Tietosuojavaltuutetun toimiston seuraamuskollegio on määrännyt Yliopiston Apteekille 1,1 miljoonan euron seuraamusmaksun verkkoapteekin evästekäytäntöihin ja muiden seurantateknologioiden käyttöön liittyvistä tietosuojapuutteista (TSV/108/2022). Tapaus toimii hyvänä muistutuksena siitä, että evästeiden ja muiden seurantateknologioiden käyttö yrityksen verkkosivuilla ilman kunnollista ymmärrystä siitä, mitä kaikkia henkilötietoja kolmansille osapuolille päätyy sekä riittävien suojaustoimenpiteiden käyttöönoton laiminlyöminen voi johtaa suureen hallinnolliseen seuraamusmaksuun.
Mistä Yliopiston Apteekin tapauksessa oli kyse?
Yliopiston Apteekin verkkoapteekkiin liittyvät tietosuojapuutteet tulivat alun perin Tietosuojavaltuutetun toimiston tietoon Turun yliopiston väitöskirjatutkijan yhteydenoton perusteella. Väitöskirjatutkija oli verkkoliikeanalyysiin liittyvässä tutkimuksessaan havainnut, että suomalaisten verkkoapteekkien sekä tiettyjen muiden terveysalan toimijoiden seurantateknologioiden käyttöön niiden verkkosivuilla liittyi tietosuojaongelmia. Tietosuojavaltuutetun toimistolla on käynnissä selvitys myös muiden verkkoapteekkien vastaavanlaisista tietosuojapuutteista.
Tapauksessa Yliopiston Apteekin verkkoapteekista oli päätynyt seurantateknologiapalveluiden tarjoajille (Google, Meta ja New Relic), verkkoapteekin asiointiin liittyviä tietoja niiden verkkosivun käyttäjien osalta, jotka olivat antaneet suostumuksen evästeiden käyttöön. Käytettyjä seurantateknologioita olivat muun muassa Google Analytics -analytiikkatyökalu ja Facebook-seurantapikseli sekä työkalu, jolla valvottiin sivuston suorituskykyä. Seurantateknologiapalveluiden tarjoajille oli siirtynyt muun muassa tietoja siitä, mitä itsehoitolääkkeitä ja reseptilääkkeitä verkkosivujen vierailija oli tarkastellut, mitä lääkkeitä verkkosivujen käyttäjä oli lisännyt ostoskoriinsa sekä tieto siitä, että henkilö oli siirtynyt tilausvahvistukseen. Lisäksi seurantateknologiapalvelun tarjoajille oli päätynyt muita verkkosivun käyttäjän yksilöiviä tunnistetietoja, kuten IP-osoitteita. Tietoja yhdistelemällä kolmansilla palveluntarjoajilla oli ollut mahdollisuus tehdä päätelmiä siitä, mitä lääkkeitä yksittäinen tunnistettavissa oleva henkilö oli tarkastellut ja tilannut verkkoapteekista.
Tietosuojavaltuutetun toimiston seuraamuskollegion päätöksessä todettiin, että rekisterinpitäjä ei ollut riittävällä tavalla huolehtinut siitä, että verkkosivuvierailijan selaimen lähettämät http-kutsuissa olevat tiedot verkkosivuvierailusta olisi peitetty tai muulla tavoin muutettu tunnistamattomaan muotoon ennen niiden välittämistä seurantapalvelujen tarjoajille.
Päätöksessä kiinnitettiin huomioita myös siihen, että sisällytettäessä lääkkeistä kertovia tietoja verkkoviesteihin, nämä tiedot eivät olleet tavanomaisten viestinnän suojausmekanismien piirissä ja siten syntyi myös riski siitä, että tiedot voisivat päätyä tuntemattomille viestinvälittäjille. Tietojen välittyminen ei siis välttämättä rajoittunut vain rekisterinpitäjän käyttämiin seurantapalveluiden tarjoajiin, vaan lisäksi tietoja saattoi päätyä myös seurantapalveluiden tarjoajien käyttämille alikäsittelijöille.
Tietosuojavaltuutetun toimiston selvitys koski niitä käytäntöjä, jotka Yliopiston Apteekilla oli ollut käytössään toukokuusta 2018 syyskuuhun 2022. Sittemmin Yliopiston Apteekki oli muuttanut käytäntöjään estääkseen tietojen päätymisen kolmansille osapuolille.
