Pk-yritykselle paras GDPR-ohjelmisto on kevyt, EU-isännöity alusta, joka automatisoi käsittelytoimien selosteen, tietopyynnöt ja käsittelysopimukset ilman kokopäiväisen tietosuojatiimin tarvetta. Realistinen budjetti on 2 000–12 000 euroa vuodessa, ja aloitustason alustat alkavat 79–99 eurosta kuukaudessa. Ratkaisevaa ei ole ominaisuuksien määrä vaan se, kuinka nopeasti pieni tiimi saa dokumentaation kuntoon ja pysyy ajan tasalla. Tässä artikkelissa käydään läpi, mitä pk-yritys todella tarvitsee ja mikä on turhaa.
Koskeeko GDPR pk-yritystä?
Kyllä. Yleinen väärinkäsitys on, että GDPR 30 art. 5 kohdan poikkeus vapauttaa alle 250 hengen yritykset. Poikkeus on käytännössä lähes soveltumaton: se ei koske käsittelyä, joka on säännöllistä, aiheuttaa riskin rekisteröidyille tai kohdistuu erityisiin henkilötietoryhmiin. Jokainen yritys, joka käsittelee työntekijätietoja, ylläpitää asiakasrekisteriä tai käyttää verkkoanalytiikkaa, on käytännössä velvollinen ylläpitämään käsittelytoimien selostetta.
Suomessa valvonta on kohdistunut yhä useammin pk-yrityksiin. Otavamedialle määrättiin 85 000 euroa rekisteröidyn oikeuksien puutteista ja Alektum Oy:lle 750 000 euroa tietopyyntöihin vastaamatta jättämisestä. Kumpikin puute olisi ollut estettävissä toimivalla ohjelmistolla.
Mitä pk-yritys todella tarvitsee?
Pk-yrityksen ei tarvitse yritystason suittia. Tarpeet ovat rajatummat:
| Ominaisuus | Tarvitseeko pk-yritys? | Perustelu |
|---|---|---|
| Käsittelytoimien seloste (30 art.) | Kyllä | Tarkastuksen ensimmäinen asiakirja |
| Tietopyyntöjen hallinta | Kyllä | Kuukauden vastausmääräaika |
| Käsittelysopimukset (28 art.) | Kyllä | Jokaisen käsittelijän kanssa |
| DPIA (35 art.) | Tarpeen mukaan | Vain korkean riskin käsittelyssä |
| Evästehallinta (CMP) | Verkkosivun mukaan | Erillinen työkalu tarvittaessa |
| Toimittajariskien hallinta | Harvoin | Yritystason ominaisuus |
Ydin on siis ROPA + tietopyynnöt + käsittelysopimukset. Nämä kolme kattavat valtaosan valvontatapauksista. Loput ovat lisäominaisuuksia, joita ei kannata maksaa etukäteen.
Hinnat pk-yritykselle 2026
| Yrityskoko | Vuosibudjetti | Suositeltu ratkaisu |
|---|---|---|
| Mikroyritys (<20 hlö) | 500–2 000 € | Aloitustason EU-alusta |
| Pieni yritys (20–50) | 2 000–6 000 € | EU-alusta + ulkoinen DPO tarvittaessa |
| Keskisuuri (50–250) | 6 000–12 000 € | EU-alusta + evästehallinta |
Tarkempi kustannusanalyysi: GDPR-ohjelmiston hinta. Työkalujen vertailu: paras GDPR-ohjelmisto ja tietosuojaohjelmiston vertailu.
Miksi EU-isännöinti ja suomen kieli ratkaisevat
Pk-yritykselle kaksi kriteeriä nousee muiden yli. Ensinnäkin EU-isännöinti poistaa tarpeen arvioida kolmansiin maihin siirtoja omassa työkalussa – yhdysvaltalaisalusta lisäisi juuri sen velvoitteen, jota yritetään välttää. Toiseksi suomenkieliset asiakirjat: tietosuojavaltuutetun toimisto ja rekisteröidyt asioivat suomeksi, joten käännetty käyttöliittymä hidastaa ja aiheuttaa virheitä. Kansallinen konteksti: tietosuoja Suomessa.
Legiscope on suunniteltu juuri pk-yritykselle: tekoäly tuottaa käsittelytoimien selosteen noin neljässä minuutissa ja auditoi käsittelysopimuksen noin kolmessa, kaikki EU-isännöinnissä. Se ei ole karsittu yritystyökalu vaan alusta alkaen pienelle organisaatiolle rakennettu.
Manuaalinen työ vs. ohjelmisto
Pieni tiimi ei voi käyttää satoja tunteja vuodessa tietosuojadokumentaation ylläpitoon. Taulukkolaskennassa ylläpidetty seloste vanhenee viikoissa, ja tietopyynnöt hukkuvat sähköpostiin – juuri näin kävi Otavamedian tapauksessa, jossa tekninen sähköpostivirhe johti vastaamatta jättämiseen ja seuraamusmaksuun. Ohjelmisto tuo määräaikalaskurit, työnkulut ja auditointijäljen, jota valvontaviranomainen odottaa.
Näin otat GDPR-ohjelmiston käyttöön 30 päivässä
Pk-yritys ei tarvitse kuukausien projektia. Kolmenkymmenen päivän käyttöönotto onnistuu vaiheistamalla:
Viikko 1 – kartoitus. Listaa käsittelytoimet: työntekijätiedot, asiakasrekisteri, markkinointi, verkkoanalytiikka. Kokoa olemassa olevat käsittelysopimukset ja tietosuojaselosteet yhteen.
Viikko 2 – seloste kuntoon. Vie käsittelytoimet alustaan ja täydennä oikeusperusteet ja säilytysajat. Käsittelytoimien seloste on tarkastuksen ensimmäinen asiakirja.
Viikko 3 – sopimukset ja oikeudet. Auditoi käsittelysopimukset 28 artiklaa vasten ja kytke tietopyyntöjen määräaikaseuranta päälle.
Viikko 4 – riski ja loukkaukset. Tee tarvittaessa vaikutustenarviointi korkean riskin käsittelylle ja ota käyttöön 72 tunnin loukkausilmoituksen työnkulku.
Kuukauden lopussa pk-yrityksellä on ajantasainen seloste, auditoidut sopimukset ja toimivat työnkulut – dokumentaatio, jota valvontaviranomainen odottaa.
Pk-yrityksen ostajan tarkistuslista
| Kriteeri | Miksi ratkaisee | Kysyttävä toimittajalta |
|---|---|---|
| EU-isännöinti | Ei siirtoanalyysiä omassa työkalussa | Missä konesalit sijaitsevat? |
| Suomen kieli | Viranomainen ja rekisteröidyt | Ovatko asiakirjat suomeksi? |
| ROPA-automaatio | Säästää kymmeniä tunteja | Kuinka nopeasti seloste syntyy? |
| Käsittelysopimusten auditointi | Toistuva tarkastuslöydös | Tunnistaako työkalu 28 art. puutteet? |
| Tietovienti | Toimittajan vaihto | Saako tiedot ulos rakenteisena? |
| Hinnan ennustettavuus | Pk-budjetti | Onko kiinteä pakettihinta? |
Toimialakohtaiset huomiot pk-yrityksille
Verkkokauppa. Pieni verkkokauppa käsittelee suuria asiakasmääriä ja usein profilointia. Säilytysaikojen määrittely on kriittistä: Verkkokauppa.com Oyj sai 856 000 euron seuraamusmaksun juuri säilytysajan määrittelemättä jättämisestä ja pakollisesta tilistä. Pk-verkkokaupan kannattaa varmistaa säilytysaikojen hallinta ja tietopyyntötyönkulut.
Terveydenhuolto ja hyvinvointi. Pienikin terveysalan toimija käsittelee erityisiä henkilötietoryhmiä (9 art.), mikä nostaa DPIA:n keskiöön. Psykoterapiakeskus Vastaamon 608 000 euron maksu tietoturvapuutteista koski juuri tätä alaa ja sen riskitasoa.
HR ja henkilöstöhallinto. Jokainen työnantaja käsittelee työntekijätietoja tarpeellisuusvaatimuksen (759/2004) alaisena: vain työsuhteen kannalta välttämättömät tiedot. Viking Line sai 230 000 euron maksun terveystietojen liiallisesta säilytyksestä ja nimettömässä työnhakutapauksessa määrättiin 12 500 euroa tarpeettomista erityistiedoista. Pk-yrityksen HR-käsittelyssä minimointi ja säilytysajat ovat avainasemassa.
Milloin pk-yritys tarvitsee myös NIS2- tai DORA-valmiudet
GDPR ei ole ainoa sääntely. Jos pk-yritys toimii kriittisellä alalla (energia, vesi, terveys, digitaalinen infrastruktuuri), sitä voi koskea kyberturvallisuuslaki (voimaan 8.4.2025), jonka valvoja on Traficomin Kyberturvallisuuskeskus. Rahoitusalan pk-toimijoita koskee DORA (sovellettu 17.1.2025, valvoja Finanssivalvonta). Näissä tapauksissa kannattaa harkita alustaa, joka laajenee tietosuojan ulkopuolelle – katso NIS2 Suomessa ja paras NIS2-ohjelmisto.
Sisäinen vai ulkoinen tietosuojavastaava?
Useimmat pk-yritykset eivät ole velvollisia nimeämään tietosuojavastaavaa (GDPR 37 art.), mutta tietosuojatyö on silti tehtävä. Vaihtoehdot:
| Malli | Kustannus | Sopii kun |
|---|---|---|
| Sisäinen vastuuhenkilö | Osa työaikaa | Käsittely on rutiininomaista |
| Ulkoinen DPO / konsultti | 0–2 000 €/kk | Tarvitaan asiantuntemusta ajoittain |
| Ohjelmisto + kevyt ohjaus | Lisenssi + vähän aikaa | Halutaan omavaraisuus |
Ohjelmisto ei korvaa vastuuhenkilöä, mutta se pienentää sekä sisäisen että ulkoisen DPO:n tuntimäärää tuottamalla dokumentaation valmiiksi. Lue tietosuojavastaavan roolista.
Yleisimmät virheet pk-yrityksen GDPR-työssä
- Oletetaan, ettei GDPR koske pientä yritystä. 30 art. 5 kohdan poikkeus ei käytännössä sovellu säännölliseen käsittelyyn.
- Käsittelysopimukset unohdetaan. Jokainen pilvipalvelu, kirjanpitäjä ja markkinointityökalu on käsittelijä, jonka kanssa tarvitaan sopimus.
- Säilytysajat jätetään määrittelemättä. Juuri tästä Verkkokauppa.com Oyj sai 856 000 euron maksun.
- Tietopyynnöt hukkuvat sähköpostiin. Otavamedian 85 000 euron maksu syntyi sähköpostivirheestä, joka johti vastaamatta jättämiseen.
- Dokumentaatio tehdään kerran. Seloste vanhenee viikoissa ilman jatkuvaa ylläpitoa.
Näin pidät dokumentaation ajan tasalla
Käyttöönotto on vasta alku. Ajantasaisuus vaatii kevyen rutiinin:
- Neljännesvuosittainen tarkistus. Käy läpi uudet käsittelytoimet ja päättyneet sopimukset.
- Muutosliipaisin. Uusi järjestelmä, uusi markkinointikanava tai uusi alihankkija käynnistää selosteen päivityksen.
- Määräaikahälytykset. Anna ohjelmiston muistuttaa tietopyyntöjen ja loukkausilmoitusten määräajoista.
Tämä rutiini vie muutaman tunnin vuosineljänneksessä, kun ohjelmisto hoitaa muistamisen ja versionhallinnan.
Vaatimustenmukaisuuden osoittaminen asiakkaille
Yhä useampi suomalainen ostaja edellyttää toimittajaltaan osoituksen tietosuojasta ennen sopimusta. Ajantasainen käsittelytoimien seloste, auditoidut käsittelysopimukset ja dokumentoitu vaikutustenarviointi eivät ole vain viranomaista varten – ne nopeuttavat pk-yrityksen omaa myyntiä ja rakentavat luottamusta. Tässä ohjelmiston tuottama auditointijälki on konkreettinen kilpailuetu, ei pelkkä kustannus.
Esimerkki: 25 hengen palveluyritys
Havainnollistetaan tyypillinen pk-tilanne. 25 hengen palveluyritys käsittelee työntekijätietoja, asiakasrekisteriä, uutiskirjettä ja verkkoanalytiikkaa – yhteensä noin 15 käsittelytoimea. Käsittelijöitä on kuusi: pilvipalvelu, kirjanpitäjä, palkkahallinto, sähköpostimarkkinointi, CRM ja analytiikka.
Lähtötilanne ennen ohjelmistoa. Seloste on taulukkolaskennassa ja päivitetty viimeksi vuosi sitten, kolme käsittelysopimusta puuttuu, eikä tietopyynnöille ole prosessia. Riski on konkreettinen – juuri näistä puutteista Alektum Oy sai 750 000 euron ja Otavamedia 85 000 euron seuraamusmaksun.
Käyttöönotto 30 päivässä. Viikolla 1 kartoitetaan 15 käsittelytoimea. Viikolla 2 seloste viedään alustaan oikeusperusteineen ja säilytysaikoineen. Viikolla 3 auditoidaan kuusi käsittelysopimusta ja kytketään tietopyyntölaskuri. Viikolla 4 tehdään vaikutustenarviointi henkilöstön sijaintiseurannasta – vertailukohtana Kymen Vesi Oy:n 16 000 euron maksu puuttuvasta DPIA:sta ajoneuvoseurannassa.
Vuosibudjetti. Aloitustason EU-alusta noin 3 000–4 000 euroa, ei erillistä kokopäiväistä tietosuojavastaavaa. Lopputulos: ajantasainen dokumentaatio, määräaikaseuranta ja auditointijälki murto-osalla siitä työajasta, jonka manuaalinen ylläpito veisi. Investointi maksaa itsensä takaisin jo yhden vältetyn perustason puutteen kautta.
Usein kysytyt kysymykset
Paljonko GDPR-ohjelmisto maksaa pk-yritykselle?
Realistinen kokonaisbudjetti on 2 000–12 000 euroa vuodessa. Aloitustason alustat alkavat 79–99 €/kk ja kattavat käsittelytoimien selosteen, tietopyynnöt ja käsittelysopimukset. Mikroyritykselle 500–2 000 €/vuosi riittää usein.
Tarvitseeko pk-yritys tietosuojavastaavan?
Vain jos ydintoimintaan kuuluu laajamittaista säännöllistä seurantaa tai laajamittaista erityisten henkilötietoryhmien käsittelyä (GDPR 37 art.). Useimmat pk-yritykset eivät ole velvollisia, mutta ohjelmisto tukee myös ulkoista DPO:ta. Lue tietosuojavastaavan roolista.
Riittääkö pk-yritykselle ilmainen työkalu?
Vain hyvin pienen riskin mikroyritykselle. Ilmaistyökalut eivät kata tietopyyntöjen työnkulkuja, DPIA:ta eivätkä käsittelysopimusten hallintaa, joita valvonta tarkastuksessa odottaa.
Kuinka kauan käyttöönotto kestää pk-yritykseltä?
Aloitustason EU-alustalla pk-yritys on tuotantokäytössä noin kuukaudessa, kun lähtötiedot ovat kohtuullisessa kunnossa. Viikoittainen vaiheistus (kartoitus, seloste, sopimukset, riski) nopeuttaa käyttöönottoa.
Tarvitseeko pk-yritys IT-osaamista ohjelmiston käyttöön?
Ei erityistä. Nykyaikaiset EU-alustat ovat selainpohjaisia eivätkä vaadi asennuksia. Tietosuojan sisällöllinen ymmärrys on tärkeämpää kuin tekninen osaaminen, ja hyvä alusta ohjaa sisällöllisesti.
Koskeeko NIS2 pk-yritystä?
Voi koskea, jos yritys toimii kriittisellä alalla. Kyberturvallisuuslaki tuli voimaan 8.4.2025 ja sitä valvoo Traficomin Kyberturvallisuuskeskus. Tietosuoja ja NIS2 ovat erillisiä velvoitteita, joten yhden hoitaminen ei kata toista.
Voiko GDPR-työn tehdä itse ilman ohjelmistoa?
Voi, mutta taulukkolaskennalla ylläpidetty dokumentaatio vanhenee nopeasti ja tietopyynnöt hukkuvat helposti sähköpostiin. Juuri nämä puutteet ovat johtaneet suomalaisiin seuraamusmaksuihin. Pienelle tiimille ohjelmisto maksaa itsensä takaisin jo säästyneenä työaikana ja pienentyneenä seuraamusriskinä.
Mistä tunnistaa pk-yritykselle sopivan alustan?
Sopiva alusta on EU-isännöity, tarjoaa suomenkieliset asiakirjat, kattaa ROPA:n, tietopyynnöt ja käsittelysopimukset sekä hinnoittelee kiinteästi pk-budjettiin. Ominaisuuksien määrä ei ratkaise, vaan se, kuinka nopeasti pieni tiimi saa dokumentaation kuntoon ja pysyy ajan tasalla.
Yhteenveto
Pk-yrityksen GDPR-ohjelmiston valinta ratkeaa kolmella ytimellä: käsittelytoimien seloste, tietopyyntöjen hallinta ja käsittelysopimukset. Realistinen budjetti on 2 000–12 000 €/vuosi, ja tärkeimmät kriteerit ovat EU-isännöinti ja suomen kieli – eivät ominaisuuksien määrä. Suomalaiset seuraamusmaksut (Otavamedia 85 000 €, Alektum 750 000 €) osoittavat, että juuri pk-yritysten perusvelvoitteet ovat valvonnan kohteena. Legiscope tarjoaa näihin tarpeisiin rakennetun EU-alustan pk-yrityksen budjetilla.
Katso Legiscope käytännössä – varaa 15 minuutin demo
Viimeksi tarkistettu: heinäkuu 2026.
See Legiscope in action
AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.
Request a demo