EU:n tietosuoja-asetuksen mukaisen prosessin käynnistäminen yhteistyössä Yritys Oy:n kanssa
Tikka, Kati (2019)
Tikka, Kati
2019
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2019061917387
https://urn.fi/URN:NBN:fi:amk-2019061917387
Tiivistelmä
EU:N TIETOSUOJA-ASETUKSEN MUKAISEN PROSESSIN KÄYNNISTÄMINEN YHTEISTYÖSSÄ YRITYS OY:N KANSSA
Tikka, Kati
Satakunnan ammattikorkeakoulu
Liiketalouden koulutusohjelma
Kesäkuu 2019
Ohjaaja: Saarikko, Simo
Sivumäärä: 65
Liitteitä: 2
Asiasanat: tietosuoja-asetus (GDPR), tietosuoja, henkilörekisteri, henkilötieto ____________________________________________________________________
Tämän opinnäytetyön tavoitteena oli selvittää Yritys Oy:n tietosuojan nykytila, miten EU:n tietosuoja-asetus vaikuttaa yrityksen toimintaan ja millä tavalla yrityksen tulee varautua tietosuoja-asetukseen, jotta yrityksen toiminta vastaa tietosuoja-asetuksessa määrättyjä toimenpiteitä. Opinnäytetyön tarkoituksena on EU:n tietosuoja-asetuksen mukaisen prosessin käynnistäminen yhteistyössä Yritys Oy:n kanssa.
Teoreettinen viitekehys nojaa EU:n yleiseen tietosuoja-asetukseen (2016/679), jota on sovellettu 25.5.2018 alkaen kaikissa EU:n jäsenvaltioissa sekä tietosuojalainsäädäntöön ja oikeusministeriön ohjeisiin.
Opinnäytetyö on tapaustutkimus ja sen empiirinen osuus koostuu kvantitatiivisesta kyselytutkimuksesta sekä kvalitatiivisestä haastattelusta. Tutkimusaineisto kerättiin puolistrukturoidun kyselylomakkeen sekä haastattelun avulla. Tietosuojakysely (Webropol) lähetettiin sähköpostilla valitulle kohdejoukolle (N = 127) ja vastausprosentti oli 55.
EU:n tietosuoja-asetukseen valmistautuminen oli hyvin aloitettu kohdeyrityksessä, mutta sen tietosuojakäytännöt ja osaamisen taso eivät kaikilta osin vastanneet tietosuoja-asetuksen mukaisia vaatimuksia. Kyselyn tuloksien perusteella yritykselle laadittiin tietosuojan kehittämissuunnitelma, joka sisälsi henkilöstön tietosuojakoulutus tarpeita. Kehitettävää yrityksellä on henkilötietojen käsittelyn toimintamallien ja ohjeiden laadinnassa, tiedon jalkauttamisessa ja henkilöstön kouluttamisessa sekä tietosuoja organisaation ja esimiesten tukemisessa toiminnan jatkuvuuden turvaamiseksi.
Lisäksi kehittämishaasteeksi nousee yrityksen tietosuojan dokumentaatio, suunnitelmallinen ja säännöllinen seuranta sekä valvonta, joita vaaditaan osoittamaan, että tietosuoja-asetusta on noudatettu. STARTING A PROCESS UNDER THE EU DATA PROTECTION REGULATION IN COOPERATION WITH THE COMPANY
Tikka, Kati
Satakunnan ammattikorkeakoulu, Satakunta University of Applied Sciences
Degree Programme in Business Administration
June 2019
Supervisor: Saarikko, Simo
Number of pages: 65
Appendices: 2
Keywords: General Data Protection Regulation (GDPR), data protection, personal register, personal data
______________________________________________________
The aim of this thesis is to find out the current state of enterprise data protection. How the General Data Protection Regulation (GDPR) affects the company’s operations and how the company should be prepared to comply with the privacy regulation to ensure that the company is in compliance with the measures set out in the GDPR. The purpose of the thesis is to launch the GDPR process in cooperation with the company.
The theoretical framework relies on the EU Data Protection Regulation (2016/679) which has been applied since 25 May 2018 in all EU Member States as well as data protection legislation and the instructions of the Ministry of Justice.
The thesis is a case study and it’s empirical part consist of a survey and an interview. The research material was collected using a semi-structured questionnaire and an interview. The privacy questionnaire was sent to the selected target population (N = 127) and the response rate was 55 %.
Preparing for an EU Data Protection Regulation was well launched in the target company but it’s privacy practices and level of expertise did not fully meet the requirements of the Data Protection Regulation. Based on the results of the survey, a data protection development plan was developed for the company which included the needs of staff data protection training. The company being developed has been working on the development of policies and guidelines for the processing of personal data. The company to be developed has knowledge in the implementation and training of it’s personnel as well as in the protection of the organization and it’s superiors to ensure the continuity of operations.
