Mitä evästeitä saa käyttää ilman suostumusta Suomessa?

Ilman suostumusta saa käyttää ainoastaan evästeitä, jotka ovat ehdottoman välttämättömiä palvelun tekniselle toiminnalle sähköisen viestinnän palveluista annetun lain (917/2014) 205 §:n mukaisesti. Tällaisia evästeitä ovat istuntoevästeet kirjautumiseen ja ostoskorin toimintaan, CSRF-suojaevästeet tietoturvaan, kuormantasausevästeet, suostumuksen tallentavat evästeet (paradoksaalisesti myös suostumustila tallennetaan evästeeseen) sekä maksuturvallisuuteen liittyvät evästeet. Analytiikkaevästeet, markkinointievästeet, toiminnalliset mieltymysevästeet ja kolmansien osapuolten evästeet vaativat käyttäjän nimenomaisen suostumuksen. Epäselvissä tapauksissa tietosuojavaltuutetun toimiston ohjeistus ja eurooppalaisten valvontaviranomaisten ohjeet ovat hyviä tulkintalähteitä.

Voiko sivuston käyttöä edellyttää evästeiden hyväksymistä vastaan?

Pääsääntöisesti ei. Niin sanottu cookie wall — sivuston käytön edellyttäminen evästeiden hyväksymistä vastaan — tekee suostumuksesta epäpätevän yleisen tietosuoja-asetuksen (EU 2016/679) 7 artiklan mukaisesti, koska suostumus ei ole vapaaehtoinen, jos vaihtoehtona on palvelun epääminen. Euroopan tietosuojaneuvosto on ohjeessa 05/2020 selventänyt, että cookie wall ei ole pätevä suostumuksen mekanismi. Poikkeuksia voi olla maksullisten sisältöpalveluiden yhteydessä, mutta Suomessa tietosuojavaltuutetun toimisto suhtautuu näihin tiukasti. Käytännössä paras ratkaisu on tarjota sivuston perustoiminnot myös niille, jotka kieltäytyvät ei-välttämättömistä evästeistä, ja pyytää suostumus lisäarvopalveluille erikseen.

Onko Google Analytics lainmukainen ilman suostumusta Suomessa?

Ei. Google Analytics tallentaa evästeen (_ga, _gid) käyttäjän selaimeen ja kerää IP-osoitetietoa, joka on henkilötieto yleisen tietosuoja-asetuksen (EU 2016/679) mukaisesti Suomessa tietosuojavaltuutetun toimiston tulkinnan mukaan. Tähän käyttöön vaaditaan käyttäjän suostumus sekä sähköisen viestinnän palveluista annetun lain (917/2014) 205 §:n nojalla että yleisen tietosuoja-asetuksen (EU 2016/679) 6 artiklan 1 kohdan a alakohdan nojalla. Suostumus on pyydettävä ennen Google Analyticsin latautumista. Myös Google Analyticsin data siirtyy Yhdysvaltoihin, mikä vaatii yleisen tietosuoja-asetuksen (EU 2016/679) 46 artiklan mukaisen siirtoperusteen, kuten vakiosopimuslausekkeet. Monien organisaatioiden käyttämä IP-anonymisointi ei poista suostumustarvetta kokonaan, vaikka se pienentää riskejä henkilötietojen käsittelyn osalta.

Kuinka kauan evästeiden suostumus on voimassa?

Lainsäädäntö ei määrittele suostumuksen tarkkaa voimassaoloaikaa, mutta tietosuojavaltuutetun toimiston ohjeistuksen ja yleisen tietosuoja-asetuksen (EU 2016/679) 7 artiklan periaatteiden mukaan suostumus on pyydettävä uudelleen kohtuullisin aikavälein. Euroopan tietosuojaneuvosto on ohjeessa 05/2020 viitannut 12 kuukauden maksimiin ennen uuden suostumuksen pyytämistä. Käytännössä monet organisaatiot käyttävät 12–24 kuukauden suostumuksen voimassaoloaikaa. Suostumus on pyydettävä myös uudelleen, jos evästeiden käyttö muuttuu olennaisesti tai käyttäjä on vaihtanut laitetta tai tyhjentänyt selaimen evästeet. Tietosuojavaltuutetun toimiston kanta on, että suostumustietueet on säilytettävä niin kauan kuin suostumuksen pätevyys voi olla relevanttia valvonnan kannalta.

Tarvitaanko mobiilisovelluksessa evästekäytäntö?

Sähköisen viestinnän palveluista annetun lain (917/2014) 205 § koskee evästeiden ja vastaavien seurantatekniikoiden käyttöä verkkosivustoissa. Mobiilisovelluksissa (natiivisovelluksissa) evästeet eivät teknisesti toimi samalla tavalla, mutta vastaavia seurantatekniikoita, kuten mainostunnistetta (IDFA/GAID), voidaan käyttää. Mobiilisovellukset, jotka käyttävät webview-komponentteja tai muita selaindataan perustavia tekniikoita, saattavat tulla sähköisen viestinnän palveluista annetun lain (917/2014) soveltamisalan piiriin. Käytännössä mobiilisovelluksiin soveltuu enemmän tietosuojavaltuutetun toimiston ohjeistus sovelluksen tietosuojakäytännöstä, joka vastaa osittain evästekäytäntöä. Evästekäytäntö on kuitenkin aina tarpeen, jos sovellukseen liittyy myös verkkosivusto, koska ne muodostavat yhtenäisen palvelun käyttäjän näkökulmasta.

Evästekäytäntö

Laki sähköisen viestinnän palveluista (917/2014) 205 §; GDPR (EU 2016/679)

EVÄSTEKÄYTÄNTÖ

[Yritys Nimi] — [Verkkosivusto]

Päivitetty [Paivays]

1. MITÄ EVÄSTEET OVAT?

[Yritys Nimi], Y-tunnus [Ytunnus], käyttää verkkosivustollaan [Verkkosivusto] evästeitä ja vastaavia seurantatekniikoita. Evästeet ovat pieniä tekstitiedostoja, jotka tallennetaan selaimesi kautta laitteellesi, kun vierailet verkkosivustolla. Evästeitä käytetään muistamaan sinut tai laitteesi, parantamaan sivuston toimivuutta, analysoimaan sivuston käyttöä ja kohdentamaan markkinointia.

Tämä evästekäytäntö on laadittu sähköisen viestinnän palveluista annetun lain (917/2014) 205 §:n sekä yleisen tietosuoja-asetuksen (EU 2016/679) mukaisesti. Yhteydenotot evästeasioissa: [Yhteystiedot].

2. VÄLTTÄMÄTTÖMÄT EVÄSTEET

Välttämättömät evästeet ovat teknisesti välttämättömiä sivuston toiminnalle. Nämä evästeet mahdollistavat ominaisuuksia, kuten ostoskorin, kirjautumisen, tietoturvan ja suostumuksen tallentamisen. Välttämättömiin evästeisiin ei vaadita käyttäjän suostumusta sähköisen viestinnän palveluista annetun lain (917/2014) 205 §:n mukaisesti, koska ne ovat ehdottoman välttämättömiä palvelun tarjoamiseksi.

Tyypillisiä välttämättömiä evästeitä ovat: istuntoevästeet (session cookies) kirjautumiseen, CSRF-suojaevästeet tietoturvaan, kuormantasausevästeet palvelininfrastruktuurille, evästeasetusevästeet käyttäjän suostumuksen muistamiseen sekä maksuprosessointiin liittyvät turvaevästeet.

3. KOLMANSIEN OSAPUOLTEN EVÄSTEET

Sivusto käyttää seuraavien kolmansien osapuolten palveluita, jotka voivat asettaa omia evästeitään: [Kolmannet Osapuolet]. Näiden palveluiden omat tietosuojakäytännöt säätelevät niiden evästeiden käyttöä. Suosittelemme tutustumaan kunkin palvelun tietosuojakäytäntöön.

4. EVÄSTEIDEN HALLINTA JA SUOSTUMUKSEN PERUUTTAMINEN

Voit hallita evästeasetuksiasi seuraavilla tavoilla: (1) Sivuston evästebannerilla ja -asetuksilla, jotka ovat saatavilla sivuston alatunnisteesta tai evästevalintojen kautta. (2) Selaimesi asetuksilla: voit poistaa evästeet käytöstä tai poistaa olemassa olevat evästeet selaimen asetuksista. Huomaa, että välttämättömien evästeiden poistaminen käytöstä voi vaikuttaa sivuston toimintaan. (3) Kolmansien osapuolten optout-työkaluilla: esimerkiksi Google Analytics -optout-lisäosa (tools.google.com/dlpage/gaoptout) tai Euroopan interaktiivisen digitaalisen mainosyhtiön Your Online Choices -työkalu (youronlinechoices.eu).

Suostumuksesi tallentuu laitteellesi. Jos tyhjennät evästeet tai vaihdat laitetta, sinulta pyydetään suostumus uudelleen. Suostumuksesi peruuttaminen ei vaikuta ennen peruuttamista suoritetun käsittelyn lainmukaisuuteen yleisen tietosuoja-asetuksen (EU 2016/679) 7 artiklan 3 kohdan mukaisesti.

5. MUUTOKSET EVÄSTEKÄYTÄNTÖÖN

Tätä evästekäytäntöä voidaan muuttaa sivuston tai evästeiden käytön muuttuessa. Olennaisista muutoksista ilmoitamme sivustolla ja pyydämme uuden suostumuksen tarvittaessa. Ajantasainen versio on aina saatavilla osoitteessa [Verkkosivusto]. Yhteydenotot: [Yhteystiedot].

Ylläpitäjä Vladislav Sergienko, perustaja·Mallia muokattu viimeksi: 2026-06-23·Ilmoita virheestä

Mikä on Evästekäytäntö?

Evästekäytäntö Suomessa on verkkosivuston ylläpitäjän julkinen asiakirja, joka kertoo käyttäjille, mitä evästeitä ja vastaavia seurantatekniikoita sivusto käyttää, mihin tarkoituksiin niitä käytetään ja miten käyttäjä voi hallita evästeasetuksiaan. Asiakirja on pakollinen kaikilla verkkosivustoilla, jotka käyttävät muita kuin teknisesti välttämättömiä evästeitä, ja se perustuu sähköisen viestinnän palveluista annetun lain (917/2014) 205 §:ään ja yleiseen tietosuoja-asetukseen (EU 2016/679). Evästekäytäntö on osa organisaation tietosuojadokumentaatiota, joka täydentää tietosuojaselostetta ja käyttöehtoja.

Suomalainen oikeuskäytäntö evästeasioissa. Tietosuojavaltuutetun toimisto on käsitellyt useita evästeasioihin liittyviä tapauksia ja antanut ohjeistusta. Erityisesti on korostettu, että pätevä suostumus edellyttää aktiivista toimintaa — pelkkä sivuston käyttäminen jatkamalla ei täytä yleisen tietosuoja-asetuksen (EU 2016/679) 7 artiklan yksiselitteisen suostumuksen vaatimusta. Euroopan tietosuojaneuvosto (EDPB) on ohjeessaan 05/2020 vahvistanut nämä vaatimukset, ja suomalainen tietosuojavaltuutetun toimisto noudattaa tätä tulkintalinjaa valvonnassaan. Evästekäytäntö on pidettävä ajan tasalla, koska sitä tarvitaan myös suostumusbannerin oikeudelliseksi perustaksi.

Evästeet ovat pieniä tekstitiedostoja, jotka verkkosivusto tallentaa käyttäjän selaimeen. Ne mahdollistavat kirjautumisen muistamisen, ostoskorin toiminnan, käyttäjäistunnon seurannan, analytiikan ja kohdennetun mainonnan. Evästeiden lisäksi vastaavia tekniikoita ovat local storage, session storage, pixel-tagit, fingerprinting-menetelmät ja muut selainpohjaiset tunnisteet. Sähköisen viestinnän palveluista annetun lain (917/2014) 205 § koskee kaikkia näitä tekniikoita.

Sähköisen viestinnän palveluista annetun laki (917/2014) on Suomen kansallinen laki, joka panee täytäntöön EU:n sähköisen viestinnän tietosuojadirektiivin (2002/58/EY). Lain 205 §:n mukaan muiden kuin palvelun toiminnan kannalta välttämättömien evästeiden tallentamiseen tarvitaan käyttäjän tietoon perustuva suostumus. Lain toimeenpanoa valvoo tietosuojavaltuutetun toimisto, joka on antanut ohjeistusta evästeiden oikeanlaisesta käsittelystä.

Evästeet luokitellaan tyypillisesti neljään ryhmään. Välttämättömät evästeet ovat teknisesti pakollisia sivuston toiminnalle — esimerkiksi istuntoevästeet kirjautumiseen ja CSRF-suojaevästeet. Ne eivät vaadi suostumusta. Toiminnalliset tai mieltymysevästeet muistavat käyttäjän valinnat, kuten kielen tai käyttöliittymäasetukset; niihin tarvitaan suostumus. Analytiikkaevästeet mittaavat sivuston käyttöä tilastollisesti — esimerkiksi Google Analytics tai Matomo; niihin tarvitaan suostumus. Markkinointi- ja kohdennusevästeet mahdollistavat kohdennetun mainonnan ja uudelleenmarkkinoinnin — esimerkiksi Meta Pixel tai Google Ads; niihin tarvitaan vahvin suostumus.

Tietosuojavaltuutetun toimiston ohjeistuksen mukaan pätevä suostumus edellyttää, että käyttäjälle kerrotaan, mitä evästeitä käytetään ja mihin tarkoitukseen; suostumus on vapaaehtoinen eikä saa olla ennalta myönnetty (ei esirastitettu ruutu); kieltäytyminen ei saa hankaloittaa sivuston käyttöä suhteettomasti; ja suostumuksen peruuttaminen on yhtä helppoa kuin sen antaminen. Evästebannerin rakenne ja toiminta ovat siten lakisääteisiä vaatimuksia, ei vain hyvää käytäntöä.

Evästekäytäntö on erillinen asiakirja tietosuojaselosteesta, vaikka monet organisaatiot yhdistävät nämä. Tietosuojaseloste kattaa kaikki henkilötietojen käsittelytoimet yleisen tietosuoja-asetuksen (EU 2016/679) 13 ja 14 artiklan mukaisesti. Evästekäytäntö keskittyy nimenomaan evästeiden ja vastaavien tekniikoiden käyttöön ja se voi olla joko osa tietosuojaselostetta tai erillinen asiakirja. forms-legal.com tarjoaa molemmat mallit suomalaisen tietosuojaympäristön tarpeisiin.

Käytännössä evästekäytäntö on linkitettävä kaikkialta verkkosivustolta helposti saataville — tyypillisesti sivuston alatunnisteesta. Evästebannerin yhteydessä on annettava linkki evästekäytäntöön, jotta käyttäjä voi perehtyä yksityiskohtiin ennen suostumuksen antamista. Tietosuojavaltuutetun toimisto on linjannut, että pelkkä cookie-bannerin olemassaolo ei riitä, vaan evästekäytännön on oltava selkeä, kattava ja helposti löydettävissä.

GDPR-muutokset ja kansallinen tulkinta. Yleinen tietosuoja-asetus (EU 2016/679) koskee evästeitä silloin, kun ne tallentavat tai käsittelevät henkilötietoja. Analytiikkaevästeet, jotka yhdistetään yksilöitävissä olevan käyttäjän profiiliin, ovat henkilötietojen käsittelyä. Suomessa tietosuojavaltuutetun toimisto on ottanut kannan, että IP-osoite katsotaan henkilötiedoksi, joten useimmat analytiikkaevästeet vaativat sekä sähköisen viestinnän palveluista annetun lain (917/2014) mukaisen suostumuksen että yleisen tietosuoja-asetuksen (EU 2016/679) mukaisen oikeusperusteen.

Milloin tarvitset asiakirjan Evästekäytäntö?

Evästekäytäntö Suomessa tarvitaan kaikilla verkkosivustoilla, jotka käyttävät muita kuin teknisesti välttämättömiä evästeitä. Käytännössä tämä tarkoittaa lähes jokaista kaupallista tai organisaation ylläpitämää verkkosivustoa. Evästekäytäntö on sidoksissa evästebannerin toimintaan — pelkkä bannerin olemassaolo ilman kattavaa evästekäytäntöä ei täytä sähköisen viestinnän palveluista annetun lain (917/2014) 205 §:n vaatimusta riittävästä informoinnista.

Verkkokaupat. Kaikki verkkokaupat käyttävät evästeitä ostoskoriin, kirjautumiseen ja tyypillisesti myös analytiikkaan ja konversiomittaukseen. Evästekäytäntö on pakollinen, ja se yhdistetään tietosuojaselosteeseen. Erityisen tärkeää on dokumentoida maksupalveluiden (esimerkiksi Stripe tai Klarna) käyttämät evästeet, sillä nämä saattavat sisältää kolmansien osapuolten evästeitä.

Uutissivustot ja sisältösivustot. Useimmat uutissivustot käyttävät kolmansien osapuolten mainosverkostoja (esimerkiksi Google AdSense tai Taboola), jotka asettavat markkinointievästeitä. Näihin evästesiin tarvitaan nimenomainen suostumus ja kattava evästekäytäntö.

PK-yritysten verkkosivustot. Yrityksen verkkosivusto, jolla on Google Analytics tai vastaava analytiikkatyökalu, tarvitsee evästekäytännön ja suostumuksen. Google Analytics asettaa evästeen (_ga, _gid), joka tunnistaa käyttäjäistunnon — tähän tarvitaan suostumus sähköisen viestinnän palveluista annetun lain (917/2014) 205 §:n mukaisesti.

Sosiaalisen median integraatiot. Verkkosivusto, jolla on Facebook-tykkäysnappi, Twitter/X-jako tai YouTube-videoita, saa automaattisesti kolmansien osapuolten evästeitä näiltä alustoilta. Evästekäytännössä on mainittava nämä integraatiot ja niiden evästeet. Käyttäjältä on pyydettävä suostumus ennen näiden sisältöjen lataamista.

Sähköpostimarkkinointi ja liidigenerointi. Sivustot, joilla seurataan sähköpostilinkkien klikkausta tai käytetään markkinoinnin automaatiotyökaluja (esimerkiksi HubSpot tai Mailchimp), käyttävät evästeitä käyttäjäpolun seurantaan. Nämä vaativat evästekäytännön ja asianmukaisen suostumuksen.

Julkishallinnon ja yhdistysten verkkosivustot. Kunnalliset verkkosivustot, ministeriöiden sivustot ja yhdistysten verkkosivustot, jotka käyttävät analytiikkatyökaluja tai chat-ominaisuuksia, tarvitsevat evästekäytännön. Julkisilla toimijoilla on erityinen vastuu läpinäkyvyydestä, koska heidän käyttäjäkuntansa on laaja ja heterogeeninen.

Mobiilisovellukset. Evästekäytäntö voi koskea myös mobiilisovelluksia, jotka käyttävät selainpohjaisia komponentteja tai webview-näkymiä. Sähköisen viestinnän palveluista annetun lain (917/2014) 205 § koskee myös vastaavia seurantatekniikoita mobiilisovelluksissa. Mobiilisovelluksiin liittyy myös erillinen lainsäädäntö liittyen mainosverkostoihin ja sijaintitiedon käyttöön.

Mitä Evästekäytäntö sisältää

Kattava Evästekäytäntö Suomessa sisältää seuraavat osatekijät täyttääkseen sähköisen viestinnän palveluista annetun lain (917/2014) 205 §:n ja yleisen tietosuoja-asetuksen (EU 2016/679) vaatimukset.

Evästetyyppien selkeä luokittelu. Evästekäytännössä on eriteltävä selkeästi eri evästeluokat: välttämättömät (tekniset), toiminnalliset (mieltymys), analytiikka- ja markkinointievästeet. Kukin luokka on kuvattava niin, että käyttäjä ymmärtää, mitä kyseinen evästeluokka tekee ja mihin tietoa käytetään. Tietosuojavaltuutetun toimiston ohjeistuksen mukaan luokittelu on oltava ymmärrettävä myös teknistä osaamista vailla olevalle henkilölle.

Yksittäisten evästeiden tiedot. Kattavin evästekäytäntö sisältää taulukon, jossa luetellaan yksittäiset evästeet: nimi, asettaja (oma tai kolmas osapuoli), tarkoitus, tyyppi (istunto tai pysyvä) ja säilytysaika. Vaikka kaikkien evästeiden listaaminen ei ole lakisääteistä, se lisää läpinäkyvyyttä ja luottamusta merkittävästi. Sähköisen viestinnän palveluista annetun lain (917/2014) 205 § edellyttää riittävää tietoa, ja yksityiskohtainen taulukko täyttää tämän vaatimuksen parhaiten.

Suostumuksen mekanismi. Evästekäytännössä on kuvattava, miten suostumus pyydetään ja tallennetaan. Pätevä suostumus yleisen tietosuoja-asetuksen (EU 2016/679) 7 artiklan mukaisesti on vapaaehtoinen, informoitu, yksilöity ja yksiselitteinen. Suostumusta ei saa pyytää esirasitetuilla valintaruuduilla tai suostumuksen pyynnön kieltäytymistä ei saa tehdä vaikeaksi. Evästebannerin rakenne vaikuttaa suostumuksen pätevyyteen.

Oikeus peruuttaa suostumus. Käyttäjällä on oltava helppo tapa peruuttaa suostumuksensa milloin tahansa yleisen tietosuoja-asetuksen (EU 2016/679) 7 artiklan 3 kohdan mukaisesti. Evästekäytännössä on kuvattava, mistä evästeasetusten muuttaminen onnistuu ja miten selaimella voi hallita evästeitä. Peruuttaminen on oltava yhtä helppoa kuin suostumuksen antaminen.

Kolmansien osapuolten evästeet. Evästekäytännössä on mainittava kaikki kolmansien osapuolten palvelut, jotka asettavat evästeitä sivustolle. Kolmansien osapuolten tietosuojakäytäntöihin on linkitettävä, jotta käyttäjä voi halutessaan tutustua niihin. Suosittuja kolmansien osapuolten evästeitä asettavia palveluita ovat Google Analytics, Meta Pixel, LinkedIn Insight Tag, Hotjar, Intercom ja erilaiset maksuprosessointijärjestelmät. forms-legal.com suosittelee mainitsemaan kaikki käytetyt palvelut evästekäytännössä.

