YLEINEN TIETOSUOJA-ASETUS (GDPR) PK-YRITYKSISSÄ
Linnala, Jussi (2020)
Linnala, Jussi
2020
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2020060417152
https://urn.fi/URN:NBN:fi:amk-2020060417152
Tiivistelmä
EU:n yleinen tietosuoja-asetus (GDPR) tuli voimaan 25.5.2016. Asetus koskettaa jokaista EU:n kansalaisen henkilötietoja käsittelevää yritystä ja yhteisöä. Tässä työssä kuvataan Makuuni Oy:n valmistautumista EU:n yleisen tietosuoja-asetuksen täytäntöönpanoon. Yleinen tietosuoja-asetus tarjoaa rekisteröityneille paremman suojan henkilötietoihinsa ja velvoittaa yritykset, organisaatiot ja viranomaiset noudattamaan asetuksen vaatimuksia viimeistään 25.5.2018.
Opinnäytetyön tavoitteena oli tarkistaa Makuuni Oy:n järjestelmät ja toiminnot henkilötieto-jen käsittelyn toteuttamisessa sekä korjata selvityksissä esiin tulleet puutteet ja kouluttaa työntekijät toimimaan asetuksen vaatimusten mukaisesti. Tässä työssä EU:n yleistä tie-tosuoja-asetusta käsiteltiin EU:n sisällä toimivan yrityksen näkökulmasta. Tarkoituksena oli avata tietosuoja-asetuksen keskeisimmät kohdat mahdollisimman selkokielisesti, jolloin opinnäytetyötä voitaisiin käyttää muidenkin yritysten ja yhteisöjen apuna tietosuoja-asetuksen vaatimuksien toteutuksessa.
Menetelmänä työssä käytettiin konstruktiivista tutkimusta, joka koostui haastatteluista ja verkkolomakekyselyistä. Kyselyillä pyrittiin kartoittamaan hyvin hajautettu laite- ja ohjelmis-tokanta. Saatujen aineistojen pohjalta suunniteltiin Makuuni Oy:n tietosuojaprojekti, jossa käytiin läpi yrityksen digitaalinen ja fyysinen tietoturva sekä tarkastettiin yhdessä järjestel-mätoimittajien kanssa yrityksen käytössä olevat ohjelmistot ja toimintatavat. Turhat ohjel-mistot poistettiin ja toiminnalle välttämättömät päivitettiin vastaamaan uusia vaatimuksia. Ohjelmistojen päivityksen lisäksi laadittiin koulutussuunnitelma uusien toimintatapojen juurruttamiseksi jokapäiväiseen työskentelyyn. Projektin yhteydessä toteutettiin myös tie-tosuoja-asetuksen vaatimat dokumentaatiot, joissa listattiin yrityksen henkilörekisterit ja toimitettiin seloste yrityksen henkilötietojen käsittelytoimista. Samalla poistettiin kaikki van-hentuneet tai ilman oikeutusta säilytettävät henkilörekisterit.
EU:n tietosuoja-asetus saattaa vaikuttaa vaativalta toteuttaa pienissä yrityksissä ja yhtei-söissä, mutta monessa tapauksessa pelkällä ohjeistuksella, toimintatapojen muutoksella ja toimien perustelulla saavutetaan riittävä taso. Laajasti tai arkaluontoisia henkilötietoja käsittelevillä yrityksillä kannattaa tietosuoja-asetukseen suhtautua sen ansaitsemalla vakavuudella ja tehdä kattavat selvitykset yrityksen henkilörekistereistä ja järjestelmistä.
Opinnäytetyön tavoitteena oli tarkistaa Makuuni Oy:n järjestelmät ja toiminnot henkilötieto-jen käsittelyn toteuttamisessa sekä korjata selvityksissä esiin tulleet puutteet ja kouluttaa työntekijät toimimaan asetuksen vaatimusten mukaisesti. Tässä työssä EU:n yleistä tie-tosuoja-asetusta käsiteltiin EU:n sisällä toimivan yrityksen näkökulmasta. Tarkoituksena oli avata tietosuoja-asetuksen keskeisimmät kohdat mahdollisimman selkokielisesti, jolloin opinnäytetyötä voitaisiin käyttää muidenkin yritysten ja yhteisöjen apuna tietosuoja-asetuksen vaatimuksien toteutuksessa.
Menetelmänä työssä käytettiin konstruktiivista tutkimusta, joka koostui haastatteluista ja verkkolomakekyselyistä. Kyselyillä pyrittiin kartoittamaan hyvin hajautettu laite- ja ohjelmis-tokanta. Saatujen aineistojen pohjalta suunniteltiin Makuuni Oy:n tietosuojaprojekti, jossa käytiin läpi yrityksen digitaalinen ja fyysinen tietoturva sekä tarkastettiin yhdessä järjestel-mätoimittajien kanssa yrityksen käytössä olevat ohjelmistot ja toimintatavat. Turhat ohjel-mistot poistettiin ja toiminnalle välttämättömät päivitettiin vastaamaan uusia vaatimuksia. Ohjelmistojen päivityksen lisäksi laadittiin koulutussuunnitelma uusien toimintatapojen juurruttamiseksi jokapäiväiseen työskentelyyn. Projektin yhteydessä toteutettiin myös tie-tosuoja-asetuksen vaatimat dokumentaatiot, joissa listattiin yrityksen henkilörekisterit ja toimitettiin seloste yrityksen henkilötietojen käsittelytoimista. Samalla poistettiin kaikki van-hentuneet tai ilman oikeutusta säilytettävät henkilörekisterit.
EU:n tietosuoja-asetus saattaa vaikuttaa vaativalta toteuttaa pienissä yrityksissä ja yhtei-söissä, mutta monessa tapauksessa pelkällä ohjeistuksella, toimintatapojen muutoksella ja toimien perustelulla saavutetaan riittävä taso. Laajasti tai arkaluontoisia henkilötietoja käsittelevillä yrityksillä kannattaa tietosuoja-asetukseen suhtautua sen ansaitsemalla vakavuudella ja tehdä kattavat selvitykset yrityksen henkilörekistereistä ja järjestelmistä.