Koskeeko GDPR myös yksityisiä elinkeinonharjoittajia?

Kyllä. GDPR koskee kaikkia, jotka käsittelevät henkilötietoja — myös toiminimellä toimivia yrittäjiä. Asiakasrekisteri, laskutusjärjestelmä tai sähköpostilista ovat kaikki henkilötietojen käsittelyä.

Mitä henkilötieto tarkoittaa GDPR:ssä?

Henkilötieto on mikä tahansa tieto, josta luonnollinen henkilö voidaan tunnistaa suoraan tai epäsuorasti. Nimi, sähköpostiosoite, puhelinnumero, IP-osoite ja sijaintitieto ovat tyypillisiä esimerkkejä.

Pitääkö pienyrittäjän nimetä tietosuojavastaava?

Pienyrittäjän ei yleensä tarvitse nimetä tietosuojavastaavaa (DPO). DPO on pakollinen vain, jos yritys käsittelee henkilötietoja laajamittaisesti tai käsittelee erityisiä henkilötietoryhmiä (esim. terveystietoja) pääasiallisena toimintanaan.

Mitä tapahtuu tietoturvaloukkauksessa?

Tietoturvaloukkauksesta on ilmoitettava tietosuojavaltuutetulle 72 tunnin kuluessa, jos loukkaus todennäköisesti aiheuttaa riskin rekisteröidyille. Vakavimmista loukkauksista on ilmoitettava myös asianomaisille henkilöille.

GDPR käytännössä: Pienyrittäjän tietosuojaopas

Monet pienyrittäjät ajattelevat, että GDPR on vain suuryritysten huoli. Tämä on virheellinen käsitys. EU:n tietosuoja-asetus koskee jokaista, joka käsittelee henkilötietoja — riippumatta yrityksen koosta.

Käytännössä lähes jokainen yrittäjä käsittelee henkilötietoja:

Asiakkaiden nimet, sähköpostit ja puhelinnumerot
Laskutusosoitteet
Verkkosivuston kävijäanalytiikka
Uutiskirjeen tilaajat
Yhteistyökumppaneiden yhteystiedot

1. Kartoita, mitä henkilötietoja käsittelet

Ensimmäinen askel on selvittää, mitä tietoja keräät, mistä ne tulevat ja minne ne menevät. Tee yksinkertainen lista:

Tietoryhmä	Mistä kerätty	Mihin käytetään	Missä säilytetään
Asiakastiedot	Tilauslomake	Laskutus, toimitus	Laskutusohjelma
Sähköpostilistaus	Uutiskirjeen tilauslomake	Markkinointi	Mailchimp / vastaava
Verkkosivun kävijät	Automaattinen (evästeet)	Analytiikka	Google Analytics
Sopimuskumppanit	Sopimukset	Yhteydenpito	Sähköposti, pilvi

2. Varmista oikeusperuste jokaiselle käsittelylle

GDPR edellyttää, että jokaisella henkilötietojen käsittelyllä on laillinen peruste:

Peruste	Milloin sopii
Sopimus	Asiakkaan tietojen käsittely tilauksen toimittamiseksi
Lakisääteinen velvoite	Kirjanpitolaissa vaaditut tiedot
Oikeutettu etu	Nykyisten asiakkaiden suoramarkkinointi
Suostumus	Uutiskirje, evästeet, markkinointi potentiaalisille asiakkaille

Tärkeää: Suostumus on peruutettavissa milloin tahansa. Jos nojaat suostumukseen, sinulla on oltava selkeä mekanismi sen peruuttamiseen.

3. Laadi tietosuojaseloste

Tietosuojaseloste (privacy notice) on lakisääteinen velvoite. Sen tulee olla selkeästi saatavilla — esimerkiksi verkkosivustosi alatunnisteessa tai erillisellä sivulla.

