GDPR-ohjeet tietosuojaselosteen laatimiseen

GDPR (General Data Protection Regulation) on Euroopan unionin tietosuoja-asetus, joka tuli voimaan 25.5.2018. Sen tarkoituksena on suojata EU-kansalaisten henkilötietoja ja antaa heille enemmän oikeuksia tietojensa hallintaan. Käytännössä tämä tarkoittaa, että yritysten – myös pienyrittäjien – on kerrottava avoimesti, miten ne käsittelevät henkilötietoja ja varmistettava, että tiedot säilytetään ja suojataan asianmukaisesti.

Kun GDPR astui voimaan, yrittäjät saivat niskaansa sekavia ohjeita ja pelottelua siitä, kuinka kaikkien pitäisi yhtäkkiä palkata tietosuojavastaava ja maksaa jättisakko, jos jokin dokumentti unohtuu. Ohjeet muuttuivat jatkuvasti, ja välillä tuntui, että koko sääntely oli pelkkää sekametelisoppaa.

Mutta mitä tästä kaikesta on jäänyt käteen vuonna 2025? Tarvitseeko pienyrittäjän oikeasti stressata, ja mikä on muuttunut matkan varrella? Tässä selkeä katsaus GDPR:n tärkeimpiin asioihin.

GDPR vuonna 2018 – alun epäselvyydet ja väärinkäsitykset

Kun GDPR tuli voimaan, informaatio tietosuojaselosteen tarpeellisuudesta ja muodosta oli hyvin vaihtelevaa. Tietosuojavaltuutetun toimistokin kertoi silloin, että rekisteri- ja tietosuojaselosteet eivät olleet enää pakollisia, mutta samalla korosti, että asiakkaiden henkilötietojen käsittelystä pitää silti kertoa.

Käytännössä tämä tarkoitti sitä, että ”rekisteriseloste”-nimike jäi historiaan, mutta tilalle tuli tietosuojaseloste, joka sisältää samoja tietoja, mutta käytännössä eri nimellä.

Evästeiden osalta Euroopan komissio viestitti aluksi, että käyttäjän selainasetukset riittäisivät suostumukseksi evästeiden käyttöön. Tämä tarkoitti, että jos käyttäjä ei erikseen estänyt evästeitä, niitä sai käyttää ilman pop-up-ikkunoita. Tämä helpotti monia yrittäjiä, mutta ei kauaksi aikaa.

Evästeet ja tietosuojaselosteet tiukentuivat 2020

Vuonna 2020 tietosuojaviranomaiset muuttivat linjaansa ja totesivat, että selainasetukset eivät enää riitä suostumukseksi. Jos verkkosivusto käyttää kolmannen osapuolen evästeitä – kuten Google Analyticsia, Facebookin pikseliä tai YouTube-videoiden upotuksia – käyttäjän pitää voida hyväksyä tai hylätä nämä evästeet ennen niiden asettamista.

Samaan aikaan tietosuojaselosteiden sisältö vakiintui. Seloste on yhä pakollinen, jos yritys käsittelee henkilötietoja esimerkiksi asiakasrekisterissä tai verkkolomakkeiden kautta.

Mitä yrittäjän pitää tietää nyt vuonna 2024?

GDPR ei enää aiheuta yhtä suurta paniikkia kuin alussa, mutta monilla on silti epäselvyyksiä siitä, mitä täytyy tehdä. Tässä tärkeimmät kohdat:

  • Tietosuojaseloste on pakollinen, jos yrityksesi käsittelee henkilötietoja. Tämä voi tarkoittaa esimerkiksi asiakasrekisteriä, ajanvarausjärjestelmää, markkinointilistaa tai verkkokaupan asiakastietoja.
  • Evästebanneri on pakollinen vain, jos käytät kolmannen osapuolen evästeitä. Jos et käytä Google Analyticsia, someupotuksia tai muuta seurantaa, banneria ei tarvita.
  • Henkilötietoja ei saa säilyttää huolimattomasti. Asiakasrekisterit, sähköpostilistat ja muut tiedot tulee suojata asianmukaisesti, esimerkiksi salasanoilla tai salauksella.
  • ”Oikeus tulla unohdetuksi” ei ole automaattinen. Jos tietojen säilyttäminen on lakisääteisesti pakollista (esimerkiksi kirjanpitotiedot), niitä ei voi poistaa asiakkaan pyynnöstä.
  • Markkinointilistojen hallinta on tärkeää. Jos keräät sähköpostiosoitteita markkinointiin, käyttäjällä pitää olla selkeä ja helppo tapa peruuttaa tilaus.

