Tietosuojatyön toteuttaminen osana organisaation strategiaa
Korhonen, Mari-Ilona (2025)
2025
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2025052817239
https://urn.fi/URN:NBN:fi:amk-2025052817239
Tiivistelmä
Yleinen tietosuoja-asetus asettaa rekisterinpitäjille useita vaatimuksia, joiden noudattaminen edellyttää rekisterinpitäjiltä erinäisiä toimenpiteitä, kuten henkilötietojen käsittelyn dokumentointia. Toimenpiteiden käytännön toteuttaminen voi edellyttää, että organisaatio laatii strategian tai muun suunnitelman, jossa määritetään toimenpiteitä ja niiden vastuita.
Tutkimus rajautui tele- ja finanssialan toimijoihin. Opinnäytetyössä selvitettiin, ovatko tele- ja finanssialan toimijat laatineet tietosuojastrategiaa tai muuta suunnitelmaa tietosuojasääntelyn toteuttamiseksi sekä millä käytännön keinoin tietosuojasääntelyä jalkautetaan ja toteutetaan organisaatioissa. Opinnäytetyön teoreettinen viitekehys muodostui strategian johtamisesta ja strategian käytännön toteuttamisesta. Teoreettisessa viitekehyksessä käsiteltiin lisäksi yleisen tietosuoja-asetuksen keskeisimpiä vaatimuksia osoitusvelvollisuuden näkökulmasta ja tietosuojan merkitystä osana vastuullisuutta.
Tutkimus toteutettiin tapaustutkimuksena. Tutkimuksen aineiston hankintamenetelmänä käytettiin puolistrukturoitua haastattelua. Tutkimuksessa haastateltiin viiden tele- ja finanssialan organisaation edustajaa tietosuojavastaavan, tietosuojajuristin ja tietosuojapäällikön tehtävistä. Haastattelut toteutettiin huhtikuussa 2025.
Tutkimuksen perusteella organisaatioissa ei ole laadittu nimenomaisesti tietosuojastrategiaa. Tutkimuksen kohteena olevissa organisaatioissa on laadittu muunlaisia suunnitelmia ja tietosuojatyön tavoitteita kuvaavia dokumentteja. Tietosuoja otetaan huomioon tutkimuksen kohteena olevissa organisaatiossa esimerkiksi osana organisaation riskienhallintaa ja vaatimuksenmukaisuutta eli compliancea tai osana vastuullisuusstrategiaa tai regulaatiostrategiaa.
Tutkimuksen kohteena olevat organisaatiot jalkauttavat tietosuojasääntelyn vaatimuksia esimerkiksi koulutuksilla. Tietosuojatyön jalkauttamisessa keskeistä on roolien ja vastuiden määrittäminen.
Tutkimus rajautui tele- ja finanssialan toimijoihin. Opinnäytetyössä selvitettiin, ovatko tele- ja finanssialan toimijat laatineet tietosuojastrategiaa tai muuta suunnitelmaa tietosuojasääntelyn toteuttamiseksi sekä millä käytännön keinoin tietosuojasääntelyä jalkautetaan ja toteutetaan organisaatioissa. Opinnäytetyön teoreettinen viitekehys muodostui strategian johtamisesta ja strategian käytännön toteuttamisesta. Teoreettisessa viitekehyksessä käsiteltiin lisäksi yleisen tietosuoja-asetuksen keskeisimpiä vaatimuksia osoitusvelvollisuuden näkökulmasta ja tietosuojan merkitystä osana vastuullisuutta.
Tutkimus toteutettiin tapaustutkimuksena. Tutkimuksen aineiston hankintamenetelmänä käytettiin puolistrukturoitua haastattelua. Tutkimuksessa haastateltiin viiden tele- ja finanssialan organisaation edustajaa tietosuojavastaavan, tietosuojajuristin ja tietosuojapäällikön tehtävistä. Haastattelut toteutettiin huhtikuussa 2025.
Tutkimuksen perusteella organisaatioissa ei ole laadittu nimenomaisesti tietosuojastrategiaa. Tutkimuksen kohteena olevissa organisaatioissa on laadittu muunlaisia suunnitelmia ja tietosuojatyön tavoitteita kuvaavia dokumentteja. Tietosuoja otetaan huomioon tutkimuksen kohteena olevissa organisaatiossa esimerkiksi osana organisaation riskienhallintaa ja vaatimuksenmukaisuutta eli compliancea tai osana vastuullisuusstrategiaa tai regulaatiostrategiaa.
Tutkimuksen kohteena olevat organisaatiot jalkauttavat tietosuojasääntelyn vaatimuksia esimerkiksi koulutuksilla. Tietosuojatyön jalkauttamisessa keskeistä on roolien ja vastuiden määrittäminen.