Tietosuoja

Käsittelytoimien seloste 2026: GDPR 30 artikla (ROPA) käytännössä

Käsittelytoimien seloste GDPR 30 artiklan mukaan: kenen se on pakko laatia, mitä tietoja siihen kuuluu ja miten välttää seuraamusmaksut. Selkeä opas 2026.

Also available in:English·Français·Deutsch·Español

Käsittelytoimien seloste on sisäinen asiakirja, jossa organisaatio luetteloi kaikki henkilötietojen käsittelytoimensa. Yleisen tietosuoja-asetuksen (GDPR) 30 artikla velvoittaa sekä rekisterinpitäjän että henkilötietojen käsittelijän ylläpitämään tällaista selostetta. Sitä ei toimiteta oma-aloitteisesti viranomaiselle, mutta se on pyydettäessä annettava Tietosuojavaltuutetun toimistolle. Käytännössä seloste on tietosuojan perusasiakirja: ilman sitä et pysty osoittamaan osoitusvelvollisuutesi täyttymistä, laatimaan tietosuojaselostetta etkä hallitsemaan sopimussuhteitasi. Tässä oppaassa käydään läpi täsmälleen, mitä 30 artikla vaatii, keitä velvollisuus koskee ja miten seloste laaditaan ilman tavallisimpia virheitä.

Mikä käsittelytoimien seloste on ja miksi se on pakollinen

Seloste (englanniksi Record of Processing Activities, ROPA) on kartta organisaatiosi henkilötietojen käsittelystä. Se vastaa kysymyksiin: mitä tietoja käsitellään, mihin tarkoitukseen, millä käsittelyperusteella, kenelle tietoja luovutetaan ja kuinka kauan niitä säilytetään. Ilman tätä karttaa et voi tietää, mitä sinun pitää suojata.

Osoitusvelvollisuus (GDPR 5 artiklan 2 kohta) tarkoittaa, että rekisterinpitäjän on kyettävä osoittamaan noudattavansa tietosuojaperiaatteita. Seloste on tämän osoittamisen keskeisin väline. Se on myös lähtökohta lähes kaikelle muulle tietosuojatyölle: tietosuojaselosteen laatiminen, käsittelysopimusten hallinta, säilytysaikojen määrittäminen ja vaikutustenarviointien kohdentaminen pohjautuvat kaikki seloste­tietoihin.

Selosteen puuttuminen tai puutteellisuus on itsenäinen rikkomus, joka voidaan sanktioida riippumatta siitä, onko yhtään tietovuotoa tapahtunut. Tietosuojavaltuutetun toimiston seuraamuskollegio on huomioinut dokumentoinnin puutteet useissa päätöksissään: toukokuussa 2020 eräälle työnantajalle määrättiin 12 500 euron seuraamusmaksu muun muassa siitä, että se keräsi työnhakijoilta tarpeettomia tietoja eikä ollut dokumentoinut käsittelyään asianmukaisesti (tietosuoja.fi).

Kenen on laadittava seloste?

Pääsääntö on, että jokaisen rekisterinpitäjän ja käsittelijän on ylläpidettävä selostetta. GDPR 30 artiklan 5 kohta sisältää kuitenkin poikkeuksen alle 250 työntekijän organisaatioille. Poikkeus on kapea ja käytännössä lähes teoreettinen, sillä se ei sovellu, jos:

  • käsittely ei ole satunnaista;
  • käsittelyyn liittyy rekisteröityjen oikeuksiin ja vapauksiin kohdistuvaa riskiä; tai
  • käsitellään erityisiä henkilötietoryhmiä (9 artikla, esimerkiksi terveystiedot) tai rikostuomioita ja rikkomuksia koskevia tietoja (10 artikla).

Riittää, että yksikin edellytys täyttyy, ja velvollisuus palaa. Koska palkanmaksu, asiakasrekisterit ja verkkosivujen kävijäseuranta ovat jatkuvaa eivätkä satunnaista käsittelyä, käytännössä jokaisen yrityksen on laadittava seloste. Suositus onkin: älä laske poikkeuksen varaan, vaan laadi seloste aina.

