Matkustajailmoitus ja matkustajarekisteri 2026: täydellinen opas

19. huhtikuuta 2026 · Lukuaika ~7 minuuttia · Lainsäädäntö

Paolo Vezzola

Perustaja · Vezpa PMS · Profiili →

Huomio: tässä artikkelissa mainitut sakkojen määrät ja aikarajat ovat suuntaa antavia ja voivat olla vanhentuneita. Virallisen ja ajantasaisen tiedon saat lain 308/2006, henkilötietolain, ulkomaalaislain sekä poliisin ja tietosuojavaltuutetun (tietosuoja.fi) sivustoilta.

Jos Suomessa harjoitat majoitusliikettä — pientä hotellia, B&B:tä, mökkivuokrausta, loma-asuntoa Airbnb:n kautta tai cottage-majoitusta — sinun on yleisesti lain majoitus- ja ravitsemistoiminnasta (308/2006) mukaan pidettävä matkustajailmoitusta yöpyneistä asiakkaista. Rekisteri on säilytettävä laissa säädetty aika, ja tiedot on luovutettava poliisille pyynnöstä. Velvollisuus koskee laajasti erilaisia majoitustyyppejä. Tässä oppaassa selitän, mitä rekisteriin tulee kirjata, miten tietoja säilytetään GDPR:n mukaisesti ja miten prosessi voidaan automatisoida PMS-järjestelmällä.

Lainsäädännöllinen perusta

Matkustajailmoituksen pitovelvollisuus perustuu lakiin majoitus- ja ravitsemistoiminnasta (308/2006), erityisesti sen 6 §:ään "Matkustajailmoitus ja matkustajarekisteri". Tämä laki korvasi aiemman vuoden 1937 asetuksen, ja siinä säädetään:

Velvollisuus pitää rekisteri jokaisesta asiakkaasta
Tietojen sisältö (nimi, syntymäaika, kansalaisuus, asiakirjan numero jne.)
Rekisterin säilytysaika (vähintään yksi vuosi sisäänkirjautumisesta)
Velvollisuus luovuttaa tiedot poliisille pyynnöstä
Tietojen hävittämisvelvollisuus säilytysajan päätyttyä

Toinen tärkeä laki on henkilötietolaki (1050/2018), joka panee täytäntöön EU:n yleisen tietosuoja-asetuksen (GDPR) Suomessa. GDPR asettaa tiukat vaatimukset henkilötietojen käsittelylle, mukaan lukien matkustajarekisterin tiedoille: tietoja saa säilyttää vain niin kauan kuin on tarpeen, niitä on suojattava asianmukaisesti ja rekisteröidyillä on oikeus pyytää omien tietojensa näkemistä, korjaamista tai poistamista (säilytysajan päätyttyä).

Kolmas merkittävä laki ulkomaalaisten osalta on ulkomaalaislaki (301/2004), joka antaa poliisille oikeuden pyytää majoitusliikkeiltä matkustajatietoja erityisesti maahantulo- ja turvallisuusvalvonnan puitteissa.

Kenen on pidettävä matkustajailmoitusta

Velvollisuus koskee yleisesti majoitusliikkeitä Suomessa, riippumatta niiden koosta tai muodosta. Konkreettisesti tämä tarkoittaa muun muassa:

Hotellit — kaikki kokoluokat ja tähtien määrä
Majatalot, hostellit ja retkeilymajat
Pienhotellit, bed & breakfastit ja pensionaatit
Loma-asunnot lyhytaikaisessa vuokrauksessa (Airbnb, Booking.com, Vrbo)
Lomamökit ja vuokramökit
Kylpyläkeskukset ja maatilamajoitus
Leirintäalueet (camping) mökkipaikoilla
Huoneistohotellit ja apartment-hotellit
Urheilu- ja kuntoutuskeskukset majoituksella

Velvollisuus on poissuljettu ainoastaan voittoa tavoittelemattomilta ei-kaupallisilta järjestelyiltä (esim. turvakodeilta, lähiomaisten vieraanvaraisuudelta) ja pitkäaikaisilta vuokrasopimuksilta (yli 30 päivää, jolloin kyseessä on vuokralaki 481/1995, ei majoituslaki 308/2006).

Tärkeää Airbnb-vuokranantajille: Jos vuokraat huoneistoasi Airbnb:n kautta lyhytaikaisesti (alle 30 päivää), olet majoitusliikkeen määritelmän piirissä ja sinun on pidettävä matkustajailmoitusta. Ei ole "yksityisen vuokrauksen" poikkeusta. Laki 308/2006 koskee myös yhden huoneiston vuokraajia, jos vuokraus on toistuvaa ja kaupallista luonteeltaan.

