{"id":140,"date":"2026-01-20T00:00:00","date_gmt":"2026-01-19T23:00:00","guid":{"rendered":"https:\/\/helloblog.io\/fi\/gdpr-yhteensopivuus-checklist-verkkosivustolle\/"},"modified":"2026-01-20T00:00:00","modified_gmt":"2026-01-19T23:00:00","slug":"gdpr-yhteensopivuus-checklist-verkkosivustolle","status":"publish","type":"post","link":"https:\/\/helloblog.io\/fi\/gdpr-yhteensopivuus-checklist-verkkosivustolle\/","title":{"rendered":"GDPR-yhteensopivuus verkkosivustolla: kattava checklist kehitt\u00e4jille ja sivuston omistajille"},"content":{"rendered":"\n

GDPR (General Data Protection Regulation) on edelleen yksi maailman kattavimmista tietosuojalains\u00e4\u00e4d\u00e4nn\u00f6ist\u00e4. Jos k\u00e4sittelet EU:ssa asuvien henkil\u00f6iden henkil\u00f6tietoja \u2014 py\u00f6rititp\u00e4 pient\u00e4 blogia, verkkokauppaa tai SaaS-palvelua \u2014 vaatimukset koskevat sinua. Ja koska seuraamukset voivat nousta jopa 20 miljoonaan euroon tai 4 %:iin<\/strong> maailmanlaajuisesta vuosiliikevaihdosta (kumpi on suurempi), perusasiat kannattaa laittaa kuntoon sek\u00e4 juridisesti ett\u00e4 teknisesti.<\/p>\n\n\n\n

Alla oleva checklist kokoaa yhteen keskeiset velvoitteet (mukana tarkat GDPR-viittaukset, esim. Article 30, Article 37<\/em>), sek\u00e4 konkreettiset toteutusaskeleet: ev\u00e4stebanneri, lomakkeet, s\u00e4hk\u00f6postimarkkinoinnin suostumukset, tietoturvatoimet, ja erityishuomiot WordPressiin.<\/p>\n\n\n\n

Mik\u00e4 GDPR on?<\/h2>\n\n\n\n

GDPR (EU:n yleinen tietosuoja-asetus) on EU:n valvoma tietosuojalaki, jota on sovellettu 25.5.2018<\/strong> l\u00e4htien. Se m\u00e4\u00e4ritt\u00e4\u00e4 selke\u00e4t s\u00e4\u00e4nn\u00f6t sille, miten organisaatiot saavat ker\u00e4t\u00e4, k\u00e4ytt\u00e4\u00e4, s\u00e4ilytt\u00e4\u00e4 ja jakaa henkil\u00f6tietoja. Asetus koskee sek\u00e4 EU:n sis\u00e4ll\u00e4 ett\u00e4 EU:n ulkopuolella toimivia yrityksi\u00e4, jos ne k\u00e4sittelev\u00e4t EU:ssa asuvien henkil\u00f6iden henkil\u00f6tietoja.<\/p>\n\n\n\n

Roolit: mit\u00e4 olet GDPR:n n\u00e4k\u00f6kulmasta?<\/h2>\n\n\n\n

Ensimm\u00e4inen askel on tunnistaa, miss\u00e4 roolissa toimit, koska vastuut ja velvoitteet vaihtelevat.<\/p>\n\n\n\n

    \n\n
  • Data Controller (rekisterinpit\u00e4j\u00e4)<\/strong>: organisaatio, joka p\u00e4\u00e4tt\u00e4\u00e4 miksi ja miten henkil\u00f6tietoja k\u00e4sitell\u00e4\u00e4n. Kantaa ensisijaisen vastuun GDPR-yhteensopivuudesta.<\/li>\n\n\n
  • Data Processor (k\u00e4sittelij\u00e4)<\/strong>: kolmas osapuoli, joka k\u00e4sittelee henkil\u00f6tietoja rekisterinpit\u00e4j\u00e4n puolesta. Velvollinen toteuttamaan asianmukaiset tekniset ja organisatoriset suojaukset.<\/li>\n\n\n
  • Data Subject (rekister\u00f6ity)<\/strong>: henkil\u00f6, jonka henkil\u00f6tietoja ker\u00e4t\u00e4\u00e4n ja k\u00e4sitell\u00e4\u00e4n. GDPR on olemassa nimenomaan h\u00e4nen oikeuksiensa suojaamiseksi.<\/li>\n\n<\/ul>\n\n\n\n

    Sama organisaatio voi olla samanaikaisesti sek\u00e4 rekisterinpit\u00e4j\u00e4 ett\u00e4 k\u00e4sittelij\u00e4 (esim. jos py\u00f6rit\u00e4t palvelua, jossa k\u00e4sittelet asiakkaiden loppuk\u00e4ytt\u00e4j\u00e4dataa asiakkaan ohjeiden mukaisesti, mutta my\u00f6s omaa laskutustasi varten ker\u00e4tty\u00e4 dataa itse m\u00e4\u00e4rittelemill\u00e4si tavoilla).<\/p>\n\n\n\n

