Tietosuoja

Tietopyyntöjen (DSAR) hallintaohjelmisto 2026: vertailu ja hinnat

Tietopyyntöjen (DSAR) hallintaohjelmisto 2026: rekisteröidyn oikeudet, kuukauden määräaika, automaattiset työnkulut ja hinnat. Suomen seuraamukset Alektum ja Otavamedia.

Also available in:lv·et

Tietopyyntöjen (DSAR) hallintaohjelmisto on työkalu, joka vastaanottaa, seuraa ja dokumentoi rekisteröityjen esittämät pyynnöt käyttää GDPR:n mukaisia oikeuksiaan – erityisesti tarkastusoikeutta, oikaisua, poistoa ja siirrettävyyttä. Paras ohjelmisto tuo määräaikalaskurin (vastaus kuukauden kuluessa), ohjatut työnkulut ja auditointijäljen. Juuri tietopyyntöihin vastaamatta jättäminen on johtanut Suomessa suuriin seuraamusmaksuihin: Alektum Oy:lle 750 000 euroa ja Otavamedialle 85 000 euroa. Tässä artikkelissa käydään läpi, mitä ohjelmiston pitää tehdä ja mitä se maksaa.

Mitä tietopyyntö tarkoittaa?

Rekisteröidyllä on GDPR:n 12–22 artiklan mukaan oikeus muun muassa saada pääsy tietoihinsa (15 art.), oikaista virheelliset tiedot (16 art.), saada tiedot poistetuiksi (17 art.) ja siirtää tiedot järjestelmästä toiseen (20 art.). Rekisterinpitäjän on vastattava ilman aiheetonta viivytystä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta. Määräaikaa voi pidentää kahdella kuukaudella pyyntöjen monimutkaisuuden vuoksi, mutta pidennyksestä on ilmoitettava. Perusteet tarkastusoikeudesta.

Määräajan noudattaminen on käytännössä vaikeaa ilman järjestelmää: pyynnöt tulevat eri kanavista, ne on tunnistettava, tiedot koottava useasta järjestelmästä ja vastaus dokumentoitava. Juuri tässä ohjelmisto tuo eniten arvoa.

Miksi DSAR-hallinta on Suomessa korkean riskin alue

Tietosuojavaltuutetun toimisto on määrännyt Suomen suurimpiin kuuluvia seuraamusmaksuja juuri tietopyyntöjen laiminlyönnistä:

Yritys Seuraamusmaksu Syy
Alektum Oy 750 000 € Ei vastannut tietopyyntöihin, vältteli viranomaista
Viking Line 230 000 € Ei toimittanut kaikkia tietoja pyynnöstä
Otavamedia 85 000 € Sähköpostivirhe esti pyyntöihin vastaamisen

Otavamedian tapaus on opettavainen: pyynnöt katosivat teknisen sähköpostivirheen vuoksi, eikä kukaan huomannut. Ohjelmiston keskitetty vastaanotto ja määräaikalaskuri estävät juuri tämän. Katso koko katsaus: tietosuojaseuraamukset Suomessa 2025.

Mitä DSAR-ohjelmiston pitää tehdä?

Ominaisuus Miksi ratkaisee Vähimmäisvaatimus
Keskitetty vastaanotto Pyynnöt tulevat monesta kanavasta Yksi hallintanäkymä
Määräaikalaskuri Kuukauden vastausvelvoite Automaattiset muistutukset
Pyytäjän tunnistaminen Väärälle henkilölle ei saa luovuttaa Ohjattu tunnistus
Tietojen kokoaminen Tiedot useassa järjestelmässä Tehtävien jako ja seuranta
Vastauksen dokumentointi Näyttö vaatimustenmukaisuudesta Auditointijälki
Suomenkieliset mallit Rekisteröity asioi suomeksi Valmiit vastauspohjat

Ohjelmistovaihtoehdot ja hinnat

DSAR-hallinta sisältyy yleensä tietosuoja-alustaan erillisen tuotteen sijaan. Kevyet työkalut tarjoavat lomakkeen ja määräaikalaskurin, kun taas kattavat alustat linkittävät pyynnöt käsittelytoimien selosteeseen ja automatisoivat tehtävien jaon. Legiscope hallitsee tietopyynnöt osana EU-isännöityä tietosuoja-alustaa ja linkittää ne käsittelytoimien selosteeseen.

