Tietopyyntöjen (DSAR) hallintaohjelmisto on työkalu, joka vastaanottaa, seuraa ja dokumentoi rekisteröityjen esittämät pyynnöt käyttää GDPR:n mukaisia oikeuksiaan – erityisesti tarkastusoikeutta, oikaisua, poistoa ja siirrettävyyttä. Paras ohjelmisto tuo määräaikalaskurin (vastaus kuukauden kuluessa), ohjatut työnkulut ja auditointijäljen. Juuri tietopyyntöihin vastaamatta jättäminen on johtanut Suomessa suuriin seuraamusmaksuihin: Alektum Oy:lle 750 000 euroa ja Otavamedialle 85 000 euroa. Tässä artikkelissa käydään läpi, mitä ohjelmiston pitää tehdä ja mitä se maksaa.
Mitä tietopyyntö tarkoittaa?
Rekisteröidyllä on GDPR:n 12–22 artiklan mukaan oikeus muun muassa saada pääsy tietoihinsa (15 art.), oikaista virheelliset tiedot (16 art.), saada tiedot poistetuiksi (17 art.) ja siirtää tiedot järjestelmästä toiseen (20 art.). Rekisterinpitäjän on vastattava ilman aiheetonta viivytystä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta. Määräaikaa voi pidentää kahdella kuukaudella pyyntöjen monimutkaisuuden vuoksi, mutta pidennyksestä on ilmoitettava. Perusteet tarkastusoikeudesta.
Määräajan noudattaminen on käytännössä vaikeaa ilman järjestelmää: pyynnöt tulevat eri kanavista, ne on tunnistettava, tiedot koottava useasta järjestelmästä ja vastaus dokumentoitava. Juuri tässä ohjelmisto tuo eniten arvoa.
Miksi DSAR-hallinta on Suomessa korkean riskin alue
Tietosuojavaltuutetun toimisto on määrännyt Suomen suurimpiin kuuluvia seuraamusmaksuja juuri tietopyyntöjen laiminlyönnistä:
| Yritys | Seuraamusmaksu | Syy |
|---|---|---|
| Alektum Oy | 750 000 € | Ei vastannut tietopyyntöihin, vältteli viranomaista |
| Viking Line | 230 000 € | Ei toimittanut kaikkia tietoja pyynnöstä |
| Otavamedia | 85 000 € | Sähköpostivirhe esti pyyntöihin vastaamisen |
Otavamedian tapaus on opettavainen: pyynnöt katosivat teknisen sähköpostivirheen vuoksi, eikä kukaan huomannut. Ohjelmiston keskitetty vastaanotto ja määräaikalaskuri estävät juuri tämän. Katso koko katsaus: tietosuojaseuraamukset Suomessa 2025.
Mitä DSAR-ohjelmiston pitää tehdä?
| Ominaisuus | Miksi ratkaisee | Vähimmäisvaatimus |
|---|---|---|
| Keskitetty vastaanotto | Pyynnöt tulevat monesta kanavasta | Yksi hallintanäkymä |
| Määräaikalaskuri | Kuukauden vastausvelvoite | Automaattiset muistutukset |
| Pyytäjän tunnistaminen | Väärälle henkilölle ei saa luovuttaa | Ohjattu tunnistus |
| Tietojen kokoaminen | Tiedot useassa järjestelmässä | Tehtävien jako ja seuranta |
| Vastauksen dokumentointi | Näyttö vaatimustenmukaisuudesta | Auditointijälki |
| Suomenkieliset mallit | Rekisteröity asioi suomeksi | Valmiit vastauspohjat |
Ohjelmistovaihtoehdot ja hinnat
DSAR-hallinta sisältyy yleensä tietosuoja-alustaan erillisen tuotteen sijaan. Kevyet työkalut tarjoavat lomakkeen ja määräaikalaskurin, kun taas kattavat alustat linkittävät pyynnöt käsittelytoimien selosteeseen ja automatisoivat tehtävien jaon. Legiscope hallitsee tietopyynnöt osana EU-isännöityä tietosuoja-alustaa ja linkittää ne käsittelytoimien selosteeseen.
| Segmentti | Vuosibudjetti | Ratkaisu |
|---|---|---|
| Pk-yritys | 2 000–12 000 € | Tietosuoja-alusta DSAR-toiminnolla |
| Keskisuuri | 10 000–40 000 € | Alusta + automaatio + integraatiot |
| Suuryritys | 40 000+ € | GRC-suite (OneTrust ym.) |
Vertailu työkaluista: paras GDPR-ohjelmisto. Kustannukset: GDPR-ohjelmiston hinta.
Mitä 12–22 artikla vaatii oikeus oikeudelta
Rekisteröidyn oikeudet eivät ole yksi oikeus vaan joukko erillisiä oikeuksia, joilla on eri edellytykset ja eri vaikutus järjestelmiin. Ohjelmiston tulee tukea kutakin erikseen:
| Artikla | Oikeus | Mitä ohjelmiston pitää tukea |
|---|---|---|
| 12 art. | Läpinäkyvyys ja muoto | Määräaikalaskuri, maksuttomuus, vastaus samassa muodossa kuin pyyntö |
| 15 art. | Tarkastusoikeus ja jäljennös | Tietojen kokoaminen kaikista järjestelmistä |
| 16 art. | Oikaisu | Korjauspyynnön ohjaus oikeaan järjestelmään |
| 17 art. | Poisto (“oikeus tulla unohdetuksi”) | Poistotehtävät ja niiden todentaminen |
| 18 art. | Käsittelyn rajoittaminen | Merkintä, joka estää jatkokäsittelyn |
| 19 art. | Ilmoitus vastaanottajille | Oikaisun tai poiston välitys eteenpäin |
| 20 art. | Siirrettävyys | Koneluettava vienti (esim. CSV/JSON) |
| 21 art. | Vastustaminen, ml. suoramarkkinointi | Suppressiolistat ja markkinoinnin katkaisu |
| 22 art. | Automaattinen päätöksenteko ja profilointi | Ihmisen väliintulon reitti |
Erityisesti 17 ja 20 artikla edellyttävät, että tiedot löydetään ja käsitellään useasta järjestelmästä yhtenäisesti – tämä on ydinsyy, miksi manuaalinen käsittely pettää. Perusteet: tarkastusoikeus (DSAR).
Tietopyynnön elinkaari vaihe vaiheelta
Toimiva prosessi etenee vakioiduissa vaiheissa, joista jokainen dokumentoidaan:
- Vastaanotto ja kirjaus. Pyyntö tulee mistä tahansa kanavasta (sähköposti, lomake, puhelin) ja kirjataan keskitetysti. Määräaika alkaa kulua vastaanotosta.
- Tunnistautuminen. Pyytäjän henkilöllisyys varmistetaan kohtuullisin toimin luovuttamatta tietoja väärälle henkilölle.
- Laajuuden määrittely. Selvitetään, mihin oikeuteen pyyntö perustuu ja mitä tietoja se koskee.
- Tietojen kerääminen. Tiedot kootaan kaikista järjestelmistä – CRM, tilaustietokanta, tukipyynnöt, markkinointityökalut, lokit.
- Poikkeusten ja kolmansien oikeuksien arviointi. Poistetaan tai peitetään muiden henkilöiden tiedot ja arvioidaan mahdolliset poikkeukset.
- Vastauksen kokoaminen. Laaditaan jäljennös ja tarvittaessa koneluettava vienti.
- Turvallinen toimitus ja dokumentointi. Vastaus toimitetaan turvallisesti, ja koko käsittely jää auditointijälkeen.
Työstetty esimerkki: tarkastuspyyntö verkkokaupassa
| Vaihe | Päivä | Toimenpide |
|---|---|---|
| Vastaanotto | 0 | Asiakas pyytää tietonsa sähköpostitse; pyyntö kirjataan järjestelmään |
| Tunnistautuminen | 2 | Henkilöllisyys varmistetaan tilitunnistautumisella |
| Kerääminen | 3–15 | Tiedot kootaan CRM:stä, tilaustietokannasta, tukipyynnöistä ja markkinointityökalusta |
| Tarkistus | 16–18 | Muiden henkilöiden tiedot peitetään; poikkeukset arvioidaan |
| Kokoaminen | 19–21 | Laaditaan PDF-jäljennös ja koneluettava vienti |
| Toimitus | 22–25 | Vastaus toimitetaan turvallisesti; käsittely dokumentoidaan |
Koko prosessi valmistuu selvästi kuukauden määräajassa. Ilman järjestelmää vaiheet 4–5 venyvät helposti yli määräajan, koska tietoja etsitään käsin useasta paikasta.
Määräajat, tunnistautuminen ja poikkeukset
Vastaus on annettava ilman aiheetonta viivytystä ja viimeistään kuukauden kuluessa. Määräaikaa voi pidentää kahdella kuukaudella, jos pyyntö on monimutkainen tai pyyntöjä on useita, mutta pidennyksestä ja sen syystä on ilmoitettava rekisteröidylle kuukauden sisällä. Käsittely on lähtökohtaisesti maksutonta; ilmeisen perusteettomista tai kohtuuttomista pyynnöistä voidaan periä kohtuullinen maksu tai kieltäytyä, mutta näyttötaakka on rekisterinpitäjällä (12 art. 5 kohta). Tunnistautumisessa on käytettävä kohtuullisia keinoja keräämättä liikaa uusia tietoja. Kansallinen tietosuojalaki (1050/2018) täydentää oikeuksien käyttöä Suomessa. Viranomaisen ohjeistus rekisteröidyn oikeuksista: tietosuoja.fi/rekisteroidyn-oikeudet.
Sähköpostista ohjelmistoon: migraatio ja Otavamedian opetus
Otavamedian tapaus (85 000 euron seuraamusmaksu) syntyi teknisestä sähköpostivirheestä, joka esti pyyntöihin vastaamisen – eikä kukaan huomannut katoamista. Tämä on suora seuraus hajautetusta, sähköpostipohjaisesta käsittelystä, jossa ei ole yhtä vastuupistettä eikä määräaikaseurantaa. Siirtyminen järjestelmään:
- Keskitä vastaanotto. Ohjaa kaikki kanavat yhteen jonoon tai itsepalveluportaaliin.
- Automatisoi kuittaus. Jokainen pyyntö saa vastaanottokuittauksen ja tunnisteen.
- Käynnistä määräaikalaskuri. Laskuri ja muistutukset estävät hiljaisen ylityksen.
- Jaa tehtävät. Tietojen keruu eri järjestelmistä jaetaan vastuuhenkilöille seurannalla.
- Dokumentoi kaikki. Auditointijälki osoittaa vaatimustenmukaisuuden valvonnalle.
Automaation syvyys ja integraatiot
DSAR-työkalut eroavat merkittävästi siinä, kuinka pitkälle ne automatisoivat tietojen keruun:
| Taso | Toteutus | Vaikutus |
|---|---|---|
| 0 | Sähköposti ja jaettu kansio | Suuri riski, ei määräaikaseurantaa |
| 1 | Lomake ja määräaikalaskuri | Vastaanotto hallinnassa, keruu käsin |
| 2 | Tehtävien jako ja mallipohjat | Prosessi vakioitu |
| 3 | Integraatiot lähdejärjestelmiin, automaattinen keruu ja peittäminen | Nopea ja jäljitettävä |
Mitä useampaan lähdejärjestelmään työkalu kytkeytyy, sitä nopeammin ja luotettavammin 15 ja 20 artiklan mukaiset tiedot saadaan koottua. Vertailu: paras GDPR-ohjelmisto.
Sektorikohtaiset erityispiirteet
Tietopyyntöjen käsittelyn vaativuus vaihtelee toimialoittain, ja ohjelmiston pitäisi mukautua kuhunkin:
- Terveydenhuolto ja hyvinvointi. Käsitellään 9 artiklan erityisiä tietoryhmiä, jolloin tunnistautuminen ja tietojen turvallinen toimitus korostuvat. Tietomäärät ovat suuria ja hajallaan potilas- ja ajanvarausjärjestelmissä.
- Työelämä. Työntekijä voi pyytää omat tietonsa, ja käsittelyyn sovelletaan lakia yksityisyyden suojasta työelämässä (759/2004) tarpeellisuusvaatimuksineen. Terveystietojen ja arviointien käsittely on erityisen herkkää.
- Verkkokauppa ja kuluttajapalvelut. Volyymit ovat suuria ja tiedot hajautuvat CRM:ään, tilaustietokantaan, tukikanaviin ja markkinointityökaluihin. Ilman integraatioita 15 ja 20 artiklan tiedot jäävät helposti vajaiksi.
