Tietosuojaseloste verkkosivuille ei ole paperinmakuinen liite – se on yrityksesi näkyvin lupaus läpinäkyvyydestä ja riskienhallinnasta. GDPR velvoittaa kertomaan mitä henkilötietoja keräät, miksi, millä perusteella ja kuinka kauan, ja tekemään sen selkeästi, helposti löydettävästi ja ymmärrettävästi. Lyhyesti: jos keräät dataa, sinun on informoitava siitä – jo keräämisen yhteydessä.
Vuonna 2025 tietosuojan valvonta on arkea, ei poikkeus. Valvontaviranomaiset nojaavat GDPR:n hallinnollisiin seuraamuksiin: vakavista rikkomuksista voidaan määrätä jopa 20 miljoonan euron tai 4 %:n globaalin liikevaihdon suuruiset sakot. Tämä ei ole teoreettista – merkittäviä päätöksiä on annettu läpi EU:n viime vuosina.
Tämä opas näyttää käytännönläheisesti, miten laadit omalle sivustollesi kattavan ja konversioystävällisen selosteen ilman juridista jargonia: mitä osioita tarvitaan, miten valitset oikeusperusteet, miten erotat tietosuojaselosteen evästeilmoituksesta – ja miten pidät dokumentin elossa arjessa. Aloitamme perusasioista, etenemme vaihe vaiheelta toteutukseen ja päätämme ylläpidon rutiineihin. Lisäksi linkitämme yhteen olennaisista viranomaisohjeista, EDPB:n läpinäkyvyyslinjauksiin, jotta tulkintasi pysyy linjassa EU-tason käytännön kanssa.
Mikä on tietosuojaseloste ja kuka sitä tarvitsee?
Tietosuojaseloste verkkosivuille on rekisterinpitäjän virallinen läpinäkyvyysdokumentti: siinä kerrot mitä henkilötietoja keräät, miksi, millä oikeusperusteella, kenelle tietoja luovutetaan, kuinka kauan niitä säilytetään ja mitkä ovat rekisteröidyn oikeudet. Se toteuttaa GDPR:n informaatiovelvoitteet (art. 12–14) ja on annettava selkeästi, tiiviisti ja ymmärrettävästi. Käytännössä kyse on asiakkaan oikeudesta tietää, mitä hänen tiedoilleen tapahtuu digitaalisesti – ilman juristikieltä ja piilottelua.
Kuka tarvitsee tietosuojaselosteen? Kaikki organisaatiot, jotka ovat sijoittautuneet EU/ETA-alueelle tai kohdistavat palvelujaan EU:n alueella oleville henkilöille, kun ne käsittelevät henkilötietoja – yritykset, yhdistykset, verkkokaupat, SaaS-palvelut, blogit ja portaalit. Kyse ei ole koosta, vaan käsittelystä: jos tallennat yhteydenottolomakkeen tiedot, uutiskirjetilaukset, asiakas- tai työnhakijadataa, sinulla on velvoitteita.
Milloin tieto pitää antaa? Kun keräät tiedot suoraan henkilöltä, informaatio annetaan keräämisen yhteydessä (GDPR art. 13). Jos saat tiedot muualta kuin rekisteröidyltä, informoi ilman aiheetonta viivytystä, viimeistään kuukauden kuluessa (GDPR art. 14). Nämä aikarajat eivät ole “hyvä tapa”, vaan lakiin kirjoitettu velvoite.
Arjen esimerkkejä: yhteydenottolomake (nimi, sähköposti), asiakasrekisteri (tilaustiedot), markkinointiautomaatio (segmentointi) ja kävijäseuranta (IP-osoite, tunnisteet). Jos käytät analytiikkaa, kuten Google Analytics -opas kuvaa, käsittelet henkilötietoja laajemmin kuin usein luullaan – ja selosteen tulee kertoa tästä täsmällisesti. Lisäksi Suomessa valvovana viranomaisena toimii Tietosuojavaltuutetun toimisto, jonka ohjeisiin on syytä peilata omaa toteutusta.
Haluatko, että jatkan seuraavaan osioon Tietosuojaselosteen keskeiset vaatimukset?
