Obowiązki aptek sprzedających leki w systemie e-commerce – przetwarzanie danych osobowych.
W związku wydanym przez TSUE wyrokiem w sprawie C-21/23 Lindenapotheke Główny Inspektor Farmaceutyczny wydał komunikat w sprawie konieczności weryfikacji zasad przetwarzania danych osobowych klientów przez apteki sprzedające leki w systemie e-commerce.
We wskazanej sprawie TSUE orzekł, iż jeżeli apteka wprowadza do obrotu produkty lecznicze za pośrednictwem platformy internetowej, to dane wprowadzane przez klientów przy zamówieniu takie jak: imię i nazwisko, adres dostawy, elementy niezbędne do indywidualizacji zamówienia leku, stanowią dane dotyczące zdrowia w rozumieniu RODO, nawet jeśli sprzedaż tych produktów leczniczych nie wymaga recepty.
TSUE zwrócił uwagę, że wśród szczególnych kategorii danych osobowych znajdują się dane dotyczące zdrowia. Obejmują one wszystkie dane osobowe ujawniające informacje o przeszłym, obecnym lub przyszłym stanie zdrowia fizycznego lub psychicznego osoby fizycznej, w tym dane dotyczące świadczenia na rzecz tej osoby usług opieki zdrowotnej.
Ponadto Trybunał wskazał, iż zgodnie z RODO „dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, i że do możliwości zidentyfikowania wystarczy, że osobę, której dane dotyczą, można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Zatem w przypadku, gdy dane dotyczące zakupów produktów leczniczych pozwalają na wyciągnięcie wniosków co do stanu zdrowia zidentyfikowanej lub możliwej do zidentyfikowania osoby, dane te należy uznać za dane dotyczące zdrowia.
Jeżeli klienci przy zamawianiu przez Internet produktów leczniczych, których sprzedaż jest zastrzeżona dla aptek, wprowadzają informacje takie jak ich nazwisko, adres dostawy i informacje indywidualizujące produkty lecznicze, to takie informacje niewątpliwie stanowią „dane osobowe”, ponieważ odnoszą się do zidentyfikowanych lub możliwych do zidentyfikowania osób fizycznych.
Dalej TSUE wskazał, iż w tych okolicznościach należy ustalić, czy takie dane mogą ujawnić informacje o stanie zdrowia osób zamawiających leki i czy w konsekwencji stanowią one dane dotyczące zdrowia. W tym względzie Trybunał orzekł już, iż w świetle celu dyrektywy 95/46 i RODO, jakim jest zagwarantowanie wysokiego poziomu ochrony podstawowych praw i wolności osób fizycznych, a zwłaszcza ich życia prywatnego, w zakresie przetwarzania danych osobowych, które ich dotyczą, pojęcie „danych dotyczących zdrowia”, o którym mowa w art. 9 ust. 1 tego rozporządzenia, które odpowiada pojęciu „danych dotyczących zdrowia”, o którym mowa w art. 8 ust. 1 tej dyrektywy, należy interpretować szeroko (zob. podobnie wyroki: z dnia 6 listopada 2003 r., Lindqvist, C‑101/01, EU:C:2003:596, pkt 50; z dnia 1 sierpnia 2022 r. Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, pkt 125). Trybunał podkreślił, iż w szczególności przepisów tych nie można interpretować w ten sposób, że przetwarzanie danych osobowych, które może ujawnić w sposób pośredni szczególnie chronione informacje dotyczące osoby fizycznej, jest wyłączone spod ustanowionego w tych przepisach wzmocnionego systemu ochrony, chyba że naruszałoby skuteczność tego systemu i podważało ochronę podstawowych praw i wolności osób fizycznych, które ma on zapewnić (wyrok z dnia 1 sierpnia 2022 r., Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, pkt 127). W związku z tym, aby dane osobowe mogły zostać uznane za dane dotyczące zdrowia wystarczy, że mogą one wskazywać, poprzez intelektualną operację kojarzenia lub dedukcji, na informacje dotyczące stanu zdrowia osoby, której dane dotyczą (zob. podobnie wyrok z dnia 1 sierpnia 2022 r., Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, pkt 123).
Otóż dane, które klient wprowadza na platformie internetowej przy zamawianiu produktów leczniczych, których sprzedaż jest zastrzeżona dla aptek – w zakresie, w jakim zamówienie to wiąże się z ustaleniem związku między produktem leczniczym, wskazaniami leczniczymi, wskazaniami co do jego stosowania a osobą fizyczną zidentyfikowaną lub możliwą do zidentyfikowania za pomocą informacji takich jak jej nazwisko lub adres dostawy – mogą wskazywać, poprzez intelektualną operację kojarzenia lub dedukcji, na informacje dotyczące stanu zdrowia osoby, której dane dotyczą.
Rozważając czy okoliczność, że sprzedaż zamówionych produktów leczniczych nie wymaga recepty, ponieważ w takim przypadku produkty te mogą nie być przeznaczone dla klienta składającego zamówienie, lecz dla osób trzecich ma znaczenie TSUE wskazał, iż do celów stosowania art. 8 ust. 1 dyrektywy 95/46 i art. 9 ust. 1 RODO w przypadku przetwarzania danych osobowych przez prowadzącego aptekę w ramach działalności prowadzonej za pośrednictwem platformy internetowej należy sprawdzić, czy takie dane umożliwiają ujawnienie informacji należących do jednej z kategorii określonych w tych przepisach, niezależnie od tego, czy informacje te dotyczą użytkownika tej platformy, czy jakiejkolwiek innej osoby fizycznej. W przypadku udzielenia odpowiedzi twierdzącej takie przetwarzanie danych osobowych będzie w konsekwencji zakazane, z zastrzeżeniem odstępstw przewidzianych w ustępach 2 wspomnianych przepisów]. Ten mający co do zasady zastosowanie zakaz obowiązuje niezależnie od tego, czy informacja ujawniona w wyniku danego przetwarzania jest prawdziwa i czy ów prowadzący aptekę działa w celu uzyskania informacji należących do jednej ze szczególnych kategorii, o których mowa w art. 8 ust. 1 dyrektywy 95/46 i art. 9 ust. 1 RODO. Biorąc bowiem pod uwagę poważne zagrożenia dla podstawowych wolności i praw podstawowych osób, których dane dotyczą, a które to zagrożenia wynikają z przetwarzania danych osobowych należących do tych kategorii, wspomniane przepisy mają na celu zakazanie tego rodzaju przetwarzania, niezależnie od jego zadeklarowanego celu i prawdziwości rozpatrywanych informacji. Podobne stanowisko zajął TSUE w wyroku z 4 lipca 2023 r., Meta Platforms i in., C‑252/21, EU:C:2023:537, pkt 69, 70.
W przypadku gdy użytkownik platformy internetowej przekazuje dane osobowe przy zamawianiu produktów leczniczych, których sprzedaż jest zastrzeżona dla aptek i które nie wymagają recepty, przetwarzanie tych danych przez prowadzącego aptekę, który sprzedaje te produkty lecznicze za pośrednictwem tej platformy internetowej, należy uznać za przetwarzanie danych dotyczących zdrowia, ponieważ takie przetwarzanie danych może ujawniać informacje dotyczące stanu zdrowia osoby fizycznej, niezależnie od tego, czy informacje te dotyczą owego użytkownika, czy jakiejkolwiek innej osoby fizycznej, dla której składa on zamówienie. W związku z tym informacje, które klienci prowadzącego aptekę wprowadzają przy zamawianiu przez Internet produktów leczniczych, których sprzedaż jest zastrzeżona dla aptek i nie wymaga recepty, stanowią dane dotyczące zdrowia w rozumieniu art. 8 ust. 1 dyrektywy 95/46 i art. 9 ust. 1 RODO, nawet jeśli istnieje tylko pewne prawdopodobieństwo, a nie z całkowita pewność, że owe produkty lecznicze są przeznaczone dla tych klientów. Ponadto nie można wykluczyć, że nawet w przypadku, gdy takie produkty lecznicze są przeznaczone dla osób innych niż klienci, możliwe będzie zidentyfikowanie tych osób i wyciągnięcie wniosków co do ich stanu zdrowia. Może tak być na przykład w przypadku, gdy dane produkty lecznicze dostarczane są nie do miejsca zamieszkania klienta, który je zamówił, lecz do miejsca zamieszkania innej osoby, lub gdy, niezależnie od adresu dostawy, klient odniósł się w swoim zamówieniu lub w informacjach dotyczących dostawy do innej możliwej do zidentyfikowania osoby, takiej jak członek jego rodziny. Podobnie, gdy zamówienie wymaga identyfikacji lub rejestracji klienta, na przykład poprzez utworzenie konta klienta lub jego przystąpienie do programu lojalnościowego, nie jest wykluczone, że informacje wprowadzone przez klienta w tym kontekście można by wykorzystać do wyciągnięcia wniosków nie tylko co do stanu zdrowia tego klienta, lecz również co do stanu zdrowia innej osoby, w szczególności w związku z informacjami dotyczącymi zamówionych produktów leczniczych.
Fakt, że informacje stanowią dane dotyczące zdrowia nie stoi na przeszkodzie przetwarzaniu tych informacji, w szczególności w ramach zarządzania usługami i systemami opieki zdrowotnej, o ile spełniony jest jeden z warunków przetwarzania danych. Dane mogą być przetwarzane, jeżeli osoba, której dane dotyczą, udzieli wyraźnej zgody na co najmniej jedno przetwarzanie tych danych osobowych, którego szczególne cechy i cele zostały jej przedstawione w dokładny, kompletny i łatwy do zrozumienia sposób. Ponadto takie przetwarzanie może być dopuszczalne, jeżeli jest ono niezbędne do celów zapewnienia opieki zdrowotnej na podstawie prawa Unii, prawa państwa członkowskiego lub zgodnie z umową zawartą z pracownikiem służby zdrowia.
Podsumowując apteka prowadząca sprzedaż wysyłkową leków powinna wdrożyć procedury umożliwiające pacjentowi wyrażenie zgody na przetwarzanie przez aptekę danych pacjenta dotyczących zdrowia, nawet wówczas, jeśli do faktycznej sprzedaży leku przez platformę nie dochodzi a są one jedynie zamawiane celem fizycznego odbioru w aptece lub w przypadku leków dostępnych bez recepty.