Nowe zasady przetwarzania danych osobowych przez apteki internetowe

W dniu 4 października 2024 roku Trybunał Sprawiedliwości UE wydał wyrok w sprawie C-21/23, który  będzie miał istotny wpływ na przedsiębiorców z branży e-commerce, w szczególności na apteki prowadzące sprzedaż przez Internet. Trybunał uznał, że wprowadzane w procesie zamawiania leków przez Internet informacje niezbędne do realizacji zamówienia, takie jak imię i nazwisko, adres dostawy oraz elementy niezbędne do indywidualizacji produktów leczniczych, stanowią „dane dotyczące zdrowia” w rozumieniu przepisów rozporządzenia RODO, nawet jeżeli sprzedaż nie dotyczy produktów leczniczych na receptę.

Okoliczności wydanego orzeczenia

Trybunał rozpoznawał sprawę na skutek wniosku o wydanie orzeczenia w trybie prejudycjalnym złożonego przez Federalny Trybunał Sprawiedliwości w Niemczech. Spór przed sądami niemieckimi rozpoczął się od pozwu złożonego przez właściciela apteki internetowej, który domagał się nakazania swojemu konkurentowi, prowadzącemu sprzedaż produktów leczniczych na platformie handlowej, zaprzestania wprowadzania do obrotu produktów leczniczych, których sprzedaż jest zastrzeżona dla aptek, dopóki nie zostanie zagwarantowane, że klient może wyrazić uprzednią zgodę na przetwarzanie jego danych dotyczących zdrowia. W ocenie powoda wprowadzanie do obrotu na platformie sprzedażowej produktów leczniczych, których sprzedaż jest zastrzeżona dla aptek, było nieuczciwe ze względu na nieprzestrzeganie wymogów prawnych dotyczących uzyskania zgody klienta wymaganych przez przepisy o ochronie danych osobowych. Warto zaznaczyć, że w ramach procesu zamawiania klienci podawali jedynie imię i nazwisko, adres dostawy oraz elementy niezbędne do indywidualizacji tych produktów leczniczych.

Sąd pierwszej instancji uwzględnił powództwo, a apelacja została oddalona. Sąd apelacyjny uznał, że wprowadzanie do obrotu na platformie handlowej produktów leczniczych, których sprzedaż jest zastrzeżona dla aptek, stanowi nieuczciwą praktykę, a zatem niezgodną z niemieckim prawem. W ocenie sądu takie wprowadzanie do obrotu produktów leczniczych prowadzi do przetwarzania danych dotyczących zdrowia, które jest zakazane na mocy art. 9 ust. 1 RODO, w braku wyraźnej zgody klientów nabywających produkty lecznicze.

Pytanie prejudycjalne

W związku z oddaleniem apelacji pozwany sprzedawca wniósł skargę kasacyjną do Federalnego Trybunału Sprawiedliwości (Bundesgerichtshof), który uznał, że rozstrzygnięcie sporu zależy od wykładni przepisów rozporządzenia RODO oraz dyrektywy 95/46 i w konsekwencji zadał pytanie prejudycjalne do TSUE: czy dane klientów farmaceuty przekazane podczas składania zamówienia na platformie sprzedaży internetowej leków bez recepty stanowią dane dotyczące zdrowia, czy są tym samym szczególną kategorią danych osobowych wrażliwych w rozumieniu RODO?

Niemiecki sąd zwrócił się również do Trybunału o rozstrzygnięcie, czy przepisy rozporządzenia RODO stoją na przeszkodzie uregulowaniom krajowym, które przyznają konkurentom prawo do występowania przeciwko sprawcy w drodze powództwa do sądu cywilnego z powodu naruszenia ogólnego rozporządzenia o ochronie danych w aspekcie zakazu stosowania nieuczciwych praktyk handlowych?

Orzeczenie TSUE

Odpowiadając na zadane pytania prejudycjalne, Trybunał orzekł, że informacje, które klienci wprowadzają przy zamawianiu produktów leczniczych przez Internet, takie jak ich imię i nazwisko, adres dostawy oraz elementy niezbędne do indywidualizacji produktów leczniczych, stanowią dane dotyczące zdrowia w rozumieniu tych przepisów, nawet jeżeli sprzedaż tych produktów leczniczych nie odbywa się na receptę lekarską.

Trybunał zaznaczył, że w okolicznościach sprawy należy ustalić, czy wskazywane w zamówieniu dane mogą ujawnić informacje o stanie zdrowia zamawiających i w konsekwencji stanowią dane dotyczące ich zdrowia w rozumieniu art. 9 rozporządzenia RODO. W ocenie Trybunału pojęcie „danych dotyczących zdrowia” należy interpretować szeroko, gdyż celem przepisów dotyczących tej kategorii danych jest zapewnienie wysokiego poziomu ochrony podstawowych praw i wolności osób fizycznych, w szczególności ich prywatności.