    GDPR:n 7 periaatetta (kannattaa sis\u00e4ist\u00e4\u00e4 ennen checklisti\u00e4)<\/h2>\n\n\n\n
      \n\n
    1. Lawfulness, fairness, and transparency<\/strong>: k\u00e4sittele henkil\u00f6tietoja lainmukaisesti ja kerro ihmisille l\u00e4pin\u00e4kyv\u00e4sti, miten tietoja k\u00e4ytet\u00e4\u00e4n.<\/li>\n\n\n
    2. Purpose limitation<\/strong>: ker\u00e4\u00e4 tietoa vain tiettyihin, laillisiin tarkoituksiin.<\/li>\n\n\n
    3. Data minimization<\/strong>: ker\u00e4\u00e4 vain minimim\u00e4\u00e4r\u00e4 tarpeellista tietoa.<\/li>\n\n\n
    4. Accuracy<\/strong>: pid\u00e4 tiedot paikkansapit\u00e4vin\u00e4 ja ajan tasalla.<\/li>\n\n\n
    5. Storage limitation<\/strong>: \u00e4l\u00e4 s\u00e4ilyt\u00e4 tietoa pidemp\u00e4\u00e4n kuin on tarpeen.<\/li>\n\n\n
    6. Integrity and confidentiality<\/strong>: suojaa tieto luvattomalta k\u00e4yt\u00f6lt\u00e4 asianmukaisilla turvatoimilla.<\/li>\n\n\n
    7. Accountability<\/strong>: pysty osoittamaan, ett\u00e4 noudatat vaatimuksia (dokumentointi ja prosessit).<\/li>\n\n<\/ol>\n\n\n\n

      T\u00e4ydellinen GDPR compliance -checklist (verkkosivuston omistajalle)<\/h2>\n\n\n\n

      Checklist on jaettu teemoihin. Jokaisen kohdan alla on my\u00f6s tieto siit\u00e4, koskeeko se erityisesti rekisterinpit\u00e4j\u00e4\u00e4 (Data Controller), k\u00e4sittelij\u00e4\u00e4 (Data Processor) vai molempia, sek\u00e4 viittaus relevanttiin GDPR-artiklaan.<\/p>\n\n\n\n

      Data (mit\u00e4 tietoa sinulla on ja miss\u00e4 se liikkuu)<\/h3>\n\n\n\n

      1) Sinulla on lista kaikista hallussasi olevista henkil\u00f6tietotyypeist\u00e4, niiden l\u00e4hteist\u00e4, jakamisesta, k\u00e4ytt\u00f6tarkoituksesta ja s\u00e4ilytysajasta<\/h4>\n\n\n\n

      Applies to: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

      Tee luettelo konkreettisista tietokentist\u00e4 (\u201dkolumneista\u201d), joita s\u00e4ilyt\u00e4t: esimerkiksi nimi, henkil\u00f6tunnus, osoite. Jokaiselle tietotyypille dokumentoi:<\/p>\n\n\n\n

        \n\n
      • mist\u00e4 tieto tulee (l\u00e4hde)<\/li>\n\n\n
      • kenelle tieto jaetaan (vastaanottajat \/ palveluntarjoajat)<\/li>\n\n\n
      • mihin tarkoitukseen tieto ker\u00e4t\u00e4\u00e4n ja k\u00e4sitell\u00e4\u00e4n<\/li>\n\n\n
      • kuinka kauan tieto s\u00e4ilytet\u00e4\u00e4n (retention).<\/li>\n\n<\/ul>\n\n\n\n

        Reference:<\/strong> GDPR Article 30 \u2013 Records of processing activities<\/p>\n\n\n\n

        2) Sinulla on lista paikoista, joissa s\u00e4ilyt\u00e4t henkil\u00f6tietoja, ja kuvaus siit\u00e4, miten data virtaa niiden v\u00e4lill\u00e4<\/h4>\n\n\n\n

        Applies to: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

        T\u00e4m\u00e4 voi olla lista tietokannoista (esim. MySQL), mutta mukaan pit\u00e4\u00e4 ottaa my\u00f6s offline-varastot (paperiarkistot). Lis\u00e4ksi kuvaa dataflow: mist\u00e4 lomakkeesta tieto menee mihin j\u00e4rjestelm\u00e4\u00e4n, mit\u00e4 integraatioita on (API, webhook), ja mit\u00e4 kopioita syntyy (esim. varmistukset, lokit).<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 30 \u2013 Records of processing activities<\/p>\n\n\n\n

        3) Sinulla on julkisesti saatavilla oleva tietosuojaseloste (privacy policy), joka kuvaa kaikki henkil\u00f6tietoprosessit<\/h4>\n\n\n\n

        Applies to: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

        Tietosuojaselosteessa tulee kuvata kaikki henkil\u00f6tietojen k\u00e4sittelyyn liittyv\u00e4t prosessit. Dokumenttiin kannattaa sis\u00e4llytt\u00e4\u00e4 (tai linkitt\u00e4\u00e4) my\u00f6s: mit\u00e4 henkil\u00f6tietotyyppej\u00e4 s\u00e4ilyt\u00e4t ja miss\u00e4 j\u00e4rjestelmiss\u00e4 niit\u00e4 pidet\u00e4\u00e4n.<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 30 \u2013 Records of processing activities<\/p>\n\n\n\n

