Tietosuoja

Tietosuojaseloste malli 2026: valmis pohja verkkosivulle (13–14 art.)

Valmis tietosuojaselosteen malli verkkosivulle GDPR 13–14 artiklan mukaan: täydellinen mallipohja, näin mukautat sen ja yleiset virheet, joita kannattaa välttää.

Also available in:English·Español

Etsitkö valmista tietosuojaselosteen mallia verkkosivullesi? Tässä se on. Tietosuojaseloste (tietosuojailmoitus) on rekisteröidyille suunnattu asiakirja, jossa kerrotaan avoimesti, miten organisaatio käsittelee henkilötietoja. Yleisen tietosuoja-asetuksen (GDPR) 13 ja 14 artikla velvoittavat rekisterinpitäjän antamaan nämä tiedot: 13 artikla kun tiedot kerätään rekisteröidyltä itseltään, 14 artikla kun tiedot on saatu muualta. Alla on täydellinen mallipohja, minkä jälkeen käydään läpi, miten se mukautetaan ja mitkä ovat yleisimmät virheet. Läpinäkyvyyspuute on todellinen riski: Tietosuojavaltuutetun toimiston seuraamuskollegio määräsi Postille 100 000 euron seuraamusmaksun 26.5.2020 muun muassa siitä, ettei se ollut informoinut asiakkaita heidän oikeuksistaan osoitteenmuutoksen yhteydessä.

Mitä tietosuojaselosteessa on oltava?

13 ja 14 artikla luettelevat pakolliset tiedot. Selkeäkielisyys on olennaista: 12 artiklan mukaan tiedot on annettava tiiviisti, läpinäkyvästi, helposti ymmärrettävässä muodossa ja selkeällä kielellä. Tietosuojaseloste rakennetaan sisäisen käsittelytoimien selosteen tiedoista, ja näiden kahden on oltava keskenään yhdenmukaiset.

Tietosuojaselosteen malli

TIETOSUOJASELOSTE Päivitetty [pvm]

1. Rekisterinpitäjä. [Yritys X], Y-tunnus [•], osoite [•], sähköposti [•]. [Mahdollinen tietosuojavastaava: nimi ja yhteystiedot.]

2. Mitä tietoja käsittelemme. Käsittelemme seuraavia henkilötietoja:

  • Tunniste- ja yhteystiedot: nimi, sähköposti, puhelinnumero, osoite
  • Asiakkuustiedot: tilaus-, sopimus- ja maksutiedot
  • Verkkokäyttäytymistiedot: evästeet, IP-osoite, käyttöloki
  • [Muut tarpeelliset ryhmät]

3. Mihin tarkoituksiin ja millä perusteella.

Tarkoitus Käsittelyperuste
Tilausten käsittely ja toimitus Sopimus (6 art. 1 b)
Laskutus ja kirjanpito Lakisääteinen velvoite (6 art. 1 c)
Uutiskirjeet ja markkinointi Suostumus (6 art. 1 a)
Palvelun kehittäminen ja tietoturva Oikeutettu etu (6 art. 1 f)

4. Mistä saamme tiedot. Tiedot saadaan pääosin sinulta itseltäsi. [Jos tietoja saadaan muualta, kerro lähde – 14 artikla.]

5. Kenelle luovutamme tietoja. Luovutamme tietoja seuraaville vastaanottajaryhmille: maksunvälittäjä, kuljetusyhtiö, kirjanpitopalvelu, IT-palveluntarjoajat (henkilötietojen käsittelijät) sekä viranomaiset lakisääteisissä tilanteissa.

6. Siirrämmekö tietoja EU:n ulkopuolelle. [Emme siirrä. / Siirrämme tietoja seuraaviin maihin seuraavin suojatoimin: vakiosopimuslausekkeet (2021/914) / riittävyyspäätös.]

7. Kuinka kauan säilytämme tietoja. Säilytämme tietoja vain niin kauan kuin on tarpeen: asiakassuhteen ajan sekä lakisääteiset säilytysajat (esimerkiksi kirjanpitoaineisto). Tarkemmat säilytysajat: [•].

8. Oikeutesi. Sinulla on oikeus:

  • tarkastaa tietosi (15 art.) ja saada niistä jäljennös;
  • oikaista virheelliset tiedot (16 art.);
  • poistaa tietosi (17 art., “oikeus tulla unohdetuksi”);
  • rajoittaa tai vastustaa käsittelyä (18 ja 21 art.);
  • siirtää tiedot järjestelmästä toiseen (20 art.);
  • peruuttaa suostumus milloin tahansa (7 art.);
  • tehdä valitus Tietosuojavaltuutetun toimistolle. Voit käyttää oikeuksiasi ottamalla yhteyttä: [sähköposti].

9. Evästeet. Käytämme evästeitä [tarkoitukset]. Voit hallita suostumustasi evästeasetuksista. [Linkki evästeselosteeseen.]

10. Automaattinen päätöksenteko. [Emme tee automaattisia päätöksiä. / Teemme automaattisia päätöksiä seuraavasti ja niiden logiikka on: •.]

