Tietosuoja

Tietosuojavaltuutettu 2026: rooli, toimivalta ja seuraamuskollegio

Tietosuojavaltuutettu 2026: toimiston rooli, seuraamuskollegion toimivalta, kantelut ja tarkastukset. Näin Suomen tietosuojaviranomainen toimii ja määrää seuraamusmaksut.

Also available in:English·Polski·et

Tietosuojavaltuutettu on Suomen kansallinen tietosuojan valvontaviranomainen, joka valvoo GDPR:n ja tietosuojalain (1050/2018) noudattamista. Valtuutettu johtaa tietosuojavaltuutetun toimistoa (Office of the Data Protection Ombudsman), jossa työskentelee myös kaksi apulaistietosuojavaltuutettua. Viranomainen käsittelee kanteluita, antaa ohjausta, tekee tarkastuksia ja voi määrätä korjaavia toimenpiteitä. Hallinnolliset seuraamusmaksut määrää erillinen seuraamuskollegio. Tässä oppaassa käydään läpi viranomaisen rooli, toimivalta ja käytännön menettelyt.

Mikä on tietosuojavaltuutetun toimisto?

Tietosuojavaltuutetun toimisto on itsenäinen ja riippumaton viranomainen, joka toimii oikeusministeriön hallinnonalalla. Se on Suomen GDPR:n mukainen valvontaviranomainen. Toimiston tehtäviin kuuluu tietosuojalainsäädännön noudattamisen valvonta, rekisteröityjen neuvonta, kanteluiden käsittely, tarkastusten tekeminen ja osallistuminen Euroopan tietosuojaneuvoston (EDPB) toimintaan.

Virallinen tietolähde on tietosuoja.fi, josta löytyvät viranomaisen ohjeet, päätökset ja tiedotteet. Kansallinen konteksti: tietosuoja Suomessa.

Tietosuojavaltuutetun toimisto ei toimi eristyksissä. Se on jäsen Euroopan tietosuojaneuvostossa (EDPB), joka kokoaa kaikkien EU-maiden valvontaviranomaiset ja antaa yhtenäisiä suuntaviivoja GDPR:n tulkinnasta. Tämä tarkoittaa, että suomalaista rekisterinpitäjää eivät sido pelkästään kotimaiset ohjeet, vaan myös EDPB:n eurooppalaajuiset kannanotot esimerkiksi suostumuksesta, tietoturvaloukkauksista ja tiedonsiirroista. Ajantasaiset suuntaviivat julkaistaan Euroopan tietosuojaneuvoston sivuilla. Käytännössä tietosuojavaltuutettu soveltaa näitä suuntaviivoja omassa ratkaisukäytännössään, joten niiden seuraaminen ennakoi myös kotimaista valvontalinjaa.

Kuka määrää seuraamusmaksut?

Keskeinen suomalainen erityispiirre on, ettei tietosuojavaltuutettu määrää seuraamusmaksuja yksin. Hallinnolliset seuraamusmaksut määrää seuraamuskollegio, jonka muodostavat tietosuojavaltuutettu ja kaksi apulaistietosuojavaltuutettua. Tämä kollegiaalinen malli on tarkoitettu vahvistamaan päätösten oikeusvarmuutta.

Seuraamusmaksu voi olla enintään 20 miljoonaa euroa tai neljä prosenttia yrityksen edeltävän tilikauden maailmanlaajuisesta liikevaihdosta sen mukaan, kumpi on suurempi. Suomessa suurimmat maksut ovat olleet:

Yritys Seuraamusmaksu Vuosi
Verkkokauppa.com Oyj 856 000 € 2024
Alektum Oy 750 000 € 2023
Psykoterapiakeskus Vastaamo 608 000 € 2021
Viking Line 230 000 € 2023

Kattava katsaus: tietosuojaseuraamukset Suomessa 2025.

Tietosuojavaltuutetun toimivalta

GDPR:n 58 artikla antaa valvontaviranomaiselle laajat tutkinta- ja korjausvaltuudet. Suomessa nämä jakautuvat tietosuojavaltuutetun ja seuraamuskollegion kesken.

Valtuus Sisältö
Tutkintavaltuudet Tietojen pyytäminen, tarkastukset, pääsy tiloihin
Huomautus ja varoitus Kevyemmät korjaavat toimet
Määräys Käsittelyn saattaminen lainmukaiseksi
Käsittelyn rajoittaminen Väliaikainen tai pysyvä kielto
Seuraamusmaksu Seuraamuskollegion päätöksellä

Viranomaisen päätöksiin voi hakea muutosta hallinto-oikeudesta ja edelleen korkeimmasta hallinto-oikeudesta. Tämä muutoksenhaku on Suomessa merkittävä: esimerkiksi Postin vuoden 2020 osoitteenmuutosmaksu (100 000 €) kumottiin ensin hallinto-oikeudessa mutta vahvistettiin lopulta korkeimmassa hallinto-oikeudessa 2023, kun taas Postin OmaPosti-maksu (2,4 milj. €) kumottiin hallinto-oikeudessa.

Miten kantelu käsitellään?

Rekisteröity voi tehdä kantelun tietosuojavaltuutetun toimistolle, jos hän epäilee henkilötietojensa käsittelyn rikkovan lainsäädäntöä. Viranomainen tutkii asian, pyytää rekisterinpitäjältä selvityksen ja tekee päätöksen. Monet suomalaiset seuraamusmaksut ovat saaneet alkunsa juuri kanteluista – esimerkiksi Otavamedia-tapaus perustui yhteentoista kanteluun rekisteröidyn oikeuksien laiminlyönnistä.

Rekisterinpitäjän kannattaa varautua tarkastukseen pitämällä käsittelytoimien seloste ajan tasalla ja tietopyyntöprosessi toimivana. Nämä ovat lähes aina ensimmäiset tarkastettavat asiat. Legiscope auttaa dokumentoimaan nämä velvoitteet EU-isännöinnissä ja tuottamaan viranomaiselle esitettävän aineiston.

Näin kantelu etenee vaihe vaiheelta

Kantelun käsittely tietosuojavaltuutetun toimistossa noudattaa vakiintunutta menettelyä, joka pohjautuu hallintolakiin ja GDPR:ään. Rekisteröity voi tehdä kantelun maksutta ja ilman määrämuotoa, jos hän epäilee henkilötietojensa käsittelyn rikkovan lainsäädäntöä. Käytännössä prosessi etenee seuraavasti:

  1. Vireilletulo. Kantelu kirjataan ja sen tutkittavuus arvioidaan. Viranomainen voi pyytää kantelijalta täydennystä.
  2. Selvityspyyntö rekisterinpitäjälle. Toimisto pyytää rekisterinpitäjältä kirjallisen selvityksen käsittelyn oikeusperusteesta, säilytysajoista ja toteutetuista suojatoimista. Tämä on menettelyn ratkaiseva vaihe: puutteellinen tai viivytelty vastaus kääntyy rekisterinpitäjää vastaan.
  3. Kuuleminen. Osapuolia kuullaan hallintolain mukaisesti ennen päätöstä.
  4. Ratkaisu. Tietosuojavaltuutettu antaa päätöksen, joka voi olla asian raukeaminen, ohjaus, huomautus, määräys tai asian siirto seuraamuskollegiolle seuraamusmaksun harkintaa varten.

Rekisterinpitäjän tärkein taktinen ohje on yksinkertainen: vastaa selvityspyyntöihin ajoissa ja kattavasti. Alektum Oy:n 750 000 euron tapauksessa nimenomaan viranomaisen välttely tutkinnan aikana oli itsenäinen maksua korottava tekijä.

Tarkastus ja tutkintavaltuudet käytännössä

GDPR:n 58 artikla antaa valvontaviranomaiselle laajat tutkintavaltuudet, jotka Suomessa kuuluvat tietosuojavaltuutetulle. Viranomainen voi pyytää kaikki tarpeelliset tiedot, tehdä tarkastuksia rekisterinpitäjän tiloissa ja saada pääsyn henkilötietoihin ja käsittelyjärjestelmiin. Tarkastus voidaan käynnistää joko kantelun perusteella tai oma-aloitteisesti.

Käytännössä tarkastus keskittyy dokumentaatioon. Ensimmäisenä pyydetään lähes aina käsittelytoimien seloste, tietosuojaselosteet, vaikutustenarvioinnit sekä näyttö tietopyyntöjen käsittelystä määräajassa. Jos nämä ovat ajan tasalla, rekisterinpitäjä on jo osoittanut GDPR:n 5(2) artiklan mukaista osoitusvelvollisuutta (accountability). Puuttuva dokumentaatio johtaa herkästi korjaaviin toimiin, vaikka itse käsittely olisi sisällöltään lainmukaista.

Seuraamuskollegion päätöksenteko

Suomalainen erityispiirre on, ettei hallinnollista seuraamusmaksua voi määrätä tietosuojavaltuutettu yksin, vaan seuraamuskollegio – tietosuojavaltuutettu ja kaksi apulaistietosuojavaltuutettua. Kollegio arvioi maksun edellytykset ja suuruuden GDPR:n 83 artiklan kriteerien mukaan:

Peruste Vaikutus
Rikkomuksen luonne, vakavuus ja kesto Korottava
Tahallisuus vai huolimattomuus Tahallisuus korottaa
Rekisteröityjen määrä ja aiheutunut vahinko Korottava
Yhteistyö viranomaisen kanssa Alentava; välttely korottaa
Toteutetut tietoturvatoimet Puutteet korottavat
Aiemmat rikkomukset Korottava

Enimmäismaksu on 20 miljoonaa euroa tai neljä prosenttia maailmanlaajuisesta liikevaihdosta sen mukaan, kumpi on suurempi. Käytännössä toteutuneet maksut ovat olleet tätä ylärajaa selvästi maltillisempia, kuten tietosuojaseuraamukset 2025 -katsaus osoittaa.

Muutoksenhaku: hallinto-oikeudesta korkeimpaan hallinto-oikeuteen

Viranomaisen ja seuraamuskollegion päätöksiin haetaan muutosta hallintotuomioistuimista. Ensimmäinen aste on hallinto-oikeus, jonka päätöksestä voi valittaa edelleen korkeimpaan hallinto-oikeuteen (KHO); jälkimmäinen edellyttää yleensä valituslupaa. Menettely on kirjallista, ja tuomioistuin arvioi sekä seuraamusmaksun edellytykset että sen määrän oikeasuhtaisuuden.

Muutoksenhaku on Suomessa poikkeuksellisen aktiivista, kuten edellä kuvatut Postin tapaukset osoittavat: sama viranomaispäätös voi kumoutua alemmassa asteessa tai vahvistua ylemmässä. Rekisterinpitäjän kannalta tämä tarkoittaa kahta asiaa. Seuraamusmaksu ei ole aina lopullinen – mutta puolustautuminen edellyttää aukotonta dokumentaatiota käsittelyn lainmukaisuudesta. Tuomioistuin ei korjaa jälkikäteen sitä, mikä olisi pitänyt dokumentoida jo käsittelyhetkellä.

Tietosuojavaltuutettu ja kansallinen erityislainsäädäntö

Tietosuojavaltuutettu valvoo GDPR:n lisäksi kansallista tietosuojalakia (1050/2018), joka täydentää asetusta kansallisen liikkumavaran osalta. Keskeisiä kohtia:

  • Ikäraja. Tietoyhteiskunnan palveluissa lapsen antama suostumus on pätevä 13 vuoden iästä alkaen.
  • Henkilötunnus. Tietosuojalain 29 § rajaa henkilötunnuksen käsittelyn tarkoin määriteltyihin tilanteisiin.
  • Työelämä. Laki yksityisyyden suojasta työelämässä (759/2004) asettaa tarpeellisuusvaatimuksen: työnantaja saa käsitellä vain työsuhteen kannalta välittömästi tarpeellisia tietoja. Tämän vaatimuksen rikkomisesta oli kyse Viking Linen 230 000 euron tapauksessa, jossa työntekijöiden diagnoositietoja oli säilytetty jopa 20 vuotta.

Rekisterinpitäjän kannattaa tuntea myös organisaationsa tietosuojavastaavan tehtävät ja GDPR:n ydinvelvoitteet, sillä juuri niiden dokumentointi on tarkastuksen ytimessä.

Rekisterinpitäjän keskeiset määräajat

Valvonnassa toistuvat samat määräajat, joiden noudattamista tietosuojavaltuutettu tarkastaa. Niiden hallinta on käytännön compliance-työn ydin:

Velvoite Määräaika Peruste
Tietopyyntöön vastaaminen 1 kuukausi (voidaan pidentää 2 kk:lla) GDPR 12 art.
Tietoturvaloukkauksen ilmoitus viranomaiselle 72 tuntia GDPR 33 art.
Rekisteröidyn informointi vakavassa loukkauksessa Ilman aiheetonta viivytystä GDPR 34 art.
Selvitys valvontaviranomaiselle Viranomaisen asettamassa ajassa GDPR 58 art.

Määräaikojen laiminlyönti on toistunut suomalaisissa tapauksissa: Vastaamo laiminlöi 33 ja 34 artiklan ilmoitusvelvollisuudet. Toimiva tietopyyntöprosessi määräaikalaskureineen ja dokumentoitu loukkausten ilmoitusprosessi ovat siksi valvonnan kannalta keskeisimmät hallintakeinot – ne ovat myös ensimmäiset asiat, jotka viranomainen tarkastuksessa pyytää.

Tietosuojavaltuutettu osallistuu myös Euroopan tietosuojaneuvoston (EDPB) rajat ylittävään yhteistyöhön. Kun suomalaisen rekisterinpitäjän käsittely ulottuu useaan jäsenvaltioon, asiaa voidaan käsitellä yhden luukun (one-stop-shop) mekanismissa yhdessä muiden viranomaisten kanssa. Tällöin korostuu myös rajat ylittävien tiedonsiirtojen dokumentaatio, jonka viranomainen voi tarkastuksessa pyytää.

Usein kysytyt kysymykset

Mikä on tietosuojavaltuutetun tehtävä?

Tietosuojavaltuutettu valvoo GDPR:n ja tietosuojalain noudattamista Suomessa: käsittelee kanteluita, neuvoo, tekee tarkastuksia ja voi määrätä korjaavia toimenpiteitä. Valtuutettu johtaa tietosuojavaltuutetun toimistoa.

Kuka määrää tietosuojasakot Suomessa?

Seuraamuskollegio, jonka muodostavat tietosuojavaltuutettu ja kaksi apulaistietosuojavaltuutettua. Maksu voi olla enintään 20 miljoonaa euroa tai 4 % maailmanlaajuisesta liikevaihdosta.

Voiko tietosuojavaltuutetun päätökseen hakea muutosta?

Kyllä. Päätöksiin voi hakea muutosta hallinto-oikeudesta ja edelleen korkeimmasta hallinto-oikeudesta. Suomessa useita seuraamusmaksuja on käsitelty tuomioistuimissa, ja osa on kumottu tai muutettu.

Miten teen kantelun tietosuojavaltuutetulle?

Kantelun voi tehdä maksutta tietosuojavaltuutetun toimistolle, jos epäilee henkilötietojensa käsittelyn rikkovan lainsäädäntöä. Toimisto pyytää rekisterinpitäjältä selvityksen, kuulee osapuolia ja antaa päätöksen. Ennen kantelua kannattaa yleensä olla yhteydessä suoraan rekisterinpitäjään.

Mikä on seuraamuskollegio?

Seuraamuskollegio on tietosuojavaltuutetun ja kahden apulaistietosuojavaltuutetun muodostama kokoonpano, joka päättää hallinnollisista seuraamusmaksuista. Kollegiaalinen malli on suomalainen erityispiirre, jonka tarkoituksena on vahvistaa päätösten oikeusvarmuutta ja yhdenmukaisuutta.

Yhteenveto

Tietosuojavaltuutettu on Suomen tietosuojan valvontaviranomainen, joka johtaa tietosuojavaltuutetun toimistoa. Erityispiirteenä hallinnolliset seuraamusmaksut määrää seuraamuskollegio – valtuutettu ja kaksi apulaisvaltuutettua yhdessä. Maksut voivat nousta 20 miljoonaan euroon, ja päätöksiin voi hakea muutosta hallintotuomioistuimista. Rekisterinpitäjän paras suoja on ajantasainen dokumentaatio ja toimiva tietopyyntöprosessi. Katso myös tietosuojaseuraamukset 2025.

Viimeksi tarkistettu: heinäkuu 2026.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →