Yleisen tietosuoja-asetuksen vaatimukset ICT-palveluntuottajalla
Sieppi, Jarmo (2025)
2025
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2025120131332
https://urn.fi/URN:NBN:fi:amk-2025120131332
Tiivistelmä
Tämän opinnäytetyön tavoitteena oli tarkastella, miten tietosuoja toteutuu ICT-palveluntuottajan toiminnassa ja millä tavoin osoitusvelvollisuus voidaan hallinnollisesti ja teknisesti todennettavasti osoittaa. Opinnäytetyö tarkasteli tietosuojaa kokonaisuutena, jossa juridinen sääntely, hallinnollinen ohjaus ja tekninen toteutus muodostivat toisiinsa kytkeytyvän rakenteen. Tavoitteena oli jäsentää nämä osa-alueet ja tuoda esiin se, miten ne vaikuttavat palveluntuottajan vastuisiin ja velvoitteiden hallintaan.
Opinnäytetyö toteutettiin laadullisena, lainopillista näkökulmaa hyödyntävänä kirjallisuustutkimuksena. Lähdemateriaalina käytettiin Euroopan unionin ja kansallista tietosuojalainsäädäntöä, viranomaisohjeita, standardeja sekä kotimaista ja kansainvälistä tutkimuskirjallisuutta. Lisäksi työssä hyödynnettiin Psykoterapiakeskus Vastaamon tapausta, jonka avulla tarkasteltiin tietosuojan hallinnollisen vastuun ja osoitusvelvollisuuden merkitystä käytännössä.
Tutkimuksen tulokset osoittavat, että tietosuojan vaikuttava toteutuminen perustuu kolmen tason hallintaan: juridiseen, hallinnolliseen ja tekniseen. Osoitusvelvollisuus ei toteudu pelkällä dokumentoinnilla, vaan se edellyttää rakenteista hallintamallia, jatkuvaa seurantaa ja sopimuksellista vastuunjakoa rekisterinpitäjän ja käsittelijän välillä. Hallintamalli ja toimintamalli muodostivat yhdessä kehyksen, joka mahdollistaa tietosuojan todennettavuuden sekä riskienhallinnan koko palveluketjussa.
Opinnäytetyö osoitti, että tietosuoja kuuluu ICT-palveluntuottajan kokonaisvaltaiseen johtamisjärjestelmään ja vastuullisuuteen. Jatkokehityksenä ehdotettiin esitetyn hallintamallin ja arviointikehikoiden jalostamista roolikohtaiseksi kypsyystason malliksi, jota johto, hallinto ja tekniset asiantuntijat voisivat hyödyntää organisaation vaatimustenmukaisuuden arviointiin ja osoittamiseen systemaattisesti. The objective of this thesis was to examine how data protection is implemented in the operations of an ICT service provider and in what ways accountability can be demonstrated, administratively and technically, in a verifiable manner. The thesis examined data protection as an integrated whole in which legal regulation, administrative governance, and technical implementation formed an interconnected structure. The aim was to structure these elements and highlight how they affect the service provider’s responsibilities and the management of obligations.
The thesis was conducted as a qualitative literature study employing a legal perspective. The source material consisted of European Union and national data protection legislation, regulatory guidance, standards, and both domestic and international research literature. In addition, the case of the Psychotherapy Center Vastaamo was used to examine the practical significance of administrative responsibility and accountability in data protection.
The findings show that effective implementation of data protection rests on management at three levels: legal, administrative, and technical. Accountability is not achieved through documentation alone; it requires a structured governance model, continuous monitoring, and the contractual allocation of responsibilities between the controller and the processor. The governance model and the operating model together formed a framework that enables the verifiability of data protection and comprehensive risk management throughout the service chain.
The thesis demonstrated that data protection is part of an ICT service provider’s overall management system and corporate responsibility. As a direction for further development, it was proposed that the presented governance model and assessment frameworks be refined into a role-specific maturity model that management, administration, and technical experts could use to systematically assess and demonstrate organizational compliance.
Opinnäytetyö toteutettiin laadullisena, lainopillista näkökulmaa hyödyntävänä kirjallisuustutkimuksena. Lähdemateriaalina käytettiin Euroopan unionin ja kansallista tietosuojalainsäädäntöä, viranomaisohjeita, standardeja sekä kotimaista ja kansainvälistä tutkimuskirjallisuutta. Lisäksi työssä hyödynnettiin Psykoterapiakeskus Vastaamon tapausta, jonka avulla tarkasteltiin tietosuojan hallinnollisen vastuun ja osoitusvelvollisuuden merkitystä käytännössä.
Tutkimuksen tulokset osoittavat, että tietosuojan vaikuttava toteutuminen perustuu kolmen tason hallintaan: juridiseen, hallinnolliseen ja tekniseen. Osoitusvelvollisuus ei toteudu pelkällä dokumentoinnilla, vaan se edellyttää rakenteista hallintamallia, jatkuvaa seurantaa ja sopimuksellista vastuunjakoa rekisterinpitäjän ja käsittelijän välillä. Hallintamalli ja toimintamalli muodostivat yhdessä kehyksen, joka mahdollistaa tietosuojan todennettavuuden sekä riskienhallinnan koko palveluketjussa.
Opinnäytetyö osoitti, että tietosuoja kuuluu ICT-palveluntuottajan kokonaisvaltaiseen johtamisjärjestelmään ja vastuullisuuteen. Jatkokehityksenä ehdotettiin esitetyn hallintamallin ja arviointikehikoiden jalostamista roolikohtaiseksi kypsyystason malliksi, jota johto, hallinto ja tekniset asiantuntijat voisivat hyödyntää organisaation vaatimustenmukaisuuden arviointiin ja osoittamiseen systemaattisesti.
The thesis was conducted as a qualitative literature study employing a legal perspective. The source material consisted of European Union and national data protection legislation, regulatory guidance, standards, and both domestic and international research literature. In addition, the case of the Psychotherapy Center Vastaamo was used to examine the practical significance of administrative responsibility and accountability in data protection.
The findings show that effective implementation of data protection rests on management at three levels: legal, administrative, and technical. Accountability is not achieved through documentation alone; it requires a structured governance model, continuous monitoring, and the contractual allocation of responsibilities between the controller and the processor. The governance model and the operating model together formed a framework that enables the verifiability of data protection and comprehensive risk management throughout the service chain.
The thesis demonstrated that data protection is part of an ICT service provider’s overall management system and corporate responsibility. As a direction for further development, it was proposed that the presented governance model and assessment frameworks be refined into a role-specific maturity model that management, administration, and technical experts could use to systematically assess and demonstrate organizational compliance.