Entä ne evästeet?

Vuonna 2018 ajateltiin, että selainasetukset riittäisivät suostumukseksi, mutta 2020-luvulla kanta muuttui. Nykyään vaatimukset ovat selkeät:

  • Jos et käytä kolmannen osapuolen evästeitä, et tarvitse ponnahdusikkunaa.
  • Jos käytät Google Analyticsin analytiikkaa, someupotuksia tai mainontaseurantoja, tarvitset evästebannerin.
  • Evästebannerin täytyy olla aidosti valinnainen, eli käyttäjän pitää voida kieltäytyä seurantaan liittyvistä evästeistä.

Vinkkejä evästebannerin toteutukseen löydät täältä: GDPR ei ole pop-up-ikkuna.

Esimerkki tietosuojaselosteesta

Moni yrittäjä miettii, miltä tietosuojaselosteen pitäisi näyttää. Alla on yksinkertainen esimerkki, jota voit käyttää pohjana omalle selosteellesi. Muista, että jokaisen yrityksen pitää tehdä seloste omien toimintatapojensa mukaan – tätä ei voi kopioida sellaisenaan!


Tietosuojaseloste
Päivitetty: X.X.2025

Rekisterinpitäjä:
Yritykseni nimi
Yrityksen osoite
Sähköpostiosoite

Mitä tietoja kerään ja miksi?
Kerään henkilötietoja seuraaviin tarkoituksiin:

  • Asiakassuhteen hoitaminen (tilausten käsittely, laskutus)
  • Markkinointi ja asiakasviestintä (uutiskirjeet, tiedotteet)
  • Verkkosivujen toiminnan ja analytiikan kehittäminen

Tietojen käsittelyn perusteena on oikeutettu etu, lakisääteinen velvoite tai käyttäjän suostumus.

Henkilötietojen säilytysajat:

  • Sähköpostiarkistossa 7 vuotta (kirjanpidollinen syy)
  • Markkinointirekisterissä, kunnes käyttäjä peruuttaa suostumuksen
  • Verkkosivujen analytiikkatiedot 26 kuukautta

Evästeiden käyttö:
Sivustolla käytetään välttämättömiä evästeitä. Lisäksi käytössä on Google Analytics, joka asettaa evästeitä kävijäseurantaa varten. Käyttäjä voi hyväksyä tai hylätä evästeet evästebannerin kautta.

Asiakkaan oikeudet:

  • Oikeus tarkistaa omat tietonsa
  • Oikeus vaatia tietojen oikaisua
  • Oikeus peruuttaa suostumus markkinointiin
  • Oikeus tehdä valitus tietosuojavaltuutetulle

Yhteydenotot:
Kaikki tietosuojaan liittyvät kysymykset ja pyynnöt voi lähettää sähköpostilla osoitteeseen (sähköpostiosoite).


Mitä sinun kannattaa tehdä?

Jos haluat varmistaa, että yrityksesi noudattaa GDPR:ää, käy läpi nämä:

  1. Kirjoita tietosuojaseloste ja varmista, että se on selkeä ja ajan tasalla.
  2. Tarkista, käytätkö evästeitä ja tarvitsetko evästebannerin.
  3. Pidä asiakasrekisterit turvassa ja poista vanhentuneet tiedot.
  4. Tarjoa selkeä tapa peruuttaa markkinointiviestit.
  5. Huolehdi tietoturvasta, jotta asiakastietosi eivät päädy vääriin käsiin.

GDPR ei ole niin monimutkainen kuin aluksi luultiin. Kun perusasiat ovat kunnossa, sinun ei tarvitse stressata.

PS. Tämä artikkeli ei ole lainopillinen neuvo. En ole vastuussa sen oikeellisuudesta, joten noudata sitä omalla vastuullasi!

Lue lisää aiheesta

Tietosuoja-asetus selkokielellä (Verkkokauppablogi.fi)
Täällä yksi esimerkki tietosuojaselosteesta: https://www.ostokset.fi/tietosuojaseloste-kayttajille.html

GDPR ei ole pop-up-ikkuna eikä WordPressin lisäosa

Evästeilmoitus ponnahdusikkunassa

Tietosuoja ja tietoturva – toisesta korvasta sisään ja toisesta ulos

Näitä vinkkejä saa laittaa jakoon!