11. Muutokset. Voimme päivittää tätä selostetta. Ajantasainen versio on aina saatavilla osoitteessa [•].

Näin mukautat mallin

Rakenna seloste käsittelytoimien selosteesta. Älä kopioi geneeristä pohjaa vaan täytä kohdat 2, 3 ja 5 omilla käsittelytoimillasi. Jos käsittelytoimien seloste on kunnossa, tietosuojaseloste syntyy siitä lähes suoraan.

Merkitse jokaiselle tarkoitukselle oikea käsittelyperuste. Älä käytä suostumusta kaikkeen – tilausten toimitus perustuu sopimukseen, laskutus lakisääteiseen velvoitteeseen. Väärä peruste on yleinen virhe, joka paljastuu heti asiantuntijalle.

Ilmoita säilytysajat konkreettisesti. Pelkkä “säilytämme tietoja tarpeellisen ajan” ei riitä. Kytke ajat säilytyksen rajoittamisen periaatteeseen ja kerro pääsäännöt (esimerkiksi asiakassuhteen aika + lakisääteiset ajat).

Kuvaa oikeudet ja niiden käyttötapa. Luettele rekisteröidyn oikeudet, mukaan lukien tarkastusoikeus ja oikeus tulla unohdetuksi, ja anna selkeä kanava niiden käyttämiseen.

Erota evästeseloste omaksi asiakirjakseen ja liitä evästesuostumus asianmukaiseen bannerimekanismiin.

Yleiset virheet

  • Geneerisen pohjan kopioiminen. Netistä kopioitu seloste, joka ei vastaa todellista käsittelyä, on pahempi kuin ei mitään – se on todiste siitä, ettet tunne omaa käsittelyäsi.
  • Suostumuksen ylikäyttö. Kaiken käsittelyn merkitseminen suostumukseksi tekee selosteesta virheellisen ja altistaa käsittelyn peruutuksille.
  • Läpinäkyvyyspuute rekisteröidyn oikeuksista. Postin 100 000 euron seuraamusmaksu perustui juuri siihen, ettei asiakkaita informoitu heidän oikeuksistaan. Oikeudet – etenkin vastustamisoikeus – on kerrottava selkeästi.
  • Selosteen ja käytännön ristiriita. Jos seloste lupaa yhtä ja järjestelmä tekee toista, ristiriita on itsessään rikkomus. Pidä seloste ja käsittelytoimien seloste synkronissa. Legiscopen kaltainen ratkaisu pitää nämä yhtenäisinä linkittämällä ne toisiinsa.
  • Vastaanottajien ja kolmansien maiden salaaminen. Käsittelijät ja EU:n ulkopuoliset siirrot on kerrottava. Näiden puuttuminen on yleinen puute verkkosivujen selosteissa.

Tietosuojavaltuutetun toimisto ohjeistaa informoinnista rekisteröidyn oikeudet -sivullaan. Lakiteksti löytyy GDPR:n 13 ja 14 artiklasta EUR-Lexissä sekä tietosuojalaista (1050/2018).

Läpinäkyvyysvelvoitteen rikkominen kuuluu GDPR 83 artiklan 5 kohdan ylempään sakkoluokkaan, jonka enimmäismäärä on 20 miljoonaa euroa tai 4 prosenttia maailmanlaajuisesta liikevaihdosta. Suomessa Postin tapaus osoittaa, että myös kotimainen valvontaviranomainen puuttuu informoinnin puutteisiin konkreettisin seuraamusmaksuin. Tietosuojaseloste ei siis ole muodollinen liite vaan asiakirja, jonka paikkansapitävyys ja saatavuus valvontaviranomainen tosiasiallisesti tarkastaa – erityisesti kohdat rekisteröidyn oikeuksista, käsittelyperusteista ja vastaanottajista, jotka ovat yleisimpiä puutteiden lähteitä.

Sijoittelu, saavutettavuus ja selkeäkielisyys

Tietosuojaseloste ei täytä tarkoitustaan, jos rekisteröity ei löydä tai ymmärrä sitä. 12 artikla edellyttää, että tiedot annetaan tiiviisti, läpinäkyvästi, helposti saatavilla ja selkeällä kielellä. Tämä koskee sekä sisältöä että sijoittelua.

Sijoittelu. Tietosuojaseloste kuuluu paikkaan, josta rekisteröity löytää sen helposti – tyypillisesti verkkosivun alatunnisteeseen pysyvänä linkkinä sekä jokaisen henkilötietoja keräävän lomakkeen yhteyteen. Lomakkeella riittää tiivis tietoisku ja linkki täydelliseen selosteeseen (kerroksittainen malli), jotta olennaiset tiedot ovat läsnä keräyshetkellä ilman että lomake hukkuu tekstiin.

Selkeäkielisyys. Vältä juridista jargonia. “Käsittelemme henkilötietojasi oikeutetun etumme perusteella” on selkeämpää muodossa “Käytämme tietojasi palvelumme kehittämiseen ja tietoturvaan, mikä on oikeutettu etumme”. Lyhyet lauseet, väliotsikot ja taulukot parantavat ymmärrettävyyttä. Jos palvelu on suunnattu lapsille, kielen on oltava erityisen yksinkertaista.

Kerroksittainen malli. Laaja seloste kannattaa jäsentää kerroksiin: ylimpänä tiivistelmä keskeisistä asioista (kuka, mitä, miksi, oikeudet), jonka alta pääsee yksityiskohtiin. Näin rekisteröity saa nopeasti kokonaiskuvan ja voi porautua tarkemmin haluamaansa kohtaan.

Päivittäminen. Merkitse selosteeseen viimeisin päivityspäivä ja pidä se yhdenmukaisena käsittelytoimien selosteen kanssa. Kun käsittelytoimet muuttuvat, päivitä molemmat. Olennaisista muutoksista on syytä tiedottaa rekisteröidyille erikseen, ei vain päivittää selostetta hiljaisesti.

Monikielisyys. Jos tarjoat palvelua usealla kielellä, tietosuojaseloste on käytännössä annettava samoilla kielillä, joilla palvelua markkinoidaan ja tarjotaan – selkeäkielisyyden vaatimus ei täyty, jos suomenkielinen asiakas saa tietosuojatiedot vain englanniksi. Varmista myös, että käännökset pysyvät sisällöltään yhdenmukaisina: kun päivität yhtä kieliversiota, päivitä kaikki. Ristiriitaiset kieliversiot ovat itsessään läpinäkyvyysriski, koska rekisteröity ei voi tietää, mikä versio pätee. Käytännössä yksi lähdedokumentti, josta käännökset johdetaan, pitää versiot linjassa.

Usein kysytyt kysymykset

Mitä eroa on tietosuojaselosteella ja käsittelytoimien selosteella?

Tietosuojaseloste on rekisteröidyille suunnattu, selkeäkielinen julkinen asiakirja (13–14 artikla). Käsittelytoimien seloste on sisäinen, kattavampi asiakirja osoitusvelvollisuutta varten (30 artikla). Ne rakennetaan samoista tiedoista, mutta niiden yleisö ja tarkoitus eroavat.

Onko tietosuojaseloste pakollinen verkkosivulla?

Kyllä. Jos verkkosivu kerää henkilötietoja – esimerkiksi yhteydenottolomakkeella, verkkokaupassa tai evästeillä – 13 artikla velvoittaa antamaan tietosuojatiedot. Käytännössä jokaisella henkilötietoja käsittelevällä verkkosivulla on oltava tietosuojaseloste.

Voiko käyttää valmista pohjaa sellaisenaan?

Pohjaa voi käyttää rakenteena, mutta sisältö on aina mukautettava todelliseen käsittelyyn. Geneerinen seloste, joka ei vastaa käytäntöä, on virheellinen ja voi itsessään olla läpinäkyvyysvelvoitteen vastainen.

Milloin sovelletaan 14 artiklaa 13 artiklan sijaan?

13 artiklaa sovelletaan, kun tiedot kerätään rekisteröidyltä itseltään. 14 artiklaa sovelletaan, kun tiedot on saatu muualta (esimerkiksi ostetusta markkinointirekisteristä). 14 artikla edellyttää lisäksi kertomaan tietojen lähteen ja antamaan tiedot tietyssä määräajassa.

Onko evästeseloste sama kuin tietosuojaseloste?

Ei. Tietosuojaseloste kuvaa henkilötietojen käsittelyn kokonaisuutena (13–14 artikla), kun taas evästeseloste keskittyy verkkosivun evästeisiin ja vastaaviin seurantatekniikoihin. Ne kannattaa pitää erillisinä asiakirjoina ja linkittää toisiinsa. Evästeisiin liittyy lisäksi sähköisen viestinnän sääntelyä, joka täydentää GDPR:ää.

Kuinka usein tietosuojaseloste on päivitettävä?

Aina, kun käsittely muuttuu olennaisesti: uusi tarkoitus, uusi vastaanottaja, muuttunut säilytysaika tai uusi käsittelyperuste. Merkitse selosteeseen päivityspäivä ja pidä se yhdenmukaisena käsittelytoimien selosteen kanssa. Olennaisista muutoksista on syytä tiedottaa rekisteröidyille erikseen.

Yhteenveto

Tietosuojaselosteen malli kokoaa GDPR 13–14 artiklan pakolliset tiedot: rekisterinpitäjä, käsiteltävät tiedot, tarkoitukset ja perusteet, vastaanottajat, kolmansien maiden siirrot, säilytysajat, rekisteröidyn oikeudet, evästeet ja automaattinen päätöksenteko. Rakenna seloste käsittelytoimien selosteesta, merkitse oikeat käsittelyperusteet, ilmoita säilytysajat konkreettisesti ja kuvaa oikeudet selkeästi. Vältä geneeristä kopiointia ja pidä seloste yhdenmukaisena todellisen käsittelyn kanssa – läpinäkyvyyspuute on jo johtanut merkittäviin seuraamusmaksuihin Suomessa.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →