Suomen tietosuojalait: GDPR, Suomen tietosuojalaki ja valvonta (2026)

Suomi valvoo tietosuojaa EU:n GDPR:n, tietosuojalain (Tietosuojalaki 1050/2018) ja lain yksityisyyden suojasta työelämässä (759/2004) kautta. Tietosuojavaltuutetun toimisto valvoo vaatimustenmukaisuutta, ja sen seuraamuskollegio voi määrätä sakkoja enintään 20 miljoonaa euroa tai 4 % maailmanlaajuisesta vuotuisesta liikevaihdosta.
Suomi panee EU:n yleisen tietosuoja-asetuksen (GDPR) täytäntöön monikerroksisella kansallisella kehyksellä, jonka ankkurina on tietosuojalaki (Tietosuojalaki 1050/2018) ja jota täydentää laki yksityisyyden suojasta työelämässä (759/2004). Tietosuojavaltuutetun toimisto valvoo vaatimustenmukaisuutta, ja tietosuojavaltuutetusta ja kahdesta apulaistietosuojavaltuutetusta koostuva seuraamuskollegio määrää hallinnolliset seuraamusmaksut. Tämä opas kattaa kaikki Suomen tietosuojajärjestelmän tasot, mukaan lukien vuosien 2024-2025 valvontatoimet, jotka tuottivat Suomen tähänastiset suurimmat sakot, sekä EU:n tekoälyasetuksen valvontakehyksen, joka tuli voimaan 1.1.2026.
Tiedot on tarkistettu viimeksi 19.5.2026. Tätä artikkelia ei ole tarkistanut laillistettu lakimies. Ota yhteyttä Suomessa toimiluvan saaneeseen asianajajaan saadaksesi neuvoja omaan tilanteeseesi.
Oikeudellinen soveltamisala: Tämä artikkeli käsittelee Suomen tietosuojalainsäädäntöä, mukaan lukien EU:n GDPR suoraan sovellettavana EU-lainsäädäntönä, Suomen tietosuojalaki 1050/2018, laki yksityisyyden suojasta työelämässä 759/2004 sekä laki 1377/2025 eräiden tekoälyjärjestelmien valvonnasta. Se ei käsittele muiden EU-jäsenvaltioiden tietosuojalainsäädäntöä. Laajemman EU-kehyksen osalta katso EU:n tietosuojalait -oppaamme.
Pikavastaus: Suomen tietosuojakehys pähkinänkuoressa
Suomen tietosuojalainsäädäntö toimii kolmella tasolla. Ensinnäkin GDPR:ää sovelletaan suoraan sitovana EU-lainsäädäntönä. Toiseksi tietosuojalaki 1050/2018 täyttää aukot, jotka GDPR jättää jäsenvaltioiden harkintaan, ja käsittelee henkilötunnuksia, valvontaviranomaisen rakennetta, rikosoikeudellisia seuraamuksia sekä 13 vuoden digitaalista suostumusikää. Kolmanneksi laki yksityisyyden suojasta työelämässä 759/2004 säätelee yksinomaan työsuhdetta ja soveltaa GDPR:n yleisiä sääntöjä tiukempaa välttämättömyysstandardia. Tietosuojavaltuutetun toimisto valvoo kaikkia kolmea tasoa. Vakavista rikkomuksista määrättävät sakot voivat nousta 20 miljoonaan euroon tai 4 prosenttiin maailmanlaajuisesta vuotuisesta liikevaihdosta. Vuodesta 2019 lähtien Suomen valvontaviranomaiset ovat määränneet sakkoja muun muassa kansalliselle postiyhtiölle, suurelle verkkokaupan toimijalle ja psykoterapiakeskukselle, ja suomalaiset tuomioistuimet ovat aktiivisesti tarkastelleet ja joissakin tapauksissa kumonneet näitä päätöksiä valitusten johdosta.
Tietosuojan perustuslaillinen perusta
Suomi antaa tietosuojalle perustuslaillisen painoarvon. Suomen perustuslain (731/1999) 10 § suojaa jokaisen yksityiselämää, kunniaa ja kotirauhaa. 10 § toteaa myös nimenomaisesti, että henkilötietojen suojasta säädetään tarkemmin lailla, mikä muodostaa perustuslaillisen valtuutuksen, johon tietosuojalaki 1050/2018 ja työelämän yksityisyyslaki perustuvat.
Perustuslain 12 § takaa sananvapauden ja tiedonsaannin, ja suomalaiset tuomioistuimet punnitsevat näitä oikeuksia suhteessa tietosuojaan tapauksissa, jotka koskevat journalismia, tutkimusta ja yleisen edun mukaista käsittelyä. Molempien oikeuksien perustuslaillinen asema tarkoittaa, ettei kumpikaan automaattisesti syrjäytä toista, vaan tarvitaan suhteellisuusarviointia.
On tärkeää huomata, että Suomen perustuslaki kohtelee sähköisten verkkojen kautta välitettyä viestintää samalla tavoin luottamuksellisena kuin suljettua kirjettä. Tämä perustuslaillinen suoja muodostaa perustan Suomen tiukoille säännöille, jotka koskevat työnantajan pääsyä työntekijän sähköpostiin ja joita käsitellään yksityiskohtaisemmin jäljempänä.
GDPR ja Suomen tietosuojalaki 1050/2018
GDPR tuli voimaan kaikissa EU:n jäsenvaltioissa 25.5.2018, ja sitä sovelletaan Suomessa suoraan ilman kansallista täytäntöönpanoa. Tietosuojalaki 1050/2018 tuli voimaan 1.1.2019 ja korvasi aiemman henkilötietolain (523/1999).
