EU:n tietosuoja-asetus 2016/679 (GDPR) ohjelmistoyrityksessä

Abstract

Insinöörityössä tavoitteena oli tutustua EU:n tietosuoja-asetukseen 2016/679 sekä selvittää, millaisia vaatimuksia se aiheuttaa työn tilanneessa ohjelmistoyrityksessä ja suunnitella ja toteuttaa osa muutostöistä. Työn tavoitteet suunniteltiin yhdessä tilaajayrityksen kanssa.

Työn aikana selvitettiin tietosuoja-asetuksen sisältöä ja sitä, miltä osin se kohdistuu yritykseen ja kuinka asetuksen ehdot käytännössä toteutettaisiin. Selvityksen aikana pyrittiin muodostamaan selkeä kuva siitä, missä asetuksen määrittämissä rooleissa yritys toimii ja mitkä niistä muodostuvat vastuut ovat. Pyrittiin myös muodostamaan käsitys yrityksen asiakkaiden tulevista tarpeista, joiden perusteella yrityksen ohjelmistotuote voitaisiin valmistella vastaamaan asetuksen vaatimuksia.

Selvityksen perusteella yritykselle tehtiin nykytila-analyysi, jolla pyrittiin dokumentoimaan yrityksen tietoturvakäytännöt ja määrittämään, mitä puutteita yrityksen hallinnollisissa ja teknisissä tietoturva ja -suojakäytännöissä on. Analyysin perusteella priorisoitiin kehitysprojekteja yrityksen toimintatapojen ja ohjelmistotuotteen parantamiseen.

Työn tuloksena luotiin uusia ominaisuuksia työn tilaajan ohjelmistotuotteeseen. Näitä olivat rekisteröityjen suostumuksen pyyntö ja tiedotus heidän oikeuksistaan, oikeus tulla unohdetuksi ja tietojen siirto. Lisäksi tarkastettiin ja laajennettiin tilaajayrityksen tietoturvasuunnitelmaa, tietoturvaesitettä ja tietoturvaohjeistusta yrityksen henkilöstölle ja asiakkaille.

Aim of this thesis was to get acquainted with EU data protection regulation 2016/679, find out which of its requirements are notable in a software company that ordered the thesis and implement a part of the changes needed. Goals of the thesis were planned together with the company.

Contents of the Data protection regulation were studied and a viewed from the roles the company is in as a data controller and a data processor. Company’s clients were studied to predict what requirements they will have for the company’s main software product soon.

Based on the theoretical study, a current state analysis was done to document company’s managerial and technical data protection practices and find their flaws. Based on the analysis a few development projects were formed and prioritized especially focusing on the company’s main software product.

Thesis’ results were data protection documentation and guidelines for the company’s personnel and clients and software feature implementations which enable data subjects’ rights to be forgotten, to transfer their data and to gather their consent and inform them of their rights.