GDPR-tietosuojaseloste pk-yritykselle: Malli ja ohje 2026
Päivitetty: 6. huhtikuuta 2026
Miksi tietosuojaseloste tarvitaan?
EU:n yleinen tietosuoja-asetus (GDPR, General Data Protection Regulation) astui voimaan 25.5.2018. Se velvoittaa jokaista henkilötietoja käsittelevää organisaatiota — myös pieniä yrityksiä ja yksityisyrittäjiä — noudattamaan tietosuojaperiaatteita.
Tietosuojaseloste (privacy notice) on dokumentti, jolla kerrot asiakkaillesi, työntekijöillesi ja muille rekisteröidyille:
- Mitä henkilötietoja keräät
- Miksi keräät niitä
- Miten käsittelet ja suojaat tietoja
- Mitkä ovat rekisteröidyn oikeudet
Milloin tietosuojaseloste on pakollinen?
Käytännössä aina, kun käsittelet henkilötietoja. Esimerkkejä pk-yrityksen henkilötietojen käsittelystä:
- Asiakasrekisteri — nimi, sähköposti, osoite, puhelinnumero
- Tilaukset ja laskutus — maksuhistoria, ostohistoria
- Verkkosivuston evästeet — IP-osoite, selaintiedot, analytiikka
- Työntekijärekisteri — henkilötunnus, pankkitiedot, terveystiedot
- Uutiskirjeen tilaajat — sähköpostiosoitteet
Tietosuojaselosteen runko
1. Rekisterinpitäjä
Kerro yrityksesi nimi, Y-tunnus ja yhteystiedot. Jos yrityksellä on tietosuojavastaava (DPO), mainitse myös hänen yhteystietonsa.
2. Käsittelyn tarkoitus ja oikeusperusteet
Listaa selkeästi, miksi käsittelet henkilötietoja ja mihin oikeusperusteeseen käsittely nojaa:
| Oikeusperuste | Esimerkki |
|---|---|
| Sopimus | Tilauksen toimittaminen, palvelun tuottaminen |
| Lakisääteinen velvoite | Kirjanpitolain mukaiset tiedot, verotus |
| Oikeutettu etu | Suoramarkkinointi olemassa oleville asiakkaille |
| Suostumus | Uutiskirjeen tilaaminen, evästeet |
3. Kerätyt henkilötiedot
Listaa konkreettisesti, mitä tietoja keräät. Esimerkiksi:
- Nimi ja yhteystiedot
- Sähköpostiosoite
- Laskutus- ja maksutiedot
- IP-osoite ja evästetiedot
- Ostohistoria
4. Tietojen säilytysajat
Määrittele, kuinka kauan säilytät tietoja. Perusteena voivat olla:
- Sopimussuhteen kesto + kohtuullinen aika sen jälkeen
- Lakisääteiset velvoitteet (esim. kirjanpitoaineisto 6 vuotta)
- Suostumuksen peruuttaminen (esim. uutiskirje: kunnes peruutetaan)
5. Rekisteröidyn oikeudet
GDPR takaa rekisteröidyille seuraavat oikeudet:
- Oikeus saada tietoa käsittelystä (informointivelvollisuus)
- Oikeus päästä tietoihin (tarkastusoikeus)
- Oikeus oikaista virheelliset tiedot
- Oikeus poistaa tiedot (“oikeus tulla unohdetuksi”)
- Oikeus rajoittaa käsittelyä
- Oikeus siirtää tiedot järjestelmästä toiseen
- Oikeus vastustaa käsittelyä (erityisesti suoramarkkinointi)
- Oikeus tehdä valitus tietosuojavaltuutetulle
6. Tietojen siirrot ja luovutukset
Kerro, siirretäänkö tietoja:
- Kolmansille osapuolille (esim. kirjanpitäjä, maksupalvelut)
- EU/ETA-alueen ulkopuolelle (esim. pilvipalvelut USA:ssa — huomioi tiedonsiirtomekanismit)
7. Tietoturva
Kuvaile lyhyesti, miten suojaat henkilötietoja:
- Tekniset suojatoimet (salaus, palomuurit, pääsynhallinta)
- Organisatoriset suojatoimet (henkilöstön koulutus, salassapitosopimukset)
Selosteen julkaiseminen
Tietosuojaseloste tulee olla helposti saatavilla:
- Verkkosivuston alatunnisteeseen (footer) linkki “Tietosuoja” tai “Tietosuojaseloste”
- Lomakkeisiin linkitettynä (“Käsittelemme tietojasi tietosuojaselosteemme mukaisesti”)
- Tarvittaessa paperisena asiakaspalvelupisteissä
Yleisimmät virheet pk-yrityksissä
- Seloste puuttuu kokonaan — “Olemme niin pieni yritys, ettei meitä koske” (koskee kaikkia)
- Kopioitu malli ilman mukauttamista — seloste ei vastaa todellista toimintaa
- Vanhentuneet tiedot — seloste ei vastaa nykyisiä käytäntöjä
- Liian yleinen kuvaus — “käsittelemme tietoja liiketoimintaamme varten” ei riitä
- Oikeusperusteen puuttuminen — käsittelylle ei ole nimetty GDPR:n mukaista perustetta