Tietosuoja

Käsittelytoimien seloste (ROPA) -ohjelmisto 2026: vertailu ja hinnat

Käsittelytoimien seloste (ROPA) -ohjelmisto 2026: GDPR 30 art. -velvoite, automaattinen ylläpito, mallit ja hinnat. Miksi taulukkolaskenta johtaa seuraamuksiin Suomessa.

Also available in:lv·et

Käsittelytoimien seloste (ROPA) -ohjelmisto on työkalu, joka luo ja ylläpitää automaattisesti GDPR:n 30 artiklan edellyttämää luetteloa organisaation henkilötietojen käsittelytoimista. Paras ohjelmisto tuottaa jäsennellyn selosteen ohjatuilla kyselyillä muutamassa minuutissa, pitää sen ajan tasalla ja tuottaa suomenkielisen, viranomaiselle vietävän version. Seloste on lähes aina tietosuojavaltuutetun toimiston tarkastuksen ensimmäinen asiakirja, joten sen ajantasaisuus ratkaisee. Tässä artikkelissa käydään läpi, mitä ohjelmiston pitää tehdä ja miksi taulukkolaskenta on riski.

Mikä käsittelytoimien seloste on?

GDPR:n 30 artikla edellyttää, että rekisterinpitäjä ylläpitää selostetta vastuullaan olevista käsittelytoimista. Selosteen on sisällettävä muun muassa käsittelyn tarkoitukset, rekisteröityjen ja henkilötietojen ryhmät, vastaanottajat, mahdolliset kolmansiin maihin siirrot, säilytysajat ja tietoturvatoimenpiteiden yleiskuvaus. Sama velvoite koskee soveltuvin osin myös henkilötietojen käsittelijää.

Käytännössä 30 art. 5 kohdan poikkeus alle 250 hengen yrityksille on lähes soveltumaton, koska se ei koske säännöllistä käsittelyä eikä riskiä aiheuttavaa tai erityisiin henkilötietoryhmiin kohdistuvaa käsittelyä. Lähes jokainen yritys on siis velvollinen ylläpitämään selostetta. Yleiskuva velvoitteista: tietosuoja Suomessa.

Miksi taulukkolaskenta ei riitä

Taulukkoon tehty seloste vanhenee viikoissa: uudet järjestelmät, uudet toimittajat ja muuttuneet säilytysajat jäävät kirjaamatta. Suomessa juuri säilytysaikojen käsittely on johtanut seuraamuksiin – Verkkokauppa.com Oyj:lle määrättiin 856 000 euroa säilytysajan määrittelemättä jättämisestä asiakastilien tiedoille. Ohjelmisto tuo versioinnin, muistutukset ja auditointijäljen, jota valvonta odottaa. Katso analyysi: tietosuojaseuraamukset Suomessa 2025.

Mitä ROPA-ohjelmiston pitää tehdä?

Ominaisuus Miksi ratkaisee Vähimmäisvaatimus
Ohjattu selosteen luonti Nopeus ja kattavuus Kyselypohjainen generointi
Säilytysaikojen hallinta Yleisin puute Suomessa Säilytysajat per käsittely
Käsittelijöiden linkitys 28 art. sopimukset Yhteys käsittelysopimuksiin
Suomenkielinen vienti Viranomainen lukee suomea PDF/Excel-vienti suomeksi
Versiointi ja lokit Ajantasaisuuden osoittaminen Muutoshistoria
Yhteys DPIA:han Korkean riskin käsittely Linkitys vaikutustenarviointiin

Ohjelmistovaihtoehdot

Useimmat tietosuoja-alustat sisältävät ROPA-toiminnon, mutta toteutuksen syvyys vaihtelee. Mallipohjaiset työkalut tarjoavat valmiin taulukkorungon, mutta ylläpito jää manuaaliseksi. Tekoälyavusteiset alustat generoivat selosteen ohjatuilla kyselyillä ja ehdottavat käsittelytoimia toimialan perusteella. Legiscope tuottaa käsittelytoimien selosteen noin neljässä minuutissa EU-isännöinnissä ja linkittää sen automaattisesti käsittelysopimuksiin ja vaikutustenarviointeihin. Vertailu muihin: tietosuojaohjelmiston vertailu ja paras GDPR-ohjelmisto.

Hinnat 2026

Segmentti Vuosibudjetti Ratkaisu
Mikroyritys 500–2 000 € Aloitustason alusta ROPA-toiminnolla
Pk-yritys 2 000–12 000 € EU-alusta + tietopyynnöt + sopimukset
Keskisuuri 10 000–40 000 € Alusta + automaatio + integraatiot

ROPA on harvoin erillinen tuote – se sisältyy tietosuoja-alustaan. Tarkempi kustannusanalyysi: GDPR-ohjelmiston hinta.

