Tietosuojaseloste-opas 2026: GDPR-vaatimukset ja laatimisohje

1. Mikä on tietosuojaseloste?

Tietosuojaseloste on asiakirja, jolla organisaatio kertoo rekisteröidyille — eli henkilöille, joiden tietoja se käsittelee — miten ja miksi heidän henkilötietojaan kerätään, käytetään, säilytetään ja suojataan. Se on keskeinen osa EU:n yleisen tietosuoja-asetuksen (GDPR) mukaista informointivelvollisuutta.

Tietosuojaselosteen tarkoitus on taata läpinäkyvyys: rekisteröidyn on voitava ymmärtää, mitä hänen tiedoillaan tehdään, kuka niistä vastaa ja mitkä ovat hänen oikeutensa. Asetus edellyttää, että informointi on selkeää, ymmärrettävää ja helposti saatavilla.

Tietosuojaseloste tunnetaan myös nimillä "rekisteriseloste" ja "tietosuojailmoitus". Vanhaa henkilötietolain mukaista rekisteriselostetta ei enää vaadita sellaisenaan, mutta GDPR:n mukainen tietosuojaseloste on korvannut sen ja asettanut aiempaa laajemmat sisältövaatimukset.

Käytännössä tietosuojaseloste on tyypillisesti verkkosivu tai PDF-dokumentti, joka on linkitetty organisaation verkkosivuilla selkeästi näkyvään paikkaan — esimerkiksi alatunnisteeseen. Rekisteröidyn on löydettävä seloste helposti ilman erillistä pyyntöä.

On tärkeää erottaa tietosuojaseloste evästekäytännöstä: tietosuojaseloste kattaa kaikki henkilötietojen käsittelytoimet, kun taas evästekäytäntö keskittyy verkkosivuston evästeisiin ja vastaaviin seurantateknologioihin.

Tietosuojaseloste on myös tärkeä luottamuksen rakentaja. Asiakkaat ja yhteistyökumppanit arvioivat organisaation luotettavuutta sen perusteella, miten avoimesti se viestii henkilötietojen käsittelystä. Puuttuva tai huonosti laadittu seloste voi heikentää brändiä ja vähentää asiakkaiden luottamusta.

Tietosuojaselosteen merkitys on kasvanut entisestään viime vuosina, kun tietosuojavaltuutetun toimisto on tehostanut valvontaansa ja hallinnollisten sakkojen määrä on kasvanut Euroopassa. Hyvin laadittu seloste on siten paitsi lakisääteinen velvollisuus, myös konkreettinen riskienhallintatoimi.

2. Kenelle tietosuojaseloste on pakollinen?

GDPR:n mukaan jokaisen rekisterinpitäjän — eli tahon, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot — on laadittava tietosuojaseloste. Tämä koskee käytännössä kaikkia organisaatioita, jotka käsittelevät henkilötietoja:

• Yritykset — koosta riippumatta. Myös yhden henkilön toiminimi tarvitsee tietosuojaselosteen, jos se käsittelee asiakkaiden, työntekijöiden tai muiden henkilöiden tietoja. Verkkokauppa, palveluyritys, konsultti — kaikki ovat rekisterinpitäjiä.
• Yhdistykset ja säätiöt — jäsenrekisterit, tapahtumaosallistujien tiedot, lahjoittajarekisterit ja uutiskirjeen tilaajat ovat kaikki henkilötietoja, joiden käsittelystä on informoitava.
• Julkishallinto — kunnat, valtion virastot ja muut julkiset toimijat käsittelevät laajoja henkilötietorekistereitä ja tarvitsevat tietosuojaselosteen jokaiselle käsittelytoimelle.
• Terveydenhuolto ja sosiaalipalvelut — potilastiedot, asiakasrekisterit ja hoitosuunnitelmat sisältävät erityisiä henkilötietoryhmiä, joiden informointivelvollisuus on erityisen tiukka.
• Oppilaitokset — oppilas- ja opiskelijarekisterit, opettajien tiedot ja opintosuoritusrekisterit edellyttävät tietosuojaselostetta.
• Verkkopalvelut ja mobiilisovellukset — käyttäjätilit, analytiikka, evästeet ja yhteystietolomakkeet muodostavat henkilörekisterejä.

Poikkeus on ainoastaan puhtaasti henkilökohtainen käyttö: esimerkiksi omaa joululahjamuistilistaa varten ei tarvita tietosuojaselostetta. Mutta heti kun tietoja käsitellään organisaation toiminnassa, velvoite syntyy.

