Yliopiston Apteekki vuoti asiakkaiden lääkeostot Googlelle ja Metalle – miljoonasakko kaatui silti muotoseikkaan
Hallinto-oikeus vahvisti, että verkkoapteekki vuoti suomalaisten lääkeostot teknojäteille neljän vuoden ajan. Sakko silti kaatui – ei syyttömyyteen, vaan siihen kuka apteekin omistaa.
Tiivistelma
Helsingin hallinto-oikeus kumosi Yliopiston Apteekille määrätyn 1 100 000 euron seuraamusmaksun, mutta vahvisti samalla tietosuojarikkomuksen tapahtuneen. Sakko kaatui muotoseikkaan: julkisoikeudelliselle laitokselle ei voi nykylain mukaan määrätä hallinnollista seuraamusmaksua. Tapaus paljastaa aukon Suomen tietosuojan valvonnassa ja muistuttaa terveyssivustojen seurantaevästeiden riskistä.
Kuka tahansa, joka osti reseptilääkkeitä Yliopiston Apteekin verkkokaupasta vuosina 2018–2022, jätti jälkensä myös Googlelle ja Metalle. Tämän hallinto-oikeus vahvisti tällä viikolla todeksi – ja päästi yhtiön silti miljoonasakosta.
Helsingin hallinto-oikeus kumosi 1.6.2026 antamallaan päätöksellä (nro 3839/2026) seuraamusmaksun, jonka tietosuojavaltuutetun seuraamuskollegio oli määrännyt Yliopiston Apteekille vuosi aiemmin, 4.6.2025. Summa oli 1 100 000 euroa.
Tärkeä ero: oikeus ei vapauttanut yhtiötä rikkomuksesta. Se piti voimassa apteekille annetun huomautuksen ja totesi tietosuojarikkomuksen tapahtuneen.
Kaatui vain rahallinen seuraamus, ja sekin puhtaasti muotoseikkaan.
Mitä verkkoapteekki teki
Toukokuusta 2018 syyskuuhun 2022 Yliopiston Apteekin verkkokauppa käytti Googlen ja Metan seurantatekniikoita ilman asianmukaisia suojauksia. Asiakkaiden toiminta välittyi näille yhtiöille suoraan.
Mukana kulkivat IP-osoitteet, ostoskoriin lisätyt tuotteet ja ostonapin painallukset. Mukana kulkivat myös terveyteen liittyvät ostotiedot eli tieto siitä, mitä resepti- ja itsehoitolääkkeitä ihminen oli ostamassa.
Jos käyttäjä oli samaan aikaan kirjautuneena Googleen tai Facebookiin, nämä yhtiöt pystyivät yhdistämään ostotiedot suoraan tunnistettuun henkilöön. Apteekki lopetti seurannan syyskuussa 2022.
Lääkeostot kuuluvat tietosuoja-asetuksen kovimpaan suojaluokkaan eli terveyttä koskeviin erityisiin henkilötietoihin. Juuri siksi alkuperäinen seuraamuskollegio katsoi rikkomuksen vakavaksi. Tieto antibioottikuurista tai mielialalääkkeestä ei ole mainosalustan kauppatavaraa.
Seurantapikselit ja -evästeet
Verkkosivulle upotettu pieni koodinpätkä, joka raportoi käyttäjän toiminnan ulkopuoliselle yhtiölle kuten Googlelle tai Metalle. Terveyssivustolla se voi paljastaa, mitä lääkkeitä selaat tai ostat, ja jos olet samaan aikaan kirjautuneena palveluun, tiedot kytkeytyvät nimeesi.
Miksi sakko kaatui – ei syyttömyyteen
Ratkaisun ydin ei ole se, oliko apteekki syyllinen. Oikeus katsoi sen olleen.
Kyse oli toimivallasta. Tietosuojalain 24 §:n 4 momentin mukaan hallinnollista seuraamusmaksua ei voi määrätä itsenäisille julkisoikeudellisille laitoksille.
Yliopiston Apteekki kuuluu Helsingin yliopiston yhteyteen, joten sen oikeudellinen asema jäi tulkinnanvaraiseksi. Apteekki on toiminnaltaan tavallinen verkkokauppa, mutta omistuspohjaltaan se nojaa julkiseen yliopistoon. Seuraamuslainsäädäntöä on tulkittava suppeasti, ja epäselvässä tilanteessa se kääntyi yhtiön eduksi.
Sakko kaatui siis tekniikkaan, ei sisältöön. Rikkomus jäi voimaan, lasku ei.
Eikö tämä ole hieman kummallista? Yksityinen apteekki olisi todennäköisesti maksanut, mutta omistusrakenne pelasti tämän toimijan.
Anu Talus, tietosuojavaltuutettu, ei myöntänyt itse rikkomusta vähäisemmäksi. Talus vaatii lainsäädännön muuttamista niin, että seuraamusmaksut ulottuisivat myös julkisen sektorin toimijoihin.
– Lakiuudistus julkisen sektorin seuraamusmaksuista lisäisi yhdenmukaisuutta, yhdenvertaisuutta ja selkeyttä riippumatta siitä, minkä tyyppinen organisaatio on kyseessä, Talus toteaa.
Päätös ei ole lainvoimainen. Siihen voi hakea valituslupaa korkeimmalta hallinto-oikeudelta, eikä virasto ole tätä artikkelia kirjoitettaessa kertonut, aikooko se valittaa.
Mitä tehdä
Suomalaisten herkkiä lääkeostotietoja valui teknojäteille neljän vuoden ajan, eikä yksikään euro oikeastaan vaihtanut omistajaa. Itse seurantaa vastaan voi silti suojautua.
- Hylkää valinnaiset evästeet terveys- ja apteekkisivustoilla. Älä klikkaa refleksinomaisesti "Hyväksy kaikki evästeet".
- Pysy kirjautuneena ulos Googlesta ja Facebookista, kun selaat tai ostat lääkkeitä. Näin estät suoran tunnistamisen.
- Käytä selainta tai laajennusta, joka estää kolmannen osapuolen seurannan.
- Jos epäilet, että henkilötietojasi on käsitelty lainvastaisesti, tee ilmoitus tietosuojavaltuutetulle.
Aukko Suomen valvonnassa on nyt näkyvissä, ja sen paikkaaminen on lainsäätäjän käsissä. Korjataanko se ennen seuraavaa vastaavaa tapausta, jää nähtäväksi.