Yliopiston Apteekille seuraamusmaksu verkkoapteekin tietosuojapuutteista

Julkaisuajankohta 4.6.2025 9.17
Tyyppi:Tiedote

Tietosuojavaltuutetun toimiston seuraamuskollegio on määrännyt Yliopiston Apteekille 1 100 000 euron seuraamusmaksun tietosuojapuutteista seurantapalveluiden käytössä verkkoapteekissa. Verkkosivuston analytiikkapalvelujen ja muiden seurantateknologioiden kautta seurantateknologiayrityksille on vuotanut verkkoapteekkiasiointia koskevia tietoja.

Tietosuojavaltuutetun toimisto alkoi selvittää Yliopiston Apteekin käytäntöjä Turun yliopiston väitöstutkijan yhteydenoton perusteella. Suomalaisten verkkoapteekkien tietosuojaongelmat kävivät ilmi väitöstutkimuksessa, jossa terveysalan verkkopalveluiden toimintaa tutkittiin verkkoliikenneanalyysilla. Tietosuojavaltuutetun toimisto selvittää parhaillaan myös useiden muiden apteekkien vastaavia puutteita.

Tietosuojavaltuutetun toimiston selvityksessä havaittiin, että Yliopiston Apteekki on käyttänyt verkkoapteekissaan evästeitä ja muita seurantateknologioita niin, että reseptilääkkeisiin ja itsehoitolääkkeisiin liittyvästä apteekkiasioinnista on välittynyt tietoa suoraan esimerkiksi Googlelle ja Metalle. Näille seurantapalveluntarjoajille on siirtynyt tietoja esimerkiksi tietyn lääkkeen lisäämisestä ostoskoriin ja tilauspainikkeen painamisesta.

Verkkosivuvierailijoista välittyi myös esimerkiksi IP-osoitteita ja muita tunnistetietoja, joita voidaan käyttää yksittäisen käyttäjän tunnistamisessa. Jos asiakas asioi verkkoapteekissa ollessaan kirjautuneena esimerkiksi Google- tai Facebook-tililleen, hän on voinut olla suoraan Googlen tai Metan tunnistettavissa.

”Lääkkeiden hankkimiseen liittyvät henkilötiedot ovat erittäin henkilökohtaisia tietoja, joiden suojaaminen on tärkeää. Asianmukaisia suojatoimenpiteitä valittaessa on kiinnitettävä huomiota henkilötietojen käsittelystä aiheutuvaan riskiin. Henkilötietoja suojaamalla ylläpidetään myös asiakkaiden luottamusta esimerkiksi verkkoapteekkiasiointiin”, apulaistietosuojavaltuutettu Annina Hautala toteaa.

Yliopiston Apteekille annettiin hallinnollinen seuraamusmaksu ja huomautus, sillä se ei ollut huolehtinut riittävästi verkkoapteekkiasioinnissa syntyneiden henkilötietojen turvallisuudesta. Tietosuojavaltuutetun toimiston selvitys koski apteekin käytäntöjä toukokuusta 2018 syyskuuhun 2022. Apteekki on ilmoittanut poistaneensa Googlen ja Metan seurantateknologiat käytöstä syyskuussa 2022.

Apulaistietosuojavaltuutettu antoi lisäksi apteekille ohjausta sen edelleen käyttämistä seurantateknologioista. ”Verkkosivuston seurantaratkaisut on mahdollista toteuttaa niin, että henkilötiedot suojataan samalla asianmukaisesti. Organisaatio voi esimerkiksi valita palveluja, joissa se pystyy aidosti hallitsemaan henkilötietojen käsittelyä tai jotka eivät välitä henkilötietoja eteenpäin”, Hautala sanoo.

Seuraamuskollegion ja apulaistietosuojavaltuutetun päätökset eivät ole lainvoimaisia. Niihin voi hakea muutosta valittamalla hallinto-oikeuteen.

Lisätietoja:
Apulaistietosuojavaltuutetun ja seuraamuskollegion päätökset Finlex-palvelussa

Apulaistietosuojavaltuutettu Annina Hautala, annina.hautala(at)om.fi, puh. 029 566 6776

Turun yliopiston tiedote yliopiston verkkosivuilla: Väitöstutkimuksessa löydettiin vakavia puutteita terveysalan verkkopalveluiden tietosuojassa (30.4.2025)