Många beställer läkemedel från apotek på nätet utan att tänka på de personuppgifter som de lämnar ifrån sig under processen, som exempelvis namn, leveransadress och uppgifter som krävs för att individualisera läkemedlen. Eftersom dessa uppgifter har en koppling till kundens hälsa är en viktig fråga om de utgör känsliga uppgifter i dataskyddsförordningens (GDPR) mening?
Denna fråga tas upp i EU-domstolens dom i mål C‑21/23 (Lindenapotheke) som handlade om ett apotek som bedrev e‑handel med apoteksexklusiva läkemedel på en e‑handelsplattform. När nätapotekets kunder gjorde beställningar av läkemedel fick de lämna en rad uppgifter, såsom namn och leveransadress samt information som krävdes för att kunna individualisera läkemedlen. En av frågorna i målet var om sådana uppgifter utgör hälsouppgifter i den mening som avses i artikel 9.1 GDPR, även i fall där de beställda läkemedlen inte är receptbelagda.
EU-domstolen konstaterade att de uppgifter som kunder till ett apotek som bedriver e‑handel med apoteksexklusiva läkemedel på en e‑handelsplattform måste lämna när de beställer läkemedel på plattformen, såsom kundens namn och leveransadress samt information som krävs för att kunna individualisera läkemedlen, utgör hälsouppgifter i dessa bestämmelsers mening, även i fall där de beställda läkemedlen inte är receptbelagda.
Eftersom hälsuppgifter utgör känsliga personuppgifter enligt artikel 9 GDPR, måste de hanteras enligt GDPR:s särskilda regler för denna typ av uppgifter. Det krävs till exempel ett undantag från det allmänna förbudet att behandla känsliga personuppgifter och att det vidtas särskilda säkerhetsåtgärder för att skydda uppgifterna.