Verkkoapteekkisivustolla käytettäviin seurantateknologioihin liittyvä henkilötietojen käsittely
- Asiasanat
- verkkoapteekki, evästeet, seurantateknologiat, henkilötietojen minimointivaatimus
- Tapausvuosi
- 2025
- Antopäivä
- Diaarinumero
- TSV/108/2022
- Säädösperusta
- EU:n yleisen tietosuoja-asetuksen mukainen päätös
Apulaistietosuojavaltuutetun ja seuraamuskollegion päätökset
Asia
Verkkoapteekkisivustolla käytettäviin seurantateknologioihin liittyvä henkilötietojen käsittely
Rekisterinpitäjä
Yliopiston Apteekki
1. Asiassa on kyse Yliopiston Apteekin (myöhemmin myös: rekisterinpitäjä, YA) verkkoapteekkisivustollaan käyttämien kolmannen osapuolen seurantapalveluiden, kuten eväste- ja seurantapikselipalveluiden, käyttöön liittyvästä henkilötietojen käsittelystä.
2. Asia on tullut vireille tietosuojavaltuutetun toimistossa 20.4.2022. Ilmoittaja on kertonut yliopiston tutkijaryhmän tekemistä, seurantapalveluiden käyttöä koskevista havainnoista rekisterinpitäjän verkkoapteekkisivustolla. Tietosuojavaltuutetun toimisto on ottanut asian tutkittavaksi 22.6.2022.
3. Ilmoittaja ei ole tässä asiassa hallintolain (434/2003) 11 §:n mukainen asianosainen, koska asiassa annettava päätös ei tule koskemaan ilmoittajan oikeutta, etua tai velvollisuutta. Päätös annetaan kuitenkin julkisilta osin tiedoksi ilmoittajalle.
Asian taustaa ja ilmoittajalta saatu selvitys
4. Ilmoittaja on 20.4.2022 kertonut tietosuojavaltuutetun toimistolle yliopiston tutkimusprojektista, jossa on tutkittu erilaisia internetissä avoimesti käytössä olevia verkkoapteekkipalveluita siltä osin, vuotavatko ne verkkosivuvierailijaa, eli verkkoapteekissa vierailevaa internetinkäyttäjää koskevaa henkilötietoa kolmansille osapuolille.
5. Ilmoittaja on toimittanut tietosuojavaltuutetun toimistolle raportin rekisterinpitäjän verkkoapteekkia koskevista löydöksistä. Ilmoittajan mukaan rekisterinpitäjän verkkosivustosta on tehty muun muassa seuraavia havaintoja:
6. Ilmoittajan selvityksen mukaan rekisterinpitäjä välittää verkkoapteekistaan lääketietoja, kuten lääkkeiden selailutietoja tai tietyn lääkkeen ostoaikeesta kertovia tietoja, Metalle, Googlelle ja New Relicille. Meta, Google ja New Relic ovat ilmoittajan selvityksen mukaan saaneet tarkat tiedot lääkkeestä (lääkkeen nimi, lääkemäärä, lääkkeestä riippuen esimerkiksi tablettien määrä). Tiedot ovat ilmoittajan mukaan olleet yhdistettävissä yksittäiseen asiakkaaseen esimerkiksi IP-osoitteen tai laitetunnisteen kautta.
7. Ilmoittaja kertoo, että rekisterinpitäjän verkkoapteekin lääkesivuilta[1] on lähtenyt dataa muun muassa seuraaviin kohteisiin:
Google: Vierailtu sivu, selaimen kieli, näytön koko, ikkunan koko, värisyvyys, tunnisteita (mm. cid selaimel-le/laitteelle), onko käyttäjä kirjautunut sisään Google-tilille. User-agent- ja sec-ch-ua-otsikoissa käyttöjärjestelmä ja selain;
New Relic: Vierailtu sivu, suoriutuvuusdataa (pyyntöjen kestoja, kokoja). User-agent- ja sec-ch-ua-otsikoissa käyttöjärjestelmä ja selain.
8. Ilmoittaja kertoo, että rekisterinpitäjän verkkoapteekin lääkkeiden tilaussivulta[2] on lähtenyt dataa muun muassa seuraaviin kohteisiin:
Google: Vierailtu sivu, selaimen kieli, näytön koko, ikkunan koko, värisyvyys, tunnisteita (mm. cid selaimelle/laitteelle), tieto siitä, onko käyttäjä kirjautunut sisään Google-tilille. User-agent- ja sec-ch-uaotsikoissa käyttöjärjestelmä ja selain;
New Relic: Vierailtu sivu, suoriutuvuusdataa (pyyntöjen kestoja, kokoja). User-agent- ja sec-ch-ua-otsikoissa käyttöjärjestelmä ja selain;
Facebook: Vierailtu sivu, miltä sivulta tultiin (lääkkeen sivu), näytön koko, aikaleima, tunniste selaimelle/laitteelle (fbp). User-agent- ja sec-ch-ua-otsikoissa käyttöjärjestelmä ja selain;
Youtube (Google): Aikaleimoja, kieliasetus, käyttöjärjestelmä, verkkoyhteyden tyyppi. User-agent- ja sec-ch-ua-otsikoissa käyttöjärjestelmä ja selain. Edellä mainitut toimijat ovat ilmoittajan mukaan saaneet tietoonsa aina käyttäjän IP-osoitteen sekä edellä kuvatusti käyttäjän päätelaitteen yksilöiviä tietoja.
9. Ilmoittaja on 2.12.2022 toimittanut tietosuojavaltuutetun toimistolle tutkimusprojektissa tallennetun HAR-tiedoston, joka sisältää internet-selaimen tekemiä kutsuja, joilla verkkosivuvierailijan internet-selain on kutsunut Yliopiston Apteekin verkkoapteekin www-palvelimella olevia verkkosivuja.[3] HAR-tiedoston sisältämiä tietoja on käytetty vertaisarvioidussa Turun yliopiston tutkimuksessa, joka koskee tietojen vuotamista kolmansille suomalaisista verkkoapteekeista. Tutkimus on julkaistu keväällä 2024.[4] Tietosuojavaltuutetun toimiston IT-erityisasiantuntijat ovat arvioineet HAR-tiedoston ja todenneet, että sen paikkansapitävyyttä ei ole syytä epäillä.
Rekisterinpitäjältä saatu selvitys
Selvityspyyntö 22.6.2022
10. Tietosuojavaltuutetun toimisto on pyytänyt rekisterinpitäjältä selvitystä 22.6.2022 päivätyllä selvityspyynnöllä. Rekisterinpitäjä on toimittanut asiassa kirjallisen selvityksen 12.9.2022.
11. Tietosuojavaltuutetun toimisto on toimittanut selvityspyyntönsä liitteenä rekisterinpitäjälle yliopiston tutkijaryhmän laatiman asiakirjan, josta käy ilmi esimerkiksi tutkijaryhmän suorittaman testauksen tekotapa sekä nimetyille seurantapalveluntarjoajille välittyneet tiedot, mukaan lukien lääkkeistä kertovat tiedot. Rekisterinpitäjä toteaa selvityksessään, että jotkin ilmoittajalta saadussa asiakirjassa listatut havainnot ovat aikaisemmin pitäneet paikkansa, mutta rekisterinpitäjä on sittemmin muuttanut toimintatapojaan.
12. Rekisterinpitäjän mukaan sillä on ollut verkkosivuillaan käytössä Facebookin markkinointipalvelu (Meta for Business). Rekisterinpitäjä toteaa, että palvelua ei ole ollut tarkoitus ottaa käyttöön reseptilääkesivuilla, mutta näin on tapahtunut inhimillisen virheen vuoksi. Rekisterinpitäjä kertoo ottaneensa palvelun pois käytöstä reseptilääkkeiden osalta. Rekisterinpitäjä kertoo selvityksessään, että se on kerännyt tietoa Facebookin kautta tulleista ostoista sekä optimoinut ja kohdentanut näiden tietojen perusteella mainontaa.[5]
13. Rekisterinpitäjän mukaan se on toiminut Facebookin kanssa yleisen tietosuoja-asetuksen mukaisena yhteisrekisterinpitäjänä Facebookin tarjoamien markkinointipalveluiden osalta. Rekisterinpitäjä kertoo, että se on ottanut palvelun pois käytöstään, lopettanut tähän liittyvän tietojen käsittelyn ja pyytänyt Facebookin emoyhtiö Metaa poistamaan kaikki tämän käsittelyn yhteydessä saadut tiedot. Rekisterinpitäjä toteaa, että se ei pysty vaikuttamaan sellaiseen käsittelyyn, jota Facebook itsenäisesti jatkaa tai joka on laajempaa kuin ne käsitellylle yhteisesti määritellyt tarkoitukset, jotka ovat liittyneet rekisterinpitäjän markkinointitarkoituksiin.
14. Rekisterinpitäjä kertoo, että se on käyttänyt verkkosivujen tyyleissä Googlen tarjoamaa Google Fonts -palvelua. Palvelusta on selvityksessä esitetyn mukaan siirrytty paikallisesti ylläpidettyyn versioon, joka ei siirrä henkilötietoja Googlelle. Googlen Fonts-palvelu on myös poistettu Consent Security Policy -säännöstöstä (CSP-säännöstö).
15. Rekisterinpitäjän mukaan Googlen kanssa tehdyssä tietojenkäsittelysopimuksessa tietojen käyttäminen muuhun tarkoitukseen kuin rekisterinpitäjän kuvaamien käsittelytoimien toteuttamiseen on suoraan yleisen tietosuoja-asetuksen perusteella kielletty, kun palveluntarjoaja toimii käsittelijänä. Rekisterinpitäjä kertoo lisäksi pyytäneensä Googlea poistamaan ne tiedot, joita Google käsittelijänä on käsitellyt rekisterinpitäjän lukuun.
16. Rekisterinpitäjä kertoo Googlen palveluiden käytön osalta lisäksi, että se on käyttänyt suomalaisen Videoly Oy:n tarjoamaa palvelua median ja YouTube-videoiden liittämiseksi tuotesivuihin. Rekisterinpitäjä kertoo päättäneensä ottaa palvelun pois käytöstä. Rekisterinpitäjä esittää, että se on pyytänyt Googlea poistamaan tiedot, joita Google on käsitellyt rekisterinpitäjän lukuun.
17. Rekisterinpitäjän mukaan New Relic on rekisterinpitäjän käyttämä verkkosivuston suorituskykyä valvova palvelu, jolla seurataan verkkosivuston ja sen palvelujen suorituskykyä asiakaskokemuksen parantamiseksi. Rekisterinpitäjän mukaan IP-osoitetietoja on muun muassa kerätty tietoturvasyistä sen tunnistamiseksi, mistä maasta verkkoliikenne on tullut rekisterinpitäjän verkkosivustolle. Rekisterinpitäjä kertoo arvioineensa uudelleen New Relic -palvelun IP-osoitetiedon välittävän Browser Agent -moduulin käyttöä ja päätyneensä poistamaan kyseisen New Relicin ohjelmistomoduulin käytöstään.
18. Rekisterinpitäjä on toimittanut selvityksensä yhteydessä tietosuojavaltuutetun toimistolle vaikutustenarviointia koskevia asiakirjoja, tietosuojaselosteen, sekä jäljennöksen Lääkealan turvallisuus- ja kehittämiskeskus Fimean 10.5.2021 antamasta, apteekin verkkopalveluita koskevasta määräyksestä 2/2011.
Kuulemispyyntö 1.7.2024
19. Tietosuojavaltuutetun toimisto on lähettänyt rekisterinpitäjälle kuulemis- ja lisäselvityspyynnön 1.7.2024. Kuulemispyyntö lähetetään rekisterinpitäjälle tilanteessa, jossa katsotaan, että tietosuojalain (1050/2018) 24 §:n tarkoittaman seuraamuskollegion tulisi käsitellä asia. Tietosuojavaltuutetun toimisto on varannut rekisterinpitäjälle tilaisuuden tulla kuulluksi asiassa esitetyistä tosiseikoista ja asiaa koskevasta alustavasta arviosta. Lisäksi tietosuojavaltuutetun toimisto on varannut rekisterinpitäjälle tilaisuuden tulla kuulluksi asiassa mahdollisesti määrättävästä seuraamuksesta sekä mahdollisuuden toimittaa muuta mahdollista dokumentaatiota, jolla sen näkemyksen mukaan on merkitystä asian ratkaisussa. Rekisterinpitäjä on 2.7.2024 toimittanut tietosuojavaltuutetun toimistolle vuosikertomuksensa vuodelta 2023, ja 20.9.2024 rekisterinpitäjä on toimittanut tietosuojavaltuutetun toimistolle vastauksensa kuulemispyyntöön.
20. Rekisterinpitäjä esittää kuulemisvastauksessaan, että Metalle[6], Googlelle tai New Relicille ei ole välittynyt tietoa asiakkaan ostamista lääkkeistä tai lääkkeen nimestä. Rekisterinpitäjän mukaan silloin, kun kävijä vieraillee rekisterinpitäjän verkkoapteekin lääkkeiden tuotesivuilla, näille palveluntarjoajille välittynyt tieto on rajoittunut pääasiassa tietoon siitä, että henkilö on vieraillut tietyillä Yliopiston Apteekin tuotesivuilla. Rekisterinpitäjän mukaan verkkosivujen käyttäjät voivat selailla tuotteita ja lisätä niitä ostoskoriinsa ilman todellista aikomusta ostaa tuote tai jopa vahingossa. Rekisterinpitäjän selvityksen mukaan lääkkeen ostamisesta on välitetty Googlelle muun muassa seuraavat tiedot sisältäviä kutsuja: Purchase , RESEPTILÄÄKE , price 3,95 [7], 99999 , joissa lääkkeen nimi on korvattu sanalla RESEPTILÄÄKE tai ITSEHOITOLÄÄKE, ja tuotenumero on korvattu numerosarjalla. Googlelle on lisäksi välitetty tilausnumero ja tieto siitä, kuinka monta tuotetta tilaus sisältää. Myös Metalle on välitetty tieto ostoksen tekemisestä ( Purchase , ecommerce.purchase ) sekä yllä esitetyllä tavalla maskattu tuotenumero. Metalle on välitetty lisäksi tieto ostoskorin kokonaissummasta, ja käytetystä valuutasta. Tietoa RESEPTILÄÄKE tai ITSEHOITOLÄÄKE ei rekisterinpitäjän mukaan ole välitetty Metalle.
21. Rekisterinpitäjän mukaan kaikki lääkkeitä koskevat ostotiedot (ml. esim. ostettujen tuotteiden nimet ja kappalemäärät) on maskattu eli tehty täysin tunnistamattomiksi ennen tietojen välittämistä ulkopuoliselle palveluntarjoajalle (Google, Meta), eikä välitetyistä tiedoista voida siten päätellä asiakkaan tekemiä ostoksia. New Relicille välitettyjä tietoja ei rekisterinpitäjän mukaan ole ollut tarpeen maskata, koska New Relicille on välitetty ainoastaan tieto URL-osoitteesta, jossa käyttäjä on vieraillut. Rekisterinpitäjä esittää selvityksessään, että mikään palveluntarjoaja ei ole saanut tietoa asiakkaan tilaamasta lääkkeestä, kuten lääkkeen nimestä tai tablettien määrästä.
22. Rekisterinpitäjä esittää, että maskauksessa esimerkiksi lääkkeen nimi, sikäli kuin se on palveluntarjoajalle välitetty, on korvattu geneerisellä termillä RESEPTILÄÄKE tai ITSEHOITOLÄÄKE, ja tuotenumero on korvattu geneerisellä numerosarjalla 99999 tai 88888. Rekisterinpitäjän mukaan lääketiedot on maskattu vuodesta 2015 alkaen.
23. Rekisterinpitäjä kertoo, että verkkokaupan alalla yleisesti hyväksytyn käsityksen mukaan verkkokaupan kävijöistä vain noin 2–3 % tekee verkkokaupasta ostoksen. Rekisterinpitäjä esittää, että katselluista sivuista ei voida vetää johtopäätöksiä siitä, mitä tuotteita asiakas on ostanut, saati tätä pidemmälle meneviä johtopäätöksiä henkilön terveydentilasta tai sairauksista. Selailutiedot eivät rekisterinpitäjän mukaan ole sellaisenaan yleisen tietosuoja-asetuksen 9 artiklan mukaisia tietoja. Rekisterinpitäjä toteaa lisäksi, että itsehoitolääkkeiden osalta tuotteilla on lukuisia eri käyttötarkoituksia, ja näitä tuotteita hankitaan tyypillisesti myös tilanteessa, jossa hankinnalle ei ole minkäänlaista senhetkiseen terveydentilaan liittyvää syytä.
24. Rekisterinpitäjän mukaan Google Analytics -palveluun ja Metalle on lähetetty verkkosivuston vierailutietoja ainoastaan silloin, kun käyttäjä on hyväksynyt kyseistä seurantateknologiaa koskevan evästeen. Rekisterinpitäjän mukaan asiassa on lisäksi huomioitava, että sen mittauksen mukaan noin 20–30 % Yliopiston Apteekin verkkosivuston kävijöistä kieltää evästeiden käytön kokonaan.
25. Rekisterinpitäjä esittää, että New Relic ei ole saanut tietoonsa kuin vieraillun sivun URL-osoitteen, eikä tarkempaa tietoa sivun sisällöstä. Tämän lisäksi New Relic on rekisterinpitäjän mukaan saanut tietoonsa käyttäjän IP-osoitetiedon ja laitetietoja silloin, kun New Relicin tarjoama Browser Agent -ohjelmistomoduuli on ollut käytössä (poistettu käytöstä 8.9.2022).
26. Rekisterinpitäjän mukaan Meta yhdistää tietoja vain sellaisiin käyttäjiin, jotka ovat rekisteröityneet Metan tarjoamiin palveluihin. Metan vastaanottamat, yllä kuvatun mukaiset tiedot (jotka siis eivät sisällä tietoa ostetusta tuotteesta tai edes sen tuotekategoriasta) ovat näin ollen olleet yhdistettävissä ainoastaan sellaisiin Yliopiston Apteekin verkkosivuston käyttäjiin, jotka ovat sekä hyväksyneet Metan evästeen että rekisteröityneet Metan Facebook-palveluun.
27. Rekisterinpitäjä kertoo, että se on 8.9.2022 ottanut Metan seurantapikselin (ns. Meta-pikseli) pois verkkosivustoltaan. Rekisterinpitäjän mukaan sillä on edelleen käytössä Meta for Business -mainonnanhallintajärjestelmä, joka rekisterinpitäjän mukaan ei seuraa verkkosivuvierailijoita. Rekisterinpitäjän mukaan Google Analytics on poistettu Yliopiston Apteekin verkkosivuilta 14.4.2022.
28. Rekisterinpitäjän mukaan se on 16.9.2022 pyytänyt Metaa poistamaan kaikki käsittelyn yhteydessä saadut tiedot. Rekisterinpitäjä kertoo pyytäneensä myös Googlea poistamaan ne tiedot, joita se on käsitellyt Yliopiston Apteekin lukuun.
29. Rekisterinpitäjä esittää, että IP-osoite on käytännössä ainoa tieto, jonka perusteella ulkopuolisen palveluntarjoajan on mahdollista kohtuullisella varmuudella yksilöidä ja jopa tunnistaa yksittäinen käyttäjä. Rekisterinpitäjän mukaan sen käyttämillä palveluntarjoajilla (Google, Meta, New Relic) ei myöskään ole mahdollisuutta saada internetoperaattorilta tai viranomaisilta tietoa siitä, kuka tietyn IP-osoitteen takana oleva käyttäjä on. Rekisterinpitäjä esittää, että Googlen ja Metan osalta käyttäjän tunnistaminen ei ole käytännössä ollut mahdollista sanotuille palveluntarjoajille muutoin kuin sellaisten käyttäjien osalta, jotka ovat käyttäneet Yliopiston Apteekin verkkosivustoa ja olleet samaan aikaan kirjautuneena Googlen tai Metan palveluun.
30. Rekisterinpitäjä esittää, että on tyypillistä ettei verkkoseurantaa koskevista sopimusehdoista voida juurikaan neuvotella. Rekisterinpitäjän mukaan sillä ei ole mitään viitteitä siitä, että sen käyttämät henkilötietojen käsittelijät (Google, Meta, New Relic) eivät olisi noudattaneet niiden kanssa tehtyjä tietojenkäsittelysopimuksia.
31. Rekisterinpitäjän mukaan Googlen, Metan ja New Relicin palvelut ovat olleet sillä käytössä seuraavasti: Google Analytics aikavälillä 5.5.2015–14.4.2022; Google Tag Manager aikavälillä 5.5.2015–8.9.2022; Google Fonts aikavälillä 21.3.2021–8.9.2022 (tämän jälkeen rekisterinpitäjä on siirtynyt paikallisesti ylläpidettyyn versioon); Google Maps -palvelu verkkosivujen Yhteystiedot-osiossa (www.yliopistonapteekki.fi/yhteystiedot) 21.3.2021 lähtien, ja palvelu on edelleen käytössä; YouTube on ollut käytössä suomalaisen Videoly Oy:n kautta tarjoamana palveluna aikavälillä 1.12.2017–8.9.2022. Tämän jälkeen YouTube-palvelusta on tuotu upotettuja videoita ainoastaan "Tietoa meistä" -sivustolle (), ja tämä toimintatapa on edelleen käytössä; Meta-pikseli (entinen Facebook-pikseli) on poistettu käytöstä koko verkkosivustolta 8.9.2022. Rekisterinpitäjällä ei ole tarkkaa tietoa siitä, milloin Meta-pikseli on aktivoitu epähuomiossa lääkesivuille, sillä rekisterinpitäjä on pyytänyt Metaa poistamaan kaikki tätä käsittelyä koskevat tiedot. Rekisterinpitäjän arvion mukaan tämä aktivointi on tapahtunut joko 1.10.2020, kun Meta on tarjonnut päivitettyä versiota pikselistään tai 21.3.2021, kun Yliopiston Apteekki on siirtynyt käyttämään uutta verkkosivualustaa; New Relicin Browser Agent -ohjelmistomoduuli on ollut käytössä aikavälillä 1.6.2019 – 8.9.2022.
32. Rekisterinpitäjä kertoo, että siltä löytyvien sisäisten raporttien mukaan vuonna 2021 rekisterinpitäjän verkkosivustolla on käynyt arviolta [lukumäärätieto poistettu] kävijää eli laitetta per viikko. Rekisterinpitäjän mukaan tämä lukumäärä vuodelta 2021 on keskimääräinen arvio ja yksittäinen otos, joka voi vaihdella suuresti eri vuosien ja kuukausien välillä, eikä se kerro yksittäisten kävijöiden tosiasiallista määrää. Rekisterinpitäjä arvioi, että laitemäärä on todennäköisesti huomattavasti suurempi kuin erillisten rekisteröityjen määrä. Rekisterinpitäjän selvityksestä käy ilmi, että lääkeostoja tehneiden asiakkaiden määrä on ollut vuositasolla [lukumäärätieto poistettu] asiakasta vuonna 2018, [lukumäärätieto poistettu] asiakasta vuonna 2019, [lukumäärätieto poistettu] asiakasta vuonna 2020, [lukumäärätieto poistettu] asiakasta vuonna 2021 ja [lukumäärätieto poistettu] asiakasta vuonna 2022. Rekisterinpitäjän arvion mukaan [lukumäärätieto poistettu] asiakkaista ovat toistuvia asiakkaita, jotka palaavat tekemään ostoja useana eri vuonna. Vuosina 2018–2022 tilauksia on tehty yhteensä [lukumäärätieto poistettu].
33. Rekisterinpitäjä esittää, että se ei pysty sellaisella kohtuullisella varmuudella kertomaan, kuinka monen rekisteröidyn tietoja on käsitelty Googlen, Metan ja New Relicin palvelussa, kuin mitä sen oikeusturva hallinnollisessa päätöksenteossa edellyttäisi. Rekisterinpitäjä esittää, että tästä johtuen asiassa tulee ottaa huomioon ainoa kohtuudella varmennettavissa oleva tieto, eli niiden rekisteröityjen määrä, jotka ovat tehneet Yliopiston Apteekin verkkoapteekista lääkkeitä koskevia tilauksia. Aikavälillä 2018–2024 lääketilausten kuukausittainen keskiarvo on rekisterinpitäjän mukaan ollut noin [lukumäärätieto poistettu] tilausta kuukaudessa. Rekisterinpitäjä on toimittanut tietosuojavaltuutetun toimistolle myös taulukon, joka kuvaa tilausmääriä vuositasolla sekä keskimääräisiä kuukausittaisia tilausten määriä vuosittain vuosina 2018–2024. Rekisterinpitäjä on toimittanut tietosuojavaltuutetun toimistolle niin ikään taulukon, joka kuvaa rekisterinpitäjän arviota lääkeostoja tehneiden asiakkaiden määrästä vuosittain aikavälillä 2018–2024.
34. Rekisterinpitäjä esittää, että harkittavien seuraamusten osalta asiassa olisi otettava huomioon tietosuojavaltuutetun toimiston aiemmat päätökset, kuten ratkaisut asioissa 4672/161/22 (Helmet-kirjastot) ja 7684/171/22 (Ilmatieteen laitos). Rekisterinpitäjän mukaan vaikuttaa siltä, että tietosuojavaltuutetun toimisto on aikaisemmassa ratkaisukäytännössään katsonut riittäväksi korjaustoimenpiteeksi analytiikan poistamisen käytöstä sekä rekisterinpitäjän palveluntarjoajalle osoitetun pyynnön poistaa kaikki tiedot heidän palveluistaan. Rekisterinpitäjä nostaa selvityksissään esille myös ratkaisut 3831/161/21 (Kesko) ja 1509/452/18 (Espoon kaupunki) ja katsoo, ettei sille ole aiheellista nämäkään ratkaisut huomioon ottaen määrätä hallinnollista seuraamusmaksua.
Täydentävä kuulemispyyntö 6.11.2024
35. Tietosuojavaltuutetun toimisto on lähettänyt rekisterinpitäjälle täydentävän kuulemispyynnön 6.11.2024. Rekisterinpitäjä on toimittanut vastauksensa tietosuojavaltuutetun toimistolle 4.12.2024.
36. Rekisterinpitäjä on esittänyt 20.9.2024 tietosuojavaltuutetun toimistolle antamassa kuulemisvastauksessaan, että se ei ole välittänyt seurantapalveluntarjoajille kuulemispyynnössä esitettyjä, lääkkeiden selailua tai ostoaietta kuvaavia tietoja. Tietosuojavaltuutetun toimisto on toimittanut rekisterinpitäjälle ilmoittajalta saadun HAR-tiedoston sellaisenaan ja pyytänyt rekisterinpitäjää lausumaan sen sisällöstä. HAR-tiedosto sisältää www-selaimen tekemiä kutsuja, joilla verkkosivuvierailijan www-selain on kutsunut rekisterinpitäjän verkkoapteekin www-palvelimella olevia verkkosivuja.
37. Tietosuojavaltuutetun toimisto on täydentävän kuulemispyynnön yhteydessä toimittanut rekisterinpitäjälle lisäksi 26.9.2024 tallennettuja kuvakaappauksia rekisterinpitäjän verkkoapteekkisivustosta (www.yliopistonapteekki.fi). Kuvakaappauksista käy ilmi, että asiakas voi painaa tietyn reseptilääkkeen kohdalla ”tilaa reseptilääke” -painiketta ennen kuin hän siirtyy tunnistautumaan farmaseutin chat-palvelua varten.
38. Rekisterinpitäjä on esittänyt kuulemisvastauksessaan edelleen, että Googlelle ja Metalle välitetyt tiedot ovat olleet rajattuja ja maskattuja (peitettyjä). Rekisterinpitäjä on esittänyt vastauksessaan myös yksityiskohtaista selvitystä tuotteen ostopolusta verkkoapteekissa.
39. Metan osalta rekisterinpitäjä esittää täsmentävästi, että Metalle on välitetty sivulatauksen yhteydessä tavallisen verkkoliikenteen mukana tiedot sivun URL-osoitteesta, ostoskorin loppusummasta (mahdollisen Kela-korvauksen jälkeen) sekä tavanomaiset tiedot käyttäjän selaimesta. Mikäli käyttäjä ei ollut hyväksynyt evästeitä, edes edellä kuvattuja tietoja ei rekisterinpitäjän mukaan välittynyt Metalle.
40. Rekisterinpitäjän mukaan New Relicillä ei tosiasiallisesti ole ollut käytettävissään mitään muita sellaisia tietoja käyttäjän dynaamisen IP-osoitteen lisäksi, joiden perusteella yhdistäminen yksittäiseen käyttäjään olisi mahdollista.
41. Rekisterinpitäjän mukaan sille kuulemispyynnön ohessa toimitettu, yliopiston tutkijaryhmän tallentama HAR-tiedosto on monilta osin puutteellinen. Rekisterinpitäjä esittää muun muassa, että HAR-tiedostossa ja kehittäjätyökalussa (Developer Tool) näkyvät tiedot eivät ole samat kaikille samoja verkkosivuja käyttäville, vaan ne koskevat ainoastaan kyseistä käyttäjää ja kyseistä selauskertaa, ja tiedot muuttuvat käyttäjän itsensä tekemien valintojen perusteella. Rekisterinpitäjän mukaan HAR-tiedosto kuvaa vain murto-osaa niistä toiminnoista, joita sillä pyritään tässä asiassa todistamaan, ja HAR-tiedoston perusteella on rekisterinpitäjän mielestä esimerkiksi selvää, ettei sen luonut henkilö koskaan siirry tilaamaan lääkkeitä, eikä HAR-tiedosto siksi tue väitteitä ostostietoja sisältävien tietojen toimittamisesta eteenpäin.
42. Rekisteröityjen määrän osalta rekisterinpitäjä esittää, että asiassa tulisi ensisijaisesti huomioida rekisterinpitäjän verkkoapteekin reseptuuri[8] koko verkkosivuston kävijävolyymin sijaan. Yliopiston Apteekin reseptuuri aikavälillä 08/2020–08/2022 on ollut [lukumäärätieto poistettu] kappaletta ja yksittäisiä ostajia samalla tarkastelujaksolla on [lukumäärätieto poistettu].
43. Rekisterinpitäjä korostaa vastauksessaan niin ikään, että Euroopan unionin tuomioistuimen ratkaisussa asiassa C-21/23 on nimenomaisesti kyse lääkkeen ostotapahtumasta, jolloin valmisteen osto on ollut yhdistettävissä tilaajaan henkilönä. Rekisterinpitäjä katsoo, että olosuhteet eroavat nyt käsillä olevasta asiasta, eikä sanotussa ratkaisussa vaadittu todennäköisyyden taso tilaajan ja lääkkeen käyttäjän välillä täyty rekisterinpitäjän tapauksessa.
44. Rekisterinpitäjän mukaan sen tarkoituksena ei ole ollut selvittää käyttäjistä erityisiin henkilötietoryhmiin kuuluvia tietoja heidän verkkoselailuunsa perustuen, eikä tarkoituksena ole liioin ollut, että sen lukuun toimivat palveluntarjoajat selvittäisivät käyttäjistä tällaisia tietoja. Rekisterinpitäjä lisää, että sen näkemyksen mukaan evästeiden ja IP-osoitteiden tulkintaan henkilötietoina ja tilattavien lääkkeiden asemaan yleisessä tietosuoja-asetuksessa tarkoitettuna terveystietoina liittyvä oikeustila on ollut pitkään epäselvä siten, että Euroopan unionin tuomioistuin on antanut asiassa selventäviä tulkintalinjauksia vasta viime vuosina.
45. Rekisterinpitäjän mukaan se on osa Helsingin yliopiston konsernia. Rekisterinpitäjä kertoo, että Helsingin yliopiston konserniohjeen mukaan konsernilla tarkoitetaan Helsingin yliopistoa emoyhteisönä ja sen tytäryhteisöjä, joissa Helsingin yliopistolla on yksin tai yhdessä muiden konserniin kuuluvien yhteisöjen kanssa kirjanpitolaissa tarkoitettu määräysvalta, ja että tytäryhteisöihin rinnastetaan myös Yliopiston Apteekki, Helsingin Yliopiston Rahastot ja Helsingin yliopiston määräysvaltaan kuuluvat säätiöt. Rekisterinpitäjä esittää edelleen, että Yliopiston Apteekin johtosäännön (päivätty 11.12.2019) perusteella Yliopiston Apteekki toimii Helsingin yliopiston hallituksen määrittelemällä tavalla.
46. Rekisterinpitäjä esittää, että se on itsenäinen julkisoikeudellinen oikeushenkilö, jolle ei voida määrätä hallinnollista seuraamusmaksua tietosuojalain perusteella.
Täydentävä kuulemispyyntö 12.12.2024
47. Tietosuojavaltuutetun toimisto on lähettänyt rekisterinpitäjälle täydentävän kuulemispyynnön 12.12.2024. Rekisterinpitäjä on toimittanut vastauksensa tietosuojavaltuutetun toimistolle 23.1.2025.
48. Tässä vaiheessa rekisterinpitäjää on kuultu muun muassa siitä, että se selvityksen perusteella välittää apteekkiverkkosivustollaan lääkkeitä koskevia tietoja edelleen erilaisille seurantapalveluntarjoajille. Esimerkiksi Giosg- ja Videobot-palveluille välitetään tieto siitä, mitä lääkkeitä verkkosivuvierailija selailee verkkoapteekissa. Tieto siitä, minkä lääkkeen verkkosivuvierailija on lisännyt ostoskoriin, välitetään Klarnalle ja Frosmolle. Rekisterinpitäjää on lisäksi kuultu siitä, onko esimerkiksi seuraavassa, Googlelle välitetyssä kutsussa kohdissa 99999 ja RESEPTILÄÄKE (merkitty kutsuun lihavoinnilla) kyse rekisterinpitäjän maskaustoimenpiteistä. Rekisterinpitäjän huomiota on kiinnitetty siihen, että kutsussa on tässäkin tapauksessa nähtävissä lääkettä koskevia tietoja (merkitty kutsuun lihavoinnilla): GET https://www.google-analytics.com/collect?v=1&_v=j96&aip=1&a=263178262&t=event&ni=1&_s=1&dl=https://www.yliopistonapteekki.fi/risperdal-1-mg-kalvopaallysteinen-tabletti-60-fol-9462&ul=en-us&de=UTF-8&dt= RISPERDAL1 MG KALVOPÄÄLLYSTEINEN TABLETTI 60 fol | Yliopiston Apteekki&sd=24-bit&sr=1280x720&vp=521x599&je=0&ec=Ecommerce&ea=Product Detail View&el=RESEPTILÄÄKE&_u=aGDAAEALAAAAAC~&jid=&gjid=&cid=838638077.1647008177&tid=UA-58874116-1&_gid=883435436.1647008177>m=2wg370N43MBT9&cd1=Logged out&pal=Product-card&pa=detail&pr1pr=35.18&pr1id= 99999 &pr1nm= RESEPTILÄÄKE &pr1ca=Reseptilääkkeet&z=1185129767
49. Rekisterinpitäjä toteaa kuulemisvastauksessaan, että kuulemispyynnössä esitetty, HAR-tiedostosta peräisin oleva GET-kutsu ja siinä näkyvä URL-osoitteen maalattu osio eivät ole sen tapa maskata (peittää) tietoja. Rekisterinpitäjän mukaan maskauksen ensisijainen tarkoitus on nimenomaan ostotapahtumaa koskevien tietojen maskaaminen, eikä tietosuojavaltuutetun toimiston toimittama HAR-tiedosto sisällä lainkaan ostotapahtumia koskevia URL-osoitteita. Rekisterinpitäjän mukaan ostotapahtuman osalta kaikki tuotetiedot on maskattu, eikä tietoa tuotteen selailusta itsessään voida missään tapauksessa katsoa erityisiin henkilötietoryhmiin kuuluvaksi tiedoksi.
50. Rekisterinpitäjä esittää Referer-tiedon osalta, että tieto siitä, miltä sivulta käyttäjä on siirtynyt kyseiselle sivulle (Referer-tieto), on tärkeä osa verkkoanalytiikkaa. Sen avulla verkkosivuston ylläpitäjä ymmärtää paremmin, miten kävijät yleisesti liikkuvat sivustolla. Analytiikan tarkoituksena ei ole seurata tietyn käyttäjän toimintaa, saati tunnistaa kyseistä käyttäjää, eikä se rekisterinpitäjän mukaan ole edes mahdollista. Rekisterinpitäjä esittää, että Referer-muuttuja on tärkeä internetin toiminnan sujuvuuden ja tietoturvan kannalta.
51. Rekisterinpitäjä esittää URL-osoitteen osalta, että suurin osa internetin käyttäjistä käyttää URL-osoitekentässä kirjaimista muodostuvia merkkijonoja numeroista muodostuvien sijasta siitä syystä, että haettavaan verkkosivuun loogisesti liittyvä nimi on helpompi muistaa kuin numerot. Selailutietojen yhteydessä, eli sivustolla vierailevan tarkastellessa tuotekohtaisia sivuja, URL-osoite viittaa kyseiseen tuotteeseen. URL-osoite kuitenkin muuttuu ostospolun vaiheen perusteella. Rekisterinpitäjä korostaa lisäksi, että URL-osoitteesta ei käy ilmi ostetun lääkkeen nimi. Rekisterinpitäjän mukaan selkokielisten URL-osoitteiden käyttö on yksi tapa varmistaa, että esimerkiksi näkörajoitteiset henkilöt voivat käyttää rekisterinpitäjän verkkopalveluita esteettömästi ja esimerkiksi puhesyntetisaattori saa käännettyä tekstin.
52. Ostoskoriin lisättyjä lääkkeitä koskevien tietojen välittymisen osalta rekisterinpitäjä esittää, että siinäkin tapauksessa että käyttäjä haluaisi ostaa nimenomaan Risperdal 1 mg -tuotteen, käyttäjän ostoskori on farmaseutin chat-palveluun liittyvän tunnistautumisen jälkeen reseptilääkkeiden osalta täysin tyhjä. Käyttäjän on tunnistautumisen jälkeen aloitettava tuotteen esivalitseminen uudestaan. Reseptiasioinnin aloitussivulle on niin ikään mahdollista siirtyä usealla eri tavalla, kulkematta lainkaan tuotesivun kautta. Rekisterinpitäjä esittää, että seurantapalvelut eivät näe, onko käyttäjä ostanut tiettyä yhtä tai useampaa itsehoitolääkettä tai poistanut tuotteita ostoskoristaan.
53. Rekisterinpitäjä esittää, että mikäli selailutieto itsessään olisi erityisiin henkilötietoryhmiin kuuluvaa tietoa, se tarkoittaisi muun muassa kaikkien sosiaali- ja terveydenhuollon verkkosivujen muuttumista tietosuoja-asetuksen vastaisiksi tai tekisi internetin käyttämisen hyvin hankalaksi, kun jokaisen verkkosivun tulisi ulkoisia komponentteja käyttäessään pyytää nimenomaista suostumusta erityisten henkilötietoryhmien käsittelyyn. Rekisterinpitäjä toteaa, että kyse on ollut tietojenkäsittelysopimuksiin sitoutuneiden kolmansien seurantapalveluntarjoajien toteuttamasta henkilötietojen käsittelystä Yliopiston Apteekin lukuun.
54. Rekisterinpitäjän mukaan Klarnalle ei välity tietoa siitä, minkä reseptilääkkeen asiakas on ostanut. Rekisterinpitäjä on 3.9.2024 irtisanonut sopimuksensa Klarnan kanssa, ja palvelun käyttö Yliopiston Apteekin verkkoapteekissa päättyy helmikuussa 2025.
Tietosuojavaltuutetun toimiston testitilaus 19.12.2024
55. Tietosuojavaltuutetun toimisto on 19.12.2024 tehnyt testitilauksen rekisterinpitäjän verkkoapteekista (www.yliopistonapteekki.fi). Tilaus on sisältänyt kaksi itsehoitolääkettä (Nasolin-nenäsumute, Burana-kapselit). Tietosuojavaltuutetun toimisto on tässä yhteydessä tallentanut rekisterinpitäjän verkkoapteekkisivustolta seurantapalveluntarjoajille (kuten Giosg, Piwik PRO) välittyviä kutsuja, jotka ovat sisältäneet esimerkiksi tietoa verkkoapteekkitilauksen loppuun viemisestä sekä siitä, mitä lääkkeitä tilaus on sisältänyt. Sanotut kutsut löytyvät tämän päätöksen liitteestä. Rekisterinpitäjää on kuultu tästä selvityksestä 7.1.2025 päivätyllä kuulemispyynnöllä.
Täydentävä kuulemispyyntö 7.1.2025
56. Tietosuojavaltuutetun toimisto on lähettänyt rekisterinpitäjälle täydentävän kuulemispyynnön 7.1.2025. Rekisterinpitäjää on kuultu tietosuojavaltuutetun toimiston 19.12.2024 tekemästä testiostoksesta. Rekisterinpitäjä on toimittanut vastauksensa tietosuojavaltuutetun toimistolle 23.1.2025.
57. Rekisterinpitäjä esittää vastauksessaan, että tietoja siitä, mitä itsehoitolääkkeitä on ostettu, ei siirretä seurantapalveluntarjoajille. Rekisterinpitäjän mukaan esimerkiksi kiitos tilauksestasi -vaihetta koskeva kutsu ei sisällä viitettä itse ostotapahtuman sisällöstä tai siitä, mitä itsehoitolääkettä asiakas on ostanut.
Taustatietoja
58. Palvelunkuvaus: Yliopiston Apteekki on Helsingin yliopiston omistama apteekki, joka toimii kilpailluilla markkinoilla. Yliopiston Apteekin verkkoapteekki toimii osoitteessa www.yliopistonapteekki.fi. Yksityishenkilöiden on mahdollista tilata verkkoapteekista esimerkiksi resepti- ja itsehoitolääkkeitä.
59. Liikevaihto: Rekisterinpitäjä on 21.5.2025 toimittanut tietosuojavaltuutetun toimistolle vuoden 2024 liikevaihtotiedot.[9] Näiden tietojen mukaan Yliopiston Apteekki -konsernin liikevaihto vuodelta 2024 on 338.992.444,95 euroa.[10]
Sovellettavasta lainsäädännöstä
60. Asiassa sovelletaan Euroopan parlamentin ja neuvoston yleistä tietosuoja-asetusta (EU) 2016/679 (yleinen tietosuoja-asetus) sekä sitä täsmentävää ja täydentävää kansallista tietosuojalakia (1050/2018).
61. Yleisen tietosuoja-asetuksen 4 artiklan 1 alakohdassa säädetään henkilötiedon määritelmästä seuraavasti: ’henkilötiedoilla’ tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella,
62. Yleisen tietosuoja-asetuksen 4 artiklan 15 alakohdassa säädetään terveystietojen määritelmästä seuraavasti: ’terveystiedoilla’ tarkoitetaan luonnollisen henkilön fyysiseen tai psyykkiseen terveyteen liittyviä henkilötietoja, mukaan lukien tiedot terveyspalvelujen tarjoamisesta, jotka ilmaisevat hänen terveydentilansa.
63. Yleisen tietosuoja-asetuksen 5(1)(a) artiklassa säädetään kohtuullisuuden ja läpinäkyvyyden periaatteista. Artiklan mukaan henkilötietoja on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi.
64. Yleisen tietosuoja-asetuksen 5(1)(c) artiklassa säädetään tietojen minimointiperiaatteesta. Artiklan mukaan henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään.
65. Yleisen tietosuoja-asetuksen 5(1)(f) artiklassa säädetään eheyden ja luottamuksellisuuden periaatteesta. Artiklan mukaan henkilötietoja on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä tai organisatorisia toimia.
66. Yleisen tietosuoja-asetuksen 9 artiklassa säädetään erityisiä henkilötietoryhmiä koskevasta käsittelystä. Artiklan 1 kohdan mukaan sellaisten henkilötietojen käsittely, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys sekä geneettisten tai biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten tai terveyttä koskevien tietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevien tietojen käsittely on kiellettyä. Artiklan 2 kohdassa säädetään poikkeuksista artiklan 1 kohdan kieltoon.
67. Yleisen tietosuoja-asetuksen 25 artiklassa säädetään sisäänrakennetusta ja oletusarvoisesta tietosuojasta. Artiklan 1 kohdassa todetaan, että ottaen huomioon uusimman tekniikan ja toteuttamiskustannukset sekä käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitukset sekä käsittelyn aiheuttamat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit luonnollisten henkilöiden oikeuksille ja vapauksille rekisterinpitäjän on käsittelytapojen määrittämisen ja itse käsittelyn yhteydessä toteutettava tehokkaasti tietosuojaperiaatteiden, kuten tietojen minimoinnin, täytäntöönpanoa varten asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten tietojen pseudonymisointi ja tarvittavat suojatoimet, jotta ne saataisiin sisällytettyä käsittelyn osaksi ja jotta käsittely vastaisi tämän asetuksen vaatimuksia ja rekisteröityjen oikeuksia suojattaisiin. Artiklan 2 kohdassa todetaan, että rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Tämä velvollisuus koskee kerättyjen henkilötietojen määriä, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. Näiden toimenpiteiden avulla on varmistettava etenkin se, että henkilötietoja oletusarvoisesti ei saateta rajoittamattoman henkilömäärän saataville ilman luonnollisen henkilön myötävaikutusta.
68. Yleisen tietosuoja-asetuksen 32 artiklassa säädetään käsittelyn turvallisuudesta. Artiklan 1 kohdan mukaan ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten henkilötietojen salaus. Artiklan 2 kohdan mukaan asianmukaisen turvallisuustason arvioimisessa on kiinnitettävä huomiota erityisesti käsittelyn sisältämiin riskeihin, erityisesti siirrettyjen, tallennettujen tai muutoin käsiteltyjen henkilötietojen vahingossa tapahtuvan tai laittoman tuhoamisen, häviämisen, muuttamisen, luvattoman luovuttamisen tai henkilötietoihin pääsyn vuoksi.
69. Yleisen tietosuoja-asetuksen 58(2) artiklassa säädetään valvontaviranomaisen korjaavista toimivaltuuksista. Artiklan b alakohdan mukaan valvontaviranomainen voi antaa huomautuksen rekisterinpitäjälle tai henkilötietojen käsittelijälle, jos käsittelytoimet ovat olleet yleisen tietosuoja-asetuksen säännösten vastaisia. Artiklan i alakohdan mukaan valvontaviranomainen voi määrätä 83 artiklan nojalla hallinnollisen sakon tässä kohdassa tarkoitettujen toimenpiteiden lisäksi tai niiden asemesta kunkin yksittäisen tapauksen olosuhteista riippuen.
Yleisen tietosuoja-asetuksen perustelukappaleet
70. Yleisen tietosuoja-asetuksen perustelukappaleessa 30 todetaan luonnollisten henkilöiden tunnistamisesta seuraavaa: Luonnolliset henkilöt voidaan yhdistää heidän käyttämiensä laitteiden, sovellusten, työkalujen ja protokollien verkkotunnistetietoihin, kuten IP-osoitteisiin, evästeisiin tai muihin tunnisteisiin, esimerkiksi radiotaajuustunnisteisiin. Näin käyttäjästä voi jäädä jälkiä, joita voidaan käyttää luonnollisten henkilöiden profilointiin ja tunnistamiseen etenkin, kun niitä yhdistetään yksilöllisiin tunnisteisiin ja muihin palvelimille toimitettuihin tietoihin.
71. Yleisen tietosuoja-asetuksen perustelukappaleessa 35 todetaan terveystiedoista seuraavaa: Terveyttä koskevia henkilötietoja ovat kaikki tiedot, jotka koskevat rekisteröidyn terveydentilaa ja paljastavat tietoja rekisteröidyn entisestä, nykyisestä tai tulevasta fyysisen terveyden tai mielenterveyden tilasta. Tähän kuuluvat luonnollista henkilöä koskevat tiedot, jotka on kerätty tämän rekisteröityessä Euroopan parlamentin ja neuvoston direktiivissä 2011/24/EU (9) tarkoitettujen terveyspalvelujen saamista varten tai niiden tarjoamisen yhteydessä; luonnolliselle henkilölle annettu numero, symboli tai erityistuntomerkki, jolla hänet voidaan tunnistaa yksiselitteisesti terveydenhuollon piirissä; kehon osan tai kehosta peräisin olevan aineen testaamisesta tai tutkimisesta saadut tiedot, kuten geneettiset tiedot ja biologiset näytteet, sekä kaikki tiedot esimerkiksi sairauksista, vammoista, sairauden riskistä, esitiedoista tai annetuista hoidoista sekä tieto rekisteröidyn fyysisestä tai lääketieteellisestä tilanteesta riippumatta siitä, mistä lähteestä tiedot on saatu, esimerkiksi lääkäriltä tai muulta terveydenhuollon ammattilaiselta, sairaalalta, lääkinnällisestä laitteesta tai diagnostisesta in vitro -testistä.
72. Yleisen tietosuoja-asetuksen perustelukappaleessa 51 todetaan, että henkilötietoja, jotka ovat erityisen arkaluonteisia perusoikeuksien ja -vapauksien kannalta, on suojeltava erityisen tarkasti, koska niiden käsittelyn asiayhteys voisi aiheuttaa huomattavia riskejä perusoikeuksille ja -vapauksille.
Oikeudellinen kysymys
73. Apulaistietosuojavaltuutettu arvioi ja ratkaisee asian edellä mainitusti yleisen tietosuoja-asetuksen (EU) 2016/679 ja tietosuojalain (1050/2018) pohjalta.
74. Apulaistietosuojavaltuutettu arvioi itsehoitolääkkeisiin[11] ja reseptilääkkeisiin liittyvää henkilötietojen käsittelyä. Tässä päätöksessä ei arvioida muihin rekisterinpitäjän verkkoapteekissa myytäviin tuotteisiin liittyvää henkilötietojen käsittelyä.
75. Aikavälillä 25.5.2018–8.9.2022 käytössä olleiden palveluiden ja palveluntarjoajien kohdalla arviointi rajataan henkilötietojen käsittelyyn Googlen, Metan ja New Relicin seurantapalveluita käytettäessä. Rekisterinpitäjän myöhemmin verkkoapteekkisivustollaan käyttämien seurantapalveluiden osalta rekisterinpitäjälle annetaan ohjausta (ks. tarkemmin päätöskohdat 138–144).
76. Asiassa on ratkaistavana seuraavat kysymykset:
1. Onko rekisterinpitäjä huolehtinut asianmukaisesti siitä, että ulkoisilla seurantapalveluntarjoajilla (Google, Meta) ei ole ollut käsittelyn eheyden ja luottamuksellisuuden vaatimuksen ja käsittelyn turvallisuusvaatimuksen vastaista pääsyä verkkoapteekkiasiointia koskeviin henkilötietoihin (yleisen tietosuoja-asetuksen 5(1)(f) artikla ja 32 artiklan 1 ja 2 kohta)
2. Onko tietojen välittäminen New Relicille ollut kaikilta osin henkilötietojen minimointivaatimuksen mukaista (yleisen tietosuoja-asetuksen 5(1)(c) ja 25(2) artikla)
Mikäli rekisterinpitäjän menettely ei ole ollut tietosuojasääntelyn mukaista, apulaistietosuojavaltuutetun tulee arvioida, onko asiassa käytettävä yleisen tietosuoja-asetuksen 58(2) artiklan mukaisia korjaavia toimivaltuuksia.
Apulaistietosuojavaltuutetun päätös
Päätös
77. Rekisterinpitäjä ei perusteluissa tarkemmin esitetysti ole huolehtinut asianmukaisesti siitä, että ulkoisilla seurantapalveluntarjoajilla (Google, Meta) ei ole ollut käsittelyn eheyden ja luottamuksellisuuden vaatimuksen ja käsittelyn turvallisuusvaatimuksen vastaista pääsyä verkkoapteekkiasiointia koskeviin henkilötietoihin (yleisen tietosuoja-asetuksen 5(1)(f) artikla ja 32 artiklan 1 ja 2 kohta).
78. New Relic- palvelun käyttöön liittyvä henkilötietojen käsittely ei ole ollut kaikilta osin henkilötietojen minimointivaatimuksen mukaista (yleisen tietosuoja-asetuksen 5(1)(c) ja 25(2) artikla), vaan rekisterinpitäjä on välittänyt sanotulle palveluntarjoajalle tietoja, joiden välittäminen ei ole ollut tarpeen verkkosivuston suorituskyvyn valvontatarkoituksessa.
Huomautus
79. Rekisterinpitäjälle annetaan edellä kohdassa 77 ja 78 todetun menettelyn osalta yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukainen huomautus yleisen tietosuoja-asetuksen säännösten vastaisista henkilötietojen käsittelytoimista.
Ohjaus
80. Apulaistietosuojavaltuutettu antaa rekisterinpitäjälle ohjausta, joka koskee seurantapalveluita, jotka rekisterinpitäjä on asentanut verkkosivustolleen Google, Metan ja New Relicin palveluiden poistamisen jälkeen (ks. tämän päätöksen kohdat 138–144).
Hallinnollinen seuraamusmaksu
81. Tietosuojalain 24 §:n mukaan yleisen tietosuoja-asetuksen 83 artiklassa säädetyn hallinnollisen seuraamusmaksun määrää tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio. Seuraamusmaksua koskeva asia annetaan seuraamuskollegion ratkaistavaksi. Seuraamuskollegion on näin ollen arvioitava, onko rekisterinpitäjälle määrättävä yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan i alakohdan mukainen hallinnollinen seuraamusmaksu apulaistietosuojavaltuutetun antaman huomautuksen lisäksi.
82. Asia saatetaan seuraamuskollegion arvioitavaksi siltä osin kuin kyse on Googlen ja Metan palveluiden käytöstä aikavälillä 25.5.2018 – 8.9.2022.
Perustelut
Verkkoapteekkiasiointia koskevien tietojen välittyminen seurantapalveluntarjoajille
83. Asiassa tarkastellaan aluksi, miten ja mitä tietoja rekisterinpitäjä on välittänyt seurantapalveluntarjoajille. Rekisterinpitäjä on käyttänyt verkkoapteekkisivustollaan Googlen, Metan ja New Relicin seurantapalveluita, kuten Google Analytics -analytiikkatyökalua ja Facebook-seurantapikseliä.
84. Seurantapalveluita verkkosivuilla (tässä tapauksessa: verkkoapteekkisivustolla) käytettäessä seurantapalveluntarjoajille välitetään tietoa verkkosivuvierailijasta. Kun verkkosivuvierailija selaa sivustoa, hänen verkkoselaimensa tekee seurantapalveluntarjoajille välittyviä, HTTP-protokollan mukaisia kutsuja tietojen saamiseksi ja välittämiseksi (tyypillisesti GET- ja POST-kutsuja). Kutsut voivat sisältää tietoa esimerkiksi siitä, millä verkkosivulla henkilö on, ja mitä hän verkkosivulla tekee. Verkkoapteekkisivuston kohdalla kutsuissa voi siten välittyä tietoa esimerkiksi siitä, minkä lääkkeiden tuotesivuilla verkkosivuvierailija on käynyt, tai mitä lääkkeitä hän on lisännyt ostoskoriin.
85. Rekisterinpitäjä on esittänyt tietosuojavaltuutetun toimistolle antamissaan selvityksissä, että se ei ole välittänyt lääkkeitä koskevia ostotietoja seurantapalveluntarjoajille. Rekisterinpitäjän mukaan kaikki lääkkeitä koskevat ostostiedot (mukaan lukien esimerkiksi ostettujen tuotteiden nimet ja kappalemäärät) on maskattu (peitetty) kutsuista ja tehty tällä tavoin täysin tunnistamattomiksi ennen kuin ne on välitetty Googlelle tai Metalle. Rekisterinpitäjä täsmentää 20.9.2024 antamassaan selvityksessä, että New Relicille välitettyjä tietoja ei ole sen näkemyksen mukaan ollut tarpeen maskata, koska New Relicille on välitetty ainoastaan tieto URL-osoitteesta (eli verkkosivun osoitteesta), jossa käyttäjä on vieraillut. Rekisterinpitäjä esittää toteuttaneensa maskauksen muiden seurantapalveluntarjoajien kohdalla siten, että esimerkiksi lääkkeen nimi on korvattu geneerisellä termillä RESEPTILÄÄKE tai ITSEHOITOLÄÄKE, ja tuotenumero on korvattu geneerisellä numerosarjalla 99999 tai 88888.
86. Ilmoittajan tietosuojavaltuutetun toimistolle toimittamassa HAR-tiedostossa, joka on internet-selaimella tehdyn selailun loki, on nähtävissä, että seurantapalveluntarjoajille on välitetty tietoja, joista käy ilmi esimerkiksi verkkosivuvierailijan tarkasteleman lääkkeen nimi ja vahvuus. HAR-tiedostossa on esimerkiksi seuraava, Googlelle välitetty kutsu (HAR-tiedostossa esimerkkilääkkeenä on käytetty Risperdal-nimistä reseptilääkettä):[12]
:method: POST :authority: www.google-analytics.com :scheme: https :path: /j/colect?v=1&_v=j96&aip=1&a=263178262&t=pageview&_s=1&dl=https%3A%2F%2Fwww.yliopistonapteekki.fi%2F risperdal-1-mg-kalvopaallysteinen-tabletti-60-fol-9462 &ul=en-us&de=UTF-8&dt= RISPERDAL%201%20MG%20KALVOP%C3%84%C3%84LLYSTEINEN%20TABLETTI%2060%20fol %20%7C%20Yliopiston%20Apteekki&sd=24-bit&sr=1280x720&vp=521x599&je=0&_u=YEBAAEALAAAAAC~&jid=1141816043&gjid=646866906&cid=838638077.1647008177&tid=UA-58874116-1&_gid=883435436.1647008177&_r=1>m=2wg370N43MBT9&cd1=Logged%20out&z=1538257863
content-length: 0 pragma: no-cache cache-control: no-cache sec-ch-ua: Not A;Brand;v=99, Chromium;v=96, Google Chrome;v=96 sec-ch-ua-mobile: ?0 user-agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.110 Safari/537.36 sec-ch-ua-platform: Windows content-type: text/plain accept: */* origin: https://www.yliopistonapteekki.fi sec-fetch-site: cross-site sec-fetch-mode: cors
sec-fetch-dest: empty referer: https://www.yliopistonapteekki.fi/ accept-encoding: gzip, deflate, br accept-language: en-US,en;q=0.9,fi;q=0.8
Lisäksi HAR-tiedostosta on nähtävissä, että New Relicille on välitetty esimerkiksi seuraava kutsu:
https://bam.eu01.nr-data.net/events/1/762bdefecf?a=43318820&v=1215.1253ab8&to=MhBSZQoZCENTBxBdVwtacVIMEQleHQcFQFkJGlceCAoJVEcHEBtODBBH&rst=18273&ck=1&ref=https://www.yliopistonapteekki.fi/ risperdal-1-mg-kalvopaallysteinen-tabletti-60-fol-9462
HAR-tiedostossa on nähtävissä myös esimerkiksi seuraava Metalle välitetty kutsu:
:method: GET :authority: www.facebook.com :scheme: https :path: /tr/?id=338447274049098&ev=PageView&dl=https%3A%2F%2Fwww.yliopistonapteekki.fi%2Freseptiasiointi%3Freferer%3D aHR0cHM6Ly93d3cueWxpb3Bpc3RvbmFwdGVla2tpLmZpL3Jlc2VwdGlsYWFra2Vlbi10aWxhdXM_aWRzPTQ0MDU0 &rl=https%3A%2F%2Fwww.yliopistonapteekki.fi%2F risperdal-1-mg-kalvopaallysteinen-tabletti-60-fol-9462 &if=false&ts=1647008231515&sw=1280&sh=720&v=2.9.55&r=stable&ec=0&o=29&fbp=fb.1.1647008231512.1185831514&it=1647008231147&coo=false&exp=p0&rqm=GET
pragma: no-cach cache-control: no-cach sec-ch-ua: Not A;Brand;v=99, Chromium;v=96, Google Chrome;v=96
sec-ch-ua-mobile: ?0 user-agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.110 Safari/537.36 sec-ch-ua-platform: Windows accept: image/avif,image/webp,image/apng,image/svg+xml,image/*,*/*;q=0.8 sec-fetch-site: cross-site sec-fetch-mode: no-cors
sec-fetch-dest: image referer: https://www.yliopistonapteekki.fi/ accept-encoding: gzip, deflate, br accept-language: en-US,en;q=0.9,fi;q=0.8
87. Yllä esitetyssä, Metalle välitetyssä kutsussa on erikseen lihavoituna base64-koodattu[13] teksti, joka kuuluu ihmisluettavassa muodossa seuraavasti: https://www.yliopistonapteekki.fi/reseptilaakkeen-tilaus?ids=44054, eli se sisältää tiedon siitä, että verkkosivuvierailija on rekisterinpitäjän verkkoapteekissa valinnut kutsussa muussa kohtaa nimetyn reseptilääkkeen ja painanut valintapainiketta tilaa reseptilääke . Googlelle on välitetty vastaavat tiedot lääkkeestä ja reseptilääkkeen tilausvaiheeseen siirtymisestä (base64-koodattu teksti) erillisissä kutsuissa.[14]
88. Tietosuojavaltuutetun toimiston IT-erityisasiantuntijat ovat arvioineet HAR-tiedoston sisältämiä kutsuja. Edellä esitetyissä GET- ja POST-kutsuissa ei ole nähtävissä rekisterinpitäjän kuvailemaa maskausta, jolla lääkkeestä kertovia tietoja olisi peitetty. Nähtävissä on sen sijaan, että kutsut ovat lähteneet suoraan käyttäjän internet-selaimesta ja että ne ovat sisältäneet verkkovierailuun liittyviä tietoja, kuten lääkkeen nimen (Risperdal), vahvuuden (milligrammamäärä), muodon (kalvopäällysteinen tabletti) ja määrän (tablettien määrä). Rekisterinpitäjä ei ole voinut peittää tietoja sen jälkeen, kun ilmoittaja on ne ladannut, koska kutsut eivät enää kulje rekisterinpitäjän kautta siinä vaiheessa, kun ne on yllä esitetysti ilmoittajan toimesta ladattu. Jos rekisterinpitäjä olisi peittänyt kaikki lääkkeestä kertovat tiedot, ulkopuolisen toimijan (eli tässä tapauksessa yliopiston tutkijaryhmän) ei olisi ollut mahdollista ladata kutsuja, joissa sanotut tiedot ovat näkyvissä. Selvitys siis osoittaa, että rekisterinpitäjä on välittänyt lääkkeestä kertovia tietoja seurantapalveluntarjoajille, eli Googlelle, New Relicille ja Metalle. Rekisterinpitäjän esittämä tietojen peittämisestä lääketilauksen maksuvaiheessa voi kuitenkin pitää paikkansa, eikä ilmoittajan toimittama HAR-tiedosto sisällä maksuvaihetta koskevia kutsuja. Rekisterinpitäjän tietosuojavaltuutetun toimistolle toimittaman selvityksen mukaan lääkkeen maksuvaiheesta on välitetty Googlelle muun muassa seuraavat tiedot sisältäviä kutsuja: Purchase , RESEPTILÄÄKE , price 3,95 [15], 99999 , joissa siis lääkkeen nimi on korvattu sanalla RESEPTILÄÄKE tai ITSEHOITOLÄÄKE, ja tuotenumero on korvattu numerosarjalla. Myös Metalle on välitetty tieto ostamisesta ( Purchase , ecommerce purchase ) sekä päätöskohdissa 20–22 tarkemmin esitetysti muita tietoja.
89. Ilmoittajan toimittama HAR-tiedosto sisältää myös esimerkiksi alla olevan, Googlelle välitetyn kutsun, jossa on nähtävissä rekisterinpitäjän maskaustoimenpiteessään käyttämäksi esittämä numerosarja 99999 ja sana RESEPTILÄÄKE (korostettu kutsuun keltaisella värillä ja lihavoinnilla). Kutsussa lukee kuitenkin myös esimerkiksi RISPERDAL1 MG KALVOPÄÄLLYSTEINEN TABLETTI 60 (korostettu kutsuun turkoosilla värillä ja lihavoinnilla). Sanottu kutsu ei koske maksuvaihetta. Rekisterinpitäjältä on pyydetty selvitystä siitä, onko kyse sen maskaustoimenpiteistä. Rekisterinpitäjä on tietosuojavaltuutetun toimistolle 23.1.2025 antamassaan kuulemisvastauksessa esittänyt, että kutsussa näkyvässä numerosarjassa 99999 ja sanassa RESEPTILÄÄKE ei ole kyse sen maskaustoimenpiteestä ja että lääkkeiden ostotiedot (maksuvaiheen tiedot) on maskattu ennen niiden siirtämistä palveluntarjoajalle.
GET https://www.google-analytics.com/collect?v=1&_v=j96&aip=1&a=263178262&t=event&ni=1&_s=1&dl=https://www.yliopistonapteekki.fi/risperdal-1-mg-kalvopaallysteinen-tabletti-60-fol-9462&ul=en-us&de=UTF-8&dt= RISPERDAL 1 MG KALVOPÄÄLLYSTEINEN TABLETTI 60 fol | Yliopiston Apteekki&sd=24-bit&sr=1280x720&vp=521x599&je=0&ec=Ecommerce&ea=Product Detail View&el=RESEPTILÄÄKE&_u=aGDAAEALAAAAAC~&jid=&gjid=&cid=838638077.1647008177&tid=UA-58874116-1&_gid=883435436.1647008177>m=2wg370N43MBT9&cd1=Logged out&pal=Product-card&pa=detail&pr1pr=35.18&pr1id= 99999 &pr1nm= RESEPTILÄÄKE &pr1ca=Reseptilääkkeet&z=1185129767
90. Edellä esitetyt GET- ja POST-kutsut koskevat tilanteita, joissa rekisterinpitäjän verkkoapteekissa vieraileva käyttäjä on selaillut lääkkeitä tai esimerkiksi painanut tietyn lääkkeen kohdalla tilaa reseptilääke -painiketta. Yliopiston tutkijaryhmä, jonka edustaja on toimittanut tietosuojavaltuutetun toimistolle selvityksen rekisterinpitäjän verkkoapteekkisivuilla tehdyistä havainnoista, on vienyt lääkkeen ostoprosessin verkkoapteekissa niin sanottuun checkout-vaiheeseen saakka (eli vaiheeseen, jossa asiakas on painanut verkkoapteekissa valintapainiketta ostoksen viemiseksi maksuvaiheeseen). Ilmoittajan toimittama selvitys ei siten sisällä esimerkiksi tietoja seurannasta maksuvaiheessa tai tilausvahvistussivulla.
91. Rekisterinpitäjä on kuitenkin kertonut tietosuojavaltuutetun toimistolle antamassaan selvityksessä, että seurantapalvelut ovat olleet käytössä myös tilausvahvistussivulla. Rekisterinpitäjän verkkoapteekin tilausvahvistussivulla (eli verkkosivulla, joka latautuu maksuvaiheen jälkeen, kun asiakas on vienyt verkkoapteekkiostoksensa loppuun) on rekisterinpitäjän mukaan ollut yleisen tietosuoja-asetuksen soveltamisaikana käytössä Googlen ja Metan palveluista Google Tag Manager -palvelu, Google Analytics -palvelu ja Meta-pikseli.[16] Lisäksi rekisterinpitäjän 20.9.2024 toimittaman selvityksen sisältämissä kutsuesimerkeissä on edellä todetusti nähtävissä, että Metalle välitetyissä maksuvaihetta koskevissa kutsuissa[17] on lukenut esimerkiksi sana Purchase (suomeksi: osto, ostos). Google on saanut sanotun tiedon lisäksi muun muassa tiedon siitä, onko asiakas ostanut reseptilääkkeen tai itsehoitolääkkeen (ks. tarkemmin päätöskohdat 20–22). Nämä ostamisesta kertovat kutsut ovat olleet Googlen ja Metan yhdistettävissä esimerkiksi tietyn lääkkeen selailua ja ostoaietta (ostoskoriin lisääminen/tilaa reseptilääke -painikkeen painaminen) koskeviin kutsuihin, ja tiedoista on näin ollen voinut olla pääteltävissä tietyn lääkkeen ostaminen. Käytettäessä saman palveluntarjoajan seurantateknologioita eri verkkosivuilla, kuten tuotesivuilla ja maksuvaiheen sivuilla, seurantapalveluntarjoaja voi saada tietoja, jotka muodostavat kokonaisuuden käyttäjän toimista sivustolla, ja joista voi olla helposti pääteltävissä,[18] mitä tuotteita verkkosivuvierailija on verkkokaupasta tilannut. Lisäksi voidaan todeta ostamisvaihetta koskevien tietojen välittämisen osalta, että 12.9.2022 antamansa selvityksen mukaan rekisterinpitäjä on kerännyt tietoa Facebookin kautta tulleista ostoista, ja se on inhimillisen virheen vuoksi käyttänyt Facebookin markkinointipalvelua (Meta for Business) verkkosivuillaan myös reseptilääkkeiden kohdalla. Metalle on näin ollen suurella varmuudella mennyt tätä kautta tietoa myös lääkkeiden ostamisesta.
92. Lisäksi otetaan huomioon se, että rekisterinpitäjä on sisällyttänyt lääkkeestä kertovia tietoja kolmansille välittämiinsä apteekkiverkkosivujensa URL-osoitteisiin (esim. https://www.yliopistonapteekki.fi/risperdal-1-mg-kalvopaallysteinen-tabletti-60-fol-9462), mikä on mahdollistanut näiden tietojen tallentumisen tarpeettomasti verkkoviestien välittämiseen osallistuvien tietojärjestelmien tietoliikennelokeihin, sekä tätä kautta asiattomien pääsyn[19] näihin tietoihin.
93. Rekisterinpitäjä on esimerkiksi 20.9.2024 päivätyssä kuulemisvastauksessaan todennut, että Googlelle, Metalle ja New Relicille on välittynyt tieto siitä että henkilö on vieraillut tietyillä rekisterinpitäjän verkkoapteekin tuotesivuilla. Koska rekisterinpitäjä on päätöskohdassa 92 esitetysti sisällyttänyt tuotteiden URL-osoitteisiin (verkko-osoitteisiin) lääkkeestä kertovia tietoja, tieto siitä, millä tuotesivulla käyttäjä on vieraillut, on sisältänyt tarkkoja tietoja lääkkeestä. Näin ollen rekisterinpitäjän selvityksestäkin käy ilmi, että se on välittänyt verkkosivuvierailijaan yhdistettävissä olevia, lääkkeestä kertovia tietoja Googlelle, Metalle ja New Relicille.
94. Lääkkeestä kertovien tietojen verkko-osoitteisiin sisällyttämistä koskevan menettelyn osalta voidaan huomioida edelleen, että rekisterinpitäjä on Googlen, Metan ja New Relicin seurantapalveluita käyttäessään itse lisännyt verkkoselaimen HTTP-kutsuihin muuttujia, joita kutsuissa ei muuten tyypillisesti olisi, kun se on välittänyt tietoja seurantapalveluntarjoajille. Käytössä olleiden muuttujien tiedoissa seurantapalveluntarjoajille on kulkenut esimerkiksi lääkkeen nimi, vahvuus ja määrä sekä tieto reseptilääkeasioinnista (esimerkit kutsuista löytyvät tämän päätöksen liitteestä). Muuttujat sisältävät rekisterinpitäjän menettelytavan takia muun muassa tietoa siitä, millä verkkosivulla verkkosivuvierailija on rekisterinpitäjän verkkoapteekkisivustolla. Koska rekisterinpitäjä on sisällyttänyt lääkkeiden tuoteverkkosivujen URL-osoitteisiin lääkkeestä kertovia tietoja, sanotut tiedot ovat tulleet automaattisesti URL-osoitteesta näihin rekisterinpitäjän lisäämiin muuttujiin.
95. Rekisterinpitäjä on tietosuojavaltuutetun toimistolle antamassaan selvityksessä esittänyt, että yliopiston tutkijaryhmän tallentama HAR-tiedosto, joka sisältää esimerkiksi päätöskohdassa 86 esitetyt kutsut, on sen näkemyksen mukaan monilta osin puutteellinen, ja HAR-tiedoston tiedot koskevat ainoastaan yksittäistä käyttäjää ja yksittäistä selauskertaa. Rekisterinpitäjän mukaan tiedot lisäksi muuttuvat käyttäjän tekemien valintojen perusteella. Tietosuojavaltuutetun IT-erityisasiantuntijat ovat arvioineet rekisterinpitäjän esittämää, ja tämän pohjalta voidaan todeta, että yksittäisen käyttäjän Yliopiston Apteekin verkkosivujen selailu ei ole sillä tavoin vain yksittäistä käyttäjää koskevaa, ettei samanlainen sivustojen toiminta toistuisi muillakin käyttäjillä. Lisäksi on selvää, että lääkkeestä kertovien tietojen näkyminen URL-osoitteissa on verkkosivun staattinen rakenneasia, eikä se voi näyttäytyä erilaisena eri käyttäjille.
96. Selvyyden vuoksi todettakoon myös, että seurantapalveluita (kuten Google Analytics) verkkosivuilla käytettäessä on mahdollista, että rekisterinpitäjät saavat seurantapalveluntarjoajalta (kuten Googlelta) jopa yksinomaan anonymisoitua dataa verkkosivuvierailuista. Seurantapalveluntarjoaja saa kuitenkin tiedot verkkosivuvierailijan selaimen lähettämissä HTTP-kutsuissa tunnistettavassa muodossa, ellei rekisterinpitäjä ole itse anonymisoinut tai pseudonymisoinut tietoja ennen kuin se välittää ne seurantapalveluntarjoajalle.[20] Käsillä olevassa asiassa rekisterinpitäjä ei edellä tarkemmin esitetysti ole peittänyt tai muulla tavoin muuttanut kutsuihin sisältyviä tietoja tunnistamattomaan muotoon ennen kuin se on välittänyt ne seurantapalveluntarjoajille.
Rekisteröidyn tunnistaminen
97. Edellä on todettu, että rekisterinpitäjä on välittänyt seurantapalveluntarjoajille verkkovierailuja koskevia tietoja, kuten tietoja tietyn lääkkeen selailusta sekä lääkkeeseen kohdistuvasta ostoaikeesta. Seuraavaksi asiassa on arvioitava, onko kyse ollut henkilötietojen, eli tunnistettavissa olevaa luonnollista henkilöä koskevien tietojen käsittelystä.
98. Rekisterinpitäjän käyttämissä, Googlen, Metan ja New Relicin seurantapalveluissa on kyse niin sanotuista ulkoisista palveluista. Ulkoisia palveluita käytettäessä verkkosivuvierailijasta välittyviä tietoja käsitellään ulkoisen palveluntarjoajan palvelussa, kyseisen palveluntarjoajan (eli tässä tapauksessa Googlen, Metan ja New Relicin) toimesta. Tässä yhteydessä palveluntarjoajille välittyy verkkosivuilla vierailijoista esimerkiksi IP-osoitteita ja muita tietoja, joita voidaan käyttää rekisteröidyn tunnistamisessa.
99. Rekisterinpitäjän seurantapalveluntarjoajille välittämät tiedot ovat tässä tapauksessa sisältäneet esimerkiksi tietoja käyttäjän selaimesta ja päätelaitteesta (ks. tarkemmin päätöskohdat 7–8). Näistä tiedoista muodostettujen yhdistelmien vertailu voi mahdollistaa rekisteröityjen laajamittaisen, automatisoidun tunnistamisen ja profiloinnin, ja samanlaisena toistuva yhdistelmä eri verkkosivuvierailujen yhteydessä kertoo siitä, että kyseessä on todennäköisesti aina sama käyttäjä.[21] Tietoja voidaan näin käyttää rekisteröidyn tunnistamisessa, ja niitä on mahdollista tunnistamis- ja profilointitarkoituksessa yhdistää myös muihin samasta käyttäjästä kerättyihin tietoihin. Lisäksi rekisterinpitäjä on välittänyt seurantapalveluntarjoajille tiedon käyttäjän päätelaitteen IP-osoitteesta, jota niin ikään voidaan käyttää rekisteröidyn tunnistamisessa.[22]
100. Nyt arvioitavassa asiassa rekisteröidyn tunnistamisen mahdollistavat tiedot ovat olleet ulkoisten seurantapalveluntarjoajien yhdistettävissä esimerkiksi lääkkeiden selailusta ja ostoaikeesta kertoviin tietoihin, joita rekisterinpitäjä on edellä tarkemmin esitetysti välittänyt seurantapalveluntarjoajille.
101. Rekisterinpitäjä on tietosuojavaltuutetun toimistolle antamassaan selvityksessä esittänyt, että verkkosivuvierailijan käyttämän päätelaitteen IP-osoite on sen näkemyksen mukaan käytännössä ainoa tieto, jonka perusteella ulkopuolisen palveluntarjoajan on mahdollista kohtuullisella varmuudella yksilöidä ja jopa tunnistaa yksittäinen käyttäjä (ks. päätöskohta 29). Tämän osalta todettakoon seuraavaa: Verkkosivuvierailijan päätelaitteen IP-osoite näkyy internetissä eri verkkosivuille ja esimerkiksi niihin kytketyille seurantapalveluille. IP-osoite on edellä esitetysti vain yksi käyttäjän yksilöimisessä käytetty arvo. Käyttäjän yksilöiminen verkossa perustuu käytännössä moneen eri arvoon ja käyttäjän toiminnan seuraamiseen, eikä tieto käyttäjän päätelaitteen IP-osoitteesta ole käyttäjän tunnistamiseksi välttämätön. Lisäksi käyttäjän päätelaite (kuten tietokone tai mobiililaite) on mahdollista yhdistää tiettyyn käyttäjään esimerkiksi laitteiden digitaalisten sormenjälkien avulla.[23]
102. Verkkosivuvierailijan tunnistaminen voi tapahtua Googlen ja Metan toimesta myös esimerkiksi seuraavilla tavoin:
Silloin, kun verkkosivuvierailija käyttää verkossa Android-laitetta (kuten matkapuhelinta tai tablettia, jossa on Android-käyttöjärjestelmä), hänen tunnistamisekseen tarvittavat henkilötiedot, mukaan lukien hänen päätelaitteensa IP-osoite, ovat jo Googlen hallussa, koska Android-alusta perustuu Googlen järjestelmiin. Jos käyttäjä samaan aikaan käyttää Yliopiston Apteekin verkkoapteekkipalvelua, joka asettaa Googlen evästeen, ja esimerkiksi kutsun yhteydessä tai muulla tavoin kommunikoi Googlen kanssa, Googlen on mahdollista yhdistää käyttäjä evästeen tai kutsun avulla tiettyyn IP-osoitteeseen. Jos käyttäjä ei erikseen poista Googlen evästeitä, evästeet voivat säilyä ja toimia käyttäjän päätelaitteella jopa vuosia.
Kolmannen osapuolen seurantateknologioiden käyttö mahdollistaa lisäksi sen, että jos käyttäjä käyttää internetiä ja on ollut kirjautuneena Google- tai Facebook-tililleen ennen kuin hän siirtyy Yliopiston Apteekin verkkoapteekkisivustolle, tai hän on kirjautuneena Google- tai Facebook-tililleen samaan aikaan kuin hän selailee Yliopiston Apteekin verkkoapteekkisivustoa, tai hän vierailee Yliopiston Apteekin verkkoapteekkisivustolla ja joskus myöhemmin kirjautuu Google- tai Facebook-tililleen, hänen henkilötietonsa (mukaan lukien hänen päätelaitteensa IP-osoite) ovat jo Googlen ja/tai Metan hallussa, koska hänellä on Google- ja/tai Facebook-tili, ja näitä tietoja voidaan verrata Yliopiston Apteekin verkkoapteekkivierailusta saatuihin tietoihin, ja apteekkisivustolla vierailija voidaan todeta samaksi henkilöksi kuin Google- tai Facebook-tilin haltija. Eli tiedot, jotka on kerätty Yliopiston Apteekin verkkosivuvierailijasta täsmäävät tietoihin, jotka koskevat yksittäistä Google- tai Facebook-tilin haltijaa.
Jos käyttäjä käyttää Googlen tai Metan palvelua, kuten Instagram-, Facebook-, Gmail-, Youtube- tai Google-hakukonepalvelua, sekä samanaikaisesti Yliopiston Apteekin palvelua, joka asettaa Metan tai Googlen evästeen tai muulla tavoin kommunikoi Googlen tai Metan kanssa, sanotut palveluntarjoajat pystyvät yhdistämään evästeen tai kutsun avulla käyttäjän ja IP-osoitteen.[24]
Jos käyttäjä on internetissä, mutta ei ole kirjautuneena Google- tai Facebook-tililleen, ja hän vierailee Yliopiston Apteekin verkkosivulla, joka asettaa Metan tai Googlen evästeen tai muulla tavoin kommunikoi Metan tai Googlen kanssa, sanotut palveluntarjoajat pystyvät yksilöimään käyttäjän esimerkiksi kolmannen osapuolen evästetekniikoilla tai muilla niin sanotuilla tracking-menetelmillä.
Rekisterinpitäjä on kertonut selvityksessään, että Facebookin markkinointipalvelu (Meta for Business) on ollut sillä epähuomiossa käytössä reseptilääkesivuilla. Rekisterinpitäjä on kertomansa mukaan kerännyt tietoa Facebookin kautta tulleista ostoista sekä optimoinut ja kohdentanut mainontaa, joka ei ole kohdistunut reseptilääkkeisiin. Tällöin vähintään ne käyttäjät, joilla on Facebook-tili, ovat olleet suoraan Metan tunnistettavissa.
103. Seurantapalveluntarjoajalla on näin ollen voinut olla kohtuudella käytettävissään keinot, joiden avulla se voi yhdistää esimerkiksi verkkoapteekissa selailtuja lääkkeitä koskevat tai ostoaietta osoittavat tiedot tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön. Selvyyden vuoksi todettakoon, että vaikka verkkoapteekissa vierailija olisi samalla kirjautuneena esimerkiksi Facebook-tililleen, tämä ei vapauta apteekkia vastuusta siitä, mitä tietoja se voi saattaa näiden ulkopuolisten toimijoiden saataville. Metan seurantateknologioita apteekkisivustollaan käyttämällä rekisterinpitäjä mahdollistaa verkkoapteekkivierailua koskevien tietojen yhdistämisen Metan käyttäjätietoihin.
104. Rekisterinpitäjän seurantapalveluntarjoajille välittämien tietojen luonteesta henkilötietoina todettakoon edelleen seuraavaa. Yleisen tietosuoja-asetuksen 4 artiklan 1 alakohdan mukaan henkilötiedoilla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja. Samaisen artiklankohdan mukaan tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa esimerkiksi verkkotunnistetietojen perusteella. Kuten Euroopan unionin tuomioistuin on asiassa C-604/22 antamassaan ratkaisussa todennut, tiedon luokitteleminen henkilötiedoksi ei edellytä, että rekisteröity olisi mahdollista tunnistaa suoraan ja ilman lisätietoja.[25] Henkilötiedon käsite kattaa niin ikään tiedot, jotka saadaan henkilötietojen käsittelystä.[26]
105. Verkkoapteekkivierailijat ovat edellisissä kappaleissa esitetysti olleet vähintäänkin epäsuorasti seurantapalveluntarjoajien tunnistettavissa. Rekisterinpitäjän seurantapalveluntarjoajalle välittämät, lääkkeiden selailusta, ostoaikeesta ja ostamisesta kertovat tiedot ovat siten palveluntarjoajaan nähden yleisen tietosuoja-asetuksen 4 artiklan 1 alakohdassa tarkoitettuja, tunnistettavissa olevaa henkilöä koskevia henkilötietoja.
106. Edellä päätöskohdassa 104 mainitun lisätietojen käytön osalta voidaan lisäksi huomioida, että seurantapalveluntarjoajien käytössä voi olla rekisteröidystä muista lähteistä, kuten erilaisista seurantapalveluista, hakukonehauista, sähköpostipalveluista tai sosiaalisen median päivityksistä saatavia tietoja, joiden avulla rekisteröity voi olla tunnistettavissa. Seurantapalveluita tarjoavilla yrityksillä voi olla käytössään niin ikään rekisteröidyn lähipiiriin kuuluvia henkilöitä koskevia tietoja, joiden avulla voi olla mahdollista saada tarkempi kuva esimerkiksi siitä, kenen käyttöön jokin lääke on tarkoitettu. Euroopan unionin tuomioistuin on esimerkiksi asiassa C-446/21 antamassaan ratkaisussa kommentoinut tapaa, jolla Meta käsittelee henkilötietoja: Nyt käsiteltävässä asiassa ennakkoratkaisupyynnöstä ilmenee, että Meta Platforms Ireland kerää Facebookin käyttäjien […] henkilötietoja, jotka koskevat näiden käyttäjien toimintaa sekä tässä verkkoyhteisöpalvelussa että sen ulkopuolella ja joihin kuuluvat muun muassa tiedot, jotka koskevat verkkoalustalla sekä kolmansien osapuolten verkkosivuilla ja sovelluksissa käymistä, ja seuraa myös käyttäjien selailukäyttäytymistä kyseisillä sivuilla asianomaisille verkkosivuille sisällytettyjen yhteisöliitännäisten ja jäljitteiden avulla. Kuten unionin tuomioistuin on jo todennut, tällainen käsittely on erityisen laaja-alaista, koska se koskee mahdollisesti rajoittamattomia tietoja ja sillä on huomattava vaikutus käyttäjään, jonka verkossa tapahtuvan toiminnan suurta osaa tai jopa miltei koko toimintaa Meta Platforms Ireland tarkkailee, mistä hänelle voi syntyä tunne, että hänen yksityiselämäänsä valvotaan jatkuvasti .[27]
107. Asiassa ei päätöskohdissa 104 ja 117 esitetty lisätietojen käyttömahdollisuus huomioon ottaenkaan ole perusteita katsoa, että rekisterinpitäjän seurantapalveluntarjoajille, kuten Metalle, välittämät tiedot eivät käsittäisi henkilötietoja.
108. Rekisterinpitäjä on esittänyt tietosuojavaltuutetun toimistolle antamassaan selvityksessä, että seurantapalveluntarjoajat eivät sen näkemyksen mukaan voi tunnistaa käyttäjää, koska ne eivät saa teleoperaattorilta tai viranomaisilta tietoa siitä, kenelle mikäkin IP-osoite kuuluu. Todettakoon, että seurantapalveluntarjoaja voi edellä esitetysti yhdistää IP-osoitteen luonnolliseen henkilöön sellaisten tietojen avulla, joihin seurantapalveluntarjoajalla on pääsy, eikä sillä siten ole tarvetta saada teleoperaattorilta tai viranomaisilta tietoja IP-osoitteen haltijasta. Seurantapalveluntarjoaja voi lisäksi tunnistaa käyttäjän muiden tietojen kuin IP-osoitteen avulla, kuten edellä on tarkemmin esitetty.
109. Rekisterinpitäjä on tehnyt seurantapalveluntarjoajien (Google, Meta, New Relic) kanssa henkilötietojen käsittelyä koskevat sopimukset, joissa se on sopinut siitä, miten seurantapalveluntarjoajat käsittelevät seurantapalveluiden avulla kerättyjä verkkosivuvierailijoiden henkilötietoja. Sopimukset osoittavat osaltaan, että rekisterinpitäjä on ollut tietoinen siitä että sanottujen seurantapalveluiden käytössä on kyse henkilötietojen käsittelystä.
110. Rekisterinpitäjä on vedonnut selvityksessään myös siihen, että verkkosivuvierailija on voinut vaikuttaa seurantapalveluiden käyttöön evästevalinnoillaan. Ottamatta kantaa käsittelyperusteeseen, rekisteröity ei saadun selvityksen perusteella ole evästevalintoja tehdessään edes saanut rekisterinpitäjältä asianmukaisesti informaatiota siitä, että evästeiden hyväksyminen voi johtaa lääkkeisiin liittyvien tietojen välittymiseen tietyille seurantapalveluntarjoajille. Rekisterinpitäjän evästebannerissa on esimerkiksi 26.3.2022 lukenut, että ” YA ei kerää evästeillä tietoa käyttäjien resepteistä tai lääkityksestä ”[28]. Selvyyden vuoksi todettakoon, että rekisterinpitäjälle nyt annettava päätös ei koske rekisteröityjen informointia. Evästesuostumuksen osalta tuotakoon huomionomaisesti esille, että rekisteröity ei voi suostua siihen että hänen henkilötietojaan käsitellään tietosuojasääntelyn vastaisesti.
Googlelle ja Metalle välitettyjen tietojen luonteesta
111. Edellä on todettu, että rekisterinpitäjän seurantapalveluntarjoajille välittämät, lääkkeistä sekä lääkkeiden ostoaikeesta ja ostamisesta kertovat tiedot ovat henkilötietoja. Asiassa on seuraavaksi arvioitava seurantapalveluntarjoajille välitettyjen tietojen luonnetta. Näiltä osin tässä päätöksessä arvioidaan yksinomaan seurantapalveluntarjoajille välitettyjen kutsujen sisältämien selailutietojen ja muiden tietojen yhdistelmän muodostamia tietoja, eikä kantaa oteta pelkkien selailutietojen luonteeseen. Arviointi rajoittuu näin ollen tämän kysymyksen osalta niiden seurantapalveluiden käyttöön, joihin on välitetty selailutietojen lisäksi tietoa esimerkiksi lääkkeen ostoaikeesta (Googlen ja Metan palvelut).
112. Rekisterinpitäjä on tietosuojavaltuutetun toimistolle antamassaan selvityksessä esittänyt, että verkkosivuvierailijan verkkoapteekissa selailemia tai esimerkiksi ostoskoriin lisäämiä lääkkeitä koskevat tiedot eivät sen näkemyksen mukaan ole yleisen tietosuoja-asetuksen 9 artiklassa tarkoitettuja terveystietoja ja sitä kautta erityisiin henkilötietoryhmiin kuuluvia tietoja.[29]
113. Terveystiedoilla tarkoitetaan yleisen tietosuoja-asetuksen 4 artiklan 15 alakohdan, luettuna yhdessä yleisen tietosuoja-asetuksen perustelukappaleen 35 kanssa, mukaan kaikkia henkilötietoja, jotka paljastavat tietoja luonnollisen henkilön entisestä, nykyisestä tai tulevasta fyysisen terveyden tai mielenterveyden tilasta. Terveystiedon käsitettä on tulkittava laajasti,[30] ja se käsittää esimerkiksi tiedot, joista selviää tietojen yhdistämisen tai älyllisen päättelyn tai vertailun avulla rekisteröidyn terveydentilaa koskevia tietoja.[31]
114. Kuten tässä päätöksessä on aiemmin esitetty, tiedoista, joita rekisterinpitäjä on välittänyt verkkosivuvierailijasta seurantapalveluntarjoajille, voi olla mahdollista tunnistaa käyttäjä. Päätöskohdassa 102 tarkemmin esitetysti Metan ja Googlen on ollut erityisen vaivatonta tunnistaa ne käyttäjät, joilla on esimerkiksi Facebook- tai Google-tili. Rekisteröidyn tunnistamisen mahdollistavat tiedot ovat olleet yhdistettävissä esimerkiksi tietyn lääkkeen selailusta ja siihen kohdistuvasta ostoaikeesta kertoviin tietoihin, mukaan lukien lääkkeen nimeen ja vahvuuteen. Lääkkeestä on puolestaan mahdollista tehdä päätelmiä henkilön mahdollisesta terveydentilasta. Esimerkiksi Risperdal-lääkettä, jota koskevia tietoja on näkyvissä edellä esitetyissä GET- ja POST-kutsuesimerkeissä, käytetään seuraaviin käyttötarkoituksiin: skitsofrenia, mania, aggressioiden ja psykoottisten oireiden lievittäminen sekä vaikeiden käytöshäiriöiden hoito.[32] Lääkkeen käyttötarkoituksista voi siten olla jopa varsin yksiselitteisesti nähtävissä, millaista vaivaa tai sairautta lääkkeellä hoidetaan. Sama voidaan todeta myös itsehoitolääkkeistä. Esimerkiksi rekisterinpitäjän myymien Laxoberon-kapseleiden ainoa käyttötarkoitus on ummetuksen hoito[33]. Lääkkeiden käyttötarkoitukset ovat helposti löydettävissä esimerkiksi internetistä. Euroopan unionin tuomioistuin on ratkaisussaan asiassa C-21/23 todennut nimenomaisesti, että reseptilääkkeiden ohella myös itsehoitolääkkeitä koskevat tiedot voivat olla yleisen tietosuoja-asetuksen 9(1) artiklassa tarkoitettuja terveystietoja.[34]
115. Rekisterinpitäjä on esittänyt selvityksessään, että verkkoapteekkivierailua koskevista tiedoista ei käy varmuudella ilmi, kenelle lääke on tarkoitettu. Yleisen tietosuoja-asetuksen 9(1) artiklassa säädettyyn lähtökohtaiseen kieltoon ja tietojen luonnehtimiseen terveystiedoiksi ei kuitenkaan vaikuta se, onko kyseessä olevasta käsittelystä ilmenevä tieto paikkansapitävä. Euroopan tietosuojaneuvosto on lausuntokäytännössään tuonut esille, että henkilötiedon luokitteleminen yleisen tietosuoja-asetuksen 9 artiklan mukaiseksi tiedoksi ei ole sidoksissa siihen, kuvaako sanottu luokittelu todellisuutta.[35] Niin ikään on selvää, että tiedon ei tarvitse olla paikkansapitävä ollakseen henkilötieto. Tämä käy ilmi esimerkiksi rekisteröidyn oikeudesta oikaista henkilötietojaan tilanteessa, jossa rekisteröidyn tiedoiksi on erehdyksessä merkitty muun henkilön tietoja.[36] Käsillä olevassa asiassa on riittävää se, että esimerkiksi ostoskoriin lisätyt itsehoitolääkkeet tai reseptilääkkeet, joiden kohdalla verkkosivuvierailija on painanut painiketta ” tilaa reseptilääke ”, on tarkoitettu verkkosivuvierailijan omaan käyttöön vain tietyllä todennäköisyydellä, ei ehdottomalla varmuudella.[37]
116. Asiassa saadun selvityksen perusteella rekisterinpitäjä on välittänyt Googlelle ja Metalle esimerkiksi tietoa siitä, kuka on verkkoapteekissa valinnut tietyn reseptilääkkeen ja painanut kyseisen lääkkeen kohdalla ”tilaa reseptilääke” -painiketta ja lisäksi välittänyt tiedon ostamisesta (purchase-kutsut) ja siitä, että verkkoapteekkivierailija on päätynyt tilausvahvistussivulle.[38] Kaikki edellä mainitut kutsut ovat helposti seurantapalveluntarjoajan yhdisteltävissä yksittäistä verkkoapteekkivierailua koskeviksi kutsuketjuiksi.[39] Erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelyä rajoittavan sääntelyn tarkoituksena on varmistaa parempi suoja näille tiedoille, eikä sanottua sääntelyä voida tulkita siten, että sellaisten henkilötietojen käsittely, joista voi ilmetä epäsuorasti luonnollista henkilöä koskevia arkaluonteisia tietoja, jää tehostetun suojajärjestelmän ulkopuolelle.[40]
117. Googlen ja Metan kaltaisilla toimijoilla on niin ikään laaja mahdollisuus tietojen yhdistämiseen, koska ne voivat pystyä keräämään helposti samaa verkkosivuvierailijaa koskevaa tietoa myös muista palveluistaan, kuten sosiaalisen median alustoilta. Verkkosivuvierailija on myös esimerkiksi voinut etsiä Googlen hakukoneella tietoa sairaudesta, ja nämä haut ovat Googlen yhdistettävissä verkkoapteekkivierailua koskeviin tietoihin, mikäli apteekki näitä tietoja Googlelle välittää.[41] Siten ei ole poissuljettua, että tietoja voitaisiin käyttää päätelmien tekemiseen kyseisen verkkosivuvierailijan tai muun henkilön terveydentilasta tai muusta erittäin henkilökohtaisesta henkilön yksityisyyden suojaan vahvasti kuuluvasta asiasta.
