EU:n tietosuoja-asetukseen valmistautuminen mikroyrityksessä
Rautio, Vesa (2018)
Rautio, Vesa
Haaga-Helia ammattikorkeakoulu
2018
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2018120420072
https://urn.fi/URN:NBN:fi:amk-2018120420072
Tiivistelmä
Tämän toiminnallisen opinnäytetyön tarkoituksena on toteuttaa pienyrityksessä projekti, jossa yrityksen asiakas- ja markkinointirekisterien henkilötietojen käsittely saatetaan vastaamaan EU:n yleisen tietosuoja-asetuksen vaatimuksia. Projekti sisältää yrityksen tietosuojaselosteiden sekä muiden dokumenttien ja henkilötietojen käsittelyprosessien ja järjestelmien päivittämisen tietosuoja-asetuksen mukaisiksi. Projektin tuotoksena syntyi järjestelmiin tehtyjen muutosten lisäksi asetuksen mukainen ohjeistus henkilötietojen käsittelyyn sekä dokumentaatio yrityksen asiakkaiden henkilötietojen käsittelystä.
Opinnäytetyön tietoperustassa selvitetään datan sekä asiakas- ja henkilörekisterien merkitys yritysten toiminnalle sekä käydään läpi organisaation kannalta oleelliset kohdat ja vaatimukset EU:n tietosuoja-asetuksesta. Tietosuoja-asetuksen yhtenä tarkoituksena on ohjata organisaatioita kohti entistä läpinäkyvämpään henkilötietojen käsittelyä. Tietosuoja-asetus tuokin organisaatioille osoitusvelvollisuuden, joka tarkoittaa, että henkilötietolaista poiketen organisaatiolla on nyt velvollisuus osoittaa noudattavansa tietosuoja-asetusta. Tämä tarkoittaa käytännössä organisaatioissa noudatettavien käytänteiden dokumentointia.
Empiriassa on kuvattu yrityksessä toteutettu projekti, jolla päivitettiin rekisterien henkilötietojen käsittely täyttämään EU:n tietosuoja-asetuksen vaatimukset. Empiriassa käydään ensimmäisenä läpi projektisuunnitelman laadinta, joka sisältää projektin tavoitteen, kohderyhmät sekä projektin onnistumista mahdollisesti uhkaavat riskit. Projektisuunnitelman jälkeen kuvataan projektin toteutusvaihe. Kuvauksessa tarkastellaan muun muassa kohdeyrityksen asiakkaiden henkilötietojen kulkua asiakas- ja markkinointirekisteriin sekä rekistereistä yhteistyökumppaneille. Rekisterien sisältämät tiedot muodostuvat rekisteröidyiltä kerätyistä tiedoista sekä tilaus-, toimitusprosessin aikana syntyvistä tiedoista. Rekisterien tietoja siirretään kolmansille osapuolille pääasiassa vain sopimuksesta syntyneiden velvoitteiden toteuttamiseksi. Tällaisia kolmansia osapuolia ovat järjestelmien toimittajat, logistiikkakumppanit sekä maksutapojen toimittajat.
Projektin toteutusvaiheeseen päästiin vasta melko lähellä asetuksen siirtymäajan päättymistä. Toteutusvaiheessa suoritettiin kartoitusvaiheessa määritetyt toimenpiteet, jonka jälkeen uudistukset testattiin kolmivaiheisesti. Yksikkövaiheessa tarkastuslomakkeen avulla testattiin yksittäisten osa-alueiden vastaavuus tietosuoja-asetuksen kanssa. Järjestelmätestauksessa testattiin järjestelmään lisättyjen ominaisuuksien toimivuus. Viimeisenä toteutettiin toimenpidetestaus, jossa testattiin yksiköiden ja järjestelmän kokonaistoimivuutta käymällä läpi erilaisia skenaarioita.
