WLAKI.fi
Lakiasiat

GDPR-tietosuojaseloste pk-yritykselle: Malli ja ohje 2026

Tämä artikkeli on yleistä tietoa GDPR-velvoitteista. Se ei ole oikeudellinen neuvo yksittäistilanteisiin. Konsultoi tarvittaessa lakimiestä.

Miksi tietosuojaseloste tarvitaan?

EU:n yleinen tietosuoja-asetus (GDPR, General Data Protection Regulation) astui voimaan 25.5.2018. Se velvoittaa jokaista henkilötietoja käsittelevää organisaatiota, myös pieniä yrityksiä ja yksityisyrittäjiä, noudattamaan tietosuojaperiaatteita.

Tietosuojaseloste (privacy notice) on dokumentti, jolla kerrot asiakkaillesi, työntekijöillesi ja muille rekisteröidyille, mitä henkilötietoja keräät, miksi keräät niitä, miten käsittelet ja suojaat tietoja sekä mitkä ovat rekisteröidyn oikeudet. Seloste ei ole vain juridinen muodollisuus. Se on keskeinen osa yrityksesi luottamuspääomaa asiakkaiden silmissä.

Tietosuojalaki (1050/2018) täydentää GDPR:ää kansallisella tasolla. Yhdessä ne muodostavat velvoittavan kehyksen, jota jokaisen henkilötietoja käsittelevän yrityksen on noudatettava.

Milloin tietosuojaseloste on pakollinen?

Käytännössä aina, kun käsittelet henkilötietoja. Esimerkkejä pk-yrityksen henkilötietojen käsittelystä:

  • Asiakasrekisteri: nimi, sähköposti, osoite, puhelinnumero
  • Tilaukset ja laskutus: maksuhistoria, ostohistoria
  • Verkkosivuston evästeet: IP-osoite, selaintiedot, analytiikka
  • Työntekijärekisteri: henkilötunnus, pankkitiedot, terveystiedot
  • Uutiskirjeen tilaajat: sähköpostiosoitteet

Myös toiminimi on rekisterinpitäjä, jos se käsittelee asiakkaidensa tai yhteistyökumppaneidensa henkilötietoja. Katso lisää aiheesta GDPR käytännössä pienyrittäjälle.

Seloste vs. rekisteriseloste, mikä ero?

Ennen GDPR:ää Suomessa käytettiin käsitettä rekisteriseloste, joka perustui vanhaan henkilötietolakiin (523/1999). GDPR kumosi henkilötietolain ja toi tilalle tietosuojaselosteen.

Vanhan rekisteriselosteen käyttö ei enää riitä. Tietosuojaseloste on laajempi asiakirja, jossa on kerrottava muun muassa oikeusperusteet ja rekisteröidyn oikeudet, joita vanha malli ei edellyttänyt. Jos yrityksellä on käytössä vanha rekisteriseloste, se on syytä päivittää välittömästi.

Rekisterinpitäjä vai käsittelijä

Ennen selosteen kirjoittamista on tärkeää ymmärtää, missä roolissa yrityksesi toimii. Nämä kaksi roolia ovat juridisesti täysin erilaisia.

Rekisterinpitäjä päättää, miksi ja miten henkilötietoja käsitellään. Verkkokauppa, joka kerää asiakkaiden ostotietoja, on rekisterinpitäjä. Rekisterinpitäjällä on täysi vastuu käsittelyn lainmukaisuudesta.

Henkilötietojen käsittelijä käsittelee tietoja rekisterinpitäjän lukuun ja ohjeiden mukaisesti. Tilitoimisto, joka käsittelee asiakasyrityksen palkkatietoja, on henkilötietojen käsittelijä. Käsittelijän ja rekisterinpitäjän välillä on aina tehtävä kirjallinen käsittelysopimus, jonka vaatimuksista säädetään GDPR:n 28 artiklassa.

Monissa tilanteissa yritys voi olla samanaikaisesti molempia. Kirjanpitäjä on rekisterinpitäjä omien asiakkaidensa yhteystietojen osalta, mutta käsittelijä asiakkaan työntekijöiden palkkatietojen osalta.

Tietosuojavastaava, milloin pakollinen?

Tietosuojavastaavan (DPO, Data Protection Officer) nimittäminen on pakollista tietyissä tilanteissa. GDPR:n 37 artikla edellyttää DPO:ta, jos yritys käsittelee laajamittaisesti arkaluonteisia tietoja, kuten terveystietoja tai rikostuomioihin liittyviä tietoja, tai jos yritys harjoittaa laajamittaista ja järjestelmällistä henkilöiden seurantaa.

