Yleisen tietosuoja-asetuksen vaatimusten toteuttaminen pk-yrityksessä
Impiö, Jaakko (2021)
Lataukset:
Impiö, Jaakko
2021
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-202104306472
https://urn.fi/URN:NBN:fi:amk-202104306472
Tiivistelmä
Tämän opinnäytetyön tarkoituksena oli kehittää suomalaisen pk-yrityksen yleisen tietosuoja-asetuksen vaatimustenmukaisuutta tavoitteena asetuksen mukainen osoitusvelvollisuus: Yrityksen tulee olla kykenevä osoittamaan viranomaisille, että vaatimuksia noudatetaan erilaisten dokumenttien ja toimenpiteiden avulla. Työn teoreettinen viitekehys rakentuu kahdesta kokonaisuudesta, jotka ovat EU-oikeus ja yritysturvallisuus. EU:n oikeus on tärkein työtä ohjaava kokonaisuus, johon tavoite oli liittää Elinkeinoelämän Keskusliiton yritysturvallisuuden näkökulma, jossa vahvimpana yhteenliittymänä toimi liiketoiminnan vaatimustenmukaisuus. Vaatimustenmukaisuus tarkoittaa liiketoiminnan kykyä täyttää lailliset velvoitteensa.
Kehittämistyö rakentui teoriaosuuden, sekä opinnäytetyön tekijän yrityksessä viettämän ajan antamien tietojen perusteella tehdystä nykytila-arviosta ja sen perusteella tehdystä kehittämistyöstä. Kehittämistyön lisäksi perehdyin erilaisiin keinoihin toteuttaa Tietosuoja-asetuksen osoitusvelvollisuus pk-yritysten kontekstissa. Suoritin tiedon hakemiseksi systemaattisen kirjallisuuskatsauksen, jossa kävin kolmea eri hakualustaa tiedonhaussa apuna käyttäen läpi 1900 tutkimusta otsikkotasolla, 55 tiivistelmän, ja joista valikoitui lopuksi 5 tutkimusta varsinaiseen kirjallisuuskatsaukseen. Systemaattinen kirjallisuuskatsaus auttoi tunnistamaan erilaisia teemoja liittyen Tietosuoja-asetukseen pk-yritysten rajapinnassa.
Kehittämisosuudessa verrattiin kirjallisuuskatsauksesta löytyneitä teemoja opinnäytetyön tekijän kokemuksiin kentällä. Kirjallisuuskatsauksen avulla selvisi, että tietosuojatyön jal-kautus yrityksen arkeen on monialaista toimintaa, johon liittyy osaamistarvetta oikeuden-, tietoturvan- ja tietojenkäsittelyn aloilta. Pk-yrityksien vaatimustenmukaisen tietosuojatoi-minnan kehittämisessä korostuvat tietosuojaviranomaisten, sekä erilaisten yritysetujärjestöjen suorittama tiedottaminen, jonka lisäksi näen myös erilaisten tietojenhallintaan liittyvien ohjelmistojen roolin kasvattamisen tärkeyden konkreettisen tiedonhallinnan parantamiseksi. Toimeksiantajayrityksen tietosuojatoimintaa kehitettiin perehdyttämällä henkilöstöä tietosuoja-asetuksen vaatimuksiin, sekä luomalla yritykselle tarvittavia dokumentteja osoitusvelvollisuutta varten.
Asiasanat: Yleinen Tietosuoja-asetus, GDPR, Yritysturvallisuus, Vaatimustenmukaisuus, Pk-yritys The purpose of this thesis was to develop the compliance with the GDPR in a Finnish SME with the objective of ensuring that the company conforms to the accountability principle of the Regulation. The company must be able to demonstrate to the authorities that the requirements are complied with by various documents and measures. The theoretical framework of the work is built on two entities, which are EU legislation and comprehensive corporate safety and security. The EU law is the most important body of law that guides the thesis, where the objective was to incorporate the business safety and security perspective in accordance with the Confederation of Finnish Industries with the theme of business compliance. Compliance means the ability of a business to meet its legal obligations.
The development work was based on an assessment of the current situation, which again is founded on the theoretical framewok and the information provided by the company when the author of the thesis worked in there. In addition to the development work, various ways to implement the accountability principle of the Data Protection Regulation in the context of SMEs were reviewed. To acquire the research information, a systematic literature review was conducted, in which three different search platforms for information acquiring were scrutinized, using 1900 studies at the title level, 55 abstracts, and finally selecting five studies for the actual literature review. A systematic literature review helped to identify various consepts related to the GDPR at the SME interface.
