Euroopan Unionin tietosuoja-asetuksen vaikutukset vanhoihin tietojärjestelmiin

Abstract

Euroopan unionin yleinen tietosuoja-asetus astui voimaan vuoden 2016 keväällä, jonka jälkeen sen jäsenvaltioille annettiin kahden vuoden siirtymisaika uuden asetuksen piiriin. Yleinen tietosuoja-asetus korvasi vuoden 1995 henkilötietodirektiivin ja jatkossa se on pohja kaikelle henkilötietoihin liittyvälle käsittelylle. Opinnäytetyön tarkoituksena oli kartoittaa uuden lain tuomia oikeuksia sekä velvollisuuksia ja näin lisätä tietoutta henkilötietolain osalta. Työn tavoitteena oli selvittää, miten EU:n uusi tietosuoja-asetus tulee vaikuttamaan yritysten toimintaan jatkossa, sekä luoda kysymyspatteristo, jota voidaan käyttää viitteenä vanhojen tietojärjestelmien tuomiseen GDPR-yhteensopiviksi henkilön unohtamisoikeuden osalta.

Työssä käytiin läpi esimerkin avulla, kuinka vanha järjestelmä voidaan tuoda asetuksen mukaiseksi unohtamisoikeuden osalta. Tämän perusteella luotiin lista kysymyksiä, joiden avulla voidaan helpottaa järjestelmän suunnittelua henkilötietojen käsittelyn osalta.

Tietosuoja-asetuksen myötä yksityisten henkilöiden tietoisuus henkilökohtaisen tiedon keräämisestä ja sitä koskettavien oikeuksien osuus on lisääntynyt. Rekisteritietoja käsittelevän tahon kannalta GDPR on ollut kallis ja suuritöinen prosessi, jonka myötä henkilötietojen keräämiseen on jouduttu kiinnittämään enemmän huomiota. Kokonaisuudessaan uusi asetus on selkeyttänyt vastuunjakoa rekisterinpitäjän ja henkilötietojen käsittelijä välillä, joka osaltaan lisää rekisteröidyn turvaa henkilötietojen hallinnoinnin kannalta

The General Data Protection Regulation (GDPR) of the European Union was adopted during the spring of 2016, after which all member countries were given two years to make the necessary changes to meet the requirements of the regulation. The GDPR replaced the Data Protection Directive from 1995 and will be used as a base for all personal data handling. The thesis' aim is to shed light on the rights and responsibilities brought along by GDPR and increase insight into data privacy laws. Another goal was to find out how GDPR will affect businesses and their actions in the future and create a line of questioning that can be used as a guideline for bringing old data systems into line with GDPR.

The modernization of an old data system through the right of erasure was approached through an extensive example. This example was used to create a list of questions, to make designing a system handling personal data easier.

Through GDPR the knowledge of data collection and rights has been increased with private individuals. For an entity handling data systems and registries, GDPR has been an expensive and exhaustive process, during which the collection of personal data has also garnered extra attention. All in all, GDPR has made registry holders' and personal data handlers' responsibilities clearer, which in turn makes the registered individuals personal data management safer.