Tavalliselle pk-yritykselle DPO ei yleensä ole pakollinen. Silti tietosuojavastaavan nimeäminen vapaaehtoisesti on suositeltavaa, jos yrityksessä käsitellään paljon henkilötietoja. DPO:n yhteystiedot on mainittava tietosuojaselosteessa, jos sellainen on nimetty.

Tietosuojaselosteen runko

1. Rekisterinpitäjän tiedot

Ilmoita yrityksesi nimi, Y-tunnus, postiosoite, sähköpostiosoite ja puhelinnumero. Jos yrityksellä on tietosuojavastaava, mainitse myös hänen yhteystietonsa. Rekisterinpitäjän tietojen on oltava täydelliset ja ajantasaiset, jotta rekisteröity voi ottaa yhteyttä.

2. Käsittelyn tarkoitus ja oikeusperuste

Listaa selkeästi, miksi käsittelet henkilötietoja ja mihin oikeusperusteeseen käsittely nojaa. GDPR:n 6 artikla tunnistaa kuusi oikeusperustetta:

OikeusperusteEsimerkki
SopimusTilauksen toimittaminen, palvelun tuottaminen
Lakisääteinen velvoiteKirjanpitolain mukaiset tiedot, verotus
Oikeutettu etuSuoramarkkinointi olemassa oleville asiakkaille
SuostumusUutiskirjeen tilaaminen, evästeet
Elintärkeä etuKriisitilanteet, hätätapaukset
Yleinen etuJulkishallinnon tehtävät

Jokaiselle käsittelytoimelle on nimettävä oma oikeusperusteensa. Yksi yritys voi käyttää samanaikaisesti useita oikeusperusteita eri tarkoituksiin. Oikeusperustetta ei voi valita jälkikäteen, vaan se on määriteltävä ennen käsittelyn aloittamista.

3. Kerätyt henkilötiedot

Luettele konkreettisesti, mitä tietoja keräät. Ryhmittele tiedot käyttötarkoituksen mukaan selkeyden vuoksi.

Asiakastiedot: nimi, osoite, sähköposti, puhelinnumero, Y-tunnus (yritysasiakkaat)

Tilaus- ja maksutiedot: laskutustiedot, maksuhistoria, ostohistoria, toimitustiedot

Verkkosivustotiedot: IP-osoite, evästetiedot, selaushistoria sivustolla, analytiikkatiedot

Markkinointitiedot: sähköpostiosoite, markkinointiluvat, kiinnostuksen kohteet

Työnhakijatiedot: CV, hakemus, referenssit, haastattelumuistiinpanot

4. Tietojen säilytysajat

Määrittele jokaiselle tietoryhmälle säilytysaika. Periaatteena on, että tietoja ei saa säilyttää pidempään kuin tarkoituksen toteuttaminen vaatii.

Asiakastiedot: sopimussuhteen kesto ja sen jälkeen 2 vuotta asiakassuhteen päättymisestä

Kirjanpitoaineisto: kirjanpitolain (1336/1997) 10 §:n mukaan 6 vuotta tilikauden päättymisestä

Uutiskirjeen tilaajat: kunnes suostumus peruutetaan tai 2 vuotta viimeisestä aktiivisuudesta

Työnhakijatiedot: tyypillisesti 6–12 kuukautta rekrytointiprosessin päättymisestä, ellei hakija anna lupaa pidempään säilytykseen

5. Rekisteröidyn oikeudet

GDPR takaa rekisteröidyille laajan joukon oikeuksia. Jokainen oikeus on mainittava selosteessa selkokielellä.

Oikeus saada tietoa tarkoittaa, että rekisteröidyllä on oikeus tietää, mitä tietoja hänestä käsitellään. Tämä on juuri tietosuojaselosteen tärkein tehtävä.

Oikeus päästä tietoihin eli tarkastusoikeus tarkoittaa, että rekisteröity voi pyytää kopion hänestä tallennetuista tiedoista. Pyyntöön on vastattava ilman aiheetonta viivytystä, viimeistään kuukauden kuluessa.

Oikeus oikaista tiedot tarkoittaa, että virheelliset tai puutteelliset tiedot on korjattava pyynnöstä. Oikaisu on tehtävä viivytyksettä.

