Opinnäytetyön tavoitteena oli tutkia muutosjohtamisen näkökulmasta, kuinka Satakuntalaisen tilitoimiston tulisi valmistautua 25.5.2018 voimaan astuneen EU:n uuden tietosuoja-asetuksen vaatimuksiin. Tähän liittyen työssä selvitettiin lisäksi, minkälaisia muutoksia tietosuoja-asetukseen sisältyy ja minkälainen muutosjohtamisen malli soveltuu parhaiten mikroyritykselle kyseisen muutoksen toteuttamiseen. Työssä käytettiin kvalitatiivista tutkimustapaa ja tiedonhankinnan strategiana sovellettiin tapaustutkimusta. Tiedonkeruu suoritettiin haastattelemalla toimeksiantajayrityksen esimiehiä ja työntekijöitä tietosuoja-asetuksen käyttöönottoon liittyvästä muutosprosessista.
Opinnäytetyön teoriaosassa käsiteltiin muutosjohtamista neljästä eri näkökulmasta, jotka olivat liiketoiminnan, tiimin, työntekijän ja itsensä johtaminen. Lisäksi esiteltiin kolme tunnettua muutosjohtamisen mallia, joiksi valittiin Lewinin kolmivaihemalli, Kotterin kahdeksan askeleen malli sekä ADKAR-malli. Näiden mallien pohjalta muodostettiin synteesinä mikroyritykselle paremmin soveltuva muutosmalli. Teoriaosiossa käsiteltiin lisäksi tietosuoja-asetuksen rekisterinpitäjälle ja henkilötietojen käsittelijälle tuomia uusia velvollisuuksia ja rekisteröidylle määriteltyjä uusia oikeuksia, sekä selvitettiin, minkälaisia asioita tilitoimiston tulisi ottaa huomioon siirtyessään asetuksen mukaiseen toimintaan.
Tutkimuksen empiriaosassa selvitettiin haastatteluiden avulla, minkälaisia muutoksia toimeksiantajayrityksessä oli tehty tietosuoja-asetuksen voimaan tuloon liittyen, sekä oliko yrityksessä tehty muutosjohtamisen näkökulmasta tarpeelliset toimenpiteet. Kerätyn aineiston perusteella muokattiin lisäksi työn teoriaosassa synteesinä muodostettua muutosjohtamisen mallia mikroyrityksen tarpeisiin entistä paremmin soveltuvaksi. Saatujen tulosten perusteella selvisi, että mikroyritys, jossa henkilöstö on paljon toistensa kanssa tekemisissä, ei ole tae tehokkaasta viestinnästä ja tähän tulisi kiinnittää erityistä huomiota muutosprosessin aikana. Viestintään liittyen tärkeäksi toimenpiteeksi muutosprosessissa nousi esille myös yksilön osaamisen ja ymmärryksen varmistaminen. Tarpeettomiksi toimenpiteiksi kyseisen kaltaisessa muutoksessa puolestaan havaittiin muutoksen edistymisen mittaaminen johtuen yrityksen pienestä koosta, sekä palkitseminen silloin kun muutosprosessin nähdään olevan normaaliin työnkuvaan kuuluvaa. Tärkeä huomio oli, että muutosmallin soveltaminen myös mikroyrityksessä on suositeltavaa. Mallin käyttö tuo muutoksen toteuttamiseen selkeyttä, jolloin myös toimenpiteisiin panostaminen tehostuu.The objective of the thesis was to examine from change management's point of view how an accountancy office, located in Satakunta, should prepare itself for the requirements of the new EU GDPR (General Data Protection Regulation) which became effective on 25 May 2018. In this context, the work further assessed what kind of changes the GDPR involves and what kind of change management model is most suitable for a micro-enterprise for implementing such change. Qualitative research was utilized in this thesis and a case study was conducted as the information gathering strategy. The research was carried out by performing interviews on the supervisors and the employees of the case company relating to the change process of putting the GDPR into use.
The theoretical part of the thesis focused on change management from four different perspectives which were the management of businesses, teams, employees, and self-management. In addition, three well known change management models were introduced that included Lewin's three-stage model, the eight-step model of Kotter and the ADKAR model. Based on these models, a change management model more suitable for a micro-enterprise was formed as a synthesis. The theoretical section also discussed the new responsibilities of a data controller and a data processor and the new rights defined for a data subject, as well as clarified what things the accounting firm should take into account when implementing the regulation.
The empirical part of the research investigated using interviews, which changes had been made in the case company concerning the establishment of the GDPR, and whether the company had performed the necessary actions from the point of view of change management. Additionally based on the collected material, the change model created earlier as the synthesis was further modified for the needs of a micro enterprise. Based on the obtained results, it is clear that a micro enterprise, where the personnel is in close communication with each other, is not a guarantee of an effective communication and special attention should be put on this during a change process. Concerning the communication, ensuring an individual's adequate knowledge and understanding of the topic also arose as an important measure. Unnecessary actions in such a change were on the other hand discovered to be the measurement of the change's progress due to the small size of the company, and rewarding when the change process is perceived as a normal part of the job description. An important observation was that the application of a change model in a micro-enterprise is recommended. The use of such model brings clarity into the implementation a change, which also increases the efficiency of the performed actions
