EemelEemel Accounting
    Blogi
    Compliance16.2.2026

    GDPR taloushallinnossa: henkilötiedot, oikeusperuste ja rekisteriseloste

    Taloushallinto käsittelee väistämättä henkilötietoja: asiakkaiden nimiä, osoitteita ja pankkitilinumeroita. Käymme läpi, mitä pienyrityksen taloushallinnon on otettava huomioon GDPR:n kannalta.

    Taloushallinto käsittelee väistämättä henkilötietoja: asiakkaiden nimiä, osoitteita, pankkitilinumeroita ja palkkadataa. EU:n yleinen tietosuoja-asetus (GDPR) asettaa selkeät vaatimukset näiden tietojen käsittelylle. Tässä artikkelissa käymme läpi, mitä pienyrityksen taloushallinnon on otettava huomioon.

    Henkilötiedot taloushallinnossa – mitä ne ovat?

    GDPR:n mukaan henkilötietoja ovat kaikki tiedot, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön. Taloushallinnossa tyypillisiä henkilötietoja ovat:

    • Asiakkaiden ja toimittajien nimet, osoitteet ja y-tunnukset (henkilöyrityksillä)
    • Pankkitilinumerot
    • Laskujen yhteyshenkilöiden sähköpostit ja puhelinnumerot
    • Palkkatiedot ja henkilötunnukset (palkanlaskenta)
    • Matka- ja kululaskujen tiedot

    Oikeusperuste henkilötietojen käsittelylle

    GDPR edellyttää, että jokaiselle henkilötietojen käsittelylle on oikeusperuste. Taloushallinnossa käytetään yleensä seuraavia:

    • Sopimuksen täyttäminen: laskujen lähettäminen ja maksujen vastaanottaminen
    • Lakisääteinen velvoite: kirjanpitolain mukaiset säilytysvelvollisuudet, veroraportointi
    • Oikeutettu etu: perintätoimet, luottoriskien arviointi

    Pienyritykselle tämä tarkoittaa käytännössä: sinulla on oikeus käsitellä asiakkaasi tietoja laskutusta ja kirjanpitoa varten ilman erillistä suostumusta, koska käsittely perustuu sopimukseen ja lakiin.

    Säilytysajat taloushallinnon asiakirjoissa

    GDPR edellyttää, ettei tietoja säilytetä pidempään kuin on tarpeellista. Taloushallinnossa säilytysajat määräytyvät pääasiassa kirjanpitolain mukaan:

    AsiakirjatyyppiSäilytysaikaPeruste
    Kirjanpitokirjat (tase, tuloslaskelma, pääkirja)10 vuotta tilikauden päättymisestäKirjanpitolaki 2:10
    Tositteet (laskut, kuitit)6 vuotta tilikauden päättymisestäKirjanpitolaki 2:10
    Palkka-aineistot10 vuottaEnnakkoperintälaki, eläkelait
    ALV-aineisto6 vuottaArvonlisäverolaki

    Kun lakisääteinen säilytysaika päättyy, henkilötiedot on poistettava tai anonymisoitava.

    Mini-checklist pienyritykselle

    1. Tee rekisteriseloste (tietosuojaseloste), jossa kerrot, mitä henkilötietoja käsittelet ja miksi
    2. Määritä säilytysajat asiakirjatyypeittäin
    3. Varmista, että taloushallinto-ohjelmistosi (esim. Eemel Accounting) on GDPR-yhteensopiva
    4. Rajaa pääsy henkilötietoihin vain niille, jotka niitä tarvitsevat
    5. Sovi tietojenkäsittelysopimus tilitoimiston ja muiden käsittelijöiden kanssa
    6. Poista vanhentuneet tiedot säännöllisesti

    Käytännön esimerkki: toiminimiyritttäjä ja rekisteriseloste

    Toiminimiyrittäjä piti asiakasrekisteriä Excelissä ja laskutti PDF-laskuilla. GDPR:n näkökulmasta tilanne oli ongelmallinen: ei rekisteriselostetta, ei tietoturvaa, ei säilytysaikojen seurantaa.

    Eemel Accounting käyttöönotto ratkaisi useimmat ongelmat:

    • Asiakastiedot ovat suojatussa järjestelmässä, ei avoimessa Excel-tiedostossa
    • Pääsy rajattu käyttäjätunnuksella ja salasanalla
    • Taloushallinto-ohjelmisto tarjoaa pohjan rekisteriselosteelle
    • Vanhat tiedot voi poistaa järjestelmällisesti

    Kokeile käytännössä

    Eemel Accounting on suunniteltu GDPR-vaatimukset huomioiden. Henkilötiedot ovat turvassa ja käsittely on hallinnassa.

    Kokeile 14 päivää

    Usein kysytyt kysymykset

    Tarvitseeko pienyritys rekisteriselosteen?

    Kyllä, jos käsittelet henkilötietoja (esim. asiakkaiden nimiä ja osoitteita laskutusta varten). Rekisteriseloste on oltava saatavilla.

    Voiko kirjanpitoaineiston poistaa GDPR:n perusteella?

    Ei ennen lakisääteisen säilytysajan päättymistä. Kirjanpitolaki menee tässä GDPR:n edelle.

    Tarvitaanko tilitoimiston kanssa tietojenkäsittelysopimus?

    Kyllä. Tilitoimisto käsittelee henkilötietoja puolestasi, joten GDPR edellyttää kirjallista sopimusta.

    Miten GDPR vaikuttaa pankkiyhteyksiin?

    Pankkiyhteyden kautta haetut tilitapahtumat sisältävät henkilötietoja. Käsittely perustuu sopimukseen ja lakiin. Lue lisää PSD2-artikkelistamme.

    Pitääkö asiakkaalta pyytää suostumus laskutustietojen käsittelyyn?

    Ei yleensä. Laskutustietojen käsittely perustuu sopimuksen täyttämiseen, ei suostumukseen.

    Tämä artikkeli on yleisluontoinen eikä ole oikeudellista neuvontaa.

    Eemelin taustalla on Epic Invoicing Oy | Y-tunnus: 2571844-9 | VAT-tunnus: FI25718449

    Täysin suomalaisomisteinen yhtiö | Kotipaikka: Tampere, Suomi