Mitä 30 artikla vaatii kenttä kentältä

Seloste ei ole vapaamuotoinen muistio, vaan sen sisältö on määritelty täsmällisesti. GDPR:n 30 artikla erottaa rekisterinpitäjän (1 kohta) ja henkilötietojen käsittelijän (2 kohta) selosteen. Sama organisaatio on tyypillisesti molemmissa rooleissa eri käsittelyissä – esimerkiksi työnantajana rekisterinpitäjä ja alihankkijana käsittelijä – joten ohjelmiston tulee tukea kumpaakin rakennetta rinnakkain.

Rekisterinpitäjän selosteen pakolliset kentät (30 art. 1 kohta):

Kenttä Sisältö Yleinen puute Suomessa
Rekisterinpitäjä Nimi ja yhteystiedot; yhteisrekisterinpitäjä ja mahdollinen edustaja Yhteisrekisterinpitäjyys jää merkitsemättä
Tietosuojavastaava Yhteystiedot, jos DPO on nimetty
Käsittelyn tarkoitukset Kunkin käsittelyn tarkoitus Tarkoitukset liian yleisiä
Rekisteröityjen ryhmät Esim. asiakkaat, työntekijät, hakijat
Henkilötietoryhmät Perustiedot ja erityiset tietoryhmät (9 art.) Erityiset tietoryhmät piilossa
Vastaanottajien ryhmät Käsittelijät, viranomaiset, kolmannet maat Alihankkijaketju puutteellinen
Siirrot kolmansiin maihin Kohdemaa ja suojatoimet (46 art.) Pilvipalvelun siirrot kirjaamatta
Säilytysajat Suunnitellut poistoajat tietoryhmittäin Yleisin puute – johti Verkkokauppa.com-maksuun
Turvatoimet Yleinen kuvaus 32 art. mukaisista toimista

Käsittelijän selosteessa (30 art. 2 kohta) kentät ovat suppeammat: käsittelijän ja kunkin rekisterinpitäjän (sekä edustajien ja tietosuojavastaavien) nimet ja yhteystiedot, kunkin rekisterinpitäjän lukuun suoritettavien käsittelyjen ryhmät, siirrot kolmansiin maihin suojatoimineen sekä yleinen kuvaus turvatoimista. Käsittelijän rooli ja sen velvoitteet: mikä on henkilötietojen käsittelijä.

Työstetty esimerkki: yhden käsittelytoimen seloste

Havainnollistetaan yhtä riviä konkreettisella esimerkillä – verkkokaupan tilausten käsittely:

Kenttä Esimerkkisisältö
Tarkoitus Verkkokaupan tilausten vastaanotto, toimitus, laskutus ja asiakaspalvelu
Oikeusperuste Sopimus (6 art. 1 b); markkinointi suostumuksella (6 art. 1 a)
Rekisteröityjen ryhmät Asiakkaat, uutiskirjeen tilaajat
Henkilötietoryhmät Nimi, yhteystiedot, toimitusosoite, tilaushistoria, tokenoidut maksutiedot
Vastaanottajat (käsittelijät) Maksunvälittäjä, logistiikkakumppani, kirjanpitopalvelu, pilvialusta
Siirrot kolmansiin maihin Ei siirtoja EU/ETA:n ulkopuolelle; jos syntyy, vakiolausekkeet (SCC)
Säilytysaika Asiakassuhteen ajan; kirjanpidon tositteet lakisääteisen ajan; markkinointi kunnes suostumus perutaan
Turvatoimet Pääsynhallinta, salaus, lokitus, varmuuskopiointi

Tämä yksi rivi osoittaa, miksi taulukkolaskenta pettää: kun maksunvälittäjä vaihtuu tai markkinoinnin säilytyskäytäntö muuttuu, muutoksen pitäisi päivittyä selosteeseen, käsittelysopimusluetteloon ja informointiin yhtä aikaa. Ilman linkitystä päivitys unohtuu yhdestä paikasta.

Säilytysajat: Suomen yleisin puute

Säilytysaika on kenttä, joka useimmin puuttuu tai on merkitty epämääräisesti (“toistaiseksi”). Tämä ei ole muodollisuus: Verkkokauppa.com Oyj:lle määrättiin 856 000 euron seuraamusmaksu muun muassa siitä, ettei asiakastilien tietojen säilytysaikaa ollut määritelty ja että tilin luominen oli asetettu ostamisen ehdoksi. Jokaiselle käsittelylle on määritettävä säilytysaika, joka on sidottu oikeusperusteeseen – esimerkiksi sopimuksen kesto, kirjanpidon lakisääteinen aika tai suostumuksen voimassaolo. Kansallinen tietosuojalaki (1050/2018) täydentää GDPR:ää muun muassa henkilötunnuksen käsittelyn osalta (29 §). Ohjelmisto, joka pakottaa säilytysajan pakolliseksi kentäksi ja muistuttaa umpeutuvista jaksoista, poistaa juuri tämän riskin.

Taulukkolaskennasta ohjelmistoon: migraatio vaiheittain

Siirtyminen Excelistä alustaan kannattaa tehdä järjestelmällisesti:

  1. Inventoi käsittelyt. Kokoa kaikki nykyiset käsittelyt yhteen – myös ne, jotka eivät ole Excelissä (varjojärjestelmät, yksittäiset markkinointityökalut).
  2. Kartoita nykyinen taulukko. Tunnista, mitkä 30 artiklan kentät puuttuvat. Käytännössä säilytysajat ja alihankkijaketju ovat useimmin vajaat.
  3. Tuo perusrunko alustaan. Useimmat alustat lukevat Excel-tuonnin, joten olemassa oleva työ ei mene hukkaan.
  4. Täydennä puuttuvat kentät. Määritä säilytysajat oikeusperusteineen ja täsmennä vastaanottajaryhmät.
  5. Linkitä käsittelijät ja DPIA. Yhdistä kukin käsittely käsittelysopimuksiin ja tarvittaessa vaikutustenarviointiin.
  6. Aseta katselmointisyklit. Määritä vastuuhenkilöt ja tarkistusväli (esim. vuosittain tai muutoksen yhteydessä).
  7. Ota versiointi käyttöön. Näin pystyt osoittamaan tarkastuksessa, milloin ja miksi seloste on muuttunut.

Automaation syvyys: mallipohjasta elävään rekisteriin

Kaikki “ROPA-toiminnot” eivät ole samanarvoisia. Automaation kypsyys ratkaisee, pysyykö seloste ajan tasalla ilman jatkuvaa käsityötä:

Taso Toteutus Ylläpidon rasite
0 Excel tai Word Suuri, vanhenee viikoissa
1 Mallipohja alustassa Rakenteinen mutta manuaalinen
2 Ohjattu generointi + muistutukset Kohtalainen
3 Integroitu elävä rekisteri: linkitys DPIA/DPA, versiointi, automaattiset herätteet Vähäinen

Tavoite on taso 3, jossa seloste on osa organisaation elävää dokumentaatiota eikä erillinen, vanheneva tiedosto. Vertailu toteutuksista: tietosuojaohjelmiston vertailu.

Seloste osana laajempaa rekisterivelvoitetta

GDPR:n ROPA ei ole ainoa rekisterivelvoite, joka suomalaista organisaatiota koskee. DORA-asetus (sovellettu 17.1.2025) edellyttää finanssialalta standardoitua tietojärjestelmien ja ICT-palveluntarjoajien rekisteriä, joka toimitetaan valvojalle vuosittain, ja NIS2-pohjainen kyberturvallisuuslaki (voimaan 8.4.2025) tuo riskienhallinnan dokumentaatiovelvoitteet. Menetelmällisesti nämä muistuttavat toisiaan: keskitetty, versioitu ja ajan tasalla pidetty rekisteri. Organisaation kannattaa valita työkalu, joka ei pakota ylläpitämään samoja tietoja kolmeen kertaan. Katso paras DORA-ohjelmisto ja paras NIS2-ohjelmisto.

Kuka vastaa selosteesta ja mitä tarkastuksessa tapahtuu

Seloste on rekisterinpitäjän vastuulla. Käytännössä tietosuojavastaava tai vastuuhenkilö koordinoi ylläpitoa, mutta vastuu vaatimustenmukaisuudesta on organisaation johdolla. Kun tietosuojavaltuutetun toimisto käynnistää tarkastuksen, seloste on lähes aina ensimmäinen pyydettävä asiakirja: se paljastaa yhdellä silmäyksellä, onko käsittely kartoitettu, ovatko säilytysajat määritelty ja onko alihankkijaketju hallinnassa. Puutteellinen tai vanhentunut seloste on itsessään merkki laajemmista puutteista.

Mahdollisen seuraamusmaksun määrää tietosuojavaltuutetun toimiston seuraamuskollegio, jonka muodostavat tietosuojavaltuutettu ja kaksi apulaistietosuojavaltuutettua. Enimmäismäärä on 20 miljoonaa euroa tai 4 % maailmanlaajuisesta vuotuisesta liikevaihdosta sen mukaan, kumpi on suurempi. Muutoksenhaku tehdään hallinto-oikeuteen ja edelleen korkeimpaan hallinto-oikeuteen.

Toimialalla on merkitystä selosteen tarkkuudelle. Terveydenhuollossa käsitellään 9 artiklan erityisiä tietoryhmiä, joiden riski on korkea – Psykoterapiakeskus Vastaamolle määrättiin 608 000 euron seuraamusmaksu tietoturvapuutteista. Työelämässä sovelletaan lakia yksityisyyden suojasta työelämässä (759/2004) ja sen tarpeellisuusvaatimusta: Viking Linelle määrättiin 230 000 euroa muun muassa siitä, että työntekijöiden terveystietoja ja diagnooseja oli säilytetty noin 20 vuotta. Näissä tilanteissa selosteen säilytysaika- ja tietoryhmäkentät ovat suoraan yhteydessä riskiin.

Usein kysytyt kysymykset

Paljonko ROPA-ohjelmisto maksaa?

ROPA sisältyy yleensä tietosuoja-alustaan, jonka hinta pk-yritykselle on 2 000–12 000 €/vuosi. Aloitustason alustat ROPA-toiminnolla alkavat 79–99 €/kk. Erillistä ROPA-tuotetta ei yleensä kannata ostaa, koska seloste linkittyy käsittelysopimuksiin ja DPIA:han.

Onko käsittelytoimien seloste pakollinen pk-yritykselle?

Käytännössä kyllä. GDPR 30 art. 5 kohdan poikkeus on lähes soveltumaton, koska se ei koske säännöllistä käsittelyä eikä riskiä aiheuttavaa käsittelyä. Työntekijä- ja asiakastietojen käsittely riittää velvoittamaan selosteen ylläpitoon.

Voiko selosteen tehdä Excelillä?

Voi, mutta se vanhenee nopeasti ja johtaa puutteisiin. Verkkokauppa.com sai 856 000 euron seuraamusmaksun osin juuri säilytysaikojen hallinnan puutteista. Ohjelmisto tuo versioinnin ja muistutukset, jotka pitävät selosteen ajan tasalla.

Mitä eroa on rekisterinpitäjän ja käsittelijän selosteella?

Rekisterinpitäjän seloste (30 art. 1 kohta) on laajempi ja kattaa tarkoitukset, rekisteröityjen ja tietoryhmät, vastaanottajat, siirrot, säilytysajat ja turvatoimet. Käsittelijän seloste (30 art. 2 kohta) on suppeampi ja kuvaa, keiden rekisterinpitäjien lukuun ja millaisia käsittelyryhmiä käsittelijä hoitaa. Sama yritys tarvitsee usein molemmat.

Kuinka usein seloste on päivitettävä?

Selosteen on oltava jatkuvasti ajan tasalla. Päivitys tehdään aina, kun käsittely muuttuu: uusi järjestelmä, uusi alihankkija, muuttunut säilytysaika tai uusi käsittelytarkoitus. Käytännössä kannattaa asettaa myös säännöllinen katselmointisykli, esimerkiksi vuosittain.

Kuuluuko säilytysaika pakollisiin kenttiin?

Kyllä. Eri tietoryhmien suunnitellut poistoajat kuuluvat 30 artiklan pakollisiin tietoihin silloin, kun ne on mahdollista määrittää. Säilytysajan määrittelemättä jättäminen oli yksi peruste Verkkokauppa.comin 856 000 euron seuraamusmaksulle.

Yhteenveto

Käsittelytoimien seloste on GDPR 30 artiklan pakollinen dokumentti ja tietosuojatarkastuksen ensimmäinen tarkasteltava asiakirja. Taulukkolaskenta vanhenee ja johtaa puutteisiin, joista Suomessa on määrätty seuraamuksia. ROPA-ohjelmiston tulee tuottaa jäsennelty, suomenkielinen seloste, hallita säilytysaikoja ja linkittyä käsittelysopimuksiin ja DPIA:han. Legiscope tuottaa selosteen noin neljässä minuutissa EU-isännöinnissä. Katso myös tietopyyntöjen hallintaohjelmisto.

Katso Legiscope käytännössä – varaa 15 minuutin demo

Viimeksi tarkistettu: heinäkuu 2026.

See Legiscope in action

AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.

Request a demo
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →