În cauza C-21/23, Curtea de Justiție a Uniunii Europene (CJUE), prin hotărârea din 4 octombrie 2024, a decis că datele aferente comenzilor pe internet din farmaciile online (numele, adresa de livrare, produsele achiziționate, etc) reprezintă date cu caracter special privind sănătatea. Conform GDPR, datele privind sănătatea au un regim special de prelucrare. Aceste categorii de date pot fi prelucrate doar în condiții extrem de stricte (de exemplu, atunci când există un interes public de prelucrare sau consimțământul explicit al persoanei). În mod normal, la o achiziție online obișnuită, un nume și o adresă de livrare nu sunt considerate date cu caracter special. Însă, conform opiniei CJUE, în contextul unei achiziții de medicamente online (chiar și în absența unei prescripții medicale), aceste date devin date cu caracter special (privind sănătatea) deoarece „permit să se tragă concluzii cu privire la starea de sănătate a unei persoane identificate sau identificabile”, iar noțiunea de date privind sănătatea trebuie interpretată într-un sens larg.
Te-ar putea interesa și:
CJUE este de părere că datele aferente comenzilor pe internet din farmaciile online (numele, prenumele, adresa și produsele comandate) constituie date cu caracter special deoarece, printr-o operațiune intelectuală de combinare sau de deducție, aceste date pot revela informații cu privire la starea de sănătate a persoanei vizate. Numele și adresa de livrare nu sunt, în sine, date cu caracter special, însă, în contextul unei comenzi online de medicamente sau alte produse, aceste date devin parte dintr-un set de date personale care, combinate, pot permite aflarea stării de sănătate a unei persoane. CJUE este de părere că aceste date aferente comenzilor online din farmacii trebuie tratate în ansamblu ca date cu caracter special privind sănătatea și nu izolat. Curtea subliniază că aceste date sunt date cu caracter special chiar și în absența unei prescripții medicale.
💡Îți place acest articol? Dacă da, atunci te invit să te abonezi la newsletterul meu pentru a primi o sinteză pe e-mail, de două ori pe lună. Abonarea este complet gratuită și te poți dezabona oricând. Abonează-te aici!
Care sunt implicațiile practice pentru farmaciile online?
Deciziile CJUE sunt obligatorii în toate statele membre, inclusiv în România deoarece fac corp comun cu norma interpretată[1]. Cu alte cuvinte, interpretările CJUE cu privire la dispozițiile GDPR completează aceste dispoziții, devenind obligatorii din punct de vedere juridic exact ca norma pe care o interpretează. Astfel, în lumina noii hotărâri CJUE, farmaciile care vând pe internet trebuie să trateze de acum înainte datele aferente comenzilor online ca date privind sănătatea. În practică, de acum înainte, farmaciile vor avea mai multe responsabilități legale. În primul rând, notele de informare trebuie să explice în mod clar că datele aferente comenzilor online reprezintă date privind sănătatea. În al doilea rând, farmaciile online trebuie să aleagă un temei potrivit de la art. 9 din GDPR pentru prelucrarea acestor date, deoarece temeiul contractului de la art. 6 din GDPR nu este suficient pentru prelucrarea datelor privind sănătatea. Cel mai adesea, farmaciile vor trebui să obțină consimțământul explicit al persoanelor pentru plasarea unei comenzi de medicamente. Pentru a fi valabil, acest consimțământ explicit trebuie obținut mai strict decât un consimțământ obișnuit (e.g. double opt-in) și nu poate fi obținut printr-o simplă bifă cu „sunt de acord”. Nu în ultimul rând, farmaciile vor trebui să implementeze măsuri tehnice și organizatorice mai stricte pentru a preveni divulgarea și accesul neautorizat la aceste date.
[1] Aceasta este și opinia CCR.
->> Ai nevoie de un KIT de documente GDPR pentru implementare? Atunci consultă produsul nostru aici!
->> Dorești să externalizezi implementarea GDPR către un profesionist? Atunci consultă oferta noastră de servicii de implementare GDPR & DPO!