Oikeus poistaa tiedot eli “oikeus tulla unohdetuksi” koskee tilanteita, joissa käsittelylle ei enää ole perustetta. Tämä oikeus ei ole ehdoton, sillä lakisääteiset velvoitteet, kuten kirjanpito, voivat estää poistamisen.

Oikeus rajoittaa käsittelyä tarkoittaa, että rekisteröity voi pyytää käsittelyn keskeyttämistä, esimerkiksi tietojen oikeellisuuden tarkistamisen ajaksi.

Oikeus siirtää tiedot koskee tilanteita, joissa käsittely perustuu suostumukseen tai sopimukseen ja se on automatisoitu. Rekisteröity voi pyytää tietonsa koneluettavassa muodossa.

Oikeus vastustaa käsittelyä on erityisen vahva suoramarkkinoinnin kohdalla. Vastustamisoikeuden käyttäminen suoramarkkinointiin on ehdoton, ja käsittely on lopetettava välittömästi.

Oikeus tehdä valitus tietosuojavaltuutetulle on rekisteröidyn viimesijainen keino. Tietosuojavaltuutetun toimiston yhteystiedot on mainittava selosteessa.

6. Tietojen siirrot ja luovutukset

Kerro selkeästi, kenelle henkilötietoja luovutetaan tai siirretään.

Kolmannet osapuolet Suomessa: kirjanpitäjä, maksupalveluntarjoaja, IT-palveluntarjoaja, markkinointitoimisto. Jokaiselle käsittelijälle on tehtävä käsittelysopimus.

Siirrot EU:n ulkopuolelle: Jos käytät esimerkiksi amerikkalaista pilvipalvelua tai sähköpostimarkkinointiohjelmistoa, tiedot voivat siirtyä EU:n ulkopuolelle. Tällöin on varmistettava, että siirrolla on lainmukainen peruste. EU:n standardisopimuslausekkeet (SCCs) ovat yleisin mekanismi. Tilanne on muuttunut Schrems II -tuomion jälkeen, ja siirtoja koskevat vaatimukset kannattaa tarkistaa Tietosuojavaltuutetun toimiston ohjeista.

7. Tietoturva

Kuvaile lyhyesti, miten suojaat henkilötietoja. Yksityiskohtia ei tarvitse paljastaa, mutta yleiskuvaus on oltava.

Tekniset suojatoimet: HTTPS-salaus verkkosivustolla, salasanasuojaus järjestelmiin, varmuuskopiointi, pääsynhallinta

Organisatoriset suojatoimet: henkilöstön tietosuojakoulutus, salassapitosopimukset työntekijöiden kanssa, selkeät ohjeet henkilötietojen käsittelyyn. Jos yrityksessäsi käytetään tekoälytyökaluja, myös niiden tietosuojariskit on huomioitava selosteessa, ks. opas tekoäly ja tietosuoja pienyrityksessä.

Tietoturvaloukkauksen ilmoittaminen

GDPR velvoittaa ilmoittamaan tietoturvaloukkaukset. Jos yrityksessäsi tapahtuu tietoturvaloukkaus, joka aiheuttaa riskin rekisteröityjen oikeuksille, on toimittava nopeasti.

Loukkaus on ilmoitettava tietosuojavaltuutetulle 72 tunnin kuluessa sen havaitsemisesta. Jos riski on korkea, myös asianomaiset rekisteröidyt on ilmoitettava viivytyksettä. Ilmoituksessa on kerrottava loukkauksen luonne, arvioidut vaikutukset ja tehdyt toimenpiteet.

Ilmoitusvelvollisuutta ei kuitenkaan ole, jos loukkaus ei todennäköisesti aiheuta riskiä henkilöille, esimerkiksi siksi, että tiedot on asianmukaisesti salattu.

GDPR-seuraamusmaksut, mitä riskeeraat?

GDPR:n rikkomisesta voidaan määrätä hallinnollinen seuraamusmaksu kahdessa portaassa.

Lievemmistä rikkomuksista, kuten puutteellisesta tietosuojaselosteesta tai rekisteröidyn oikeuksien laiminlyönnistä, maksu voi olla enintään 10 miljoonaa euroa tai 2 % vuotuisesta maailmanlaajuisesta liikevaihdosta.

Vakavammista rikkomuksista, kuten laittomasta henkilötietojen käsittelystä tai luvattomasta tiedonsiirrosta, maksu voi olla enintään 20 miljoonaa euroa tai 4 % liikevaihdosta.