14 Kommenttia

  1. Hei. Hyvät ohjeet, jolla pääsee alkuun. Olet perehtynyt asiaan.

    Sellainen asia mikä kiinnostaa on että jos sivuilta ei kerätä esim newsletteriin maileja mutta siellä on yhteydenottolomake, niin onko se sinun mielestä rekisteri? Siis lomake lähettää tiedot suoraan mailiin eikä tallenna niitä palvelimelle.

    Kyllähän tämä koko GDPR tulee räjähtämään käsiin, koska jos ihan tarkkoja ollaan niin eikös myös yrittäjän puhelimen osoitekirja ole tavallaan rekisteri?

    Onko rekisteriseloste pakollinen sivulla joka ei kerää tietoja?

    Toni

    1. Hyviä kysymyksiä!

      Henkilörekisteri muodostuu henkilötiedoista, olivat ne sitten palvelimella, sähköpostilaatikossa tai vaikka ruutuvihkossa. Eli kyllä, lomakkeella kerätyt yhteystiedot ovat yhtä lailla henkilörekisteri, vaikkei näihin yhteystietoihin lähetettäisi uutiskirjeitä tai mitään muutakaan.

      Puhelimessa olevat yhteystiedot ovat myös rekisteri. Ja se on aivan ok – tämä vain kirjataan selosteeseen.

      Yrityksellä on lähes aina henkilörekisterejä – eli yrityksessä käsitellään henkilötietoja, vaikka ne olisivat vain nimiä, puhelinnumeroita tai vaikkapa laskutusosoitteita. GDPR:n mukaan yrityksen tulee tietää, miten henkilötietojen käsittelyyn liittyvät asiat on hoidettu. Käsittelytoimista laaditaan seloste. Kenen tahansa pitää seloste lukemalla ymmärtää, miten yritys kerää ja käsittelee henkilötietoja.

      Tietosuojaseloste on laitettava näkyviin kaikkiin sellaisiin verkkopalveluihin, joissa tavalla tai toisella kerätään ihmisten henkilötietoja. Eli esimerkiksi verkkokaupassa tai sivuilla, joilla on yhteydenottolomake, tarvitaan tietosuojaseloste.

      Jos yritys ei kerää netissä tietoja, selosteen henkilötietojen käsittelystä on oltava saatavilla esim. toimipaikassa. Mutta samalla vaivalla kun sen laatii toimipaikkaan, sen voi tietysti julkaista myös netissä.

      GDPR:stä on tehty iso numero Suomessa. Mielestäni pienyrittäjän ei tarvitse siitä kauheasti stressiä ottaa: kyllähän yrittäjä tietää, mitä tietoja kerää, mistä näitä tietoja kerää, mihin tietoja käyttää, miten niitä säilyttää jne. Tiedot näistä asioita vain kirjataan ylös.

      Ja asiakkaan saatavilla olevassa tietosuojaselosteessa tämän kaiken voi ilmaista selkeästi – esimerkiksi ”Asiakkaan yhteystietoja käytetään yhteydenpitoon ja laskutukseen” ja vaikkapa ”Asiakkaan yhteystietoja säilytetään lakisääteisten vaatimusten mukaisesti”. Selosteeseen ei siis pidä tunkea mitään vaikeaselkoista lakitekstiä, vaikka lähes kaikki GDPR-ohjeet on laadittu sillä tavalla 🙂

  2. Hei,

    Saako esimerkkiäsi tietosuojaselosteesta käyttää, jos vain teen pieniä muutoksia, eli tietenkin yrityksen tiedot?

    1. Hei,

      Kiitos viestistäsi!

      Kyllä tätä esimerkkiä saa minun puolestani käyttää ja muokata omaan käyttöön – omien toimintatapojesi mukaisesti ja omalla vastuullasi. Tämän oman esimerkkini olin laatinut siltä pohjalta, miten itse sillä hetkellä toimin. Tuon selosteen laatimiseen olin käyttänyt Verkkokauppablogin laatimaa esimerkkiä, luvan kanssa tietysti.

      Joten jos vaikkapa tilitoimisto tai joku muu taho käsittelee asiakkaidesi tietoja, myös se pitäisi lisätä selosteeseen.

      Yleisesti ottaen sopimuksia ei saa kopioida – esimerkiksi verkkokaupan toimitusehtojakaan ei saa kopioida omaan käyttöön: https://www.finlex.fi/fi/oikeus/ho/2007/tho20070315

      Terveisin Miia

  3. Hei! Onko tietosuojaseloste oltava, jos yksityinen henkilö perustaa blogin ja blogin lukijoille ei anneta mahdollisuutta liittyä sähköpostilistalle, mutta lukijoiden on mahdollista kommentoida blogia ja kommentointia varten lukijan on annettava sähköpostiosoitteensa, joka tallentuu palvelimelle? Entä onko yksityisen henkilön blogissa aina oltava linkki, mistä saa lisätietoa evästeistä? Mistä tiedän, mitä evästeitä WordPress tai valitsemani lisäosat käyttävät?

    1. Hei Ihmettelijä!

      Erinomaisia kysymyksiä!

      Tietosuoja-asetus koskee vain yrityksiä ja organisaatioita, ei yksityishenkilöitä, jotka pitävät blogiaan esim. huvin vuoksi. Tietosuojavaltuutetun sivulla todetaan seuraavaa: ”Tietosuojalainsäädäntöä ei sovelleta ihmisen suorittamaan henkilötietojen käsittelyyn, jos käsittely on henkilökohtaista, eikä liity ammatilliseen tai kaupalliseen toimintaan. Tällaista henkilötietojen käsittelyä voi olla esimerkiksi osoitteiston pitäminen ja sosiaalinen verkostoituminen.” (Lähde: Mikä on henkilötieto).

      Evästeistä:

      En muuten tiedä asiasta yksityishenkilön kannalta ollenkaan, joten tässä kappaleessa on pelkkää arvailua. Omasta mielestäni sivujen toiminnan mahdollistavat normaalit evästeet ovat sellaisia, että niistä on aivan turha tiedottaa yksityishenkilön sivuilla, mutta mikäs nyt maalaisjärjen mukaan menisi. Se että kävijä pystyy kommentoimaan tai itse pystyt kirjautumaan sivustolle, ovat niin perusasioita. En myöskään äkkiä kahlaten löytänyt netistä mitään ohjetta tähän. Mikäli joku lakihenkilö osaa vastata tähän kysymykseen selkeästi (esim. kyllä tarvitsee tiedottaa tai ei tarvitse tiedottaa), niin mielelläni kuulisin vastauksen. Tosin ei yksityishenkilöllekään varmaan ole mikään ongelma laittaa sivustolle tiedotetta siitä, mihin evästeitä käytetään (esim. linkki Evästekäytännöt vaikkapa johonkin sivujen alaosaan). WordPressissähän on myös hyvät pohjat evästekäytännöistä tiedottamiselle – esimerkiksi juuri tuon kommentoinnin suhteen.

      Jos haluat tietää, mitä evästeitä sivuillasi (tai kenen tahansa sivuilla) on, siirry sivuillesi ja klikkaa osoitteen vieressä olevaa lukon kuvaa. Klikkaa kohtaa ”Evästeet” (jonka perässä näkyy evästeiden lukumäärä) (Näin ainakin Chrome-selaimella). Näet tarkat tiedot, mihin liittyviä evästeitä sivuillesi on liitetty. Toki nimistä ei voi välttämättä päätellä, onko joukossa sellaisia evästeitä, joista tarvitsee tiedottaa.

      Yksityisenä henkilönä et todennäköisesti esim. kerää demografisia tietoja, kohdenna markkinointia analytiikan perusteella tai yhdistä tietoja esim. markkinoinnin automaatioon. Jos siis et keräile ja yhdistele tämän tyyppisiä tietoja, sivuillasi tuskin on sellaisia evästeitä, joiden käyttöön esim. tarvitsisi pyytää lupa.

  4. Kiitos tosi paljon erittäin kattavasta vastauksesta! Samalla kiitän loistavasta blogista!

  5. Mietin vielä, lasketaankohan kaupalliseksi toiminnaksi, jos yksityinen blogin pitäjä saa esim. tuotteita arvosteltavaksi blogissa…?

    1. Hei!

      Kun yritys antaa bloggaajalle tuotteitaan arvosteltavaksi blogiin, kyse on (yrityksen) kaupallisesta toiminnasta. Kilpailu- ja kuluttajaviraston sivuilla sanotaan seuraavaa:

      ”Harrastusbloggaajaa ei velvoita suoraan kuluttajansuojalainsäädäntö tai Journalistin ohjeet, mutta mainostava yritys on siitä huolimatta vastuussa lainsäädännön noudattamisesta blogin kautta markkinoidessaan. Bloggaaja, joka suosittelee yritykseltä saamiaan tuotteita, palveluita tai muita vastikkeettomia etuja blogissaan, markkinoi tosiasiassa yrityksen lukuun, vaikka bloggaajalla ei olisikaan velvollisuutta kertoa tuotteesta blogissaan. Siksi yrityksen, joka lähettää tuotteitaan bloggaajalle siinä tarkoituksessa, että niistä kirjoitetaan positiivisia arvioita, tulee neuvoa bloggaajaa toimimaan niin, että yhteistyöstä tai vastikkeettomien etujen vastaanottamisesta kerrotaan avoimesti postauksien yhteydessä.”

      KKV:n sivuilta löytyy lisää tietoa asiasta, sekä esimerkkejä, miten tällaisesta yhteistyöstä voisi sivuillaan tiedottaa:
      https://www.kkv.fi/ratkaisut-ja-julkaisut/julkaisut/kuluttaja-asiamiehen-linjaukset/aihekohtaiset/mainonnan-tunnistettavuus-blogeissa/

  6. Kiitos, linkki oli tosi hyödyllinen! Viittasin siis kysymykselläni kaupallisesta toiminnasta siihen, että jos yksityisenä henkilönä bloggaava saa tuotteita arvosteltavaksi, niin vaikuttaako se tuohon tietosuojaselosteen tarpeeseen, mistä keskustelimme yllä.

    ”Tietosuojalainsäädäntöä ei sovelleta ihmisen suorittamaan henkilötietojen käsittelyyn, jos käsittely on henkilökohtaista, eikä liity ammatilliseen tai kaupalliseen toimintaan. Tällaista henkilötietojen käsittelyä voi olla esimerkiksi osoitteiston pitäminen ja sosiaalinen verkostoituminen.” (Lähde: Mikä on henkilötieto).

    1. Kaupallisesta yhteistyöstä tiedottaminen ei liity henkilötietojen keräämiseen, jota tietosuojaselosteessa käsitellään.

      Eli voit tiedottaa kaupallisesta yhteistyöstä esim. blogikirjoituksen yhteydessä tai tehdä vaikkapa oman sivun, jossa kerrot kaupallisesta yhteistyöstä – ja kaupallisesta bloggauksesta linkki ko. tiedotussivulle.

  7. Jos harrastusbloggaajan blogissa on käytössä Google Analytics ja sivustolla näytetään Googlen mainoksia, seuraako tästä jotain velvotteita?

    Eli esim.
    Pitääkö pyytää blogin lukijalta lupa evästeiden käyttöön ja/tai mainosten näyttämiseen?
    Pitääkö lisätä sivu, jossa kerrotaan näistä evästeistä?
    Tarvitseeko luoda tietosuojaseloste tms?

    Kiitos jos ehdit vastata. Sivustosi on muuten erinomainen.

    1. Hei!

      Kiitos kysymyksestä ja palautteesta!

      Evästeistä kertovaa pop-uppia ei tarvitse olla, kunhan sivuilla muuten kerrotaan evästeistä vaikkapa omalla sivullaan:

      ”Suomessa evästeistä informoimista tai niiden hyväksymistä varten ei vaadita erillistä ponnahdusikkunaa. Evästekäytännöt on kuitenkin mainittava verkkosivuilla niin, että käyttäjän on mahdollista saada niistä lisätietoa.” – Kyberturvallisuuskeskus

      Täällä olen käsitellyt pop-up-asiaa: https://miiaylinen.fi/evasteilmoitus-ponnahdusikkunassa/. Mainosten näyttämiseen en ole perehtynyt. Mahdollisista velvoitteista toivottavasti infotaan mainonnan aloittamisen yhteydessä, mutta tuon samaisen periaatteen mukaan voisin kuvitella että riittää, kun evästeistä tiedotetaan omalla sivullaan, ei pop-upissa.

      Tietosuoja-asetus koskee vain yrityksiä ja organisaatioita, ei yksityishenkilöitä, jotka pitävät blogiaan esim. huvin vuoksi. Tietosuojavaltuutetun sivulla todetaan seuraavaa: ”Tietosuojalainsäädäntöä ei sovelleta ihmisen suorittamaan henkilötietojen käsittelyyn, jos käsittely on henkilökohtaista, eikä liity ammatilliseen tai kaupalliseen toimintaan. Tällaista henkilötietojen käsittelyä voi olla esimerkiksi osoitteiston pitäminen ja sosiaalinen verkostoituminen.” (Lähde: Mikä on henkilötieto).

Kommentit on suljettu.