In addition, the development challenge is the company's data protection documentation, systematic and regular monitoring, and the controls required to demonstrate compliance with the privacy policy.
Tikka, Kati
Satakunnan ammattikorkeakoulu
Liiketalouden koulutusohjelma
Kesäkuu 2019
Ohjaaja: Saarikko, Simo
Sivumäärä: 65
Liitteitä: 2
Asiasanat: tietosuoja-asetus (GDPR), tietosuoja, henkilörekisteri, henkilötieto ____________________________________________________________________
Tämän opinnäytetyön tavoitteena oli selvittää Yritys Oy:n tietosuojan nykytila, miten EU:n tietosuoja-asetus vaikuttaa yrityksen toimintaan ja millä tavalla yrityksen tulee varautua tietosuoja-asetukseen, jotta yrityksen toiminta vastaa tietosuoja-asetuksessa määrättyjä toimenpiteitä. Opinnäytetyön tarkoituksena on EU:n tietosuoja-asetuksen mukaisen prosessin käynnistäminen yhteistyössä Yritys Oy:n kanssa.
Teoreettinen viitekehys nojaa EU:n yleiseen tietosuoja-asetukseen (2016/679), jota on sovellettu 25.5.2018 alkaen kaikissa EU:n jäsenvaltioissa sekä tietosuojalainsäädäntöön ja oikeusministeriön ohjeisiin.
Opinnäytetyö on tapaustutkimus ja sen empiirinen osuus koostuu kvantitatiivisesta kyselytutkimuksesta sekä kvalitatiivisestä haastattelusta. Tutkimusaineisto kerättiin puolistrukturoidun kyselylomakkeen sekä haastattelun avulla. Tietosuojakysely (Webropol) lähetettiin sähköpostilla valitulle kohdejoukolle (N = 127) ja vastausprosentti oli 55.
EU:n tietosuoja-asetukseen valmistautuminen oli hyvin aloitettu kohdeyrityksessä, mutta sen tietosuojakäytännöt ja osaamisen taso eivät kaikilta osin vastanneet tietosuoja-asetuksen mukaisia vaatimuksia. Kyselyn tuloksien perusteella yritykselle laadittiin tietosuojan kehittämissuunnitelma, joka sisälsi henkilöstön tietosuojakoulutus tarpeita. Kehitettävää yrityksellä on henkilötietojen käsittelyn toimintamallien ja ohjeiden laadinnassa, tiedon jalkauttamisessa ja henkilöstön kouluttamisessa sekä tietosuoja organisaation ja esimiesten tukemisessa toiminnan jatkuvuuden turvaamiseksi.
Lisäksi kehittämishaasteeksi nousee yrityksen tietosuojan dokumentaatio, suunnitelmallinen ja säännöllinen seuranta sekä valvonta, joita vaaditaan osoittamaan, että tietosuoja-asetusta on noudatettu.
Tikka, Kati
Satakunnan ammattikorkeakoulu, Satakunta University of Applied Sciences
Degree Programme in Business Administration
June 2019
Supervisor: Saarikko, Simo
Number of pages: 65
Appendices: 2
Keywords: General Data Protection Regulation (GDPR), data protection, personal register, personal data
______________________________________________________
The aim of this thesis is to find out the current state of enterprise data protection. How the General Data Protection Regulation (GDPR) affects the company’s operations and how the company should be prepared to comply with the privacy regulation to ensure that the company is in compliance with the measures set out in the GDPR. The purpose of the thesis is to launch the GDPR process in cooperation with the company.
The theoretical framework relies on the EU Data Protection Regulation (2016/679) which has been applied since 25 May 2018 in all EU Member States as well as data protection legislation and the instructions of the Ministry of Justice.
The thesis is a case study and it’s empirical part consist of a survey and an interview. The research material was collected using a semi-structured questionnaire and an interview. The privacy questionnaire was sent to the selected target population (N = 127) and the response rate was 55 %.
Preparing for an EU Data Protection Regulation was well launched in the target company but it’s privacy practices and level of expertise did not fully meet the requirements of the Data Protection Regulation. Based on the results of the survey, a data protection development plan was developed for the company which included the needs of staff data protection training. The company being developed has been working on the development of policies and guidelines for the processing of personal data. The company to be developed has knowledge in the implementation and training of it’s personnel as well as in the protection of the organization and it’s superiors to ensure the continuity of operations.
In addition, the development challenge is the company's data protection documentation, systematic and regular monitoring, and the controls required to demonstrate compliance with the privacy policy.