Suomessa on GDPR:n voimaantulon jälkeen määrätty yhteensä yli viiden miljoonan euron edestä hallinnollisia seuraamusmaksuja, joskin osa suurimmista on ollut hallintotuomioistuinten käsittelyssä tai kumottu. Suurin lainvoimaa lähestyvä maksu on Verkkokauppa.com Oyj:lle 2024 määrätty 856 000 euroa, ja suurin ylipäätään määrätty on Postin OmaPosti-palvelusta 2,4 miljoonaa euroa (kumottu hallinto-oikeudessa). Tunnetuin tapaus on Psykoterapiakeskus Vastaamo (608 000 €). Tämä katsaus kokoaa verifioidut suomalaiset seuraamusmaksut, niiden perusteet ja käytännön oppitunnit.
Suomalaisten seuraamusmaksujen luonne
Suomalainen valvontakäytäntö on ollut maltillisempaa kuin esimerkiksi Irlannissa tai Ranskassa. Maksut määrää tietosuojavaltuutetun toimiston seuraamuskollegio, ja ne perustuvat usein kanteluihin. Painopiste on ollut perusvelvoitteissa: rekisteröidyn oikeuksien toteuttaminen, säilytysaikojen määrittely ja tietoturva – ei niinkään mainonnan tai suostumuksen teknisissä yksityiskohdissa. Seuraamusten kansallinen perusta on GDPR:ää täydentävässä tietosuojalaissa (1050/2018), ja viranomaisen ratkaisut julkaistaan tietosuojavaltuutetun toimiston sivuilla.
Verifioidut seuraamusmaksut Suomessa
Alla olevat tapaukset perustuvat tietosuojavaltuutetun toimiston ja Euroopan tietosuojaneuvoston (EDPB) tiedotteisiin.
| Yritys | Seuraamusmaksu | Vuosi | Rikkomus | Tilanne |
|---|---|---|---|---|
| Posti (OmaPosti) | 2 400 000 € | 2024 | Automaattinen postilaatikko, läpinäkymätön viestintä | Kumottu hallinto-oikeudessa (huomautus voimassa) |
| Verkkokauppa.com Oyj | 856 000 € | 2024 | Säilytysajan määrittelemättä jättäminen, pakollinen tili | Valitusprosessissa |
| Alektum Oy | 750 000 € | 2023 | Tietopyyntöihin vastaamatta jättäminen, viranomaisen välttely | Voimassa |
| Psykoterapiakeskus Vastaamo | 608 000 € | 2021 | Vakavat tietoturvapuutteet (5(1)(f), 33, 34 art.) | Voimassa |
| Viking Line | 230 000 € | 2023 | Työntekijöiden terveystietojen käsittely | Voimassa |
| Posti (osoitteenmuutokset) | 100 000 € | 2020 | Puutteellinen informointi oikeuksista | Vahvistettu KHO:ssa 2023 |
| Otavamedia | 85 000 € | 2022 | Puutteet rekisteröidyn oikeuksien toteuttamisessa | Voimassa |
| Kymen Vesi Oy | 16 000 € | 2020 | Puuttuva vaikutustenarviointi (ajoneuvoseuranta) | Voimassa |
| Työnhaku-tapaus (nimetön) | 12 500 € | 2020 | Tarpeettomien erityistietojen kerääminen | Voimassa |
Suurimmat tapaukset tarkemmin
Psykoterapiakeskus Vastaamo (608 000 €). Suomen tunnetuin tietosuojatapaus. Kaksi tietomurtoa (marraskuu 2018 ja maaliskuu 2019) paljastivat arkaluonteisia potilastietoja, joita käytettiin myöhemmin kiristykseen. Vastaamo ei ilmoittanut loukkauksesta viranomaiselle eikä asianosaisille ajoissa. Maksu jakautui: 5(1)(f) artiklan tietoturva 316 800 €, 33 artiklan ilmoitusvelvollisuus 145 600 € ja 34 artiklan tiedottaminen rekisteröidyille 145 600 €.