W ocenie Trybunału, aby dane osobowe mogły zostać zakwalifikowane jako dane dotyczące zdrowia w rozumieniu przepisów RODO, wystarczy, aby były one w stanie ujawnić, za pomocą intelektualnej operacji uzgadniania lub dedukcji, informacje o stanie zdrowia osoby, której dane dotyczą. Tym samym przetwarzanie danych osobowych, które mogą pośrednio ujawnić informacje szczególnie chronione dotyczące osoby fizycznej, nie powinny być wyłączone ze wzmocnionego systemu ochrony przewidzianego w tych przepisach dla szczególnej kategorii danych.

Decyzja TSUE może wydawać się kontrowersyjna. Już niemiecki sąd przekazujący pytanie prejudycjalne zwrócił uwagę, że odpowiedź na to pytanie nie jest oczywista, w sytuacji, gdy zamówione produkty lecznicze nie są wydawane na receptę lekarską i nie można wykluczyć sytuacji, że te produkty lecznicze będą przeznaczone nie dla samych klientów, lecz dla osób trzecich, które nie będą możliwe do zidentyfikowania.

Warto zwrócić uwagę, że w swojej opinii dotyczącej rozpatrywanej sprawy, Rzecznik Generalny Trybunału Sprawiedliwości UE Maciej Szpunar uznał, że wskazane dane nie stanowią „danych dotyczących zdrowia” klientów internetowej apteki, gdyż nie pozwalają na ustalenie ich stanu zdrowia. Rzecznik uzasadniał m.in., że osoba kupująca takie leki przez Internet nie zawsze będzie ich używać, a czasami zamawia je zapobiegawczo, na wszelki wypadek nie wykazując żadnych dolegliwości.

Odpowiadając na drugie z zadanych pytań, Trybunał rozstrzygnął, że przepisy rozporządzenia RODO należy interpretować w ten sposób, że nie stoją one na przeszkodzie przepisom krajowym, które przyznają konkurentom domniemanego naruszyciela ochrony danych osobowych legitymację procesową do wytoczenia przeciwko niemu powództwa przed sądami cywilnymi z tytułu naruszeń tego rozporządzenia i na podstawie zakazu nieuczciwych praktyk handlowych. Oznacza to dodatkowe ryzyko dla przedsiębiorców. Oprócz bowiem, odpowiedzialności przed organem nadzorczym z tytułu naruszenia zasad przetwarzania danych osobowych, firmy mogą w takim przypadku stanąć w obliczu pozwów ze strony swoich konkurentów.

Skutki wyroku

Wyrok Trybunału będzie miał niewątpliwie istotne konsekwencje dla aptek internetowych i platform handlu elektronicznego. TSUE znacznie „rozszerzył definicję” danych dotyczących zdrowia w ramach RODO uznając za takie również dane gromadzone podczas zamówień w aptekach internetowych – imię i nazwisko klienta, adres dostawy i informacje niezbędne do indywidualizacji produktów leczniczych (nawet w przypadku leków bez recepty).

W konsekwencji podmioty sprzedające leki przez Internet będą przetwarzać „szczególne kategorie danych osobowych” swoich klientów – dane o zdrowiu, co oznacza konieczność podjęcia szeregu działań, w tym w szczególności: wprowadzenia bardziej rygorystycznych środków bezpieczeństwa przetwarzania danych osobowych (technicznych i organizacyjnych), uzyskania wyraźnej zgody klientów zamawiających leki na przetwarzanie ich danych osobowych o zdrowiu, dokonania przeglądu i aktualizacja dokumentacji dotyczącej ochrony danych osobowych, w celu zapewnienia przejrzystości w zakresie gromadzenia, wykorzystywania i ochrony danych zdrowotnych, a także szeregu innych obowiązków. Oznacza to większe ryzyko po stronie przedsiębiorców związane z przetwarzaniem danych osobowych i potencjalnie surowsza odpowiedzialność w przypadku naruszenia danych osobowych.

Podsumowanie

Wyrok TSUE ma istotne konsekwencje dla sektora handlu elektronicznego, w szczególności aptek internetowych oraz podmiotów działających na platformach handlowych. Szeroka definicja „danych zdrowotnych” oraz „przyzwolenie” dla pozwów przeciwko konkurencji opartych na naruszeniach RODO w kontekście nieuczciwych praktyk rynkowych, będą wymagać zmiany podejścia przedsiębiorców oraz uwzględnienia nowego ryzyka w zakresie prowadzonej działalności.