Skip to content

GDPR:n osoitusvelvollisuus: mitä EU-yritysten on dokumentoitava

Osoitusvelvollisuus tarkoittaa, että vaatimustenmukaisuus on todistettava — ei vain väitettävä. Mitä asiakirjoja EU-yritysten on pidettävä — seloste, vaikutustenarviointi, käytännöt — ja miten kokonaisuus rakennetaan.

Hajallaan olevat henkilötietojen käsittelyn dokumentit kokoontuvat yhdeksi täydelliseksi ja tarkistetuksi GDPR:n osoitusvelvollisuuden kokonaisuudeksi, himmeän Eurooppa-kartan päällä — laivastonsininen ja korallinpunainen kermanvalkoisella.
Methodology by Daniela PiskackovaCo-founder & AI Audit Lead

Useimmat yritykset kohtelevat GDPR:n noudattamista tilana, jonka saavuttaa — allekirjoita käytäntö, lisää evästebanneri, valmista tuli. Asetus kohtelee sitä asiana, joka on pystyttävä todistamaan. Se on osoitusvelvollisuuden periaate, ja se on koko lain hiljainen keskus: 5 artiklan 2 kohdan mukaan yritys vastaa tietosuojaperiaatteiden noudattamisesta ja sen on pystyttävä osoittamaan se [1]. Käytännössä tämä osoittaminen on joukko asiakirjoja — selosteita, arviointeja, käytäntöjä ja menettelyjä, jotka kuvaavat täsmällisesti ja johdonmukaisesti, miten organisaatiosi tosiasiallisesti käsittelee henkilötietoja. Eurooppalaiselle yritykselle, jolla ei ole lakiosastoa, tämän kokonaisuuden rakentaminen ja ylläpitäminen on varsinainen GDPR-tehtävä. Tämä opas käy läpi, mitä kokonaisuus sisältää, miksi jokainen osa on olemassa ja miten velvoite eroaa eri puolilla Eurooppaa — myös sen, miksi "eurooppalainen" ei ole sama kuin "brittiläinen".

Lyhyt vastaus. GDPR:n osoitusvelvollisuus (5 artiklan 2 kohta) tarkoittaa, että yrityksen ei pidä vain noudattaa tietosuojalakia vaan myös pystyä todistamaan se — dokumentein. Ydinkokonaisuuteen kuuluvat seloste käsittelytoimista, oikeusperusteen ja tietosuojaselosteen kerros, käsittelijäsopimukset sekä vaikutustenarviointi silloin kun riski on korkea — kaikki pidettyinä paikkansapitävinä, yrityskohtaisina ja sisäisesti johdonmukaisina.

Mitä osoitusvelvollisuus oikeastaan tarkoittaa GDPR:ssä

Useimmat GDPR:n velvoitteista ovat pääpiirteissään tuttuja: hanki oikeusperuste, kerro ihmisille mitä teet heidän tiedoillaan, pidä ne turvassa, kunnioita heidän oikeuksiaan. Osoitusvelvollisuus on periaate, joka muuttaa nämä velvoitteet aikomuksista joksikin testattavaksi. 5 artiklan 2 kohta tekee rekisterinpitäjästä "vastuussa olevan ja kykenevän osoittamaan" tietosuojaperiaatteiden noudattamisen, ja 24 artikla edellyttää, että toteutat asianmukaiset toimet ja että pystyt osoittamaan, että käsittelysi on asetuksen mukaista [1]. Avainsanat ovat pystyt osoittamaan. Vaatimustenmukaisuus, jota et pysty näyttämään paperilla pyydettäessä, ei kelpaa.

