E-commerce a dane osobowe – wyrok TSUE
E-commerce nie tak dawno pojawił się na wokandzie TSUE w sprawie danych osobowych. TSUE w wyroku z 4.10.2024 r. w sprawie C-21/23 podkreślił ważne zagadnienia związane z ochroną danych osobowych w branży e-commerce. Orzeczenie ma istotne znaczenie dla przedsiębiorców zajmujących się sprzedażą internetową, a w konsekwencji przetwarzających dane osobowe klientów przekazane tą właśnie drogą
Przetwarzanie danych osobowych w e-commerce
TSUE zaznaczył, że przetwarzanie danych osobowych takich jak imię, nazwisko, a nawet nazwa zamawianego produktu (np. leku), wymaga uzyskania od osoby, której dane mają być przetwarzane wyraźnej zgody. Orzeczenie odnosi się w szczególności do internetowej sprzedaży produktów leczniczych, w tym leków, które nie wymagają recepty. Jednakże rozpatrywać je należy także w szerszym kontekście.
Sklep internetowy: produkt może dotyczyć RODO
TSUE zwrócił uwagę na dość szeroką interpretację pojęcia danych osobowych w kontekście informacji dotyczących zdrowia. Trybunał uznał, że o ile zakup produktu leczniczego nie wskazuje wprost na stan zdrowia klienta, to jednak istnieje możliwość powiązania konkretnej osoby z określonym lekiem bądź jego zastosowaniem, co może stanowić podstawę, żeby objąć te informację szczególną ochroną. Powyższą uwagę należy także rozszerzyć na inne produkty, których zakup może wskazywać na stan zdrowia czy potrzeby zdrowotne kupującego.
Polityka prywatności w e-commerce
Po wydaniu wyroku Główny Inspektor Farmaceutyczny podkreślił, że apteki internetowe powinny regularnie aktualizować procedury ochrony danych osobowych. Zaznaczył, że powinny monitorować zmiany prawne i orzecznictwo w sprawach dotyczących ochrony danych osobowych. Głosu w przedmiocie konsekwencji wyroku C-21/23 dla całej branży e-commerce nie zabrał jeszcze Urząd Ochrony Danych Osobowych. Należy jednak przypuszczać – i zakładać projektując konkretne rozwiązania prawne w przedsiębiorstwach – że ilekroć nazwa produktu pozwala na powzięcie informacji o stanie zdrowia kupującego, to należy uznać, że obok imienia i nazwiska zalicza się do danych szczególnej kategorii.
Obowiązki przedsiębiorcy w e-commerce a RODO
Przedsiębiorcy prowadzący internetową sprzedaż – nie tylko leków, ale też innych artykułów – powinni zatem zwrócić uwagę na potencjalne potrzeby, takie jak:
- konieczność pozyskania wyraźnych zgód na przetwarzanie danych,
- zapewnienie przejrzystości procesów przetwarzania danych osobowych,
- stosowanie zasad privacy by design oraz privacy by default,
- monitoring i aktualizowanie polityk ochrony danych.
Przypomnieć należy, że ignorowanie tego zagadnienia w e-commnerce może wiązać się z bardzo poważnymi sankcjami. Zgodnie z przepisami RODO, kary finansowe sięgają nawet 20 milionów euro czy 4% obrotu rocznego przedsiębiorstwa.
Kancelaria – wsparcie z RODO
W obsłudze prawnej przedsiębiorstwa zwrócić należy szczególną uwagę na dostosowanie procedur. Chodzi o zasady działania i dokumentację dostosowaną do wymogów przepisów prawa (w tym także RODO) i konkretnej branży. Nasza kancelaria świadczy kompleksową obsługę wszystkich zagadnień związanych z funkcjonowaniem podmiotów gospodarczych. W ramach naszej praktyki wspieramy branżę e-commerce.
- Odpowiedzialność członka zarządu – nie tylko art. 299 k.s.h. - 22 kwietnia 2025
- E-commerce a dane osobowe: wyrok TSUE - 18 kwietnia 2025
- Produkt niebezpieczny: definicja producenta według TSUE - 7 kwietnia 2025
