Tietosuoja

Mitä ovat evästeet — pk-yrityksen GDPR-yhteensopiva suostumus 2026

Mitä evästeet ovat, mitkä vaativat suostumuksen ja miten pk-yritys täyttää Tietosuojavaltuutetun 2021 ohjeet 2026. Käytännön opas CMP-valintaan ja sanktioriskeihin.

Olli Junes · · 7 min

Evästebanneri on monelle pk-yritykselle se vähiten harkittu osa verkkosivua. Sen klikkaa kasaan jollain ilmaisella pluginilla, eikä siihen palata ennen kuin Tietosuojavaltuutetun toimisto lähettää selvityspyynnön. Ongelma on, että GDPR on ollut voimassa 25.5.2018 lähtien ja Tietosuojavaltuutettu antoi tarkennetut suostumuksen kriteerit vuonna 2021. Pelisäännöt ovat kahdeksan vuotta vanhat, mutta moni suomalainen verkkosivu rikkoo niitä yhä päivittäin.

Käyn alla läpi mitä eväste teknisesti on, mitkä kategoriat vaativat suostumuksen, mitä Tietosuojavaltuutettu vaatii pannulta ja mitkä työkalut sopivat pk-yritykselle.

Mikä eväste on

Eväste on pieni tekstitiedosto, jonka verkkosivu tallentaa selaimeesi. Sisältö on yleensä tunniste, asetusarvo tai aikaleima. Kun palaat sivulle, selain lähettää evästeen takaisin palvelimelle, ja sivu osaa esimerkiksi muistaa kirjautumisesi.

Tekniset käyttötavat jakautuvat neljään pääryhmään: istunnonhallinta (login, ostoskori), preferenssit (kielivalinta, teema), analytiikka (kävijämittaus) ja markkinointi (mainosten kohdennus). GDPR ja sähköisen viestinnän palveluista annettu laki kohtelevat näitä eri tavalla.

Neljä kategoriaa — ja milloin suostumus vaaditaan

Välttämättömät evästeet

Näitä ovat kirjautumisistunto, ostoskorin sisältö, lomakkeen CSRF-suojaus ja kuormantasaajan reititysavain. Ilman näitä sivu ei toimi siinä tarkoituksessa, johon kävijä on tullut. Välttämättömät evästeet eivät vaadi suostumusta GDPR:n eivätkä ePrivacy-säännösten mukaan. Niistä on kuitenkin kerrottava tietosuojaselosteessa.

Toiminnalliset evästeet

Esimerkkejä ovat valittu kieli, valitut evästeasetukset itse, fonttikoko tai pimeän tilan asetus. Jos eväste tallentaa vain käyttäjän aktiivisen valinnan ja parantaa käyttökokemusta, sitä pidetään usein osana välttämätöntä toiminnallisuutta. Suostumusta ei tällöin vaadita.

Analytiikkaevästeet

Tämä on yleisimmin väärin tehty kategoria. Google Analytics 4, Matomo pilvipalveluna, Plausible ulkoiselta domainilta — kaikki nämä vaativat suostumuksen ennen kuin niiden skripti saa latautua. Suomessa Tietosuojavaltuutettu on linjannut, että GA4:n käyttö ilman suostumusta on lähtökohtaisesti GDPR:n vastaista, koska se siirtää dataa Yhdysvaltoihin ja luo selainsormenjäljen.

Itse hostattu Matomo, joka pseudonymisoi IP-osoitteen ja jättää pois selainsormenjäljen, voi olla suostumusvapaata. Edellytys on, että data pysyy omalla palvelimellasi eikä mene kolmannelle osapuolelle.

Markkinointievästeet

Meta Pixel, LinkedIn Insight Tag, Google Ads -konversioseuranta, TikTok Pixel. Nämä vaativat aina nimenomaisen suostumuksen, ja suostumus on kerrottava käyttötarkoituskohtaisesti. "Hyväksyn markkinointievästeet" ei riitä, jos data jaetaan kuudelle eri yhteistyökumppanille — kunkin nimi on löydyttävä selosteesta.

Tietosuojavaltuutetun 2021 ohjeet — viisi kriteeriä

Tietosuojavaltuutetun toimisto julkaisi vuonna 2021 päivitetyn ohjeen evästesuostumuksen edellytyksistä. Suostumuksen on täytettävä viisi ehtoa, ja jos yksikin puuttuu, suostumus ei ole pätevä.

