Tietosuojan vaikutustenarviointi (DPIA): Rego-järjestelmä

Abstract

Tämä opinnäytetyö on tehty Tampereen ammattikorkeakoululle (TAMK) tarkoituksena tuottaa kokonaisvaltainen tietosuojan vaikutustenarviointi (DPIA) Rego-järjestelmästä. Työn tavoitteena on varmistaa, että Rego-järjestelmän DPIA vastaa nykytilannetta ja että järjestelmä toimii tehokkaana työkaluna tietosuoja-asetuksen (GDPR) vaatimusten toteuttamisessa sekä helpottaa mahdollisten riskien tunnistamista ja hallintaa. Työssä tarkastellaan DPIA-prosessia kokonaisuutena ja keskitytään sen oikeudelliseen kehykseen sekäprosessin uhkiin ja mahdollisuuksiin. Lisäksi analysoidaan, millaisia vaikutuksia DPIA:lla on rekisteröityihin.

Opinnäytetyö on toiminnallinen, ja sen yhteydessä laadittiin Rego-järjestelmän tietosuojan vaikutustenarviointi excel-muodossa, joka on tarkoitettu vain TAMK:in sisäiseen käyttöön. Tässä opinnäytetyössä käytettiin dokumenttianalyysiä, jonka kohteena olivat Tampereen ammattikorkeakoulun sisäiset raportit, järjestelmään liittyvät dokumentaatiot sekä GDPR:n vaatimuksia koskevat ohjeistukset ja kansalliset aiheeseen liittyvät säädökset.

Vaikutustenarvioinnin perusteella havaittiin, että DPIA-prosessin toteutus Rego-järjestelmän kohdalla on toteutettu noudattaen tietosuojalainsäädännön vaatimuksia sekä organisaation sisäisiä ohjeistuksia. Riskiluvut jäivät huolellisentarkastelun jälkeen hyväksyttävälle tasolle. Toimenpiteinä jatkoa varten tilanteen ylläpitämiseksi esitettiin esimerkiksi teknisten järjestelmien jatkuvaa seurantaa ja myös automatisoitujen toimenpiteiden varmistamista säännöllisin väliajoin. Suojatoimenpiteenä korostettiin myös henkilöstön jatkuvaa kouluttamista.

This thesis was done for Tampere University of Applied Sciences (TAMK) and its purpose is to produce a Data Protection Impact Assessment (DPIA) for the Rego platform. The goal is to make sure that the previously made DPIA is correct and up to date and that it works as an effective tool to meet the requirements of GDPR, while also helping the company to identify and manage any possible risks. In this thesis, the DPIA process is reviewed from a wide perspective, but mainly focusing on its legal background, the risks and opportunities involved, and also how it might impact data subjects.

This is a functional thesis that includes creating a DPIA for the Rego platform in excel format, intended for internal use only by TAMK. The thesis is based on document analysis and the focus was TAMK’s internal reports as well as the program involving documentation, GDPR guidelines, and related national laws.

The DPIA showed that the process for the Rego system followed both data protection laws and internal company rules. The risks were reviewed carefully and were considered acceptable. The DPIA has helped the organization make improvements and handle risks more effectively. In the future the systems should be checked regularly, make sure automated actions work as expected, and keep staff well trained.