118. Lisäksi on huomioitava, että silloin, kun tietoja kerätään kokonaisuutena, joka sisältää terveystietoja, sanotun tietojoukon käsittely voi olla kokonaisuudessaan luokiteltavissa erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelyksi. Euroopan unionin tuomioistuin on asiassa C-252/21 antamassa ratkaisussaan todennut tähän liittyen: On täsmennettävä, että tilanteessa, jossa sekä arkaluonteisia tietoja että muita kuin arkaluonteisia tietoja sisältävään tietojoukkoon kohdistetaan tällaisia toimenpiteitä [tietojen kerääminen, yhdistäminen ja käyttäminen] ja jossa se erityisesti kerätään kokonaisuutena eikä tietoja voida niitä kerättäessä erotella, on katsottava, että tämän tietojoukon käsittely on yleisen tietosuoja-asetuksen 9 artiklan 1 kohdan mukaisesti kiellettyä silloin, kun siihen sisältyy vähintäänkin yksi arkaluonteinen tieto eikä mitään yleisen tietosuoja-asetuksen 9 artiklan 2 kohdassa olevaa poikkeusta voida soveltaa .[42] Rekisterinpitäjän seurantapalveluntarjoajille välittämiin, tässä päätösosiossa arvioituihin kutsuihin liittyvä käsittely on siten tämänkin perusteella mahdollista luokitella erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelyksi.
119. Rekisterinpitäjän olisi siten tullut kiinnittää asianmukaista huomiota siihen, että sen käsittelemät tiedot voivat vähintäänkin joiltain osin olla yleisen tietosuoja-asetuksen 9 artiklan mukaisia, erityisiin henkilötietoryhmiin kuuluvia tietoja. On kuitenkin todettava, että riippumatta siitä, onko käsillä olevassa asiassa kyse yleisen tietosuoja-asetuksen 9 artiklassa tarkoitetuista tiedoista, rekisterinpitäjän seurantapalveluntarjoajille välittämät tiedot ovat erittäin henkilökohtaisia tietoja apteekkiverkkosivustolla vierailleesta henkilöstä tai hänen lähipiiristään. Tässä asiassa ei siten ole ratkaisevaa merkitystä sillä, ovatko arvioidut tiedot yleisen tietosuoja-asetuksen 9 artiklan mukaisia tietoja. Tällaisten tietojen huolimaton käsittely voi johtaa merkittäviin kielteisiin seurauksiin rekisteröidyn kannalta, ja se voi helpottaa tällaisten tietojen hankkimista ja käyttämistä esimerkiksi syrjiviin tarkoituksiin ja henkilön profilointiin.
120. Asiassa voidaan kiinnittää lisäksi huomiota siihen seikkaan, että apteekkitoiminnassa käsiteltävät, henkilön terveydentilaa kuvaavat tiedot ovat salassa pidettäviä. Apteekkarin ja hänen apulaisensa salassapitovelvollisuudesta on säädetty lääkelain (395/1987) 90 §:ssä. Sanotun lainkohdan mukaan apteekkari ja hänen apulaisensa eivät saa luvattomasti ilmaista sellaista yksityisen tai perheen salaisuutta, josta he ovat tehtävässään saaneet tiedon. Proviisori ja farmaseutti ovat terveydenhuollon ammattihenkilöistä annetun lain (559/1994, ”ammattihenkilölaki”) mukaisia laillistettuja ammattihenkilöitä, joita koskee lisäksi sanotun lain 17 §:ssä säädetty salassapitovelvollisuus,[43] jonka mukaan terveydenhuollon ammattihenkilö ei saa sivulliselle luvatta ilmaista yksityisen tai perheen salaisuutta, josta hän asemansa tai tehtävänsä perusteella on saanut tiedon. Säännöksen tarkoituksena on turvata luottamuksellisten hoitosuhteiden syntyminen ja olemassaolo sekä yksityisyyden säilyminen. Salassapitovelvollisuus koskee myös sellaisia yksityisen tai perheen salaisuuksia, joita ei merkitä potilasasiakirjaan siihen merkittäviksi kuuluvina, salassa pidettävinä tietoina.[44]
121. Apulaistietosuojavaltuutettu ei ole toimivaltainen ottamaan kantaa siihen, onko rekisterinpitäjä tässä asiassa mahdollisesti rikkonut salassapitovelvoitteitaan. Arvioitaessa henkilötietojen luonnetta voidaan kuitenkin kiinnittää huomiota siihen, että henkilön lääkitystä koskevat tiedot ovat edellä todetusti tietoja, jotka proviisorin ja farmaseutin on pidettävä salassa kolmansilta. Tämä osoittaa tietojen erityislaatuisuutta, joka tulisi ottaa huomioon rekisterinpitäjän toimialalla käsiteltäessä henkilötietoja. Seurantapalveluntarjoajien pääsyn mahdollistaminen apteekkiasiointia koskeviin tietoihin tarkoittaa, että kyseisiä tietoja välitetään kolmansille, ja rekisterinpitäjän on siten tullut kiinnittää tietojen välittämiseen huomiota jo salassapitoa koskevista syistä.[45]
Henkilötietojen suojaamista koskevista velvoitteista (Googlen ja Metan palveluiden käyttö)
122. Rekisterinpitäjä on ladannut apteekkiverkkosivustolleen verkosta saatavia, maksuttomia kolmannen osapuolen seurantapalveluita, joiden avulla on mahdollista seurata, mitä verkkosivuvierailija tekee apteekkiverkkosivustolla. Seurantapalveluita käytettäessä seurantapalveluntarjoajille on välitetty tietoja verkkosivuvierailijasta siten, että verkkosivuvierailija on seurantapalveluntarjoajan tunnistettavissa. Rekisterinpitäjä on käyttänyt verkkoapteekkisivustollaan muun muassa Googlen Analytics -analytiikkatyökalua ja Facebook-seurantapikseliä, joiden kautta itsehoito- ja reseptilääkkeitä koskevia tietoja on välitetty Googlelle ja Metalle. Sanottujen ilmaispalvelujen käytön sijasta rekisterinpitäjän olisi ollut mahdollista esimerkiksi rakentaa seurantaratkaisu palveluunsa itse, [46] tai ottaa käyttöön palvelu, jossa rekisterinpitäjä tosiasiallisesti hallitsee henkilötietojen käsittelyä, tai anonymisoida tietoja ennen niiden välittämistä eteenpäin, jolloin verkkoapteekkiasiointia koskevat henkilötiedot olisivat pysyneet rekisterinpitäjän hallinnassa.
123. Yleisen tietosuoja-asetuksen 32(1) ja 32(2) artikla edellyttävät päätöskohdassa 68 tarkemmin esitetysti rekisterinpitäjältä henkilötietojen käsittelyn turvallisuudesta huolehtimista. Eheyden ja luottamuksellisuuden periaate (yleisen tietosuoja-asetuksen 5(1)(f) artikla) edellyttää niin ikään, että rekisterinpitäjä käsittelee henkilötietoja tavalla, jolla se pyrkii varmistamaan henkilötietojen asianmukaisen turvallisuuden.
124. Asiassa on arvioitava, onko rekisterinpitäjä Metan ja Googlen palveluita käyttäessään huolehtinut asianmukaisesti henkilötietojen, eli tässä tapauksessa verkkoapteekkiasiointia koskevien tietojen, käsittelyn turvallisuudesta apteekkitoiminnassa yleisen tietosuoja-asetuksen 5(1)(f) ja 32 artiklan edellyttämällä tavalla. Rekisterinpitäjä on välittänyt Googlelle ja Metalle myös muita kuin selailutietoja, eikä tämä arviointi siten koske pelkkiä selailutietoja (ks. vastaavasti päätöskohta 111).
125. Keskeistä henkilötietojen käsittelyn turvallisuudesta huolehtimisessa on käsittelyyn liittyvien riskien oikea-aikainen huomioiminen. Kuten Euroopan unionin tuomioistuin on ratkaisukäytännössään todennut, käsittelyn turvallisuutta koskevan yleisen tietosuoja-asetuksen 32 artiklan 1 ja 2 kohtaa noudattaakseen rekisterinpitäjän on suoritettava konkreettinen arviointi kyseessä olevasta käsittelystä aiheutuvista riskeistä ja niiden mahdollisista vaikutuksista luonnollisen henkilön oikeuksiin ja vapauksiin. Tässä arvioinnissa rekisterinpitäjän on otettava huomioon tunnistettujen riskien todennäköisyys ja vakavuus. Rekisterinpitäjän on lisäksi tarkistettava, ovatko sen toteuttamat toimenpiteet mukautettu näihin riskeihin, kun otetaan huomioon uusin teknologia, toteuttamiskustannukset sekä kyseisen käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset.[47] Rekisterinpitäjän on siten arvioitava huolellisesti käsittelystä aiheutuvia riskejä ja toimittava riskiperusteista lähestymistapaa noudattaen esimerkiksi valitessaan verkkoseurannan toteutustapaa.
126. Jäljempänä esitetyin perustein rekisterinpitäjä ei ole ottanut käsittelyn turvallisuutta koskevassa arvioinnissaan tai käytännön tason toimenpiteissään asianmukaisella tavalla huomioon, että kyse on ollut verkkoapteekkiasiointia koskevien, tunnistettavissa oleviin henkilöihin yhdistettävissä olevien tietojen välittämisestä seurantapalveluntarjoajille.
127. Rekisterinpitäjä ei ole ennen käsittelytoimiin ryhtymistä huomioinut asianmukaisesti ensinnäkään sitä, että kyse on vähintäänkin osittain ollut yksityisyyden kannalta riskialttiiden tietojen käsittelystä. Apteekkitoiminnassa, jossa lääketietoja käsitellään merkittävissä määrin ja jossa lääketietojen huolellinen käsittely on korostetun tärkeää,[48] asiamukaisen riskiarvion tekeminen on ollut erityisen keskeistä. Rekisterinpitäjä on tietosuojavaltuutetun toimistolle antamansa selvityksen perusteella katsonut, että sen seurantapalveluille välittämät, verkkoapteekkiasiointia kuvaavat tiedot eivät ole riskialttiita tietoja, vaikka verkkoapteekkiasiakas olisi tunnistettavissa. Huomioitakoon, että rekisterinpitäjä on verkkokauppa-alustan tietosuojan vaikutustenarviointia koskevissa asiakirjoissaan todennut, että ” YA:n verkkokaupassa terveystietoja ovat selkeästi resepti- ja itsehoitolääkkeitä koskevat tiedot ”. Rekisterinpitäjä kuitenkin esittää tietosuojavaltuutetun toimistolle antamissaan selvityksissä, että asia on ollut sille epäselvä. Asiassa saadun selvityksen perusteella rekisterinpitäjä ei ole vaikutustenarviointia koskevissa asiakirjoissa esittämästään arviosta huolimatta luokitellut tässä asiassa tarkasteltuja, tietoja terveystiedoiksi tai noudattanut epäselväksi kokemassaan tilanteessa asianmukaista, riskiperusteista lähestymistapaa sanottujen henkilötietojen käsittelyssä. Jotta rekisterinpitäjä olisi voinut tehdä yleisen tietosuoja-asetuksen 32 artiklan edellyttämän asianmukaisen arvioinnin riskeistä ja niiden mahdollisista vaikutuksista luonnollisen henkilön oikeuksiin ja vapauksiin, sekä ryhtyä tarvittaviin toimenpiteisiin, rekisterinpitäjän olisi tullut kiinnittää jo ennen käsittelytoimien aloittamista huomiota siihen, että se on aikeissa käsitellä seurantapalveluiden kautta sellaisia henkilötietoja, jotka voivat olla luonteeltaan hyvin henkilökohtaisia, ja joita rekisterinpitäjän tulisi suojata erityisen hyvin[49].
128. Rekisterinpitäjä ei ole asiassa saadun selvityksen perusteella, edellä tarkemmin läpikäydysti, ottanut riskiarvioinnissa ja sen edellyttämien toimenpiteiden toteuttamisessa riittävällä tavoin huomioon myöskään siitä, miten henkilö voidaan tunnistaa verkossa. Rekisterinpitäjä on selvityksessään tämän osalta esimerkiksi esittänyt, että IP-osoite on käytännössä ainoa tieto, jonka perusteella seurantapalveluntarjoajan on mahdollista kohtuullisella varmuudella yksilöidä ja jopa tunnistaa yksittäinen käyttäjä. Rekisterinpitäjä on niin ikään esittänyt, että seurantapalveluntarjoajan toimesta tapahtuva käyttäjän yhdistäminen IP-osoitteeseen edellyttäisi internetoperaattorilta tai viranomaisilta saatua tietoa siitä, kuka tietyn IP-osoitteen takana oleva käyttäjä on, tai vaihtoehtoisesti sitä, että rekisterinpitäjän apteekkiverkkosivustoa selaileva henkilö on samanaikaisesti kirjautuneena Googlen tai Metan palveluun. Jälkimmäisestä huomiostaan huolimatta rekisterinpitäjä ei ole edes näiltä osin ryhtynyt tunnistettua riskiä vastaaviin toimenpiteisiin asianmukaisen turvallisuustason varmistamiseksi henkilötietojen käsittelyssä. Silloin, kun verkkosivuvierailija on kirjautuneena Googlen tai Metan palveluun (kuten Gmail- tai Facebook-palveluun), Google/Meta pystyy suoraan tunnistamaan kyseisen henkilön sekä seuraamaan rekisterinpitäjän asentamien seurantateknologioiden kautta, mitä hän tekee rekisterinpitäjän verkkoapteekissa, eli seuraamaan esimerkiksi sitä, mihin vaivaan tai sairauteen tarkoitettujen lääkkeiden kohdalla hän tekee toistuvasti vähintäänkin ostoaikeesta kertovia toimenpiteitä verkkoapteekissa.
129. Rekisterinpitäjä on tässä päätöksessä kohdissa 20–22 tarkemmin kuvatusti esittänyt maskanneensa (peittäneensä) lääkkeitä koskevia tietoja ennen niiden välittämistä Googlelle ja Metalle. Ilmoittajalta saadun teknisen selvityksen perusteella rekisterinpitäjä ei ole peittänyt yksityiskohtaisia lääketietoja sisältävistä GET- ja POST-kutsuista esimerkiksi kaikkia lääkkeistä kertovia tietoja ennen kuin se on välittänyt ne seurantapalveluntarjoajille. Sanotuista, verkkosivuvierailijan selaimen lähettämistä kutsuista on ollut siten nähtävissä esimerkiksi, millä verkkosivulla (kuten lääkesivulla) verkkosivuvierailija on, ja minkä lääkkeen kohdalla verkkosivuvierailija on painanut tilauspainiketta. Mikäli rekisterinpitäjän aikomuksena on ollut peittää lääkkeitä koskevat tiedot myös muista kuin maksuvaihetta koskevista kutsuista[50], se on vähintäänkin jättänyt yleisen tietosuoja-asetuksen 32(1)(d) artiklan mukaisesti tarkastamatta, mitä tietoja verkkoapteekkiasioinnista seurantapalveluntarjoajille välittyy.
130. Koska rekisterinpitäjä on selvityksessään esittänyt, että se on peittänyt seurantapalveluntarjoajille välittämistään kutsuista tietoja ensisijaisesti nimenomaan verkkoapteekkiostoksen maksuvaiheessa, todettakoon, että lääketietojen välittymisen kannalta tällainen toimenpide on ollut vähämerkityksinen, koska saadun selvityksen perusteella rekisterinpitäjä on välittänyt peittämättöminä esimerkiksi lääkkeen selailua koskevan tiedon, lääkkeen tilauspainikkeen painamista koskevan tiedon, sekä lisäksi tiedon ostamisesta (”purchase”). Seurantapalveluntarjoajan on ollut mahdollista helposti yhdistää eri toimenpiteitä koskevat tiedot toisiinsa yhdistämällä käyttäjän yksilöiviä tunnistetietoja ja selailutietoja ja saaden näin kokonaiskuvan verkkosivuvierailijan toimista apteekkiverkkosivustolla.[51] Lisäksi, kuten edellä on tarkemmin esitetty, seurantapalveluntarjoajan on ollut mahdollista tunnistaa verkkosivuvierailija. Rekisterinpitäjä ei näin ollen ole tehnyt asianmukaista arviota tai tarkistusta sen osalta, ovatko sen toteuttamat toimenpiteet mukautettu verkkoapteekkiasiointia koskevien henkilötietojen käsittelyyn liittyviin riskeihin.
131. Rekisterinpitäjän on yleisen tietosuoja-asetuksen 5(1)(f) ja 32 artiklaa koskevien velvoitteidensa noudattamiseksi tullut seurantaratkaisua valitessaan kiinnittää asianmukaista huomiota myös siihen, että sillä ei ole tosiasiallista mahdollisuutta valvoa sen valitsemien seurantapalveluntarjoajien (Google, Meta) suorittamaa lääketietojen käsittelyä.[52] Asiassa on kyse verkosta ladattavista, lähtökohtaisesti maksuttomista seurantapalveluista, jotka käyttöön ottaakseen tulee hyväksyä seurantapalveluntarjoajan laatima henkilötietojen käsittelysopimus. Rekisterinpitäjä ei ole voinut laatia haluamanlaistaan sopimusta itse tai pystynyt käytännössä todentamaan, että seurantapalveluntarjoaja noudattaa sovittua. Rekisterinpitäjän olisi ennen seurantapalveluiden käyttöönottoa tullut tältäkin osin tehdä asianmukainen arvio menettelyyn liittyvistä riskeistä ja epäkohdista ja toteuttaa sen mukaiset toimenpiteet, jotta rekisteröityjen lääketietoja käsiteltäisiin asianmukaisesti ja rekisteröityjen kohtuulliset odotukset huomioiden.[53] Rekisterinpitäjä on esittänyt selvityksessään, että sen tarkoituksena ei ole ollut seurata sen valitsemien seurantapalveluiden avulla yksittäisen verkkosivuvierailijan toimintaa tai tunnistaa verkkosivuvierailijaa, ja se ei ole itse tehnyt asiakasryhmittelyä tai profilointia resepti- tai itsehoitolääkkeiden perusteella. Rekisterinpitäjä ei ole esittämästään huolimatta valinnut verkkosivustolleen esimerkiksi sellaista seurantaratkaisua, joka ei kerää verkkosivuvierailijaa yksilöiviä tietoja.[54] Rekisterinpitäjällä on ollut tässä asiassa arvioitujen seurantapalveluiden käyttämiselle vaihtoehtoja, joita käytettäessä verkkoapteekkiasiointia koskevat henkilötiedot pysyvät rekisterinpitäjän hallinnassa. Rekisterinpitäjä olisi esimerkiksi voinut anonymisoida verkkokutsuista verkkoapteekkivierailijan yksilöivät tunnistetiedot ja lääketiedot ennen niiden välittämistä kolmansille osapuolille, tai vaihtoehtoisesti toteuttaa seurantapalvelut ilman tietojen välittämistä kolmansille osapuolille.
132. Lisäksi on huomioitava, että sisällytettäessä lääkkeistä kertovia tietoja verkkoviesteihin, ne eivät ole tavanomaisten viestinnän suojausmekanismien piirissä. Viestinvälityksen luontaisen dynaamisuuden vuoksi sanotut tiedot päätyvät tällöin ennakoimattomasti tuntemattomien viestinvälittäjien haltuun, mikä mahdollistaa tietojen hyödyntämisen. Muun muassa käsittelyketjuun kuuluvat alihankkijat, joita voi olla lukuisia, voivat lokittaa kutsujen parametrejä, kuten tietoja, jotka kertovat verkkoapteekkivierailijan selaamista ja ostoskoriin lisäämistä lääkkeistä. Rekisterinpitäjän on otettava tällaiset seikat huomioon, kun se arvioi, miten se voi käsitellä verkkoapteekkiasioinnissa syntyviä henkilötietoja. Rekisterinpitäjän menettelyn seurauksena sanottuihin tietoihin on näin ollen voinut päästä käsiksi monia muitakin tahoja kuin vain seurantapalveluntarjoajat.
133. Rekisterinpitäjä on tietosuojavaltuutetun toimistolle antamassaan kuulemisvastauksessa esittänyt, että evästeiden kautta saatavien tietojen ja IP-osoitteiden tulkintaan henkilötietoina liittyvä oikeustila on sen näkemyksen mukaan ollut pitkään epäselvä. Rekisterinpitäjä on lisäksi esittänyt, että tilattavien lääkkeiden asemaan yleisessä tietosuoja-asetuksessa tarkoitettuina terveystietoina liittyvä oikeustila on niin ikään ollut pitkään epäselvä. Rekisterinpitäjä on tämän perusteella katsonut, ettei sillä ole ollut riittävää varmuutta siitä, käsitteleekö se näiltä osin verkkoapteekkitoiminnassaan henkilötietoja tai terveystiedoiksi luokiteltavia tietoja. On todettava, että Euroopan unionin tuomioistuimet ovat vakiintuneessa oikeuskäytännössään katsoneet, että IP-osoite on henkilötieto.[55] Esimerkiksi asiassa Scarlet Extended annettu ratkaisu on jo vuodelta 2011 (C-70/10). IP-osoite ei myöskään ole välttämätön tieto verkkosivuvierailijan tunnistamiseksi, kuten edellä on tarkemmin esitetty. On myös selvää, että rekisterinpitäjä ei voi jättää noudattamatta esimerkiksi riskiperusteista lähestymistapaa henkilötietojen käsittelyssä, jos johonkin menettelytapaan ei ole saatavilla Euroopan unionin tuomioistuimen kannanottoa tai jos rekisterinpitäjä kokee asiasta epävarmuutta.[56]
134. Rekisterinpitäjä ei tässä päätöksessä arvioiduilta osin ole suojannut verkkoapteekkiasiointia koskevia henkilötietoja käsittelyyn liittyviin riskeihin nähden riittävällä tavoin, vaan suuri määrä tietoja on välitetty edellä mainituille kolmansille osapuolille. Lääkkeiden käyttöön liittyvät tiedot ovat luonteeltaan hyvin henkilökohtaisia. Sanottujen tietojen suojaamisessa on myös kyse lääkehuoltoa kohtaan tunnetun luottamuksen säilyttämisestä ja luottamuksellisen apteekkiasioinnin turvaamisesta. Rekisterinpitäjän on huomioitava tällaiset seikat, kun se arvioi käsittelyyn liittyvien riskien vakavuutta ja asianmukaisia henkilötietojen suojaamistoimenpiteitä. Selvyyden vuoksi todettakoon, että verkkoapteekkisivuston toimiminen ei edellytä esimerkiksi henkilötietomuotoisten lääketietojen välittämistä tässä asiassa tarkastelluille Googlen tai Metan seurantapalveluille.
New Relicin seurantapalvelun käyttö ja tietojen minimointivelvollisuus
135. Asiassa saadun selvityksen perusteella rekisterinpitäjä on välittänyt New Relicille kutsuja, jotka ovat sisältäneet yksityiskohtaista tietoa verkkoapteekkivierailijoiden selailemista lääkkeistä (ks, tarkemmin esim. päätöskohdat 7, 8 ja 86). Rekisterinpitäjän mukaan New Relic -palvelun avulla on valvottu apteekkiverkkosivuston ja sen palvelujen suorituskykyä. Tietosuojavaltuutetun toimiston selvitystyön yhteydessä rekisterinpitäjä on arvioinut uudelleen New Relic -palvelun IP-osoitetiedon välittävän Browser Agent -moduulin käyttöä ja päätynyt poistamaan kyseisen ohjelmistomoduulin käytöstään.
136. Saadun selvityksen perusteella rekisterinpitäjä ei ole ennen sanotun palvelun käyttöönottoa arvioinut asianmukaisella, yleisen tietosuoja-asetuksen, 5(1)(c) ja 25(2) artiklan edellyttämällä tavalla[57], käsittelyn tarpeellisuutta. Lääkkeistä kertovat tiedot ja tiedot, joita voidaan käyttää verkkoapteekkivierailijan tunnistamisessa, eivät ylipäätään ole tietoja, joita olisi ollut tarpeen välittää eteenpäin verkkosivuston suorituskyvyn valvontatarkoitusta varten.[58]
137.Todettakoon, että rekisterinpitäjän välittämistä lääkkeiden selailutiedoista voi olla esimerkiksi nähtävissä, että verkkoapteekkivierailija selaa tiettyyn vaivaan tai sairauteen käytettäviä lääkkeitä toistuvasti. Erityisesti pidemmällä aikavälillä kerätyistä lääketiedoista, joista voi käydä ilmi esimerkiksi se, että henkilö käy toistuvasti tiettyjä lääkkeitä koskevilla apteekkiverkkosivuilla, muodostuu seurantapalveluntarjoajalle kattava tietovaranto, jota on mahdollista hyödyntää rekisteröidyn profiloinnissa.[59] Selailukäyttäytymisdatasta voi olla pääteltävissä myös esimerkiksi sairastamisjakson pituus. Rekisterinpitäjän on siten tärkeää arvioida ennen käsittelytoimiin ryhtymistä, mitä tietoja sen on tosiasiallisesti tarpeen välittää eteenpäin.[60] Koska New Relic -palvelun kohdalla edellä kuvattujen tietojen välittäminen on ollut jo lähtökohtaisesti tarpeetonta, asiassa ei arvioida New Relicin käytön osalta muiden tietosuojasäännösten noudattamista.
Apulaistietosuojavaltuutetun ohjaus rekisterinpitäjän verkkoapteekkisivustollaan edelleen suorittamasta seurannasta
138. Tietosuojavaltuutetun toimisto on kuullut rekisterinpitäjää 12.12.2024 päivätyllä kuulemispyynnöllä rekisterinpitäjän verkkoapteekkisivustollaan edelleen suorittamasta seurannasta. Rekisterinpitäjän verkkoapteekkisivustolla on ollut vielä kyseisenä ajankohtana käytössä seurantapalveluita (mm. Klarna, Frosmo, Giosg ja Videobot), joille rekisterinpitäjä on välittänyt tietoa esimerkiksi verkkosivuvierailijan selailemista tai ostoskoriin lisäämistä lääkkeistä. Esimerkiksi Klarnalle rekisterinpitäjä on välittänyt kutsuissa tiedon siitä, mitä itsehoitolääkkeitä verkkoapteekkivierailija on lisännyt ostoskoriinsa, vaikka verkkosivuvierailija ei päätyisi ostamaan sanottuja lääkkeitä. Tieto siitä, mitä tuotteita verkkosivuvierailija on verkkosivustoa selatessaan lisännyt ostoskoriinsa, ei ole maksupalveluntarjoajalle tarpeellinen. Rekisterinpitäjän olisi myös ollut aiheellista arvioida, voiko se välittää maksupalveluntarjoajalle tiedon siitä, minkä tietyn lääkkeen tunnistettavissa oleva henkilö on ostanut apteekista. Rekisterinpitäjä on kuitenkin 23.1.2025 antamassaan kuulemisvastauksessa ilmoittanut, että se on irtisanonut sopimuksensa Klarnan kanssa, ja palvelun käyttö rekisterinpitäjän verkkoapteekissa päättyy helmikuussa 2025.
139. Osana selvitystyötään tietosuojavaltuutetun toimisto on 19.12.2024 suorittanut päätöskohdassa 55 tarkemmin avattua tutkintaa koskien rekisterinpitäjän verkkoapteekkisivustolta seurantapalveluntarjoajille edelleen välittyviä kutsuja. Tämän päätöksen liitteestä löytyvistä kutsuista on nähtävissä, että ainakin Klarnalle, Giosgille ja Piwik PRO:lle on välitetty tieto siitä, että verkkoapteekkiasiakas on vienyt verkkoapteekin tilausprosessin loppuun. Kutsuissa lukee esimerkiksi ” Kiitos tilauksestasi! ”. Giosgille on välitetty lisäksi tieto siitä, mitkä kaksi itsehoitolääkettä sanottu tilaus on sisältänyt. Piwik PRO:lle on välitetty tieto yhden tilatun itsehoitolääkkeen nimestä. Rekisterinpitäjä on näin ollen myös tämän tutkinnan perusteella käyttänyt sanottuna ajankohtana edelleen verkkoapteekissaan seurantapalveluita, joille se välittää verkkoapteekkiasiointia (ml. lääkkeitä) koskevia tietoja.
140. Apulaistietosuojavaltuutettu ohjaa rekisterinpitäjää jatkossa huomioimaan seuraavaa verkkoseurannan toteutuksessa:
141. Mikäli verkkoapteekissa on joiltakin osin tarpeellista suorittaa verkkosivuvierailijoiden seurantaa lääkkeisiin liittyen, seuranta tulisi toteuttaa sellaisella ratkaisulla, jossa rekisterinpitäjällä on tosiasiallinen hallinta henkilötietojen käsittelyssä. Rekisterinpitäjän on myös pystyttävä todentamaan käsittelyprosessi ja sen yleisen tietosuoja-asetuksen mukaisuus. Rekisterinpitäjän on lisäksi huomioitava asianmukaisella tavalla seurantateknologioiden jatkuva kehittyminen ja tähän liittyen esimerkiksi uudenlaisten tietoihinpääsytapojen mahdollistuminen seurantapalveluntarjoajille. Kuten edellä tässä päätöksessä on todettu, yleisen tietosuoja-asetuksen 32 artiklaa noudattaakseen rekisterinpitäjän on huolehdittava siitä, että sen toteuttamat toimenpiteet on mukautettu riskeihin, kun otetaan huomioon esimerkiksi uusin teknologia.
142. Rekisterinpitäjän on niin ikään huolehdittava seurannassa kerättyjen henkilötietojen säännönmukaisesta poistamisesta sekä arvioitava, milloin kyse on sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetussa laissa (703/2023 ”asiakastietolaki”) tarkoitetusta asiakastietojen käsittelystä, joka edellyttää esimerkiksi sanotun lain 9 §:ssä tarkoitetun käyttäjärekisterin ylläpitoa sekä asiakastietojen sähköiseen käsittelyyn soveltuvaa tietojärjestelmää.[61] Lisäksi on syytä arvioida, miten harkinnassa oleva seurantaratkaisu suhteutuu apteekkaria koskevaan salassapitovelvollisuuteen ja salassa pidettävien tietojen hyväksikäyttökieltoon.
143. Rekisterinpitäjän on myös huomioitava, että silloin, kun lääketietoja sisällytetään verkkoviesteihin, ne eivät ole tavanomaisten viestinnän suojausmekanismien piirissä (ks. tarkemmin päätöskohta 132; sanottu koskee myös esimerkiksi suomalaispalveluntarjoajien seurantapalveluita).
144. Selvityksen perusteella rekisterinpitäjä toimii myöskin edelleen siten, että se sisällyttää verkkoapteekissaan URL-osoitteisiin tietoja lääkkeistä ja välittää näitä URL-osoitteita kolmansille osapuolille. Tämä menettelytapa on saadun selvityksen perusteella ollut käytössä myös Googlen, Metan ja New Relicin palveluiden käytön aikana. Kuten aiemmin tässä päätöksessä on todettu, tietojen käsittely URL-osoitteessa johtaa sanottujen lääketietojen tarpeettomaan tallentumiseen verkkoviestien välittämiseen osallistuvien tietojärjestelmien tietoliikennelokeihin. Tietoja tallentuu tällöin sellaisiin paikkoihin, joihin tiedot eivät normaalisti tallentuisi. Näin toimittaessa myös useilla täysin ulkopuolisilla tahoilla on pääsy lääketietoihin. URL-osoitteiden kohdalla tulisi välttää sitä, että osoitteiden sisältö on sidoksissa siihen, mitä osoitteeseen liittyvällä verkkosivulla lukee (esim. tuotenimi, -kuvaus tai -koodi), eikä URL-osoitteisiin tulisi sisällyttää erityisiin henkilötietoryhmiin kuuluvia tai muutoin riskialttiita tietoja, kun tietoja välitetään kolmansille. Apulaistietosuojavaltuutettu ohjaa rekisterinpitäjää korjaamaan menettelytapansa myös näiltä osin.
Päätöksen on tehnyt apulaistietosuojavaltuutettu Annina Hautala ja sen on esitellyt ylitarkastaja Niina Miettinen.
Tietosuojalain 24 §:n mukaan hallinnollisen seuraamusmaksun määrää tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio, joka on antanut seuraavan päätöksen seuraamusmaksun määräämisestä.
Seuraamuskollegion päätös hallinnollisesta seuraamusmaksusta
Rekisterinpitäjä Yliopiston Apteekki (Y-tunnus 0202635-1)
Tietosuojalain 24 §:n mukaan hallinnollisen seuraamusmaksun määrää tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio, joka on antanut seuraavan päätöksen hallinnollisen seuraamusmaksun määräämisestä.
1. Apulaistietosuojavaltuutetun päätöksestä ilmenevin tavoin rekisterinpitäjä ei ole noudattanut yleisen tietosuoja-asetuksen 5(1)(f) ja 32 artiklassa säädettyä. Apulaistietosuojavaltuutettu on antanut päätöksessään rekisterinpitäjälle yleisen tietosuoja-asetuksen 5(1)(f) ja 32 artiklan rikkomisesta yleisen tietosuoja-asetuksen 58(2)(b) artiklan mukaisen huomautuksen.
2. Ottaen huomioon rikkomisen vakavuuden, asiassa ei ole kysymys yleisen tietosuoja-asetuksen johdanto-osan 148 perustelukappaleessa tarkoitetusta vähäisestä rikkomisesta. Tehokkuuden ja oikeasuhtaisuuden osalta on todettava, että nyt käsiteltävänä olevassa asiassa apulaistietosuojavaltuutetun yleisen tietosuoja-asetuksen 58(2)(b) artiklan nojalla antama huomautus ei ole riittävä seuraamus asiassa, kun huomioidaan yleisen tietosuoja-asetuksen 83(2) artiklassa säädetty.
3. Asiassa on määrättävä hallinnollinen seuraamusmaksu apulaistietosuojavaltuutetun päätöksen kohdassa 77 todetusta, käsittelyn turvallisuutta koskevien velvoitteiden laiminlyönnistä. Seuraamusmaksun määräämistä tukee erityisesti se seikka, että rekisterinpitäjän useita vuosia kestänyt, suurta joukkoa rekisteröityjä koskeva menettely, jossa se on välittänyt luonnollisiin henkilöihin yhdistettävissä olevia, lääkkeisiin liittyviä tietoja Googlelle ja Metalle, on muodostanut huomattavan riskin lukuisten rekisteröityjen henkilötietojen suojaa koskevan oikeuden toteutumiselle. Lääketietojen käsittely on osa rekisterinpitäjän ydinliiketoimintaa, mikä osaltaan korostaa sitä, että rekisterinpitäjän olisi tullut kiinnittää erityistä huomiota käsittelyn turvallisuuteen. Todettakoon, että seuraamusmaksun määräämiseksi on ollut riittävää jo yksinomaan asiassa arvioitu menettely reseptilääkkeiden osalta.
4. Käsiteltävänä oleva asia kuuluu yleisen tietosuoja-asetuksen 83(5)(a) artiklan mukaiseen korkeampaan seuraamusmaksuluokkaan. Rikkomisen osalta määrättävän sakon suuruus voi olla enintään joko 20 000 000 euroa, tai neljä prosenttia edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.
5. Rekisterinpitäjä on 21.5.2025 ilmoittanut tietosuojavaltuutetun toimistolle, että Yliopiston Apteekki -konsernin liikevaihto vuodelta 2024 on 338.992.444,95 euroa.[62] Rekisterinpitäjä on Suomen suurin apteekkitoimija[63] ja sen verkkoapteekki on niin ikään Suomen suurin.[64] Tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio (myöhemmin: ”seuraamuskollegio”) määrää edellä mainitun apulaistietosuojavaltuutetun antaman huomautuksen lisäksi yleisen tietosuoja-asetuksen 58(2)(i) artiklan ja 83 artiklan nojalla rekisterinpitäjän maksamaan valtiolle määrältään 1 100 000 (yksimiljoonasatatuhatta) euron suuruisen hallinnollisen seuraamusmaksun. Ottaen huomioon rikkomisen vakavuuden ja muut tapauksen olosuhteet, kuten jäljempänä seuraamuskollegion perusteluista tarkemmin ilmenee, seuraamuskollegio katsoo 1 100 000 euron suuruisen hallinnollisen seuraamusmaksun olevan tehokas ja oikeasuhtainen. Seuraamusmaksun määrässä on kiinnitetty erityistä huomiota siihen, että saadun selvityksen mukaan rekisterinpitäjän tuotot käytetään koulutukseen ja tutkimukseen.
Mahdollisuudesta määrätä hallinnollinen seuraamusmaksu Yliopiston Apteekille
6. Rekisterinpitäjä on 20.9.2024 tietosuojavaltuutetun toimistolle antamassaan kuulemisvastauksessa esittänyt, että se on Helsingin yliopiston omistama muu julkisoikeudellinen laitos. Rekisterinpitäjä on tietosuojavaltuutetun toimistolle 4.12.2024 antamassa täydentävässä kuulemisvastauksessaan esittänyt lisäksi, että se on itsenäinen julkisoikeudellinen oikeushenkilö, jolle ei voida määrätä yleisen tietosuoja-asetuksen 83 artiklassa tarkoitettua hallinnollista seuraamusmaksua.
7. Rekisterinpitäjä on esittänyt 4.12.2024 päivätyssä kuulemisvastauksessaan niin ikään, että se on osa Helsingin yliopiston konsernia. Rekisterinpitäjä toteaa, että Helsingin yliopiston konserniohjeen mukaan konsernilla tarkoitetaan Helsingin yliopistoa emoyhteisönä ja sen tytäryhteisöjä, joissa Helsingin yliopistolla on yksin tai yhdessä muiden konserniin kuuluvien yhteisöjen kanssa kirjanpitolaissa tarkoitettu määräysvalta, ja että tytäryhteisöihin rinnastetaan myös Yliopiston Apteekki, Helsingin Yliopiston Rahastot ja Helsingin yliopiston määräysvaltaan kuuluvat säätiöt. Rekisterinpitäjä esittää edelleen, että Yliopiston Apteekin johtosäännön (päivätty 11.12.2019) perusteella Yliopiston Apteekki toimii Helsingin yliopiston hallituksen määrittelemällä tavalla.
8. Tietosuojalain (1050/2018) 24.4 §:ssä, joka koskee hallinnollisen seuraamusmaksun ulkopuolelle jääviä toimijoita, ei todeta, että seuraamusmaksua ei voida määrätä itsenäiselle julkisoikeudelliselle oikeushenkilölle , jollaiseksi rekisterinpitäjä on itsensä tietosuojavaltuutetun toimistolle antamassaan kuulemisvastauksessa määritellyt. Poikkeuksen piiriin eivät myöskään kuulu muut julkisoikeudelliset laitokset, jollainen rekisterinpitäjä on niin ikään esittänyt olevansa. Tietosuojalain 24.4 §:n piiriin kuuluvat sen sijaan itsenäisetjulkisoikeudelliset laitokset , joille ei voida määrätä hallinnollista seuraamusmaksua. Itsenäisen julkisoikeudellisen laitoksen määritelmästä sekä mahdollisuudesta määrätä Yliopiston Apteekille hallinnollinen seuraamusmaksu tietosuojavaltuutetun toimiston seuraamuskollegio toteaa seuraavaa:
9. Tietosuojalain 24.4 §:n mukaan seuraamusmaksua ei voida määrätä valtion viranomaisille, valtion liikelaitoksille, kunnallisille viranomaisille, itsenäisille julkisoikeudellisille laitoksille, eduskunnan virastoille, tasavallan presidentin kanslialle eikä Suomen evankelis-luterilaiselle kirkolle ja Suomen ortodoksiselle kirkolle eikä niiden seurakunnille, seurakuntayhtymille ja muille elimille. Tietosuojalakia koskevassa hallituksen esityksessä täsmennetään, että tässä yhteydessä itsenäisen julkisoikeudellisen laitoksen käsite kattaa myös yliopistolaitoksen.[65]
10. Tietosuojalakia koskevassa hallituksen esityksessä todetaan yllä esitetystä rajauksesta niin ikään, että ” Ehdotetun lain mukaan rajaus ei koskisi niitä yksityisiä tahoja, jotka hoitavat PL 124 §:n tarkoittamia julkisia hallintotehtäviä. Tällaisia toimijoita ei voida rajata hallinnollisen seuraamusmaksun soveltamisen ulkopuolelle tietosuoja-asetuksen 83 artiklan 7 kohdan nojalla, jonka mukaan liikkumavara koskee ainoastaan viranomaisia. Tällainen viranomaiseen kohdistuva rangaistusluonteinen hallinnollinen seuraamus olisi nykyisen oikeusjärjestyksen kannalta vieras menettely, ja edellyttäisi eräänlaista järjestelmämuutosta, joka olisi jouduttu valmistelemaan pikaisella aikataululla . […] Hallinnollista seuraamusmaksua ei ole tarpeellista tässä vaiheessa ulottaa koskemaan viranomaisten henkilötietojen käsittelyä, sillä viranomaisia sitoo hallinnon lainmukaisuusvaatimus ja viranomaisten on myös muutoin noudatettava hallinnon yleislakeja. Viranomaisten henkilötietojen käsittelyä koskee myös rikosoikeudellinen virkavastuu ja vahingonkorvausvastuu . […] Lisäksi eduskunnan oikeusasiamies ja oikeuskansleri valvovat viranomaisten ja virkamiesten toiminnan lainmukaisuutta ja sitä, että viranomaiset ja virkamiehet täyttävät velvollisuutensa ”.[66]
11. Todettakoon, että Yliopiston Apteekki ei ole viranomainen, eikä tässä asiassa tarkastellussa menettelyssä ole siten kyse viranomaisen suorittamasta henkilötietojen käsittelystä. Yliopiston Apteekkia koskevasta lainsäädännöstä ei myöskään käy ilmi, että Yliopiston Apteekin työntekijät toimisivat virkasuhteessa. Virkavastuu, joka on katsottu perusteeksi jättää toimija hallinnollisen seuraamusmaksun ulkopuolelle, ei näin ollen tule sovellettavaksi Yliopiston Apteekin kohdalla siten kuin tietosuojalaissa on tarkoitettu.
12. Itsenäisen julkisoikeudellisen laitoksen käsitettä on täsmennetty erinäisissä kansallisissa säädöksissä. Hallintolakia (434/2003) koskevassa hallituksen esityksessä esitetty luettelo itsenäisistä julkisoikeudellisista laitoksista ei sisällä mainintaa Yliopiston Apteekista. Julkisuuslakia koskevan hallituksen esityksen luettelo itsenäisistä julkisoikeudellisista laitoksista ei sisällä mainintaa Yliopiston Apteekista. Myöskään arkistolain (831/1994), konkurssilain (120/2004) tai sähköisestä asioinnista viranomaistoiminnassa annetun lain (13/2003) esitöissä ei mainita Yliopiston Apteekkia.
13. Kuten edeltä käy ilmi, itsenäisenä julkisoikeudellisena laitoksena pidetään joissain tapauksissa, kuten käsillä olevan asian kannalta erityisesti tietosuojalakia sovellettaessa, yliopistolaitosta. Yliopiston Apteekin omistaa Helsingin yliopisto. Helsingin yliopiston suhdetta Yliopiston Apteekkiin on jo arvioitu hallinto-oikeudessa. Helsingin hallinto-oikeus on ratkaisussaan nro 17/0582/3 (21.6.2017) katsonut, että Helsingin yliopisto ei ole asianosainen Yliopiston Apteekin sivuapteekkilupaa koskevassa asiassa: ” Hallinto-oikeus toteaa, että Helsingin yliopiston oikeus ylläpitää apteekkia on perustunut yliopiston asemaan liittyviin erityisoikeuksiin ja Helsingin yliopiston apteekki on yliopiston ylläpitämä ja omistama apteekki. Kun otetaan huomioon se, että Helsingin yliopisto on siirtänyt sisäisellä delegointipäätöksellään ja johtosäännöllä apteekin pitämisen operatiivisen toiminnan ja siihen liittyvät hallinnolliset toimenpiteet Helsingin yliopiston apteekin tehtäväksi, hallinto-oikeus katsoo, ettei Helsingin yliopistoa eikä Helsingin yliopiston rahastoja ole pidettävä asianosaisina sivuapteekkilupaa koskevassa asiassa eikä niitä ole ollut kuultava asianosaisina ennen asian ratkaisemista .”[67] Yliopiston Apteekki on siten oikeuskäytännössä katsottu toiminnallisesti eriytetyksi Helsingin yliopistosta.
14. Lisäksi voidaan todeta, että Yliopiston Apteekki toimii kilpailluilla markkinoilla. Esimerkiksi eduskunnan sosiaali- ja terveysvaliokunta on lääkelain ja apteekkimaksuista annetun lain muuttamista koskevan hallituksen esityksen johdosta antamassaan mietinnössä (StVM 42/1998 vp) huomioinut tämän ja todennut kannanottonaan, ettei Helsingin yliopiston apteekin tule saada erityistä etua asemastaan yliopiston yhteydessä: ” Helsingin yliopiston apteekki perustuu Helsingin yliopistolle hallitusmuodossa myönnettyihin erioikeuksiin. Apteekki on perusteltu farmasian opetuksen ja tutkimuksen asianmukaiseksi hoitamiseksi, mutta yliopistojen apteekeilla ei tule olla sellaista asemaa, että ne saavat erityistä etua asemastaan yliopiston yhteydessä. Näin ollen tulee tiukasti huolehtia siitä, että yliopistojen apteekeille asetetut maksut ja muut rasitteet vastaavat yksityisten apteekkien rasitteita ja maksuja, ja toisaalta, että ne eivät käytä erityisasemaansa epäasianmukaisella tavalla tuotteiden hinnoittelussa ja markkinoinnissa” .[68]
15. Yliopiston Apteekki ei edellä esitetysti ole tietosuojalain 24.4 §:ssä tarkoitettu itsenäinen julkisoikeudellinen laitos tai muu sanotussa lainkohdassa tarkoitettu toimija. Yliopiston Apteekki on siten katsottava toimijaksi, jolle voidaan määrätä yleisen tietosuoja-aseuksen 83 artiklassa tarkoitettu hallinnollinen seuraamusmaksu.
Perustelut hallinnollisen seuraamusmaksun määräämiselle
16. Yleisen tietosuoja-asetuksen 83 artiklassa on säädetty hallinnollisen seuraamusmaksun määräämisen yleisistä edellytyksistä. Hallinnollisen seuraamusmaksun määräämisen on ensinnäkin oltava kussakin yksittäisessä tapauksessa tehokasta, oikeasuhteista ja varoittavaa. Toisekseen hallinnollinen seuraamusmaksu määrätään kunkin yksittäisen tapauksen olosuhteiden mukaisesti 58 artiklassa säädettyjen korjaavien toimivaltuuksien lisäksi tai niiden sijasta. Nyt käsillä olevassa asiassa apulaistietosuojavaltuutettu on antanut rekisterinpitäjälle huomautuksen. Hallinnollinen seuraamusmaksu määrätään näin ollen yleisen tietosuoja-asetuksen 58(2)(b) artiklan mukaisen huomautuksen lisäksi.
17. Hallinnollisen seuraamusmaksun määräämisestä ja hallinnollisen seuraamusmaksun määrästä päätettäessä on kussakin yksittäisessä tapauksessa otettava huomioon yleisen tietosuoja-asetuksen 83(2) artiklassa luetellut seikat.
18. Kuten apulaistietosuojavaltuutetun päätöksessä on katsottu, rekisterinpitäjä ei ole noudattanut yleisen tietosuoja-asetuksen 5(1)(f) ja 32 artiklassa säädettyä.
19. Yleisen tietosuoja-asetuksen 83(3) artiklan mukaan, jos rekisterinpitäjä rikkoo samoissa tai toisiinsa liittyvissä käsittelytoimissa tahallaan tai tuottamuksellisesti useita yleisen tietosuoja-asetuksen säännöksiä, hallinnollisen seuraamusmaksun kokonaismäärä ei saa ylittää vakavimmasta rikkomisesta määrättyä seuraamusmaksua.
20. Rikkomisen vakavuutta on arvioitava yleisen tietosuoja-asetuksen 83(2) artiklassa lueteltujen seikkojen perusteella. Arvioinnissa on valittava menettely tai laiminlyönti, jota voidaan pitää kulloinkin arvioitavana olevan asian yksityiskohdat huomioon ottaen moitittavimpana.