Tietosuojaselosteen keskeiset vaatimukset
Tietosuojaseloste verkkosivuille on täsmällinen lista asioista, joista sinun on kerrottava. Alla oleva tarkistuslista perustuu GDPR:n artikloihin 12–14, 5 ja 6 sekä EDPB:n läpinäkyvyyslinjauksiin:
1) Rekisterinpitäjä ja yhteystiedot
Nimi, Y-tunnus, postiosoite, sähköposti/puhelin, sekä tarvittaessa tietosuojavastaavan tiedot. Nämä on annettava selkeästi siinä hetkessä, kun henkilötietoja kerätään suoraan henkilöltä (art. 13), tai viipymättä, viimeistään kuukaudessa jos tiedot saadaan muualta (art. 14).
2) Mitä tietoja keräät ja mihin tarkoituksiin
Listaa tietoryhmät (esim. lomaketiedot, asiakastiedot, analytiikkatunnisteet) ja tarkoitukset (asiakaspalvelu, laskutus, markkinointi). Periaatteiden on oltava läpinäkyvät ja tiedonkeruun tarkoitussidonnaisia.
3) Käsittelyn oikeusperuste
Perustele jokainen tarkoitus GDPR:n art. 6 -perusteilla (suostumus, sopimus, lakisääteinen velvoite, elintärkeä etu, julkinen tehtävä, oikeutettu etu). Jos nojaat oikeutettuun etuun, kerro intressistäsi ja punninnasta.
4) Vastaanottajat ja siirrot
Nimeä käsittelijät (esim. CRM-, analytiikka- ja sähköpostipalvelut) tai vastaanottajaryhmät. Jos siirrät tietoja EU/ETA:n ulkopuolelle, kuvaa siirtoperuste (päätökset, sopimusmallit, suojatoimet).
5) Säilytysajat (tai niiden määrittelykriteerit)
Ilmoita aikarajat tai selkeät kriteerit. Muista säilytyksen minimointi ja poistosäännöt.
6) Rekisteröidyn oikeudet
Pääsy, oikaisu, poistaminen, rajoittaminen, siirrettävyys, vastustaminen ja oikeus peruuttaa suostumus. Kerro myös oikeudesta valittaa valvontaviranomaiselle (FI: Tietosuojavaltuutetun toimisto).
7) Tietoturva ja suojatoimet (tiivistetysti)
Kuvaa korkealla tasolla tekniset ja organisatoriset toimet – ilman että paljastat turhaa operatiivista yksityiskohtaa. Tämä osoittaa tilivelvollisuutta (accountability).
8) Evästeet, suostumus ja automaattinen päätöksenteko
Jos käytät evästeitä/identifioivia tunnisteita, kerro siitä selosteessa ja pidä evästeiden suostumusratkaisu EDPB:n linjojen mukaisena (ei cookie wall -pakkoa, ei esitäytettyjä valintoja, aidosti vapaaehtoinen suostumus). Mainitse myös mahdollinen profilointi ja automatisoidut päätökset.
9) Esitystapa ja löydettävyys
Tieto annetaan selkeästi ja tiiviisti; standardoidut ikonit ovat sallittuja helpottamaan ymmärrystä. Sijoita linkki selosteeseen sivuston alatunnisteeseen ja kaikkiin lomakkeisiin.
Pro-vinkki: Pidä tietosuojaseloste kumpanakin: lakisääteisenä dokumenttina ja käytännön ohjekirjana. Kun muutat markkinointityökaluja tai keräystapoja, päivitä seloste samalla kertaa – näin pysyt läpinäkyvänä ja vältät tarpeettomat riskit.
Kuinka tehdä tietosuojaseloste käytännössä
Kun tavoitteena on tietosuojaseloste verkkosivuille, et tee lakimuistiota—teet selkeän käyttöohjeen asiakkaasi datalle. Toimi näin, vaihe vaiheelta:
1) Kartoita käsittelyt – mitä, miksi, missä, kuka
Listaa kerättävät tietoryhmät (lomakkeet, asiakasrekisteri, analytiikka), tarkoitukset (asiakaspalvelu, laskutus, markkinointi), järjestelmät ja palveluntarjoajat. Merkitse myös mahdolliset siirrot EU/ETA:n ulkopuolelle ja niiden suojatoimet. Tämä on läpinäkyvyyden perusta, jota EDPB:n läpinäkyvyyslinjaukset korostavat: tieto on annettava tiiviisti, ymmärrettävästi ja helposti saatavilla.