Suomessa Tietosuojavaltuutetun toimisto on määrännyt seuraamusmaksuja useille yrityksille. Vuonna 2023 suurin kansallinen maksu oli muutamia satoja tuhansia euroja. Pk-yrityksille maksujen suuruus on tyypillisesti tuhansia euroja, mutta mainehaitta voi olla taloudellisesti merkittävämpi.

Käytännön esimerkki: verkkokauppa

Verkkokauppa kerää asiakkailtaan tilausten yhteydessä nimen, osoitteen, sähköpostin ja maksutiedot. Se käyttää Google Analyticsiä kävijäseurantaan ja Mailchimpiä uutiskirjeisiin.

Tässä tapauksessa selosteessa on mainittava vähintään kolme eri käsittelytarkoitusta omilla oikeusperusteineen: tilauksen toimittaminen sopimuksen perusteella, kirjanpitoaineiston säilyttäminen lakisääteisen velvoitteen perusteella sekä uutiskirje suostumuksen perusteella. Google Analytics ja Mailchimp tarkoittavat myös tietojen siirtoa EU:n ulkopuolelle, mikä on mainittava ja perusteltava.

Tämä esimerkki havainnollistaa, miksi yleinen “käsittelemme tietojasi” ei riitä. Jokainen käsittelytoiminto vaatii oman kuvauksensa.

Selosteen julkaiseminen ja päivittäminen

Tietosuojaselosteen on oltava helposti saatavilla kaikissa kanavissa, joissa henkilötietoja kerätään.

Verkkosivusto: linkki selosteeseen alatunnisteessa, lomakkeissa ja rekisteröitymissivuilla

Myymälä tai toimipiste: seloste on oltava saatavilla paperisena tai QR-koodin kautta

Sähköiset sopimukset: linkki selosteeseen ennen tietojen antamista

Seloste on päivitettävä aina, kun käsittelytavat muuttuvat. Muutostilanteita ovat esimerkiksi uuden palvelun tai ohjelmiston käyttöönotto, uusi yhteistyökumppani, joka käsittelee henkilötietoja, tai lainsäädäntömuutokset. Suositeltavaa on tarkistaa seloste vähintään kerran vuodessa.

Yleisimmät virheet pk-yrityksissä

  1. Seloste puuttuu kokonaan: “Olemme niin pieni yritys, ettei meitä koske” ei pidä paikkaansa. GDPR koskee kaikkia.
  2. Kopioitu malli ilman mukauttamista: Seloste ei vastaa todellista toimintaa eikä täytä vaatimuksia.
  3. Vanhentuneet tiedot: Seloste kertoo vanhoista käytännöistä, ei nykyisistä.
  4. Liian yleinen kuvaus: “Käsittelemme tietoja liiketoimintaamme varten” ei riitä oikeusperusteeksi.
  5. Oikeusperuste puuttuu: Jokaiselle käsittelytoimelle on nimettävä GDPR:n mukainen peruste.
  6. EU:n ulkopuoliset siirrot huomioimatta: Pilvipalvelut ja markkinointiohjelmistot voivat siirtää tietoja automaattisesti kolmansiin maihin.

Lähteet


Katso myös: GDPR käytännössä pienyrittäjälle ja Salassapitosopimus ja GDPR-tietosuoja.

Usein kysyttyä

Tarvitseeko pk-yritys tietosuojaselosteen?

Kyllä. EU:n yleinen tietosuoja-asetus (GDPR) velvoittaa jokaista henkilötietoja käsittelevää organisaatiota informoimaan rekisteröityjä tietojen käsittelystä. Tietosuojaseloste on tähän yleisin ja käytännöllisin tapa.

Mitä tietosuojaselosteen tulee sisältää?

Selosteen tulee kertoa rekisterinpitäjän tiedot, käsittelyn tarkoitukset ja oikeusperusteet, kerätyt henkilötiedot, tietojen säilytysajat, rekisteröityjen oikeudet sekä mahdolliset tietojen siirrot EU:n ulkopuolelle.

Mikä on rangaistus puuttuvasta tietosuojaselosteesta?

GDPR:n rikkomisesta voidaan määrätä hallinnollinen seuraamusmaksu, joka on enimmillään 20 miljoonaa euroa tai 4 % yrityksen vuotuisesta liikevaihdosta. Käytännössä Suomessa pk-yrityksille seuraamukset ovat olleet merkittävästi pienempiä, mutta riski on todellinen.

Lähde ja taustatyö

WLAKI.fi toimitus

Juridinen tietopankki yrittäjille