Verkkokauppa.com (856 000 €). Suurin lainvoimaa lähestyvä maksu. Yhtiö oli tietoisesti jättänyt määrittelemättä asiakastilien tietojen säilytysajan ja vaati asiakkailta tilin luomista ostoksen tekemiseksi. Kummankin katsottiin rikkovan GDPR:ää.
Alektum Oy (750 000 €). Perintätoimisto jätti toistuvasti vastaamatta rekisteröityjen tietopyyntöihin ja vältteli valvontaviranomaista tutkinnan aikana. Tapaus osoittaa, että sekä laiminlyönti että viranomaisyhteistyön puute korottavat maksua.
Viking Line (230 000 €). Varustamo oli säilyttänyt työntekijöiden sairauspoissaolojen diagnooseja HR-järjestelmässä jopa 20 vuotta. Tapaus koski työelämän tietosuojan tarpeellisuusvaatimusta ja terveystietojen käsittelyä.
Mitä seuraamuksista voi oppia?
Suomalaiset tapaukset paljastavat kolme toistuvaa riskialuetta:
- Rekisteröidyn oikeudet. Alektum, Otavamedia ja Viking Line saivat maksun osin tietopyyntöjen laiminlyönnistä. Toimiva tietopyyntöprosessi määräaikalaskureineen on välttämätön.
- Säilytysajat. Verkkokauppa.com:n tapaus osoittaa, että säilytysaikojen määrittely on pakollista. Ne kuuluvat käsittelytoimien selosteeseen.
- Tietoturva ja ilmoitusvelvollisuus. Vastaamon tapaus korostaa 72 tunnin ilmoitusvelvollisuutta ja dokumentoituja tietoturvatoimia.
Suomi eurooppalaisessa mittakaavassa
Suomalaiset seuraamusmaksut ovat kansainvälisesti maltillisia. Vertailun vuoksi: Irlannin tietosuojaviranomainen (DPC) määräsi Metalle 1,2 miljardin euron sakon vuonna 2023 laittomista tiedonsiirroista Yhdysvaltoihin, ja Luxemburgin CNPD määräsi Amazonille 746 miljoonan euron maksun vuonna 2021. Nämä kohdistuvat suuriin monikansallisiin alustayhtiöihin, joiden liikevaihto on Suomen suurimpiakin rekisterinpitäjiä moninkertainen – GDPR 83 artiklan liikevaihtoon sidottu enimmäismäärä (4 %) tuottaa niillä aivan eri suuruusluokan. Suomessa painopiste on ollut kotimaisissa keskisuurissa toimijoissa ja perusvelvoitteissa. Rekisterinpitäjän kannalta olennaista ei kuitenkaan ole absoluuttinen euromäärä vaan se, että samat rikkomustyypit – tietoturva, säilytysajat, rekisteröidyn oikeudet – toistuvat kaikkialla EU:ssa. Asetuksen 83 artiklan sakkokehys on sama Helsingissä ja Dublinissa.
Näkymät 2026
Kaksi kehitystä muokkaa valvontaa. Ensinnäkin hallitus on esittänyt lakimuutosta, joka mahdollistaisi seuraamusmaksut myös viranomaisille ja julkisen hallinnon organisaatioille, jotka ovat tähän asti olleet niiden ulkopuolella. Toiseksi muutoksenhaun merkitys korostuu: hallinto-oikeudet ovat sekä kumonneet (Posti OmaPosti) että vahvistaneet (Posti osoitteenmuutokset KHO 2023) maksuja. Rekisterinpitäjän kannalta johtopäätös on selvä – dokumentaation laatu ratkaisee sekä valvonnassa että mahdollisessa oikeudenkäynnissä. Legiscope tuottaa tämän dokumentaation EU-isännöinnissä. Vertaa myös muihin maihin: CNIL:n seuraamukset ja UODO:n kanta Puolassa.
Muut tapaukset ja niiden opetukset
Suurimpien tapausten ohella pienemmät seuraamusmaksut piirtävät tarkan kuvan siitä, mihin suomalainen valvonta kohdistuu.
Posti (osoitteenmuutokset), 100 000 € (2020). Posti oli informoinut asiakkaita puutteellisesti näiden oikeuksista osoitteenmuutostietojen käsittelyssä. Tapaus on periaatteellisesti tärkeä, koska seuraamusmaksu eteni hallintotuomioistuinten kautta ja vahvistettiin lopulta korkeimmassa hallinto-oikeudessa 2023. Se osoittaa, että myös läpinäkyvyyden ja informoinnin puutteet ovat itsenäinen seuraamusperuste.
Kymen Vesi Oy, 16 000 € (2020). Vesihuoltoyhtiö oli ottanut käyttöön ajoneuvojen paikannuksen tekemättä lakisääteistä vaikutustenarviointia. Korkean riskin käsittely ilman DPIA:ta on itsenäinen rikkomus riippumatta siitä, aiheutuuko rekisteröidyille konkreettista vahinkoa.
Työnhakutapaus (nimetön), 12 500 € (2020). Työnantaja oli kerännyt työnhakijoilta tarpeettomia erityisiä henkilötietoryhmiä. Tapaus konkretisoi työelämän tarpeellisuusvaatimusta: vain työtehtävän kannalta välittömästi tarpeelliset tiedot ovat sallittuja.
Yhdessä nämä tapaukset osoittavat, että maksun voi saada myös ilman laajaa tietomurtoa tai suurta rekisteröityjen joukkoa – pelkkä perusvelvoitteen laiminlyönti riittää. Toinen yhteinen piirre on, että moni maksu olisi ollut vältettävissä yksinkertaisella etukäteisdokumentaatiolla: säilytysajan kirjaamisella, vaikutustenarvioinnilla tai tietopyyntöön vastaamisen prosessilla. Valvonta ei siis palkitse monimutkaisia järjestelyjä vaan perusasioiden järjestelmällistä hoitamista.
Näin seuraamusmaksu määräytyy
Suomessa seuraamusmaksun määrää tietosuojavaltuutetun toimiston seuraamuskollegio – tietosuojavaltuutettu ja kaksi apulaistietosuojavaltuutettua yhdessä. Kollegio arvioi maksun edellytykset ja suuruuden GDPR:n 83 artiklan mukaan. Käytännössä maksuun ja sen määrään vaikuttavat:
| Peruste | Vaikutus maksuun |
|---|---|
| Rikkomuksen vakavuus ja kesto | Korottava |
| Tahallisuus vai huolimattomuus | Tahallisuus korottaa |
| Rekisteröityjen määrä ja vahinko | Korottava |
| Yhteistyö viranomaisen kanssa | Alentava; välttely korottaa |
| Tietoturvatoimien taso | Puutteet korottavat |
| Aiemmat rikkomukset | Korottava |
Alektum Oy:n 750 000 euron tapaus osoittaa yhteistyön puutteen hinnan: viranomaisen välttely tutkinnan aikana oli itsenäinen korottava tekijä. Vastaavasti dokumentoidut suojatoimet ja avoin yhteistyö voivat pienentää maksua. Enimmäismäärä on 20 miljoonaa euroa tai 4 % maailmanlaajuisesta liikevaihdosta.
Seuraamusmaksun elinkaari
Suomalainen seuraamusmaksu ei ole yleensä prosessin päätepiste, vaan usein sen keskikohta. Tyypillinen kulku:
- Kantelu tai oma-aloitteinen tutkinta. Suuri osa maksuista on saanut alkunsa rekisteröityjen kanteluista.
- Selvitys ja kuuleminen. Rekisterinpitäjää kuullaan ennen päätöstä.
- Seuraamuskollegion päätös. Kollegio päättää maksusta ja sen määrästä.
- Muutoksenhaku hallinto-oikeuteen ja edelleen KHO:hon. Posti-tapaukset osoittavat, että lopputulos voi muuttua kumpaankin suuntaan.
Tämä elinkaari selittää, miksi Suomen “yli viiden miljoonan euron” kokonaissumma on osin liikkuva: osa suurimmista maksuista on kumottu tai edelleen valitusprosessissa. Vertailu muihin maihin auttaa suhteuttamaan: CNIL:n seuraamukset Ranskassa ja UODO:n linja Puolassa. Yleiskuva EU:n GDPR-sakoista täydentää kuvaa.
Valvonnan kustannus rekisterinpitäjälle
Suomalainen valvonta kohdistuu perusvelvoitteisiin, joiden ylläpito on jatkuvaa työtä. Manuaalinen tietosuojatyö vie pk-yrityksessä helposti 600–1 800 tuntia vuodessa, kun selosteet, säilytysajat, tietopyynnöt ja loukkausdokumentaatio pidetään ajan tasalla käsin. Juuri nämä ovat samat kohdat, joista suomalaiset seuraamusmaksut on määrätty – syynä on tyypillisesti dokumentaation puute tai vanhentuneisuus, ei niinkään tahallinen väärinkäyttö. Compliance-ohjelmisto vähentää tätä työmäärää tavallisesti 70–90 %, mikä tekee dokumentaation ylläpidosta kestävää myös pienemmille organisaatioille. Kun sekä valvonta että mahdollinen muutoksenhaku ratkeavat dokumentaation laadulla, kyse ei ole vain oikeudellisesta vaan myös resurssien kohdentamisen kysymyksestä. Näkökulmaa ohjelmiston valintaan ja hintaan avaavat tietosuojaohjelmiston hinta ja GDPR-ohjelmisto pk-yrityksille.
Usein kysytyt kysymykset
Mikä on suurin tietosuojaseuraamus Suomessa?
Suurin määrätty maksu on Postin OmaPosti-palvelusta annettu 2,4 miljoonaa euroa (2024), mutta hallinto-oikeus kumosi sen. Suurin voimassa oleva ja lainvoimaa lähestyvä on Verkkokauppa.com Oyj:n 856 000 euroa.
Kuinka paljon Suomessa on määrätty tietosuojasakkoja?
GDPR:n voimaantulon jälkeen yhteensä yli viisi miljoonaa euroa, kun lasketaan yhteen määrätyt seuraamusmaksut. Osa suurimmista on kuitenkin ollut tuomioistuinkäsittelyssä tai kumottu.
Voiko julkiselle sektorille määrätä tietosuojasakkoja Suomessa?
Toistaiseksi ei samalla tavalla kuin yrityksille. Hallitus on kuitenkin esittänyt lakimuutosta, joka mahdollistaisi seuraamusmaksut myös viranomaisille ja julkisen hallinnon organisaatioille.
Mistä suomalaiset seuraamusmaksut yleensä johtuvat?
Yleisimmät perusteet ovat rekisteröidyn oikeuksien laiminlyönti (esim. Alektum, Otavamedia), säilytysaikojen määrittelemättä jättäminen (Verkkokauppa.com) ja tietoturvapuutteet ilmoitusvelvollisuuden laiminlyönnin kanssa (Vastaamo). Painopiste on perusvelvoitteissa, ei mainonnan teknisissä yksityiskohdissa.
Kuka määrää seuraamusmaksun Suomessa?
Tietosuojavaltuutetun toimiston seuraamuskollegio, jonka muodostavat tietosuojavaltuutettu ja kaksi apulaistietosuojavaltuutettua. Maksu voi olla enintään 20 miljoonaa euroa tai 4 % maailmanlaajuisesta liikevaihdosta.
Yhteenveto
Suomalaiset tietosuojaseuraamukset ovat kasvaneet: Verkkokauppa.com 856 000 €, Alektum 750 000 €, Vastaamo 608 000 € ja Posti OmaPosti 2,4 M€ (kumottu). Valvonta kohdistuu rekisteröidyn oikeuksiin, säilytysaikoihin ja tietoturvaan – juuri niihin perusvelvoitteisiin, joita manuaalinen työ helposti laiminlyö. Muutoksenhaku on Suomessa aktiivista, joten dokumentaation laatu ratkaisee. Katso kansallinen konteksti tietosuoja Suomessa ja viranomaisen rooli tietosuojavaltuutettu-oppaasta.
Viimeksi tarkistettu: heinäkuu 2026.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial