欧洲法院关于在线订购药品时的健康数据

fabiha01

面临“决策之秋”的不仅仅是政治。欧盟最高司法机构欧洲法院也在努力做出具有开创性的判决。其中之一已于上周讨论：在联邦法院提交的初步裁决程序中，欧洲法院必须就卫生领域的问题作出裁决（案件 C-21/23）。诉讼的主题是两家药店经营者之间的法律纠纷。

具体来说，原告指控被告存在不正当商业行为：被告通过网络平台销售处方药。在线订购这些药品时，客户必须输入姓名、送货地址以及个性化药品所需的信息等详细信息。原告辩称，他认为，相关数据处理并未获得被告的必要同意——毕竟，根据《1989 年数据保护条例》第 14 条，这些命令涉及健康数据。 9 GDPR。只要未按程序取得同意，就必须禁止或停止通过网络平台分发处方药。

欧洲法院随后必须就订购过程中涉及的数据是否构成第 10 条和第 11 条第 9 款所规定的健康数据这一问题作出决定。 1、4号15 GDPR i.与 GDPR 第 35 条相结合，以及竞争对手的数据保护违规行为是否可以根据竞争法进行起诉。综上所述，欧洲法院确认了这两项判决。

药品数据是健康数据
欧洲法院澄清，客户在网上订购药房专用药品时输入的数据构成 GDPR 所定义的健康数据：

“根据客户通过在线平台订购药房专用药品时输入的数据，可以通过心理组合或推理得出有关数据主体健康状况的结论，这符合《GDPR》第4条第1款的规定，因为订单建立了药品、其治疗适应症和用途与通过姓名或送货地址等信息识别或可识别的自然人之间的联系。”（第84段）

欧洲法院还处理了非处方药品的特殊情况，这些药品的特点是它们不一定供订购的客户使用，而可能是供客户希望为其购买药品的第三方使用。但在此，欧洲法院也没有得出不同的结论：

“因此，如果在线平台的用户在订购仅限药房销售的非处方药品时提交了个人数据，则通过在线平台销售这些药品的药房运营商对这些数据的处理应被视为根据第 95/46 号指令第 8(1) 条和 GDPR 第 9(1) 条的规定处理健康数据，因为这些数据的处理可能会泄露有关自然人健康状况的信息，无论这些信息涉及用户还是为其下订单的其他人。”（第88段）

此外：

“如果订单需要识别和/或注册客户，例如通过创建客户账户或将客户纳入忠诚度计划，则不能排除客户在此情况下提供的信息 - 特别是与订购药品的信息相结合 - 可能不仅用于得出有关客户健康状况的结论，还可以用于得出有关第三方健康状况的结论。”（第91段）

因此，根据欧洲法院的说法，被告等卖方有义务以清晰、完整和易于理解的方式告知数据主体有关处理此类数据的具体情况和目的，并确保根据《第 14 条》合法处理健康数据。 9 GDPR。这可以采取原告根据 GDPR 第 9（2）（a）条请求的同意的形式。然而，西班牙商业传真列表 欧洲法院明确强调，根据《1989 年数据保护条例》第 6 条，本法律纠纷中的数据处理也是允许的。如果满足相关条件，则为 GDPR 第 9（2）（h） 条规定。

竞争对手可以（必须）追究数据保护违规行为
此外，欧洲法院裁定，除了 GDPR 赋予数据主体、代表这些数据主体的协会以及国家监管机构的权利和权力之外，涉嫌侵权者的竞争对手也可以根据禁止不正当商业行为的规定（德国《反不正当竞争法》对此进行了规定）起诉数据保护违法行为：

“然而，从本判决第53至58段解释的第八章条款的措辞和上下文可以清楚地看出，欧盟立法机构在通过该法规时，并不打算在发生违反GDPR条款的情况时实现可用的救济措施的全面协调，特别是无意从禁止不正当商业行为的角度排除涉嫌违反个人数据保护规则者的竞争对手根据国家法律提起法律诉讼的可能性。”（第60段）

此外：

“从禁止不正当商业行为的角度来看，企业的竞争对手可以向民事法院提起诉讼，要求对企业涉嫌违反 GDPR 实质性条款的行为发出禁令，这不仅不会影响这些目标，甚至可能加强这些条款的实际有效性，从而提高数据主体在个人数据处理方面的高水平保护，而这正是本条例的目的所在。”（第62段）

联邦法院现在必须审查原始诉讼中涉嫌违反 GDPR 条款的行为是否也构成违反《不正当竞争法》。

像往常一样：审查你自己的流程
欧洲法院接受《1989 年欧洲刑法典》第 17 条的广泛保护范围并不令人意外。 9 GDPR 在此处。实践中产生的后果也是一致的，因为它们涵盖了合法性等常见问题、同意声明的有效性要求、透明度以及根据《条例》相关数据安全方面的必要性。 32 GDPR i.伏特解决 GDPR 的第 53 条规定。但是，如果客户/订购者和实际下订单的患者/人不是同一个人，那么“代表”其他人下订单可能会出现实际障碍，并且同意流程必须反映这种情况。为了正确实施这些案件，与上述案件中的被告情况类似的控制者应该检查可能设立或已经存在的同意程序是否反映了必要的情况。如果不这样做，除了欧洲法院强调的 GDPR 规定的一系列制裁措施外，还可能存在竞争对手根据竞争法采取行动的风险。