Euroopan unionin yleinen tietosuoja-asetus (GDPR) tuli voimaan 25.5.2018, josta lähtien sitä on pitänyt noudattaa kaikissa niissä organisaatioissa yli EU-alueen rajojen, jotka käsittelevät EU-kansalaisten henkilötietoja. Praktisen tason tarkastelunäkökulma kohdentuu erityisesti siihen, miten ja millä työkaluilla pk-yrityksen tiedon hallinnan ekosysteemissä voidaan tukea GDPR-asetuksen käyttöönottoa. Monimenetelmäinen tutkimusprosessi, jossa hyödynnettiin sekä tutkijan että tapausorganisaation asiantuntijuutta, mahdollisti toimivan ratkaisun kehittämisen todellisessa tilanteessa toimeksiantajan Järvi-Suomen Kiinteistökonsultit Oy:n tarpeisiin. Tutkimus toteutettiin suunnittelutieteen periaatteita noudattaen. Tietoa, informaatiota ja aineistoja kerättiin kirjallisuuskatsauksen lisäksi haastattelemalla ja havainnoimalla, ja empiirinen tutkimus toteutettiin tapausorganisaation tiedon hallinnan ekosysteemissä DSRM-prosessin avulla. Raportissa esitellään kehittelemäni mentaalitason ratkaisumalli, joka on sellaisenaan hyödynnettävissä pk-yrityksissä tietosuoja-asetusta käyttöönotettaessa. Ratkaisukokonaisuuden sisältämien useiden artefaktien avulla voidaan selvittää ja tarvittaessa muuttaa henkilötietojen käsittelyn käytäntöjä, prosesseja asetuksen vaatimustenmukaisiksi. Tutkimus ja sen tulokset sekä tutkimusprosessin myötä esiin nostetut tai kehitellyt artefaktit ovat hyödynnettävissä myös muissa pk-yrityksissä. Lisäksi raportissa esitellyt asiat auttavat meitä yksilötasolla kiinnittämään paremmin huomiota ja lisäämään tietosuutta henkilötietojemme käsittelyyn, niiden suojaamiseen ja oikeuksiin.