Trybunał Sprawiedliwości Unii Europejskiej (TSUE) wydał wyrok mający istotne znaczenie w kontekście przetwarzania danych osobowych przez przedsiębiorców działających w branży e-commerce. Odnosi się on do przepisów RODO, w szczególności do konieczności uzyskania zgody na przetwarzanie danych osobowych oraz rozszerzenia definicji danych dotyczących zdrowia. Wyrok ten umożliwia także szerszy udział konkurencyjnych w stosunku do siebie przedsiębiorców w egzekwowaniu przepisów RODO.
TSUE uznał, że informacje o zakupie leków (nawet bez recepty) mogą być uznane za dane dotyczące zdrowia, a więc dane wrażliwe podlegające szczególnej ochronie na gruncie przepisów RODO. Dodatkowo, wyrok ten umożliwia szerszy udział konkurentów w egzekwowaniu przepisów RODO.
Przebieg sprawy
Jedna z niemieckich aptek pod nazwą handlową „Lindenapotheke” sprzedawała produkty lecznicze na platformie internetowej Amazon. Zamawiając produkty przez internet klienci musieli podać swoje dane takie jak – nazwisko, adres dostawy i informacje związane z produktami leczniczymi. Konkurent tej apteki uznał, że taki sposób sprzedaży narusza przepisy o ochronie danych osobowych. Wniósł powództwo o zaniechanie, pod rygorem grzywny, wprowadzania do obrotu na tej platformie produktów leczniczych zastrzeżonych dla aptek do momentu zagwarantowania, że klient będzie mógł wyrazić zgodę na przetwarzanie danych dotyczących zdrowia. Sprawa trafiła do niemieckiego sądu, a ten poprosił TSUE o odpowiedź na dwa pytania prejudycjalne.
Jakie pytania prejudycjalne zadał sąd?
- „Czy przepisy rozdziału VIII [RODO] stoją na przeszkodzie uregulowaniom krajowym, które – poza uprawnieniami interwencyjnymi organów nadzorczych właściwych w zakresie monitorowania i wykonywania tego rozporządzenia oraz możliwościami ochrony osób, których dane dotyczą – przyznają konkurentom prawo do występowania przeciwko sprawcy w drodze powództwa do sądu cywilnego z powodu naruszenia wspomnianego rozporządzenia w aspekcie zakazu stosowania nieuczciwych praktyk handlowych?”
- „Czy dane, które klienci farmaceuty występującego jako sprzedawca na platformie sprzedaży internetowej wprowadzają na stronie tej platformy przy zamawianiu leków wydawanych wprawdzie jedynie w aptekach, ale niebędących lekami na receptę (nazwisko klienta, adres dostawy oraz informacje niezbędne do indywidualizacji zamawianego leku wydawanego jedynie w aptekach), są danymi dotyczącymi zdrowia w rozumieniu art. 9 ust. 1 [RODO] oraz art. 8 ust. 1 dyrektywy 95/46?”
Dlaczego zadano takie pytania prejudycjalne?
Przez pytanie pierwsze sąd odsyłający chce ustalić czy oprócz osób, których dane dotyczą, także podmiot konkurencyjny może wnieść pozew cywilny w związku z nieuczciwymi praktykami dotyczącymi danych osobowych.
Zadając pytanie drugie sąd dąży do ustalenia czy dane, które podaje klient zamawiając lek, są danymi wrażliwymi podlegającymi szczególnej ochronie zgodnie z RODO.
Odpowiedź TSUE na pytania prejudycjalne
Na pytanie pierwsze TSUE odpowiedziało, że rozdział VIII RODO nie stoi na przeszkodzie, aby przyznać konkurentom domniemanego sprawcy naruszenia ochrony danych osobowych prawa do występowania przeciwko niemu z powodu naruszenia rozporządzenia i w aspekcie zakazu stosowania nieuczciwych praktyk handlowych. Argumentem za tą decyzją są cele RODO, który (jak wynika z motywu 10) zmierza do zapewnienia spójnego i wysokiego stopnia poziomu ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz do usunięcia przeszkód w przepływie tych danych w Unii.
Odpowiadając na pytanie drugie TSUE postanowił, że zgodnie z art. 8 ust. 1 dyrektywy 95/46 i art. 9 ust. 1 RODO, w sytuacji, gdy prowadzący aptekę wprowadza do obrotu, za pośrednictwem platformy internetowej, produkty lecznicze, których sprzedaż jest zastrzeżona dla aptek, informacje podawane przez klientów przy zamówieniu produktów leczniczych przez Internet (takie jak ich nazwisko, adres dostawy i elementy niezbędne do indywidualizacji produktów leczniczych) stanowią dane dotyczące zdrowia w rozumieniu tych przepisów, nawet jeśli sprzedaż tych produktów leczniczych nie wymaga recepty. Taką decyzję TSUE uzasadnia tym, że wykaz szczególnej kategorii danych osobowych zamieszczono właśnie w tych artykułach i znajdują się w nich dane dotyczące zdrowia. Obejmują one zgodnie z art. 4 pkt 15 RODO:
„„dane dotyczące zdrowia” oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia”
Mogą one ujawniać informacje o przeszłym, obecnym lub przyszłym stanie zdrowia osoby fizycznej, co potwierdza motyw 35 RODO:
„Do danych osobowych dotyczących zdrowia należy zaliczyć wszystkie dane o stanie zdrowia osoby, której dane dotyczą, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia osoby, której dane dotyczą.”
Dane dotyczące zdrowia są szczególną kategorią danych, które podlegają szczególnej ochronie zgodnie z motywem 51 RODO, który wskazuje, że:
„Dane osobowe, które z racji swego charakteru są szczególnie wrażliwe w świetle podstawowych praw i wolności, wymagają szczególnej ochrony, gdyż kontekst ich przetwarzania może powodować poważne ryzyko dla podstawowych praw i wolności.”
Komunikat Głównego Inspektoratu Farmaceutycznego (GIF)
Zdaniem GIF wyrok ten może istotnie wpłynąć na branżę e-commerce. Mając na uwadze „rozszerzenie definicji” danych dotyczących zdrowia przez TSUE, apteki prowadzące sprzedaż wysyłkową powinny rozważyć dokonanie ewaluacji stosowanych dotychczas procedur w tym obszarze.
Dodatkowo, GIF podkreśla, że może być konieczna zmiana przez tego typu przedsiębiorców m.in. w zakresie:
- treści klauzul niedozwolonych (wyświetlanych na stronie sklepu przy składaniu zamówienia)
- uzyskanie zgody klienta zamawiającego leki, na przetwarzanie danych osobowych
- dokumentacji dotyczącej ochrony danych osobowych
Wyrok TSUE oznacza większe ryzyko dotyczące przetwarzania danych osobowych i może mieć wpływ na przedsiębiorców, dlatego warto być świadomym tego ryzyka w zakresie prowadzenia działalności.
Podsumowanie
TSUE uznał, że informacje o zakupie leków (nawet bez recepty) mogą być uznane za dane dotyczące zdrowia, a więc dane wrażliwe podlegające szczególnej ochronie na gruncie przepisów RODO. Dodatkowo, wyrok ten umożliwia szerszy udział konkurentów w egzekwowaniu przepisów RODO.
GIF wskazał, że apteki prowadzące sprzedaż wysyłkową powinny przeanalizować i dostosować procedury przetwarzania danych osobowych.
W związku z orzeczeniem TSUE oraz komentarzem GIF, apteki internetowe znalazły się w sytuacji wymagającej natychmiastowej analizy swoich praktyk przetwarzania danych. Brak działania w tym zakresie może wiązać się z ryzykiem naruszenia przepisów RODO i potencjalnymi konsekwencjami finansowymi i prawnymi.
Apteki internetowe powinny:
- przeprowadzić audyt strony internetowej pod kątem klauzul niedozwolonych (wyświetlanych podczas składania zamówienia)
- zapewnić mechanizm uzyskiwania wyraźnej zgody klienta zamawiającego leki, na przetwarzanie danych osobowych (np. w formie checkboxa)
- zaktualizować dokumentację dotyczącą ochrony danych osobowych (np. politykę prywatności)
Sankcje finansowe za naruszanie przepisów RODO
Naruszenia przepisów dotyczących kwestii RODO podlegają karze pieniężnej w wysokości do 20 milionów euro, a w przypadku przedsiębiorstwa – do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Kontrole UODO w 2025 r.
Podmioty przetwarzające dane o stanie zdrowia są objęte planem kontroli sektorowych Urzędu Ochrony Danych Osobowych (UODO) w 2025 r.