On hyvä muistaa, että myös henkilötietojen käsittelijä (eli taho, joka käsittelee tietoja rekisterinpitäjän lukuun, kuten pilvipalveluntarjoaja) tarvitsee oman informointinsa — vaikka pääasiallinen informointivelvollisuus on rekisterinpitäjällä.

3. Mitä tietosuojaseloste sisältää?

GDPR:n artiklojen 13 ja 14 mukaan tietosuojaselosteessa on ilmoitettava vähintään seuraavat tiedot. Artikla 13 koskee tilannetta, jossa tiedot kerätään suoraan rekisteröidyltä, ja artikla 14 tilannetta, jossa tiedot saadaan muualta.

3.1 Rekisterinpitäjän tiedot

Rekisterinpitäjän nimi, yhteystiedot ja mahdollisen tietosuojavastaavan yhteystiedot. Rekisteröidyn on tiedettävä, keneen hän voi ottaa yhteyttä tietojaan koskevissa asioissa. Jos organisaatiolla on EU:n alueella edustaja, myös tämän yhteystiedot on ilmoitettava.

3.2 Käsittelyn tarkoitukset ja oikeusperuste

Jokaiselle henkilötietojen käsittelytoimelle on määriteltävä selkeä tarkoitus ja oikeusperuste. GDPR tunnistaa kuusi oikeusperustetta: suostumus, sopimus, lakisääteinen velvoite, elintärkeä etu, yleinen etu ja oikeutettu etu. Oikeusperusteen valinta vaikuttaa merkittävästi rekisteröidyn oikeuksiin.

Esimerkiksi verkkokaupassa asiakastietojen käsittelyn oikeusperuste on tyypillisesti sopimuksen täytäntöönpano (tilauksen toimittaminen), kun taas markkinointiviestinnän oikeusperuste voi olla suostumus tai oikeutettu etu.

3.3 Henkilötietoryhmät

Selosteessa on kerrottava, mitä henkilötietoja käsitellään. Tyypillisiä ryhmiä ovat:

• Perustiedot: nimi, osoite, sähköposti, puhelinnumero
• Tunnistamistiedot: henkilötunnus, asiakasnumero
• Taloustiedot: laskutustiedot, maksuhistoria
• Tekniset tiedot: IP-osoite, evästeet, laitetiedot
• Erityiset henkilötietoryhmät: terveystiedot, uskonto, ammattiliiton jäsenyys

3.4 Tietojen vastaanottajat

Jos henkilötietoja luovutetaan kolmansille osapuolille tai käsittelijöille, nämä on ilmoitettava. Esimerkiksi kirjanpitäjä, pilvipalveluntarjoaja, maksupalvelu, kuljetusyhtiö ja analytiikkapalvelu ovat tyypillisiä vastaanottajia.

3.5 Tietojen siirrot EU:n/ETA:n ulkopuolelle

Jos henkilötietoja siirretään Euroopan talousalueen ulkopuolelle, selosteessa on kerrottava kohdemaat ja käytetyt suojamekanismit. Tyypillisiä siirtoperusteita ovat EU:n komission riittävyyspäätös, vakiosopimuslausekkeet (SCC) ja sitovat yrityssäännöt (BCR).

3.6 Säilytysajat

Tietosuojaselosteessa on kerrottava, kuinka kauan tietoja säilytetään tai millä kriteereillä säilytysaika määräytyy. Esimerkiksi kirjanpitoaineistoa on säilytettävä kirjanpitolain mukaan 6 tai 10 vuotta, mutta markkinointirekisterin tietoja voidaan säilyttää vain niin kauan kuin suostumus on voimassa.

3.7 Rekisteröidyn oikeudet

GDPR takaa rekisteröidyille seuraavat oikeudet, joista on informoitava selosteessa:

• Oikeus saada pääsy omiin tietoihinsa (tarkastusoikeus)
• Oikeus tietojen oikaisemiseen
• Oikeus tietojen poistamiseen ("oikeus tulla unohdetuksi")
• Oikeus käsittelyn rajoittamiseen
• Oikeus siirtää tiedot toiseen järjestelmään (siirto-oikeus)
• Oikeus vastustaa käsittelyä
• Oikeus olla joutumatta automaattisen päätöksenteon kohteeksi
• Oikeus peruuttaa suostumus milloin tahansa
• Oikeus tehdä valitus tietosuojavaltuutetulle

3.8 Tietojen lähteet

Jos tietoja ei kerätä suoraan rekisteröidyltä, on kerrottava mistä tiedot on saatu (Art. 14). Esimerkiksi luottotietoyhtiöt, julkiset rekisterit tai yhteistyökumppanit voivat olla tietojen lähteitä.

4. Miten tietosuojaseloste laaditaan?

Tietosuojaselosteen laatiminen edellyttää organisaation henkilötietojen käsittelyn kokonaisvaltaista kartoitusta. Prosessi etenee tyypillisesti seuraavasti:

1. Kartoita käsittelytoimet — Listaa kaikki tilanteet, joissa organisaatiosi käsittelee henkilötietoja: asiakasrekisteri, henkilöstöhallinto, markkinointi, verkkopalvelut, yhteistyökumppanit. Tämä vaihe on samalla pohja GDPR Art. 30 mukaiselle käsittelytoimien rekisterille.
2. Määritä oikeusperusteet — Jokaiselle käsittelytoimelle on valittava oikeusperuste. Suostumus, sopimus ja lakisääteinen velvoite ovat yleisimpiä. Oikeutettu etu edellyttää tasapainotestiä (rekisterinpitäjän etu vs. rekisteröidyn oikeudet).
3. Dokumentoi tietovirrat — Selvitä, minne tiedot kulkevat: käytetyt alihankkijat, pilvipalvelut, analytiikkatyökalut ja mahdolliset kansainväliset siirrot.
4. Määritä säilytysajat — Jokaiselle tietoryhmälle on asetettava säilytysaika tai kriteeri, jonka perusteella aika määräytyy. Lainsäädäntö asettaa joillekin tiedoille minimiajat (esim. kirjanpitoaineisto).
5. Kirjoita seloste selkeällä kielellä — GDPR edellyttää, että informointi on "tiiviisti esitettyä, läpinäkyvää, helposti ymmärrettävää ja helposti saatavilla". Vältä lakikieltä — kohderyhmä on tavallinen kuluttaja.
6. Julkaise ja linkitä — Seloste on asetettava helposti saataville esimerkiksi verkkosivujen alatunnisteeseen, rekisteröitymislomakkeen yhteyteen ja sopimusten liitteeksi.
7. Suunnittele päivityskäytäntö — Tietosuojaseloste on pidettävä ajan tasalla. Päivitä aina, kun käsittelyn tarkoitus, tietojen vastaanottajat tai suojatoimet muuttuvat.

Selosteen laadinta voi tuntua monimutkaiselta, mutta se on samalla arvokas harjoitus: prosessin aikana organisaatio joutuu käymään läpi koko tietojenkäsittelynsä, mikä auttaa tunnistamaan riskejä ja tehostamaan käytäntöjä.

Erityistä huomiota kannattaa kiinnittää siihen, miten tietosuojaseloste esitetään eri kohderyhmille. Verkkosivustolla voidaan käyttää ns. kerroksellista lähestymistapaa: ensimmäisellä kerroksella näytetään tiivistelmä keskeisimmistä tiedoista, ja toisella kerroksella tarjotaan yksityiskohtainen seloste kaikista GDPR:n vaatimista tiedoista. Tämä parantaa käyttäjäkokemusta ja täyttää samalla asetuksen läpinäkyvyysvaatimuksen.

Yleisimmät virheet tietosuojaselosteen laadinnassa ovat liian yleinen kielenkäyttö ("saatamme käsitellä tietojasi" ilman konkretiaa), oikeusperusteen puuttuminen tai virheellinen valinta, vanhentunut vastaanottajalista ja puuttuva tieto kansainvälisistä siirroista. Erityisesti kolmansien maiden siirrot ovat tietosuojavaltuutetun tarkastusten yleinen kohde.

Usein kysytyt kysymykset tietosuojaselosteen laatimisesta

Tarvitaanko erillinen seloste jokaiselle rekisterille? Ei välttämättä, mutta se on suositeltavaa, jos käsittelytoimet eroavat oleellisesti toisistaan. Esimerkiksi asiakasrekisterin ja markkinointirekisterin yhdistäminen samaan selosteeseen voi tehdä siitä vaikealukuisen.

Pitääkö seloste päivittää kun palveluntarjoaja vaihtuu? Kyllä. Tietojen vastaanottajat ja käsittelijät ovat pakollista sisältöä, ja niiden muuttuessa seloste on päivitettävä viipymättä.

Riittääkö linkki verkkosivun alatunnisteessa? Linkki alatunnisteessa on hyvä käytäntö, mutta selosteeseen on viitattava myös tietojen keräyspisteissä: rekisteröitymislomakkeissa, tilausvahvistuksissa ja yhteystietolomakkeissa.

Miten pitkäksi seloste saa tulla? GDPR ei aseta pituusrajoitusta, mutta asetuksen vaatimus "tiiviistä ja helposti ymmärrettävästä" informoinnista suosii selkeyttä. Tyypillinen tietosuojaseloste on 3–8 sivua pitkä riippuen käsittelyn laajuudesta.

5. Viralliset vaatimukset ja lainsäädäntö

Tietosuojaselosteen sisältövaatimukset perustuvat pääasiassa EU:n yleiseen tietosuoja-asetukseen (GDPR, EU 2016/679), erityisesti artiklaan 12 (läpinäkyvyys), artiklaan 13 (suoraan kerätyt tiedot) ja artiklaan 14 (muualta saadut tiedot).

Suomessa tietosuojalaki (1050/2018) täydentää GDPR:ää kansallisilla säännöksillä. Tietosuojavaltuutetun toimisto valvoo asetuksen noudattamista ja tarjoaa ohjeistusta organisaatioille.

Keskeisiä vaatimuksia ovat:

• Proaktiivinen informointi — Rekisteröityä on informoitava tietojen keräämisen yhteydessä, ei vasta pyynnöstä. Jos tiedot saadaan muualta, informointi on tehtävä viimeistään kuukauden kuluessa.
• Selkeä kieli — Selosteen on oltava tavallisen ihmisen ymmärrettävissä. Jos kohderyhmänä on lapsia, kieli on mukautettava heidän ikätasolleen.
• Maksuton saatavuus — Informoinnin on oltava maksutonta. Selosteesta ei saa periä maksua.
• Kieliversiot — Seloste on laadittava kielellä, jota rekisteröidyt ymmärtävät. Suomessa tämä tarkoittaa yleensä suomea ja tarvittaessa ruotsia ja englantia.

GDPR:n rikkomisesta voi seurata hallinnollinen sakko: enintään 20 miljoonaa euroa tai 4 % yrityksen maailmanlaajuisesta liikevaihdosta, kumpi on suurempi. Informointivelvollisuuden rikkominen kuuluu asetuksen ankarimpaan sakkoluokkaan.

Viralliset lähteet

• EU:n yleinen tietosuoja-asetus (GDPR) — EUR-Lex
• Tietosuojavaltuutetun toimisto — tietosuoja.fi
• Tietosuojalaki 1050/2018 — Finlex

6. Käytännön vinkit

• Päivitä vähintään kerran vuodessa — Tarkista seloste aina, kun käsittelytoimet, palveluntarjoajat tai lainsäädäntö muuttuvat. Merkitse päivityspäivämäärä selosteeseen.
• Erittele kolmannet osapuolet — Älä kirjoita vain "käytämme alihankkijoita". Nimeä ainakin keskeiset palveluntarjoajat ja kerro, mitä ne tekevät.
• Kerro tietojen sijainti — Rekisteröityä kiinnostaa, säilytetäänkö hänen tietojaan EU:n/ETA:n sisällä vai siirretäänkö niitä esimerkiksi Yhdysvaltoihin.
• Tee erillinen seloste eri rekistereille — Asiakasrekisterille, henkilöstörekisterille ja markkinointirekisterille voi olla omat selosteensa, jos käsittely on oleellisesti erilaista.
• Käytä kerrosmallia — Verkkopalvelussa voit käyttää tiivistelmää (ensimmäinen kerros) ja yksityiskohtaista selostetta (toinen kerros). Tämä parantaa luettavuutta.
• Varmista saatavuus — Linkitä seloste verkkosivujen alatunnisteeseen, rekisteröitymislomakkeisiin ja palvelusopimuksiin. Sen pitää olla löydettävissä ilman erityistä vaivaa.
• Dokumentoi tietoturvatoimet — Kerro yleisellä tasolla, miten tiedot suojataan: salaus, pääsynhallinta, varmuuskopiointi, henkilöstön koulutus.
• Testaa ymmärrettävyys — Pyydä joku organisaation ulkopuolinen henkilö lukemaan seloste. Jos hän ei ymmärrä, se ei todennäköisesti täytä GDPR:n läpinäkyvyysvaatimusta.