21. Käsiteltävä asia koskee yleisen tietosuoja-asetuksen 5(1)(f) ja 32 artiklassa säädettyä velvollisuutta huolehtia henkilötietojen käsittelyn turvallisuudesta, kuten tietojen asianmukaisesta suojaamisesta. Kuten edellä kohdassa 4 on todettu, asia kuuluu yleisen tietosuoja-asetuksen 83(5)(a) artiklan mukaiseen korkeampaan seuraamusmaksuluokkaan.
22. Asiaa arvioitaessa on otettu huomioon Euroopan unionin tietosuojatyöryhmän ja Euroopan tietosuojaneuvoston antamat hallinnollisten sakkojen määräämistä koskevat ohjeet[69].
23. Rekisterinpitäjä on apulaistietosuojavaltuutetun päätöksen kohdassa 34 todetusti esittänyt, että harkittavien seuraamusten osalta asiassa olisi otettava huomioon tietosuojavaltuutetun toimiston aiemmat päätökset, kuten ratkaisut asioissa 4672/161/22 (Helmet-kirjastot) ja 7684/171/22 (Ilmatieteen laitos). Seuraamuskollegio toteaa selvyydeksi, että mainitut päätökset koskevat yleisen tietosuoja-asetuksen V-luvun mukaisia kansainvälisiä tiedonsiirtoja, eli niissä on arvioitu eri menettelyä kuin rekisterinpitäjän asiassa. Helmet-kirjastoja koskevassa asiassa on arvioitu lisäksi sitä, ovatko rekisterinpitäjät noudattaneet yleisen tietosuoja-asetuksen 32 artiklaa. Rekisterinpitäjinä on kuitenkin neljä pääkaupunkiseudun kaupunkia, joille ei tietosuojalain 24.4 §:ssä säädetysti voida määrätä hallinnollista seuraamusmaksua, eikä seuraamusmaksun määrääminen siten ole voinut tulla arvioitavaksi sanotussa asiassa. Rekisterinpitäjä on selvityksissään viitannut lisäksi ratkaisuihin 3831/161/21 (Kesko Oyj) ja 1509/452/18 (Espoon kaupunki) ja esittänyt, ettei hallinnollista seuraamusmaksua ole sille aiheellista määrätä. Todettakoon, että ratkaisu 1509/452/18 koskee kaupunkia, jolle ei tietosuojalain 24.4 §:ssä säädetysti voida määrätä hallinnollista seuraamusmaksua. Sanotussa ratkaisussa sekä Kesko Oyj:tä koskevassa ratkaisussa 3831/161/21 on niin ikään kyse eri menettelystä kuin rekisterinpitäjän asiassa. Espoon kaupunkia koskevassa ratkaisussa 1509/452/18 on arvioitu henkilötietojen käsittelyperustetta. Kesko Oyj:tä koskevassa ratkaisussa 3831/161/21 on arvioitu henkilötietojen säilytysaikaa, joka ei vielä ratkaisuajankohtana ollut muodostunut suhteettoman pitkäksi tietojen käyttötarkoituksiin nähden, ja seuraamusmaksu on siten jätetty määräämättä.
24. Todettakoon muiden jäsenvaltioiden ratkaisukäytännön osalta, että, esimerkiksi Ruotsin valvontaviranomainen (IMY) on puuttunut samankaltaiseen menettelyyn kuin josta käsillä olevassa asiassa on kyse. Ruotsin valvontaviranomainen on 29.8.2024 määrännyt kahdelle apteekille hallinnollisen seuraamusmaksun itsehoitolääkkeitä ja esimerkiksi seksuaaliterveyteen liittyviä tuotteita koskevien tietojen välittämisestä Metalle. Apohem AB:lle, jonka liikevaihto on noin 52 miljoonaa euroa, määrättiin 8 miljoonan kruunun (n. 696 000 euroa) seuraamusmaksu, ja valtion omistamalle Apoteket AB:lle, jonka liikevaihto on noin 2 miljardia euroa, määrättiin 37 miljoonan kruunun (n. 3,2 miljoonaa euroa) seuraamusmaksu.
Rikkomisen vakavuutta koskeva arviointi
25. Ottaen kokonaisuutena huomioon jäljempänä tarkemmin todetut perusteet, seuraamuskollegio katsoo, että edellytykset seuraamusmaksun määräämiselle täyttyvät.
26. Yleisen tietosuoja-asetuksen rikkomisen vakavuutta koskevassa arvioinnissa on huomioitu yleisen tietosuoja-asetuksen 83 artiklan 2 kohdan a-, b- ja g-alakohdat.
Rikkomisen luonne ja kesto
27. Seuraamuskollegio huomioi rikkomisen keston osalta, että saadun selvityksen perusteella rekisterinpitäjä on pääosin poistanut tässä asiassa arvioidut seurantapalvelut verkkoapteekkisivustoltaan syyskuuhun 2022 mennessä. Apulaistietosuojavaltuutetun päätöksestä ilmi käyvän selvityksen perusteella rekisterinpitäjä on käyttänyt verkkoapteekkisivustollaan Googlen seurantapalveluita toukokuusta 2015 alkaen, eli rekisterinpitäjä on välittänyt lääkkeisiin liittyviä henkilötietoja Googlelle yleisen tietosuoja-asetuksen soveltamisajan alkamisesta asti.[70] Merkittävin Googlen seurantapalvelu, eli Google Analytics, on rekisterinpitäjän mukaan poistettu verkkoapteekkisivustolta 14.4.2022, eli ennen tietosuojavaltuutetun toimiston selvitystyön alkamista.[71] Rekisterinpitäjän mukaan Meta-pikseli (entinen Facebook-pikseli) on poistettu käytöstä koko verkkoapteekkisivustolta 8.9.2022. Sanottu seurantapikseli on rekisterinpitäjän arvion mukaan otettu käyttöön lääkeverkkosivuilla joko 1.10.2020 tai 21.3.2021, eli rekisterinpitäjä on välittänyt lääkkeisiin liittyviä henkilötietoja Metalle (aiemmin: Facebook) vähintään noin puolentoista vuoden ajan. Tässä asiassa arvioitu rikkominen on keskeisimmiltä osin kestänyt siten noin neljä vuotta yleisen tietosuoja-asetuksen soveltamisaikana.
28. Seuraamuskollegio huomioi rikkomisen luonteen osalta, että rikkomisessa on ollut kyse rekisterinpitäjän tavanomaisesta ja suunnitelmallisesta toimintatavasta. Rekisterinpitäjä on käyttänyt tässä asiassa arvioituja seurantapalveluita verkkoapteekkisivustollaan esimerkiksi saadakseen analytiikkadataa, kuten tietoa Facebook-yhteisöpalvelun kautta tulleista ostoista. Rekisterinpitäjä ei apulaistietosuojavaltuutetun päätöksessä tarkemmin esitetysti ole puuttunut tässä yhteydessä asianmukaisesti siihen, että seurantapalveluntarjoajille välittyy näin toimittaessa lääkkeisiin liittyviä henkilötietoja, jos verkkoapteekkivierailija hyväksyy evästeiden käytön.
29. Edellä esitetyin perustein rikkomisen luonnetta ja kestoa on asiassa pidettävä hallinnollisen seuraamusmaksun määräämistä puoltavana seikkana.
Tietojenkäsittelyn luonne, laajuus tai tarkoitus sekä henkilötietoryhmät, joihin rikkominen vaikuttaa
30. Rekisterinpitäjältä 20.9.2024 saadun selvityksen mukaan vuonna 2021 Yliopiston Apteekin verkkosivustolla on käynyt arviolta [lukumäärätieto poistettu] laitetta per viikko. Rekisterinpitäjän mukaan tämä lukumäärä on keskimääräinen arvio ja yksittäinen otos, joka voi vaihdella suuresti eri vuosien ja kuukausien välillä. Rekisterinpitäjän mukaan sen mittauksen perusteella noin 20–30 % Yliopiston Apteekin verkkosivuston kävijöistä kieltää evästeiden käytön kokonaan. Rekisterinpitäjän selvityksen mukaan aikavälillä 2018–2024 lääketilausten kuukausittainen keskiarvo on ollut noin [lukumäärätieto poistettu] tilausta kuukaudessa ja vuosina 2018–2022 lääketilauksia on tehty yhteensä [lukumäärätieto poistettu].[72] Rekisterinpitäjän mukaan on tyypillistä, että sama rekisteröity tekee vuoden aikana useampia tilauksia, ja erityisesti reseptilääkkeitä koskevat tilaukset ovat toistuvia. Selvityksessä esitetyn perusteella vuosittain niiden rekisterinpitäjän apteekkiverkkosivustolla käyneiden, seurantapalveluiden avulla seurattujen henkilöiden määrän, jotka ovat vähintäänkin osoittaneet lääkkeen ostoaietta,[73] ja sitä kautta niiden rekisteröityjen määrän, joiden tietosuojaoikeuksille on tässä päätöksessä arvioiduilta osin aiheutunut riskiä, voidaan joka tapauksessa katsoa ylittävän [lukumäärätieto poistettu] rekisteröidyn rajan. Rekisteröityjen lukumäärästä käytettävissä olevien tietojen perusteella on siten selvää, ettei rekisteröityjen joukko ole ollut pieni. Seuraamuskollegio toteaa, että rekisteröityjen lukumäärä puoltaa asiassa seuraamusmaksun määräämistä.
31. Rekisteröityjen lukumäärästä ja siitä, että kyse on verkossa tapahtuvasta toiminnasta, jossa verkkosivuvierailijan eri toimista kertyy yksilöitävissä olevia tietoja, rekisterinpitäjän käsittelemien henkilötietojen määrän on niin ikään katsottava olevan suuri.
32. Apulaistietosuojavaltuutetun päätöksessä tarkemmin esitetysti rikkominen on koskenut luonteeltaan erittäin yksityisiksi katsottavien tietojen käsittelyä[74]. Rekisterinpitäjä on välittänyt seurantapalveluntarjoajille tietoja, jotka kertovat esimerkiksi tietyn itsehoitolääkkeen selailusta ja aikomuksesta tilata kyseinen itsehoitolääke, tai tietyn reseptilääkkeen selailusta ja aikomuksesta tilata kyseinen reseptilääke. Selailutiedosta yhdistettynä ostoaikeesta kertovaan tietoon voi esimerkiksi olla pääteltävissä, mitä lääkkeitä henkilöllä voi olla käytössä, tai millaisia vaivoja tai sairauksia hänellä on.
33. Tietojenkäsittelyn luonne ja laajuus sekä henkilötietoryhmät, joihin rikkominen vaikuttaa, puoltavat asiassa seuraamusmaksun määräämistä.
Rikkomisen tahallisuus tai tuottamuksellisuus
34. Aiemmin mainituissa Euroopan tietosuojaneuvoston sekä tietosuojatyöryhmän antamissa ohjeissa on todettu tahallisuuden edellyttävän yleensä tietoista ja tarkoituksellista rikkomista. Tahallisia rikkomisia, jotka ilmentävät piittaamattomuutta lainsäädännöstä, pidetään yleisesti vakavampina kuin tuottamuksellisia rikkomisia.[75]
35. Todettakoon, että rekisterinpitäjälle voidaan määrätä seuraamus yleisen tietosuoja-asetuksen soveltamisalaan kuuluvasta menettelystä, jos rekisterinpitäjä ei voinut olla tietämättä, että sen menettely on luonteeltaan sääntöjenvastaista, riippumatta siitä, oliko se tietoinen siitä, että se rikkoi yleisen tietosuoja-asetuksen säännöksiä.[76] Euroopan unionin tuomioistuin viittaa ratkaisukäytännössään nimenomaan kilpailuoikeudelliseen tahallisuuden ja tuottamuksellisuuden arviointiin[77], joka on erotettava rikosoikeudellisesta tahallisuus- ja tuottamuksellisuusarvioinnista.
36. Seuraamuskollegio toteaa jäljempänä esitetyin perustein, ettei asiassa voida katsoa olevan kyse rikkomisesta, joka ei ole seurausta rekisterinpitäjän menettelyn tahallisuudesta tai huolimattomuudesta.[78]
37. Seuraamuskollegio kiinnittää huomioita erityisesti siihen seikkaan, että rekisterinpitäjä on menettelytavan käyttöönoton yhteydessä tietoisesti ja harkitusti päättänyt, että se välittää tietoja verkkosivuvierailijan toimista, mukaan lukien lääkkeisiin kohdistuvasta kiinnostuksesta ja ostoaikeesta, seurantapalveluntarjoajille.
38. Apulaistietosuojavaltuutetun päätöksestä ilmi käyvän selvityksen perusteella rekisterinpitäjä on maskannut lääkkeistä kertovien tietojen osalta maksuvaihetta koskevat kutsut, joihin se on sekä Googlen että Metan kohdalla jättänyt näkyviin tiedon siitä, että kutsu koskee ostamista, sekä Googlen kohdalla myös tiedon siitä, että kutsu koskee nimenomaan reseptilääkkeen tai itsehoitolääkkeen ostamista. Siinäkin tapauksessa, että rekisterinpitäjä olisi pyrkinyt peittämään lääkkeistä kertovia tietoja myös muista kutsuista,[79] se ei ole saadun selvityksen perusteella huolehtinut esimerkiksi huolellisesti testaamalla, että lääkkeistä kertovia tietoja ei välity seurantapalveluntarjoajille. Kuten apulaistietosuojavaltuutetun päätöksessä on todettu, yleisen tietosuoja-asetuksen 32(1)(d) artikla edellyttää nimenomaisesti, että rekisterinpitäjän on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi.
39. Rekisterinpitäjä on lisäksi kertonut selvityksessään, että Facebookin markkinointipalvelu (Meta for Business) on ollut sillä epähuomiossa käytössä reseptilääkesivuilla, ja tähän menettelyyn liittyvä Meta-pikseli on poistettu käytöstä tietosuojavaltuutetun toimiston selvitystyön yhteydessä 8.9.2022. Saadun selvityksen perusteella rekisterinpitäjä ei ole näiltäkään osin toiminut huolellisesti ja tarkistanut, mitä tietoja Metan palvelun kautta käsitellään.
40. Seuraamuskollegio toteaa, että asiassa ei ole kyse siitä että todettu rikkominen on tapahtunut, vaikka rekisterinpitäjä on toiminut huolellisesti.
41. Seuraamuskollegio toteaa, ettei asiassa ole perusteltua katsoa, etteikö rekisterinpitäjän toiminta täyttäisi yleisen tietosuoja-asetuksen 83(2)(b) artiklan edellytystä, jonka mukaan menettelyn on oltava tahallista tai tuottamuksellista.
Raskauttavien ja lieventävien tekijöiden arviointi
Rekisterinpitäjän toteuttamat toimet rekisteröidylle aiheutuneen vahingon lieventämiseksi
42. Tietosuojatyöryhmän ohjeissa hallinnollisten seuraamusmaksujen soveltamisesta ja määräämisestä on todettu, että vahingosta vastuussa olevan osapuolen olisi tehtävä kaikki voitavansa lieventääkseen rikkomisesta asianomaiselle aiheutuvia seurauksia. Valvontaviranomainen voi ottaa huomioon tällaisen vastuullisen toiminnan tai vastuullisen toiminnan puuttumisen.
43. Todettakoon selkeyden vuoksi, että hallinnollisen seuraamusmaksun määrääminen ei edellytä yksittäisen vahingon olemassaoloa.[80] Tässä yhteydessä ei ole kyse vahingonkorvauksen määräämisen perusteiden arvioinnista.
44. Seuraamuskollegio huomioi, että rekisterinpitäjä on poistanut verkkosivuiltaan Googlen ja Metan palvelut tietosuojavaltuutetun toimiston selvitystyön yhteydessä sekä pyytänyt palveluntarjoajia poistamaan seurannan kautta saadut tiedot. Lähtökohtaisesti tätä voitaisiin arvioida lieventävänä tekijänä. Vaikka rekisterinpitäjä on näiden palveluiden osalta tehnyt toimenpiteitä, se on asentanut verkkosivustolleen muita, samankaltaisia epäkohtia käsittäviä seurantapalveluita, sekä jatkanut lääkkeistä kertovien tietojen välittämistä URL-osoitteissa seurantapalveluntarjoajille. Tältäkään osin tietoja ei ole kaikilta osin esimerkiksi asianmukaisesti maskattu tai muutoin suojattu yleisen tietosuoja-asetuksen 5(1)(f) ja 32 artiklan edellyttämällä tavalla. Toimintatapa tarkoittaa esimerkiksi, että rekisteröityyn yhdistettävissä olevia tietoja lääkkeistä voi apulaistietosuojavaltuutetun päätöksen kohdassa 132 tarkemmin esitetysti edelleen päätyä hallitsemattomasti tuntemattomien viestinvälittäjien hyödynnettäväksi. Seuraamuskollegio katsoo, ettei lieventäviä tai raskauttavia perusteita tältä osin ole.
Vastuun aste, ottaen huomioon rekisterinpitäjän 25 artiklan ja 32 artiklan nojalla toteuttamat tekniset ja organisatoriset toimenpiteet
45. Kysymyksen alaisessa asiassa rekisterinpitäjä on järjestelmälliseen tapaan rikkonut yleisen tietosuoja-asetuksen 5(1)(f) ja 32 artiklan mukaisia velvoitteitaan. Rekisterinpitäjän toteuttamia teknisiä ja organisatorisia toimenpiteitä ei voida näiltä osin pitää riittävinä. Tapaus ilmentää yleisessä tietosuoja-asetuksessa säädettyjen käytäntöjen yleistä puutteellisuutta, eikä lieventäviä perusteita tältä osin ole.
Aiemmat vastaavat rikkomiset ja aikaisemmin määrätyt samaa asiaa koskevat toimenpiteet
46. Rekisterinpitäjään ei ole aiemmin kohdistettu yleisen tietosuoja-asetuksen 58(2) artiklassa tarkoitettuja toimivaltuuksia. Raskauttavia perusteita ei tältä osin ole.
Yhteistyön aste valvontaviranomaisen kanssa ja tapa, jolla rikkominen tuli valvontaviranomaisen tietoon
47. Edellä mainituissa tietosuojatyöryhmän ohjeissa hallinnollisten seuraamusmaksujen soveltamisesta ja määräämisestä on todettu, että yhteistyön aste voidaan ottaa asianmukaisesti huomioon, kun päätetään hallinnollisen sakon määräämisestä ja sen määrästä. Arvioitaessa yhteistyötä valvontaviranomaisen kanssa merkitystä voitaisiin antaa sille, onko rekisterinpitäjä reagoinut valvontaviranomaisen pyyntöihin asian tutkinnan aikana siten, että sillä on rajoitettu merkittävästi yksilöiden oikeuksiin kohdistuvaa riskiä. Ohjeiden mukaan ei olisi kuitenkaan tarkoituksenmukaista korostaa jo lainsäädännössä vaadittua yhteistyötä.
48. On todettava, että yleisen tietosuoja-asetuksen 31 artiklassa säädetysti rekisterinpitäjän on pyynnöstä tehtävä yhteistyötä valvontaviranomaisen kanssa sen tehtävien suorittamiseksi. Rekisterinpitäjällä on niin ikään yleisen tietosuoja-asetuksen 58 artiklan 1 kohdan ja tietosuojalain 18 §:n nojalla velvollisuus toimittaa pyydetyt tiedot valvontaviranomaiselle.
49. Asian arvioinnissa ei edellä todetusti ole tarkoituksenmukaista korostaa jo lainsäädännössä edellytettyä yhteistyötä. Laissa säädetyn velvollisuuden täyttämistä ei ole tarkoituksenmukaista katsoa asiassa lieventäväksi tekijäksi.
50. Tieto rikkomisesta on tullut valvontaviranomaiselle kolmannen tekemän ilmoituksen kautta. Lieventäviä perusteita ei tältä osin ole.
Mahdolliset muut tapaukseen sovellettavat raskauttavat tai lieventävät tekijät
51. Edellä mainituissa tietosuojatyöryhmän ohjeissa hallinnollisten seuraamusmaksujen soveltamisesta ja määräämisestä on todettu, että mahdolliset muut tapaukseen sovellettavat raskauttavat tai lieventävät tekijät voivat esimerkiksi olla rikkomisella saatu hyöty tai taloudellinen etu.
52. Verkkoseurannassa on kyse rekisterinpitäjän taloudellista toimintaa hyödyttävästä toimintatavasta. Rekisterinpitäjä saa verkkoseurannan avulla esimerkiksi tietoa siitä, mitä verkkokauppa-asiakkaat tekevät sen verkkosivustolla ja mitä tuotteita (kuten tässä tapauksessa lääkkeitä) kohtaan he osoittavat kiinnostustaan. Tietoja voidaan käyttää hyödyksi esimerkiksi liiketoiminnan kehittämisessä sekä seurannan kohteena oleviin rekisteröityihin kohdistettavassa markkinoinnissa ja muussa myynnin edistämisessä.
53. Apulaistietosuojavaltuutetun päätöksestä ilmi käyvässä selvityksessään rekisterinpitäjä on nimenomaisesti kertonut hyödyntäneensä seurannan avulla saatuja tietoja esimerkiksi asiakkaisiin kohdistetussa Facebook-markkinoinnissaan.
54. Asiassa ei siten ole katsottavissa, että rekisterinpitäjä ei olisi lainkaan hyötynyt taloudellisesti tässä asiassa arvioidun verkkoseurannan käyttämisestä ja sen ulottamisesta lääkkeisiin.
55. Seuraamuskollegio toteaa, ettei kokonaisarvion perusteella raskauttavia perusteita tältä osin kuitenkaan ole.
56. Seuraamuskollegio huomioi lieventävänä tekijänä sen, että asiassa saadun selvityksen perusteella rekisterinpitäjän tuotot käytetään koulutukseen ja tutkimukseen.
Hallinnollisen seuraamusmaksun määräämistä koskevan päätöksen ovat tehneet tietosuojavaltuutetun toimiston seuraamuskollegion jäsenet.
Allekirjoitukset
Tietosuojavaltuutettu Anu Talus
Apulaistietosuojavaltuutettu Heljä-Tuulia Pihamaa
Apulaistietosuojavaltuutettu Annina Hautala
Asian esitellyt ylitarkastaja Niina Miettinen
Muutoksenhaku
Tietosuojalain (1050/2018) 25 §:n mukaan apulaistietosuojavaltuutetun ja seuraamuskollegion päätöksiin voi hakea muutosta valittamalla hallinto-oikeuteen noudattaen mitä laissa oikeudenkäynnistä hallintoasioissa (808/2019) säädetään. Valitus tehdään Helsingin hallinto-oikeuteen. Valitusosoitus on liitteenä.
Tiedoksianto
Päätökset annetaan tiedoksi hallintolain (434/2003) 60 §:n mukaisesti postitse saantitodistusta vastaan.
Lisätietoja päätöksistä rekisterinpitäjälle antaa asian esittelijä:
Ylitarkastaja Niina Miettinen, puh. 029 566 6774
Liitteet:
Valitusosoitus rekisterinpitäjälle, seuraamusmaksun maksuohje rekisterinpitäjälle, verkkokutsuliiteKutsuliite 1 (pdf) , Kutsuliite 2 (pdf) , Kutsuliite 3 (pdf)
Loppuviitteet
1. Ilmoittajan kuvaus lääkesivusta: ”lääkesivulla painetaan ”Tilaa reseptilääke” -painiketta”.
2. Ilmoittajan kuvaus reseptilääkkeen tilaussivusta: reseptilääkkeen tilaussivu ”vaatisi pankkitunnuksilla kirjautumisen, jonka jälkeen päädyttäisiin keskustelemaan chatissa farmaseutin kanssa”.
3. HAR-tiedosto on nettiselaimen tuottama tallenne verkkosivujen selaamisesta, jossa näkyy selaimen tekemät GET- ja POST-kutsut sekä mahdolliset Websocket-yhteydet.
4. Analyzing third-party data leaks on online pharmacy websites, julkaistu 3.2.2024 (https://link.springer.com/article/10.1007/s12553-024-00819-w).
5. Rekisterinpitäjän mukaan mainonta ei ole kohdistunut reseptilääkkeisiin.
6. Meta on toiminut vuoteen 2021 asti nimellä Facebook.
7. Rekisterinpitäjän mukaan Metalle välitetty arvo on Kansaneläkelaitoksen lääkekorvauksen jälkeinen hinta.
8. Toimitettujen lääkemääräysten lukumäärä.
9. Rekisterinpitäjä on myös julkaissut verkkosivuillaan vuoden 2024 vuosikertomuksensa, jossa on kuvattu liikevaihtotietoja.