Tietosuojaselosteen minimitiedot:

Yrityksen nimi ja yhteystiedot
Mitä henkilötietoja kerätään
Miksi tietoja käsitellään (tarkoitus ja oikeusperuste)
Kuinka kauan tietoja säilytetään
Kenelle tietoja luovutetaan
Rekisteröidyn oikeudet ja niiden käyttäminen

4. Huolehdi tietoturvasta

GDPR edellyttää “asianmukaisia teknisiä ja organisatorisia toimenpiteitä”. Pienyrittäjälle tämä tarkoittaa käytännössä:

Tekniset toimenpiteet:

Vahvat ja yksilölliset salasanat + kaksivaiheinen tunnistautuminen
Säännölliset ohjelmistopäivitykset
Tietojen salaus siirron ja tallennuksen aikana (HTTPS, salattu pilvipalvelu)
Pääsynhallinta — vain tarvittavilla henkilöillä pääsy tietoihin

Organisatoriset toimenpiteet:

Kirjallinen ohjeistus tietojen käsittelystä (vaikka vain itsellesi)
Selkeät säilytysajat ja poistokäytännöt
Sopimukset alihankkijoiden kanssa (ns. käsittelysopimukset)

5. Tunne rekisteröidyn oikeudet

Jokainen henkilö, jonka tietoja käsittelet, voi pyytää sinulta:

Oikeus	Sisältö	Vastaamisaika
Tarkastusoikeus	Kopio omista tiedoistaan	1 kuukausi
Oikaisupyyntö	Virheellisten tietojen korjaus	1 kuukausi
Poistamispyyntö	Tietojen poistaminen (“oikeus tulla unohdetuksi”)	1 kuukausi
Käsittelyn rajoittaminen	Tietojen käsittelyn rajoittaminen	1 kuukausi
Siirto-oikeus	Tiedot koneluettavassa muodossa	1 kuukausi
Vastustamisoikeus	Oikeus vastustaa tiettyä käsittelyä	Välittömästi

Erityistilanteet pienyrittäjälle

Kolmannen osapuolen palvelut (SaaS)

Jos käytät ulkopuolisia palveluita (kirjanpito-ohjelma, CRM, uutiskirjetyökalu), sinun on solmittava niiden kanssa tietojenkäsittelysopimus (Data Processing Agreement, DPA). Useimmat suuret palveluntarjoajat tarjoavat tämän automaattisesti — tarkista palvelun tietosuojakäytännöistä.

Evästeet ja verkkosivusto

Jos verkkosivustollasi on analytiikka- tai markkinointievästeitä, tarvitset:

Evästesuostumustyökalun — käyttäjän on voitava valita, mitä evästeitä hyväksyy
Evästeselosteen — lista käytetyistä evästeistä ja niiden tarkoituksesta
Tietosuojakäytännön — kuvaus kaikesta henkilötietojen käsittelystä

Tietojen siirto EU:n ulkopuolelle

Jos käyttämäsi palvelu siirtää tietoja EU:n tai ETA:n ulkopuolelle (esim. yhdysvaltalainen pilvipalvelu), siirrolla on oltava asianmukainen suoja. EU–US Data Privacy Framework kattaa monet yhdysvaltalaiset palvelut — tarkista palveluntarjoajan tietosuojakäytännöstä.

Kartoitettu, mitä henkilötietoja käsitellään ja missä
Jokaiselle käsittelylle on oikeusperuste
Tietosuojaseloste laadittu ja julkaistu verkkosivuilla
Evästesuostumustyökalu asennettu (jos sivustolla analytiikka- tai markkinointievästeitä)
Käsittelysopimukset solmittu alihankkijoiden kanssa
Tietoturvakäytännöt dokumentoitu
Prosessi rekisteröityjen pyyntöjen käsittelyyn olemassa
Tietomurtotilanteen toimintasuunnitelma laadittu

Seuraamukset laiminlyönnistä

GDPR-rikkomuksista voidaan määrätä hallinnollinen seuraamusmaksu:

Lievemmät rikkomukset: Enintään 10 miljoonaa euroa tai 2 % maailmanlaajuisesta liikevaihdosta
Vakavat rikkomukset: Enintään 20 miljoonaa euroa tai 4 % maailmanlaajuisesta liikevaihdosta

Suomessa Tietosuojavaltuutetun toimisto käsittelee valitukset ja valvoo GDPR:n noudattamista. Käytännössä pienyrittäjiin kohdistuneet seuraamukset ovat olleet pienempiä, mutta maine- ja luottamusriskit ovat todellisia.