Tietosuojavaltuutetun toimisto (Dataombudsmannens byrå) har utfärdat en sanktionsavgift på 1,1 miljoner euro mot nätapoteket Yliopiston Apteekki för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att Dataombudsmannens byrå inlett en utredning av Yliopiston Apteekkis förfaranden efter att ha kontaktats av en doktorand vid Åbo universitet. Nätapotekens dataskyddsproblem framgick av en avhandling där verksamheten hos nättjänster inom hälsobranschen undersöktes genom nättrafikanalys. Dataombudsmannens byrå utreder även motsvarande brister vid flera andra apotek.
I Dataombudsmannens byrås utredning upptäcktes att Yliopiston Apteekki använt cookies och andra spårningstekniker i sitt nätapotek vilket inneburit att att uppgifter om ärenden som skötts vid apoteket och som gällde receptbelagda läkemedel och egenvårdsläkemedel förmedlats direkt till exempelvis Google och Meta. Bland annat överfördes uppgifter om att en kund exempelvis lagt till ett visst läkemedel i kundvagnen och klickat på beställningsknappen till dessa leverantörer. I fråga om besökarna på webbplatsen förmedlades även till exempel ip-adresser och andra identifikationsuppgifter, som kan användas för att identifiera en enskild användare. Om kunden skötte ärenden i nätapoteket och samtidigt var inloggad exempelvis på sitt Google- eller Facebook-konto, kunde Google eller Meta direkt identifiera kunden.
Mot denna bakgrund konstaterade Dataombudsmannens byrå överträdelser av artiklarna 5.1 (a), (c), (f), 9, 25, 32.1 och 32.2 GDPR.