Maksa-tai-suostu-mallit vuonna 2026: EDPB:n ohjeistus julkaisijoille
Kaksi vuotta Euroopan julkaisijat ovat nojaantuneet samaan vastaukseen GDPR-suostumuksen hyväksymisasteiden romahtaessa: tarjota käyttäjille valinta seurannan hyväksymisen tai tilauksen maksamisen välillä. Maksa-tai-suostu-malli — jota kutsutaan joskus myös suostu-tai-maksa-malliksi tai evästemuuriksi — lupasi keinon pitää mainosrahoitteiset liiketoimintamallit hengissä täyttäen samalla GDPR:n vaatimuksen vapaaehtoisesta suostumuksesta. Vuonna 2026 tämä kompromissi on vakavassa oikeudellisessa paineessa. Euroopan tietosuojaneuvosto, Italian Garante, Saksan DSK ja Norjan Datatilsynet ovat kaikki ottaneet kantaa, ja ECJ:llä on kysymys nyt asialistallaan. Tämä opas selittää missä laki tänään seisoo ja mitä julkaisijat voivat tehdä pitääkseen GDPR-vaatimukset täyttävän maksa-tai-suostu-virran toiminnassa.
Mitä maksa-tai-suostu käytännössä tarkoittaa
Maksa-tai-suostu-banneri esittää käyttäjälle kaksi vaihtoehtoa ensimmäisellä vierailulla. Ensimmäinen on hyväksyä seuranta ja käsittely käyttäytymiskohdennettua mainontaa varten vastineeksi sisällön ilmaisesta käytöstä. Toinen on maksaa toistuva maksu — yleensä kuukausittain — vastineeksi saman sisällön mainos- tai seurantavapaasta versiosta. Molempien vaihtoehtojen hylkääminen estää pääsyn kokonaan. Meta, Le Monde, Der Spiegel, Bild ja kymmenet eurooppalaiset keskitason julkaisijat ovat ottaneet käyttöön tämän rakenteen variantteja vuodesta 2023 lähtien.
Oikeudellinen teoria on, että suostumus pysyy vapaaehtoisena, koska käyttäjällä on aito vaihtoehto: hän voi maksaa suostumisen sijaan. Vastateoria, jota viranomaiset ovat yhä enemmän tukeneet, on, että tämä toimii vain jos maksullinen vaihtoehto on todellinen ja suhteellinen vastaava — ja monet toteutukset epäonnistuvat tässä testissä.
EDPB:n huhtikuun 2024 lausunto ja sen jälkeen tapahtunut
Jokaisen vuoden 2026 analyysin lähtökohta on EDPB:n Opinion 08/2024, joka hyväksyttiin huhtikuussa 2024 vastauksena Hollannin, Norjan ja Hampurin valvontaviranomaisten pyyntöön. Lausunto käsittelee erityisesti hyvin suuria verkkoalustoja, mutta sen perusteluja sovelletaan nyt laajasti julkaisijoihin.
EDPB totesi, että useimmissa tapauksissa suuret alustat eivät voi nojautua binaariseen maksa-tai-suostu-rakenteeseen hankkiakseen GDPR:n mukaisen suostumuksen. Kolme EDPB:n johtopäätöstä ovat tärkeimpiä julkaisijoille:
- Binaarinen valinta on harvoin riittävä. Jos suostumuksen vaihtoehto on maksullinen tilaus ja se on ainoa muu vaihtoehto, suostumus ei yleensä ole vapaaehtoinen. Rekisterinpitäjien tulisi harkita kolmannen vaihtoehdon tarjoamista, joka ei sisällä maksua eikä käyttäytymisseurantaa — kuten kontekstuaalista mainontaa.
- Maksu ei saa olla pelote. Jos hinta on asetettu niin korkeaksi, että käyttäjät tuntevat olevansa käytännöllisesti pakotettuja suostumaan, valinta on kuvitteellinen. Viranomaiset voivat verrata maksua julkaisijan omaan ARPU:hun suostuvilla käyttäjillä.
- Käsittelyn laajuuden on oltava rajattu. Vaikka suostumus annettaisiin, se ei voi laillisesti kattaa epäolennaista käsittelyä, kuten tietojen jakamista satojen kolmansien osapuolten myyjien kanssa. Jokaisella käsittelytarkoituksella on edelleen oltava oma pätevä oikeusperustansa.
Kansallisten tietosuojaviranomaisten kanta vuonna 2026
Italia — Garante
Italian tietosuojaviranomainen on ollut aktiivisin täytäntöönpanija. Vuoden 2024 ohjeissaan ja useissa vuoden 2025 päätöksissä Garante vaati, että julkaisijat tarjoavat kolmannen vaihtoehdon ilman seurantaa ja ilman maksua, tarkkojen sääntöjen riippuessa julkaisijan koosta ja markkina-asemasta. Pelkät binaariset bannerit italiankielisillä sivustoilla käsitellään nyt olettamuksellisesti vaatimusten vastaisina.
Saksa — DSK
Tietosuojaviranomaisten Saksan konferenssi julkaisi loppuvuodesta 2024 kannanottopaperin, joka vastasi EDPB:n näkemystä mutta ei asettanut täydellistä kieltoa. DSK vaatii vaihtoehdon olevan "asianmukainen" — mikä tarkoittaa, että maksullisen tason on tarjottava vertailukelpoinen sisältöpääsy, hinnan on oltava objektiivisesti perusteltavissa ja tarjotun ilmaisen vaihtoehdon on oltava todella käyttökelpoinen. Useat Landesdatenschutzbeauftragte ovat sittemmin avanneet tutkimuksia tiettyjä julkaisijoita vastaan.
Norja — Datatilsynet
Norja otti tiukimman kannan. Vuoden 2025 lausumassa Datatilsynet totesi, että suurimmalle osalle yleisen edun julkaisijoita mikään maksa-tai-suostu-rakenne ei tuota GDPR:n mukaista pätevää suostumusta. Norjalaiset julkaisijat siirtyvät yhä useammin kontekstuaaliseen mainontaan tai hybridisiin kontekstuaalis-plus-suostumusvirtauksiin.
Ranska — CNIL
CNIL:n kanta on pragmaattisempi mutta kehittyvä. Ranska sallii maksa-tai-suostu periaatteessa, mutta julkaisi vuonna 2025 kriteerit, jotka kattavat hintojen kohtuullisuuden, seurannan laajuuden suostumusvaihtoehdossa ja sen, johtaako kieltäytyminen todella jatkuvaan pääsyyn vaihtoehtoisten kanavien kautta.
Miltä vaatimustenmukainen toteutus näyttää vuonna 2026
Maksa-tai-suostu ei ole kuollut, mutta se selviytyy vain huolellisesti suunniteltuna. Julkaisijoiden, jotka haluavat pitää tämän virran toiminnassa, tulisi arvioida neljää suunnittelun ulottuvuutta.
Lisää kolmas vaihtoehto
Tärkein muutos EDPB:n lausunnon jälkeen on kolmannen valinnan lisääminen: ilmainen pääsy kontekstuaalisella mainonnalla ilman käyttäytymisseurantaa. Tämän kolmannen vaihtoehdon ei tarvitse olla oletusarvo — se voi olla yhden klikkauksen syvyydellä "Hyväksy"- ja "Tilaa"-vaihtoehtoja — mutta sen olemassaolo muuttaa bannerin oikeudellista asemaa. Useat suuret saksalaiset ja italialaiset julkaisijat ovat ottaneet tämän mallin käyttöön vuoden 2025 aikana.
Perustele hinta
Dokumentoi miten tilauksen hinta määriteltiin. Vertaa sitä julkaisijan omaan ARPU:hun suostuvilla käyttäjillä, markkinoiden vertailukelpoisiin tilaustuotteisiin ja seuraamattoman liikenteen palvelemisen rajakustannukseen. Hinta, joka on useita kertoja yli suostuvien käyttäjien ARPU:n, on nopein tie viranomaisen päätökseen sinua vastaan.
Kavenna suostumuksen laajuutta
Auditoi mitä käyttäjät todella suostuvat "Hyväksy"-polun alla. EDPB:n lausunto on selkeä siinä, että suostumus ei voi niputtaa epäolennaisia tarkoituksia. Jos TCF-merkkijonosi listaa 300 myyjää ja tusinan epäolennaisia tarkoituksia, suostumus on haavoittuvainen jo ennen kuin maksa-tai-suostu-kysymykseen päästään. Pienennä myyjälistaa, erota tarkoitukset toisistaan mahdollisuuksien mukaan ja tarjoa yksityiskohtaiset hallintaominaisuudet yhden Hyväksy kaikki -painikkeen sijaan.
Kunnioita helppoa peruuttamista
Tee suostumuksen peruuttaminen yhtä helpoksi kuin alkuperäinen myöntäminen. CNIL ja Garante ovat molemmat sakottaneet julkaisijoita, joiden tilauksen peruuttamisvirtaukset olivat huomattavasti vaikeampia kuin alkuperäinen rekisteröityminen. Sama logiikka koskee nyt suostumusta: polun peruuttamiseen on oltava löydettävissä, kitkaton ja täydellinen.
Mitä seurata vuoden 2026 aikana
Kaksi odottavaa kehitystä muuttaa tämän alueen ennen vuoden loppua. Ensimmäinen on ECJ:n odottava päätös Meta:n maksa-tai-suostu-asiassa (Itävallan DSB:n lähettämä), joka antaa ensimmäisen sitovan koko EU:n laajuisen tuomion mallin laillisuudesta. Toinen on Euroopan komission selvitys GDPR:n vuorovaikutuksesta Digital Markets Act:n ja Digital Services Act:n kanssa, jossa tarkastellaan pitäisikö hyvin suurten verkkoalustojen kohdata tiukempia sääntöjä kuin pienempien julkaisijoiden — kanta jota EDPB on vihjaillut mutta ei ole virallisesti vahvistanut.
Ennen kuin nämä päätökset saapuvat, turvallisin julkaisijan asema on se, jonka viranomaiset ovat jo lennättäneet: tarjoa kolmas ei-seurantavaihtoehto, pidä hinnat objektiivisesti perusteltavina, kavenna suostumuksen laajuus aidosti liittyviin tarkoituksiin ja tee peruuttamisesta yhtä helppoa kuin alkuperäinen myöntäminen. Julkaisijat, jotka saavat kaikki neljä oikein, pitävät maksa-tai-suostu-virtansa toiminnassa; muut kohtaavat yhä todennäköisemmin täytäntöönpanoa.