Segmentti Vuosibudjetti Ratkaisu
Pk-yritys 2 000–12 000 € Tietosuoja-alusta DSAR-toiminnolla
Keskisuuri 10 000–40 000 € Alusta + automaatio + integraatiot
Suuryritys 40 000+ € GRC-suite (OneTrust ym.)

Vertailu työkaluista: paras GDPR-ohjelmisto. Kustannukset: GDPR-ohjelmiston hinta.

Mitä 12–22 artikla vaatii oikeus oikeudelta

Rekisteröidyn oikeudet eivät ole yksi oikeus vaan joukko erillisiä oikeuksia, joilla on eri edellytykset ja eri vaikutus järjestelmiin. Ohjelmiston tulee tukea kutakin erikseen:

Artikla Oikeus Mitä ohjelmiston pitää tukea
12 art. Läpinäkyvyys ja muoto Määräaikalaskuri, maksuttomuus, vastaus samassa muodossa kuin pyyntö
15 art. Tarkastusoikeus ja jäljennös Tietojen kokoaminen kaikista järjestelmistä
16 art. Oikaisu Korjauspyynnön ohjaus oikeaan järjestelmään
17 art. Poisto (“oikeus tulla unohdetuksi”) Poistotehtävät ja niiden todentaminen
18 art. Käsittelyn rajoittaminen Merkintä, joka estää jatkokäsittelyn
19 art. Ilmoitus vastaanottajille Oikaisun tai poiston välitys eteenpäin
20 art. Siirrettävyys Koneluettava vienti (esim. CSV/JSON)
21 art. Vastustaminen, ml. suoramarkkinointi Suppressiolistat ja markkinoinnin katkaisu
22 art. Automaattinen päätöksenteko ja profilointi Ihmisen väliintulon reitti

Erityisesti 17 ja 20 artikla edellyttävät, että tiedot löydetään ja käsitellään useasta järjestelmästä yhtenäisesti – tämä on ydinsyy, miksi manuaalinen käsittely pettää. Perusteet: tarkastusoikeus (DSAR).

Tietopyynnön elinkaari vaihe vaiheelta

Toimiva prosessi etenee vakioiduissa vaiheissa, joista jokainen dokumentoidaan:

  1. Vastaanotto ja kirjaus. Pyyntö tulee mistä tahansa kanavasta (sähköposti, lomake, puhelin) ja kirjataan keskitetysti. Määräaika alkaa kulua vastaanotosta.
  2. Tunnistautuminen. Pyytäjän henkilöllisyys varmistetaan kohtuullisin toimin luovuttamatta tietoja väärälle henkilölle.
  3. Laajuuden määrittely. Selvitetään, mihin oikeuteen pyyntö perustuu ja mitä tietoja se koskee.
  4. Tietojen kerääminen. Tiedot kootaan kaikista järjestelmistä – CRM, tilaustietokanta, tukipyynnöt, markkinointityökalut, lokit.
  5. Poikkeusten ja kolmansien oikeuksien arviointi. Poistetaan tai peitetään muiden henkilöiden tiedot ja arvioidaan mahdolliset poikkeukset.
  6. Vastauksen kokoaminen. Laaditaan jäljennös ja tarvittaessa koneluettava vienti.
  7. Turvallinen toimitus ja dokumentointi. Vastaus toimitetaan turvallisesti, ja koko käsittely jää auditointijälkeen.

Työstetty esimerkki: tarkastuspyyntö verkkokaupassa

Vaihe Päivä Toimenpide
Vastaanotto 0 Asiakas pyytää tietonsa sähköpostitse; pyyntö kirjataan järjestelmään
Tunnistautuminen 2 Henkilöllisyys varmistetaan tilitunnistautumisella
Kerääminen 3–15 Tiedot kootaan CRM:stä, tilaustietokannasta, tukipyynnöistä ja markkinointityökalusta
Tarkistus 16–18 Muiden henkilöiden tiedot peitetään; poikkeukset arvioidaan
Kokoaminen 19–21 Laaditaan PDF-jäljennös ja koneluettava vienti
Toimitus 22–25 Vastaus toimitetaan turvallisesti; käsittely dokumentoidaan

Koko prosessi valmistuu selvästi kuukauden määräajassa. Ilman järjestelmää vaiheet 4–5 venyvät helposti yli määräajan, koska tietoja etsitään käsin useasta paikasta.

