EU:n yleisen tietosuoja-asetuksen osoitusvelvollisuus: Tietosuojaperiaatteiden toteuttaminen kohdeyrityksessä
Wallin, Päivi (2020)
2020
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2020061118395
https://urn.fi/URN:NBN:fi:amk-2020061118395
Tiivistelmä
Opinnäytetyön tarkoituksena oli tutkia ja kehittää EU:n yleisen tietosuoja-asetuksen (GDPR) mukaisten tietosuojaperiaatteiden toteuttamista kohdeyrityksessä. Asetuksen keskeinen periaate, osoitusvelvollisuus, edellyttää rekisterinpitäjän ei vain noudattavan henkilötiedon käsittelyä koskevia normeja, vaan myös noudattamisen toteennäyttämistä. Tavoitteena oli luoda osoitusvelvollisuutta tukeva dokumentointi ja käytänteet. Osoitusvelvollisuuden toteuttamisessa noudatettiin riskiperusteista näkökulmaa, jossa rekisterinpitäjän toteuttamat toimenpiteet rekisteröidyn oikeuksien suojaamiseksi ovat oikeassa suhteessa henkilötiedon käsittelyn rekisteröidylle aiheutuvaan riskiin nähden. Osoitusvelvollisuuden voidaan nähdä toteutuvan kolmella eri tasolla: yleisissä toimintaperiaatteissa ja politiikoissa, käytännön tietosuojan toteutuksessa ja sen dokumentoinnissa sekä todentamisessa mm. auditointien ja mittareiden avulla.
Opinnäytetyö kuului yritysjuridiikan alaan, ja sen menetelmällinen lähtökohta oli laintulkinta. Tutkimuksen keskeinen lähdeaineisto muodostui tietosuoja-asetuksesta sekä oikeusoppineiden ja tietosuojaviranomaisten laintulkinnoista ja ohjeistuksista. Opinnäytetyö oli toiminnallinen tutkimus, jossa pyrittiin ongelman kuvaamisen lisäksi ratkaisemaan se käytännössä. Toiminnallisessa tutkimuksessa tutkija ei ole kehitettävään kohteeseen nähden ulkopuolinen, vaan osallistuu aktiivisesti organisaation käytänteiden kehittämiseen. Nykytila-analyysia varten hankittiin taustatietoa laadullisin menetelmin kyselylomakkeen ja teemahaastattelun avulla tarkoituksena selvittää henkilökunnan osaaminen ja kohdistaa toimintaan oikeita kehitystoimenpiteitä. Kehitystyötä varten perustettiin ryhmä, jossa oli edustajat keskeisistä toiminnoista.
Tutkimuksen tuloksena kohdeyrityksen dokumentointi ja käytänteet luotiin osoitusvelvollisuuden toteuttamiseksi. Tietotilinpäätöksessä määriteltiin tietosuojan kannalta olennaiset asiat. Siinä kuvattiin mm. yrityksen nykyinen tietoturvan toteuttaminen tietoteknisissä järjestelmissä, tietovarannot, tietosuojaorganisaatio sekä henkilötietojen käsittelykäytännöt. Tietosuoja-asetuksen keskeiset tietosuojaperiaatteet tuotiin käytäntöön laatimalla henkilötiedon lainmukaisen käsittelyn ohjeistus sekä koulutusmateriaali. Tietosuojaorganisaation vastuiden sekä tietosuojan seurantamenetelmien määrittäminen ovat seuraavia askeleita yrityksen tietosuojakulttuurin vakiinnuttamiseksi osaksi yrityksen käytäntöjä.
Opinnäytetyö kuului yritysjuridiikan alaan, ja sen menetelmällinen lähtökohta oli laintulkinta. Tutkimuksen keskeinen lähdeaineisto muodostui tietosuoja-asetuksesta sekä oikeusoppineiden ja tietosuojaviranomaisten laintulkinnoista ja ohjeistuksista. Opinnäytetyö oli toiminnallinen tutkimus, jossa pyrittiin ongelman kuvaamisen lisäksi ratkaisemaan se käytännössä. Toiminnallisessa tutkimuksessa tutkija ei ole kehitettävään kohteeseen nähden ulkopuolinen, vaan osallistuu aktiivisesti organisaation käytänteiden kehittämiseen. Nykytila-analyysia varten hankittiin taustatietoa laadullisin menetelmin kyselylomakkeen ja teemahaastattelun avulla tarkoituksena selvittää henkilökunnan osaaminen ja kohdistaa toimintaan oikeita kehitystoimenpiteitä. Kehitystyötä varten perustettiin ryhmä, jossa oli edustajat keskeisistä toiminnoista.
Tutkimuksen tuloksena kohdeyrityksen dokumentointi ja käytänteet luotiin osoitusvelvollisuuden toteuttamiseksi. Tietotilinpäätöksessä määriteltiin tietosuojan kannalta olennaiset asiat. Siinä kuvattiin mm. yrityksen nykyinen tietoturvan toteuttaminen tietoteknisissä järjestelmissä, tietovarannot, tietosuojaorganisaatio sekä henkilötietojen käsittelykäytännöt. Tietosuoja-asetuksen keskeiset tietosuojaperiaatteet tuotiin käytäntöön laatimalla henkilötiedon lainmukaisen käsittelyn ohjeistus sekä koulutusmateriaali. Tietosuojaorganisaation vastuiden sekä tietosuojan seurantamenetelmien määrittäminen ovat seuraavia askeleita yrityksen tietosuojakulttuurin vakiinnuttamiseksi osaksi yrityksen käytäntöjä.