Osoitusvelvollisuus osana tietosuoja- ja tietoturvapolitiikkaa
Mickos, Sinikka (2020)
Mickos, Sinikka
2020
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2020052513476
https://urn.fi/URN:NBN:fi:amk-2020052513476
Tiivistelmä
Alati kiihtyvällä vauhdilla kehittyvä ja kansainvälistyvä teknologia ja digitaalisten
palveluiden käytön kasvu velvoittavat myös rekisterinpitäjää muutoksiin henkilötietojen lainmukaisessa käsittelyssä. Suomessa on vuoden 2019 alusta astunut voimaan tietosuojalaki, joka täydentää kansallisen liikkumavaran osalta EU:n yleistä tietosuoja-asetusta (General Data Protection Regulation eli GDPR). GDPR toi mukanaan koko EU:n alueella huomattavia uudistuksia tietosuojan sääntelyyn. Yksi huomattavimmista uudistuksista on rekisterinpitäjän osoitusvelvollisuus. Vankan alustan organisaation rekisterinpitäjän osoitusvelvollisuuden noudattamiseksi luo kattava ja ajan tasalla oleva tietosuoja- ja tietoturvapolitiikka.
Tässä opinnäytetyössä tutkittiin rekisterinpitäjän osoitusvelvollisuuden edellyttämien tietosuojaperiaatteiden toteutumista Lapinjärven kunnassa selvittämällä kunnan uudistetun tietosuoja- ja tietoturvapolitiikan lisäksi tehtyjen toimenpiteiden kattavuutta tietosuoja-asetuksen osoitusvelvollisuuden näkökulmasta. Osoitusvelvollisuus vaatii, että organisaation on kyettävä osoittamaan noudattavansa lainsäädäntöä kaikissa henkilötietojen käsittelyprosessien toiminnoissaan. Työn tutkimusmenetelmä oli kvalitatiivinen ja tutkimus- ja tiedonkeruumenetelminä hyödynnettiin kolmen kunnan tietosuojavastaavista ja ICT-johdosta muodostuvan GDPR-työryhmän ryhmäkeskusteluja ja sisäpiirihaastatteluja.
Tutkimuksen tuloksena organisaatiolle tuotettiin kattava kartoitus nykytilasta rekisterinpitäjän osoitusvelvollisuuden toteuttamiseksi, jossa tärkeimpinä toimina esille nousivat tietosuojavastaavan nimeäminen ja toteutetut GDPR-projektit. Työn kehittämisehdotuksista kärkeen nousivat tietosuojavastaavan merkityksen korostaminen, sekä tietosuojan vuosikellon ja tietotilinpäätöksen toteuttamissuunnitelmat. Lisäksi työn tuloksena voidaan todeta, että tietosuojatyön siirtyessä tietosuojahankkeista osaksi koko organisaation jokapäiväistä arkea, voidaan tietosuoja-asetuksen noudattamisen todeta jatkossa olevan organisaatiolle yksi menestyksen tekijöistä.
palveluiden käytön kasvu velvoittavat myös rekisterinpitäjää muutoksiin henkilötietojen lainmukaisessa käsittelyssä. Suomessa on vuoden 2019 alusta astunut voimaan tietosuojalaki, joka täydentää kansallisen liikkumavaran osalta EU:n yleistä tietosuoja-asetusta (General Data Protection Regulation eli GDPR). GDPR toi mukanaan koko EU:n alueella huomattavia uudistuksia tietosuojan sääntelyyn. Yksi huomattavimmista uudistuksista on rekisterinpitäjän osoitusvelvollisuus. Vankan alustan organisaation rekisterinpitäjän osoitusvelvollisuuden noudattamiseksi luo kattava ja ajan tasalla oleva tietosuoja- ja tietoturvapolitiikka.
Tässä opinnäytetyössä tutkittiin rekisterinpitäjän osoitusvelvollisuuden edellyttämien tietosuojaperiaatteiden toteutumista Lapinjärven kunnassa selvittämällä kunnan uudistetun tietosuoja- ja tietoturvapolitiikan lisäksi tehtyjen toimenpiteiden kattavuutta tietosuoja-asetuksen osoitusvelvollisuuden näkökulmasta. Osoitusvelvollisuus vaatii, että organisaation on kyettävä osoittamaan noudattavansa lainsäädäntöä kaikissa henkilötietojen käsittelyprosessien toiminnoissaan. Työn tutkimusmenetelmä oli kvalitatiivinen ja tutkimus- ja tiedonkeruumenetelminä hyödynnettiin kolmen kunnan tietosuojavastaavista ja ICT-johdosta muodostuvan GDPR-työryhmän ryhmäkeskusteluja ja sisäpiirihaastatteluja.
Tutkimuksen tuloksena organisaatiolle tuotettiin kattava kartoitus nykytilasta rekisterinpitäjän osoitusvelvollisuuden toteuttamiseksi, jossa tärkeimpinä toimina esille nousivat tietosuojavastaavan nimeäminen ja toteutetut GDPR-projektit. Työn kehittämisehdotuksista kärkeen nousivat tietosuojavastaavan merkityksen korostaminen, sekä tietosuojan vuosikellon ja tietotilinpäätöksen toteuttamissuunnitelmat. Lisäksi työn tuloksena voidaan todeta, että tietosuojatyön siirtyessä tietosuojahankkeista osaksi koko organisaation jokapäiväistä arkea, voidaan tietosuoja-asetuksen noudattamisen todeta jatkossa olevan organisaatiolle yksi menestyksen tekijöistä.