Vapaaehtoinen. Käyttäjää ei saa pakottaa antamaan suostumusta sisältöön pääsemiseksi. "Cookie wall", joka peittää koko sivun ja vaatii hyväksynnän, on lähtökohtaisesti laiton — paitsi jos käyttäjälle tarjotaan aito vaihtoehto, esimerkiksi maksullinen mainoksetin versio.

Yksilöity. Eri evästekategoriat on valittava erikseen. Yksi "hyväksy" -nappi koko paketille ei kelpaa, jos kategorioita on useita.

Tietoinen. Käyttäjälle on kerrottava ennen suostumuksen antamista, mitä evästeitä asennetaan, mihin tarkoitukseen ja kenelle data siirtyy. Tämä tarkoittaa toimittajien nimiä ja säilytysaikoja, ei vain yleistä "parannamme käyttökokemusta" -lupausta.

Yksiselitteinen. Suostumus on aktiivinen toiminta. Esivalitut rastit eivät kelpaa. Selaimen sulkemista, sivulla vierittämistä tai bannerin sivuuttamista ei saa tulkita suostumukseksi.

Peruutettavissa yhtä helposti kuin annettu. Jos suostumuksen antoi yhdellä klikkauksella, sen on peruttavissa yhdellä klikkauksella. Käytännössä tämä tarkoittaa pysyvää "evästeasetukset"-linkkiä jokaisen sivun alaosassa.

"Hyväksy kaikki" ja "vain välttämättömät" — saman kokoluokan painikkeet

Yksi yleisimmistä rikkomuksista on suunnitella banneri niin, että vihreä "hyväksy kaikki" -nappi on iso ja värikäs, kun taas "vain välttämättömät" piilotetaan harmaaksi tekstilinkiksi. Tietosuojavaltuutettu on antanut huomautuksia yrityksille juuri tästä, koska valinta ei tällöin ole vapaaehtoinen.

Sääntö on, että kieltäytymisen on oltava yhtä helppoa kuin hyväksymisen. Käytännössä tämä tarkoittaa kahta saman kokoista painiketta vierekkäin. Jos lisäät kolmannen "räätälöi" -painikkeen, sen saa olla pienempi, mutta kahden ensimmäisen on oltava samanarvoisia.

CMP-vertailu pk-yritykselle

CMP eli Consent Management Platform on työkalu, joka hoitaa bannerin, kategoriavalinnat, suostumuslokin ja skriptien estämisen ennen suostumusta. Pk-yrityksen valikoima on käytännössä neljä vaihtoehtoa.

Cookiebot

Tanskalainen, GDPR-yhteensopiva ja Tietosuojavaltuutetun ohjeisiin mukautuva. Skannaa sivun automaattisesti ja luokittelee evästeet kategorioihin. Hinta alkaa noin 9 €/kk per domain pienelle sivustolle ja nousee 50–100 €/kk verkkokaupoille. Suomenkielinen käyttöliittymä ja seloste valmiina.

Iubenda

Italialainen kilpailija, hyvä tietosuojaselosteiden generaattori, hinta 9–29 €/kk. Skannaus ei ole yhtä syvällinen kuin Cookiebotilla, ja suomenkielinen tuki on heikompi.

OneTrust

Enterprise-ratkaisu, jota käyttävät pörssiyhtiöt ja monikansalliset organisaatiot. Hinnasto alkaa nelinumeroisista summista vuodessa. Pk-yritykselle ylimitoitettu.

Complianz (WordPress-plugin)

Ilmainen WordPress-plugin, Pro-versio noin 79 €/vuosi. Riittää useimmille pk-yrityksille, jos sivusto on WordPressissä ja evästeitä on enintään muutamasta kymmenestä. Vaatii enemmän manuaalista konfigurointia kuin Cookiebot, koska skannaus on suppeampi.

Resahostin Pro+ -pakettiin sisältyy Cookiebot-konfiguraatio, joka on suomenkielinen ja viety vastaamaan Tietosuojavaltuutetun 2021 ohjeita. Et maksa lisenssistä erikseen etkä joudu konfiguroimaan kategorioita itse.

Sanktiot — mitä noudattamatta jättäminen maksaa

Tietosuojavaltuutetun toimisto voi määrätä hallinnollisia seuraamusmaksuja, joiden enimmäismäärä on 20 miljoonaa euroa tai 4 prosenttia liikevaihdosta. Käytännössä pk-yritykselle todennäköisimmät seuraukset ovat huomautus, pakottava määräys korjata käytännöt ja seuraamusmaksu, joka asettuu välille 1 000 – 50 000 euroa.

