GDPR Case 100. The Estonian Data Protection Inspectorate obliged e-pharmacies to immediately terminate access to another person’s prescription information

日期：8 December 2020

國家：愛沙尼亞

關鍵字：同意原則；個人資料設計及預設原則

GDPR：§6(1)(a) (consent as a legal basis for the processing of data)、§25 (data protection by design and by default)

裁決：警告、行政罰鍰

摘要：

(1) 愛沙尼亞監管機關對三家連鎖藥局分別處以 €100,000 的行政罰鍰，並且發出警告，要求在一日內進行改善，因為在該等藥局提供的數位藥局環境中（e-pharmacy environment），容許任何人得以在數位藥局內，無須經過同意即可查閱他人當下的處方箋，並且取得他人的數位識別碼。

(2) 監管機關表示：「我們認為有必要緊急停止在數位藥局環境中，向第三方展示有效處方箋，因為這樣的展示，並沒有法律上依據。」

(3) 為他人代購處方藥，有時候是必須的，但是這樣做的前提，應該是藥劑師能夠確保行為人是在處方箋持有人同意的情況下，才能夠查閱處方資訊，並且進行代為購買。

(4) 監管機關認為，不能認可控管者——三家連鎖藥局——在數位藥局環境中違反 GDPR 的行為。

(5) 在監管機關檢查數位藥局的環境時，發現可以透過對話視窗（chat window）快速地查閱他人的處方箋資訊。

(6) 首先，對話視窗會出現本人處分或是他人處方的選項，如果（在他人處方選項中）輸入他人的個人識別碼，就可以取得他人處方的相關資訊，三家連鎖藥局中，只有一家要求事先確認行為人是否有權查看他人的處方資訊。

(7) 不過，即使要求事先確認行為人是否有權查看他人處方資訊，也不代表處方箋持有人是否已經同意，因為數位藥局無法檢查處方箋持有人是否，以及出於何種目的給予同意，以及該人是否出於自願而同意。

(8) 據此，監管機關對三家連鎖藥局分別課處行政罰鍰，並且予以警告。