Tässä todistustaakka siirtyy. Valvontaviranomainen, joka avaa tutkinnan, yritysasiakas, joka tekee toimittajan due diligence -tarkastusta, tai sopimuskumppani, joka neuvottelee sopimuksesta, ei lähde liikkeelle olettamuksesta että toimit lainvastaisesti — mutta sillä hetkellä kun he sanovat "näytä minulle", vastuu johdonmukaisen näytön tuottamisesta on sinun, ei heidän. Eikä testi mittaa määrää. Kansio yleisluontoisia käytäntöjä ei tee vaikutusta keneenkään; viranomaiset etsivät täsmällisyyttä ja sisäistä johdonmukaisuutta — asiakirjoja, jotka kuvaavat todellista käsittelyäsi, nimeävät oikeat järjestelmäsi ja toimittajasi eivätkä ole keskenään ristiriidassa. Euroopan komission oma ohjeistus organisaatioille muotoilee velvollisuuden juuri näin: vaatimustenmukaisuuden osoittaminen selostein, vaikutustenarvioinnein ja tietoturvaloukkausten dokumentoinnin avulla [2].

Tuon sanan takana olevat panokset eivät ole abstrakteja. GDPR tukee osoitusvelvollisuutta hallinnollisilla sakoilla, jotka vakavimmista rikkomuksista ovat enintään 20 miljoonaa euroa tai 4 % maailmanlaajuisesta vuotuisesta kokonaisliikevaihdosta sen mukaan kumpi on suurempi [1]. Mutta useimmille pienille ja keskisuurille yrityksille terävämpi ja toistuvampi paine on kaupallinen, ei sääntelyllinen: suuremman asiakkaan hankinta- tai toimittaja-arviointiprosessi pyytää selostettasi, käsittelijäsopimustasi ja tietoturvadokumentaatiotasi ennen kuin se allekirjoittaa — ja kauppa juuttuu sinä viikkona, jona et pysty niitä tuottamaan. Osoitusvelvollisuuden dokumentaatiosta on hiljaa tullut edellytys myynnille suuremmille organisaatioille, ja sama logiikka ulottuu vakuuttajiin ja kumppaneihin. Siksi yritykset rakentavat kokonaisuuden yhä useammin ennakoivasti — kaupallisena meriittinä, joka antaa sopimuskumppanin luottaa heihin henkilötietojen kanssa — sen sijaan että odottaisivat viranomaisen kysyvän.

Osoitusvelvollisuus siis muotoilee koko harjoituksen uudelleen. Kysymys ei ole enää "olemmeko vaatimustenmukaisia?" abstraktisti, vaan "mitä pystymme näyttämään juuri nyt jokaisesta asiasta, jonka teemme henkilötiedoilla?" Kaikki alla oleva on vastaus tähän kysymykseen.

Dokumentaatiokokonaisuus: mitä eurooppalaisten yritysten on näytettävä

Yhtä "GDPR-sertifikaattia" ei ole. Sen sijaan osoitusvelvollisuus näytetään toteen joukolla asiakirjoja, joista jokainen liittyy tiettyyn velvoitteeseen ja jotka yhdessä kattavat kaikki toiminnot, joissa organisaatiosi käsittelee henkilötietoja. Se, mitä osia tarvitset, riippuu siitä mitä teet — pelkkä toimittajaan tukeutuminen tuo mukaan käsittelijäsopimuksen, korkean riskin käsittely tuo mukaan vaikutustenarvioinnin — mutta selkäranka on yhtenäinen eurooppalaisissa yrityksissä.

Käytännössä kokonaisuus rakennetaan käsittely kerrallaan:

  • Seloste käsittelytoimista, 30 artikla. Selkärankana toimiva asiakirja: luettelo jokaisesta käsittelystä — mitä tietoja, keiden, miksi, millä perusteella, kenen kanssa jaetaan, kuinka kauan säilytetään, mikä suojaa niitä. Kansalliset viranomaiset kuten Ranskan CNIL julkaisevat malleja juuri siksi, että tähän välineeseen ne tarttuvat ensimmäisenä; se on viranomaisten sanoin asiakirja, jolla on sekä luettelointi- että analyysitarkoitus ja jonka on heijastettava käsittelysi todellisuutta [1][4].
  • Oikeusperuste jokaiselle käsittelylle, 6 artikla — sekä oikeutettuun etuun perustuva arviointi. Jokainen käsittely tarvitsee yhden kuudesta oikeusperusteesta. Kun nojaat oikeutettuun etuun (6 artiklan 1 kohdan f alakohta), sinun on dokumentoitava kolmiosainen tasapainotesti — tarkoitus, tarpeellisuus ja punninta yksilön oikeuksia vastaan — kurinalaisuus, jonka unionin tuomioistuin vahvisti uudelleen vuoden 2024 KNLTB-ratkaisussaan [1][9].
  • Tietosuojaselosteet, 13–14 artikla. Se, mitä kerrot henkilöille joiden tietoja säilytät, riippuen siitä keräsitkö ne suoraan heiltä vai et. Selosteen on vastattava selostetta käsittelytoimista; ristiriita sen välillä mitä sanot ja mitä kirjaat on juuri sellainen, jota viranomainen etsii [1].
  • Käsittelijäsopimukset, 28 artikla. Aina kun toimittaja käsittelee henkilötietoja puolestasi — palkkatoimisto, pilvipalvelu, sähköpostialusta — 28 artikla edellyttää sopimusta määritellyin ehdoin. Komissio julkaisee viralliset vakiosopimuslausekkeet juuri tähän, ja vaatimustenmukainen sopimus voi rakentua niiden varaan [1][5].
  • Siirtoa koskevat suojatoimet, V luku. Jos henkilötiedot siirtyvät Euroopan talousalueen ulkopuolelle, tarvitset pätevän siirtomekanismin — riittävyyttä koskevan päätöksen tai komission kansainvälisiä siirtoja koskevat vakiosopimuslausekkeet [1][6].
  • Tietosuojaa koskeva vaikutustenarviointi, 35 artikla. Vaaditaan, kun käsittely todennäköisesti aiheuttaa korkean riskin — erityisten henkilötietoryhmien laajamittainen käsittely, järjestelmällinen valvonta, laaja profilointi. Eurooppalainen ohjeistus asettaa yhdeksän kriteeriä ja pitää kahta tai useampaa laukaisevana tekijänä; jokainen kansallinen viranomainen julkaisee myös oman pakollisen vaikutustenarvioinnin luettelonsa [1][3].
  • Menettelyjä, ei pelkkiä asiakirjoja. Kokonaisuuden ympärille tulevat operatiiviset osat: prosessi rekisteröidyn pyyntöjen käsittelemiseksi kuukauden määräajassa (12–22 artikla), tietoturvaloukkausprosessi, joka kykenee ilmoittamaan viranomaiselle 72 tunnin kuluessa silloin kun se vaaditaan (33–34 artikla), sekä sisäinen käytäntö, joka kuvaa tekniset ja organisatoriset toimet, jotka pitävät tiedot turvassa (24, 32 artikla) [1].

Se on anatomia. Taito on tehdä siitä sinun omasi — jokainen kenttä jäljitettävissä johonkin todelliseen yrityksessäsi — eikä kansiollinen uskottavalta näyttävää yleisluontoista tekstiä.

Yksi asetus, monta valvojaa — eurooppalainen kuva

Tässä eurooppalainen kehystys merkitsee, ja tässä on helppo erehtyä lukemalla brittikeskeisiä neuvoja. GDPR on asetus, ei direktiivi: asetus (EU) 2016/679 on suoraan sovellettavaa oikeutta jokaisessa EU:n jäsenvaltiossa ja laajemmalla Euroopan talousalueella, johon kuuluvat Norja, Islanti ja Liechtenstein [1][2]. Kantavat artiklat — osoitusvelvollisuus, oikeusperuste, seloste, vaikutustenarviointi, rekisteröidyn oikeudet — ovat sanasta sanaan samaa tekstiä Saksassa, Ranskassa, Italiassa, Espanjassa, Puolassa, Slovakiassa ja kaikkialla muualla. Euroopan laajuisesti toimiva yritys rakentaa EU-ytimen kerran.

Mikä muuttuu, on tuon ytimen päälle kannettava kansallinen taso. Jokaisella maalla on oma valvontaviranomaisensa — CNIL Ranskassa, Garante Italiassa, AEPD Espanjassa, BfDI ja osavaltioiden viranomaiset Saksassa ja niin edelleen — ja jokainen voi antaa kansallisia erityispiirteitä: ikä, jolloin lapsi voi antaa suostumuksen verkkopalveluihin (asetettu jonnekin 13 ja 16 ikävuoden väliin eri puolilla unionia), työsuhdetietojen säännöt sekä viranomaisen oma luettelo käsittelyistä, jotka aina edellyttävät vaikutustenarviointia. Johdonmukaisuutta näiden valvojien välillä pitää koossa Euroopan tietosuojaneuvosto ja yhden luukun mekanismi, jotta ydin ei pirstoudu [8]. Osoitusvelvollisuuden kokonaisuuden kannalta tämä tarkoittaa, että rakenne on yhtenäinen ja vaihtelu rajattua: kartoita EU-ydin ja kerrosta sitten kourallinen kansallisia erityispiirteitä jokaiselle maalle jossa toimit.

Ja juuri tästä syystä eurooppalainen ei ole sama kuin brittiläinen. Brexitin jälkeen Yhdistynyt kuningaskunta on EU:n GDPR:n ulkopuolella. Se soveltaa omaa UK GDPR -asetustaan vuoden 2018 tietosuojalain rinnalla, ICO:n valvonnassa, ja on alkanut eriytyä EU-tekstistä kotimaisen uudistuksen kautta. Sveitsillä, joka ei ole koskaan ollut EU:ssa, on oma uudistettu liittovaltion tietosuojalakinsa. EU-painotteisen yrityksen tulisi siis kohdella Yhdistynyttä kuningaskuntaa ja Sveitsiä erillisinä, rinnakkaisina järjestelminä — omina lainkäyttöalueinaan dokumentoitavina — eikä EU-asetuksen paikallisina muunnelmina [2]. Suuri osa laajalti jaetusta "GDPR"-ohjeistuksesta on tosiasiassa brittiläistä ohjeistusta; EU:hun ja ETA:han keskittyvälle käsittelylle asetus, valvojat ja viittaamasi lähdetekstit ovat eurooppalaisia.

Missä osoitusvelvollisuus vaikeutuu: tekoäly ja automaattiset päätökset

Tekoälyn käyttöönotto ei luo erillistä vaatimustenmukaisuuden maailmankaikkeutta, mutta se lisää painoa osoitusvelvollisuuden kokonaisuuteen. Kolme seikkaa merkitsee. Ensinnäkin automaattiseen päätöksentekoon ja profilointiin, jolla on oikeudellisia tai vastaavalla tavalla merkittäviä vaikutuksia ihmisiin, liittyy erityisiä suojatoimia 22 artiklan nojalla — mukaan lukien monissa tapauksissa oikeus ihmisen väliintuloon [1]. Toiseksi tekoäly, joka käsittelee henkilötietoja laajasti tai profiloi yksilöitä, täyttää usein 35 artiklan kriteerit ja laukaisee siten vaikutustenarvioinnin [1][3]. Kolmanneksi tarvitset edelleen selkeän, dokumentoidun oikeusperusteen kaikelle henkilötietoihin kohdistuvalle koulutukselle tai päättelylle.

GDPR:n päälle EU:n tekoälysäädös (asetus (EU) 2024/1689) tuo erillisen, riskiperusteisen velvoitekerroksen itse tekoälyjärjestelmille [7]. Kaksi järjestelmää kulkevat rinnakkain: tekoälysäädös hallinnoi järjestelmää, GDPR hallinnoi henkilötietoja, joita se koskettaa — ja GDPR:n osoitusvelvollisuus pätee siitä hetkestä, kun tekoälyjärjestelmä käsittelee henkilötietoja, riippumatta siitä miten tekoälysäädös sen luokittelee. Käytännön seuraus on, että työtä tekoälyyn siirtävä organisaatio perii enemmän dokumentoitavaa, ei vähemmän. Käsittelemme laajempaa sääntelyn lähentymistä oppaassamme tekoälyn hallinnasta ja siihen sovellettavista säännöistä, ja toimintamallin, joka pitää tämän näytön syntymässä tavanomaisen työn sivutuotteena, oppaassa tekoälynatiivista yrityksestäEN.

Rehellinen varauma: dokumentaatio on välttämätöntä, ei riittävää

Olisi kätevää sanoa, että kun kokonaisuus on olemassa, olet vaatimustenmukainen. Et ole — ja muunlainen teeskentely on klassinen tapa, jolla osoitusvelvollisuus epäonnistuu. Kolme rehellistä rajaa.

Ensinnäkin asiakirjojen on vastattava todellisuutta, ja sinun on toimittava niiden mukaan. Käytäntö, joka kuvaa pääsynhallintaa jota järjestelmäsi eivät pane täytäntöön, tai seloste, josta puuttuu vastaanoton kameravalvonta, ei ole neutraali — se on todiste vaatimustenvastaisuudesta. Kokonaisuus osoittaa osoitusvelvollisuuden vain, jos se on täsmällinen, sisäisesti johdonmukainen ja todella eletty. Toiseksi dokumentaatiokokonaisuus ei ole oikeudellista neuvontaa eikä sertifiointia. Lain vaatimien selosteiden tuottaminen on jäsenneltyä laadintaa, ei oikeudellista lausuntoa erityistilanteestasi; eikä hyvä paperityö tuo mitään "GDPR-sertifioitua" asemaa — 42 artiklan mukainen muodollinen sertifiointireitti on erillinen, akkreditoitu mekanismi. Kolmanneksi jotkin tilanteet vaativat ammattilaisen. Aidosti monimutkainen vaikutustenarviointi, kiistanalainen rajat ylittävä rakenne tai käynnissä oleva sääntelytutkinta eivät ole mallien aluetta; oikea siirto siellä on eskaloida pätevälle neuvonantajalle, ja hyvä osoitusvelvollisuuden prosessi kertoo sinulle milloin.

Näiden rajojen nimeäminen ei ole varauma. Se on ero kokonaisuuden, joka kestää tarkastelun, ja kansion, joka romahtaa ensimmäisellä kerralla kun joku lukee sen huolellisesti, välillä.

Miten rakennat osoitusvelvollisuuden kokonaisuutesi

Realistisesti kokonaisuuden voi tuottaa kolmella tavalla. Lakitoimisto tai tietosuojavastaava-konsultti antaa sinulle tarkkuutta ja harkintaa, mutta hitaasti ja kustannuksella, joka rasittaa pienempää yritystä. Yleiset mallit ovat nopeita ja halpoja, mutta ne eivät läpäise täsmällisyyden ja johdonmukaisuuden testiä, jota viranomaiset todella soveltavat — ja ristiriitainen tai ontto kokonaisuus on pahempi kuin rehellinen aukko. Kolmas reitti on tuotteistettu, generoitu kokonaisuus: vastaat jäsenneltyihin kysymyksiin yrityksestäsi ja sen käsittelytoimista, ja räätälöity, sisäisesti johdonmukainen kokonaisuus kootaan lausekekirjastosta, joka rakentuu asetuksen ja virallisen ohjeistuksen varaan — nopea kuten mallit, mutta sinulle räätälöity kuten lakimies.

