Tietosuoja-asetuksen vaatimukset B2B-sektorilla : nykytilan selvitys ja toimenpiteet

Abstract

Tämän opinnäytetyön tavoite oli selvittää EU:n tietosuoja-asetuksen (EU 2016/679.) tuomia uusia velvoitteita ja tarkastella mitä muutoksia asetus tuo B2B-sektorilla toimivan yrityksen henkilötietojen käsittelylle. Tietosuoja-asetus tuli voimaan toukokuussa 2018 ja on sellaisenaan suoraan sovellettavaa lainsäädäntöä koko EU:n alueella. Asetus koskettaa jokaista organisaatiota, joka kerää EU:n kansalaisten henkilötietoja riippumatta toimialasta tai yrityksen koosta.

Työn tarkoitus oli koota yhteen tieto, jota toimeksiantaja tarvitsee noudattaakseen asetusta. Selvittämällä yrityksen henkilötietojen käsittelyn nykytilaa ja tutustumalla asetukseen luotiin listaus asioista, jotka tulee ottaa huomioon uuden asetuksen voimaan tullessa. Nykytilan selvitys tehtiin kyselylomakkeella, jonka kohderyhmänä olivat yrityksen kotimaan osastojen esimiehet ja EU:n alueella toimivien tytäryhtiöiden maajohtajat. Selvityksen perusteella voitiin todeta, että yrityksen henkilötietojen käsittely oli asetukseen nähden hyvällä mallilla. Asetus toi kuitenkin mukanaan myös uusia velvoitteita, joita esimerkiksi Suomessa asetusta edeltäneessä henkilötietolaissa ei ole vaadittu. Yksi uusista velvoitteista on osoittaa dokumentoidusti henkilötietojen käsittelyyn liittyvät toimet.

Tämän työn haasteet liittyivät aiheen tuoreuteen sekä ohjeiden että esimerkkien puuttumiseen. Tarkemman viranomaisohjeistuksen myöhäisen julkaisuajankohdan vuoksi aiheesta ehti liikkua myös väärää informaatiota julkisesti. Kaiken kaikkiaan opinnäytetyölle asetetut tavoitteet onnistuttiin täyttämään ja työtä varten tehdyn tutkimuksen pohjalta voitiin luoda yritykselle dokumentaatio henkilötietojen käsittelystä. Dokumentaatiolla voidaan täyttää asetuksessa vaadittavaa rekisterinpitäjän osoitusvelvollisuutta. Opinnäytetyöni julkaistusta versiosta jätettiin pois luku 4, sekä liitteet, koska ne sisältävät toimeksiantajayrityksen sisäistä informaatiota.

The aim of this thesis was to understand the requirements of the General Data Protection Regulation (GDPR) and to discover what changes this regulation will bring to the processing of personal data, especially within the B2B business. The method was to collect the information, required by the principal company, to comply with the new regulation and also to find out the current status of personal data processes within the company. The Data Protection Regulation entered into force in May 2018 and is directly applicable legislation throughout the EU. The regulation influences every organization which collects personal data of EU citizens, no matter what industry or company size.

To ascertain the current status of personal data databases within the principal company, a questionnaire was sent to the heads of all domestic departments and to the country managers of subsidiaries operating within the EU. Based on these responses, it was found that the company's personal data processes formed a good basis from which compliance with the new regulation could be achieved. However, the regulation also introduced further obligations which were not previously required by earlier legislation. An example of additional obligations, required by companies, is to show documented processes of personal data collection and make sure that the contracts with third parties are updated to satisfy the new requirements.

The thesis conclusions based on the questionnaires and other research, resulted in the compilation of documentation required by the new regulation along with a check list of current changes to the current processes, which needed to be enacted by the principal company, before the Data Protection Regulation entered into force. Chapter 4 and the appendices have been removed from the published version of this thesis as they contain internal details of the principal company`s information.