Tietosuoja

Tietosuoja Suomessa 2026: täydellinen opas (GDPR + tietosuojalaki)

Tietosuoja Suomessa 2026: tietosuojalaki 1050/2018, tietosuojavaltuutettu, seuraamusmaksut (Posti, Vastaamo, Verkkokauppa.com) ja rekisterinpitäjän velvollisuudet.

Tietosuoja Suomessa perustuu kahteen säädökseen: suoraan sovellettavaan EU:n yleiseen tietosuoja-asetukseen (GDPR) ja sitä täydentävään kansalliseen tietosuojalakiin (1050/2018). Valvonnasta vastaa tietosuojavaltuutetun toimisto, ja hallinnolliset seuraamusmaksut määrää sen yhteydessä toimiva seuraamuskollegio, jonka muodostavat tietosuojavaltuutettu ja kaksi apulaistietosuojavaltuutettua. Suomessa suurin määrätty seuraamusmaksu on Verkkokauppa.com Oyj:lle vuonna 2024 määrätty 856 000 euroa, ja tunnetuin tapaus on Psykoterapiakeskus Vastaamo. Tämä opas käy läpi kaiken olennaisen, mitä suomalaisen rekisterinpitäjän ja henkilötietojen käsittelijän tulee tietää vuonna 2026.

Tietosuoja ei ole enää vain suuryritysten asia. Tietosuojavaltuutetun toimisto on siirtänyt valvontansa painopistettä yksittäisistä isoista tapauksista järjestelmällisiin kanteluihin perustuviin päätöksiin, jotka koskevat yhä useammin pk-yrityksiä. Tässä oppaassa käsitellään sovellettava lainsäädäntö, valvontaviranomaisen toimivalta, rekisterinpitäjän konkreettiset velvollisuudet, todelliset seuraamusmaksut sekä uusi kyberturvallisuus- ja finanssisääntely (NIS2 ja DORA).

Mikä laki tietosuojaa Suomessa säätelee?

Suomessa henkilötietojen käsittelyä säätelee ensisijaisesti GDPR eli EU:n yleinen tietosuoja-asetus (2016/679). Koska asetus on suoraan sovellettavaa oikeutta, se ei vaadi kansallista täytäntöönpanoa. Kansallinen tietosuojalaki 1050/2018 täydentää asetusta niiltä osin, joissa GDPR jättää jäsenvaltioille liikkumavaraa. Tietosuojalaki muun muassa määrittää tietosuojavaltuutetun aseman, tarkentaa henkilötunnuksen käsittelyn edellytyksiä ja asettaa alaikärajan (13 vuotta) tietoyhteiskunnan palveluiden tarjoamiseen suostumuksen perusteella.

Työelämässä sovelletaan lisäksi erillistä lakia yksityisyyden suojasta työelämässä (759/2004), joka rajoittaa työntekijöiden henkilötietojen käsittelyä tarpeellisuusvaatimuksella. Tämä on olennainen suomalainen erityispiirre: työnantaja saa käsitellä vain työsuhteen kannalta välittömästi tarpeellisia tietoja, eikä tästä voi poiketa edes työntekijän suostumuksella.

Kuka valvoo tietosuojaa Suomessa?

Valvontaviranomainen on tietosuojavaltuutetun toimisto (Office of the Data Protection Ombudsman). Sitä johtaa tietosuojavaltuutettu, ja toimistossa työskentelee kaksi apulaistietosuojavaltuutettua. Viranomainen käsittelee kanteluita, antaa ohjausta, tekee tarkastuksia ja voi määrätä korjaavia toimenpiteitä.

Hallinnolliset seuraamusmaksut määrää seuraamuskollegio, joka koostuu tietosuojavaltuutetusta ja kahdesta apulaistietosuojavaltuutetusta. Seuraamusmaksu voi olla enintään 20 miljoonaa euroa tai neljä prosenttia yrityksen edeltävän tilikauden maailmanlaajuisesta liikevaihdosta sen mukaan, kumpi on suurempi. Tarkempi kuvaus viranomaisen roolista ja toimivallasta löytyy oppaastamme tietosuojavaltuutettu 2026.

Rekisterinpitäjän keskeiset velvollisuudet

GDPR asettaa rekisterinpitäjälle joukon dokumentointi- ja hallintavelvollisuuksia. Alla olevassa taulukossa on koottu tärkeimmät velvoitteet ja niiden oikeusperusta.