2) Sido jokainen tarkoitus oikeusperusteeseen
Kirjaa jokaiseen tarkoitukseen GDPR:n artiklan 6 mukainen peruste (suostumus, sopimus, lakisääteinen velvoite, oikeutettu etu). Jos tukeudut oikeutettuun etuun, kuvaa punninta lyhyesti. Informaatio on annettava keräyshetkellä, kun tiedot saadaan suoraan rekisteröidyltä (art. 13), tai viipymättä—viimeistään kuukaudessa—jos tiedot tulevat muualta (art. 14).
3) Kirjoita “kerros”-mallilla (lyhyt vs. kattava)
Avaa sivun alkuun nopea yhteenveto (mitä keräät, miksi, yhteydenotto), ja linkitä siitä tarkempiin alalukuihin. Tämä kerroksellinen (layered) esitystapa on EDPB:n suosittelema tapa välttää jargonia ja parantaa ymmärrettävyyttä.
4) Huomioi evästeet ja suostumus
Jos käytät tunnisteita/evästeitä markkinointiin tai analytiikkaan, kerro siitä selosteessa ja varmista, että suostumus on aidosti vapaaehtoinen (ei “cookie wall” -pakkoa, ei esitäytettyjä valintoja). EDPB:n suostumusohje linjaa käytännöt selkeästi.
5) Sijoittelu ja löydettävyys
Linkitä seloste sivuston alatunnisteeseen, lisää lomakkeille tiivistelinkki (“Lue, miten käsittelemme henkilötietojasi”) ja pidä kieli selkeänä. Tarvittaessa ohjaa rekisteröity valituksen tekoon Tietosuojavaltuutetun toimistoon.
6) Pidä ylläpito rutiinina
Päivitä selostetta aina, kun otat uuden työkalun käyttöön, muutat säilytysaikoja tai tarkoituksia. Luo sisäinen checklist, jonka käyt läpi neljännesvuosittain—samaan aikaan kun teet sivuston muunkin päivitysremontin. Upota prosessiin myös seuranta web-analytiikasta: Google Analytics -oppaamme auttaa tunnistamaan, mitä oikeasti keräät.
Pika-mallipohja (muokkaa oman toiminnan mukaan)
- Rekisterinpitäjä: Yritys Oy (Y-tunnus), osoite, sähköposti, puhelin
- Tietosuojavastaava / yhteyshenkilö: Nimi, yhteystiedot (jos soveltuu)
- Mitä tietoja keräämme ja miksi: (yhteydenottolomake → asiakaspalvelu; tilausdata → sopimuksen hoitaminen; uutiskirje → suostumus)
- Oikeusperusteet: (sopimus, suostumus, oikeutettu etu + lyhyt punninta)
- Vastaanottajat/käsittelijät: (CRM, maksupalvelu, analytiikka; nimet tai ryhmät)
- Siirrot EU/ETA:n ulkopuolelle ja suojatoimet: (esim. SCC-vakiolausekkeet (Euroopan komission vakiolausekkeet))
- Säilytysajat/kriteerit: (esim. 24 kk viimeisestä aktiivisuudesta)
- Rekisteröidyn oikeudet ja valitusoikeus: pääsy, oikaisu, poisto, rajoittaminen, siirrettävyys, vastustaminen; valitus Tietosuojavaltuutetulle
- Tietoturva: tekniset ja organisatoriset suojatoimet lyhyesti
- Evästeet ja profilointi: käyttötarkoitus, suostumuksen hallinta
Tietosuojaselosteen päivittäminen ja ylläpito
Hyvä tietosuojaseloste verkkosivuille elää arjessa. Dokumentti vanhenee heti, kun otat uuden lomakkeen, analytiikkatyökalun, maksupalvelun tai markkinointiautomaation käyttöön – tai kun muutat säilytysaikoja, oikeusperusteita tai teet siirtoja EU/ETA-alueen ulkopuolelle. Siksi ylläpidosta on tehtävä rutiini, ei projekti.
