Yleisen tietosuoja-asetuksen osoitusvelvollisuuden toteutuminen startup-yrityksissä

Thumbnail Image

URL

Journal Title

Journal ISSN

Volume Title

School of Business | Master's thesis

Authors

Date

2024

Department

Laskentatoimen laitos

Major/Subject

Mcode

Degree programme

Yritysjuridiikka

Language

fi

Pages

55 + 13

Series

Abstract

Tässä tutkielmassa tarkastelen yleisen tietosuoja-asetuksen (GDPR) osoitusvelvollisuuden toteutumista startup-yrityksissä. Osoitusvelvollisuus edellyttää, että rekisterinpitäjät pystyvät osoittamaan noudattavansa yleisen tietosuoja-asetuksen mukaisia tietosuojaperiaatteita, kuten esimerkiksi lainmukaisuutta, minimointia ja käyttötarkoitussidonnaisuutta. Tutkimuksen tavoitteena on selvittää, kuinka hyvin innovaatiokeskeiset ja usein resursseiltaan rajalliset startupit noudattavat osoitusvelvollisuutta, millaisia haasteita ne kohtaavat ja mitä käytännön toimenpiteitä ne ovat toteuttaneet vaatimusten täyttämiseksi. Tutkimuksessa yhdistyy sekä oikeusdogmaattisen analyysi että empiirinen kyselytutkimus. Lainopillisen analyysin avulla avaan osoitusvelvollisuuden tarkoitusta ja vaatimuksia. Kyselytutkimuksella taas valotan osoitusvelvollisuuden käytännön toteutumista kohdeyrityksissä. Kyselyyn osallistui 105 startup-yritystä, jotka toimivat EU-alueella. Tulokset osoittavat, että vaikka suurin osa startupeista ovat tietoisia tietosuoja-asetuksen vaatimuksista, ei osoitusvelvollisuus toteudu erityisen hyvin tutkimuksen kohteena olleissa yrityksissä. Merkittäviä puutteita löytyy esimerkiksi dokumentaation, prosessien ja lainmukaisuuden kohdalla. Tähän syynä on monesti resurssien tai tietosuojaosaamisen puute. Lopussa tutkimus tarjoaa startup-yrityksille käytännön suosituksia tietosuojan parantamiseksi. Osoitusvelvollisuuden laiminlyönti voi johtaa merkittäviin sanktioihin, ja sen noudattaminen on edellytys vakaalle liiketoiminnalle. Tulokset kuitenkin korostavat mahdollista tarvetta selkiyttää yleisen tietosuoja-asetuksen vaatimuksia erityisesti pienille ja resursseiltaan rajallisille yrityksille.

In this thesis, I research the implementation of GDPR’s accountability obligation in startup companies. The accountability obligation requires data controllers to be able to demontrate compliance with the data protection principles defined in GDPR, such as lawfulness, data minimization, and purpose limitation. The aim of the research is to determine how well innovation-driven and often resource-constrained startups comply with the accountability obligation, what challenges they face, and what practical measures they have implemented to meet the requirements. The thesis combines both legal research and empirical survey research. Through legal analysis, I explore the purpose and requirements of the accountability obligation. The survey, on the other hand, sheds light on the practical implementation of accountability in the target companies. A total of 105 startups operating in the EU participated in the survey. The results reveal that while the majority of startups are aware of GDPR requirements, the accountability obligation is not particularly well-implemented in the studied companies. Significant problems were identified, for example, in documentation, processes, and compliance. These shortcomings are often due to lack of resources or insufficient data protection expertise. At the end of the study, practical recommendations are provided for startups to improve their data protection practices. Failing to meet the accountability obligation can result in significant penalties, and compliance is essential for stable business operation. However, the findings highlight a potential need to clarify GDPR requirements, particularly for small and resource-limited companies.

Description

Supervisor

Hietanen-Kunwald, Petra

Thesis advisor

Hietanen-Kunwald, Petra

Keywords

osoitusvelvollisuus, yleinen tietosuoja-asetus, GDPR, startup, tietosuoja

Other note

Citation

Permanent link to this item

https://urn.fi/URN:NBN:fi:aalto-202501191434

Collections

[gradu] Kauppakorkeakoulu / BIZ