GDPR – Euroopan tietosuoja-asetuksen tietotekniset vaatimukset henkilötietojen käsittelijälle ja vaatimusten aiheuttamat muutokset kohdeyrityksen tietoaineistoturvallisuuden tasoon
Olli, Tuomas (2019)
2019
Kuvaus
Opinnäytetyö kokotekstinä PDF-muodossa.
Tiivistelmä
Tässä Pro Gradu –tutkielmassa tutkitaan Euroopan tietosuoja-asetusta, joka lyhennetään yleisesti termillä GDPR. Tutkimuksessa tutkitaan myös tietosuojaa sekä tietoturvaa, jotka ovat vahvasti esillä nykyisessä tietoyhteiskunnassa. Tutkimus rajataan GDPR:n tietoteknisiin vaatimuksiin henkilötietojen käsittelijälle. Tutkimusta rajataan lisäksi koskemaan Euroopan tietosuoja-asetuksen artiklaa 32 sekä sen alakohtia. Tutkimuksen tavoitteena on selvittää, mitä tietoteknisiä vaatimuksia Euroopan tietosuoja-asetus aiheuttaa henkilötietojen käsittelijälle. Tutkimuksen tavoitteena on myös selvittää, miten nämä tietotekniset vaatimukset vaikuttavat kohdeyrityksen tietoaineistoturvallisuuteen.
Tutkimus toteutettiin fenomenografisena tutkimuksena, joten tutkimus on laadullinen tutkimus. Fenomenografisen tutkimustavan avulla pystyttiin tutkimaan ihmisten käsi-tyksiä tutkimuksen kohteena olevasta asiasta sekä muodostamaan uutta tietoa tutkitta-vasta asiasta. Tutkimuksessa käytettävä aineisto kerättiin haastattelemalla kohdeyrityksen henkilöitä. Haastatteluiden avulla saatiin muodostettua käsityksiä tutkimuksen aiheesta tutkimusongelman ratkaisemiseksi.
Tutkimuksen tärkeimpinä tuloksina oli, että GDPR:n tietotekniset vaatimukset henkilötietojen käsittelijälle vaikuttavat parantavasti kohdeyrityksen tietoaineistoturvallisuuteen. Tutkimuksessa selvisi, että GDPR:n tietotekniset vaatimukset määritellään aina riskipohjaisesti rekisterinpitäjän toimesta. GDPR:n tietotekniset vaatimukset pitävät sisällään laajan kokonaisuuden toimenpiteitä, jotka liittyvät esimerkiksi tietojen salaamiseen, varmistamiseen sekä suojaamiseen. Tutkimuksen perusteella tunnistettiin monia jatkotutkimusaiheita. Jatkotutkimusaiheena voitaisiin tutkia tietosuoja- ja tietoturvalainsäädännön sekä tietosuoja- ja tietoturvamallien välistä eroa tietoturvan ja tietosuojan tason parantamiseen.
Tutkimus toteutettiin fenomenografisena tutkimuksena, joten tutkimus on laadullinen tutkimus. Fenomenografisen tutkimustavan avulla pystyttiin tutkimaan ihmisten käsi-tyksiä tutkimuksen kohteena olevasta asiasta sekä muodostamaan uutta tietoa tutkitta-vasta asiasta. Tutkimuksessa käytettävä aineisto kerättiin haastattelemalla kohdeyrityksen henkilöitä. Haastatteluiden avulla saatiin muodostettua käsityksiä tutkimuksen aiheesta tutkimusongelman ratkaisemiseksi.
Tutkimuksen tärkeimpinä tuloksina oli, että GDPR:n tietotekniset vaatimukset henkilötietojen käsittelijälle vaikuttavat parantavasti kohdeyrityksen tietoaineistoturvallisuuteen. Tutkimuksessa selvisi, että GDPR:n tietotekniset vaatimukset määritellään aina riskipohjaisesti rekisterinpitäjän toimesta. GDPR:n tietotekniset vaatimukset pitävät sisällään laajan kokonaisuuden toimenpiteitä, jotka liittyvät esimerkiksi tietojen salaamiseen, varmistamiseen sekä suojaamiseen. Tutkimuksen perusteella tunnistettiin monia jatkotutkimusaiheita. Jatkotutkimusaiheena voitaisiin tutkia tietosuoja- ja tietoturvalainsäädännön sekä tietosuoja- ja tietoturvamallien välistä eroa tietoturvan ja tietosuojan tason parantamiseen.