SDEU řešil a možná trochu překvapivě odpověděl ANO na otázku: “zda informace, které zákazník zadává při objednávce léčivých přípravků (jméno, adresa dodání nebo informace k individualizaci léčivých přípravků), které provozovatel online lékárny prodává prostřednictvím online platforem, jsou údaje o zdravotním stavu ve smyslu GDPR”
Podle SDEU platí:
Pojem “osobní údaje” se vztahuje na veškeré informace o identifikované nebo identifikovatelné osobě. Aby byla osoba “identifikovatelná” stačí, že ji lze přímo či nepřímo identifikovat, zejména s odkazem na určitý identifikátor, např. jméno, lokační údaje, síťový identifikátor apod. Osobní údaje, které jsou svou povahou obzvláště citlivé z hlediska základních práv a svobod zasluhují zvláštní ochranu.
Údaje o zdravotním stavu jsou všechny osobní údaje, které vypovídají o minulém, současném či budoucím tělesním nebo duševním zdraví subjektu údajů, včetně údajů o poskytnutí zdravotních služeb. Pojem “údaje o zdravotním stavu” musí být vykládán široce, aby osobní údaje mohly být považovány za zdravotní údaje (resp. údaje o zdravotním stavu), stačí, aby byly takové, že na základě myšlenkového pochodu spočívajícího v dedukci nebo spojení souvislostí umožňují odhalit informace o zdravotním stavu subjektu údajů.
Co z toho plyne pro online lékárny?
Při nákupu v online lékárně musí zákazník zadat informace, jako je jméno, adresa dodání a prvky individualizující léčivé přípravky. Takové informace jsou nepochybně osobními údaji, protože se týkají identifikovaných nebo identifikovatelných fyzických osob. Lze je považovat ale i za údaje o zdravotním stavu? Dle závěru SDEU - ANO.
Tyto zadávané údaje totiž umožňují prostřednictvím myšlenkového pochodu spočívajícího v dedukci nebo spojení souvislostí odhalit informace o zdravotním stavu subjektu údajů ve smyslu GDPR. Při objednávce je totiž vytvářena spojitost mezi léčivým přípravkem, jeho léčebnými indikacemi nebo použitím a fyzickou osobou identifikovanou nebo identifikovatelnou takovými skutečnostmi, jako je jméno této osoby nebo adresa dodání.
Je relevantní, jestli jde o prodej léku na předpis, nebo ne?
NE. SDEU to odůvodňuje tak, že pokud by mělo být rozlišováno zpracování osobních údajů dle druhu dotčených léčivých přípravků, nebylo by to v souladu s cílem vysoké úrovně ochrany poskytované údajům o zdraví.
Co když osoba nakupuje pro někoho jiného?
Jak kvalifikovat objednávkové osobní údaje, když osoba objednává léčivý přípravek (dostupný i bez předpisu) pro někoho jiného než pro sebe? I na toto SDEU odpověděl: TO NENÍ ROZHODUJÍCÍ.
Informace, které osoba při nákupu zadává, totiž představují údaje o zdravotním stavu, i když je pouze pravděpodobné, a nikoli absolutně jisté, že jsou tyto léčivé přípravky určeny těmto zákazníkům. Navíc, i v případě, že jsou léčivé přípravky objednávány pro třetí osobu, může dojít k její identifikaci a vyvození závěrů o jejím zdravotním stavu. Zákazník může např. zvolit jako adresu dodání adresu této třetí osoby, nebo sám během objednávky (nebo v související komunikaci) zmíní její totožnost. Typicky může jít o člena rodiny.
To stejné platí i v případech, kdy objednávka vyžaduje registraci zákazníka. Například vytvořením zákaznického účtu nebo zapojením do věrnostního programu nelze vyloučit, že informace zadané zákazníkem v této souvislosti mohou být použity k vyvození závěrů nejen o zdravotním stavu zákazníka, ale i jiné osoby, zejména v kombinaci s informacemi o objednaných léčivých přípravcích.
Znamená to, že online lékárny teď nesmí údaje o zdravotním stavu vůbec zpracovávat?
Z rozsudku určitě nevyplývá, že by online lékárny nesměly (zejména v rámci správy zdravotnických služeb a systémů) zdravotní údaje zpracovávat. Naopak uvádí, za jakých okolností může být zpracování přípustné.
Tomu může být například v případě, že osobní údaje budou zpracovávány na základě čl. 9 odst. 2 písm. h) GDPR - pokud bude zpracování nezbytné pro účely zdravotní péče na základě unijního práva, práva členského státu nebo na základě smlouvy uzavřené se zdravotnickým pracovníkem. Tedy, pokud budou údaje zpracovány čistě pro nákup léčivých přípravků.
A dále, pokud zákazník udělí svůj výslovný souhlas s jednou či více operacemi zpracování.
Přitom charakteristika těchto operací a konkrétní účel zpracování musí být zákazníkovi předloženy přesným, úplným a snadno srozumitelným způsobem. Otázkou však je, jak by měl takový výslovný souhlas udělený online lékárně vypadat, co je to minimum třeba u Cookies, které musí být splněno? Na toto SDEU neodpověděl.
Jak by teď měly online lékárny postupovat?
Úřad pro ochranu osobních údajů se k rozsudku prozatím nijak nevyjádřil. Než se stanoviska, nebo rozsudků (zahraničních) dočkáme, lze lékárnám doporučit, aby si samy zhodnotily dopad rozsudku na jejich podnikání a zejména si vyhodnotily, jaké údaje, jakým způsobem a především na základě jakého právního základu je zpracovávají.
V případě, že online lékárna dojde k tomu, že osobní údaje o zdravotním stavu zpracovává na základě souhlasu, velmi doporučujeme zvážit, jestli by neměla zavést opatření, aby šlo o výslovný souhlas ve smyslu GDPR, nebo postačuje jako důvod zpracován pouze článek 9 odst. 2 písm. h) GDPR, a zpracovali si k tomu vhodnou dokumentaci.
Podle nás může mít rozsudek vliv zejména na marketingové aktivity online lékáren. Pokud budou využívat objednávková data pro zasílání reklam apod., získání výslovného souhlasu se zřejmě nevyhnou.
Diskuze k článku ()