Helsingin hallinto-oikeus antoi 1.6.2026 päätöksen Yliopiston Apteekin tietosuoja-asiassa. Vaikka uutisointi keskittyi suurelta osin seuraamusmaksun peruuttamiseen apteekin julkisoikeudellisen aseman vuoksi, nostaa tapaus esiin tärkeitä käytännön kysymyksiä jokaiselle yritykselle, jolla on verkkosivusto tai verkkokauppa.
Tässä Dittmar & Indreniuksen markkinointi- ja tietosuojaosaajien nostot tapauksen opeista:
- Seurantateknologian, kuten evästeiden, avulla kerätyt tekniset tiedot voivat olla henkilötietoja, joten myös niiden siirrot palveluntarjoajille ovat henkilötietojen siirtoja
IP-osoitteet, laitetunnisteet ja URL-tiedot eivät sellaisenaan paljasta henkilöllisyyttä. Tilanne kuitenkin muuttuu, jos tietojen haltijalla on mahdollisuus yhdistää ne muualta keräämiinsä tietoihin ja siten tunnistaa käyttäjän. Mikäli käyttäjä on tällaisen yhdistämisen jälkeen tunnistettavissa, katsotaan tekniset tiedot henkilötiedoiksi ja niihin sovelletaan yleistä tietosuoja-asetusta. Hallinto-oikeuden päätös muistuttaa siitä, että esimerkiksi käyttäjä, joka on hyväksynyt vierailemallaan verkkosivustolla olevat evästeet tai muut seurantateknologiat sekä kirjautunut samanaikaisesti evästeteknologian tarjoavan palveluntarjoajan (kuten Googlen) käyttäjätilille, voi olla palveluntarjoajan tunnistettavissa. Arvioitaessa, onko kyse henkilötiedosta, ei kyse ole siten yksinomaan siitä, mitä tietoa verkkosivuston käytöstä siirtyy evästeiden kautta palveluntarjoajalle, vaan mitä kaikkea tietoa palveluntarjoajalla on yleisesti käytössään käyttäjästä. Tiedon luonne henkilötietona voi siten jopa vaihdella palveluntarjoajasta toiseen – ja rekisterinpitäjän tulee arvioida kuhunkin siirtoon liittyvät riskit erikseen ennalta. - Sivuston sisältö voi tehdä selailutiedoista erityisiä henkilötietoja, mikä lisää tietosuojatoimien laajuutta ja merkitystä
Hallinto-oikeus katsoi lääketuotteiden selailutietojen olevan terveystietoja jo yksinomaan siitä syystä, että katsellut tuotteet paljastavat seikkoja henkilön terveydentilasta. Ostamista ei pidetty edellytyksenä tällaisen päätelmän tekemiselle, vaan jo tuotesivuvierailu riittää. Samaa logiikkaa voi soveltaa myös muihin arkaluonteisiin aihealueisiin. Tietojen luonne erityisinä henkilötietoina voi olla ratkaisevaa arvioitaessa tietojen käsittelyn lainmukaisuutta sekä rekisterinpitäjän velvollisuuksia. - URL-osoitteet voivat olla tietosuojaongelma, joten verkkosivujen nimeäminen kannattaa tehdä harkiten
Yliopiston Apteekin URL-osoitteet sisälsivät lääkkeiden nimiä ja tuotekoodeja, jotka tallentuivat hallinto-oikeuden arvion mukaan tarpeettomasti lukuisten välijärjestelmien lokeihin. Tällaisten selkokielisten URL-osoitteiden käyttö saattaa siten lisätä ulkopuolisille päätyvien riskialttiiden tietojen määrää. Päätös korostaa yritysten tarvetta nimetä verkkosivut harkiten ja välttää sellaisia URL-osoitteita, jotka ovat tarpeettomasti sidoksissa verkkosivuston sisältöön. - Vastuuta evästeiden käytöstä ei voi ”ulkoistaa” käyttäjälle pyytämällä evästeiden käytölle suostumuksen
Hallinto-oikeus linjasi selkeästi, että rekisterinpitäjä on vastuussa henkilötietojen suojaamisesta valitessaan minkälaisia seurantapalveluja se ottaa käyttöön. Käyttäjän antamalla suostumuksella ei ole vaikutusta arvioitaessa evästeiden käytön luottamuksellisuutta tai turvallisuutta, eikä niiden avulla voi siten kiertää rekisterinpitäjän niihin liittyviä velvoitteita. - Sopimukset palveluntarjoajien kanssa eivät korvaa teknisiä toimenpiteitä, eikä pelkkä sopimuksen olemassaolo riitä
Hallinto-oikeus katsoi, että Yliopiston Apteekin solmimat tietojenkäsittelysopimukset eivät rajoittaneet tietojen käyttöä ainoastaan apteekin määrittelemiin tarkoituksiin. Tapaus on hyvä muistutus siitä, että palveluntarjoajan kanssa tehty tietojenkäsittelysopimuksen olemassaolo ei yksinään riitä täyttämään rekisterinpitäjän velvoitteita: sopimukset on muun muassa laadittava siten, että ne tosiasiallisesti rajoittavat tietojen käyttöä vain sovittuihin tarkoituksiin ja niiden tueksi on toteutettava asianmukaiset tekniset suojaustoimet.
Contact authors
