Applying General Data Protection Regulation in Small Organizations : Simplified Framework and Templates for Managing a Privacy Program

Abstract

The General Data Protection Regulation became effective on 25th of May 2018. The GDPR aims to create a pan-European legally enforceable data protection standard while enabling free flow of data within Europe. The GDPR will be applied to all businesses and organizations regardless of their size and the maximum punitive measures do not take into account the size of the organization. However, provided the need for changes in any organization’s data protection program it is likely that small organizations will lack the knowledge and resources in ensuring their privacy program complies with the GDPR.

This thesis is qualitative in nature and more specifically content analysis was chosen as the precise research method. The end result is a material summary of the relevant information in the GDPR for small organizations and document templates that have been drafted to meet the requirements presented in the GDPR, Article 29 Data Protection Working Party, Data Protection Authorities and other expert sources.

The practical aim of this thesis is to provide the information that is relevant for small organizations in an understandable and concise manner. In addition, a simplified framework with accompanying document templates have been drafted to support the establishment of a privacy program in small organisations. The presented framework consists of four stages and documentation supporting the stages is provided. The stages are; define, plan, document and execute.

This study provides necessary information, process and document templates for small organizations to start their work on establishing, developing and maintaining a functional and GDPR compliant privacy program. The beforementioned was compiled as a result of extensive analysis of related legislation, official guidelines and materials produced by other experts.

Euroopan unionin yleistä tietosuoja-asetusta alettiin soveltaa 25. toukokuuta 2018. Tietosuoja-asetuksen tavoitteena on luoda koko Euroopan kattava ja laillisesti sitova standardi sekä mahdollistaa tiedon vapaa liikkuvuus Euroopassa. Kaikki yritykset ja organisaatiot ovat tietosuoja-asetuksen piirissä niiden koosta huolimatta. Hallinnolliset sakot tai muut rangaistustoimenpiteet eivät ole sidoksissa organisaation kokoon. Kun otetaan edellä mainitut asiat huomioon, on todennäköistä, ettei pienillä organisaatioilla ole tehtävään ja asetuksen tuomiin muutoksiin vaadittavaa osaamista tai resursseja.

Tämä opinnäytetyö on luonteeltaan kvalitatiivinen, ja se on toteutettu sisältöanalyysin menetelmin. Lopputulos on kirjallisuuskatsaustyyppinen yhteenveto pienille organisaatioille oleellisesta tiedosta liittyen Euroopan unionin yleiseen tietosuoja-asetukseen. Työn yhteydessä luotu esimerkki dokumentaatio vastaa Euroopan unionin yleisen tietosuoja-asetuksen, Artikla 29 Tietosuoja Työryhmän, tietosuojavaltuutettujen sekä muiden asiantuntijoiden esittämiin vaatimuksiin.

Tämän opinnäytetyön tavoite käytännössä on tarjota pienille organisaatioille relevantti tieto tiiviissä ja ymmärrettävässä muodossa. Tarvittavan tiedon lisäksi, opinnäytetyön yhteydessä on työstetty yksinkertaistettu viitekehys sekä sitä tukeva esimerkkidokumentaatio pienten organisaatioiden tueksi niiden aloittaessa työnsä tietoturvaohjelmansa parissa. Esitetty viitekehys koostuu neljästä vaiheesta, ja vaiheita tukevat mallidokumentit on laadittu työn liitteeksi. Viitekehyksen vaiheet ovat määrittely, suunnittelu, dokumentointi ja toimeenpano.

Tämä opinnäytetyö tarjoaa välttämättömän tiedon pienille organisaatioille toimivan tietosuojaohjelman laatimiselle, kehittämiselle sekä ylläpitämiselle uutta asetusta noudattaen. Edellä mainittu on koottu kattavan lainsäädännön, virallisten linjausten sekä muiden asiantuntijoiden tuottaman materiaalin sisältöanalyysin tuloksena.