Mitä matkustajailmoituksen tulee sisältää

Laki 308/2006 6 § määrää matkustajailmoituksen tarkan sisällön. Jokaisen asiakkaan osalta on kirjattava:

Tieto	Kuvaus
Etunimi ja sukunimi	Tarkasti kuten henkilöllisyystodistuksessa
Syntymäaika	PP.KK.VVVV muodossa
Kansalaisuus	ISO 3166-1 -maakoodi
Kotiosoite	Katuosoite, postinumero, kaupunki, maa
Henkilöllisyystodistuksen laji	Passi, henkilökortti, ajokortti (vain suomalaisille)
Henkilöllisyystodistuksen numero	Täydellinen alfanumeerinen numero
Sisäänkirjautumispäivä	Check-in, pakolliset aikaleimat
Uloskirjautumispäivä	Aiottu tai toteutunut check-out
Huoneen tai yksikön numero	Jossa asiakas majoittuu
Majoituksen tarkoitus	Vapaaehtoinen, mutta suositeltava (matkailu, liike, perhe, muu)

Edellä mainitut tiedot on kirjattava kaikilta yli yön yöpyneiltä asiakkailta. Lyhyitä oleskeluja (alle 24 tuntia) ei tarvitse rekisteröidä, mutta käytännössä useimmat majoitusliikkeet rekisteröivät aina jokaisen kirjautumisen, koska ero "yksi yö" ja "vähemmän kuin 24 tuntia" on liian hiuksenhieno PMS:n automaattisen logiikan kannalta.

Säilytysaika ja tietojen hävittäminen

Laki 308/2006 määrittelee säilytysajan vähintään yhdeksi vuodeksi asiakkaan sisäänkirjautumispäivästä laskettuna. Tämä on EU-alueen lyhyin velvoiteaika — esimerkiksi Italia säätää 3 vuotta, Slovakia 5 vuotta, Slovenia 5 vuotta ja Kroatia 7 vuotta. Suomen lyhyt säilytysaika heijastaa maan tiukempaa tietosuojakulttuuria.

Säilytysajan päätyttyä GDPR velvoittaa hävittämään tiedot automaattisesti, paitsi jos niitä tarvitaan oikeudellisiin menettelyihin tai verotukseen. Käytännössä:

Matkustajailmoituksen henkilötiedot (nimi, syntymäaika, kansalaisuus, osoite, asiakirjan numero) on poistettava viimeistään 12 kuukauden kuluttua check-inistä
Laskutustiedot ja tilinpäätösaineisto on säilytettävä 6 vuotta kirjanpitolain (1336/1997) mukaan — mutta nämä ovat anonymisoituja ja koskevat tapahtumia, eivät henkilöitä
Asiakkaan suostumuksella (jota voidaan pyytää check-inissä) tietoja voidaan säilyttää pidempään markkinointi- tai CRM-tarkoituksiin, mutta vain eksplisiittisellä suostumuksella

Suomessa vuoden säilytysajan rajoitus on keskeinen peruste sille, miksi paperilla pidetyt rekisterit ovat yhä yleisiä pienissä majoitusliikkeissä — niitä on helpompi hävittää kuin elektronisia. Mutta tämä on lyhytnäköinen strategia, koska elektroninen PMS pystyy automaattisesti poistamaan henkilötiedot 12 kuukauden jälkeen ja säilyttämään vain tilastotiedot, jotka ovat anonymisoituja.

Tietojen luovuttaminen poliisille

Toisin kuin monissa muissa EU-maissa, Suomessa ei ole päivittäistä automaattista rekisteröintiä poliisille. Tiedot annetaan ainoastaan pyynnöstä. Laki 308/2006 6 § 3 momentti sanoo:

"Majoitusliikkeen harjoittajan on luovutettava matkustajarekisteritiedot poliisille turvallisuusselvitysten ja rikosten selvittämisen kannalta tarpeellisen yksilöidyn pyynnön perusteella."

Tämä tarkoittaa, että et itse toimita tietoja ennalta, vaan vastaat poliisin kirjalliseen tai suulliseen pyyntöön tietyn asiakkaan tai ajanjakson osalta. Pyyntö voi tulla:

Paikalliselta poliisilaitokselta rikostutkinnan yhteydessä
Suojelupoliisilta (Supo) turvallisuusselvityksen yhteydessä
Rajavartiolaitokselta ulkomaalaisten maahantulon valvonnassa
Tullilta erityisissä tapauksissa (esim. huumausaineiden, rahanpesun selvitys)

Pyyntöön on vastattava viipymättä ja tiedot on toimitettava poliisin osoittamassa muodossa (yleensä sähköpostitse salatussa tiedostossa tai paperilla). Kieltäytyminen ilman pätevää syytä on rangaistavaa.