Evästesuostumuksen tallennusaika. Evästekäytännössä on ilmoitettava, kuinka kauan suostumus on voimassa ennen kuin se pyydetään uudelleen. Tyypillisesti suostumus on voimassa 12–24 kuukautta, minkä jälkeen se pyydetään uudelleen. Säilytysaika on tallennettava evästekäytäntöön ja se on oltava johdonmukainen evästebannerin toiminnan kanssa.

Tietosuoja ja linkit muihin asiakirjoihin. Evästekäytännössä on viitattava tietosuojaselosteeseen, joka kattaa laajemmin kaiken henkilötietojen käsittelyn yleisen tietosuoja-asetuksen (EU 2016/679) 13 ja 14 artiklan mukaisesti. Linkki tietosuojavaltuutetun toimistoon on lisättävä valitusoikeuden informoimiseksi. Yhteydenottosähköposti tai -lomake tietosuoja-asioissa on mainittava käyttäjien kysymysten varalta.

Päiväys ja muutosten hallinta. Evästekäytäntöön on merkittävä sen päiväys ja siitä on käytävä ilmi, milloin sitä on viimeksi päivitetty. Sivuston toiminnan tai evästeiden käytön muuttuessa evästekäytäntö on päivitettävä, ja käyttäjältä on pyydettävä uusi suostumus, jos muutokset ovat olennaisia. Tietosuojavaltuutetun toimisto suosittelee evästekäytännön säännöllistä tarkistamista.

Cookie consent management platform (CMP). Ammattimaiseen evästehallintaan suositellaan erillistä CMP-alustaa (Cookie Consent Management Platform), kuten Cookiebot, Usercentrics tai OneTrust. CMP-alustat automatisoivat evästekartoituksen, suostumustallenuksen ja laajennettavan raportoinnin tietosuojavaltuutetun toimiston tarkastuksia varten. Suomalaisille pk-yrityksille on saatavilla myös edullisempia ratkaisuja; tärkeintä on, että valittu CMP mahdollistaa aluston asianmukaisen suostumusmekanismin ilman cookie wallia. Evästekäytäntö on päivitettävä aina, kun CMP-alustaan tai sivuston evästekäyttöön tehdään merkittäviä muutoksia.

Näin täytät asiakirjan Evästekäytäntö

Evästekäytäntö Suomessa täytetään seuraavien vaiheiden mukaisesti sähköisen viestinnän palveluista annetun lain (917/2014) ja yleisen tietosuoja-asetuksen (EU 2016/679) vaatimusten täyttämiseksi. Evästekäytäntöä laadittaessa on tärkeää tehdä ensin tekninen evästekartoitus — vasta kun tiedetään, mitä evästeitä sivusto tosiasiassa käyttää, voidaan kirjoittaa todenmukainen evästekäytäntö.

Vaihe 1 — Ilmoita palveluntarjoajan tiedot. Merkitse yrityksen täydellinen nimi, Y-tunnus ja verkkosivuston osoite. Ilmoita sähköpostiosoite, johon käyttäjät voivat ottaa yhteyttä evästeasioissa. Selkeät yhteystiedot lisäävät luottamusta ja täyttävät tiedonantovelvollisuuden.

Vaihe 2 — Kartoita käytettävät evästeet. Ennen evästekäytännön kirjoittamista sinun on selvitettävä, mitä evästeitä sivustosi tosiasiassa käyttää. Voit tehdä tämän selaimen kehittäjätyökaluilla (F12 → Application → Cookies), evästetarkistuspalveluilla (esimerkiksi cookiebot.com/en/cookie-checker) tai pyytämällä tiedot verkkosivustosi tekniseltä toteuttajalta.

Vaihe 3 — Luokittele evästeet. Jaa evästeet luokkiin: välttämättömät (ei vaadi suostumusta), toiminnalliset (vaatii suostumusta), analytiikka (vaatii suostumusta) ja markkinointi (vaatii suostumusta). Selkeä luokittelu helpottaa suostumuksen keräämistä oikein.

Vaihe 4 — Ilmoita kolmansien osapuolten evästeet. Luettele kaikki kolmansien osapuolten palvelut, jotka asettavat evästeitä sivustollesi. Linkitä kunkin palvelun tietosuojakäytäntöön. Tämä on oleellinen osa läpinäkyvyyttä sähköisen viestinnän palveluista annetun lain (917/2014) 205 §:n mukaisesti.

Vaihe 5 — Kuvaa suostumuksen hallinta. Kerro, miten evästebanneri toimii, miten käyttäjä voi muuttaa asetuksiaan ja miten suostumus tallennetaan. Varmista, että evästebanneri täyttää tietosuojavaltuutetun toimiston vaatimukset — erityisesti että hylkääminen on yhtä helppoa kuin hyväksyminen.

Vaihe 6 — Lisää päiväys ja julkaise. Merkitse evästekäytäntöön sen päiväys. Julkaise se verkkosivuston alatunnisteeseen niin, että se on saavutettavissa kaikilta sivuston sivuilta. Linkitä evästekäytäntöön myös evästebannerin yhteydessä.

Vaihe 7 — Pidä evästekäytäntö ajan tasalla. Evästekäytäntö on päivitettävä aina, kun sivustolle lisätään uusia evästeitä tai kolmansien osapuolten palveluita. Hyvä käytäntö on tarkistaa evästekäytäntö vähintään vuosittain ja aina, kun sivustoon tehdään merkittäviä teknisiä muutoksia.

Evästekäytäntö – lakisääteiset vaatimukset

Evästekäytäntö Suomessa kuuluu sähköisen viestinnän palveluista annetun lain (917/2014) ja yleisen tietosuoja-asetuksen (EU 2016/679) sääntelyn piiriin.

Sähköisen viestinnän palveluista annettu laki (917/2014) 205 §. Laki sähköisen viestinnän palveluista (917/2014) 205 § sääntelee evästeiden ja vastaavien seurantatekniikoiden käyttöä Suomessa. Pykälän mukaan evästeitä tai vastaavia tietoja ei saa tallentaa käyttäjän laitteelle eikä laitteella jo olevia tietoja käyttää muuta tarkoitusta kuin viestinnän välittämistä tai tilauksen asiakkaan nimenomaisesti pyytämää palvelua varten ilman, että käyttäjälle on kerrottu tallennuksen tai käytön tarkoituksesta ja käyttäjälle on annettu mahdollisuus kieltää tallennus tai käyttö. Pelkästään teknisesti välttämättömät evästeet vapautetaan suostumuksesta.

Yleinen tietosuoja-asetus (EU 2016/679) suostumuksesta. Yleinen tietosuoja-asetus (EU 2016/679) asettaa tiukemmat vaatimukset suostumukselle, kun evästeet käsittelevät henkilötietoja. Suostumuksen on täytettävä 4 artiklan 11 kohdan ja 7 artiklan vaatimukset: suostumuksen on oltava vapaaehtoinen, yksilöity, tietoon perustuva ja yksiselitteinen tahdonilmaisu. Yleisistä hyväksymismekanismeista (cookie wall tai piilottaminen yksityiskohtiin) on luovuttu tietosuojaviranomaisten ohjeistuksessa.

Valvonta ja seuraamukset. Tietosuojavaltuutetun toimisto valvoo sekä sähköisen viestinnän palveluista annetun lain (917/2014) 205 §:n että yleisen tietosuoja-asetuksen (EU 2016/679) evästesääntelyn noudattamista. Seuraamusmaksu voi olla enintään 20 miljoonaa euroa tai neljä prosenttia liikevaihdosta yleisen tietosuoja-asetuksen (EU 2016/679) 83 artiklan mukaisesti. Tietosuojavaltuutetun toimisto on tutkinut suomalaisia evästekäytäntöjä ja antanut useita päätöksiä puutteellisista suostumusmekanismeista.

Euroopan tietosuojaneuvoston ohjeet. Euroopan tietosuojaneuvosto (EDPB) on antanut ohjeen 05/2020 evästeiden suostumuksesta, jossa se selventää vaatimuksia pätevään suostumukseen. Erityisesti ohjeen mukaan pelkkä selaimen asetuksista johtuva suostumus ei ole riittävä, suostumus ei voi olla ennalta myönnetty, ja käyttäjälle on annettava yhtä helppo tapa hylätä evästeet kuin hyväksyä ne. Suomen tietosuojavaltuutetun toimisto noudattaa näitä ohjeita valvonnassaan.

Evästekäytäntöjen valvontakäytäntö Suomessa on tiukentunut vuosina 2022–2026. Tietosuojavaltuutetun toimisto on antanut useita huomautuksia ja selvityspyyntöjä suomalaisille organisaatioille puutteellisista evästemenettelyistä. Erityisesti analytiikka- ja markkinointievästeiden käyttö ilman pätevää suostumusta on ollut yleinen rikkomus. Tietosuojavaltuutettu voi seuraamusmaksulautakuntaa käyttäen määrätä jopa 20 miljoonan euron tai neljän prosentin liikevaihtokynnyksen mukaisen seuraamusmaksun yleisen tietosuoja-asetuksen (EU 2016/679) 83 artiklan 5 kohdan mukaisesti. Suomalainen Kilpailu- ja kuluttajavirasto (KKV) valvoo myös markkinointievästeiden käyttöä kuluttajansuojalain (38/1978) näkökulmasta.

Yleisimmät virheet: Evästekäytäntö

Tavanomaiset virheet Evästekäytäntö Suomessa laadinnassa voivat johtaa puutteelliseen tai lainvastaiseen suostumukseen. Tietosuojavaltuutetun toimisto on puuttunut useisiin suomalaisiin organisaatioihin näiden virheiden vuoksi, ja Euroopan tietosuojaneuvosto seuraa aktiivisesti kansallisten viranomaisten valvontatoimia evästeiden osalta.

Virhe 1 — Esirasitettu suostumusruutu. Evästebanneri, jossa analytiikka- tai markkinointievästeet on oletuksena hyväksytty (esirasitettu), ei täytä yleisen tietosuoja-asetuksen (EU 2016/679) 7 artiklan vaatimuksia. Ratkaisu: kaikki muut kuin välttämättömät evästeet on oletuksena pois käytöstä, ja käyttäjä aktivoi ne halutessaan.

Virhe 2 — Cookie wall — sivuston käyttö edellytetään suostumusta vastaan. Cookie wall, jossa sivustoa ei pääse käyttämään ilman evästeiden hyväksymistä, on suurimmassa osassa tapauksista lainvastainen. Tietosuojavaltuutetun toimisto on linjannut, että tällainen pakko voi tehdä suostumuksesta epäpätevän yleisen tietosuoja-asetuksen (EU 2016/679) mukaisesti. Ratkaisu: anna käyttäjälle mahdollisuus kieltäytyä ei-välttämättömistä evästeistä ilman, että se estää sivuston perustoimintojen käytön.

Virhe 3 — Puutteellinen listaus kolmansien osapuolten evästeistä. Evästekäytäntö, jossa ei mainita kaikkia käytettyjä kolmansien osapuolten palveluita, on harhaanjohtava. Ratkaisu: kartoita säännöllisesti sivuston käyttämät kolmansien osapuolten palvelut ja päivitä evästekäytäntö vastaamaan todellista tilannetta.

Virhe 4 — Suostumus pyydetään sivun latauksen yhteydessä ilman riittävää tietoa. Evästebanneri, joka pyytää suostumusta kaikille evästeille kerralla ilman tietoa siitä, mitä evästeitä käytetään, ei täytä informoinnin vaatimusta. Ratkaisu: evästebannerin on selkeästi kerrottava evästeluokat ja niiden tarkoitukset tai viitattava evästekäytäntöön, josta nämä tiedot löytyvät.

Virhe 5 — Evästekäytäntöä ei päivitetä. Sivusto lisää uusia kolmansien osapuolten palveluita (esimerkiksi uuden analytiikkatyökalun tai chat-ominaisuuden), mutta evästekäytäntöä ei päivitetä vastaamaan muutosta. Ratkaisu: evästekäytäntö on tarkistettava ja päivitettävä aina, kun sivuston evästekäyttö muuttuu olennaisesti.

Viittaa tähän sivuun

Viittaa tähän ilmaiseen malliin artikkelissa, opetussuunnitelmassa tai tutkimusmuistiossa:

APA

Forms Legal. (2026). Evästekäytäntö (Suomi) [Legal document template]. Forms Legal. https://forms-legal.com/fi/suomi/business/policies/evastekaytanto

MLA

"Evästekäytäntö (Suomi)." Forms Legal, 2026, https://forms-legal.com/fi/suomi/business/policies/evastekaytanto.

BibTeX

@misc{formslegal-evastekaytanto,
  author       = {{Forms Legal}},
  title        = {Evästekäytäntö (Suomi)},
  year         = {2026},
  howpublished = {\url{https://forms-legal.com/fi/suomi/business/policies/evastekaytanto}},
  note         = {Free legal document template}
}

Saatavilla myös näille lainkäyttöalueille:

Usein kysytyt kysymykset

Säädösviitteinen malli — Mallia muokattu viimeksi kesäkuu 2026

Tämä malli on tarkoitettu ainoastaan tiedoksi eikä se ole oikeudellista neuvontaa. Lait vaihtelevat lainkäyttöalueittain ja muuttuvat ajan myötä. Kysy tilanteeseesi sopivaa neuvoa pätevältä lakimieheltä.Täydellinen vastuuvapauslauseke

Löysitkö virheen? Kerro meille