Huomaa myös roolierottelu. Rekisterinpitäjän seloste (30 artiklan 1 kohta) ja käsittelijän seloste (30 artiklan 2 kohta) ovat sisällöltään erilaisia. Jos organisaatiosi toimii sekä omissa nimissään että toimeksiannosta muiden puolesta, tarvitset molemmat. Roolin määrittely on tärkeää myös käsittelysopimuksen kannalta.

Mitä tietoja rekisterinpitäjän selosteeseen kuuluu?

GDPR 30 artiklan 1 kohta luettelee vähimmäissisällön. Rekisterinpitäjän selosteessa on oltava jokaisesta käsittelytoimesta seuraavat tiedot:

  1. Rekisterinpitäjän (ja mahdollisen yhteisrekisterinpitäjän, edustajan ja tietosuojavastaavan) nimi ja yhteystiedot;
  2. Käsittelyn tarkoitukset;
  3. Kuvaus rekisteröityjen ryhmistä ja henkilötietoryhmistä;
  4. Vastaanottajaryhmät, joille tietoja on luovutettu tai luovutetaan (mukaan lukien käsittelijät ja kolmansissa maissa olevat vastaanottajat);
  5. Tiedot mahdollisista siirroista kolmansiin maihin ja niiden suojatoimista;
  6. Mahdollisuuksien mukaan eri tietoryhmien poistamisen määräajat (säilytysajat);
  7. Mahdollisuuksien mukaan yleinen kuvaus teknisistä ja organisatorisista turvatoimista (32 artikla).

Käsittelijän seloste (30 artiklan 2 kohta) on suppeampi: siihen kirjataan käsittelijän ja kunkin rekisterinpitäjän tiedot, kunkin rekisterinpitäjän lukuun tehdyt käsittelyjen ryhmät, mahdolliset kolmansiin maihin tehdyt siirrot ja yleinen kuvaus turvatoimista. Käytännön mallipohja ja täyttöohjeet löytyvät erillisestä käsittelytoimien selosteen mallista.

Seloste on laadittava kirjallisesti, myös sähköisessä muodossa (30 artiklan 3 kohta). Excel-taulukko riittää muodollisesti, mutta se vanhenee nopeasti, jos sitä ei ylläpidetä osana prosesseja.

Miten seloste laaditaan käytännössä

Aloita tietovirtojen kartoituksesta. Käy läpi organisaation toiminnot – HR, myynti, markkinointi, asiakaspalvelu, IT – ja tunnista jokaisessa, mitä henkilötietoja käsitellään. Jokaisesta erillisestä tarkoituksesta tulee oma rivinsä selosteeseen. Palkanmaksu, rekrytointi ja markkinointi ovat eri tarkoituksia, vaikka ne koskisivat osin samoja henkilöitä.

Määritä jokaiselle käsittelytoimelle käsittelyperuste (6 artikla): suostumus, sopimus, lakisääteinen velvoite, elintärkeä etu, yleinen etu tai oikeutettu etu. Erityisten tietoryhmien osalta tarvitset lisäksi 9 artiklan mukaisen perusteen. Käsittelyperuste ei ole 30 artiklan pakollinen kenttä, mutta se kannattaa aina lisätä, koska se yhdistää selosteen tietosuojaselosteeseen ja rekisteröityjen oikeuksiin.

Kytke seloste eläväksi dokumentiksi. Jokainen uusi järjestelmähankinta, uusi käsittelijä ja uusi markkinointikampanja tulisi kirjata selosteeseen ennen käyttöönottoa. Legiscopen kaltainen tietosuojan hallintaratkaisu automatisoi tämän: se linkittää käsittelytoimet käsittelijöihin, säilytysaikoihin ja vaikutustenarviointeihin, jolloin seloste pysyy ajantasaisena ilman manuaalista ylläpitoa.

Tietosuojavaltuutetun toimisto tarjoaa selosteen laatimisesta yleistä ohjeistusta rekisterinpitäjän selostesivullaan. Lakiteksti löytyy tietosuojalaista (1050/2018) ja GDPR:n 30 artiklasta EUR-Lexissä.

Selosteen yhteys muihin velvoitteisiin

Seloste ei ole itsetarkoitus, vaan työkalu. Se ruokkii koko tietosuojaohjelmaa:

  • Tietosuojaseloste: julkinen tietosuojaseloste rakennetaan käsittelytoimien selosteen tiedoista. Jos nämä kaksi eivät täsmää, olet ristiriidassa itsesi kanssa.
  • Rekisteröityjen oikeudet: kun asiakas käyttää tarkastusoikeuttaan tai oikeuttaan tulla unohdetuksi, löydät selosteesta nopeasti, missä hänen tietonsa sijaitsevat.
  • Vaikutustenarviointi: seloste paljastaa korkean riskin käsittelytoimet, jotka edellyttävät vaikutustenarviointia.
  • Tietoturvaloukkaukset: loukkaustilanteessa seloste kertoo, mitä tietoja ja kuinka monta rekisteröityä loukkaus koskee, mikä on välttämätöntä 72 tunnin ilmoituksen laatimiseksi.

Näin pidät selosteen ajan tasalla

Selosteen laatiminen on kertaluontoinen ponnistus, mutta sen ylläpito on jatkuvaa. Käytännössä epäonnistuminen tapahtuu lähes aina ylläpidossa: seloste laaditaan projektina, hyväksytään ja unohdetaan laatikkoon, jolloin se vastaa todellisuutta enää muutaman kuukauden. Ajantasaisuus varmistetaan kytkemällä selosteen päivitys osaksi normaaleja prosesseja.

Rakenna kolme laukaisinta. Ensinnäkin hankintaprosessi: jokainen uusi järjestelmä tai palveluntarjoaja kirjataan selosteeseen ennen käyttöönottoa, ja samalla varmistetaan, että käsittelijällä on voimassa oleva käsittelysopimus. Toiseksi muutoshallinta: kun käsittelyn tarkoitus, tietoryhmät tai säilytysaika muuttuvat, muutos viedään selosteeseen. Kolmanneksi vuosittainen katselmointi, jossa koko seloste käydään läpi ja vanhentuneet rivit poistetaan.

Seloste kannattaa myös versioinnin vuoksi ajoittaa: merkitse jokaiseen käsittelytoimeen viimeisin päivityspäivä ja vastuuhenkilö. Näin osoitusvelvollisuus täyttyy myös ajallisesti – valvontaviranomaiselle riittää harvoin pelkkä “meillä on seloste”, jos se on selvästi vanhentunut. Erityisesti erityisiä henkilötietoryhmiä käsittelevillä toimialoilla – terveydenhuolto, vakuutus, rahoitus – seloste on tarkastuksen ensimmäinen kohde, ja sen ajantasaisuus kertoo suoraan tietosuojaohjelman kypsyydestä.

Manuaalinen ylläpito Excelissä on työlästä juuri siksi, että laukaisimet unohtuvat. Legiscopen kaltainen ratkaisu automatisoi tämän linkittämällä käsittelytoimet käsittelijöihin, säilytysaikoihin, vaikutustenarviointeihin ja tietosuojaselosteeseen, jolloin muutos yhdessä paikassa heijastuu kaikkialle. Näin seloste ei ole erillinen asiakirja vaan koko tietosuojaohjelman elävä ydin.

Usein kysytyt kysymykset

Onko käsittelytoimien seloste pakollinen pienyritykselle?

