Główny Inspektor Farmaceutyczny (GIF) opublikował 30 stycznia 2025 r. komunikat dotyczący przetwarzania danych osobowych przez apteki internetowe. To efekt wyroku Trybunału Sprawiedliwości Unii Europejskiej (TSUE) w sprawie C-21/23 Lindenapotheke, wydanego 4 października 2024 r. Decyzja ta rozszerza interpretację danych zdrowotnych w kontekście RODO, co oznacza, że przedsiębiorcy prowadzący apteki internetowe powinni dostosować swoje procedury do nowych wymogów prawnych.
Nazwisko i adres dostawy jako dane zdrowotne? Przełomowy wyrok TSUE
Trybunał Sprawiedliwości UE uznał, że dane wprowadzane przez klientów aptek internetowych podczas zakupu leków – nawet tych bez recepty – mogą być traktowane jako dane dotyczące zdrowia w rozumieniu art. 9 ust. 1 RODO. Oznacza to, że nazwisko, adres dostawy i informacje niezbędne do identyfikacji produktu leczniczego mogą podlegać zaostrzonym wymogom dotyczącym przetwarzania danych wrażliwych.
To kluczowa zmiana, ponieważ TSUE rozszerzył definicję danych zdrowotnych, sugerując, że samo prawdopodobieństwo powiązania leku z konkretną osobą wystarczy do objęcia danych szczególną ochroną.
Jakie zmiany muszą wprowadzić apteki internetowe?
W związku z wyrokiem TSUE, Główny Inspektor Farmaceutyczny zaleca aptekom internetowym dokonanie pilnej rewizji swoich procedur dotyczących ochrony danych osobowych. W szczególności należy zwrócić uwagę na:
- Treść klauzul informacyjnych – powinny one jasno informować klientów, że ich dane mogą być traktowane jako wrażliwe i przetwarzane zgodnie z surowszymi zasadami RODO.
- Zgody na przetwarzanie danych – wymagane może być uzyskanie wyraźnej zgody klientów na przetwarzanie ich danych zdrowotnych. Może to oznaczać konieczność modyfikacji formularzy zamówień.
- Dokumentacja RODO – firmy prowadzące sprzedaż leków online powinny zaktualizować swoje polityki prywatności oraz rejestry czynności przetwarzania danych.
Źródło:
- GIF