Ulkomaalaisten erityiskohtelu

Ulkomaalaislain (301/2004) mukaan poliisilla on laajemmat oikeudet pyytää tietoja ulkomaalaisista (ml. EU-kansalaisista), jotka yöpyvät majoitusliikkeessä. Suomessa ei ole säännöllistä ennaltailmoitusta ulkomaalaisista kuten Italiassa (Alloggiati Web) tai Sloveniassa (eTurizem), mutta poliisi voi pyytää tietoja proaktiivisesti esimerkiksi epäilyttävien matkailutapahtumien yhteydessä.

Käytännössä matkustajailmoituksesi kenttärakenne on sama suomalaisille ja ulkomaalaisille — mutta ulkomaalaisilla henkilöllisyystodistuksen laji on lähes aina passi tai henkilökortti (EU-maat), ei ajokortti. PMS:n on tuettava molempia ja tallennettava henkilöllisyystodistuksen valokuva (GDPR-salattuna) mahdollisen myöhemmän kontrollin helpottamiseksi.

Sakot ja seuraamukset

Matkustajailmoitusta koskevien velvollisuuksien laiminlyönti on rikkomus (ei rikos), ja sen sanktiot määritellään lain 308/2006 16 §:ssä:

Rikkomus	Sakko
Matkustajailmoituksen pitämisen laiminlyönti	suuntaa antavasti päiväsakkoja (noin 200-3 000 €)*
Puutteellinen tai virheellinen rekisteri	suuntaa antavasti päiväsakkoja*
Tietojen luovuttamatta jättäminen poliisille pyynnöstä	suuntaa antavasti päiväsakkoja tai toistuvissa tapauksissa suurempi sakko*
Ei-säännönmukaisen rekisterin pitäminen	varoitus + mahdollinen hallinnollinen sanktio
Toistuva rikkomus	seuraamuksia voidaan tiukentaa
Rekisterin tahallinen tuhoaminen tai väärentäminen	mahdollinen rikostutkinta rikoslain perusteella

Päiväsakon suuruus määräytyy rikoksentekijän tulojen mukaan Suomessa (yksi päiväsakko = noin 1/60 kuukausituloista nettona). Siksi matkustajailmoituksen pitämisen laiminlyönnin sakon suuruus vaihtelee suuresti yksityishenkilön ja ison yrityksen välillä. Esimerkiksi yksityisen Airbnb-vuokranantajan 10 päiväsakon rikkomus voi maksaa 200-300 €, mutta ison hotelliyrityksen sama rikkomus voi olla 30 000-60 000 €.

Huomio: Suomen poliisi (aluehallintoviraston valvonnalla) tekee säännöllisiä tarkastuksia majoitusliikkeille, erityisesti Helsingissä, Rovaniemellä, Ivalossa, Levillä ja Savonlinnassa kesän ja talven matkailukausilla. Tarkastukset ovat yleensä ennalta ilmoittamattomia, ja jos rekisteriä ei ole tai se on puutteellinen, sanktiot voidaan määrätä heti paikalla.

Prosessin automatisointi PMS:llä

Ruudullisen paperilla pidetyn rekisterin tai Excel-taulukon manuaalinen täyttäminen on toteutuskelpoista vain alkeisella tasolla. Jos majoitusliikkeessäsi on enemmän kuin 2-3 vierasta viikossa, ruudullisesti paperilla pidetty rekisteri muuttuu nopeasti hankalaksi ja altistuu virheille. Hyvin asetettu PMS automatisoi:

OCR-tunnistus henkilöllisyystodistuksesta tai passista: sisäänkirjautumisessa otat kuvan asiakkaan dokumentista, ja PMS täyttää automaattisesti kaikki tarvittavat kentät (etunimi, sukunimi, syntymäaika, kansalaisuus, asiakirjan numero, voimassaolo)
Sähköinen matkustajailmoitus: rekisteröi jokaisen vieraan aikajärjestyksessä, haku-, suodatus- ja vientitoiminnoilla PDF- tai Excel-muotoon
Automaattinen 12 kuukauden säilytysajan hallinta: henkilötiedot merkitään poistettaviksi tietyn päivämäärän jälkeen ja poistetaan automaattisesti GDPR:n mukaisesti
Poliisipyyntöjen nopea valmistelu: kun poliisi pyytää tietoja, voit tuottaa vaaditun raportin sekunneissa, ilman että joudut etsimään tietoja kymmenistä tiedostoista
Dokumenttien tallentaminen: säilyttää henkilöllisyystodistusten/passien valokuvat salatussa muodossa GDPR:n mukaisesti, automaattisesti poistettuna 12 kuukauden kuluttua
Digitaalinen allekirjoitus tabletilla: asiakas allekirjoittaa check-inissä tietosuojaselosteen ja suostumuksen henkilötietojen käsittelyyn tabletilla, paperilomakkeiden sijaan

Matkustajailmoitus yhdellä klikkauksella Vezpalla

Vezpa pitää automaattisesti matkustajailmoitusta ja poistaa henkilötiedot 12 kuukauden kuluttua GDPR:n mukaisesti. OCR-tunnistus, digitaalinen allekirjoitus, poliisipyyntöjen valmistelu. Ei enää manuaalista työtä.