10. Yliopiston Apteekki -konserniin kuuluvat Yliopiston Apteekin lisäksi Yliopiston Apteekki Oy ja sen tytäryhtiö Medapta Oy.
11. Lääke, jonka saa toimittaa apteekista ilman lääkemääräystä. Lääkealan turvallisuus- ja kehittämiskeskus Fimean verkkosivuilla (www.fimea.fi) on esitetty itsehoitolääkkeelle seuraava määritelmä: ”Osa lääkkeistä on itsehoitolääkkeitä, joita saa apteekista ilman reseptiä. Itsehoitolääkkeillä hoidetaan lieviä ja lyhytaikaisia oireita, jotka eivät vaadi lääkärin tapaamista”. Verkkosivulla on vierailtu 19.12.2024.
12. Ilmoittaja on sallinut evästeet rekisterinpitäjän verkkoapteekin evästebannerissa. Tietosuojavaltuutetun toimisto on korostanut kutsuihin keltaisella värillä sekä lihavoinnilla niissä näkyvän lääkkeen nimen, vahvuuden, muodon ja tablettimäärän.
13. Base64-koodaus ei ole salaus, vaan 6-bittinen esitystapa. Base64-esitystapa on verrattavissa ihmisluettavassa muodossa olevaan tietoon. Esimerkiksi hakukoneista on löydettävissä lukuisia työkaluja base64-koodauksen saattamiseksi ihmisluettavaan muotoon.
14. Ks. kutsut tämän päätöksen liitteestä.
15. Rekisterinpitäjän mukaan välitetty arvo on Kansaneläkelaitoksen lääkekorvauksen jälkeinen hinta.
16. Rekisterinpitäjän mukaan Google Tag Manager on poistettu käytöstä 8.9.2022, Google Analytics on poistettu käytöstä 14.4.2022 (eli ennen tietosuojavaltuutetun toimiston selvitystyön alkamista) ja Meta-pikseli on poistettu käytöstä 8.9.2022.
17. Tilausvahvistusvaihetta edeltävät kutsut.
18. Yhdistelemällä käyttäjästä välitettäviä yksilöiviä tunnistetietoja ja eri vierailtujen verkkosivujen tietoja.
19. Esim. käsittelyketjuun kuuluvat, rekisterinpitäjälle tuntemattomat alihankkijat.
20. Esimerkiksi poistamalla tunnisteita tietovirrasta etukäteen kierrättämällä kutsut rekisterinpitäjän oman palvelun kautta.
21. Kutsuissa välittyvistä tiedoista on myös esimerkiksi nähtävissä, jos kyse on mobiililaitteesta. Mobiililaitteet, kuten matkapuhelimet ja tabletit, ovat useimmiten henkilökohtaisia laitteita ja siten helposti liitettävissä yksittäiseen henkilöön.
22. IP-osoite on todettu henkilötiedoksi useissa Euroopan unionin tuomioistuinten ratkaisuissa; ks. esim. asiat C-70/10, C-582/14, C‑470/21 ja T-354/22. Ks. myös yleisen tietosuoja-asetuksen perustelukappale 30: ”Luonnolliset henkilöt voidaan yhdistää heidän käyttämiensä laitteiden, sovellusten, työkalujen ja protokollien verkkotunnistetietoihin, kuten IP-osoitteisiin, evästeisiin tai muihin tunnisteisiin, esimerkiksi radiotaajuustunnisteisiin. Näin käyttäjästä voi jäädä jälkiä, joita voidaan käyttää luonnollisten henkilöiden profilointiin ja tunnistamiseen etenkin, kun niitä yhdistetään yksilöllisiin tunnisteisiin ja muihin palvelimille toimitettuihin tietoihin”.
23. Tiedonkeruumenetelmä, joka muodostaa käyttäjälle digitaalisen sormenjäljen esimerkiksi hänen selaimensa ominaisuuksien ja teknisten asetusten perusteella. Digitaaliset sormenjäljet luodaan käyttäjän laitteen tai verkkokäyttäytymisen datapisteiden pohjalta, ja sormenjäljen avulla voidaan erottaa eri laitteet ja käyttäjät toisistaan.
24. Rekisterinpitäjä on todennut myös selvityksessään, että Meta yhdistää tietoja sellaisiin käyttäjiin, jotka ovat rekisteröityneet Metan tarjoamiin palveluihin (ks. tarkemmin päätöskohta 26).
25. C-604/22, ratkaisun kohta 39: ”Kuten unionin tuomioistuin on jo katsonut, se, että unionin lainsäätäjä käyttää sanaa ”epäsuorasti”, kertoo, että tiedon luokitteleminen henkilötiedoksi ei edellytä, että tämä tieto yksin mahdollistaa rekisteröidyn tunnistamisen. Yleisen tietosuoja-asetuksen 4 artiklan 5 alakohdasta, luettuna yhdessä sen johdanto-osan 26 perustelukappaleen kanssa, ilmenee päinvastoin, että henkilötiedot, jotka voitaisiin yhdistää tiettyyn luonnolliseen henkilöön lisätietoja käyttämällä, on katsottava tunnistettavissa olevaa luonnollista henkilöä koskeviksi tiedoiksi”. Ks. myös esim. asia C‑582/14, ratkaisun kohta 41.
26. C-604/22, ratkaisun kohta 41: ”Tästä seuraa, että henkilötietojen käsite kattaa paitsi rekisterinpitäjän keräämät ja säilyttämät tiedot, myös kaikki henkilötietojen käsittelystä saadut tiedot, jotka koskevat tunnistettua tai tunnistettavissa olevaa henkilöä”. Ks. tästä aiheesta myös esim. tietosuojatyöryhmän profilointia koskeva ohje WP251, jonka mukaan rekisteröidyn oikeus saada pääsy omiin henkilötietoihin kattaa sekä syöttötiedot että valmiin henkilöprofiilin (Suuntaviivat automatisoiduista yksittäispäätöksistä ja profiloinnista asetuksen (EU) 2016/679 täytäntöön panemiseksi, annettu 3. lokakuuta 2017, viimeksi tarkistettu ja hyväksytty 6. helmikuuta 2018, s. 18).
27. Ratkaisun kohdat 61 ja 62.
28. Rekisterinpitäjän tietosuojavaltuutetun toimistolle 4.12.2024 toimittama kuvakaappaus.
29. Tietosuojavaltuutetun toimistolle toimittamassaan verkkokauppa-alustan vaikutustenarvioinnissa rekisterinpitäjä kuitenkin toteaa, että: ”YA:n verkkokaupassa terveystietoja ovat selkeästi resepti- ja itsehoitolääkkeitä koskevat tiedot”. Rekisterinpitäjä toteaa tietosuojavaltuutetun toimistolle antamassaan selvityksessä myös, että se ”on tietoinen siitä, että rekisteröityjen lääketiedot ovat itsessään erityisiin henkilötietoryhmiin kuuluvia tietoja”.
30. Ks. tässä kappaleessa esitetystä vastaavasti Euroopan unionin tuomioistuimen ratkaisu asiassa C-21/23, ratkaisun kohdat 76 ja 81. Ks. terveystietojen käsitteen laajasta tulkinnasta myös Euroopan unionin tuomioistuimen ratkaisut asioissa C-101/01 (ratkaisun kohta 50) ja C-184/20 (ratkaisun kohta 125). Euroopan unionin tuomioistuin on ratkaisukäytännössään arvioinut lääkkeiden ostamista koskevien tietojen luonnetta terveystietoina asiassa C-21/23: […] silloin, kun lääkkeiden ostoa koskevien tietojen perusteella voidaan tehdä johtopäätöksiä tunnistetun tai tunnistettavissa olevan henkilön terveydentilasta, niitä on pidettävä yleisen tietosuoja-asetuksen 4 artiklan 15 alakohdassa tarkoitettuina terveystietoina” (ratkaisun kohta 78).
31. Ks. esim. Euroopan unionin tuomioistuimen ratkaisu asiassa C-184/20 (ratkaisun kohta 83) ja C‑204/21 (ratkaisun kohta 344).
32. Duodecim Terveyskirjasto (www.terveyskirjasto.fi), sivustolla vierailtu 18.12.2024.
33. Duodecim Terveyskirjasto (www.terveyskirjasto.fi), sivustolla vierailtu 18.12.2024
34. Ratkaisun kohta 88. Ratkaisussa todetusti itsehoitolääkkeitä koskevat tiedot voivat olla terveystietoja riippumatta siitä, kuka on lääkkeen tosiasiallinen käyttäjä.
35. Euroopan tietosuojaneuvoston (EDPB) ohjeet 8/2020 sosiaalisen median käyttäjiin suunnatusta kohdentamisesta, versio 2.0, hyväksytty 13. huhtikuuta 2021, kohta 125. Sama kohta sisältyy ohjeen aiempaan, 2.9.2020 julkaistuun versioon (kohta 118). Euroopan unionin tuomioistuin on viimeaikaisessa ratkaisukäytännössään todennut nimenomaisesti, että yleisen tietosuoja-asetuksen 9(1) artiklan mukaiseen kieltoon ei vaikuta se, onko kyseessä olevasta käsittelystä ilmenevä tieto paikkansapitävä, ja että ”[…] kun verkkoalustan käyttäjä tilatessaan lääkkeitä, joita saadaan myydä vain apteekeissa ja jotka eivät edellytä lääkemääräystä, luovuttaa henkilötietoja, apteekin pitäjän, joka myy näitä lääkkeitä kyseisen verkkoalustan välityksellä, suorittamaa näiden tietojen käsittelyä on pidettävä direktiivin 95/46 8 artiklan 1 kohdassa ja yleisen tietosuoja-asetuksen 9 artiklan 1 kohdassa tarkoitettuna terveystietojen käsittelynä, koska kyseisestä henkilötietojen käsittelystä voi ilmetä luonnollisen henkilön terveydentilaa koskevia tietoja, riippumatta siitä, koskevatko kyseiset tiedot mainittua käyttäjää tai ketä tahansa muuta henkilöä, jota varten tämä tekee tilauksen” (asia C-21/23, ratkaisun kohdat 87 ja 88). Ks. myös esim. asia C-446/21 (ratkaisun kohta 73) ja asia C-252/21 (ratkaisun kohta 69).
36. Ks. oikeudesta oikaista omat tiedot, joiksi on erehdyksessä merkitty muuta henkilöä koskevia tietoja, Euroopan unionin tuomioistuimen ratkaisu asiassa C-434/16, ratkaisun kohta 54. Ks. virheellisistä tiedoista henkilötietoina myös Uusi tietosuojalainsäädäntö (Alma Talent, Helsinki 2018), s. 55.
37. Kuten tässä päätöksessä edellä on tarkemmin esitetty, seurantapalveluntarjoajille on voinut mennä lisäksi tieto siitä, että verkkosivuvierailija on esimerkiksi lääkkeen ostoskoriin lisättyään tehnyt ostoksen ja päätynyt saman istunnon aikana rekisterinpitäjän verkkoapteekin tilausvahvistussivulle, mistä on seurantapalveluntarjoajan pääteltävissä, että verkkosivuvierailija on ostanut tietyn lääkkeen. Lääkkeiden selailua ja ostoaietta sekä esimerkiksi käyttäjän päätymistä verkkoapteekin tilausvahvistussivulle koskevat tiedot ovat edellä esitetysti yhdistettävissä tunnistettavissa olevaan henkilöön.
38. Euroopan unionin tuomioistuin on ratkaisukäytännössään tuonut esille, että verkkoselailutiedot voivat olla erityisiin henkilötietoryhmiin kuuluvia tietoja: ”Käsiteltävässä asiassa pääasiassa kyseessä oleva Meta Platforms Ireland suorittama käsittely muodostuu ensiksi Facebook-yhteisöpalvelun käyttäjien henkilötietojen keräämisestä heidän käydessään verkkosivustoilla tai sovelluksissa – mukaan luettuna ne, joista voi ilmetä yhteen tai useampaan yleisen tietosuoja-asetuksen 9 artiklan 1 kohdassa tarkoitettuun ryhmään kuuluvia tietoja […]” (asia C-252/21, ratkaisun kohta 71).
39. Eri kutsut on mahdollista yhdistää esimerkiksi yksilöidyn tunnisteen, IP-osoitteen, selaimen sormenjäljen (fingerprint), kellonajan tai jonkin id-parametrin avulla.
40. Ks. vastaavasti Euroopan unionin tuomioistuimen ratkaisu asiassa C-184/20, ratkaisun kohdat 126–128.
41. Edellä esitetystä johtuen ei voida myöskään sulkea pois sitä, että vaikka selatut tai ostetut lääkkeet olisi tarkoitettu muille henkilöille, nämä henkilöt voivat olla seurantapalveluntarjoajan tunnistettavissa.
42. Ratkaisun kohta 89.
43. Ks. HE 107/2021 vp, s. 106: ”Proviisori ja farmaseutti ovat terveydenhuollon ammattihenkilöistä annetun lain (559/1994) mukaisia laillistettuja ammattihenkilöitä, joita koskee myös lain 17 §:n nojalla salassapitovelvollisuus”.
44. HE 33/1994 vp, s. 34.
45. Salassapitovelvollisuus ei tarkoita, että rekisterinpitäjä ei voisi lainkaan käyttää henkilötietojen käsittelijöitä.
46. Esimerkiksi siten, että analytiikka toteutetaan omilla palvelimilla, tai liitetään palveluun ulkoisia analytiikkapalveluita, joissa henkilötiedot pysyvät tosiasiallisesti rekisterinpitäjän hallinnassa.
47. Ks. Euroopan unionin tuomioistuimen ratkaisu asiassa C-340/21, ratkaisun kohta 42. Ks. riskianalyysistä myös esim. Euroopan tietosuojaneuvoston (EDPB) Ohjeet 4/2019 25 artiklan mukaisesta sisäänrakennetusta ja oletusarvoisesta tietosuojasta, versio 2.0, annettu 20. lokakuuta 2020, kohta 85.
48. Apteekkareita koskee esimerkiksi lääkelain (395/1987) mukainen salassapitovelvollisuus, ks. tarkemmin tämän päätöksen kohta 120.
49. Ks. esim. yleisen tietosuoja-asetuksen perustelukappale 51: ”Henkilötietoja, jotka ovat erityisen arkaluonteisia perusoikeuksien ja -vapauksien kannalta, on suojeltava erityisen tarkasti, koska niiden käsittelyn asiayhteys voisi aiheuttaa huomattavia riskejä perusoikeuksille ja -vapauksille”.
50. Rekisterinpitäjä esittää esimerkiksi 23.1.2025 antamassaan kuulemisvastauksessa, että ”YA:n suorittaman maskauksen ensisijainen tarkoitus on ostotapahtumaa koskevien tietojen maskaaminen”.
51. Ks. kutsujen yhdistämisestä tarkemmin tämän päätöksen kappale 116 ja alaviite 39.
52. Todistustaakka siitä, että henkilötietoja käsitellään tavalla, jolla varmistetaan niiden asianmukainen turvallisuus yleisen tietosuoja-asetuksen 5(1)(f) artiklassa ja 32 artiklassa tarkoitetussa merkityksessä, on rekisterinpitäjällä, ks. Euroopan unionin tuomioistuimen ratkaisu asiassa C-340/21, ratkaisun kohta 52. Riskiperusteinen lähestymistapa henkilötietojen käsittelyssä on yksi tietosuojasääntelyn päälähtökohdista, ja siitä säädetään myös esimerkiksi yleisen tietosuoja-asetuksen 24 artiklassa.
53. Lääkkeistä kertovien henkilötietojen tehokas suojaaminen on myös käsittelyn kohtuullisuusperiaatteen (yleisen tietosuoja-asetuksen 5(1)(a) artikla) mukainen toimintatapa. Verkkoapteekkiasiakkaiden kohtuullisten odotusten mukaista on, että rekisterinpitäjä suojaa heidän lääketietojaan erityisen hyvin ja huolella sivullisten pääsyltä.
54. Rekisterinpitäjä on niin ikään valinnut henkilötietomuodossa olevien, lääkkeistä kertovien tietojen käsittelijöiksi yrityksiä, joiden liiketoimintamalli perustuu merkittäviltä osin henkilötietojen keräämiseen ja ihmisten profilointiin. Ks. rekisterinpitäjän vastuusta käsittelijän valinnassa myös esim. yleisen tietosuoja-asetuksen 28(1) artikla.
55. Ks. esim. asiat C-70/10, C-582/14, C‑470/21, C-604/22 ja T-354/22. Ks. IP-osoitteen käyttämisestä internetin käyttäjän selailupolun jäljittämisessä esim. yhdistetyt asiat C‑511/18, C‑512/18 ja C‑520/18, ratkaisun kohta 153.
56. Ks. tähän liittyen myös Euroopan unionin tuomioistuimen ratkaisu asiassa C-140/20, ratkaisun kohta 125. Sanotussa ratkaisussa todetaan, että Euroopan unionin tuomioistuin selventää ja täsmentää oikeussäännön merkitystä siten kuin oikeussääntöä olisi aina tullut tulkita, ja Euroopan unionin tuomioistuimen tulkinta ulottuu tulkitun säännöksen voimaantuloajankohtaan saakka. Rekisterinpitäjä ei tämäkään huomioon ottaen voi jäädä odottamaan Euroopan unionin tuomioistuimen ratkaisua ja olla siihen saakka noudattamatta asianmukaisesti riskiperusteista lähestymistapaa henkilötietojen käsittelyssä. Niin ikään on selvää, että se, millaisia asioita tuomioistuinten tutkittavaksi saatetaan, on riippuvaista sattumanvaraisista seikoista.
57. Ks. yleisen tietosuoja-asetuksen 32 artiklan mukaisesta arviosta tarkemmin edellinen päätösosio (Henkilötietojen suojaamista koskevista velvoitteista).
58. Tietojen välittäminen New Relicille ei ole tarpeen myöskään sen tunnistamiseksi, mistä maasta verkkoliikenne on tullut rekisterinpitäjän verkkosivuille, vaan rekisterinpitäjä olisi voinut toteuttaa saman ilman tietojen välittämistä kolmansille.
59. Selailutiedot ovat henkilötietoja, ks. esim. Euroopan tietosuojaneuvoston verkkosivut: “Examples of personal data include: browsing history” https://www.edpb.europa.eu/sme-data-protection-guide/faq-frequently-asked-questions/answer/what-personal-data_en (sivustolla on vierailtu 7.3.2025).
60. Ks. myös apteekkarin salassapitovelvoitteista todettu (päätöskohta 120). Salassapitovelvollisuus ei tarkoita, että rekisterinpitäjä ei voisi lainkaan käyttää henkilötietojen käsittelijöitä.
61. Asiakastietolaissa asiakastiedolla tarkoitetaan sekä potilastietoa että sosiaalihuollon asiakastietoa (asiakastietolain 3.1 §:n 6 kohta).
62. Yleisen tietosuoja-asetuksen 83 artiklan 4–6 kohdasta, jotka koskevat kyseisissä kohdissa luetelluista rikkomisista määrättävien hallinnollisten seuraamusmaksujen laskemista, käy ilmi, että jos hallinnollisen seuraamusmaksun kohteena on SEUT 101 ja SEUT 102 artiklassa tarkoitettu yritys tai osa sitä, hallinnollisen seuraamusmaksun enimmäismäärä lasketaan prosenttiosuutena kyseisen yrityksen edellisen tilikauden maailmanlaajuisesta vuotuisesta kokonaisliikevaihdosta (ks. myös yleisen tietosuoja-asetuksen perustelukappale 150). Asiassa määrättävän hallinnollisen seuraamusmaksun määrä lasketaan siten Yliopiston Apteekki -konsernin kokonaisliikevaihdon mukaan.
63. Esimerkiksi liikevaihdon määrällä mitattuna.
64. Tämä on todettu myös rekisterinpitäjän omilla verkkosivuilla: ”Suomen suurin verkkoapteekki ya.fi palvelee valtakunnallisesti kaikenlaisissa apteekkiasioissa ja laajasta valikoimasta löydät kaikki suosituimmat apteekkituotteet” (https://www.yliopistonapteekki.fi/, verkkosivulla on vierailtu 23.5.2025).
65. HE 9/2018 vp, s. 105.
66. HE 9/2018 vp, s. 56–57.
67. Ratkaisun s. 6. Korkein hallinto-oikeus on muilla perusteilla kumonnut sanotun hallinto-oikeuden päätöksen (KHO:2018:167).
68. Sosiaali- ja terveysvaliokunnan mietintö 42/1998 vp: Hallituksen esitys laeiksi lääkelain 42 ja 52 §:n ja apteekkimaksusta annetun lain 6 §:n muuttamisesta, s. 2.
69. EDPB Ohjeet: Suuntaviivat 4/2022 yleisen tietosuoja-asetuksen mukaisten hallinnollisten sakkojen laskemisesta (versio 2.1, hyväksytty 24. toukokuuta 2023), Tietosuojatyöryhmä WP253: Asetuksessa 2016/679 tarkoitettujen hallinnollisten sakkojen soveltamista ja määräämistä koskevat suuntaviivat (annettu 3. lokakuuta 2017).
70. Yleistä tietosuoja-asetusta on ryhdytty soveltamaan 25.5.2018.
71. Esimerkiksi Google Fonts on poistettu 8.9.2022.
72. Kun huomioidaan, että yleistä tietosuoja-asetusta on ryhdytty soveltamaan 25.5.2018 ja Googlen ja Metan seurantateknologiat on poistettu pääosin syyskuun alussa 2022, lääketilausten määrä tällä aikavälillä on ollut noin [lukumäärätieto poistettu].
73. Lääkkeen lisääminen ostoskoriin, tilaa reseptilääke -painikkeen painaminen.
74. Ks. huomioitavien tietojen osalta esim. Euroopan tietosuojaneuvoston ohje 4/2022: ”Mitä tulee vaatimukseen ottaa yleisen tietosuoja-asetuksen 83 artiklan 2 kohdan g alakohdan mukaisesti huomioon henkilötietoryhmät, joihin rikkominen vaikuttaa, yleisessä tietosuoja-asetuksessa korostetaan selvästi, minkä tyyppiset tiedot edellyttävät erityistä suojelua ja tiukempaa reagointia sakkojen osalta. Tämä koskee vähintään yleisen tietosuoja-asetuksen 9 ja 10 artiklan soveltamisalaan kuuluvia tietotyyppejä ja näiden artiklojen soveltamisalan ulkopuolisia tietoja, joiden levittäminen aiheuttaa rekisteröidylle välitöntä vahinkoa tai haittaa” (Suuntaviivat 4/2022 yleisen tietosuoja-asetuksen mukaisten hallinnollisten sakkojen laskemisesta, versio 2.1, hyväksytty 24. toukokuuta 2023, kohta 57).
75. EDPB Ohjeet: Suuntaviivat 4/2022 yleisen tietosuoja-asetuksen mukaisten hallinnollisten sakkojen laskemisesta (versio 2.1, hyväksytty 24. toukokuuta 2023), kohdat 55 ja 56. Tietosuojatyöryhmä WP253: Asetuksessa 2016/679 tarkoitettujen hallinnollisten sakkojen soveltamista ja määräämistä koskevat suuntaviivat (annettu 3. lokakuuta 2017), s. 12.
76. Ks. Euroopan unionin tuomioistuimen ratkaisu asiassa C-683/21, ratkaisun kohta 81.
77. Ks. Euroopan unionin tuomioistuimen ratkaisu asiassa C-683/21 (ratkaisun kohta 81) ja asiassa C-807/21 (ratkaisun kohta 76).
78. Ks. tahallisuudesta ja tuottamuksellisuudesta esim. Euroopan unionin tuomioistuimen ratkaisut asioissa C-683/21 ja C-807/21.
79. Rekisterinpitäjä kertoo esimerkiksi 23.1.2025 antamassaan kuulemisvastauksessa, että ”YA:n suorittaman maskauksen ensisijainen tarkoitus on ostotapahtumaa koskevien tietojen maskaaminen”.
80. Ks. myös Euroopan unionin tuomioistuimen ratkaisu asiassa C-300/21, ratkaisun kohta 40.