Implementing GDPR requirements in a Siebel based IT organization

Abstract

The European Union has passed a new regulation in response to a growing number of threats to privacy: the General Data Protection Regulation. The goal of this thesis is to make the IT systems of the target company ready for GDPR. The focus will be on the Siebel system by Oracle, which will be the most important system as far as contact data is concerned. GDPR allows people to get a copy of all of their personal data or get it modified, deleted or locked from modifications. It also requires controllers (those who have the data) to notify of breaches within 72 hours and to have a comprehensive plan on keeping data secure. To make it easier to respond to data protection requests Konecranes decided to make Siebel the contact data master so that if contact data is changed there, it is changed everywhere. However, such a large project did not get ready in time so a data protection support ticket process was set up where a ticket will be divided into sub-tickets, each of which are sent to a system administrator. For Siebel contact data, new fields were added for marketing prohibition and locking the data. For new system development a Data Protection Impact Assessment process was defined that must be performed at the design phase of the software development life cycle.

Euroopan unioni hyväksyi uuden ohjesäännön vastauksena yksityisyyden uhkiin Internetissä: GDPR (General Data Protection Regulation). Työn tavoitteena on saada kohdeyrityksen IT-järjestelmät GDPR-valmiiksi. Työssä keskitytään Oraclen kehittämään Siebel-järjestelmään, mikä on kontaktidatan kannalta tärkein järjestelmä. GDPR antaa ihmisille valtuuden hankkia kopio henkilökohtaisesta datastaan tai saada se poistetuksi, muokatuksi tai lukituksi muokkauksilta. Se vaatii myös datan omistajia kertomaan murroista 72 tunnin sisällä ja laatimaan suunnitelman miten henkilökohtainen data pidetään turvassa. Helpottaakseen kontaktidatan käsittelyä ja GDPR-pyyntöjen toteuttamista Konecranes päätti tehdä Siebel-järjestelmästä keskuksen kontaktidatalle niin, että jos data muuttuu siellä, se muuttuu kaikissa järjestelmissä. Näin iso projekti ei kuitenkaan valmistunut heti, joten väliaikaisratkaisuna GDPR-pyynnöille on toteutettu erillinen prosessi, jossa tiketti jaetaan useisiin pienempiin tiketteihin, jotka annetaan eri järjestelmien ylläpitäjille. Siebelin kontaktidatalle lisättiin markkinointikielto- ja datalukkokentät. Uusien järjestelmien kehitysprosessia muutettiin niin, että suunnittelu-vaiheessa suoritetaan datansuojauksen vaikutusarviointi.