1. Mitä tietosuojaseloste tarkoittaa ja miksi se pitää olla jokaisessa yrityksessä

Moni yllättyy siitä, että henkilötietoja ovat myös tavalliset tiedot kuten nimi. Silti seloste puuttuu yhä monelta yritykseltä. Jos keräät asiakkaasta edes yhden tunnistettavan tiedon, tietosuojaseloste on pakollinen.

Mikä tietosuojaseloste on

Tietosuojaseloste kertoo rekisteröidylle, mitä tietoja hänestä kerätään ja mihin tarkoitukseen. Se kertoo myös, millä perusteella tietoja käsitellään, minne tiedot siirtyvät ja mitä oikeuksia rekisteröidyllä on. Seloste ei ole sisäinen muistilappu, vaan lakisääteinen ilmoitus niille ihmisille, joiden tietoja käsittelet.

Kenelle seloste kuuluu

Seloste annetaan kaikille, joiden tietoja käsittelet. Tämä ei rajoitu asiakkaisiin. 

Mukaan kuuluvat myös:

  • työntekijät ja työnhakijat
  • jäsenet ja vapaaehtoiset
  • alihankkijat ja yhteistyökumppanit

Jokaisella ryhmällä on erilaiset tiedot ja eri peruste käsittelylle. Siksi yksi seloste ei riitä. 

Mitä viranomaiset edellyttävät?

Tietosuoja.fi:n mukaan rekisteröidylle on annettava kaikki vaadittavat tiedot oikea-aikaisesti, selkeästi ja ymmärrettävästi. Informoinnin tulee olla helposti löydettävissä ja suoraan siinä kohdassa, jossa rekisteröity antaa tietojaan. Pelkkä linkki yrityksen tietosuojaselosteeseen ei riitä, vaan keskeisten tietojen pitää olla esillä jo lomakkeessa tai muussa kohdassa, jossa tiedot kerätään.

Jos tiedot kerätään muualta kuin rekisteröidyltä, informointi pitää antaa ajoissa – viimeistään kuukauden sisällä tai ennen kuin rekisteröityyn ollaan yhteydessä tai ennen kuin tiedot luovutetaan eteenpäin. 

Missä informoinnin pitää näkyä käytännössä?

Informointi annetaan suoraan siinä kohdassa, jossa tiedot kerätään. GDPR:n artiklan 13 mukaan tiedot on annettava "henkilötietojen saamisen yhteydessä", mikä tarkoittaa käytännössä tätä:

  • lomake, jossa asiakas täyttää tietoja
  • yhteydenottolomake
  • uutiskirjeen tilaus
  • työhakemuslomake
  • ajanvaraus
  • tarjouspyyntö
  • verkkokaupan kassavaihe

Näissä kohdissa pitää olla vähintään lyhyt informointiteksti, joka kertoo käsittelyn tarkoituksen ja linkin täydelliseen tietosuojaselosteeseen.

Miten yritys käytännössä toteuttaa informoinnin oikein

  1. Tarkista, missä kohdissa keräät henkilötietoja. Jokaisessa näistä kohdista pitää olla informointi näkyvissä. Se voi olla lyhyt teksti, jossa kerrotaan käsittelyn tarkoitus ja linkki täydelliseen selosteeseen. Tärkeää on, että rekisteröity näkee tiedon ennen kuin lähettää mitään.
  2. Varmista, että sisällöt ovat kunnossa. Selosteet kannattaa laatia ryhmäkohtaisesti ja monitasoisesti. Näin rekisteröity löytää juuri häntä koskevat tiedot ilman ylimääräistä tietoa.
  3. Päivitä käytännöt. Informointi ei ole pelkkä tietosuojaseloste piilossa nettisivujen alareunassa, vaan sen kannattaa näkyä kaikissa kohdassa, jossa henkilötietoja kerätään. Kun tämä on kunnossa, arki helpottuu ja riskit pienenevät. 

Mitä rekisteröidyn informointi tarkoittaa käytännössä

Informointi tarkoittaa sitä, että kerrot rekisteröidylle ymmärrettävästi:

  • mitä tietoja hänestä kerätään
  • miksi tietoja käytetään
  • millä perusteella tietoja käsitellään
  • minne tiedot siirtyvät

Rekisteröity ei voi arvata tätä itse. Tieto annetaan selkeästi ja oikeaan aikaan.


Jos haluat nähdä, missä kohtaa informointi useimmin menee pieleen, lue myös: Rekisteröidyn informointi – yleisin virhe yrityksissä.

Mitä selosteesta pitää löytyä

Selosteessa pitää kertoa vähintään nämä asiat:

  • kuka käsittelee tietoja ja miten hänet tavoittaa
  • miksi tietoja käsitellään
  • millä perusteella tiedot kerätään
  • minne tiedot siirtyvät
  • siirtyvätkö tiedot EU:n ulkopuolelle
  • kuinka kauan tietoja säilytetään
  • mitä oikeuksia rekisteröidyllä on
  • mistä tiedot on saatu
  • käytetäänkö automaattista päätöksentekoa

Nämä tiedot annetaan selkeästi ilman lakijargonia.

📎Lue lisää: Yksi tietosuojaseloste kaikille on varma tapa sotkea koko informointi

Miksi seloste kannattaa laittaa kuntoon

Hyvin tehty seloste helpottaa arkea ja rakentaa luottamusta. Se vaikuttaa suoraan siihen, miten yritys näyttää rekisteröidyn silmissä.

Selkeä seloste:

  • saa asiakkaan tuntemaan ostamisen turvalliseksi
  • näyttää yhteistyökumppaneille, että yritys hoitaa asiat kunnolla
  • vaikuttaa kilpailutuksissa, joissa seloste tarkistetaan ensimmäisten joukossa
  • vähentää kyselyitä ja väärinkäsityksiä
  • tukee yrityksen uskottavuutta ja ammattimaisuutta

Seloste voi olla käytännössä syy, miksi asiakas tai kumppani valitsee juuri sinun yrityksesi eikä kilpailijaa. 

Mitä tapahtuu, jos seloste puuttuu

Jos seloste puuttuu tai se on puutteellinen, seuraukset voivat olla suoria ja nopeita.

Tämä voi johtaa siihen, että:

  • rekisteröidyt eivät saa lain vaatimaa tietoa omista tiedoistaan
  • yritys näyttää epäluotettavalta
  • asiakas jättää ostamatta
  • kumppani valitsee toisen toimijan
  • kilpailutuksesta putoaa pois ilman selitystä
  • viranomainen pyytää selvitystä ja toteaa, että tietosuoja ei ole kunnossa
  • sakot ja sanktiot ovat mahdollisia
  • maine vahingoittuu nopeasti
  • toiminta voidaan rajoittaa tai keskeyttää, kunnes puutteet on korjattu

Kaikki tämä voi alkaa yhdestä puuttuvasta selosteesta, joka olisi ollut helppo hoitaa etukäteen. 

Haluatko yrityksellesi tietosuojaselosteet avaimet käteen -palveluna?

Jos haluat selosteet, jotka ovat selkeät, ryhmäkohtaiset ja viranomaisohjeiden mukaiset, voimme tehdä ne sinulle valmiiksi. 

Näin rekisteröity saa oikean tiedon oikeaan aikaan ja yritys näyttää myös ulospäin siltä, että tietosuoja-asiat on kunnossa.

Tutustu GDPR-Apun
Share