Tietosuojalaki täydentää GDPR:ää alueilla, joilla asetus nimenomaisesti sallii jäsenvaltiokohtaisen tarkennuksen. Lain keskeiset kansalliset säännökset kattavat:
- Henkilötunnus. Tietosuojalain 29 § rajoittaa Suomen henkilötunnuksen käyttöä, joka toimii yleisenä tunnisteena sekä julkisen että yksityisen sektorin järjestelmissä. Rekisterinpitäjä saa käsitellä henkilötunnusta vain, jos rekisteröity on antanut siihen suostumuksensa, käsittelystä säädetään laissa, tai rekisteröidyn yksiselitteinen tunnistaminen on tärkeää työsuhteeseen, terveydenhuoltoon, sosiaalihuoltoon, luotonantoon tai vakuutustoimintaan liittyvän tarkoituksen kannalta. Rekisterinpitäjän on varmistettava, ettei henkilötunnusta sisällytetä tarpeettomasti painettuihin asiakirjoihin tai tietojärjestelmien tulosteisiin.
- Digitaalinen suostumusikä. Tietosuojalain 9 § asettaa 13 vuotta vähimmäisiäksi, jossa lapsi voi itsenäisesti antaa suostumuksensa tietoyhteiskunnan palveluihin. Alle 13-vuotiaiden osalta vaaditaan huoltajan suostumus.
- Tieteellinen tutkimus, tilastointi ja arkistointi. 31-33 § sallivat henkilötietojen käsittelyn tieteellistä tai historiallista tutkimusta, tilastollisia tarkoituksia ja yleisen edun mukaista arkistointia varten, edellyttäen että asianmukaiset suojatoimet on toteutettu.
- Journalistiset ja ilmaisulliset tarkoitukset. 27-30 § sallivat poikkeukset useista GDPR:n oikeuksista, kun käsittely tapahtuu journalistista, taiteellista, kirjallista tai akateemista ilmaisua varten ja poikkeus on tarpeen tietosuojan ja sananvapauden yhteensovittamiseksi.
- Rikosoikeudelliset seuraamukset. 24 § luo tietosuojarikoksen, josta voidaan tuomita sakkoon tai enintään vuodeksi vankeuteen GDPR:n tai tietosuojalain tahallisista tai törkeän huolimattomista rikkomuksista.
Täydentävä toimialakohtainen lainsäädäntö
Suomessa on myös toimialakohtaisia tietosuojasäännöksiä. Laki sähköisen viestinnän palveluista (917/2014) panee täytäntöön ePrivacy-kehyksen, mukaan lukien evästeitä, suoramarkkinointia ja sähköisen viestinnän luottamuksellisuutta koskevat säännöt. Laki yksityisyyden suojasta työelämässä (759/2004) säätelee työsuhdetietoja. Terveydenhuolto- ja sosiaalihuoltolainsäädäntö sisältää lisäsääntöjä arkaluonteisista terveystiedoista.
Tietosuojavaltuutetun toimisto

Tietosuojavaltuutetun toimisto on Suomen riippumaton GDPR-valvontaviranomainen, joka on perustettu GDPR:n 51 artiklan nojalla ja jonka rakenne on määritelty yksityiskohtaisesti tietosuojalain 1050/2018 4 luvussa. Toimistoa johtavat tietosuojavaltuutettu ja kaksi apulaistietosuojavaltuutettua, jotka kaikki Suomen hallitus nimittää viiden vuoden toimikaudeksi. Jokaisella kolmesta virkamiehestä on itsenäinen päätösvalta, mikä tarkoittaa, että kuka tahansa heistä voi antaa sitovia määräyksiä tietosuoja-asioissa ilman muiden hyväksyntää.
Seuraamuskollegio
Nämä kolme virkamiestä muodostavat yhdessä seuraamuskollegion, joka vastaa GDPR:n 83 artiklan mukaisten hallinnollisten seuraamusmaksujen määräämisestä. Tietosuojalain 24 §:n nojalla seuraamuskollegio ratkaisee seuraamusmaksuasiat kollegiaalisesti, mikä tuo ylimääräisen harkintakerroksen ennen merkittävien seuraamusten määräämistä. Tämä rakenne erottaa Suomen useimmista EU-jäsenvaltioista, joissa seuraamusvalta on yhdellä virkamiehellä.
Toimivaltuudet
Toimistolla on käytössään GDPR:n 58 artiklan mukaiset kaikki valvontavaltuudet. Näihin kuuluvat: tutkimusten ja paikan päällä tehtävien tarkastusten suorittaminen; varoitusten, huomautusten ja sitovien määräysten antaminen, jotka velvoittavat rekisterinpitäjän tai käsittelijän saattamaan käsittelyn vaatimustenmukaiseksi; käsittelyn väliaikaisten tai pysyvien kieltojen määrääminen; henkilötietojen oikaisun, poistamisen tai käsittelyn rajoittamisen määrääminen; sekä seuraamusmaksuasioiden siirtäminen seuraamuskollegion käsiteltäväksi.
Henkilötietojen käsittelyn oikeusperusteet
Suomalaisten rekisterinpitäjien on perustettava jokainen käsittelytoimi johonkin GDPR:n 6 artiklan 1 kohdassa luetelluista kuudesta oikeusperusteesta. Suomalaisten organisaatioiden käytännössä käytettävissä olevat perusteet ovat:
| Oikeusperuste | 6 artiklan 1 kohta | Tyypillinen soveltaminen Suomessa |
|---|---|---|
| Suostumus | (a) | Markkinointi, evästeet, ei-välttämätön analytiikka |
| Sopimuksen täytäntöönpano | (b) | Asiakastilin hallinta, työsopimuksen hallinnointi |
| Lakisääteinen velvoite | (c) | Verotiedot, rahanpesun estäminen, työsuojeluraportointi |
| Elintärkeät edut | (d) | Hätätilanteet lääketieteessä |
| Yleinen etu / julkinen tehtävä | (e) | Viranomaiset ja julkista valtaa käyttävät tahot |
| Oikeutettu etu | (f) | Petosten torjunta, verkkoturvallisuus, sisäinen hallinnollinen käsittely |
Erityisiin tietoryhmiin kuuluvien tietojen (terveys, biometriset tiedot, geneettiset tiedot, ammattiliiton jäsenyys ja vastaavat) osalta on täytettävä myös jokin 9 artiklan 2 kohdan lisäedellytys. Suomalaiset työnantajat nojaavat usein 9 artiklan 2 kohdan b alakohtaan (työoikeudelliset ja sosiaaliturvaan liittyvät velvoitteet) käsitellessään työntekijän terveystietoja lain yksityisyyden suojasta työelämässä nojalla.
Suostumus työsuhteessa
Suomen tietosuojakäytäntö suhtautuu suostumukseen erityisen varovaisesti työsuhteessa. Sekä tietosuojavaltuutettu että laki yksityisyyden suojasta työelämässä tunnustavat, että työnantajan ja työntekijän välinen valtaepätasapaino tekee aidosti vapaaehtoisen suostumuksen osoittamisesta vaikeaa. Suostumus ei ole pätevä oikeusperuste työnantajan suorittamalle työntekijän henkilötietojen käsittelylle, ellei käsittely jää kokonaan työelämän yksityisyyslain välttämättömyyskehyksen ulkopuolelle.
Rekisteröidyn oikeudet
Suomalaisilla rekisteröidyillä on kaikki GDPR:n III luvussa säädetyt kahdeksan oikeutta. Rekisterinpitäjän on vastattava pyyntöihin kuukauden kuluessa, ja määräaikaa voidaan pidentää enintään kahdella kuukaudella monimutkaisten tai lukuisten pyyntöjen tapauksessa. Tietosuojavaltuutettu on ryhtynyt valvontatoimiin rekisterinpitäjiä vastaan, jotka ovat vaatineet rekisteröidyltä henkilötunnusta tai muuta suhteetonta tunnistautumista tarkastusoikeuden (15 artikla) käyttämiseksi, hylänneet poistopyyntöjä ilman 17 artiklan 3 kohdan mukaista laillista perustetta, tai jättäneet antamatta tietoja selkeällä ja ymmärrettävällä kielellä 13 ja 14 artiklan edellyttämällä tavalla.
Oikeus saada pääsy tietoihin (15 artikla). Rekisterinpitäjän on toimitettava jäljennös kaikista käsiteltävistä henkilötiedoista sekä täydentävät tiedot, kuten käsittelyn tarkoitukset, tietoryhmät, vastaanottajat tai vastaanottajaryhmät ja suunnitellut säilytysajat.
Oikeus tulla unohdetuksi (17 artikla). Rekisteröity voi pyytää tietojensa poistamista, kun tiedot eivät enää ole tarpeen alkuperäiseen tarkoitukseensa, suostumus on peruutettu tai käsittely on ollut lainvastaista. Poikkeuksia sovelletaan sananvapauden, lakisääteisten velvoitteiden sekä oikeudellisten vaateiden laatimisen, esittämisen tai puolustamisen osalta.
Oikeus siirtää tiedot järjestelmästä toiseen (20 artikla). Kun käsittely perustuu suostumukseen tai sopimukseen ja se suoritetaan automaattisesti, rekisteröity voi saada tietonsa jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa ja pyytää niiden siirtämistä suoraan toiselle rekisterinpitäjälle.
Vastustamisoikeus (21 artikla). Rekisteröity voi milloin tahansa vastustaa oikeutettuun etuun tai yleiseen tehtävään perustuvaa käsittelyä henkilökohtaiseen erityistilanteeseensa liittyvin perustein. Rekisterinpitäjän on lopetettava käsittely, ellei se osoita huomattavan tärkeää ja perusteltua syytä, joka syrjäyttää rekisteröidyn edut.
Työntekijän yksityisyys: Euroopan tiukimmat säännöt
Suomen lakia yksityisyyden suojasta työelämässä (759/2004) pidetään yleisesti Euroopan unionin rajoittavimpana lakisääteisenä työntekijöiden tietosuojajärjestelmänä. Sitä sovelletaan yksinomaan työnantajan ja työntekijän väliseen suhteeseen, ja se asettaa velvoitteita, jotka menevät GDPR:n vaatimuksia pidemmälle.
Välttämättömyysvaatimus
Lain kulmakivi on 3 §, jonka mukaan työnantaja saa käsitellä vain sellaisia henkilötietoja, jotka ovat välittömästi tarpeen työsuhteen kannalta ja liittyvät osapuolten oikeuksien ja velvollisuuksien hoitamiseen tai työnantajan tarjoamiin etuihin. Tästä ei voida poiketa edes työntekijän nimenomaisella suostumuksella. Suomalaiset tuomioistuimet ja tietosuojavaltuutettu ovat johdonmukaisesti vahvistaneet tämän: työsuhteen luontainen valtaepätasapaino tarkoittaa, ettei työntekijän suostumus voi tehdä tarpeettomasta tietojenkäsittelystä laillista.
Sähköpostin ja viestinnän valvonta
Kaikki työntekijän työsähköpostiosoitteeseen ja siitä lähetetty viestintä nauttii perustuslain 10 §:n mukaista luottamuksellisuuden suojaa. Työnantajan luvaton pääsy työntekijän sähköpostiin on rikos, josta voidaan tuomita enintään vuodeksi vankeuteen lain yksityisyyden suojasta työelämässä ja rikoslain 38 luvun yhteisvaikutuksen nojalla.
Lain yksityisyyden suojasta työelämässä 18-23 § asettavat suppeasti määritellyt edellytykset, joiden täyttyessä työnantaja voi saada pääsyn työntekijän työsähköpostiin tai ohjata sen uudelleen. Edellytyksiin kuuluvat muun muassa: työntekijä on odottamattomasti poissa; työnantajalla on perusteltu syy uskoa, että liiketoiminnan kannalta kriittisiä viestejä on saapunut; sähköpostiosoitetta käytetään yksinomaan työtarkoituksiin; ja työnantaja on ensin yrittänyt tavoittaa työntekijän tai tämän nimeämän henkilön. Vaikka nämä edellytykset täyttyisivät, pääsyn on suoritettava erikseen nimetty henkilö (ei työntekijän lähin esimies) menettelyllisten suojatoimien puitteissa, ja työntekijälle on ilmoitettava asiasta mahdollisimman pian.
Kameravalvonta
Lain yksityisyyden suojasta työelämässä 16 § sallii kameravalvonnan työpaikoilla rajoitettuihin tarkoituksiin: työntekijöiden turvallisuuden varmistamiseksi, omaisuuden suojaamiseksi, tuotantoprosessien valvomiseksi tai turvallisuutta vaarantavien tilanteiden ehkäisemiseksi ja selvittämiseksi. Kameroita ei saa kohdistaa ensisijaisesti tiettyyn työntekijään. Taukotilojen, pukuhuoneiden, pesutilojen tai muiden yksityisten tilojen valvonta on kielletty. Työntekijöille ja heidän edustajilleen on ilmoitettava ennen minkään valvontajärjestelmän asentamista.
Huumausainetestit ja terveystiedot
6-9 § käsittelevät huumausainetestejä. Työnantaja voi vaatia huumausainetestiä vain, jos tehtävä edellyttää erityistä tarkkuutta, luotettavuutta tai itsenäistä harkintaa, ja vain silloin, kun kyseessä on turvallisuus, kansallinen turvallisuus, liikesalaisuuksien suoja tai muu vastaava vakava intressi. Terveystietoja saavat käsitellä vain työnantajaorganisaation erikseen nimeämät henkilöt, ja valtuutettujen henkilöiden luettelo on dokumentoitava.
Taustatarkastukset
5 a § sallii luottotietojen tarkastamisen työnhakijoilta tai nykyisiltä työntekijöiltä vain silloin, kun tehtävään liittyy merkittävää taloudellista vastuuta ja tehtävän luonne todella edellyttää sitä. Yleinen varotoimenpiteenä tehtävä seulonta ei ole riittävä peruste.
Tietosuojavastaavaa koskevat vaatimukset
GDPR:n 37 artikla edellyttää tietosuojavastaavan nimeämistä: (a) viranomaisille ja julkisille elimille; (b) rekisterinpitäjille tai käsittelijöille, joiden ydintoimintoihin kuuluu laajamittainen, säännöllinen ja järjestelmällinen henkilöiden seuranta; sekä (c) rekisterinpitäjille tai käsittelijöille, joiden ydintoimintoihin kuuluu erityisten tietoryhmien laajamittainen käsittely.
Suomessa kaikkien viranomaisten on nimettävä tietosuojavastaava. Tietosuojavaltuutettu on vahvistanut, että "viranomaisiin" kuuluvat kunnat, kuntayhtymät, valtion virastot ja lakisääteistä julkista valtaa käyttävät tahot.
Suomessa tietosuojavastaavan on nimettävä muun muassa terveydenhuollon palveluntarjoajat, vakuutusyhtiöt ja sosiaalihuollon palveluntarjoajat (erityisten tietoryhmien laajamittainen käsittely); mainosteknologiayritykset sekä kanta-asiakas- tai kohdennusohjelmien ylläpitäjät (laajamittainen järjestelmällinen seuranta); sekä teleyritykset ja internetpalveluntarjoajat. Tietosuojavastaava on rekisteröitävä tietosuojavaltuutetun toimiston ilmoituspalvelun kautta.
Tietoturvaloukkauksista ilmoittaminen
Suomi soveltaa GDPR:n kaksiportaista tietoturvaloukkauksista ilmoittamisen kehystä ilman kansallisia muutoksia. 33 artiklan nojalla rekisterinpitäjän, joka havaitsee henkilötietojen tietoturvaloukkauksen, joka todennäköisesti aiheuttaa riskin yksilöiden oikeuksille ja vapauksille, on ilmoitettava siitä tietosuojavaltuutetulle 72 tunnin kuluessa. Jos loukkaus aiheuttaa korkean riskin vaikutuksen kohteena olevien henkilöiden oikeuksille ja vapauksille, 34 artikla edellyttää, että rekisterinpitäjä ilmoittaa asiasta suoraan näille henkilöille ilman aiheetonta viivytystä käyttäen selkeää ja ymmärrettävää kieltä, jossa kuvataan loukkauksen luonne, todennäköiset seuraukset sekä toteutetut tai ehdotetut toimenpiteet.
Kansainväliset tiedonsiirrot

Suomi noudattaa GDPR:n V luvun kehystä henkilötietojen siirroissa ETA-alueen ulkopuolelle. Käytettävissä olevat siirtomekanismit ovat muun muassa:
- Tietosuojan riittävyyttä koskevat päätökset. Komission riittävyyspäätökset kattavat muun muassa Japanin, Etelä-Korean, Uuden-Seelannin, Israelin ja Yhdistyneen kuningaskunnan.
- EU:n ja Yhdysvaltojen tietosuojakehys (DPF). Komissio hyväksyi DPF:n riittävyyspäätöksen heinäkuussa 2023, mikä sallii siirrot sertifioiduille yhdysvaltalaisille organisaatioille. DPF:ään luottavien suomalaisten organisaatioiden tulisi tarkistaa sertifioinnin tila ennen jokaista siirtoa, sillä sertifiointi on uusittava vuosittain.
- Vakiosopimuslausekkeet. Vuoden 2021 vakiosopimuslausekkeet ovat edelleen yleisimmin käytetty siirtomekanismi maihin, joita riittävyyspäätös ei kata, ja ne edellyttävät siirtovaikutusten arviointia, jossa dokumentoidaan kohdemaan lainsäädäntö ja mahdolliset lisätoimenpiteet.
- Sitovat yrityssäännöt. Monikansalliset konsernit voivat hakea sitovien yrityssääntöjen hyväksyntää tietosuojavaltuutetulta (kun Suomi on johtava viranomainen) tai toimivaltaiselta johtavalta valvontaviranomaiselta yhden luukun periaatteen mukaisesti.
- 49 artiklan poikkeukset. Nimenomainen suostumus, sopimuksen täyttämisen välttämättömyys, elintärkeät edut, tärkeä yleinen etu ja oikeudelliset vaateet mahdollistavat poikkeuksia, mutta niitä tulkitaan suppeasti. Tietosuojavaltuutettu noudattaa EDPB:n ohjeistusta, jonka mukaan niitä on pidettävä poikkeuksellisina, ei rutiininomaisina.
Sakot ja seuraamukset
Hallinnolliset seuraamusmaksut
Seuraamuskollegio voi määrätä hallinnollisia seuraamusmaksuja GDPR:n 83 artiklan nojalla. Kaksiportainen rakenne on seuraava:
- Alempi taso (83 artiklan 4 kohta). Enintään 10 miljoonan euron tai 2 % maailmanlaajuisesta vuotuisesta kokonaisliikevaihdosta suuruiset sakot rekisterinpitäjän ja käsittelijän velvoitteiden, valvontaviranomaisen velvoitteiden ja sertifiointielimen velvoitteiden rikkomisesta.
- Ylempi taso (83 artiklan 5 kohta). Enintään 20 miljoonan euron tai 4 % maailmanlaajuisesta vuotuisesta kokonaisliikevaihdosta suuruiset sakot käsittelyn perusperiaatteiden (5-7 ja 9 artikla), rekisteröidyn oikeuksien (12-22 artikla), kolmansiin maihin suuntautuvien siirtojen (44-49 artikla) rikkomisesta sekä valvontaviranomaisen määräysten noudattamatta jättämisestä.
Liikevaihtoluvut lasketaan koko yrityksen tasolla, ei pelkästään suomalaisen yksikön liikevaihdon perusteella.
Rikosoikeudelliset seuraamukset
Tietosuojalain 1050/2018 24 § luo tietosuojarikoksen, josta voidaan tuomita sakkoon tai enintään vuodeksi vankeuteen GDPR:n tai tietosuojalain tahallisista tai törkeän huolimattomista rikkomuksista. Laki yksityisyyden suojasta työelämässä tekee erikseen työntekijän sähköpostiin luvattoman pääsyn rikokseksi rikoslain 38 luvun nojalla, josta voidaan myös tuomita sakkoon tai enintään vuodeksi vankeuteen.
Helsingin hovioikeuden joulukuussa 2025 antama ratkaisu Vastaamon toimitusjohtajan tapauksessa selvensi, että rikosoikeudellinen vastuu edellyttää näyttöä törkeästä huolimattomuudesta, ei pelkästään tietoturvavirheen tapahtumista.
Merkittävät valvontatoimet
Psykoterapiakeskus Vastaamo (joulukuu 2021, sakko 608 000 euroa). Seuraamuskollegio määräsi Vastaamolle 608 000 euron sakon sen jälkeen, kun tietoturvaloukkaus paljasti noin 36 000 potilaan luottamukselliset terapiamuistiinpanot. Rikkomuksiin kuuluivat riittämätön tietoturva (32 artikla), laiminlyönti ilmoittaa valvontaviranomaiselle 72 tunnin kuluessa (33 artikla) sekä puutteet osoitusvelvollisuuden dokumentoinnissa (5 artiklan 2 kohta). Huhtikuussa 2023 Helsingin käräjäoikeus tuomitsi entisen toimitusjohtajan Ville Tapion tietosuojarikoksesta kolmen kuukauden ehdolliseen vankeusrangaistukseen. Joulukuussa 2025 Helsingin hovioikeus vapautti Tapion yksimielisesti todeten, ettei syyttäjä ollut näyttänyt toteen rikosoikeudellisen vastuun edellyttämää törkeää huolimattomuutta.
Verkkokauppa.com (maaliskuu 2024, sakko 856 000 euroa). Seuraamuskollegio määräsi Verkkokauppa.com Oyj:lle 856 000 euron sakon siitä, ettei yhtiö ollut määritellyt asiakastilin tietojen säilytysaikoja (asiakastietoja säilytettiin rajoittamattomasti 5 artiklan 1 kohdan e alakohdan vastaisesti) ja siitä, että se vaati pakollista asiakastilin rekisteröintiä verkko-ostoksen edellytyksenä (todettiin, ettei tälle ollut laillista perustetta 5 ja 6 artiklan nojalla). Sakko laskettiin ensisijaisesti yhtiön vuoden 2022 540 miljoonan euron liikevaihdon perusteella. Verkkokauppa.com ilmoitti valittavansa päätöksestä.
Posti Group -konsernin OmaPosti-palvelu (marraskuu 2024, sakko 2,4 miljoonaa euroa, kumottu marraskuussa 2025). Seuraamuskollegio määräsi Posti Jakelu Oy:lle 2,4 miljoonan euron sakon siitä, että yhtiö loi käyttäjille automaattisesti OmaPosti-sähköisen postilaatikon ilman mahdollisuutta kieltäytyä juuri tästä palveluosasta. Palvelulla oli yli kaksi miljoonaa rekisteröitynyttä käyttäjää. Marraskuussa 2025 Helsingin hallinto-oikeus kumosi sakon todeten, että Postilla oli elinkeinovapauden ja sopimusvapauden periaatteiden nojalla oikeus yhdistää digitaaliset palvelunsa ja että sillä oli 6 artiklan 1 kohdan b alakohdan mukainen laillinen peruste postilaatikon käsittelylle. Tuomioistuin pysytti huomautuksen asiakasviestinnän riittämättömästä avoimuudesta.
EU:n tekoälyasetuksen kansallinen täytäntöönpano: laki 1377/2025
EU:n tekoälyasetus (asetus 2024/1689) tuli voimaan 1.8.2024, ja sitä sovelletaan vaiheittain. Suomi sääti kansallisen valvontalainsäädännön lailla 1377/2025 eräiden tekoälyjärjestelmien valvonnasta, joka tuli voimaan 1.1.2026.
Hajautettu valvonta
Suomi valitsi hajautetun valvontarakenteen. Sen sijaan, että olisi nimetty yksi kansallinen tekoälyviranomainen, laki 1377/2025 jakaa valvontavastuun kunkin toimialan jo toimivaltaisille viranomaisille. Tieliikenteestä, finanssipalveluista, lääkinnällisistä laitteista, tuoteturvallisuudesta, digitaalisesta infrastruktuurista ja henkilötietojen suojasta vastaavat viranomaiset valvovat kukin tekoälyjärjestelmiä omalla toimialallaan.
Traficom yhtenäisenä yhteyspisteenä
Liikenne- ja viestintävirasto (Traficom) toimii kansallisena markkinavalvontaviranomaisena yleiskäyttöisille tekoälymalleille EU:n tekoälyasetuksen 88 artiklan nojalla sekä kansallisena yhtenäisenä yhteyspisteenä, joka helpottaa tiedonvaihtoa kotimaisten valvontaviranomaisten ja Euroopan tekoälytoimiston välillä. Traficom edustaa Suomea myös Euroopan tekoälyneuvostossa. Traficomin yhteydessä toimiva uusi seuraamuskollegio käsittelee yli 300 000 euron tekoälyasetuksen mukaiset hallinnolliset seuraamusmaksut.
Tietosuojavaltuutetun rooli tekoälyasioissa
Tietosuojavaltuutetun toimisto on nimetty valvontaviranomaiseksi tekoälyjärjestelmille, jotka käsittelevät henkilötietoja. Kun korkean riskin tekoälyjärjestelmän käyttöönottajan on tehtävä EU:n tekoälyasetuksen 27 artiklan mukainen perusoikeuksiin kohdistuvien vaikutusten arviointi ja arvioinnissa tunnistetaan henkilötietojen käsittelyä, tulos on sovitettava yhteen GDPR:n tietosuojaa koskevan vaikutustenarvioinnin (35 artikla) kanssa. Suomalainen ohjeistus suosittaa, että organisaatiot tekevät nämä arvioinnit yhdessä erillisten asiakirjojen sijaan.
Viimeaikainen kehitys (2024-2026)
Kyberturvallisuuslaki 124/2025 (huhtikuu 2025). EU:n NIS2-direktiivin täytäntöönpaneva laki tuli voimaan, ja se luo pakollisia kyberturvallisuusvelvoitteita ja häiriöilmoitusvaatimuksia keskeisten ja tärkeiden palvelujen toimijoille. Tietosuojavaltuutettu koordinoi toimintaansa Kyberturvallisuuskeskuksen kanssa henkilötietojen tietoturvaloukkauksia koskevissa tapauksissa.
EU:n datasäädös sovellettavissa syyskuusta 2025. EU:n datasäädös (asetus 2023/2854) tuli sovellettavaksi 12.9.2025. Se kattaa yhteenliitettyjä tuotteita ja niihin liittyviä palveluja koskevat tiedonjakovelvoitteet. Kansallinen lainsäädäntö, joka jakaa valvontavastuun Traficomin ja muiden viranomaisten, mukaan lukien tietosuojavaltuutetun henkilötietoihin liittyvien säännösten osalta, kesken, annettiin eduskunnalle 25.9.2025.
Helsingin hallinto-oikeus kumoaa Postin 2,4 miljoonan euron sakon (marraskuu 2025). Tuomioistuin katsoi, ettei palvelujen yhdistäminen rikkonut GDPR:n oikeusperustevaatimusta, ja antoi ensimmäisen suomalaisen oikeuskäytännön ohjeistuksen elinkeinovapaudesta 6 artiklan 1 kohdan b alakohdan analyysin kontekstissa.
Helsingin hovioikeus vapauttaa Vastaamon toimitusjohtajan (joulukuu 2025). Vapauttava tuomio selventää, että tietosuojaa koskeva rikosoikeudellinen vastuu edellyttää näyttöä törkeästä huolimattomuudesta, ei pelkästään riittämättömistä tietoturvatoimista, mikä nostaa henkilökohtaisen rikosoikeudellisen vastuun kynnystä.
Laki 1377/2025 tekoälyn valvonnasta voimaan (1.1.2026). Traficom nimetty yhtenäiseksi yhteyspisteeksi; tietosuojavaltuutettu ja muut toimialakohtaiset viranomaiset ottavat vastuulleen tekoälyasetuksen mukaisen valvonnan omilla toimialoillaan.
Käytännön vaatimustenmukaisuus Suomessa toimiville yrityksille
Suomessa toimivat organisaatiot kohtaavat useilla osa-alueilla merkittävästi GDPR:n perustasoa tiukemman vaatimustenmukaisuusympäristön.
Työntekijöiden valvonnan tarkastus. Arvioi kaikki työntekijöiden valvontajärjestelmät suhteessa lakiin yksityisyyden suojasta työelämässä, ei pelkästään GDPR:ään. Sähköpostin käyttöoikeuskäytäntöjen, sijaintiseurantajärjestelmien, kameravalvonnan ja taustatarkastusmenettelyjen on täytettävä lain 759/2004 3 §:n välttämättömyysvaatimus. Muissa EU-maissa lailliset käytännöt eivät välttämättä ole sallittuja Suomessa.
Säilytysaikataulut. Verkkokauppa.com-sakko havainnollistaa seuraamuskollegion painotusta määriteltyihin säilytysaikoihin. Jokaisella käsittelytoimien selosteen (30 artikla) tietoryhmällä tulisi olla dokumentoitu säilytysaika ja poisto- tai anonymisointilaukaisin. Asiakastietojen rajoittamaton säilyttäminen on varoitusmerkki.
Henkilötunnukset. Kartoita kaikki järjestelmien tulosteet ja painetut asiakirjat, jotka sisältävät henkilötunnuksen. Poista se tulosteista, joissa vaihtoehtoiset tunnisteet riittävät. Henkilötunnuksen käsittely ilman lakisääteistä perustetta rikkoo tietosuojalain 1050/2018 29 §:ää.
Tietosuojavastaavan rekisteröinti. Viranomaisten ja 37 artiklan kynnysarvot täyttävien yksityisen sektorin organisaatioiden on nimettävä tietosuojavastaava ja rekisteröitävä hänet tietosuojavaltuutetulle. Rekisteröinti on päivitettävä, kun tietosuojavastaava vaihtuu.
Tekoälyjärjestelmien luettelointi. Lain 1377/2025 tultua voimaan 1.1.2026 organisaatioiden, jotka ottavat käyttöön EU:n tekoälyasetuksen liitteen III mukaan mahdollisesti korkean riskin tekoälyjärjestelmiä, tulisi tehdä luokitteluarviointi ja, jos luokittelu synnyttää velvoitteita, laatia perusoikeuksiin kohdistuvien vaikutusten arviointi, joka on yhteensovitettu GDPR:n 35 artiklan mukaisen tietosuojaa koskevan vaikutustenarvioinnin kanssa.
Suostumusikärajat. Varmista digitaalisten palvelujen osalta, että ikäportit estävät alle 13-vuotiaita käyttäjiä antamasta suostumusta itse ja että huoltajan suostumusmekanismit täyttävät GDPR:n vaatimukset.
Huomio: Työntekijän suostumus ei korjaa lainvastaista tietojenkäsittelyä suomalaisessa työsuhdekontekstissa. Jos tiedot eivät ole välittömästi tarpeen työsuhteen kannalta lain 759/2004 3 §:n nojalla, oikeusperustetta ei ole olemassa riippumatta siitä, mitä työntekijä on allekirjoittanut. Suomalaiset yritykset, jotka ovat tuoneet muista EU-maista suostumukseen perustuvia työntekijöiden valvontakäytäntöjä, ovat joutuneet valvontatoimien kohteeksi.
Vastuuvapauslauseke
Tämä artikkeli tarjoaa yleistä oikeudellista tietoa Suomen tietosuojalaeista tilanteen mukaan 19.5.2026, eikä se ole oikeudellista neuvontaa. Se kattaa EU:n GDPR:n siltä osin kuin sitä sovelletaan Suomessa, Suomen tietosuojalain 1050/2018, lain yksityisyyden suojasta työelämässä 759/2004 ja lain 1377/2025 eräiden tekoälyjärjestelmien valvonnasta. Tietosuojalainsäädäntö muuttuu usein. Ota yhteyttä Suomessa toimiluvan saaneeseen asianajajaan saadaksesi neuvoja omaan tilanteeseesi.
Aiheeseen liittyvät artikkelit
Viimeksi päivitetty: 19.5.2026. Viitatut säädökset vastaavat niiden voimassa olevia versioita 19.5.2026.
Frequently Asked Questions
Mikä on Suomen ensisijainen tietosuojalaki GDPR:n lisäksi?
Suomen ensisijainen kansallinen tietosuojalainsäädäntö on tietosuojalaki (Tietosuojalaki 1050/2018), joka tuli voimaan 1.1.2019. Se täydentää GDPR:ää säännöksillä henkilötunnuksista (29 §), 13 vuoden digitaalisesta suostumusiästä (9 §), tieteellisen tutkimuksen ja arkistoinnin poikkeuksista (31-33 §) sekä vakavien rikkomusten rikosoikeudellisista seuraamuksista (24 §). Laki yksityisyyden suojasta työelämässä (759/2004) lisää erillisen tason työsuhdekontekstiin.
Kuka määrää GDPR-sakkoja Suomessa?
GDPR:n hallinnolliset seuraamusmaksut Suomessa määrää seuraamuskollegio, kollegiaalinen elin, joka koostuu tietosuojavaltuutetusta ja kahdesta apulaistietosuojavaltuutetusta. Tämä kolmen virkamiehen rakenne tuo lisää harkintaa ennen merkittävien seuraamusten määräämistä. Sakot voivat nousta 10 miljoonaan euroon tai 2 %:iin maailmanlaajuisesta liikevaihdosta alemman tason rikkomuksissa ja 20 miljoonaan euroon tai 4 %:iin ylemmän tason rikkomuksissa GDPR:n 83 artiklan 4 ja 5 kohtien nojalla.
Voivatko suomalaiset työnantajat valvoa työntekijöiden sähköposteja?
Yleensä ei. Työsähköpostiviestintä on perustuslain 10 §:n nojalla suojattu luottamuksellisena. Työnantajan luvaton pääsy on rikos lain 759/2004 ja rikoslain 38 luvun nojalla, josta voidaan tuomita sakkoon tai enintään vuodeksi vankeuteen. Rajoitettu pääsy on sallittu vain lain 759/2004 18-23 §:n edellytyksin, jotka edellyttävät työntekijän odottamatonta poissaoloa, perusteltua syytä uskoa liiketoiminnan kannalta kriittisten viestien olemassaoloon, osoitteen yksinomaista työkäyttöä sekä tiukkoja menettelyllisiä suojatoimia.
Voivatko työntekijät antaa suostumuksensa työnantajan tietojenkäsittelyyn, joka ei ole tarpeen työsuhteen kannalta?
Ei. Lain yksityisyyden suojasta työelämässä 3 § sisältää ehdottoman välttämättömyysvaatimuksen, josta ei voida poiketa työntekijän suostumuksella. Laki heijastaa näkemystä, jonka mukaan työsuhteen luontainen valtaepätasapaino estää aidosti vapaaehtoisen suostumuksen. Jos tiedot eivät ole välittömästi tarpeen työsuhteen kannalta, työnantajan käsittelylle ei ole oikeusperustetta riippumatta siitä, mitä työntekijä on allekirjoittanut.
Mikä on Suomen digitaalinen suostumusikä?
Suomi asetti digitaalisen suostumusiän 13 vuoteen tietosuojalain 1050/2018 9 §:n nojalla. Vähintään 13-vuotiaat lapset voivat itsenäisesti antaa suostumuksensa tietoyhteiskunnan palveluihin. Alle 13-vuotiaiden osalta suostumuksen on annettava tai hyväksyttävä huoltaja. Suomi valitsi GDPR:n sallitun vähimmäiskynnyksen, saman kuin Tanska ja Portugali.
Onko Suomessa rikosoikeudellisia seuraamuksia tietosuojarikkomuksista?
Kyllä. Tietosuojalain 1050/2018 24 § luo tietosuojarikoksen, josta voidaan tuomita sakkoon tai enintään vuodeksi vankeuteen. Helsingin hovioikeuden joulukuussa 2025 antama ratkaisu Vastaamon toimitusjohtajan tapauksessa selvensi, että rikos edellyttää näyttöä tahallisesta menettelystä tai törkeästä huolimattomuudesta, ei pelkästään tietoturvavirheen tapahtumista. Rikosoikeudellinen vastuu voi kohdistua yksilöihin organisaatiolle määrättyjen hallinnollisten seuraamusmaksujen lisäksi.
Miten Suomi valvoo tekoälyjärjestelmiä EU:n tekoälyasetuksen nojalla?
Laki 1377/2025, voimassa 1.1.2026 alkaen, luo Suomen hajautetun tekoälyasetuksen valvontakehyksen. Liikenne- ja viestintävirasto (Traficom) toimii kansallisena markkinavalvontaviranomaisena yleiskäyttöisille tekoälymalleille ja yhtenäisenä yhteyspisteenä Euroopan tekoälytoimistoon. Toimialakohtaiset viranomaiset, mukaan lukien tietosuojavaltuutettu henkilötietoja käsittelevien tekoälyjärjestelmien osalta, valvovat tekoälyä omilla toimialoillaan. Traficomin yhteydessä toimiva seuraamuskollegio käsittelee yli 300 000 euron tekoälyasetuksen mukaiset hallinnolliset seuraamusmaksut.
Mitä siirtomekanismeja suomalaiset organisaatiot voivat käyttää henkilötietojen lähettämiseen ETA-alueen ulkopuolelle?
Suomalaiset organisaatiot voivat siirtää henkilötietoja ETA-alueen ulkopuolelle käyttäen Euroopan komission riittävyyspäätöksiä, EU:n ja Yhdysvaltojen tietosuojakehystä sertifioiduille yhdysvaltalaisille organisaatioille (heinäkuusta 2023 alkaen), vakiosopimuslausekkeita (vuoden 2021 versio) siirtovaikutusten arvioinnin kera, asianomaisen valvontaviranomaisen hyväksymiä sitovia yrityssääntöjä tai 49 artiklan poikkeuksia, kun erityiset edellytykset täyttyvät. Tietosuojavaltuutettu pitää 49 artiklan poikkeuksia poikkeuksellisina, ei rutiininomaisina.
Mitä Helsingin hallinto-oikeus päätti Postin GDPR-tapauksessa?
Marraskuussa 2025 Helsingin hallinto-oikeus kumosi 2,4 miljoonan euron sakon, jonka seuraamuskollegio oli määrännyt Posti Jakelu Oy:lle marraskuussa 2024. Tuomioistuin katsoi, että Postilla oli elinkeinovapauden ja sopimusvapauden nojalla oikeus yhdistää digitaaliset palvelunsa yhdeksi kokonaisuudeksi ja että sillä oli GDPR:n 6 artiklan 1 kohdan b alakohdan mukainen laillinen peruste käsitellä automaattisesti luotuun OmaPosti-postilaatikkoon liittyviä henkilötietoja. Tuomioistuin pysytti huomautuksen asiakasviestinnän riittämättömästä avoimuudesta.
Luoko EU:n datasäädös uusia velvoitteita suomalaisille organisaatioille?
Kyllä. EU:n datasäädös (asetus 2023/2854) tuli sovellettavaksi 12.9.2025. Se luo tiedonjakovelvoitteita yhteenliitettyjen tuotteiden ja niihin liittyvien palvelujen valmistajille ja tarjoajille sekä oikeuksia käyttäjille saada pääsy näiden tuotteiden tuottamiin tietoihin ja jakaa niitä. Tietosuojavaltuutettu valvoo datasäädöksen säännöksiä, jotka liittyvät henkilötietojen suojaan. Kansallinen suomalainen lainsäädäntö, joka jakaa valvontavastuun Traficomin ja muiden viranomaisten kesken, annettiin eduskunnalle syyskuussa 2025.
Sources and References
- Tietosuojavaltuutetun toimisto – Lainsäädäntö(tietosuoja.fi).gov
- Tietosuojalaki 1050/2018 – Finlex(finlex.fi).gov
- Työ- ja elinkeinoministeriö – Yksityisyyden suoja työelämässä(tem.fi).gov
- Tietosuojavaltuutettu – Työelämän UKK(tietosuoja.fi).gov
- Suomen hallitus – EU:n tekoälyasetuksen kansallinen valvonta(valtioneuvosto.fi).gov
- Työ- ja elinkeinoministeriö – EU:n tekoälyasetuksen kansallinen valvonta(tem.fi).gov
- EDPB – Suomen valvontaviranomaisen 856 000 euron sakko Verkkokauppa.com:lle (2024)(edpb.europa.eu).gov
- EDPB – Suomen valvontaviranomaisen 2,4 miljoonan euron sakko Postille (2024)(edpb.europa.eu).gov
- Tietosuojavaltuutettu – Vastaamon sakkopäätös(tietosuoja.fi).gov
- Tietosuojavaltuutettu – EU:n datasäädös(tietosuoja.fi).gov
- EDPB – Suomen tietosuojaviranomaisen kolme ensimmäistä sakkoa (2020)(edpb.europa.eu).gov
- GDPRhub – Suomen tietosuojaviranomaisen valvontaseuranta(gdprhub.eu)