Käytännössä kyllä. 30 artiklan 5 kohdan poikkeus alle 250 työntekijän organisaatioille ei sovellu, jos käsittely on säännöllistä, siihen liittyy riskiä tai käsitellään erityisiä henkilötietoryhmiä. Koska palkanmaksu ja asiakasrekisterit ovat jatkuvaa käsittelyä, lähes jokaisen yrityksen on laadittava seloste koostaan riippumatta.

Mitä eroa on rekisterinpitäjän ja käsittelijän selosteella?

Rekisterinpitäjän seloste (30 artiklan 1 kohta) kuvaa oman toiminnan käsittelyt tarkoituksineen ja säilytysaikoineen. Käsittelijän seloste (30 artiklan 2 kohta) on suppeampi ja kuvaa muiden lukuun tehdyt käsittelyt. Jos toimit molemmissa rooleissa, tarvitset molemmat selosteet.

Pitääkö seloste lähettää Tietosuojavaltuutetun toimistolle?

Ei oma-aloitteisesti. Seloste ylläpidetään sisäisesti, mutta se on pyydettäessä annettava valvontaviranomaiselle (30 artiklan 4 kohta). Valmis ja ajantasainen seloste on usein ensimmäinen asiakirja, jonka viranomainen pyytää tarkastuksen yhteydessä.

Riittääkö Excel-taulukko selosteeksi?

Muodollisesti kyllä, kunhan se sisältää 30 artiklan vaatimat tiedot ja on kirjallisessa muodossa. Ongelma on ylläpito: staattinen taulukko vanhenee heti, kun käsittelytoimet muuttuvat. Dynaaminen ratkaisu, joka linkittää selosteen muihin dokumentteihin, pitää tiedot ajantasaisina.

Onko käsittelyperuste merkittävä selosteeseen?

Käsittelyperuste ei ole 30 artiklan nimenomaisesti vaatima kenttä, mutta se kannattaa aina merkitä. Peruste (6 artikla, erityisten tietoryhmien osalta myös 9 artikla) sitoo selosteen tietosuojaselosteeseen ja rekisteröityjen oikeuksiin, ja se on joka tapauksessa dokumentoitava osoitusvelvollisuuden täyttämiseksi. Ilman kirjattua perustetta et myöskään pysty arvioimaan, mitkä käsittelyt kuuluvat esimerkiksi siirto-oikeuden piiriin.

Kuka vastaa selosteen laatimisesta organisaatiossa?

Vastuu on rekisterinpitäjällä eli organisaatiolla itsellään. Käytännön koostamisen tekee usein tietosuojavastaava tai tietosuojasta vastaava henkilö yhdessä eri toimintojen (HR, myynti, IT) kanssa, koska jokainen toiminto tuntee omat käsittelytoimensa parhaiten. Vastuuta ei voi ulkoistaa pois – myös ulkopuolisen laatiman selosteen oikeellisuudesta vastaa rekisterinpitäjä.

Onko seloste julkinen asiakirja?

Ei. Käsittelytoimien seloste on sisäinen asiakirja, joka annetaan pyynnöstä valvontaviranomaiselle (30 artiklan 4 kohta). Rekisteröidyille suunnattu julkinen versio on tietosuojaseloste, joka rakennetaan samoista tiedoista mutta on tiiviimpi ja selkeäkielinen.

Yhteenveto

Käsittelytoimien seloste on GDPR 30 artiklan pakollinen perusasiakirja, jonka lähes jokaisen rekisterinpitäjän ja käsittelijän on laadittava. Se luetteloi käsittelyn tarkoitukset, tietoryhmät, vastaanottajat, säilytysajat ja turvatoimet, ja toimii koko tietosuojaohjelman selkärankana. Puutteellinen dokumentointi on itsenäisesti sanktioitava rikkomus – Tietosuojavaltuutetun toimisto on huomioinut sen useissa seuraamuspäätöksissään. Aloita tietovirtojen kartoituksesta, kirjaa jokainen tarkoitus omalle rivilleen ja pidä seloste elävänä osana prosessejasi. Valmis mallipohja löytyy käsittelytoimien selosteen mallista.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →