Käsittelytoimien seloste (ROPA) -ohjelmisto on työkalu, joka luo ja ylläpitää automaattisesti GDPR:n 30 artiklan edellyttämää luetteloa organisaation henkilötietojen käsittelytoimista. Paras ohjelmisto tuottaa jäsennellyn selosteen ohjatuilla kyselyillä muutamassa minuutissa, pitää sen ajan tasalla ja tuottaa suomenkielisen, viranomaiselle vietävän version. Seloste on lähes aina tietosuojavaltuutetun toimiston tarkastuksen ensimmäinen asiakirja, joten sen ajantasaisuus ratkaisee. Tässä artikkelissa käydään läpi, mitä ohjelmiston pitää tehdä ja miksi taulukkolaskenta on riski.
Mikä käsittelytoimien seloste on?
GDPR:n 30 artikla edellyttää, että rekisterinpitäjä ylläpitää selostetta vastuullaan olevista käsittelytoimista. Selosteen on sisällettävä muun muassa käsittelyn tarkoitukset, rekisteröityjen ja henkilötietojen ryhmät, vastaanottajat, mahdolliset kolmansiin maihin siirrot, säilytysajat ja tietoturvatoimenpiteiden yleiskuvaus. Sama velvoite koskee soveltuvin osin myös henkilötietojen käsittelijää.
Käytännössä 30 art. 5 kohdan poikkeus alle 250 hengen yrityksille on lähes soveltumaton, koska se ei koske säännöllistä käsittelyä eikä riskiä aiheuttavaa tai erityisiin henkilötietoryhmiin kohdistuvaa käsittelyä. Lähes jokainen yritys on siis velvollinen ylläpitämään selostetta. Yleiskuva velvoitteista: tietosuoja Suomessa.
Miksi taulukkolaskenta ei riitä
Taulukkoon tehty seloste vanhenee viikoissa: uudet järjestelmät, uudet toimittajat ja muuttuneet säilytysajat jäävät kirjaamatta. Suomessa juuri säilytysaikojen käsittely on johtanut seuraamuksiin – Verkkokauppa.com Oyj:lle määrättiin 856 000 euroa säilytysajan määrittelemättä jättämisestä asiakastilien tiedoille. Ohjelmisto tuo versioinnin, muistutukset ja auditointijäljen, jota valvonta odottaa. Katso analyysi: tietosuojaseuraamukset Suomessa 2025.
Mitä ROPA-ohjelmiston pitää tehdä?
| Ominaisuus | Miksi ratkaisee | Vähimmäisvaatimus |
|---|---|---|
| Ohjattu selosteen luonti | Nopeus ja kattavuus | Kyselypohjainen generointi |
| Säilytysaikojen hallinta | Yleisin puute Suomessa | Säilytysajat per käsittely |
| Käsittelijöiden linkitys | 28 art. sopimukset | Yhteys käsittelysopimuksiin |
| Suomenkielinen vienti | Viranomainen lukee suomea | PDF/Excel-vienti suomeksi |
| Versiointi ja lokit | Ajantasaisuuden osoittaminen | Muutoshistoria |
| Yhteys DPIA:han | Korkean riskin käsittely | Linkitys vaikutustenarviointiin |
Ohjelmistovaihtoehdot
Useimmat tietosuoja-alustat sisältävät ROPA-toiminnon, mutta toteutuksen syvyys vaihtelee. Mallipohjaiset työkalut tarjoavat valmiin taulukkorungon, mutta ylläpito jää manuaaliseksi. Tekoälyavusteiset alustat generoivat selosteen ohjatuilla kyselyillä ja ehdottavat käsittelytoimia toimialan perusteella. Legiscope tuottaa käsittelytoimien selosteen noin neljässä minuutissa EU-isännöinnissä ja linkittää sen automaattisesti käsittelysopimuksiin ja vaikutustenarviointeihin. Vertailu muihin: tietosuojaohjelmiston vertailu ja paras GDPR-ohjelmisto.
Hinnat 2026
| Segmentti | Vuosibudjetti | Ratkaisu |
|---|---|---|
| Mikroyritys | 500–2 000 € | Aloitustason alusta ROPA-toiminnolla |
| Pk-yritys | 2 000–12 000 € | EU-alusta + tietopyynnöt + sopimukset |
| Keskisuuri | 10 000–40 000 € | Alusta + automaatio + integraatiot |
ROPA on harvoin erillinen tuote – se sisältyy tietosuoja-alustaan. Tarkempi kustannusanalyysi: GDPR-ohjelmiston hinta.
Mitä 30 artikla vaatii kenttä kentältä
Seloste ei ole vapaamuotoinen muistio, vaan sen sisältö on määritelty täsmällisesti. GDPR:n 30 artikla erottaa rekisterinpitäjän (1 kohta) ja henkilötietojen käsittelijän (2 kohta) selosteen. Sama organisaatio on tyypillisesti molemmissa rooleissa eri käsittelyissä – esimerkiksi työnantajana rekisterinpitäjä ja alihankkijana käsittelijä – joten ohjelmiston tulee tukea kumpaakin rakennetta rinnakkain.
Rekisterinpitäjän selosteen pakolliset kentät (30 art. 1 kohta):
| Kenttä | Sisältö | Yleinen puute Suomessa |
|---|---|---|
| Rekisterinpitäjä | Nimi ja yhteystiedot; yhteisrekisterinpitäjä ja mahdollinen edustaja | Yhteisrekisterinpitäjyys jää merkitsemättä |
| Tietosuojavastaava | Yhteystiedot, jos DPO on nimetty | — |
| Käsittelyn tarkoitukset | Kunkin käsittelyn tarkoitus | Tarkoitukset liian yleisiä |
| Rekisteröityjen ryhmät | Esim. asiakkaat, työntekijät, hakijat | — |
| Henkilötietoryhmät | Perustiedot ja erityiset tietoryhmät (9 art.) | Erityiset tietoryhmät piilossa |
| Vastaanottajien ryhmät | Käsittelijät, viranomaiset, kolmannet maat | Alihankkijaketju puutteellinen |
| Siirrot kolmansiin maihin | Kohdemaa ja suojatoimet (46 art.) | Pilvipalvelun siirrot kirjaamatta |
| Säilytysajat | Suunnitellut poistoajat tietoryhmittäin | Yleisin puute – johti Verkkokauppa.com-maksuun |
| Turvatoimet | Yleinen kuvaus 32 art. mukaisista toimista | — |
Käsittelijän selosteessa (30 art. 2 kohta) kentät ovat suppeammat: käsittelijän ja kunkin rekisterinpitäjän (sekä edustajien ja tietosuojavastaavien) nimet ja yhteystiedot, kunkin rekisterinpitäjän lukuun suoritettavien käsittelyjen ryhmät, siirrot kolmansiin maihin suojatoimineen sekä yleinen kuvaus turvatoimista. Käsittelijän rooli ja sen velvoitteet: mikä on henkilötietojen käsittelijä.
Työstetty esimerkki: yhden käsittelytoimen seloste
Havainnollistetaan yhtä riviä konkreettisella esimerkillä – verkkokaupan tilausten käsittely:
| Kenttä | Esimerkkisisältö |
|---|---|
| Tarkoitus | Verkkokaupan tilausten vastaanotto, toimitus, laskutus ja asiakaspalvelu |
| Oikeusperuste | Sopimus (6 art. 1 b); markkinointi suostumuksella (6 art. 1 a) |
| Rekisteröityjen ryhmät | Asiakkaat, uutiskirjeen tilaajat |
| Henkilötietoryhmät | Nimi, yhteystiedot, toimitusosoite, tilaushistoria, tokenoidut maksutiedot |
| Vastaanottajat (käsittelijät) | Maksunvälittäjä, logistiikkakumppani, kirjanpitopalvelu, pilvialusta |
| Siirrot kolmansiin maihin | Ei siirtoja EU/ETA:n ulkopuolelle; jos syntyy, vakiolausekkeet (SCC) |
| Säilytysaika | Asiakassuhteen ajan; kirjanpidon tositteet lakisääteisen ajan; markkinointi kunnes suostumus perutaan |
| Turvatoimet | Pääsynhallinta, salaus, lokitus, varmuuskopiointi |
Tämä yksi rivi osoittaa, miksi taulukkolaskenta pettää: kun maksunvälittäjä vaihtuu tai markkinoinnin säilytyskäytäntö muuttuu, muutoksen pitäisi päivittyä selosteeseen, käsittelysopimusluetteloon ja informointiin yhtä aikaa. Ilman linkitystä päivitys unohtuu yhdestä paikasta.
Säilytysajat: Suomen yleisin puute
Säilytysaika on kenttä, joka useimmin puuttuu tai on merkitty epämääräisesti (“toistaiseksi”). Tämä ei ole muodollisuus: Verkkokauppa.com Oyj:lle määrättiin 856 000 euron seuraamusmaksu muun muassa siitä, ettei asiakastilien tietojen säilytysaikaa ollut määritelty ja että tilin luominen oli asetettu ostamisen ehdoksi. Jokaiselle käsittelylle on määritettävä säilytysaika, joka on sidottu oikeusperusteeseen – esimerkiksi sopimuksen kesto, kirjanpidon lakisääteinen aika tai suostumuksen voimassaolo. Kansallinen tietosuojalaki (1050/2018) täydentää GDPR:ää muun muassa henkilötunnuksen käsittelyn osalta (29 §). Ohjelmisto, joka pakottaa säilytysajan pakolliseksi kentäksi ja muistuttaa umpeutuvista jaksoista, poistaa juuri tämän riskin.
Taulukkolaskennasta ohjelmistoon: migraatio vaiheittain
Siirtyminen Excelistä alustaan kannattaa tehdä järjestelmällisesti:
- Inventoi käsittelyt. Kokoa kaikki nykyiset käsittelyt yhteen – myös ne, jotka eivät ole Excelissä (varjojärjestelmät, yksittäiset markkinointityökalut).
- Kartoita nykyinen taulukko. Tunnista, mitkä 30 artiklan kentät puuttuvat. Käytännössä säilytysajat ja alihankkijaketju ovat useimmin vajaat.
- Tuo perusrunko alustaan. Useimmat alustat lukevat Excel-tuonnin, joten olemassa oleva työ ei mene hukkaan.
- Täydennä puuttuvat kentät. Määritä säilytysajat oikeusperusteineen ja täsmennä vastaanottajaryhmät.
- Linkitä käsittelijät ja DPIA. Yhdistä kukin käsittely käsittelysopimuksiin ja tarvittaessa vaikutustenarviointiin.
- Aseta katselmointisyklit. Määritä vastuuhenkilöt ja tarkistusväli (esim. vuosittain tai muutoksen yhteydessä).
- Ota versiointi käyttöön. Näin pystyt osoittamaan tarkastuksessa, milloin ja miksi seloste on muuttunut.
Automaation syvyys: mallipohjasta elävään rekisteriin
Kaikki “ROPA-toiminnot” eivät ole samanarvoisia. Automaation kypsyys ratkaisee, pysyykö seloste ajan tasalla ilman jatkuvaa käsityötä:
| Taso | Toteutus | Ylläpidon rasite |
|---|---|---|
| 0 | Excel tai Word | Suuri, vanhenee viikoissa |
| 1 | Mallipohja alustassa | Rakenteinen mutta manuaalinen |
| 2 | Ohjattu generointi + muistutukset | Kohtalainen |
| 3 | Integroitu elävä rekisteri: linkitys DPIA/DPA, versiointi, automaattiset herätteet | Vähäinen |
Tavoite on taso 3, jossa seloste on osa organisaation elävää dokumentaatiota eikä erillinen, vanheneva tiedosto. Vertailu toteutuksista: tietosuojaohjelmiston vertailu.
Seloste osana laajempaa rekisterivelvoitetta
GDPR:n ROPA ei ole ainoa rekisterivelvoite, joka suomalaista organisaatiota koskee. DORA-asetus (sovellettu 17.1.2025) edellyttää finanssialalta standardoitua tietojärjestelmien ja ICT-palveluntarjoajien rekisteriä, joka toimitetaan valvojalle vuosittain, ja NIS2-pohjainen kyberturvallisuuslaki (voimaan 8.4.2025) tuo riskienhallinnan dokumentaatiovelvoitteet. Menetelmällisesti nämä muistuttavat toisiaan: keskitetty, versioitu ja ajan tasalla pidetty rekisteri. Organisaation kannattaa valita työkalu, joka ei pakota ylläpitämään samoja tietoja kolmeen kertaan. Katso paras DORA-ohjelmisto ja paras NIS2-ohjelmisto.
Kuka vastaa selosteesta ja mitä tarkastuksessa tapahtuu
Seloste on rekisterinpitäjän vastuulla. Käytännössä tietosuojavastaava tai vastuuhenkilö koordinoi ylläpitoa, mutta vastuu vaatimustenmukaisuudesta on organisaation johdolla. Kun tietosuojavaltuutetun toimisto käynnistää tarkastuksen, seloste on lähes aina ensimmäinen pyydettävä asiakirja: se paljastaa yhdellä silmäyksellä, onko käsittely kartoitettu, ovatko säilytysajat määritelty ja onko alihankkijaketju hallinnassa. Puutteellinen tai vanhentunut seloste on itsessään merkki laajemmista puutteista.
Mahdollisen seuraamusmaksun määrää tietosuojavaltuutetun toimiston seuraamuskollegio, jonka muodostavat tietosuojavaltuutettu ja kaksi apulaistietosuojavaltuutettua. Enimmäismäärä on 20 miljoonaa euroa tai 4 % maailmanlaajuisesta vuotuisesta liikevaihdosta sen mukaan, kumpi on suurempi. Muutoksenhaku tehdään hallinto-oikeuteen ja edelleen korkeimpaan hallinto-oikeuteen.
Toimialalla on merkitystä selosteen tarkkuudelle. Terveydenhuollossa käsitellään 9 artiklan erityisiä tietoryhmiä, joiden riski on korkea – Psykoterapiakeskus Vastaamolle määrättiin 608 000 euron seuraamusmaksu tietoturvapuutteista. Työelämässä sovelletaan lakia yksityisyyden suojasta työelämässä (759/2004) ja sen tarpeellisuusvaatimusta: Viking Linelle määrättiin 230 000 euroa muun muassa siitä, että työntekijöiden terveystietoja ja diagnooseja oli säilytetty noin 20 vuotta. Näissä tilanteissa selosteen säilytysaika- ja tietoryhmäkentät ovat suoraan yhteydessä riskiin.
Usein kysytyt kysymykset
Paljonko ROPA-ohjelmisto maksaa?
ROPA sisältyy yleensä tietosuoja-alustaan, jonka hinta pk-yritykselle on 2 000–12 000 €/vuosi. Aloitustason alustat ROPA-toiminnolla alkavat 79–99 €/kk. Erillistä ROPA-tuotetta ei yleensä kannata ostaa, koska seloste linkittyy käsittelysopimuksiin ja DPIA:han.
Onko käsittelytoimien seloste pakollinen pk-yritykselle?
Käytännössä kyllä. GDPR 30 art. 5 kohdan poikkeus on lähes soveltumaton, koska se ei koske säännöllistä käsittelyä eikä riskiä aiheuttavaa käsittelyä. Työntekijä- ja asiakastietojen käsittely riittää velvoittamaan selosteen ylläpitoon.
Voiko selosteen tehdä Excelillä?
Voi, mutta se vanhenee nopeasti ja johtaa puutteisiin. Verkkokauppa.com sai 856 000 euron seuraamusmaksun osin juuri säilytysaikojen hallinnan puutteista. Ohjelmisto tuo versioinnin ja muistutukset, jotka pitävät selosteen ajan tasalla.
Mitä eroa on rekisterinpitäjän ja käsittelijän selosteella?
Rekisterinpitäjän seloste (30 art. 1 kohta) on laajempi ja kattaa tarkoitukset, rekisteröityjen ja tietoryhmät, vastaanottajat, siirrot, säilytysajat ja turvatoimet. Käsittelijän seloste (30 art. 2 kohta) on suppeampi ja kuvaa, keiden rekisterinpitäjien lukuun ja millaisia käsittelyryhmiä käsittelijä hoitaa. Sama yritys tarvitsee usein molemmat.
Kuinka usein seloste on päivitettävä?
Selosteen on oltava jatkuvasti ajan tasalla. Päivitys tehdään aina, kun käsittely muuttuu: uusi järjestelmä, uusi alihankkija, muuttunut säilytysaika tai uusi käsittelytarkoitus. Käytännössä kannattaa asettaa myös säännöllinen katselmointisykli, esimerkiksi vuosittain.
Kuuluuko säilytysaika pakollisiin kenttiin?
Kyllä. Eri tietoryhmien suunnitellut poistoajat kuuluvat 30 artiklan pakollisiin tietoihin silloin, kun ne on mahdollista määrittää. Säilytysajan määrittelemättä jättäminen oli yksi peruste Verkkokauppa.comin 856 000 euron seuraamusmaksulle.
Yhteenveto
Käsittelytoimien seloste on GDPR 30 artiklan pakollinen dokumentti ja tietosuojatarkastuksen ensimmäinen tarkasteltava asiakirja. Taulukkolaskenta vanhenee ja johtaa puutteisiin, joista Suomessa on määrätty seuraamuksia. ROPA-ohjelmiston tulee tuottaa jäsennelty, suomenkielinen seloste, hallita säilytysaikoja ja linkittyä käsittelysopimuksiin ja DPIA:han. Legiscope tuottaa selosteen noin neljässä minuutissa EU-isännöinnissä. Katso myös tietopyyntöjen hallintaohjelmisto.
Katso Legiscope käytännössä – varaa 15 minuutin demo
Viimeksi tarkistettu: heinäkuu 2026.
See Legiscope in action
AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.
Request a demo