Teknologiayrityksen tietosuojatyön kehittämistoiminta: Case OptoFidelity Oy
Ranta, Jukka (2019)
2019
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2019121125874
https://urn.fi/URN:NBN:fi:amk-2019121125874
Tiivistelmä
Opinnäytetyö keskittyy toimeksiantajalle tehtyyn tutkimukselliseen kehittämistoimintaan. Tutkimuksessa kuvataan yrityksen tietosuojatyön kehittämistä. Kehittämistyön tarkoitus oli saada yrityksessä hallinnoitavien henkilötietojen käsittely vastaamaan EU:n yleisen tietosuoja-asetuksen vaatimuksia. Toimeksiantaja oli OptoFidelity Oy, älykkääseen testausrobotiikkaan erikoistunut yritys. EU:n tavoitteena on asetuksen kautta päästä yhtenäiseen henkilötietojen käsittelyn sääntelyyn ja turvata oikeus tehokkaaseen henkilötietojen suojaan.
Tutkimus on empiirinen oikeustutkimus, jonka pääasiallinen teoreettinen lähestymistapa on toimintatutkimus. Tutkimus on luonteeltaan erityisesti kvalitatiivinen eli laadullinen tutkimus. Tutkimuksen pääkysymyksenä oli, millä tavoin yrityksen sisäistä ja ulkoista tietosuojatyötä tulee kehittää vastaamaan yleisen tietosuoja-asetuksen vaatimuksia. Kehittämistoimintaa toteutettiin useilla tutkimus- ja tiedonhankintamenetelmillä: haastatteluilla, kyselyillä ja dokumentoinnilla. Kehittämistyötä tehtiin moniammatillisen asiantuntijatyöryhmän kanssa.
Tutkimuksellinen kehittämistyö toteutettiin monivaiheisesti. Ensin kerättiin ennakkotietoja ja haastateltiin yrityksen henkilöstöä. Tämän jälkeen tehtiin kirjallinen kysely yrityksen palveluntuottajille sekä laadittiin selosteet käsittelytoimista. Seuraavassa vaiheessa järjestettiin henkilökunnan koulutus, jossa yrityksen henkilöstö perehdytettiin uusiin tietosuojakäytänteisiin. Sitten tärkeimpien palveluntuottajien kanssa tehtiin tietojenkäsittelysopimukset. Kerätystä aineistosta dokumentoitiin tiedot tietosuojan hallintajärjestelmään, joka yrityksessä otettiin käyttöön kehittämistyön aikana.
Opinnäytetyön tavoite saavutettiin, kun tutkimuskysymyksiin ja kehittämistyön tarpeisiin pystyttiin vastaamaan. Erityisesti sisäisen tietosuojatyön kehittäminen onnistui hyvin. Toimeksiantaja sai monipuolisen dokumentaation, millä se voi osoittaa, että tietosuoja-asetuksen vaatimukset on täytetty koskien rekisterinpitäjän tehtäviä ja henkilötietojen käsittelyn hallinnointia. Samalla henkilöstön tietosuojaosaaminen kasvoi. Kehittämistyön seurauksena yritykseen syntyi uusi johtamisen ala, tietosuojajohtaminen. The Bachelor’s thesis focuses on the research-based development made for the commissioning party. The development of the personal data protection work of the company is described in the research. The purpose of the development work was to get the processing of the personal data governed by the client to match the demands of the General Data Protection Regulation of the EU. The commissioning party was OptoFidelity Ltd, a company which specializes in smart robot assisted testing. The objective of the EU is to harmonise the rules for processing the personal data and to safeguard the right for personal data protection.
The thesis is an empirical judicial research where the main theoretical approach is action research. The research is by character mainly a qualitative study. The main research question was how the internal and external data protection work of the company needs to be developed to correspond to the demands of the General Data Protection Regulation. The development work was implemented with several research and data collection methods: with interviews, questionnaires and documentation. The development work was made with a multi-professional team of specialists.
The research-based development work was done in many phases. First advance information was gathered, and interviews were arranged to the personnel of the organization. After this a written questionnaire to the service providers and the records of processing activities were made. In the next phase a staff training was arranged to initiate and train the personnel to the new data protection practises. After that data processing agreements were made with the most important service providers. The information of the collected material was documented in the data protection control system which was adopted during the development work.
The objective of the thesis was accomplished when the research questions and the demands of the development work were answered. Especially the development of internal data protection work succeeded well. The commissioning party received a comprehensive documentation to be used in showing that the requirements of the regulation have been fulfilled concerning the duties of the controller and administering the processing of personal data. At the same time the data protection competence of the personnel was increased. As a result of the development work a new type of management practise was created in the company, called data protection management.
Tutkimus on empiirinen oikeustutkimus, jonka pääasiallinen teoreettinen lähestymistapa on toimintatutkimus. Tutkimus on luonteeltaan erityisesti kvalitatiivinen eli laadullinen tutkimus. Tutkimuksen pääkysymyksenä oli, millä tavoin yrityksen sisäistä ja ulkoista tietosuojatyötä tulee kehittää vastaamaan yleisen tietosuoja-asetuksen vaatimuksia. Kehittämistoimintaa toteutettiin useilla tutkimus- ja tiedonhankintamenetelmillä: haastatteluilla, kyselyillä ja dokumentoinnilla. Kehittämistyötä tehtiin moniammatillisen asiantuntijatyöryhmän kanssa.
Tutkimuksellinen kehittämistyö toteutettiin monivaiheisesti. Ensin kerättiin ennakkotietoja ja haastateltiin yrityksen henkilöstöä. Tämän jälkeen tehtiin kirjallinen kysely yrityksen palveluntuottajille sekä laadittiin selosteet käsittelytoimista. Seuraavassa vaiheessa järjestettiin henkilökunnan koulutus, jossa yrityksen henkilöstö perehdytettiin uusiin tietosuojakäytänteisiin. Sitten tärkeimpien palveluntuottajien kanssa tehtiin tietojenkäsittelysopimukset. Kerätystä aineistosta dokumentoitiin tiedot tietosuojan hallintajärjestelmään, joka yrityksessä otettiin käyttöön kehittämistyön aikana.
Opinnäytetyön tavoite saavutettiin, kun tutkimuskysymyksiin ja kehittämistyön tarpeisiin pystyttiin vastaamaan. Erityisesti sisäisen tietosuojatyön kehittäminen onnistui hyvin. Toimeksiantaja sai monipuolisen dokumentaation, millä se voi osoittaa, että tietosuoja-asetuksen vaatimukset on täytetty koskien rekisterinpitäjän tehtäviä ja henkilötietojen käsittelyn hallinnointia. Samalla henkilöstön tietosuojaosaaminen kasvoi. Kehittämistyön seurauksena yritykseen syntyi uusi johtamisen ala, tietosuojajohtaminen.
The thesis is an empirical judicial research where the main theoretical approach is action research. The research is by character mainly a qualitative study. The main research question was how the internal and external data protection work of the company needs to be developed to correspond to the demands of the General Data Protection Regulation. The development work was implemented with several research and data collection methods: with interviews, questionnaires and documentation. The development work was made with a multi-professional team of specialists.
The research-based development work was done in many phases. First advance information was gathered, and interviews were arranged to the personnel of the organization. After this a written questionnaire to the service providers and the records of processing activities were made. In the next phase a staff training was arranged to initiate and train the personnel to the new data protection practises. After that data processing agreements were made with the most important service providers. The information of the collected material was documented in the data protection control system which was adopted during the development work.
The objective of the thesis was accomplished when the research questions and the demands of the development work were answered. Especially the development of internal data protection work succeeded well. The commissioning party received a comprehensive documentation to be used in showing that the requirements of the regulation have been fulfilled concerning the duties of the controller and administering the processing of personal data. At the same time the data protection competence of the personnel was increased. As a result of the development work a new type of management practise was created in the company, called data protection management.