Tietosuojaperiaatteiden toteutumisen mittaaminen julkishallinnon organisaatiossa

Abstract

EU:n yleisen tietosuoja-asetuksen (EU:n yleinen tietosuoja-asetus 2016/679) yksi vaatimus on nimittää tietosuojavastaava käsiteltäessä laajamittaisesti henkilötietoja. Tietosuojavastaavan tehtävään kuuluu johdolle raportointi, josta on kirjoitettu vain vähän alan kirjallisuudessa.

Opinnäytetyön tavoite oli selvittää EU:n yleisen tietosuoja-asetuksen tietosuojaperiaatteiden toteutumisen mittaamista. Opinnäytetyö oli case-tutkimus, jonka kehittämistehtävän tarkoituksena oli laatia kehittämissuunnitelma julkishallinnon organisaation toimeksiantajalle tietosuojaperiaatteiden toteutumisen mittaamiseksi ja raportoinnin kehittämiseksi.

Tutkimusmenetelmäksi valittiin laadullinen tutkimus. Tutkittavaa ilmiötä lähestyttiin teoreettisen aineistoanalyysin ja teemahaastattelun aineiston perusteella. Laadullisessa tutkimuksessa teoreettinen viitekehys muodostettiin EU:n yleisen tietosuoja-asetuksen, tietosuojaperiaatteiden vaatimusten ja alan kirjallisuuden sekä ISO/IEC-standardien ympärille. Teoreettinen viitekehys täydennettiin mittaamisen menetelmien ja raportoinnin kirjallisuudella. Laadullisen tutkimuksen empiirisenä osuutena toteutettiin eri asiantuntijoille teemahaastatteluja, joissa tutkittavaa ilmiötä lähestyttiin teemojen riskienhallinta, raportointi ja mittaaminen avulla.

Tutkimuksen tärkeimmät löydökset tietosuojaperiaatteiden toteutumisen mittaamiseksi ovat tietosuojan hallintajärjestelmän, tietosuojan vaikutustenarvioinnin ja tietosuojavaatimusten mittaaminen joko sidosryhmittäin tai projektien kautta. Keskeisin löydös raportoinnin kehittämiseksi on ESG-raportoinnin hyödyntäminen raportointirakenteen laatimisessa. Kehittämissuunnitelmassa esitetään eri vaihtoehtoja tietosuojaperiaatteiden toteutumisen mittaamiseksi ja raportoinnin kehittämiseksi.

Esitettyjen mittareiden käyttöönotosta on merkittävää hyötyä ajantasaisen raportoinnin kehittämiseksi johdon päätöksenteon tueksi ja periaatteiden mittaamiseksi. Esitettyjen menetelmien avulla raportointi tietosuojaperiaatteiden toteutumisesta viedään osaksi organisaation raportointisykliä, ja siten kehitetään johdon kokonaiskuvaa organisaation tilasta.

The objective of this thesis was to gather information about how to measure the implementation of Data Protection Principles. The purpose of the thesis was to prepare a development plan for the client at the public administration organisation to measure the implementation of Data Protection Principles and to develop reporting.

This study was carried out as a case-study. The theoretical framework was supplemented with literature on measurement methods and reporting. The empirical part consists of a theme interview with six experts. The phenomenon was approached using the themes of risk management, reporting, and measurement. The data were analysed using qualitative content analysis.

The main founding in this study is the measuring of the Privacy Information Management System (PIMS), Data Protection Impact Assessment (DPIA) and/or Data Protection requirements by target groups or through projects. These results suggest using ESG reporting as a structure to develop the reporting.

In this study presented alternatives has significant benefit for the decision-making and to measure Data Protection Principles. With these presented methods, reporting on the Data Protection requirements and principles will be included as part of the organisation's reporting cycle. Thus, the management’s overall picture of the organisation's state is developed.