GDPR:n osoitusvelvollisuuden toteuttaminen organisaatiossa
Nurmi, Mikko (2019)
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2019060916229
https://urn.fi/URN:NBN:fi:amk-2019060916229
Tiivistelmä
Nykypäivänä, alati kehittyvässä ja kansainvälistyvässä teknologiaympäristössämme yrityksen sitoutuminen henkilötietojen turvalliseen ja oikeaoppiseen käsittelyyn kasvaa jatkuvissa määrin. Samalla yrityksen tarve omata luotettava, toimintavarma sekä korkea tietoturvan taso korostuu entisestään. Ihmisten oikeusturvan sekä yksityisyyden suojan takia on merkittävää, että yrityksessä käsitellään rekisteröityjen tietoja tietosuojaa kunnioittavalla tavalla. EU:n alueen tietosuojalainsäädäntö uudistui keväällä 2018, kun uusi henkilötietolaki astui voimaan sen jäsenvaltioissa. Asetuksen tarkoituksena on yhtenäistää tietosuojaa Euroopan alueella rekisteröityjen oikeuksia noudattaen.
Opinnäytetyössä perehdytään yhteen asetuksen keskeisempään uudistukseen, joka on osoitusvelvollisuuden sisällyttäminen yrityksen tietoturvaan. Jatkossa rekisterinpitäjän on konkreettisesti pystyttävä osoittamaan mitä, missä ja miten se käsittelee henkilötietoja toiminnassaan. Työssä käsitellään tietosuoja-asetusta, tietoturvaa sekä kuvaillaan tietoturvadokumentaation luomista osoitusvelvollisuuden toteuttamiseksi. Tutkimusmenetelmänä käytettiin tutkimuksellisen kehittämistyön menetelmäperiaatteita.
Tutkimustyön pohjalta luotiin kehittämissuunnitelma kansainvälisiä tietoturvastandardeja hyödyntäen, jolla yritys voi dokumentoida sekä päivittää nykyiset tietosuojakäytänteensä asetuksen vaatimalle tasolle. Opinnäytetyön viimeisessä osiossa kuvaillaan työpaikallani tehtyä tietoturvakartoitusta sekä siitä syntyviä toimenpiteitä. Työstä syntyneitä tuloksia hyödynnetään tulevaisuudessa työpaikkani tietoturvadokumentaation päivittämisessä. Nowadays, in our ever-evolving and internationalizing technology environment, companies’ commitment to the safe and correct processing of personal data is growing constantly. At the same time, companies’ need to have a reliable and high level of security is further emphasized. Due to the protection of human rights and the protection of privacy, it is important that a company deals with the data in a way that respects data protection. EU's legislation on data protection was reformed in the spring of 2018, when the new Personal Data Act entered into force in EU’s member states. The purpose of the regulation is to unify data protection of data subjects registered in the European territory.
The thesis introduced one of the key reforms of the regulation, which is accountability of the data protection principles in a company. In the future, the data administrator must be able to demonstrate in concrete terms what, where and how personal data is handled.
The thesis dealt with the general data protection regulation, security and describes the creation of security documentation for the implementation of the accountability. This thesis applied the principles of the developmental research.
Based on the research, a development plan was created using international data security standards, whereby a company can document and update its current data protection practices to the level required by the regulation. The final part of the thesis described the security survey held at the author’s workplace and the operations that resulted from it. The results of the thesis will be used in updating the security documentation of the author’s workplace in the future.
Opinnäytetyössä perehdytään yhteen asetuksen keskeisempään uudistukseen, joka on osoitusvelvollisuuden sisällyttäminen yrityksen tietoturvaan. Jatkossa rekisterinpitäjän on konkreettisesti pystyttävä osoittamaan mitä, missä ja miten se käsittelee henkilötietoja toiminnassaan. Työssä käsitellään tietosuoja-asetusta, tietoturvaa sekä kuvaillaan tietoturvadokumentaation luomista osoitusvelvollisuuden toteuttamiseksi. Tutkimusmenetelmänä käytettiin tutkimuksellisen kehittämistyön menetelmäperiaatteita.
Tutkimustyön pohjalta luotiin kehittämissuunnitelma kansainvälisiä tietoturvastandardeja hyödyntäen, jolla yritys voi dokumentoida sekä päivittää nykyiset tietosuojakäytänteensä asetuksen vaatimalle tasolle. Opinnäytetyön viimeisessä osiossa kuvaillaan työpaikallani tehtyä tietoturvakartoitusta sekä siitä syntyviä toimenpiteitä. Työstä syntyneitä tuloksia hyödynnetään tulevaisuudessa työpaikkani tietoturvadokumentaation päivittämisessä.
The thesis introduced one of the key reforms of the regulation, which is accountability of the data protection principles in a company. In the future, the data administrator must be able to demonstrate in concrete terms what, where and how personal data is handled.
The thesis dealt with the general data protection regulation, security and describes the creation of security documentation for the implementation of the accountability. This thesis applied the principles of the developmental research.
Based on the research, a development plan was created using international data security standards, whereby a company can document and update its current data protection practices to the level required by the regulation. The final part of the thesis described the security survey held at the author’s workplace and the operations that resulted from it. The results of the thesis will be used in updating the security documentation of the author’s workplace in the future.