Kokeile ilmaiseksi

Usein kysytyt kysymykset

Onko pakko rekisteröidä myös lapset?

Kyllä. Laki 308/2006 ei tee eroa aikuisten ja lasten välillä — jokainen asiakas, joka yöpyy, on rekisteröitävä, mukaan lukien vauvat. Alle 15-vuotiaiden osalta voit käyttää vanhemman henkilöllisyystodistusta viitteenä, jos lapsella ei ole omaa, mutta heidän nimensä, syntymäaikansa ja kansalaisuutensa tiedot on merkittävä erikseen.

Pitääkö rekisteröidä myös päivävieraat (ilman yöpymistä)?

Ei. Velvollisuus koskee vain yli yön yöpyneitä asiakkaita. Päivävieraat (esim. spa-kylpyläasiakkaat, kokousvieraat) eivät tarvitse rekisteröintiä, koska he eivät ole "majoittujia" lain tarkoituksessa. Jos asiakas kuitenkin käyttää huonetta lepotaukoon keskellä päivää ilman yöpymistä (day use), rekisteröintiä ei vaadita, mutta monet PMS:t silti rekisteröivät nämä yksinkertaisuuden vuoksi.

Voinko säilyttää rekisteriä pidempään kuin vuoden?

Vain asiakkaan eksplisiittisellä suostumuksella. GDPR:n periaatteiden mukaan tietojen säilytysajan tulee olla "ei pidempi kuin on tarpeen käsittelyn tarkoitukseen". Matkustajailmoituksen laillinen tarkoitus täyttyy 12 kuukaudessa. Jos haluat säilyttää tietoja kauemmin (esim. CRM- tai markkinointitarkoituksiin), sinun on pyydettävä asiakkaalta eri suostumus, joka on vapaaehtoinen ja erillinen check-inin pakollisesta rekisteröintiin. Asiakas voi milloin tahansa peruuttaa suostumuksensa ja vaatia tietojensa poistamista.

Mikä on hotellin vastuu, jos tiedot varastetaan?

GDPR (artikla 33) vaatii, että hotelli raportoi tietomurron tietosuojavaltuutetun toimistoon (tietosuoja.fi) 72 tunnin kuluessa havaitsemisesta. Jos tietomurto vaikuttaa suuresti asiakkaisiin (esim. passitietojen varkaus, jolla voidaan tehdä identiteettivarkauksia), asiakkaita on myös tiedotettava. Sanktiot GDPR-rikkomuksesta voivat olla jopa 20 miljoonaa euroa tai 4 % maailmanlaajuisesta liikevaihdosta. Siksi on tärkeää, että PMS tallentaa tiedot salatussa muodossa ja käyttää asianmukaisia suojauksia (2FA, käyttäjähallinta, audit log).

Yhteenveto

Matkustajailmoitus on Suomen majoitusliikkeen peruslaki-velvollisuus ja samalla yksi yksinkertaisimmista: ei päivittäistä keskitettyä raportointia, ei OTA-verrattua kontrollia (toisin kuin Italiassa tai Sloveniassa), vain vuoden mittainen sähköinen tai paperinen rekisteri, joka on luovutettava poliisille pyynnöstä. Tämä yksinkertaisuus on kuitenkin harhaanjohtavaa, koska vaatimukset ovat tiukat: täydellinen tietueiden kirjaaminen, GDPR:n mukainen säilytys ja 12 kuukauden hävittämisvelvollisuus.

Hyvä uutinen on, että prosessi voidaan pitkälti automatisoida PMS-järjestelmällä. Oikein asetettuna matkustajailmoituksen pitäminen menee minuuteista sekunteihin ja poliisipyyntöjen käsittely helpottuu merkittävästi.

Vastuuvapauslauseke: tämä opas on luonteeltaan tiedottava eikä korvaa lainopillista neuvontaa. Sakkojen tarkat määrät ja viranomaiskäytännöt voivat muuttua ajan myötä. Keskeiset lähteet: laki 308/2006 majoitus- ja ravitsemistoiminnasta; henkilötietolaki (1050/2018) ja GDPR; ulkomaalaislaki (301/2004); Finlex (finlex.fi); poliisi (poliisi.fi); tietosuojavaltuutetun toimisto (tietosuoja.fi). Omaa tilannetta varten on syytä kääntyä poliisin tai lakimiehen puoleen.