Määräajat, tunnistautuminen ja poikkeukset

Vastaus on annettava ilman aiheetonta viivytystä ja viimeistään kuukauden kuluessa. Määräaikaa voi pidentää kahdella kuukaudella, jos pyyntö on monimutkainen tai pyyntöjä on useita, mutta pidennyksestä ja sen syystä on ilmoitettava rekisteröidylle kuukauden sisällä. Käsittely on lähtökohtaisesti maksutonta; ilmeisen perusteettomista tai kohtuuttomista pyynnöistä voidaan periä kohtuullinen maksu tai kieltäytyä, mutta näyttötaakka on rekisterinpitäjällä (12 art. 5 kohta). Tunnistautumisessa on käytettävä kohtuullisia keinoja keräämättä liikaa uusia tietoja. Kansallinen tietosuojalaki (1050/2018) täydentää oikeuksien käyttöä Suomessa. Viranomaisen ohjeistus rekisteröidyn oikeuksista: tietosuoja.fi/rekisteroidyn-oikeudet.

Sähköpostista ohjelmistoon: migraatio ja Otavamedian opetus

Otavamedian tapaus (85 000 euron seuraamusmaksu) syntyi teknisestä sähköpostivirheestä, joka esti pyyntöihin vastaamisen – eikä kukaan huomannut katoamista. Tämä on suora seuraus hajautetusta, sähköpostipohjaisesta käsittelystä, jossa ei ole yhtä vastuupistettä eikä määräaikaseurantaa. Siirtyminen järjestelmään:

  1. Keskitä vastaanotto. Ohjaa kaikki kanavat yhteen jonoon tai itsepalveluportaaliin.
  2. Automatisoi kuittaus. Jokainen pyyntö saa vastaanottokuittauksen ja tunnisteen.
  3. Käynnistä määräaikalaskuri. Laskuri ja muistutukset estävät hiljaisen ylityksen.
  4. Jaa tehtävät. Tietojen keruu eri järjestelmistä jaetaan vastuuhenkilöille seurannalla.
  5. Dokumentoi kaikki. Auditointijälki osoittaa vaatimustenmukaisuuden valvonnalle.

Automaation syvyys ja integraatiot

DSAR-työkalut eroavat merkittävästi siinä, kuinka pitkälle ne automatisoivat tietojen keruun:

Taso Toteutus Vaikutus
0 Sähköposti ja jaettu kansio Suuri riski, ei määräaikaseurantaa
1 Lomake ja määräaikalaskuri Vastaanotto hallinnassa, keruu käsin
2 Tehtävien jako ja mallipohjat Prosessi vakioitu
3 Integraatiot lähdejärjestelmiin, automaattinen keruu ja peittäminen Nopea ja jäljitettävä

Mitä useampaan lähdejärjestelmään työkalu kytkeytyy, sitä nopeammin ja luotettavammin 15 ja 20 artiklan mukaiset tiedot saadaan koottua. Vertailu: paras GDPR-ohjelmisto.

Sektorikohtaiset erityispiirteet

Tietopyyntöjen käsittelyn vaativuus vaihtelee toimialoittain, ja ohjelmiston pitäisi mukautua kuhunkin:

  • Terveydenhuolto ja hyvinvointi. Käsitellään 9 artiklan erityisiä tietoryhmiä, jolloin tunnistautuminen ja tietojen turvallinen toimitus korostuvat. Tietomäärät ovat suuria ja hajallaan potilas- ja ajanvarausjärjestelmissä.
  • Työelämä. Työntekijä voi pyytää omat tietonsa, ja käsittelyyn sovelletaan lakia yksityisyyden suojasta työelämässä (759/2004) tarpeellisuusvaatimuksineen. Terveystietojen ja arviointien käsittely on erityisen herkkää.
  • Verkkokauppa ja kuluttajapalvelut. Volyymit ovat suuria ja tiedot hajautuvat CRM:ään, tilaustietokantaan, tukikanaviin ja markkinointityökaluihin. Ilman integraatioita 15 ja 20 artiklan tiedot jäävät helposti vajaiksi.

Yleisimmät virheet tietopyyntöjen käsittelyssä

Suomen seuraamuskäytäntö osoittaa toistuvat virheet, jotka ohjelmisto poistaa:

Virhe Seuraus Esimerkki
Pyyntöä ei tunnisteta pyynnöksi Määräaika kuluu huomaamatta Vapaamuotoinen sähköposti jää käsittelemättä
Vastataan liian suppeasti Kaikkia tietoja ei toimiteta Viking Line, 230 000 €
Pyyntöön ei vastata lainkaan Törkeä laiminlyönti Alektum Oy, 750 000 €
Tekninen katkos vastaanotossa Pyynnöt katoavat Otavamedia, 85 000 €
Käsittelyä ei dokumentoida Vaatimustenmukaisuutta ei voi osoittaa

Näiden virheiden yhteinen nimittäjä on hajautettu, manuaalinen prosessi ilman keskitettyä vastaanottoa ja määräaikaseurantaa. Keskitetty järjestelmä, joka kirjaa jokaisen pyynnön, käynnistää laskurin ja säilyttää auditointijäljen, katkaisee tämän ketjun. Kokonaiskuva valvonnasta: tietosuojaseuraamukset Suomessa 2025.

Usein kysytyt kysymykset

Paljonko DSAR-ohjelmisto maksaa?

Tietopyyntöjen hallinta sisältyy yleensä tietosuoja-alustaan, jonka hinta pk-yritykselle on 2 000–12 000 €/vuosi. Erillistä DSAR-tuotetta ei yleensä kannata ostaa, koska pyynnöt linkittyvät käsittelytoimien selosteeseen ja muihin oikeuksiin.

Kuinka nopeasti tietopyyntöön on vastattava?

Ilman aiheetonta viivytystä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta. Määräaikaa voi pidentää kahdella kuukaudella monimutkaisissa tapauksissa, mutta pidennyksestä on ilmoitettava rekisteröidylle kuukauden sisällä.

Mitä seuraa, jos tietopyyntöön ei vastata?

Suomessa laiminlyönnistä on määrätty merkittäviä seuraamusmaksuja: Alektum Oy 750 000 € ja Otavamedia 85 000 €. Vastaamatta jättäminen on yksi yleisimmistä valvonnan kohteista.

Miten pyytäjän henkilöllisyys varmistetaan?

Rekisterinpitäjän on käytettävä kohtuullisia keinoja henkilöllisyyden varmistamiseksi, jotta tietoja ei luovuteta väärälle henkilölle. Tunnistautuminen ei saa johtaa tarpeettomaan lisätietojen keräämiseen. Verkkopalveluissa riittää usein olemassa oleva tilitunnistautuminen.

Voiko tietopyynnöstä periä maksun?

Pääsääntöisesti ei. Käsittely on maksutonta. Ilmeisen perusteettomista tai kohtuuttomista, erityisesti toistuvista pyynnöistä voidaan periä kohtuullinen hallinnollinen maksu tai kieltäytyä, mutta perusteen näyttäminen on rekisterinpitäjän vastuulla.

Mitä jos pyyntö koskee myös toisen henkilön tietoja?

Tarkastusoikeus ei saa haitata muiden oikeuksia. Vastauksesta on peitettävä tai poistettava kolmansien henkilöiden tiedot, mutta pyyntöä ei voi tämän vuoksi evätä kokonaan. Ohjelmiston peittämistoiminto nopeuttaa tätä.

Yhteenveto

Tietopyyntöjen hallintaohjelmisto varmistaa, että rekisteröityjen pyynnöt käsitellään kuukauden määräajassa ja dokumentoidaan. Suomessa juuri tämän laiminlyönnistä on määrätty suuria seuraamusmaksuja (Alektum 750 000 €, Otavamedia 85 000 €), joten keskitetty vastaanotto ja määräaikalaskuri ovat olennaisia. DSAR-toiminto sisältyy yleensä tietosuoja-alustaan, kuten Legiscopeen, joka linkittää pyynnöt käsittelytoimien selosteeseen EU-isännöinnissä. Katso myös ROPA-ohjelmisto.

Katso Legiscope käytännössä – varaa 15 minuutin demo

Viimeksi tarkistettu: heinäkuu 2026.

See Legiscope in action

AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.

Request a demo
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →