Trybunał Sprawiedliwości Unii Europejskiej w dniu 4 października 2024 r. w sprawie C-21/23 wydał istotny, choć dość niepomyślny dla administratorów wyrok dotyczący postrzegania danych osobowych zwykłych w kontekście możliwości wywiedzenia z nich danych osobowych szczególnych kategorii.
Trybunał Sprawiedliwości dokonał wykładni przepisów RODO odpowiadając na pytanie czy dane takie jak imię i nazwisko klienta, adres dostawy oraz informacje niezbędne do indywidualizacji zamawianego leku wydawanego jedynie w aptekach, które zostały podane przez klienta farmaceuty występującego jako sprzedawca na platformie internetowej podczas kupowania leków przez Internet, których sprzedaż jest zastrzeżona dla aptek, nawet wtedy gdy leki te nie wymagają recepty lekarskiej, stanowią dane dotyczące zdrowia w rozumieniu RODO.
Warto przypomnieć, że pojęcie „dane dotyczące zdrowia” z art. 9 ust. 1 RODO zostało zdefiniowane w art. 4 pkt 15 RODO i oznacza dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia. Definicja ta znajduje potwierdzenie w motywie 35 RODO.
Zasadniczym kryterium pozwalającym określić, czy mamy do czynienia z danymi dotyczącymi zdrowia, jest zdolność do sformułowania wniosków co do stanu zdrowia osoby, do której te dane się odnoszą. Istotnym jest również zrozumienie okoliczności związanych z ich przetwarzaniem.
Trybunał Sprawiedliwości w przedmiotowym wyroku z dnia 4 października 2024 r. orzekł, że przetwarzanie danych, które klient podaje na platformie internetowej przy zamawianiu produktów leczniczych, które są dostępne wyłącznie w aptekach, ale nie wymagają recepty, przez prowadzącego aptekę, która wprowadza do obrotu te produkty lecznicze za pośrednictwem tej platformy internetowej, należy uznać za przetwarzanie danych dotyczących zdrowia w rozumieniu art. 9 ust. 1 RODO.
Trybunał wskazał, że dane te dzięki intelektualnemu procesowi kojarzenia lub dedukcji umożliwiają ujawnienie informacji na temat stanu zdrowia zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Następuje ustalenie związku między tą osobą a lekiem, wskazaniami terapeutycznymi lub jego zastosowaniem. Nie ma przy tym zaznaczenia stan prawdopodobieństwa, który występuje w związku z brakiem recepty, a zatem to, czy leki są przeznaczone dla osoby dokonującej zamówienia, czy dla innej osoby.
Trybunał Sprawiedliwości podkreślił, że inne spojrzenie na powyższe, czyli dokonywanie rozróżnienia na rodzaj produktów leczniczych oraz wymagalność recepty lekarskiej byłoby sprzeczne z celem regulacji RODO jakim jest zapewnienie wysokiego poziomu ochrony.
W świetle powyższego sprzedawca będący administratorem w rozumieniu przepisów RODO jest zobowiązany do 1) informowania swoich klientów w sposób dokładny, pełny i zrozumiały o okolicznościach i celach przetwarzania danych osobowych pozyskiwanych w związku z dokonywanym zamówieniem oraz 2) uzyskania zgody na takie przetwarzanie danych jeśli w związku z ich pozyskaniem następuje przetwarzanie danych szczególnych kategorii (tak jak Trybunał uznał w rozpatrywanej sprawie, że sprzedaż produktów leczniczych podlegających wymogom aptecznym prowadzi do przetwarzania danych dotyczących zdrowia).
Warto również zwrócić uwagę, że Trybunał Sprawiedliwości nie uwzględnił opinii rzecznika generalnego Macieja Szpunara przedstawioną w dniu 25 kwietnia 2024 r. w sprawie C-21/23, który wskazał, że informacje co do stanu zdrowia danej osoby ujawniane przez rozpatrywane dane nie mogą stanowić jedynie przypuszczeń, hipotetycznych wniosków, lecz powinny dawać określony stopień pewności co do stanu zdrowia osoby składającej zamówienie. Rzecznik Generalny zwrócił uwagę, aby nie poddawać znacznej części operacji przetwarzania danych odnoszących się do handlu internetowego rygorom stawianym w art. 9 ust. 2 RODO. Musi bowiem istnieć pewny związek między kupnem towaru a tożsamością jego nabywcy. Ponadto znaczenie ma tożsamość administratora, a zatem dla podmiotu, który posiada stosowne kompetencje, aby zinterpretować posiadane dane lub dysponuje innymi danymi dotyczącymi tej osoby pozyskane dane mogą stanowić dane określonej kategorii, w przypadku, gdy dla innego, których tych kompetencji nie posiada – już nie.
W kontekście wydanego wyroku zasadnym zdaje się jednak postawić pytanie, czy taki proces kojarzenia danych osobowych nie będzie formułował zbyt daleko idących wniosków. Czy z różnych zamówień towarów dokonanych na platformach internetowych należy wywodzić dodatkowe informacje dotyczące aspektów wskazanych w kontekście danych osobowych szczególnych kategorii. Na pewno każdy proces przetwarzania należy rozpatrywać indywidualnie biorąc pod uwagę, w szczególności możliwość zidentyfikowania danej osoby, okoliczności zbierania i przetwarzania danych, a także tożsamość administratora. Jeśli uznamy, że z zakresu posiadanych danych możemy uzyskać informacje należące do szczególnych kategorii, musimy w tym procesie przetwarzania uwzględnić zwiększone ryzyko dla praw i wolności osoby, której dane dotyczą.
Źródło:
1.Komunikat prasowy nr 159/24: RODO: państwa członkowskie mogą przewidzieć możliwość kwestionowania przed sądem naruszenia ochrony danych osobowych jako zakazanej nieuczciwej praktyki handlowej przez konkurentów domniemanego sprawcy tego naruszenia (europa.eu).
2. Opinia Rzecznika Generalnego Macieja Szpunara przedstawiona w dniu 25 kwietnia 2024 r. wydana w sprawie C-21/23.
3. Wyrok Trybunału Sprawiedliwości Unii Europejskiej z dnia 4 października 2024 r. wydany w sprawie C-21/23.