Rakenna kokonaisuus ilman lakitoimiston aikataulua. easyAI:n GDPR-osoitusvelvollisuuden dokumentaatio muuttaa lyhyen ohjatun kyselyn yrityksestäsi ja siitä miten se käsittelee henkilötietoja räätälöidyksi, sisäisesti johdonmukaiseksi osoitusvelvollisuuden kokonaisuudeksi — seloste käsittelytoimista, sisäinen käytäntö, tietosuojaselosteet, käsittelijäsopimukset, oikeutettuun etuun perustuva arviointi silloin kun sitä tarvitset sekä vaikutustenarvioinnin esiseulonta — generoituna päivissä, englanniksi ja kansallisella kielelläsi, murto-osalla räätälöidyn toimeksiannon hinnasta. Se on dokumentaatiotukea, ei oikeudellista neuvontaa tai sertifiointia, ja se olettaa että toimit niin kuin se kuvaa. Jos seuraava askeleesi on tekoäly eikä paperityö, AI Foundation AuditEN järjestää, missä automaatio maksaa itsensä takaisin; aloita esimerkkiraportistaEN. Molemmat tuotteet sijaitsevat easyAI-alustalla osoitteessa aiprioritymap.com.

Oma osuutesi on suoraviivainen: luetteloi jokainen käsittely, joka koskettaa henkilötietoja, kiinnitä oikeusperuste kullekin, kirjoita niitä kuvaavat selosteet ja tiedotteet, sovi toimittajat sopimuksin, arvioi korkean riskin tapaukset ja pystytä oikeus- ja tietoturvaloukkausmenettelyt — pidä sitten koko kokonaisuus ajan tasalla käsittelysi muuttuessa. Osoitusvelvollisuus ei ole projekti, jonka saat valmiiksi; se on tila, jota ylläpidät. Mutta ensimmäinen, vaikein 80 % — täydellinen, johdonmukainen, yrityskohtainen kokonaisuus, jonka voit asettaa kenen tahansa kysyjän eteen — on juuri se osa, jonka voi nyt generoida käsin rakentamisen sijaan.

Usein kysytyt kysymykset

Yhteenveto

GDPR:n osoitusvelvollisuus — todista se, älä vain väitä
│
├─ Periaate (5 art. 2 kohta, 24 art.)
│   ├─ Vaatimustenmukaisuuden on oltava osoitettavissa, ei vain väitetty
│   ├─ Todistustaakka on sinulla, rekisterinpitäjällä
│   └─ Viranomaiset testaavat täsmällisyyttä + johdonmukaisuutta, eivät määrää
│
├─ Mitä sinun on pystyttävä näyttämään
│   ├─ Seloste käsittelytoimista — jokainen käsittely (30 art.)
│   ├─ Oikeusperuste + oikeutettuun etuun perustuva arviointi (6 art.)
│   ├─ Tietosuojaselosteet · käsittelijäsopimukset · siirrot (13/14, 28 art., V luku)
│   └─ Vaikutustenarviointi korkean riskin tapauksissa · oikeus- + tietoturvaloukkausmenettelyt
│
└─ Yksi asetus, monta valvojaa
    ├─ EU + ETA jakavat yhden ytimen — kartoita se kerran
    ├─ Kansalliset valvontaviranomaiset lisäävät erityispiirteitä — CNIL, Garante, AEPD…
    └─ Ei Yhdistynyt kuningaskunta — UK GDPR + Sveitsin tietosuojalaki ovat erillisiä

Aiheeseen liittyvät artikkelit

Tulevat osat tässä klusterissa: miten rakentaa seloste käsittelytoimista, milloin ja miten suorittaa vaikutustenarviointi, oikeusperusteen valinta, rekisteröidyn oikeuksien menettelyt, 28 artiklan käsittelijäsopimus sekä GDPR tekoälylle ja automaattisille päätöksille.


Päivitetty viimeksi: kesäkuu 2026. Versio 1.0.

Frequently Asked Questions

Mikä on GDPR:n osoitusvelvollisuuden periaate?
Osoitusvelvollisuus on määritelty yleisen tietosuoja-asetuksen 5 artiklan 2 kohdassa: rekisterinpitäjä vastaa tietosuojaperiaatteiden noudattamisesta ja sen on pystyttävä osoittamaan se. Periaate siirtää todistustaakan yritykselle. Henkilötietoja ei riitä käsitellä lainmukaisesti — sinun on pystyttävä myös näyttämään dokumentein, miten ja miksi käsittelet niitä. Juuri tätä näyttöä valvontaviranomainen, asiakas tai sopimuskumppani pyytää nähtäväkseen.
Mitä asiakirjoja GDPR oikeasti vaatii?
Ydinkokonaisuuteen kuuluvat seloste käsittelytoimista (30 artikla), oikeusperuste jokaiselle käsittelylle ja oikeutettuun etuun perustuva arviointi silloin kun siihen nojataan (6 artikla), tietosuojaselosteet niille henkilöille joiden tietoja säilytät (13–14 artikla), sopimukset toimittajiesi kanssa (28 artikla) sekä tietosuojaa koskeva vaikutustenarviointi, kun käsittely todennäköisesti aiheuttaa korkean riskin (35 artikla). Näiden ympärille tulevat menettelyt rekisteröidyn oikeuksia ja tietoturvaloukkauksia varten sekä sisäinen käytäntö teknisistä ja organisatorisista toimista.
Sovelletaanko GDPR:ää samalla tavalla kaikkialla Euroopassa?
Ydin sovelletaan. Asetus (EU) 2016/679 on suoraan sovellettavaa oikeutta koko EU:ssa ja laajemmalla Euroopan talousalueella — samat artiklat pätevät Saksassa, Ranskassa, Italiassa, Slovakiassa ja jokaisessa muussa jäsenvaltiossa sekä Norjassa, Islannissa ja Liechtensteinissa. Vaihtelua tuo kansallinen taso: jokaisella maalla on oma valvontaviranomaisensa ja kourallinen kansallisia erityispiirteitä, kuten ikä jolloin lapsi voi antaa suostumuksen verkkopalveluihin, työsuhdetietojen säännöt ja viranomaisen oma luettelo käsittelyistä, jotka aina edellyttävät vaikutustenarviointia.
Kuuluuko Yhdistynyt kuningaskunta EU:n GDPR:n piiriin?
Ei enää. Brexitin jälkeen Yhdistynyt kuningaskunta soveltaa omaa UK GDPR -asetustaan vuoden 2018 tietosuojalain rinnalla, ICO:n valvonnassa, ja on alkanut eriytyä EU-tekstistä kotimaisen uudistuksen kautta. Myös Sveitsillä on oma uudistettu liittovaltion tietosuojalakinsa. "Eurooppalainen" tietosuoja ei siis ole yksi järjestelmä: EU ja ETA jakavat yhden ytimen, kun taas Yhdistynyt kuningaskunta ja Sveitsi ovat erillisiä, rinnakkaisia järjestelmiä, joita EU-painotteinen yritys kohtelee omina lainkäyttöalueinaan eikä paikallisina muunnelmina.
Onko pienten yritysten ja pk-yritysten pidettävä selostetta käsittelytoimista?
Yleensä kyllä. 30 artiklan 5 kohta näyttää vapauttavan alle 250 työntekijän organisaatiot, mutta vapautus raukeaa, jos käsittely on muuta kuin satunnaista, aiheuttaa todennäköisesti riskin ihmisille tai koskee erityisiä henkilötietoryhmiä — mikä kuvaa lähes jokaista yritystä, joka maksaa palkkoja, säilyttää asiakastietoja tai käyttää kameravalvontaa. Käytännössä useimmat pk-yritykset eivät ole vapautettuja, ja eurooppalaiset valvontaviranomaiset suosittelevat selosteen pitämistä joka tapauksessa, koska se on hyödyllisin yksittäinen väline osoitusvelvollisuuden täyttämiseen.
Milloin yritys tarvitsee tietosuojaa koskevan vaikutustenarvioinnin?
Vaikutustenarviointi vaaditaan 35 artiklan nojalla, kun käsittely todennäköisesti aiheuttaa korkean riskin ihmisten oikeuksille ja vapauksille — erityisesti erityisten henkilötietoryhmien laajamittainen käsittely, julkisten alueiden järjestelmällinen valvonta tai järjestelmällinen ja laaja profilointi, jolla on oikeudellisia tai vastaavalla tavalla merkittäviä vaikutuksia. Eurooppalainen ohjeistus asettaa yhdeksän riskikriteeriä ja pitää kahden tai useamman täyttymistä vahvana merkkinä arvioinnin tarpeesta. Jokainen kansallinen viranomainen julkaisee myös oman luettelonsa käsittelyistä, jotka aina edellyttävät arviointia.
Voiko vain käyttää yleisiä GDPR-asiakirjamalleja?
Mallit voivat olla lähtökohta, mutta ne eivät läpäise testiä, jota viranomaiset todella soveltavat: täsmällisyyttä ja sisäistä johdonmukaisuutta. Käytäntö, joka kuvaa turvatoimia joita järjestelmissäsi ei ole, tai seloste, josta puuttuu vastaanoton kameravalvonta, on todiste vaatimustenvastaisuudesta — ei sen vastakohdasta. Asiakirjojen on kuvattava organisaatiosi todellista käsittelyä, nimettävä oikeat järjestelmäsi ja toimittajasi eivätkä ne saa olla keskenään ristiriidassa — ja sinun on myös toimittava niin kuin ne kuvaavat.
Muuttaako tekoälyn käyttö GDPR-velvoitteitamme?
Se nostaa panoksia sen sijaan että korvaisi säännöt. Automaattiseen päätöksentekoon ja profilointiin liittyy erityisiä suojatoimia 22 artiklan nojalla, henkilötietoja laajasti käsittelevä tekoäly laukaisee usein vaikutustenarvioinnin, ja tarvitset edelleen selkeän oikeusperusteen kaikelle henkilötietojen koulutus- tai päättelykäytölle. EU:n tekoälysäädös lisää erillisen, riskiperusteisen velvoitekerroksen tekoälyjärjestelmille, mutta GDPR:n osoitusvelvollisuus pätee jo siitä hetkestä, kun tekoälyjärjestelmä koskettaa henkilötietoja — dokumentoitavaa on vain enemmän.

Sources

  1. 1.Regulation (EU) 2016/679 (General Data Protection Regulation)European Union (EUR-Lex, Official Journal L 119) · 2016
  2. 2.Rules for business and organisations (data protection)European Commission · 2024
  3. 3.Guidelines, Recommendations and Best Practices (incl. DPIA WP248 rev.01; controller/processor 07/2020; consent 05/2020)European Data Protection Board (EDPB) · 2024
  4. 4.Record of processing activities (Article 30 guidance and template)CNIL (French Data Protection Authority) · 2024
  5. 5.Commission Implementing Decision (EU) 2021/915 — standard contractual clauses between controllers and processors (Article 28)European Commission (EUR-Lex) · 2021
  6. 6.Commission Implementing Decision (EU) 2021/914 — standard contractual clauses for international data transfersEuropean Commission (EUR-Lex) · 2021
  7. 7.Regulation (EU) 2024/1689 (Artificial Intelligence Act)European Union (EUR-Lex, Official Journal) · 2024
  8. 8.European Data Protection Board — role and consistency mechanismEuropean Data Protection Board (EDPB) · 2024
  9. 9.Judgment in Case C-621/22 (KNLTB) — legitimate interest as a lawful basisCourt of Justice of the European Union (EUR-Lex) · 2024

Want this run on your business?

AI Foundation Audit — a structured assessment of your AI footprint: integration risks, governance gaps, ROI opportunities. Delivered as a comprehensive report you can act on.

Start your audit

You receive your Executive Report and Implementation Brief — tailored to your business and delivered immediately.