Tietosuojavaltuutetun toimisto antoi Yliopiston Apteekille myös ohjausta sen edelleen soveltamien evästekäytäntöjen osalta. Ohjeistuksessa muun muassa todettiin, että mikäli verkkosivuvierailijoiden seurantaa lääkkeisiin liittyen oli tarpeen suorittaa, tulisi tämä tehdä siten, että rekisterinpitäjällä on tosiasiallinen hallinta henkilötietojen käsittelystä, minkä lisäksi teknologioiden jatkuva kehittyminen ja uudenlaisten tietoihin pääsyn tapojen syntyminen tuli ottaa huomioon. Lisäksi todettiin, että sellaista tilannetta tulisi välttää, jossa URL-osoitteen sisältö oli sidoksissa osoitteeseen liittyvän verkkosivun sisältöön (esimerkkinä tuotenimi, tuotekuvaus tai tuotekoodi), eikä URL-osoitteisiin tulisi sisällyttää erityisiin henkilötietoryhmiin kuuluvia tietoja, kuten terveyteen liittyviä tietoja, tai muutoin riskialttiita tietoja silloin, kun näitä tietoja välitetään kolmansille osapuolille.
Päätös ei ole vielä lainvoimainen, ja Yliopiston Apteekki on ilmoittanut valittavansa päätöksestä hallinto-oikeuteen.
Nyt on hyvä hetki pysähtyä tarkastelemaan evästeiden ja muiden seurantateknologioiden käyttöä omassa organisaatiossa
Tapaus toimii hyvänä muistutuksena siitä, että yritysten on tärkeää hahmottaa, miten niiden käsittelemät henkilötiedot siirtyvät henkilötietojen käsittelyyn osallistuville palveluntarjoajille ja edelleen näiden alikäsittelijöille. Lisäksi on tärkeää muistaa, että seurantateknologioihin liittyvä tietojen siirtyminen palveluntarjoajille ei rajoitu vain evästeisiin, vaan sitä tapahtuu myös muiden verkkokutsuihin pohjautuvien seurantateknologioiden osalta. Tällaisia ovat esimerkiksi seurantapikselit, web beaconit ja erilaiset tagit.
Seurantateknologioita käytettäessä tulee huolehtia tietojen minimoinnin periaatteen noudattamisesta. Seurantateknologiapalveluiden tarjoajille tulee välittää vain sellaisia henkilötietoja, joiden käsitteleminen on tarpeen käsittelyn tarkoitusten toteuttamista varten.
Niiden yritysten, jotka käsittelevät EU:n yleisen tietosuoja-asetuksen 9 artiklan mukaisia erityisiä henkilötietoryhmiä tai muita arkaluonteisia henkilötietoja, tulee kiinnittää erityistä huomiota siihen, että henkilötietojen suojaamiseksi on otettu käyttöön riittävät menettelyt, joilla huolehditaan henkilötietojen suojaamisesta analytiikkaa mittaavien työkalujen yhteydessä esimerkiksi yrityksen verkkosivuilla ja sähköpostitse lähetettävien uutiskirjeiden osalta. Erityisten henkilötietoryhmien käsittely analytiikkatyökalujen käytön yhteydessä voi tulla helposti kyseeseen esimerkiksi erilaisten terveyspalveluiden tarjoajien sekä lääkinnällisten laitteiden valmistajien kohdalla.
Sonja Laamanen
- Tietosuojavaltuutetun toimiston tiedote: Yliopiston Apteekille seuraamusmaksu verkkoapteekin tietosuojapuutteista
- Tutustu tietosuojavaltuutetun toimiston seuraamuskollegion ratkaisuun: TSV/108/2022
HH Partners hoitaa laaja-alaisesti erilaisia tietosuojaan liittyviä toimeksiantoja: autamme asiakkaita esimerkiksi tietosuojasääntelyn noudattamisen kehittämisessä, GDPR-kartoituksissa, vaikutustenarvioinneissa sekä muun tietosuojadokumentaation laatimisessa.
Kirjoittaja:
Sonja Laamanen työskentelee HH Partnersilla juristina painopistealueinaan tietosuoja- ja IPR-asiat. Sonjalla on kokemusta esimerkiksi tietosuojadokumentaation laatimisesta, tietosuojasääntelyn noudattamiseen liittyvistä kysymyksistä ja kansainvälisistä henkilötietojen siirroista. Sonja on avustanut tietosuojakysymyksissä useilla eri toimialoilla toimivia organisaatioita, esimerkkeinä media, jälleenmyynti, kuluttajakauppa, ja lääketeollisuus.