Yleisimmät virheet tietopyyntöjen käsittelyssä
Suomen seuraamuskäytäntö osoittaa toistuvat virheet, jotka ohjelmisto poistaa:
| Virhe | Seuraus | Esimerkki |
|---|---|---|
| Pyyntöä ei tunnisteta pyynnöksi | Määräaika kuluu huomaamatta | Vapaamuotoinen sähköposti jää käsittelemättä |
| Vastataan liian suppeasti | Kaikkia tietoja ei toimiteta | Viking Line, 230 000 € |
| Pyyntöön ei vastata lainkaan | Törkeä laiminlyönti | Alektum Oy, 750 000 € |
| Tekninen katkos vastaanotossa | Pyynnöt katoavat | Otavamedia, 85 000 € |
| Käsittelyä ei dokumentoida | Vaatimustenmukaisuutta ei voi osoittaa | — |
Näiden virheiden yhteinen nimittäjä on hajautettu, manuaalinen prosessi ilman keskitettyä vastaanottoa ja määräaikaseurantaa. Keskitetty järjestelmä, joka kirjaa jokaisen pyynnön, käynnistää laskurin ja säilyttää auditointijäljen, katkaisee tämän ketjun. Kokonaiskuva valvonnasta: tietosuojaseuraamukset Suomessa 2025.
Usein kysytyt kysymykset
Paljonko DSAR-ohjelmisto maksaa?
Tietopyyntöjen hallinta sisältyy yleensä tietosuoja-alustaan, jonka hinta pk-yritykselle on 2 000–12 000 €/vuosi. Erillistä DSAR-tuotetta ei yleensä kannata ostaa, koska pyynnöt linkittyvät käsittelytoimien selosteeseen ja muihin oikeuksiin.
Kuinka nopeasti tietopyyntöön on vastattava?
Ilman aiheetonta viivytystä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta. Määräaikaa voi pidentää kahdella kuukaudella monimutkaisissa tapauksissa, mutta pidennyksestä on ilmoitettava rekisteröidylle kuukauden sisällä.
Mitä seuraa, jos tietopyyntöön ei vastata?
Suomessa laiminlyönnistä on määrätty merkittäviä seuraamusmaksuja: Alektum Oy 750 000 € ja Otavamedia 85 000 €. Vastaamatta jättäminen on yksi yleisimmistä valvonnan kohteista.
Miten pyytäjän henkilöllisyys varmistetaan?
Rekisterinpitäjän on käytettävä kohtuullisia keinoja henkilöllisyyden varmistamiseksi, jotta tietoja ei luovuteta väärälle henkilölle. Tunnistautuminen ei saa johtaa tarpeettomaan lisätietojen keräämiseen. Verkkopalveluissa riittää usein olemassa oleva tilitunnistautuminen.
Voiko tietopyynnöstä periä maksun?
Pääsääntöisesti ei. Käsittely on maksutonta. Ilmeisen perusteettomista tai kohtuuttomista, erityisesti toistuvista pyynnöistä voidaan periä kohtuullinen hallinnollinen maksu tai kieltäytyä, mutta perusteen näyttäminen on rekisterinpitäjän vastuulla.
Mitä jos pyyntö koskee myös toisen henkilön tietoja?
Tarkastusoikeus ei saa haitata muiden oikeuksia. Vastauksesta on peitettävä tai poistettava kolmansien henkilöiden tiedot, mutta pyyntöä ei voi tämän vuoksi evätä kokonaan. Ohjelmiston peittämistoiminto nopeuttaa tätä.
Yhteenveto
Tietopyyntöjen hallintaohjelmisto varmistaa, että rekisteröityjen pyynnöt käsitellään kuukauden määräajassa ja dokumentoidaan. Suomessa juuri tämän laiminlyönnistä on määrätty suuria seuraamusmaksuja (Alektum 750 000 €, Otavamedia 85 000 €), joten keskitetty vastaanotto ja määräaikalaskuri ovat olennaisia. DSAR-toiminto sisältyy yleensä tietosuoja-alustaan, kuten Legiscopeen, joka linkittää pyynnöt käsittelytoimien selosteeseen EU-isännöinnissä. Katso myös ROPA-ohjelmisto.
Katso Legiscope käytännössä – varaa 15 minuutin demo
Viimeksi tarkistettu: heinäkuu 2026.
See Legiscope in action
AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.
Request a demo