Defining GDPR and its impact : a case study on two organisations
Sarsala, Leena (2023)
2023
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2023060622254
https://urn.fi/URN:NBN:fi:amk-2023060622254
Tiivistelmä
Tämän opinnäytetyön tavoite on selvittää mikä GDPR on ja miten kaksi esimerkkiorganisaatiota ovat joutuneet tekemään noudattaakseen sitä. Valitut esimerkki organisaatiot ovat Turku AMK ja Lowell, ammattikorkeakoulu ja perintäyhtiö koska niillä molemmilla on suuria määriä ihmisten henkilötietoja.
Ensin GDPR, General Data Protection Regulation eli EU:n tietosuojalaki, esitellään ja käydään läpi avainkonseptit henkilötieto ja alkutilanne eli edellinen laki ja miksi sitä oli tarvetta muuttaa. Pääsyyt olivat että edellinen direktiivi oli vuodelta 1995 ja siksi 20 vuotta myöhemmin vanhentunut sekä se, että se oli ollut pohjana useiden eri maiden omille tietosuojalainsäädännöille ja kansainvälisten yritysten oli vaikea toimia useissa maissa niiden lainsäädäntöjen mukaan ja tätä haluttiin helpottaa.
Tiedonhankintamenetelmänä oli haastattelu, molemmat esimerkkiorganisaatiot täyttivät sähköpostitse kyselyn. Näiden tulos oli että molemmat organisaatiot olivat käyttäneet paljon aikaa noudattaakseen tietosuojalakia, hieman yli vuoden joka on vähän yli keskiarvon. Kumpikaan ei tahtonut kertoa paljonko tämä oli maksanut, mutta toisen tutkimuksen mukaan EU:n keskiarvo samankokoisissa organisaatioissa (alle 500 henkeä) oli 50 000e. The goal of this thesis is to find out what GDPR is and what it has taken from the two case study organisations to comply with the regulation. The two organisations chosen were TUAS and Lowell, a university and a collection agency, because they both have large databases of people’s information.
Firstly GDPR, General Data Protection Regulation, was introduced as well as key concepts such as customer data and the previous regulation and why there was ne need to update it. The main reasons were that the previous regulation was from 1995 and therefore out of date 20 years later as well as it being a guideline that member countries had used to create their own regulation and it was difficult for companies to work in several EU countries and work with several different sets of regulations.
The method used was interview, both organisations responded to an e-mail questionnaire. The findings were that both organisations had spent quite a lot of time, over a year, to be compliant and that is slightly longer than the EU average. Neither were willing to disclose how much it had cost to become compliant but the EU average according to another study is 50 000e in similar size companies.
Ensin GDPR, General Data Protection Regulation eli EU:n tietosuojalaki, esitellään ja käydään läpi avainkonseptit henkilötieto ja alkutilanne eli edellinen laki ja miksi sitä oli tarvetta muuttaa. Pääsyyt olivat että edellinen direktiivi oli vuodelta 1995 ja siksi 20 vuotta myöhemmin vanhentunut sekä se, että se oli ollut pohjana useiden eri maiden omille tietosuojalainsäädännöille ja kansainvälisten yritysten oli vaikea toimia useissa maissa niiden lainsäädäntöjen mukaan ja tätä haluttiin helpottaa.
Tiedonhankintamenetelmänä oli haastattelu, molemmat esimerkkiorganisaatiot täyttivät sähköpostitse kyselyn. Näiden tulos oli että molemmat organisaatiot olivat käyttäneet paljon aikaa noudattaakseen tietosuojalakia, hieman yli vuoden joka on vähän yli keskiarvon. Kumpikaan ei tahtonut kertoa paljonko tämä oli maksanut, mutta toisen tutkimuksen mukaan EU:n keskiarvo samankokoisissa organisaatioissa (alle 500 henkeä) oli 50 000e.
Firstly GDPR, General Data Protection Regulation, was introduced as well as key concepts such as customer data and the previous regulation and why there was ne need to update it. The main reasons were that the previous regulation was from 1995 and therefore out of date 20 years later as well as it being a guideline that member countries had used to create their own regulation and it was difficult for companies to work in several EU countries and work with several different sets of regulations.
The method used was interview, both organisations responded to an e-mail questionnaire. The findings were that both organisations had spent quite a lot of time, over a year, to be compliant and that is slightly longer than the EU average. Neither were willing to disclose how much it had cost to become compliant but the EU average according to another study is 50 000e in similar size companies.