Velvollisuus Artikla Käytännön sisältö
Käsittelytoimien seloste (ROPA) 30 art. Ajantasainen luettelo kaikista käsittelytoimista
Vaikutustenarviointi (DPIA) 35 art. Korkean riskin käsittelyn arviointi ennalta
Tietoturvaloukkauksen ilmoittaminen 33–34 art. Ilmoitus viranomaiselle 72 tunnissa
Rekisteröidyn oikeudet 12–22 art. Vastaus tietopyyntöön kuukauden kuluessa
Käsittelysopimukset 28 art. Sopimus jokaisen henkilötietojen käsittelijän kanssa
Tietosuojavastaava (DPO) 37 art. Nimettävä tietyissä tilanteissa

Näistä keskeisin dokumentti on käsittelytoimien seloste (ROPA), joka on lähes aina viranomaistarkastuksen ensimmäinen tarkasteltava asiakirja. Toiseksi tärkein on rekisteröityjen tietopyyntöjen (DSAR) hallinta määräajassa – juuri tämän laiminlyönnistä on Suomessa määrätty useita seuraamusmaksuja.

Millä perusteella henkilötietoja saa käsitellä?

Kaikki henkilötietojen käsittely edellyttää GDPR:n 6 artiklan mukaista oikeusperustetta. Ilman pätevää perustetta käsittely on lainvastaista riippumatta siitä, kuinka huolellisesti se muuten tehdään. Kuusi vaihtoehtoista perustetta ovat:

Oikeusperuste Tyypillinen käyttö
Suostumus Uutiskirjeet, ei-välttämättömät evästeet, markkinointi
Sopimus Tilauksen toimittaminen, työsuhteen hoitaminen
Lakisääteinen velvoite Kirjanpito, verotus, työnantajavelvoitteet
Elintärkeä etu Hätätilanteet, terveyden suojaaminen
Yleinen etu Viranomaistehtävät
Oikeutettu etu Petostentorjunta, verkon turvallisuus, B2B-viestintä

Suostumuksen on oltava vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen. Suomessa tietosuojalaki asettaa alaikärajaksi 13 vuotta tietoyhteiskunnan palveluiden tarjoamiseen suostumuksen perusteella. Erityisiä henkilötietoryhmiä – kuten terveystietoja, joita Vastaamon ja Viking Linen tapaukset koskivat – saa käsitellä vain 9 artiklan tiukempien edellytysten täyttyessä.

Rekisteröidyn oikeudet Suomessa

GDPR antaa rekisteröidylle joukon oikeuksia, jotka rekisterinpitäjän on toteutettava ilman aiheetonta viivytystä ja viimeistään kuukauden kuluessa pyynnöstä:

  • Tarkastusoikeus (15 art.): oikeus saada pääsy omiin tietoihin.
  • Oikaisu (16 art.): virheellisten tietojen korjaaminen.
  • Poisto eli oikeus tulla unohdetuksi (17 art.): tietojen poistaminen tietyin edellytyksin.
  • Käsittelyn rajoittaminen (18 art.): käsittelyn väliaikainen jäädyttäminen.
  • Siirto-oikeus (20 art.): tietojen siirtäminen järjestelmästä toiseen.
  • Vastustamisoikeus (21 art.): erityisesti suoramarkkinoinnin osalta ehdoton.

Näiden oikeuksien laiminlyönti on Suomessa yleisin seuraamusmaksun peruste. Alektum Oy:lle määrättiin 750 000 euroa tietopyyntöihin vastaamatta jättämisestä ja Otavamedialle 85 000 euroa oikeuksien puutteellisesta toteuttamisesta. Toimiva prosessi on siksi keskeinen – katso tietopyyntöjen hallintaohjelmisto.

Todelliset seuraamusmaksut Suomessa

Suomalainen valvontakäytäntö on ollut maltillisempaa kuin esimerkiksi Ranskassa tai Irlannissa, mutta seuraamusmaksut ovat kasvaneet. Alla verifioidut tapaukset tietosuojavaltuutetun toimiston ja EDPB:n tiedotteista.

Yritys Seuraamusmaksu Vuosi Rikkomus
Verkkokauppa.com Oyj 856 000 € 2024 Säilytysajan määrittelemättä jättäminen, pakollinen tilin luonti
Posti (OmaPosti) 2 400 000 € 2024 Läpinäkymätön viestintä, automaattinen postilaatikko (kumottu HAO:ssa)
Alektum Oy 750 000 € 2023 Tietopyyntöihin vastaamatta jättäminen, viranomaisen välttely
Psykoterapiakeskus Vastaamo 608 000 € 2021 Vakavat tietoturvapuutteet (5(1)(f), 33, 34 art.)
Viking Line 230 000 € 2023 Työntekijöiden terveystietojen lainvastainen käsittely
Posti (osoitteenmuutokset) 100 000 € 2020 Puutteellinen informointi oikeuksista
Otavamedia 85 000 € 2022 Puutteet rekisteröidyn oikeuksien toteuttamisessa

Kattava analyysi ja trendit löytyvät tietosuojaseuraamukset Suomessa 2025 -katsauksestamme. Huomionarvoista on, että osa suurimmista maksuista on ollut hallintotuomioistuinten käsittelyssä – esimerkiksi Postin OmaPosti-maksu kumottiin hallinto-oikeudessa, kun taas vuoden 2020 osoitteenmuutosmaksu vahvistettiin lopulta korkeimmassa hallinto-oikeudessa.

Suomalaiset erityispiirteet

Kolme seikkaa erottaa Suomen tietosuojakäytännön monista muista EU-maista:

  • Työelämän tietosuoja on tiukkaa. Tarpeellisuusvaatimus rajaa työntekijätietojen käsittelyä. Vastaamon jälkeen valvonta on kiinnittänyt erityistä huomiota terveystietojen käsittelyyn – Viking Linen tapaus koski juuri diagnoosien pitkäaikaista säilyttämistä HR-järjestelmässä.
  • Henkilötunnuksen käsittely on erikseen säänneltyä. Tietosuojalain 29 § rajaa henkilötunnuksen käsittelyn tilanteisiin, joissa rekisteröidyn yksiselitteinen yksilöiminen on tärkeää.
  • Julkinen sektori on ollut seuraamusmaksujen ulkopuolella, mutta hallitus on esittänyt lakimuutosta, joka mahdollistaisi maksut myös viranomaisille.

Tietoturva ja tietoturvaloukkaukset

GDPR:n 32 artikla velvoittaa rekisterinpitäjän ja käsittelijän toteuttamaan riskiä vastaavat tekniset ja organisatoriset tietoturvatoimet. Suomessa juuri tämän laiminlyönti johti maan tunnetuimpaan seuraamusmaksuun: Psykoterapiakeskus Vastaamon 608 000 euron maksusta 316 800 euroa perustui 5 artiklan 1 kohdan f alakohdan tietoturvaperiaatteen rikkomiseen. Loput jakautuivat ilmoitusvelvollisuuden laiminlyöntiin.

Tietoturvaloukkauksesta on ilmoitettava tietosuojavaltuutetun toimistolle ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa siitä, kun loukkaus on tullut tietoon (33 art.). Jos loukkaus todennäköisesti aiheuttaa korkean riskin rekisteröityjen oikeuksille, myös heille on ilmoitettava (34 art.). Vastaamon tapauksessa ilmoitukset tehtiin liian myöhään – opetus on, että dokumentoitu ilmoitusprosessi on yhtä tärkeä kuin itse tietoturvatoimet. Käytännön ohjeet: tietoturvaloukkauksen ilmoittaminen.

Henkilötietojen siirrot EU:n ulkopuolelle

Kun henkilötietoja siirretään EU:n tai ETA:n ulkopuolelle, tarvitaan GDPR:n V luvun mukainen siirtoperuste – esimerkiksi komission riittävyyspäätös tai vakiolausekkeet siirtovaikutusten arviointeineen. Suomalaisen yrityksen kannalta tämä on käytännössä ajankohtaista aina, kun käytetään yhdysvaltalaisia pilvipalveluja tai työkaluja. Yksi tapa keventää tätä hallinnollista taakkaa on valita EU-isännöidyt palvelut, jolloin siirtoja ei synny. Tausta: rajat ylittävät tiedonsiirrot.

NIS2 ja DORA: uusi sääntely 2025–2026

Tietosuojan rinnalle on noussut kaksi merkittävää sääntelykokonaisuutta. NIS2-direktiivin kansallinen kyberturvallisuuslaki tuli voimaan 8.4.2025, ja sen valvonnasta vastaa keskitetysti Traficomin Kyberturvallisuuskeskus. DORA-asetusta on sovellettu 17.1.2025 alkaen, ja Finanssivalvonta valvoo sen toteutumista finanssisektorilla. Molemmat tuovat uusia dokumentointi- ja raportointivelvoitteita, jotka limittyvät osittain GDPR:n kanssa.

Miten pk-yritys pääsee vaatimustenmukaiseksi?

Vaatimustenmukaisuus rakentuu kolmesta vaiheesta: nykytilan kartoitus, dokumentaation laatiminen (ROPA, DPIA, käsittelysopimukset) ja jatkuva ylläpito. Manuaalinen ylläpito taulukkolaskennassa vanhenee nopeasti ja aiheuttaa juuri niitä puutteita, joista seuraamusmaksuja on määrätty. Tietosuojaohjelmistot automatisoivat dokumentaation ja määräaikojen seurannan. Legiscope on eurooppalainen, tietosuojajuristien suunnittelema alusta, joka tuottaa käsittelytoimien selosteen muutamassa minuutissa. Vertailu vaihtoehdoista löytyy tietosuojaohjelmiston vertailusta ja hinnoista oppaasta GDPR-ohjelmiston hinta.

Käytännön aloituslista suomalaiselle rekisterinpitäjälle:

  1. Kartoita kaikki henkilötietojen käsittelytoimet ja niiden oikeusperusteet.
  2. Laadi käsittelytoimien seloste ja määritä säilytysajat (Verkkokauppa.com-tapaus osoittaa, ettei tätä voi laiminlyödä).
  3. Solmi käsittelysopimus jokaisen henkilötietojen käsittelijän kanssa (28 art.).
  4. Rakenna prosessi tietopyyntöjen käsittelyyn kuukauden määräajassa.
  5. Dokumentoi tietoturvatoimet ja tietoturvaloukkausten ilmoitusprosessi (72 h).
  6. Arvioi, tarvitaanko tietosuojavastaava tai vaikutustenarviointi (DPIA).

Oikeudellinen huomautus: Tämä artikkeli on yleistä tietoa, ei oikeudellinen neuvo. Yksittäistapauksissa kannattaa konsultoida tietosuojaan erikoistunutta lakimiestä.

Usein kysytyt kysymykset

Mikä laki säätelee tietosuojaa Suomessa?

Ensisijaisesti EU:n yleinen tietosuoja-asetus (GDPR), jota täydentää kansallinen tietosuojalaki (1050/2018). Työelämässä sovelletaan lisäksi lakia yksityisyyden suojasta työelämässä (759/2004).

Kuka määrää tietosuojasakot Suomessa?

Hallinnolliset seuraamusmaksut määrää tietosuojavaltuutetun toimiston seuraamuskollegio, jonka muodostavat tietosuojavaltuutettu ja kaksi apulaistietosuojavaltuutettua. Maksu voi olla enintään 20 miljoonaa euroa tai 4 % maailmanlaajuisesta liikevaihdosta.

Mikä on suurin tietosuojaseuraamusmaksu Suomessa?

Suurin lainvoimaa lähestyvä maksu on Verkkokauppa.com Oyj:lle vuonna 2024 määrätty 856 000 euroa. Postin OmaPosti-palvelusta määrättiin 2,4 miljoonaa euroa, mutta hallinto-oikeus kumosi sen.

Tarvitseeko pk-yritys tietosuojavastaavan?

Tietosuojavastaava on nimettävä, jos yrityksen ydintoimintaan kuuluu laajamittaista säännöllistä seurantaa tai laajamittaista erityisten henkilötietoryhmien käsittelyä. Lue lisää tietosuojavastaavan roolista.

Tarvitseeko henkilötietojen käsittely aina oikeusperusteen?

Kyllä. Jokaiselle käsittelylle on oltava GDPR:n 6 artiklan mukainen oikeusperuste: suostumus, sopimus, lakisääteinen velvoite, elintärkeä etu, yleinen etu tai oikeutettu etu. Ilman pätevää perustetta käsittely on lainvastaista, ja erityisiä henkilötietoryhmiä koskee vielä tiukempi 9 artikla.

Milloin tietoturvaloukkauksesta on ilmoitettava?

Rekisterinpitäjän on ilmoitettava tietoturvaloukkauksesta tietosuojavaltuutetun toimistolle ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa (33 art.). Jos loukkaus aiheuttaa todennäköisesti korkean riskin rekisteröidyille, myös heille on ilmoitettava (34 art.). Vastaamon tapaus osoittaa, että myöhästynyt ilmoitus on itsenäinen seuraamusperuste.

Yhteenveto

Tietosuoja Suomessa nojaa GDPR:ään ja tietosuojalakiin (1050/2018), ja sitä valvoo tietosuojavaltuutetun toimisto seuraamuskollegioineen. Seuraamusmaksut ovat kasvaneet – Verkkokauppa.com 856 000 €, Vastaamo 608 000 €, Alektum 750 000 € – ja valvonta kohdistuu yhä useammin pk-yrityksiin. Vuosina 2025–2026 kuvaan ovat tulleet NIS2 ja DORA. Rekisterinpitäjän kannattaa varmistaa ajantasainen käsittelytoimien seloste, toimiva tietopyyntöprosessi ja dokumentoidut tietoturvatoimet – juuri näiden puutteista Suomessa on määrätty seuraamuksia.

Viimeksi tarkistettu: heinäkuu 2026.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →