomauttaa.
GDPR-sääntelyn tarkoituksena on taata yksilölle lisää oikeuksia häntä koskevan datan keräämiseen ja käsittelyyn sekä yhtenäistää tietosuojasääntelyä EU-maissa. GDPR edellyttää, että henkilötietoja käsittelevä yritys pystyy osoittamaan noudattavansa tietosuoja-asetuksen sääntelyä. Lainsäädännön tavoitteena on myös edistää digitaalisten sisämarkkinoiden kehittymistä.