Ennakkotapauksia löytyy. Finnair sai vuonna 2020 noin 100 000 euron seuraamusmaksun tietosuojarikkomuksesta, ja vuonna 2025 S-Pankille määrättiin 1,8 miljoonan euron sakko, Yliopiston Apteekille 1,1 miljoonaa ja Aktialle 865 000 euroa. Evästerikkomuksissa summat ovat tyypillisesti pienempiä, mutta lopullinen luku riippuu rikkomuksen kestosta, asianomaisten määrästä ja siitä, oliko kyseessä huolimattomuus vai tahallinen laiminlyönti.

Sakkoa suurempi riski pk-yritykselle on yleensä korjausvelvoite. Kun Tietosuojavaltuutettu vaatii dokumentaation päivitystä, banneri-koodin korjausta ja vaikutusarvioinnin tekemistä, työaikaa kuluu helposti 40–80 tuntia ja konsulttilaskut nousevat 5 000–15 000 euroon.

NIS2-yhteys: sama CEO vastaa molemmista

Evästesääntely tulee GDPR:stä ja sähköisen viestinnän palveluista annetusta laista. Kyberturvallisuuslaki, joka panee toimeen NIS2-direktiivin (laki 124/2025, voimaan 8.4.2025), on oma kokonaisuutensa. Juridisesti ne ovat erillisiä, mutta käytännössä saman pk-yrityksen toimitusjohtaja vastaa molemmista.

Jos hallitus kysyy "miten meillä on tietosuoja kunnossa", vastauksen on katettava sekä evästesuostumukset että NIS2:n vaatima riskienhallinta. Yhden dokumentin puuttuminen vie uskottavuuden molemmilta puolilta. Tämä on syy, miksi kannattaa rakentaa tietosuojadokumentaatio yhtenä kokonaisuutena, ei kahtena erillisenä projektina.

Mitä teet ensi viikolla

Avaa oma sivustosi inkognito-ikkunassa. Tarkista neljä asiaa.

  1. Latautuvatko analytiikka- tai markkinointiskriptit ennen kuin painat "hyväksy"? Jos kyllä, banneri on rikki — skriptit on estettävä siihen asti, kunnes suostumus on annettu.
  2. Onko "vain välttämättömät" -painike samankokoinen kuin "hyväksy kaikki"? Jos ei, korjaa.
  3. Löytyykö sivun alaosasta "evästeasetukset"-linkki, jolla suostumuksen voi perua? Jos ei, lisää.
  4. Onko tietosuojaselosteessa lueteltu jokainen toimittaja, jolle dataa siirtyy? Pelkkä "käytämme analytiikkapalveluita" ei riitä.

Jos kolme näistä neljästä ei ole kunnossa, sivustosi on todennäköisesti GDPR:n vastainen tällä hetkellä.

Resahost Pro+ — Cookiebot valmiina pakettiin

Resahostin Pro+ -paketti sisältää Cookiebot Pro -lisenssin, jonka konfiguraatio on tehty Tietosuojavaltuutetun 2021 ohjeiden mukaiseksi. Saat suomenkielisen bannerin, kategorisoinnin ja suostumuslokin ilman erillistä lisenssimaksua tai konsulttityötä.

Aja ilmainen tietoturva-auditti omalle verkkotunnuksellesi. Raportti kertoo sähköpostin, TLS:n ja PHP-version tilan, ja se sopii liitettäväksi tietosuojadokumentaatioon. Jos haluat keskustella evästesuostumuksen tai laajemman tietosuojan järjestämisestä juuri sinun yrityksellesi, lue webhotelli-vertailu 2026, jossa Cookiebot-sisältyvyys on yhtenä vertailukohtana, ja tutustu CEO-vastuuta käsittelevään Vastaamo-analyysiin sekä kyberturvallisuuden pk-perusteisiin.

Lähteet: Tietosuojavaltuutetun toimisto (tietosuoja.fi) — ohje evästesuostumuksesta 2021, EU:n yleinen tietosuoja-asetus (2016/679) voimaan 25.5.2018, sähköisen viestinnän palveluista annettu laki (917/2014), kyberturvallisuuslaki 124/2025 voimaan 8.4.2025, Tietosuojavaltuutetun seuraamusmaksupäätökset 2020 (Finnair) ja 2025 (S-Pankki, Yliopiston Apteekki, Aktia), European Data Protection Board guidelines 03/2022 ja 05/2020 suostumuksesta.