Tietosuojan hallintamallin laatiminen

Abstract

Sain inspiraation tähän opinnäytteeseen työskennellessäni tietosuojavastaavana organisaatiossa, joka toimi rekisterinpitäjänä useissa hyvin erilaisissa henkilörekistereissä. Käytänteet, menettelyt ja jopa rekisteröinnin perusteet vaihtelivat voimakkaasti ja teki kokonaisuuden hallinnasta haastavaa. Esille nousi usein ajatus toimintamallien yhdenmukaistamisesta. Vaatimukset jo lainsäädännön minimi tason täyttämisellekin kuitenkin poikkesivat toisistaan merkittävästi. Kaik-ki vaatimukset eivät koske kaikkia henkilörekistereitä ja ajatus, että pienimpiäkin sisäiseen käyttöön tarkoitettuja rekistereitä hallittaisiin samoin menettelyin kuin suurimpia tuntui tarpeettoman raskaalta. Pitäisi siis luoda malli, jota voi skaalata kohteen mukaan.

Työssä käydään läpi keskeisimmät tietosuojaa säätelevät normit ja niiden valvonta. Työssä keskitytään kuitenkin pääasiassa niihin menettelyihin ja toimintamalleihin, joilla nämä saadaan toteutettua käytännössä.

Työ luo kuvan tietosuojan kokonaisuudesta ja antaa mallin sen hallitsemiseksi. Malli soveltuu useimpien organisaatioiden käyttöön riippumatta sen toimialasta tai koosta. Malli on muokattavissa kunkin organisaation tarpeiden mukaiseksi.

Inspiration to this Masters thesis came when I worked as Data Protection Officer in an organization that was data controller in multiple very different personal registers. Practices, procedures and even the basis for registrations varied widely and made management difficult. The idea of making these as similar as possible in all the personal registers came up. Even minimum requirements to obey the law were very different between registers. All the requirements do not affect all the registers and the idea that even the smallest internal registers would require the same procedures as the large ones seemed unnecessarily difficult. The model that could be scaled in every register to meet the requirements and best practices was needed.

This Masters thesis introduces essential norms in data protection and how they are governed. It concentrates mainly in practical procedures and practices that should be done to meet the criteria described in these norms.

This thesis gives you big picture of data protection and a model to manage it. This model suits to most organizations no matter the field or size. The introduced model can be scaled to fit each organizations needs.