Käytännön malli:
- Vastuuhenkilö ja rytmi: nimeä omistaja (ei “kaikki”). Tee kvartaaleittainen minikatselmus: mitä dataa keräämme nyt, mihin tarkoituksiin, millä perusteella?
- Versiointi ja päiväys: lisää selosteeseen “Viimeksi päivitetty” -rivi ja pidä erillinen muutosloki (mitä muuttui, milloin, miksi).
- Muutostriggerit: uudet integraatiot tai käsittelijät, evästebannerin tai suostumusratkaisun päivitys, uudet kohderyhmät/profilointi, kansainväliset siirrot, säilytysaikojen tarkistukset.
- DPIA/riskiarvio, kun tarpeen: jos käsittelyssä on korkea riski (esim. laaja profilointi), tee vaikutustenarvio ennen muutosta.
- Lomakenäkymät kuntoon: jokaisessa lomakkeessa on lyhyt “kerros”-tason informointi ja linkki täyteen selosteeseen.
- Sisäinen koulutus: yksi tunti vuodessa riittää pitämään myynnin, markkinoinnin ja asiakaspalvelun samassa kartassa.
Vinkki: kytke selosteen päivitys samaan sykliin muun sivuston ylläpidon kanssa – näin mikään ei karkaa käsistä. Katso myös verkkosivujen ylläpito prosessin jäntevöittämiseen.
Pika-checklist päivityskierrokselle
- Onko tietoryhmien lista edelleen tosi?
- Vastaavatko tarkoitukset ja oikeusperusteet todellista käyttöä?
- Onko käsittelijäluettelo ajantasainen (CRM, maksut, analytiikka, sähköpostit)?
- Muuttuivatko siirrot EU/ETA:n ulkopuolelle tai suojatoimet?
- Toteutuuko säilytysaikataulu käytännössä (poistot/arkistointi)?
- Onko eväste- ja suostumuskäytäntö linjassa selosteen kanssa?
Päivittyvä seloste vähentää riskejä, selkeyttää tiimin tekemistä ja vahvistaa luottamusta – joka näkyy lopulta myös konversiossa.
Yleisimmät virheet tietosuojaselosteessa
Hyvä tietosuojaseloste verkkosivuille kaatuu useimmiten arkisiin kompastuskiviin. Väistä nämä:
1) Yleisluonteinen “copy–paste” ilman räätälöintiä
Mallipohja on lähtökohta, ei maali. Jos seloste ei vastaa oikeaa käsittelyäsi (tarkoitukset, työkalut, siirrot), se on käytännössä virheellinen – ja heikentää luottamusta.
2) Oikeusperusteita ei sidota tarkoituksiin
“Keräämme tietoja asiakaspalveluun” ei riitä. Jokaiselle tarkoitukselle on nimettävä GDPR 6 art. -peruste (esim. sopimus, suostumus, oikeutettu etu) ja kuvattava punninta, jos tukeudut oikeutettuun etuun.
3) Säilytysajat puuttuvat tai ovat epämääräisiä
“Tietoja säilytetään tarpeellisen ajan” ei täytä vaatimuksia. Kerro aika tai selkeä kriteeri (esim. 24 kk viimeisestä asioinnista). Ilman tätä poistot unohtuvat ja data paisuu.
4) Käsittelijät ja siirrot jäävät hämäriksi
Yleisellä “kolmannet osapuolet” -sanalla ei pääse pälkähästä. Nimeä vastaanottajaryhmät (CRM, maksupalvelu, analytiikka), kuvaa EU/ETA-alueen ulkopuoliset siirrot ja suojatoimet.
5) Evästeet ja suostumus käsitellään pintapuolisesti
Evästebanneri ≠ seloste. Selosteessa tulee kertoa miksi käytät tunnisteita, mihin tarkoituksiin (analytiikka, mainonta), ja miten suostumusta hallitaan ja perutaan—erityisesti, jos profilointia tehdään.
6) Kieli on juridista ja vaikeaselkoista
GDPR vaatii selkeää kieltä. Poista jargoni, käytä “kerros”-mallia: lyhyt yhteenveto + syventävät osiot. Ymmärrettävyys on vaade, ei vapaaehtoinen tyyliharjoitus.
7) Päivämäärä ja versiohistoria puuttuvat
Ilman “Viimeksi päivitetty” -riviä käyttäjä (ja tiimisi) ei tiedä, onko seloste ajantasainen. Versioi muutokset lyhyesti, niin auditointi on helppoa.
8) Selostetta ei löydä
Linkki alatunnisteessa ja lomakkeiden yhteydessä on peruskauraa. Jos käyttäjän pitää etsiä, olet jo epäonnistunut läpinäkyvyydessä.
Nyrkkisääntö: jos jokin asia tuntuu epämääräiseltä, se on epämääräinen—täsmennä. Kun seloste heijastaa täsmälleen sitä, mitä teet, sekä viranomaisen että asiakkaan on helppo luottaa sinuun.
Tietosuojaselosteen merkitys luottamuksen rakentamisessa
Hyvin kirjoitettu tietosuojaseloste verkkosivuille on enemmän kuin lakitekninen pakollisuus – se on luottamuspääoman perusta. Kun kerrot selkeästi mitä keräät, miksi ja kuinka kauan, alennat käyttäjän kynnystä jättää lomakkeen, tilata uutiskirjeen tai tehdä ostopäätöksen. Läpinäkyvyys vähentää epävarmuutta, ja epävarmuuden poistaminen näkyy suoraan konversiossa.
Miten seloste vaikuttaa brändiin?
- Tilivelvollisuus = uskottavuus. Kun kuvaat tietoturvan ja säilytysajat ymmärrettävästi, näytät hallitsevasi prosessit – et vain “täyttäväsi sääntöjä”.
- Erottautuminen. Useimmat selosteet ovat ympäripyöreitä. Konkreettinen, yrityksesi todellisia työkaluja ja tarkoituksia kuvaava seloste erottaa sinut kilpailijoista.
- Maineriskin vakuutus. Selkeä informointi + toimivat oikeuksien käytön kanavat (oikaisu, poistot) pienentävät väärinkäsitysten ja some-kohujen riskiä. Jos jotain tapahtuu, voit osoittaa toimineesi oikein – ennen kriisiä.
Missä kohtaa käyttäjä kohtaa luottamuksen?
- Lomakkeilla: lyhyt “kerros”-tason tiivistelmä ja linkki täyteen selosteeseen.
- Evästebannerissa: aidosti vapaaehtoinen valinta ja helppo peruutus.
- Transaktioissa: tilaus- ja kuittiviesteissä linkki selosteeseen ja oikeuksiin.
Jos haluat jäsentää tätä liiketoiminnan näkökulmasta, katso ohjeemme yrityksen maineenhallinnasta sekä brändin pitkäjänteisestä rakentamisesta: Brändin rakentaminen 2025 – opas. Läpinäkyvyys on brändilupaus käytännössä – ja tietosuojaseloste on sen näkyvin koeponnistus.
Ydinajatus: Kun seloste vastaa oikeaa arkea (tarkoitukset, työkalut, säilytykset), käyttäjä ymmärtää tilanteensa ja uskaltaa toimia. Luottamus ei synny iskulauseista – se syntyy selkeästä tiedosta ja johdonmukaisesta toteutuksesta.
FAQ – Usein kysytyt kysymykset
Mitä tietosuojaselosteessa pitää olla?
Lyhyt vastaus: Selosteessa on kuvattava rekisterinpitäjä, yhteystiedot (mahd. tietosuojavastaava), kerättävät henkilötiedot, käsittelyn tarkoitukset, oikeusperusteet, vastaanottajat/käsittelijät, mahdolliset siirrot EU/ETA:n ulkopuolelle ja suojatoimet, säilytysajat/kriteerit, rekisteröidyn oikeudet (ml. valitusoikeus), sekä tiivis kuvaus tietoturvasta, evästeistä ja automaattisesta päätöksenteosta/profiloinnista. Pidä kieli selkeänä ja seloste helposti löydettävänä.
Kuinka usein tietosuojaseloste verkkosivuille pitää päivittää?
Kun jokin muuttuu: otat uuden lomakkeen tai analytiikka-/markkinointityökalun käyttöön, lisäät vastaanottajia (esim. CRM, maksupalvelu), muutat säilytysaikoja, oikeusperusteita tai teet siirtoja EU/ETA:n ulkopuolelle. Käytännössä suosittelemme kvartaaleittaista minikatsausta + “Viimeksi päivitetty” -merkintää ja muutoslokia.
Mitä tapahtuu, jos selostetta ei ole tai se on puutteellinen?
Riski kasvaa kolmella rintamalla:
- Sääntely – GDPR:n hallinnolliset seuraamukset voivat olla merkittäviä, jos informointivelvoite laiminlyödään.
- Maine – epäselvyys syö luottamusta ja konversiota.
- Operatiivinen – ilman selostetta tiimisi ei tiedä, mitä oikeasti teette datalla, jolloin virheiden todennäköisyys kasvaa.
Voinko käyttää valmista mallia vai onko seloste aina räätälöitävä?
Voit aloittaa mallipohjasta, mutta räätälöi se omaan toimintaasi: tarkoitukset, oikeusperusteet, säilytysajat, käsittelijät ja siirrot. Yleisluontoinen “copy–paste” ei täytä vaatimuksia – eikä palvele käyttäjääsi. Käytä “kerros”-mallia: lyhyt yhteenveto + tarkemmat osiot.
Miten tietosuojaseloste ja evästeilmoitus eroavat?
- Tietosuojaseloste on laaja, lakisääteinen läpinäkyvyysdokumentti henkilötietojen käsittelystä (kuka, mitä, miksi, millä perusteella, kuinka kauan).
- Evästeilmoitus/banneri koskee tunnisteita ja suostumusta selaimessa: kerrot, mihin evästeitä käytetään (analytiikka, mainonta) ja tarjoat aidosti vapaaehtoisen valinnan sekä helpon peruutuksen.
Lisäohjeistusta löydät EDPB:n läpinäkyvyyslinjauksista ja Suomen Tietosuojavaltuutetun toimiston sivuilta – ne ovat parhaat auktoriteettilähteet käytännön tulkintaan ja tarkistuslistoihin.
Yhteenveto
Tietosuojaseloste verkkosivuille on sekä lakisääteinen vaatimus että kilpailuetu. Kun seloste kertoo täsmälleen, mitä keräät, miksi, millä perusteella ja kuinka kauan, poistat käyttäjän epävarmuuden ja parannat konversiota. Tässä oppaassa viet selosteen ideasta tekemiseen: kartoitit käsittelyt, sidot tarkoitukset oikeusperusteisiin, kuvasit säilytysajat ja tietoturvan, erotit evästeilmoituksen tietosuojaselosteesta ja loit käytännöllisen päivitysrytmin. Nyt sinun tarvitsee vain toteuttaa.
Toimi näin heti tänään:
- Käy läpi lomakkeet, analytiikka ja markkinointityökalut – listaa, mitä oikeasti keräät.
- Kirjoita “kerros”-mallilla: lyhyt yhteenveto + tarkat alaluvut.
- Päivitä säilytysajat, vastaanottajaryhmät ja mahdolliset siirrot EU/ETA:n ulkopuolelle.
- Lisää linkki selosteeseen alatunnisteeseen ja jokaisen lomakkeen yhteyteen.
- Varmista, että evästesuostumus ja seloste ovat linjassa.
Katso myös verkkosivujen ylläpito ja säännölliset sivupäivitykset (Nettisivujen päivitys 2025).
Tarvitsetko apua?
Laadimme sinulle selosteen “avaimet käteen” -mallilla, integroimme sen sivustollesi ja koulutamme tiimisi käyttämään sitä oikein.
Ota yhteyttä – tehdään tietosuojasta kilpailuetusi.
