PwC Suomi Uutishuone Aihe Henkilötietojen käsittely ilman suostumusta – virhe, johon organisaatioilla ei ole varaa

Juridiikka | Digitalisaatio, Juridiikka, Tietosuoja

29.6.2026

Henkilötietojen käsittely ilman suostumusta – virhe, johon organisaatioilla ei ole varaa

Lainvastainen käsittelyperuste, tyypillisimmin puutteellinen suostumus, on eurooppalaisten tietosuojaviranomaisten yleisin sakottamisen syy ja kattaa yli kolmanneksen kaikista GDPR-sakoista. Silti monet organisaatiot eivät tunnista, milloin ja miten suostumus tulee hankkia – tai milloin se ei edes ole oikea käsittelyperuste.

GDPR:n artikla 6 edellyttää, että jokaisella henkilötietojen käsittelytoimella on lainmukainen peruste. Kun käsittelyperuste on suostumus, sen on oltava vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu. Suostumus on myös oltava yhtä helppo peruuttaa kuin antaa. CMS:n¹ GDPR Enforcement Tracker -raportin mukaan artikla 6:n rikkomukset muodostavat 34 prosenttia kaikista Euroopassa määrätyistä GDPR-sakoista. Tämä on enemmän kuin mikään muu yksittäinen rikkomustyyppi. Maaliskuuhun 2026 mennessä sakkoja oli määrätty 2 685 päätöksessä yhteensä noin 6,1 miljardia euroa.

Missä organisaatiot kompastuvat?

Käytännössä suostumuksen hankkimisessa toistuvat samat virheet.

Valmiiksi rastitetut ruudut ja oletettu suostumus: Suostumusta ei voi päätellä hiljaisuudesta tai passiivisuudesta, vaan käyttäjän on itse tehtävä aktiivinen valinta.
Niputtaminen: Suostumus kytketään palvelun käyttöehtoihin tai muuhun kokonaisuuteen siten, ettei rekisteröity voi valita, mihin tarkoituksiin hänen tietojaan käytetään.
Puutteellinen informointi: Rekisteröidylle ei kerrota riittävän selkeästi, mihin tarkoitukseen tietoja kerätään, kuka niitä käsittelee ja kuinka kauan niitä säilytetään.
Väärä käsittelyperuste: Organisaatio nojaa suostumukseen tilanteessa, jossa oikeutettu etu tai sopimuksen täytäntöönpano olisi oikea peruste – tai päinvastoin.
Evästeet ja analytiikka: Verkkosivuilla kerätään seurantatietoja ennen kuin käyttäjä on antanut suostumuksensa tai evästebanneri ei täytä GDPR:n vaatimuksia.

Viranomaisohjeet ja uusinta oikeuskäytäntöä

Euroopan tietosuojaneuvosto (European Data Protection Board, EDPB) on antanut suostumusta koskevat päivitetyt ohjeet (Guidelines 05/2020). Vuonna 2026 Coordinated Enforcement Framework (CEF)² keskittyy nimenomaan läpinäkyvyys- ja informointivelvoitteisiin osana EDPB:n strategiaa 2024–2027. Tietosuojavaltuutetun toimisto on Suomessa korostanut, että suostumuksen on oltava aidosti vapaaehtoinen ja ettei rekisteröidylle saa aiheutua kieltäytymisestä kielteisiä seurauksia.

Oikeuskäytännössä ennakkotapauksena säilyy EU-tuomioistuimen Planet49-ratkaisu (C-673/17), jossa vahvistettiin, ettei ennalta rastitettu valintaruutu täytä pätevän suostumuksen vaatimuksia.

Tuoreempaa kehitystä:

CNIL (Commission Nationale de l’Informatique et des Libertés eli Ranskan kansallinen tietosuojaviranomainen) määräsi Googlelle 325 miljoonan euron ja Sheinille 150 miljoonan euron sakot syyskuussa 2025 evästekäytäntöjen puutteista.
Irlannin DPC (Data Protection Commission eli Irlannin tietosuojaviranomainen) määräsi TikTokille 530 miljoonan euron sakon toukokuussa 2025 laittomista tiedonsiirroista, jotka kytkeytyivät myös käsittelyperusteen puutteisiin.
Criteo-päätöksellä (Criteo on ranskalainen ad tech -yhtiö, joka erikoistuu kohdennettuun verkkomainontaan) Ranskan Conseil d’État (Ranskan ylin hallintotuomioistuin, viimeisin muutoksenhakuaste hallinto-oikeudellisissa asioissa, mukaan lukien CNIL:n päätöksistä tehdyt valitukset) vahvisti 40 miljoonan euron sakon maaliskuussa 2026 kumppanien kautta kerätyn suostumuksen riittämättömyydestä.
Suomessa tietosuojavaltuutettu määräsi kesäkuussa 2025 Yliopiston Apteekille 1,1 miljoonan euron seuraamusmaksun verkkoapteekin tietosuojapuutteista, kun henkilötietoja oli välitetty Googlelle ja Metalle ilman asianmukaista perustetta. Helsingin hallinto-oikeus kumosi seuraamusmaksun kesäkuussa 2026 julkisyhteisökysymykseen vedoten, mutta piti huomautuksen voimassa. Tapaus osoittaa, miten käsittelyperustekysymykset ovat Suomessakin ajankohtaisia.

Lainsäädäntö muuttuu – mutta ei kevennä vastuuta

Marraskuussa 2025 julkaistu Euroopan komission Digital Omnibus -paketti on merkittävin GDPR-uudistusehdotus sitten asetuksen voimaantulon. Se muuttaisi suostumuskäytäntöjä konkreettisesti:

Evästesäännöt siirrettäisiin suoraan GDPR:ään (uusi artikla 88a), mikä poistaisi nykytilan päällekkäisyyden ePrivacy-direktiivin kanssa.
”Single-click”-vaatimus: evästebannereissa on oltava yhtä helppo kieltäytyä kuin hyväksyä kaikki evästeet.
Suostumuspyyntöä ei saa toistaa samaan tarkoitukseen kuuteen kuukauteen, jos käyttäjä on kieltäytynyt.
Koneluettavat suostumusasetukset (selain- ja käyttöjärjestelmätasolla) tulisivat pakollisiksi.

Komission arvion mukaan uudistus poistaisi suostumustarpeen noin 60 prosentista evästeistä. Samalla tekoälyasetus (AI Act) tuo elokuussa 2026 voimaan korkean riskin järjestelmiä koskevat velvoitteet. Uusi artikla 88c puolestaan tekisi mahdolliseksi henkilötietojen käsittelyn koneoppimismallien kehittämiseen oikeutetun edun perusteella, mutta vain tiukoin edellytyksin.

Suomessa hallitus esitti toukokuussa 2026 tietosuojalain muuttamista (HE 46/2026) siten, että hallinnolliset seuraamusmaksut voitaisiin jatkossa kohdistaa myös julkiseen sektoriin. Tämä laajentaisi valvonnan vaikuttavuutta merkittävästi.

Miten suostumuksen pätevyyttä arvioidaan?

Valvontaympäristö vuonna 2026 on olennaisesti toisenlainen kuin GDPR:n voimaantulovuonna 2018. Sakkojen kokonaismäärä on yli kuusinkertaistunut, rajat ylittävä koordinaatio on tavallista ja Suomessakin seuraamusmaksut kohdistuvat yhä suurempiin toimijoihin. Suostumuksen pätevyyden arviointi ei ole yksinkertainen tarkistuslistatehtävä, vaan se edellyttää juridista, teknistä ja liiketoiminnallista kokonaiskuvaa:

Onko suostumus todella vapaaehtoinen? Jos palvelun käyttö estyy tai vaikeutuu kieltäytymisen seurauksena, suostumus ei ole pätevä. Entä jos työnantaja pyytää suostumusta työntekijältä – voiko asetelma koskaan olla aidosti vapaaehtoinen?
Kattaako informointi todellisuudessa kaikki käsittelytarkoitukset? Criteo-tapaus osoitti, että kumppanin kautta hankittu suostumus ei riitä, jos ketjun jokaista lenkkiä ei ole informoitu riittävästi.
Onko suostumus oikea käsittelyperuste vai olisiko jokin muu peruste kestävämpi? Suostumus on aina peruutettavissa, mikä tekee siitä hauraan perustan pitkäkestoiselle käsittelylle. Monissa tilanteissa oikeutettu etu tai sopimuksen täytäntöönpano olisi juridisesti kestävämpi valinta, mutta edellyttää huolellista tasapainotestiä.
Miten suostumus dokumentoidaan ja miten sen elinkaarta hallitaan? Pelkkä rastin kerääminen ei riitä. Organisaation on kyettävä osoittamaan, milloin, mihin ja millä informaatiolla suostumus on annettu sekä varmistettava, että peruuttaminen todella pysäyttää käsittelyn.
Vastaako evästetoteutus teknisesti sitä, mitä bannerissa luvataan? CNIL:n Google- ja Shein-päätökset osoittivat, että viranomainen tutkii sivuston todellista teknistä toimintaa, ei pelkästään bannerin sanamuotoa.

Nämä kysymykset eivät ratkea pelkällä tietosuojaselosteen päivittämisellä, vaan edellyttävät ymmärrystä sekä oikeustilasta että organisaation tosiasiallisista tietovirroista – ja usein myös rohkeutta kyseenalaistaa vakiintuneita käytäntöjä. Tietosuoja-asiantuntijamme ovat mielellään avuksi kaikissa tietosuojaan liittyvissä kysymyksissä, olipa kyse suostumuskäytäntöjen arvioinnista, käsittelyperusteiden valinnasta, Digital Omnibus -uudistukseen valmistautumisesta tai laajemmasta tietosuojan kehittämisohjelmasta.

¹ CMS Legal Services EEIG on yksi Euroopan suurimmista lakitoimistoverkostoista, jolla on toimistoja yli 40 maassa. CMS ylläpitää GDPR Enforcement Tracker -tietokantaa, joka on käytännössä kattavin julkinen rekisteri kaikista EU-/ETA-alueella määrätyistä GDPR-sakoista.

² Coordinated Enforcement Framework (CEF) on Euroopan tietosuojaneuvoston (EDPB) vuonna 2020 perustama yhteisvalvontamekanismi, jonka tarkoituksena on vahvistaa kansallisten tietosuojaviranomaisten yhteistyötä ja varmistaa GDPR:n yhdenmukainen täytäntöönpano Euroopassa.