Siirry pääsisältöön
  • ENG
  • FIN
LKOS Law Office
  • Etusivu
  • Henkilöstömme
    • Oscari Seppälä
    • Liene Krumina
    • Elvira Vainio
    • Ieva Azanda
  • Palvelumme
    • Sopimusoikeus
    • Yhtiöoikeus
    • Oikeudenkäynti | Riidanratkaisu
    • Työoikeus
    • ESG
    • Vakuutusoikeus
    • Tullaus
    • Pakotteet | Kansainvälinen kauppa
    • Legal Gym
    • Yrityskauppa
    • Logistiikka | Kuljetusoikeus | Merioikeus
    • Baltic Desk
    • Pro Bono
  • Asiakastarinat
  • Uutiset
  • Yhteystiedot
  • Meistä

EU:N TIETOSUOJA-ASETUS

tammikuu 2, 2024 klo 14:17

EU:n tietosuoja-asetus (GDPR) – mitä yrityksen tulee tietää ja huomioida

Julkaistu: 02.01.2024

EU:n tietosuoja-asetus (GDPR) koskee yrityksiä, jotka käsittelevät EU-alueella olevien henkilöiden henkilötietoja. Tämä tiivis opas auttaa tunnistamaan keskeiset velvoitteet: dokumentointi, riskialttiiden käsittelyjen arviointi, tietosuojavastaavan (DPO) tarve, tietoturvaloukkauksen ilmoittaminen ja seuraamusriskit.

EU:n tietosuoja-asetus ( Asetus (EU) 2016/679 ) tuli voimaan 24.5.2016 ja sitä on sovellettu 25.5.2018 lähtien.

Lyhyesti – milloin GDPR koskee yritystä?

GDPR tulee huomioida, jos yritys kerää tai muutoin käsittelee EU-alueella olevien henkilöiden henkilötietoja tarjotessaan tuotteita tai palveluita tai seuratessaan rekisteröityjen käyttäytymistä. Velvoitteet voivat koskea yritystä myös silloin, vaikka yrityksellä ei olisi kotipaikkaa EU:ssa. Tällöin voi tietyissä tilanteissa syntyä tarve nimetä edustaja EU-alueelle.

Keskeiset compliance-vaatimukset yrityksille

GDPR asettaa yrityksille vaatimuksia erityisesti:

  • dokumentaation ja tietosuojakäytäntöjen ylläpitämiseen
  • riskialttiiden käsittelyjen arviointiin (esim. DPIA/tietosuojaa koskeva vaikutustenarviointi)
  • ”privacy by design” ja ”privacy by default” -periaatteiden huomioimiseen IT- ja prosessisuunnittelussa
  • henkilötietojen minimointiin (kerätään vain tarpeellinen)

Tietosuojavastaava (DPO) – milloin se on pakollinen?

Tietosuojavastaava tulee nimetä erityisesti, kun:

  • käsittelijänä on viranomainen tai julkinen toimija (tietyin poikkeuksin)
  • ydintoiminto edellyttää laajamittaista, säännöllistä ja järjestelmällistä rekisteröityjen seurantaa
  • ydintoiminto perustuu laajamittaiseen erityisten henkilötietoryhmien käsittelyyn

Tietosuojavastaavalla tulee olla riittävä asiantuntemus tietosuojalainsäädännöstä sekä tehtävän edellyttämä ammattipätevyys. DPO voi olla yrityksen työntekijä tai ulkoistettu palvelu. DPO:n yhteystiedot tulee julkaista ja ilmoittaa valvontaviranomaiselle, ja DPO raportoi suoraan ylimmälle johdolle.

Tietoturvaloukkaukset – 72 tunnin ilmoitusvelvollisuus

GDPR sisältää ilmoitusvelvollisuuksia, jos havaitaan henkilötietojen tietoturvaloukkaus. Ilmoitus valvontaviranomaiselle tulee tehdä ilman aiheetonta viivytystä ja pääsääntöisesti 72 tunnin kuluessa siitä, kun loukkaus on tullut tietoon (poikkeukset tapauskohtaisesti).

Hallinnolliset sakot ja seuraamusriskit

GDPR mahdollistaa valvontaviranomaisen määräämät hallinnolliset sakot. Tietyissä rikkomuksissa sakko voi olla enintään 4 % edeltävän tilikauden maailmanlaajuisesta liikevaihdosta tai 20 miljoonaa euroa (sen mukaan, kumpi on suurempi). Toisissa rikkomuksissa enimmäistaso on 2 % maailmanlaajuisesta liikevaihdosta tai 10 miljoonaa euroa.

Sakkoja määrättäessä arvioidaan mm. rikkomuksen luonne, vakavuus, kesto, tahallisuus/huolimattomuus, vahingon lieventämistoimet sekä yhteistyö viranomaisen kanssa. Tavoitteena on, että seuraamus on tehokas, oikeasuhteinen ja varoittava.

Yhteenveto: 8 käytännön askelta

Ohessa kahdeksan keskeistä neuvoamme siitä, mitä yrityksen kannattaa tehdä:

  1. Valmistaudu tietoturvaloukkauksiin ja määritä toimintamalli ilmoituksia varten.
  2. Nimeä vastuuhenkilöt ja laadi selkeät sisäiset ohjeet.
  3. Omaksu tietosuoja IT-suunnittelun lähtökohdaksi (privacy by design/default).
  4. Selvitä käsittelyn oikeusperusta (esim. sopimus, lakivelvoite, oikeutettu etu, suostumus).
  5. Tarkista tietosuojaselosteet, sopimusehdot ja informointitekstit.
  6. Huolehdi rekisteröidyn oikeuksien toteuttamisesta käytännössä (prosessi ja aikataulut).
  7. Arvioi roolisi toimittajana/alihankkijana: käsittelijän velvoitteet ja sopimukset (DPA).
  8. Rajat ylittävät siirrot: varmista asianmukaiset suojatoimet ja dokumentaatio.

Tässä artikkelissa on käyty tiiviisti läpi keskeiset GDPR-vaatimukset. Yrityksen on käytännössä varmistettava, että prosessit, sopimukset ja dokumentaatio ovat kunnossa, ja että vastuut on määritelty selkeästi.

Usein kysytyt kysymykset GDPR:stä

Koskeeko GDPR myös EU:n ulkopuolista yritystä?

Kyllä, tietyissä tilanteissa. Jos yritys tarjoaa tuotteita tai palveluita EU-alueella oleville henkilöille tai seuraa heidän käyttäytymistään EU:ssa, GDPR voi soveltua, vaikka yritys toimisi EU:n ulkopuolelta.

Milloin tietosuojavastaava (DPO) on pakollinen?

DPO on tyypillisesti pakollinen, jos käsittely on laajamittaista ja ydintoiminnan kannalta keskeistä, erityisesti säännöllisen ja järjestelmällisen seurannan tai erityisten henkilötietoryhmien laajamittaisen käsittelyn yhteydessä. Arvio tehdään aina tapauskohtaisesti.

Mitä pitää tehdä, jos havaitaan henkilötietojen tietoturvaloukkaus?

Loukkaus tulee arvioida nopeasti: mitä on tapahtunut, mitä tietoja koskee ja mitä riskejä se aiheuttaa. Ilmoitus valvontaviranomaiselle tehdään pääsääntöisesti 72 tunnissa siitä, kun loukkaus tuli tietoon, ja tietyissä tilanteissa myös rekisteröidyille ilmoitetaan.

Miten suuret GDPR-sakot voivat olla?

Enimmäistasot ovat 4 % maailmanlaajuisesta liikevaihdosta tai 20 miljoonaa euroa (sen mukaan kumpi on suurempi), tai lievemmissä rikkomuksissa 2 % liikevaihdosta tai 10 miljoonaa euroa. Käytännössä seuraamus määräytyy tapauskohtaisen kokonaisharkinnan perusteella.

* * *

LKOS Law Office Oy on liikejuridiikkaan keskittynyt boutique-toimisto. Mikäli tarvitsette lisätietoa GDPR:n velvoitteista tai käytännön toteutuksesta, pyydämme olemaan yhteydessä.

Tietosuojaterveisin
LKOS Law Office tiimi

Tämä artikkeli on tarkoitettu yleiseksi ohjeeksi eikä ole oikeudellista neuvontaa.

Uusimmat julkaisut

  • Puutavarakauppa geopoliittisen paineen alla — LKOS Law Office Timber Exchange -webinaarissa
    19 maaliskuuta, 2026
  • SHIP25 ehdot korvaavat SHIP2000 ehdot – mitä uusi laivanrakennussopimus muuttaa käytännössä
    6 helmikuuta, 2026
  • EU AI Act 2026: mitä yritysten pitää tehdä nyt – riskit, sopimukset ja johdon vastuut
    30 tammikuuta, 2026
  • CBAM 2026 – Mitä hiilirajamekanismi tarkoittaa maahantuojille Suomessa?
    29 tammikuuta, 2026
  • CountEmissionsEU ja huolinnan päästölaskenta – miten kuljetuspalvelun CO2e lasketaan (ISO 14083)
    15 tammikuuta, 2026
  • EU:n tulliuudistus: 3 € tullimaksu alle 150 € lähetyksille 1.7.2026 alkaen (IOSS)
    14 tammikuuta, 2026
  • Yrityskauppa ja yritysjärjestely Suomessa – juridinen due diligence ja kaupan toteutus
    19 joulukuuta, 2025

LKOS LAW Office uutiset

Löydät täältä viimeisimmät uutisemme sekä uusimmat tiedot lainsäädännön muutoksista. 

Tilaa ohesta uutiskirjeemme saadaksesi viimeisimmät tiedot lainsäädäntömuutoksista kuin uutisemme sähköpostiisi.

Ole yhteydessä. Kerromme mielellämme lisää viimeaikaisista tapahtumista.

Asiantuntijamme käytettävissäsi. Tutustu tarkemmin liikejuridiikan osaajiimme.

LKOS Law Office Oy I office(at)lkoslaw.fi I Business ID 2666655-6
LKOS Law Office Oy website is intended for information purposes only. It should not be relied upon as legal advice nor should it be used as a basis for any action or decision.
Copyright © LKOS Law Office Oy 2016-2026 - All rights reserved.
Privacy and cookie policy | Yleiset ehdot