        4) Tietosuojaselosteessa on lainmukainen peruste (lawful basis) sille, miksi tietoja k\u00e4sitell\u00e4\u00e4n<\/h4>\n\n\n\n

        Applies to: Data Controller<\/em><\/p>\n\n\n\n

        Tietojen k\u00e4sittelylle pit\u00e4\u00e4 olla perustelu, esimerkiksi sopimuksen t\u00e4ytt\u00e4minen (contract).<\/p>\n\n\n\n

        Reference:<\/strong> GDPR Article 6 \u2013 Lawfulness of processing<\/p>\n\n\n\n

        Accountability & Management (vastuut, sopimukset, turvallisuus ja hallinta)<\/h3>\n\n\n\n

        5) Olet nimennyt tietosuojavastaavan (DPO) silloin kun se on pakollista<\/h4>\n\n\n\n

        Applies to: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

        DPO (Data Protection Officer, tietosuojavastaava) vaaditaan vain kolmessa tilanteessa:<\/p>\n\n\n\n

          \n\n
        1. K\u00e4sittely\u00e4 tekee viranomainen tai julkinen elin (tuomioistuimet poislukien niiden tuomiovallan k\u00e4yt\u00f6ss\u00e4).<\/li>\n\n\n
        2. Liiketoiminnan ydintoiminta koostuu k\u00e4sittelyst\u00e4, joka luonteensa, laajuutensa ja\/tai tarkoitustensa vuoksi vaatii rekister\u00f6ityjen s\u00e4\u00e4nn\u00f6llist\u00e4 ja j\u00e4rjestelm\u00e4llist\u00e4 seurantaa suuressa mittakaavassa.<\/li>\n\n\n
        3. Liiketoiminnan ydintoiminta koostuu Article 9:n mukaisten erityisten henkil\u00f6tietoryhmien (sensitive data) tai Article 10:n mukaisten rikostuomioihin ja rikkomuksiin liittyvien henkil\u00f6tietojen laajamittaisesta k\u00e4sittelyst\u00e4.<\/li>\n\n<\/ol>\n\n\n\n

          Jos DPO vaaditaan, h\u00e4nell\u00e4 tulee olla osaaminen GDPR-ohjeistuksesta sek\u00e4 ymm\u00e4rrys organisaation sis\u00e4isist\u00e4 prosesseista, joissa henkil\u00f6tietoja k\u00e4sitell\u00e4\u00e4n.<\/p>\n\n\n\n

          Reference:<\/strong> GDPR Article 37 \u2013 Designation of the data protection officer<\/p>\n\n\n\n

          6) Varmistat, ett\u00e4 p\u00e4\u00e4t\u00f6ksentekij\u00e4t tuntevat GDPR-ohjeistuksen<\/h4>\n\n\n\n

          Applies to: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

          K\u00e4yt\u00e4nn\u00f6ss\u00e4 t\u00e4m\u00e4 tarkoittaa, ett\u00e4 avainhenkil\u00f6ill\u00e4 ja p\u00e4\u00e4t\u00f6ksentekij\u00f6ill\u00e4 on ajantasainen k\u00e4sitys tietosuojalains\u00e4\u00e4d\u00e4nn\u00f6st\u00e4 ja siit\u00e4, miten se vaikuttaa tuote- ja teknisiin valintoihin.<\/p>\n\n\n\n

          Reference:<\/strong> GDPR Article 25 \u2013 Data protection by design and by default<\/p>\n\n\n\n

          7) Tekninen tietoturva on ajan tasalla<\/h4>\n\n\n\n

          Applies to: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

          Erityisesti SaaS-yrityksiss\u00e4 on j\u00e4rkev\u00e4\u00e4 k\u00e4ytt\u00e4\u00e4 turvallisuuschecklistej\u00e4 l\u00e4ht\u00f6kohtana, jotta tekniset toimenpiteet ovat oikealla tasolla (mm. kovennus, p\u00e4\u00e4synhallinta, lokitus, varmuuskopiot, haavoittuvuuksien hallinta).<\/p>\n\n\n\n

          Reference:<\/strong> GDPR Article 25 \u2013 Data protection by design and by default<\/p>\n\n\n\n

          8) Koulutat henkil\u00f6st\u00f6n tietosuoja- ja tietoturvatietoisuuteen<\/h4>\n\n\n\n

          Applies to: Data Processor<\/em><\/p>\n\n\n\n

          Monet haavoittuvuudet syntyv\u00e4t siit\u00e4, ett\u00e4 hyv\u00e4uskoinen henkil\u00f6, jolla on p\u00e4\u00e4sy sis\u00e4isiin j\u00e4rjestelmiin, toimii huijauksen tai virheen kautta. Varmista, ett\u00e4 ty\u00f6ntekij\u00e4t tunnistavat riskit ja ymm\u00e4rt\u00e4v\u00e4t toimintamallit.<\/p>\n\n\n\n

          Reference:<\/strong> GDPR Article 25 \u2013 Data protection by design and by default<\/p>\n\n\n\n

          9) Sinulla on lista alik\u00e4sittelij\u00f6ist\u00e4 (sub-processors) ja tietosuojaseloste mainitsee niiden k\u00e4yt\u00f6n<\/h4>\n\n\n\n

          Applies to: Data Processor<\/em><\/p>\n\n\n\n

          Asiakkaille tulee kertoa, jos k\u00e4yt\u00e4t alik\u00e4sittelij\u00f6it\u00e4. Suostumus saadaan k\u00e4yt\u00e4nn\u00f6ss\u00e4, kun asiakas hyv\u00e4ksyy tietosuojaselosteen.<\/p>\n\n\n\n

          Reference:<\/strong> GDPR Article 28 \u2013 Processor<\/p>\n\n\n\n

          10) Jos toimit EU:n ulkopuolelta, olet nimennyt edustajan EU:hun<\/h4>\n\n\n\n

          Applies to: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

          Jos yritys toimii EU:n ulkopuolella ja ker\u00e4\u00e4 EU-kansalaisten tietoja, tulee nimet\u00e4 edustaja johonkin j\u00e4senvaltioon. T\u00e4m\u00e4 henkil\u00f6 hoitaa k\u00e4sittelyyn liittyvi\u00e4 asioita, ja paikallisen viranomaisen on voitava ottaa h\u00e4neen yhteytt\u00e4.<\/p>\n\n\n\n

          Reference:<\/strong> GDPR Article 27 \u2013 Representatives of controllers or processors not established in the Union<\/p>\n\n\n\n

          11) Ilmoitat henkil\u00f6tietojen tietoturvaloukkaukset viranomaiselle ja rekister\u00f6idyille<\/h4>\n\n\n\n

          Applies to: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

          Henkil\u00f6tietojen tietoturvaloukkaus pit\u00e4\u00e4 raportoida 72 tunnin<\/strong> sis\u00e4ll\u00e4 valvontaviranomaiselle. Raportissa kuvataan mit\u00e4 dataa menetettiin, seuraukset ja mit\u00e4 vastatoimia on tehty. Ellei vuotanut data ollut salattu (encrypted), loukkauksesta pit\u00e4\u00e4 my\u00f6s ilmoittaa niille henkil\u00f6ille (data subjects), joiden tiedot menetit.<\/p>\n\n\n\n

          Reference:<\/strong> GDPR Article 33 \u2013 Notification of a personal data breach to the supervisory authority; GDPR Article 34 \u2013 Communication of a personal data breach to the data subject<\/p>\n\n\n\n

          12) Sinulla on sopimus jokaisen k\u00e4sittelij\u00e4n kanssa, jolle jaat dataa<\/h4>\n\n\n\n

          Applies to: Data Controller<\/em><\/p>\n\n\n\n

          Sopimuksessa pit\u00e4\u00e4 olla selke\u00e4t ohjeet siit\u00e4, miten k\u00e4sittelij\u00e4 saa tallentaa tai k\u00e4sitell\u00e4 dataa. Sopimuksen tulee m\u00e4\u00e4ritt\u00e4\u00e4:<\/p>\n\n\n\n

            \n\n
          • k\u00e4sittelyn kohde ja kesto<\/li>\n\n\n
          • k\u00e4sittelyn luonne ja tarkoitus<\/li>\n\n\n
          • henkil\u00f6tietojen tyyppi<\/li>\n\n\n
          • rekister\u00f6ityjen kategoriat<\/li>\n\n\n
          • rekisterinpit\u00e4j\u00e4n velvollisuudet ja oikeudet.<\/li>\n\n<\/ul>\n\n\n\n

            K\u00e4yt\u00e4nn\u00f6ss\u00e4 t\u00e4m\u00e4 voi olla esimerkiksi sopimus webhotellin\/hosting-palvelun kanssa. Samat sopimusvaatimukset p\u00e4tev\u00e4t my\u00f6s tilanteessa, jossa k\u00e4sittelij\u00e4 k\u00e4ytt\u00e4\u00e4 alik\u00e4sittelij\u00e4\u00e4 toteuttaakseen k\u00e4sittelytoimia rekisterinpit\u00e4j\u00e4n puolesta.<\/p>\n\n\n\n

            Reference:<\/strong> GDPR Article 28 \u2013 Processor; GDPR Article 29 \u2013 Processing under the authority of the controller or processor<\/p>\n\n\n\n

            New Rights (k\u00e4yt\u00e4nn\u00f6n prosessit rekister\u00f6idyn pyynt\u00f6ihin)<\/h3>\n\n\n\n

            13) K\u00e4ytt\u00e4j\u00e4 voi helposti pyyt\u00e4\u00e4 p\u00e4\u00e4syn omiin henkil\u00f6tietoihinsa<\/h4>\n\n\n\n

            Applies to: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

            Tarvitset selke\u00e4sti m\u00e4\u00e4ritellyn prosessin, jolla k\u00e4sittelet rekister\u00f6idyn access request -pyynn\u00f6t.<\/p>\n\n\n\n

            Reference:<\/strong> GDPR Article 15 \u2013 Right of access by the data subject<\/p>\n\n\n\n

            14) K\u00e4ytt\u00e4j\u00e4 voi helposti p\u00e4ivitt\u00e4\u00e4 tietonsa, jotta ne pysyv\u00e4t oikein<\/h4>\n\n\n\n

            Applies to: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

            Tarjoa mekanismi, jolla k\u00e4ytt\u00e4j\u00e4 voi korjata virheellisi\u00e4 tietoja.<\/p>\n\n\n\n

            Reference:<\/strong> GDPR Article 16 \u2013 Right to rectification<\/p>\n\n\n\n

            15) Poistat automaattisesti tiedot, joille ei ole en\u00e4\u00e4 k\u00e4ytt\u00f6tarvetta<\/h4>\n\n\n\n

            Applies to: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

            Poistosta kannattaa tehd\u00e4 automaattista. Esimerkiksi: poistetaan asiakkaiden data, jos sopimusta ei uusita.<\/p>\n\n\n\n

            Reference:<\/strong> GDPR Article 5 \u2013 Principles relating to processing of personal data<\/p>\n\n\n\n

            16) K\u00e4ytt\u00e4j\u00e4 voi helposti pyyt\u00e4\u00e4 henkil\u00f6tietojensa poistamista<\/h4>\n\n\n\n

            Applies to: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

            Toteuta prosessi poistopyynt\u00f6jen k\u00e4sittelyyn (\u201dright to be forgotten\u201d).<\/p>\n\n\n\n

            Reference:<\/strong> GDPR Article 17 \u2013 Right to erasure (‘right to be forgotten’)<\/p>\n\n\n\n

            17) K\u00e4ytt\u00e4j\u00e4 voi helposti pyyt\u00e4\u00e4 k\u00e4sittelyn rajoittamista (lopettamista tietyll\u00e4 tavalla)<\/h4>\n\n\n\n

            Applies to: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

            K\u00e4ytt\u00e4j\u00e4ll\u00e4 on oikeus rajoittaa, miten h\u00e4nen tietojaan k\u00e4sitell\u00e4\u00e4n.<\/p>\n\n\n\n

            Reference:<\/strong> GDPR Article 18 \u2013 Right to restriction of processing<\/p>\n\n\n\n

            18) K\u00e4ytt\u00e4j\u00e4 voi helposti pyyt\u00e4\u00e4 datan toimittamista itselleen tai kolmannelle osapuolelle<\/h4>\n\n\n\n

            Applies to: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

            Data portability tarkoittaa, ett\u00e4 k\u00e4ytt\u00e4j\u00e4 voi pyyt\u00e4\u00e4 tietonsa j\u00e4sennellyss\u00e4, yleisesti k\u00e4ytetyss\u00e4 ja koneellisesti luettavassa muodossa.<\/p>\n\n\n\n

            Reference:<\/strong> GDPR Article 20 \u2013 Right to data portability<\/p>\n\n\n\n

            19) K\u00e4ytt\u00e4j\u00e4 voi helposti vastustaa profilointia tai automaattista p\u00e4\u00e4t\u00f6ksentekoa, joka vaikuttaa h\u00e4neen<\/h4>\n\n\n\n

            Applies to: Data Controller<\/em><\/p>\n\n\n\n

            T\u00e4m\u00e4 koskee vain, jos teet profilointia tai muuta automaattista p\u00e4\u00e4t\u00f6ksentekoa.<\/p>\n\n\n\n

            Reference:<\/strong> GDPR Article 22 \u2013 Automated individual decision-making, including profiling<\/p>\n\n\n\n

            Consent (suostumus)<\/h3>\n\n\n\n

            20) Kun k\u00e4sittely perustuu suostumukseen, suostumuksen on oltava vapaaehtoinen, yksil\u00f6ity, tietoinen ja peruutettavissa<\/h4>\n\n\n\n

            Applies to: Data Controller<\/em><\/p>\n\n\n\n

            Jos sivusto ker\u00e4\u00e4 henkil\u00f6tietoja, pid\u00e4 n\u00e4kyv\u00e4 linkki tietosuojaselosteeseen ja varmista, ett\u00e4 k\u00e4ytt\u00e4j\u00e4 hyv\u00e4ksyy ehdot. Suostumus vaatii aktiivisen toiminnon: valmiiksi rastitetut checkboxit eiv\u00e4t ole sallittuja<\/strong>.<\/p>\n\n\n\n

            Reference:<\/strong> GDPR Article 7 \u2013 Conditions for consent<\/p>\n\n\n\n

            21) Tietosuojaseloste on kirjoitettu selke\u00e4sti ja ymm\u00e4rrett\u00e4v\u00e4sti<\/h4>\n\n\n\n

            Applies to: Data Controller<\/em><\/p>\n\n\n\n

            Kielen tulee olla selke\u00e4\u00e4 eik\u00e4 tarkoitusta saa piilottaa. Muuten sopimus voi k\u00e4yt\u00e4nn\u00f6ss\u00e4 vesitty\u00e4. Jos palvelua tarjotaan lapsille, tekstin on oltava my\u00f6s heid\u00e4n ymm\u00e4rrett\u00e4viss\u00e4\u00e4n.<\/p>\n\n\n\n

            Reference:<\/strong> GDPR Article 7.2 \u2013 Conditions for consent<\/p>\n\n\n\n

            22) Suostumuksen peruuttamisen on oltava yht\u00e4 helppoa kuin sen antamisen<\/h4>\n\n\n\n

            Applies to: Data Controller<\/em><\/p>\n\n\n\n

            K\u00e4ytt\u00e4j\u00e4lle ei saa tehd\u00e4 peruuttamisesta vaikeampaa kuin hyv\u00e4ksymisest\u00e4.<\/p>\n\n\n\n

            Reference:<\/strong> GDPR Article 7.3 \u2013 Conditions for consent<\/p>\n\n\n\n

            23) Jos k\u00e4sittelet lasten henkil\u00f6tietoja, varmistat i\u00e4n ja pyyd\u00e4t huoltajan suostumuksen<\/h4>\n\n\n\n

            Applies to: Data Controller<\/em><\/p>\n\n\n\n

            Alle 16-vuotiaiden osalta tulee varmistaa, ett\u00e4 laillinen huoltaja on antanut suostumuksen. Jos suostumus annetaan verkkosivun kautta, kannattaa pyrki\u00e4 varmistamaan, ett\u00e4 hyv\u00e4ksynt\u00e4 tuli oikeasti huoltajalta (eik\u00e4 lapselta).<\/p>\n\n\n\n

            Reference:<\/strong> GDPR Article 8 \u2013 Conditions applicable to child’s consent in relation to information society services<\/p>\n\n\n\n

            24) Kun p\u00e4ivit\u00e4t tietosuojaselostetta, informoit nykyisi\u00e4 asiakkaita<\/h4>\n\n\n\n

            Applies to: Data Controller<\/em><\/p>\n\n\n\n

            Esimerkiksi s\u00e4hk\u00f6postilla ennen muutoksia. Viestinn\u00e4n pit\u00e4\u00e4 selitt\u00e4\u00e4 yksinkertaisesti, mit\u00e4 muuttui.<\/p>\n\n\n\n

            Reference:<\/strong> GDPR Article 7 \u2013 Conditions for consent<\/p>\n\n\n\n

            Follow-up (jatkuva yll\u00e4pito)<\/h3>\n\n\n\n

            25) Tarkistat s\u00e4\u00e4nn\u00f6llisesti k\u00e4yt\u00e4nn\u00f6t: muutokset, toimivuus, datank\u00e4sittelyn muutokset ja maiden tilanteet, joihin dataa siirtyy<\/h4>\n\n\n\n

            Applies to: Data Controller<\/em><\/p>\n\n\n\n

            GDPR-yhteensopivuus ei ole kertaprojekti. Seuraa parhaita k\u00e4yt\u00e4nt\u00f6j\u00e4, p\u00e4ivit\u00e4 k\u00e4yt\u00e4nn\u00f6t paikallisten vaatimusten mukaan ja arvioi s\u00e4\u00e4nn\u00f6llisesti my\u00f6s rajat ylitt\u00e4v\u00e4t datavirrat.<\/p>\n\n\n\n

            Reference:<\/strong> GDPR Article 25 \u2013 Data protection by design and by default<\/p>\n\n\n\n

            Special Cases (erityistilanteet)<\/h3>\n\n\n\n

            26) Ymm\u00e4rr\u00e4t, milloin sinun on teht\u00e4v\u00e4 DPIA korkean riskin k\u00e4sittelylle<\/h4>\n\n\n\n

            Applies to: Data Controller<\/em><\/p>\n\n\n\n

            T\u00e4m\u00e4 koskee yrityksi\u00e4, jotka tekev\u00e4t laajamittaista henkil\u00f6tietojen k\u00e4sittely\u00e4, profilointia tai muuta toimintaa, jossa riski rekister\u00f6ityjen oikeuksille ja vapauksille on korkea. T\u00e4ll\u00f6in pit\u00e4\u00e4 tehd\u00e4 DPIA (Data Protection Impact Assessment, tietosuojavaikutusten arviointi).<\/p>\n\n\n\n

            Reference:<\/strong> GDPR Article 35 \u2013 Data protection impact assessment<\/p>\n\n\n\n

            27) Siirr\u00e4t dataa EU:n ulkopuolelle vain maihin, joilla on riitt\u00e4v\u00e4 tietosuojan taso \u2014 ja kerrot siirroista tietosuojaselosteessa<\/h4>\n\n\n\n

            Applies to: Data Controller, Data Processor<\/em><\/p>\n\n\n\n

            Rajat ylitt\u00e4v\u00e4t siirrot pit\u00e4\u00e4 my\u00f6s avata tietosuojaselosteessa. Jos siirr\u00e4t tietoja maihin, joita ei katsota riitt\u00e4viksi, k\u00e4yt\u00e4 Standard Contractual Clauses (SCCs) tai Binding Corporate Rules (BCRs).<\/p>\n\n\n\n

            Reference:<\/strong> GDPR Article 45 \u2013 Transfers on the basis of an adequacy decision<\/p>\n\n\n\n

            Rekister\u00f6idyn oikeudet (Data Subject Rights) \u2013 mit\u00e4 sivuston pit\u00e4\u00e4 pysty\u00e4 tukemaan<\/h2>\n\n\n\n

            Seuraavat oikeudet koskevat kaikkia rekister\u00f6ityj\u00e4 (data subjects). Vaikka et toteuttaisi kaikkea itsepalveluna, prosessin pit\u00e4\u00e4 olla olemassa, ja sinun pit\u00e4\u00e4 pysty\u00e4 vastaamaan pyynt\u00f6ihin.<\/p>\n\n\n\n

            Oikeus l\u00e4pin\u00e4kyv\u00e4\u00e4n informaatioon<\/h3>\n\n\n\n

            Rekisterinpit\u00e4j\u00e4n on annettava k\u00e4sittelyyn liittyv\u00e4t tiedot tiiviiss\u00e4, l\u00e4pin\u00e4kyv\u00e4ss\u00e4, ymm\u00e4rrett\u00e4v\u00e4ss\u00e4 ja helposti saatavilla olevassa muodossa selke\u00e4ll\u00e4 kielell\u00e4. Erityisesti lapsille suunnatussa informaation pit\u00e4\u00e4 olla heille sopivaa. Tiedot annetaan kirjallisesti tai muulla tavalla, my\u00f6s s\u00e4hk\u00f6isesti tilanteen mukaan.<\/p>\n\n\n\n

            Reference:<\/strong> GDPR Article 12<\/p>\n\n\n\n

            Oikeus saada tietyt tiedot, kun henkil\u00f6tiedot ker\u00e4t\u00e4\u00e4n suoraan<\/h3>\n\n\n\n

            T\u00e4h\u00e4n kuuluu:<\/p>\n\n\n\n

              \n\n
            1. rekisterinpit\u00e4j\u00e4n identiteetti ja yhteystiedot<\/li>\n\n\n
            2. tietosuojavastaavan yhteystiedot (jos soveltuu)<\/li>\n\n\n
            3. k\u00e4sittelyn tarkoitukset ja oikeusperuste<\/li>\n\n\n
            4. rekisterinpit\u00e4j\u00e4n oikeutetut edut (jos soveltuu)<\/li>\n\n\n
            5. henkil\u00f6tietojen vastaanottajat tai vastaanottajaryhm\u00e4t<\/li>\n\n\n
            6. tiedot siirroista kolmansiin maihin.<\/li>\n\n<\/ol>\n\n\n\n

              Reference:<\/strong> GDPR Article 13<\/p>\n\n\n\n

              Oikeus saada tietyt tiedot, kun henkil\u00f6tietoja ei ker\u00e4t\u00e4 suoraan<\/h3>\n\n\n\n

              Kun tieto saadaan muualta kuin rekister\u00f6idylt\u00e4, samantyyppiset tiedot pit\u00e4\u00e4 antaa. Lis\u00e4ksi on kerrottava kyseess\u00e4 olevien henkil\u00f6tietojen kategoriat sek\u00e4 tiedon l\u00e4hde.<\/p>\n\n\n\n

              Reference:<\/strong> GDPR Article 14<\/p>\n\n\n\n

              Tarkastusoikeus (right of access)<\/h3>\n\n\n\n

              Rekister\u00f6idyll\u00e4 on oikeus saada vahvistus siit\u00e4, k\u00e4sitell\u00e4\u00e4nk\u00f6 h\u00e4nen tietojaan, ja p\u00e4\u00e4sy ainakin seuraaviin:<\/p>\n\n\n\n

                \n\n
              • k\u00e4sittelyn tarkoitukset<\/li>\n\n\n
              • kyseess\u00e4 olevat henkil\u00f6tietokategoriat<\/li>\n\n\n
              • vastaanottajat, joille tietoja on luovutettu tai luovutetaan<\/li>\n\n\n
              • suunniteltu s\u00e4ilytysaika<\/li>\n\n\n
              • oikeudet oikaisuun, poistoon, rajoittamiseen ja vastustamiseen<\/li>\n\n\n
              • oikeus tehd\u00e4 valitus valvontaviranomaiselle<\/li>\n\n\n
              • tiedon l\u00e4hde (jos tietoa ei ker\u00e4tty rekister\u00f6idylt\u00e4)<\/li>\n\n\n
              • automaattisen p\u00e4\u00e4t\u00f6ksenteon olemassaolo, mukaan lukien profilointi.<\/li>\n\n<\/ul>\n\n\n\n

                Reference:<\/strong> GDPR Article 15<\/p>\n\n\n\n

                Oikeus oikaista tiedot (right to rectification)<\/h3>\n\n\n\n

                Rekister\u00f6idyll\u00e4 on oikeus saada virheelliset tiedot oikaistua ilman aiheetonta viivytyst\u00e4 ja puutteelliset tiedot t\u00e4ydennetty\u00e4.<\/p>\n\n\n\n

                Reference:<\/strong> GDPR Article 16<\/p>\n\n\n\n

                Oikeus tulla unohdetuksi (right to erasure)<\/h3>\n\n\n\n

                Rekister\u00f6ity voi pyyt\u00e4\u00e4 tietojensa poistamista, kun:<\/p>\n\n\n\n

                  \n\n
                1. tieto ei ole en\u00e4\u00e4 tarpeen alkuper\u00e4iseen tarkoitukseen<\/li>\n\n\n
                2. suostumus perutaan eik\u00e4 k\u00e4sittelylle ole muuta oikeusperustetta<\/li>\n\n\n
                3. rekister\u00f6ity vastustaa k\u00e4sittely\u00e4 eik\u00e4 ole olemassa ensisijaisia oikeutettuja perusteita<\/li>\n\n\n
                4. tietoja on k\u00e4sitelty lainvastaisesti<\/li>\n\n\n
                5. tiedot on poistettava lakis\u00e4\u00e4teisen velvoitteen noudattamiseksi<\/li>\n\n\n
                6. tiedot ker\u00e4ttiin lapselle tarjottuihin tietoyhteiskunnan palveluihin liittyen.<\/li>\n\n<\/ol>\n\n\n\n

                  Reference:<\/strong> GDPR Article 17<\/p>\n\n\n\n

                  Oikeus k\u00e4sittelyn rajoittamiseen (right to restriction of processing)<\/h3>\n\n\n\n

                  Rekister\u00f6ity voi pyyt\u00e4\u00e4 k\u00e4sittelyn rajoittamista, kun:<\/p>\n\n\n\n

                    \n\n
                  1. rekister\u00f6ity kiist\u00e4\u00e4 tietojen paikkansapit\u00e4vyyden (ajaksi, joka mahdollistaa varmistamisen)<\/li>\n\n\n
                  2. k\u00e4sittely on lainvastaista ja rekister\u00f6ity vastustaa poistoa<\/li>\n\n\n
                  3. rekisterinpit\u00e4j\u00e4 ei en\u00e4\u00e4 tarvitse tietoja, mutta rekister\u00f6ity tarvitsee niit\u00e4 oikeudellisten vaateiden vuoksi<\/li>\n\n\n
                  4. rekister\u00f6ity on vastustanut k\u00e4sittely\u00e4 odottaessaan oikeutettujen perusteiden varmistamista.<\/li>\n\n<\/ol>\n\n\n\n

                    Reference:<\/strong> GDPR Article 18<\/p>\n\n\n\n

                    Oikeus saada tieto oikaisusta, poistosta tai rajoittamisesta (notification)<\/h3>\n\n\n\n

                    Rekisterinpit\u00e4j\u00e4n tulee viesti\u00e4 oikaisusta, poistosta tai k\u00e4sittelyn rajoittamisesta jokaiselle vastaanottajalle, jolle tietoja on luovutettu, ellei t\u00e4m\u00e4 ole mahdotonta tai vaatisi kohtuutonta vaivaa.<\/p>\n\n\n\n

                    Reference:<\/strong> GDPR Article 19<\/p>\n\n\n\n

                    Oikeus siirt\u00e4\u00e4 tiedot j\u00e4rjestelm\u00e4st\u00e4 toiseen (data portability)<\/h3>\n\n\n\n

                    Rekister\u00f6idyll\u00e4 on oikeus saada henkil\u00f6tietonsa j\u00e4sennellyss\u00e4, yleisesti k\u00e4ytetyss\u00e4 ja koneellisesti luettavassa muodossa sek\u00e4 oikeus siirt\u00e4\u00e4 tiedot toiselle rekisterinpit\u00e4j\u00e4lle ilman estett\u00e4.<\/p>\n\n\n\n

                    Reference:<\/strong> GDPR Article 20<\/p>\n\n\n\n

                    Vastustamisoikeus (right to object)<\/h3>\n\n\n\n

                    Rekister\u00f6ity voi henkil\u00f6kohtaiseen tilanteeseensa liittyvill\u00e4 perusteilla vastustaa milloin tahansa k\u00e4sittely\u00e4, joka perustuu oikeutettuun etuun tai yleiseen etuun, mukaan lukien profilointi.<\/p>\n\n\n\n

                    Reference:<\/strong> GDPR Article 21<\/p>\n\n\n\n

                    Oikeus olla joutumatta automaattisen p\u00e4\u00e4t\u00f6ksenteon kohteeksi<\/h3>\n\n\n\n

                    Rekister\u00f6idyll\u00e4 on oikeus olla joutumatta yksinomaan automaattiseen k\u00e4sittelyyn perustuvan p\u00e4\u00e4t\u00f6ksen kohteeksi (mukaan lukien profilointi), jos p\u00e4\u00e4t\u00f6s tuottaa oikeusvaikutuksia tai muuten vaikuttaa vastaavalla tavalla merkitt\u00e4v\u00e4sti.<\/p>\n\n\n\n

                    Reference:<\/strong> GDPR Article 22<\/p>\n\n\n\n

                    K\u00e4yt\u00e4nn\u00f6n toteutus: konkreettiset askeleet verkkosivulle<\/h2>\n\n\n\n

                    1) Koveta ja suojaa verkkosivusto<\/h3>\n\n\n\n