In the development section, consepts found in the literature review were compared to the author’s own experiences in the field and knowledge of theoretical framework. The literature review revealed that the implementation of data protection work in the everyday life of a company is a multidisciplinary activity with a need for expertise in the fields of jurisdiction, information security and data processing industry. In the development of compliant data protection activities for SMEs, emphasis is placed on information provided by data protection authorities, as well as various business groups. In addition the importance of increasing the role of various data management software to improve concrete data management is emphasized. The data protection activities of the commissioner company were developed through familiarizing personnel with the GDPR and the creation of the necessary documents needed by the company for the fulfillment of the accountability principle.
Keywords: General Data Protection Regulation, GDPR, Compliance, SME
Kehittämistyö rakentui teoriaosuuden, sekä opinnäytetyön tekijän yrityksessä viettämän ajan antamien tietojen perusteella tehdystä nykytila-arviosta ja sen perusteella tehdystä kehittämistyöstä. Kehittämistyön lisäksi perehdyin erilaisiin keinoihin toteuttaa Tietosuoja-asetuksen osoitusvelvollisuus pk-yritysten kontekstissa. Suoritin tiedon hakemiseksi systemaattisen kirjallisuuskatsauksen, jossa kävin kolmea eri hakualustaa tiedonhaussa apuna käyttäen läpi 1900 tutkimusta otsikkotasolla, 55 tiivistelmän, ja joista valikoitui lopuksi 5 tutkimusta varsinaiseen kirjallisuuskatsaukseen. Systemaattinen kirjallisuuskatsaus auttoi tunnistamaan erilaisia teemoja liittyen Tietosuoja-asetukseen pk-yritysten rajapinnassa.
Kehittämisosuudessa verrattiin kirjallisuuskatsauksesta löytyneitä teemoja opinnäytetyön tekijän kokemuksiin kentällä. Kirjallisuuskatsauksen avulla selvisi, että tietosuojatyön jal-kautus yrityksen arkeen on monialaista toimintaa, johon liittyy osaamistarvetta oikeuden-, tietoturvan- ja tietojenkäsittelyn aloilta. Pk-yrityksien vaatimustenmukaisen tietosuojatoi-minnan kehittämisessä korostuvat tietosuojaviranomaisten, sekä erilaisten yritysetujärjestöjen suorittama tiedottaminen, jonka lisäksi näen myös erilaisten tietojenhallintaan liittyvien ohjelmistojen roolin kasvattamisen tärkeyden konkreettisen tiedonhallinnan parantamiseksi. Toimeksiantajayrityksen tietosuojatoimintaa kehitettiin perehdyttämällä henkilöstöä tietosuoja-asetuksen vaatimuksiin, sekä luomalla yritykselle tarvittavia dokumentteja osoitusvelvollisuutta varten.
Asiasanat: Yleinen Tietosuoja-asetus, GDPR, Yritysturvallisuus, Vaatimustenmukaisuus, Pk-yritys
The development work was based on an assessment of the current situation, which again is founded on the theoretical framewok and the information provided by the company when the author of the thesis worked in there. In addition to the development work, various ways to implement the accountability principle of the Data Protection Regulation in the context of SMEs were reviewed. To acquire the research information, a systematic literature review was conducted, in which three different search platforms for information acquiring were scrutinized, using 1900 studies at the title level, 55 abstracts, and finally selecting five studies for the actual literature review. A systematic literature review helped to identify various consepts related to the GDPR at the SME interface.
In the development section, consepts found in the literature review were compared to the author’s own experiences in the field and knowledge of theoretical framework. The literature review revealed that the implementation of data protection work in the everyday life of a company is a multidisciplinary activity with a need for expertise in the fields of jurisdiction, information security and data processing industry. In the development of compliant data protection activities for SMEs, emphasis is placed on information provided by data protection authorities, as well as various business groups. In addition the importance of increasing the role of various data management software to improve concrete data management is emphasized. The data protection activities of the commissioner company were developed through familiarizing personnel with the GDPR and the creation of the necessary documents needed by the company for the fulfillment of the accountability principle.
Keywords: General Data Protection Regulation, GDPR, Compliance, SME