TIETOSUOJA-ASETUS JA SEN AIHEUTTAMAT MUUTOKSET CASE-YRITYKSESSÄ

Abstract

Opinnäytetyön tarkoituksena oli selvittää, mitä uusi tietosuoja-asetus pitää sisällään ja mitä kohdeyrityksen tulee huomioida omassa toiminnassaan. Tarkoituksena oli lisäksi testata ohjelmamuutoksia ja tuottaa kirjalliset ohjeet uusille toiminnoille sekä laatia ohjeita ja tiedotteita case-yrityksen käyttöön. Itse opinnäytetyön tarkoitus oli toimia myös oppaana case-yritykselle.

Työn teoriaosuudessa tutustuttiin tietosuoja-asetukseen. Lisäksi selvitettiin tietojen pakollisia säilytysaikoja muusta lainsäädännöstä. Teoriaosuudessa käsiteltiin lisäksi tietosuojaa ja suojattavia tietoja.

Empiirisessä osiossa tutustuttiin ohjelmamuutoksiin ja testattiin niitä käytännössä. Jokainen muutos piti testata ja dokumentoida huolellisesti. Ohjelmatestauksen pohjalta tehtiin lisämuutoksia ja korjauksia. Tässä osuudessa laadittiin tiedotteita ja käyttöohjeita loppuasiakkaille.

Tämän toiminnallisen opinnäytetyön tavoitteena oli muodostaa ohjeistus loppuasiakkaalle tietosuojasta ja -turvasta sekä case-yritykselle kattava paketti itse lainsäädännöstä. Asetukseen tutustuttaessa huomattiin, että itse lainsäädäntö Suomessa tulee vielä elämään ja muuttumaan, vaikka EU:n laajuinen tietosuoja-asetus tuleekin voimaan sellaisenaan. Esimerkiksi henkilötietolaki tullee muuttumaan tulevai-suudessa. Hallitus jätti oman esityksensä eduskunnalle tietosuojalainsäädännöstä vasta maaliskuussa 2018. Tässä opinnäytetyössä lainsäädäntö on huomioitu sellaisena kuin se on tällä hetkellä. Itse ohjetta tulisikin päivittää jatkossa mahdolliset tulevat muutokset huomioiden.

Ohjelmaa pystyttiin kehittämään projektin aikana paremmin asiakasta palvelevaksi ja myös turvallisemmaksi, kun pystyttiin ottamaan huomioon myös tietojen pakolliset säilytysajat. Ohjelmaan koodattiin sitä varten estoja ja varoituksia. Ohjelmamuutokset ja sitä varten laadittu ohje julkaistaan lähiaikoina. Opinnäytetyö antaa myös ohjeet rekisteriselosteen tai tietoturva-asetuksessa mainitun selosteen laatimiseksi.

The purpose of this thesis was to explore what the new General Data Protection Regulations retains and what the case company would need to take into consideration in its own actions and operations. The intent was to test the modifications of the ERP (enterprise resource planning) system made and to produce written instructions on the new functions and to write bulletins. The thesis was meant to serve as information package for the case company as well.

The topics discussed in the theoretical part of the thesis include the GDPR itself but also introduces data privacy and its meaning. The records schedule has been clarified from other legislation as well.

The modifications to the ERP system and the testing has been covered in the empirical part of this thesis. Every change had to be tested and recorded carefully. Additional modifications were done based on the findings of the test runs. Bulletins and written instructions were covered also on this part of the thesis.

The goal of this functional thesis was to produce instructions of data privacy and the new functions on the program to the final customer. The goal was also to compose a covering overview of the regulation. While getting more insight on the legislation it became clear that some legislative changes will be made in Finland later even though this EU wide regulation will come to affect as is. For example, the Personal Data Act will have to be updated later and will come partly obsolete. The government has given its suggestion to the parliament on the national data protection regulation in March. The legislation has been covered on this thesis as it is currently. The instruction itself would need to be updated later accordingly.

During the project, the program was developed to be more user friendly and secure because the records schedule was taken into consideration. Also warnings and blocks were coded into the program. The updated ERP and its guide will be released shortly. This thesis also gives instructions on how to create record description as it is stated in the Personal Data Act and the description mentioned in the GDPR.