EU:n yleinen tietosuoja-asetus henkilökuljetusyrityksen toiminnassa
Kataja, Katja (2018)
Kataja, Katja
Laurea-ammattikorkeakoulu
2018
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2018122122719
https://urn.fi/URN:NBN:fi:amk-2018122122719
Tiivistelmä
Opinnäytetyön julkaisun aikaan eurooppalainen henkilötietolainsäädäntö on suuressa muutoksessa EU:ssa käynnissä olevan tietosuojan kokonaisuudistuksen myötä. Toukokuussa 2018 sovellettavaksi tullut Euroopan Unionin yleinen tietosuoja-asetus (General Data Protection Regulation eli GDPR) on muuttanut myös suomalaisten yritysten velvollisuuksia henkilötietojen käsittelyn suhteen.
Opinnäytetyön tavoitteena oli luoda henkilökuljetuksia operoivalle kuljetusyritykselle valmius noudattaa toiminnassaan tietosuoja-asetusta ja toteuttaa asetuksen sille osoittamat velvoitteet. Yrityksen tuli voida tarvittaessa osoittaa tietosuojaperiaatteiden noudattaminen ja pystyä hallitsemaan henkilötietojen elinkaarta.
Työn tietoperustassa kuvataan tietosuoja-asetus pääpiirteittäin. Erityisesti keskitytään tietosuojaperiaatteisiin, tiedon elinkaaren hallintaan sekä asetuksen mukaisiin rooleihin. Työn keskeisinä lähteinä toimivat tietosuoja-asetus, Hallituksen esitys kansalliseksi tietosuojalaiksi (HE 9/2018), tietosuojavaltuutetun toimiston julkaisemat ohjemateriaalit sekä Valtiovarainministeriön VAHTI-työryhmän ohjeistukset.
Työn toiminnallisessa osassa esitellään kuljetusyritykselle tehty työ. Aluksi kartoitettiin kuljetusyrityksen nykytila mallintamalla henkilötiedon käsittelyn prosessit. Samalla kartoitettiin käsiteltävien henkilötietojen tyypit ja käsittelyperusteet. Prosessimallinnuksen perusteella tarkasteltiin henkilötiedon elinkaarta ja sen hallittavuutta. Henkilötiedon käsittelyn nykytilaa verrattiin tietosuoja-asetuksen edellyttämään tavoitetilaan.
Työn tuloksena syntyi materiaalia, jonka avulla yritys voi jatkossa täyttää tietosuoja-asetuksen mukaisen osoitusvelvollisuutensa. Kuljetusyritys sai työn tuloksena myös perustellun arvion tietosuojavastaavan tarpeesta ja konkreettisia kehitysehdotuksia toimintansa tehostamiseksi. Opinnäytetyöprosessin myötä yrityksen henkilökunnan kyky käsitellä henkilötietoa asetuksen edellytysten mukaisesti kasvoi. Haastetta työn toteutukseen loi lainsäädännön eräänlainen välitila, jossa kansallinen tietosuojalaki on vielä eduskunnan käsittelyssä. Näin ollen varmaa tietoa lain sisällöstä ei siis ollut saatavilla niiltä osin joissa tietosuoja-asetus jättää jäsenvaltioille kansallista liikkumavaraa.
Opinnäytetyön tavoitteena oli luoda henkilökuljetuksia operoivalle kuljetusyritykselle valmius noudattaa toiminnassaan tietosuoja-asetusta ja toteuttaa asetuksen sille osoittamat velvoitteet. Yrityksen tuli voida tarvittaessa osoittaa tietosuojaperiaatteiden noudattaminen ja pystyä hallitsemaan henkilötietojen elinkaarta.
Työn tietoperustassa kuvataan tietosuoja-asetus pääpiirteittäin. Erityisesti keskitytään tietosuojaperiaatteisiin, tiedon elinkaaren hallintaan sekä asetuksen mukaisiin rooleihin. Työn keskeisinä lähteinä toimivat tietosuoja-asetus, Hallituksen esitys kansalliseksi tietosuojalaiksi (HE 9/2018), tietosuojavaltuutetun toimiston julkaisemat ohjemateriaalit sekä Valtiovarainministeriön VAHTI-työryhmän ohjeistukset.
Työn toiminnallisessa osassa esitellään kuljetusyritykselle tehty työ. Aluksi kartoitettiin kuljetusyrityksen nykytila mallintamalla henkilötiedon käsittelyn prosessit. Samalla kartoitettiin käsiteltävien henkilötietojen tyypit ja käsittelyperusteet. Prosessimallinnuksen perusteella tarkasteltiin henkilötiedon elinkaarta ja sen hallittavuutta. Henkilötiedon käsittelyn nykytilaa verrattiin tietosuoja-asetuksen edellyttämään tavoitetilaan.
Työn tuloksena syntyi materiaalia, jonka avulla yritys voi jatkossa täyttää tietosuoja-asetuksen mukaisen osoitusvelvollisuutensa. Kuljetusyritys sai työn tuloksena myös perustellun arvion tietosuojavastaavan tarpeesta ja konkreettisia kehitysehdotuksia toimintansa tehostamiseksi. Opinnäytetyöprosessin myötä yrityksen henkilökunnan kyky käsitellä henkilötietoa asetuksen edellytysten mukaisesti kasvoi. Haastetta työn toteutukseen loi lainsäädännön eräänlainen välitila, jossa kansallinen tietosuojalaki on vielä eduskunnan käsittelyssä. Näin ollen varmaa tietoa lain sisällöstä ei siis ollut saatavilla niiltä osin joissa tietosuoja-asetus jättää jäsenvaltioille kansallista liikkumavaraa.