Opinnäytetyön viimeisenä osuutena on pohdinta, jossa analysoidaan ja arvioidaan projektin ja opinnäytetyön onnistumista sekä mietitään keinoja projektin parantamiseksi. Pohdinnassa kiinnitetään huomiota haasteisiin, joita tietosuoja-asetuksen tulkinnanvaraisuudesta aiheutui projektin toteutukselle. Opinnäytetyönä toteutettu projekti onnistui suunnitelmien mukaan vaikka viimeinen kokonaistoimivuutta mittaava toimenpidetestaus saatiinkin suoritettua vasta lomien jälkeen elokuussa. Tietosuoja-asetuksen kannalta oleelliset kokonaisuudet saatiin valmiiksi suunnitellussa aikataulussa ennen tietosuoja-asetuksen siirtymäajan päättymistä.
Opinnäytetyön tietoperustassa selvitetään datan sekä asiakas- ja henkilörekisterien merkitys yritysten toiminnalle sekä käydään läpi organisaation kannalta oleelliset kohdat ja vaatimukset EU:n tietosuoja-asetuksesta. Tietosuoja-asetuksen yhtenä tarkoituksena on ohjata organisaatioita kohti entistä läpinäkyvämpään henkilötietojen käsittelyä. Tietosuoja-asetus tuokin organisaatioille osoitusvelvollisuuden, joka tarkoittaa, että henkilötietolaista poiketen organisaatiolla on nyt velvollisuus osoittaa noudattavansa tietosuoja-asetusta. Tämä tarkoittaa käytännössä organisaatioissa noudatettavien käytänteiden dokumentointia.
Empiriassa on kuvattu yrityksessä toteutettu projekti, jolla päivitettiin rekisterien henkilötietojen käsittely täyttämään EU:n tietosuoja-asetuksen vaatimukset. Empiriassa käydään ensimmäisenä läpi projektisuunnitelman laadinta, joka sisältää projektin tavoitteen, kohderyhmät sekä projektin onnistumista mahdollisesti uhkaavat riskit. Projektisuunnitelman jälkeen kuvataan projektin toteutusvaihe. Kuvauksessa tarkastellaan muun muassa kohdeyrityksen asiakkaiden henkilötietojen kulkua asiakas- ja markkinointirekisteriin sekä rekistereistä yhteistyökumppaneille. Rekisterien sisältämät tiedot muodostuvat rekisteröidyiltä kerätyistä tiedoista sekä tilaus-, toimitusprosessin aikana syntyvistä tiedoista. Rekisterien tietoja siirretään kolmansille osapuolille pääasiassa vain sopimuksesta syntyneiden velvoitteiden toteuttamiseksi. Tällaisia kolmansia osapuolia ovat järjestelmien toimittajat, logistiikkakumppanit sekä maksutapojen toimittajat.
Projektin toteutusvaiheeseen päästiin vasta melko lähellä asetuksen siirtymäajan päättymistä. Toteutusvaiheessa suoritettiin kartoitusvaiheessa määritetyt toimenpiteet, jonka jälkeen uudistukset testattiin kolmivaiheisesti. Yksikkövaiheessa tarkastuslomakkeen avulla testattiin yksittäisten osa-alueiden vastaavuus tietosuoja-asetuksen kanssa. Järjestelmätestauksessa testattiin järjestelmään lisättyjen ominaisuuksien toimivuus. Viimeisenä toteutettiin toimenpidetestaus, jossa testattiin yksiköiden ja järjestelmän kokonaistoimivuutta käymällä läpi erilaisia skenaarioita.
Opinnäytetyön viimeisenä osuutena on pohdinta, jossa analysoidaan ja arvioidaan projektin ja opinnäytetyön onnistumista sekä mietitään keinoja projektin parantamiseksi. Pohdinnassa kiinnitetään huomiota haasteisiin, joita tietosuoja-asetuksen tulkinnanvaraisuudesta aiheutui projektin toteutukselle. Opinnäytetyönä toteutettu projekti onnistui suunnitelmien mukaan vaikka viimeinen kokonaistoimivuutta mittaava toimenpidetestaus saatiinkin suoritettua vasta lomien jälkeen elokuussa. Tietosuoja-asetuksen kannalta oleelliset kokonaisuudet saatiin valmiiksi suunnitellussa aikataulussa ennen tietosuoja-asetuksen siirtymäajan päättymistä.