EemelEemel Accounting
    Blog
    Compliance16.2.2026

    GDPR taloushallinnossa: henkilötiedot, oikeusperuste ja rekisteriseloste

    Taloushallinto käsittelee väistämättä henkilötietoja: asiakkaiden nimiä, osoitteita ja pankkitilinumeroita. Käymme läpi, mitä pienyrityksen taloushallinnon on otettava huomioon GDPR:n kannalta.

    "Finans yönetimi kaçınılmaz olarak kişisel verileri işler: müşteri adları, adresler, banka hesap numaraları ve bordro verileri. AB Genel Veri Koruma Tüzüğü (GDPR), bu verilerin işlenmesi için net gereklilikler belirler. Bu makalede küçük işletmelerin finans yönetiminde nelere dikkat etmesi gerektiğini ele alıyoruz."

    "Finans yönetiminde kişisel veri nedir?"

    "GDPR’ye göre kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Finans yönetimindeki tipik kişisel veriler şunlardır:"

    • "Müşteri ve tedarikçilerin adları, adresleri ve işletme kimlikleri (şahıs işletmeleri için)"
    • "Banka hesap numaraları"
    • "Fatura iletişim kişilerinin e-posta adresleri ve telefon numaraları"
    • "Bordro verileri ve kişisel kimlik numaraları (bordro için)"
    • "Seyahat ve masraf raporu bilgileri"

    "Kişisel verilerin işlenmesinin hukuki dayanağı"

    "GDPR, kişisel verilerin her işlenmesi için hukuki bir dayanak bulunmasını gerektirir. Finans yönetiminde genellikle aşağıdakiler kullanılır:"

    • "Sözleşmenin yerine getirilmesi: faturaların gönderilmesi ve ödemelerin alınması"
    • "Yasal yükümlülük: muhasebe mevzuatına göre saklama yükümlülükleri, vergi raporlaması"
    • "Meşru menfaat: alacak tahsili, kredi riski değerlendirmesi"

    For a small business, this practically means: you have the right to process your customer's data for invoicing and accounting without separate consent, as the processing is based on a contract and law.

    Finans yönetimi belgeleri için saklama süreleri

    GDPR, verilerin gerekenden daha uzun süre saklanmamasını gerektirir. Finans yönetiminde saklama süreleri öncelikle muhasebe mevzuatı tarafından belirlenir:

    AsiakirjatyyppiSäilytysaikaPeruste
    Kirjanpitokirjat (tase, tuloslaskelma, pääkirja)10 vuotta tilikauden päättymisestäKirjanpitolaki 2:10
    Tositteet (laskut, kuitit)6 vuotta tilikauden päättymisestäKirjanpitolaki 2:10
    Palkka-aineistot10 vuottaEnnakkoperintälaki, eläkelait
    ALV-aineisto6 vuottaArvonlisäverolaki

    When the statutory retention period ends, personal data must be deleted or anonymized.

    Mini-checklist for a small business

    1. Create a privacy policy (data protection statement) where you explain what personal data you process and why
    2. Define retention periods by document type
    3. Ensure that your financial administration software (e.g. Eemel Accounting) is GDPR compliant
    4. Limit access to personal data only to those who need it
    5. Agree on a data processing agreement with your accounting firm and other processors
    6. Regularly delete outdated data

    Practical example: sole proprietor and privacy policy

    A sole proprietor kept a customer register in Excel and invoiced with PDF invoices. From a GDPR perspective, the situation was problematic: no privacy policy, no data security, no monitoring of retention periods.

    The adoption of Eemel Accounting solved most of the problems:

    • Customer data is in a secure system, not in an open Excel file
    • Access limited by username and password
    • The financial administration software provides a template for a privacy policy
    • Old data can be systematically deleted

    Try it in practice

    Eemel Accounting, GDPR gereklilikleri dikkate alınarak tasarlanmıştır. Kişisel veriler güvendedir ve işleme kontrol altındadır.

    Try for 14 days

    Frequently asked questions

    Does a small business need a privacy policy?

    Yes, if you process personal data (e.g. customer names and addresses for invoicing). A privacy policy must be available.

    Can accounting material be deleted based on GDPR?

    Not before the statutory retention period expires. The Accounting Act takes precedence over GDPR here.

    Is a data processing agreement needed with an accounting firm?

    Evet. Muhasebe firması kişisel verileri sizin adınıza işler, bu nedenle GDPR yazılı bir sözleşme gerektirir.

    How does GDPR affect bank connections?

    Account transactions retrieved via bank connection contain personal data. Processing is based on contract and law. Daha fazla oku in our PSD2 article.

    Does consent need to be requested from the customer for processing invoicing data?

    Not usually. The processing of invoicing data is based on fulfilling a contract, not on consent.

    This article is general in nature and does not constitute legal advice.

    Eemel'in arkasında Epic Invoicing Oy bulunmaktadır | İşletme Kimlik Numarası: 2571844-9 | KDV Numarası: FI25718449

    Tamamen Finlandiya sermayeli bir şirket | Konum: Tampere, Finlandiya