Решение от 04.10.2024 по дело C-0021/2023 на СЕС

Относно правото на конкурент да предяви иск за нарушение на ОРЗД въз основа на забраната на нелоялни търговски практики и класифицирането на данни, предоставени при онлайн поръчка на лекарства, като данни за здравословното състояние

Кратко резюме на спора

- Преюдициалното запитване е във връзка със спор между две аптеки относно онлайн продажбата на лекарства, отпускани без рецепта, чрез...
Абонирайте се, за да прочетете резюмето на спора.

РЕШЕНИЕ НА СЪДА (голям състав)

4 октомври 2024 година ( *1 )

„Преюдициално запитване — Защита на личните данни — Регламент (ЕС) 2016/679 — Глава VIII — Средства за правна защита — Продажба на лекарствени продукти от фармацевт чрез платформа за онлайн продажба — Иск на основание на забраната на нелоялните търговски практики, предявен пред гражданските съдилища от конкурент на този фармацевт, поради извършено от него нарушение на предвидените в този регламент задължения — Активна процесуална легитимация — Член 4, точка 15 и член 9, параграфи 1 и 2 — Директива 95/46/EО — Член 8, параграфи 1 и 2 — Понятие за лични данни, свързани със здравословното състояние — Условия за обработване на такива лични данни“

По дело C‑21/23

с предмет преюдициално запитване на основание член 267 ДФЕС, отправено от Bundesgerichtshof (Федерален върховен съд, Германия), с акт от 12 януари 2023 г., постъпил в Съда на 19 януари 2023 г. в рамките на производство

ND срещу

DR, Съдът (голям състав),

състоящ се от: K. Lenaerts, председател, L. Bay Larsen, заместник-председател, K. Jürimäe, C. Lycourgos, E. Regan, F. Biltgen и N. Piçarra, председатели на състави, S. Rodin, P. G. Xuereb, L. S. Rossi, I. Jarukaitis, N. Jääskinen, и I. Ziemele (докладчик), съдии,

генерален адвокат: M. Szpunar,

секретар: N. Mundhenke, администратор,

предвид изложеното в писмената фаза на производството и в съдебното заседание от 9 януари 2024 г.,

като взе предвид становищата, представени:

– за ND, от A. Datta, M. Mogendorf и W. Spoerr, Rechtsanwälte,

– за DR, от M. Bahmann, Rechtsanwalt,

– за германското правителство, от J. Möller и P.‑L. Krüger, в качеството на представители,

– за Европейската комисия, от A. Bouchagiar, F. Erlbacher и H. Kranenborg, в качеството на представители,

след като изслуша заключението на генералния адвокат, представено в съдебното заседание на 25 април 2024 г.,

постанови настоящото

Решение

1 Преюдициалното запитване се отнася до тълкуването на член 9, параграф 1 и на разпоредбите от глава VIII от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните (ОВ L 119, 2016 г., стр. 1, наричан по-нататък „ОРЗД“), както и на член 8, параграф 1 от Директива 95/46/EО на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни (ОВ L 281, 1995 г., стр. 31; Специално издание на български език 2007 г., глава 13, том 17, стр. 10).

2 Преюдициалното запитване е отправено в рамките на спор между две физически лица —ND и DR, всяко от което стопанисва аптека, по повод на продажбата от ND посредством онлайн платформа на лекарствени продукти, които могат да се продават само в аптеките.

Правна уредба

Правото на Съюза

3 Член 8 от Директива 95/46, озаглавен „Обработване на специални категории от данни“, гласи:

„1.Държавите членки забраняват обработването на лични данни, разкриващи расов или религиозен произход, политически идеи, религиозни или философски убеждения, членство в професионални съюзи, като и обработването на данни, свързани със здравословното състояние и половия живот.

2.Параграф 1 не се прилага, когато:

а) съответното физическо лице е дало изричното си съгласие за обработването на такива данни, освен ако законодателството на държавата членка предвижда, че забраната, посочена в параграф 1, не може да бъде вдигната чрез съгласието на съответното физическо лице;

[…]“.

4 Съображения 9—11, 13, 35, 51, 53, 141 и 142 от ОРЗД имат следното съдържание:

„(9)

Въпреки че целите и принципите на Директива [95/46] ѝ дават солидна основа, тя не предотврати фрагментирането на прилагането на защитата на данни в Съюза, нито правната несигурност и широко разпространеното в обществото схващане, че съществуват значителни рискове за защитата на физическите лица, по-специално по отношение на дейностите онлайн. Разликите в осигуреното в държавите членки ниво на защита на правата и свободите на физическите лица, по-специално на правото на защита на личните данни, във връзка с обработването на лични данни в държавите членки, могат да възпрепятстват свободното движение на лични данни в рамките на Съюза. Поради това тези разлики може да представляват препятствие за осъществяването на икономически дейности на равнището на Съюза, да нарушават конкуренцията и да възпрепятстват органите при изпълнението на техните отговорности съгласно правото на Съюза. Различието в нивата на защита се дължи на съществуването на разлики при въвеждането и прилагането на Директива [95/46].

(10)

За да се гарантира последователно и високо ниво на защита на физическите лица, както и за да се премахнат препятствията пред движението на лични данни в Съюза, нивото на защита на правата и свободите на физическите лица във връзка с обработването на такива данни следва да бъде равностойно във всички държави членки. Следва да се гарантира последователно и еднородно прилагане в рамките на Съюза на правилата за защита на основните права и свободи на физическите лица във връзка с обработването на лични данни. […] Настоящият регламент оставя и известна свобода на действие на държавите членки да конкретизират съдържащите се в него правила, включително по отношение на обработването на специални категории лични данни („чувствителни данни“). […]-

(11)

Ефективната защита на личните данни в рамките на Съюза изисква укрепване и подробно описание на правата на субектите на данните и задълженията на онези, които обработват и определят обработването на личните данни, както и еквивалентни правомощия за наблюдение и гарантиране на спазването на правилата за защита на личните данни и еквивалентни санкции за нарушенията в държавите членки.

[…] (13)

За да се гарантира съгласувано ниво на защита на физическите лица в целия Съюз и да се попречи на различията да възпрепятстват свободното движение на лични данни в рамките на вътрешния пазар, е необходим регламент, който да осигурява правна сигурност и прозрачност за икономическите оператори, включително за микропредприятията и малките и средните предприятия, и да предоставя на физическите лица във всички държави членки еднакви по степен законно приложими права и задължения и отговорности за администраторите и обработващите лични данни, както и да осигури последователно наблюдение на обработването на лични данни, еквивалентни санкции във всички държави членки и ефективно сътрудничество между надзорните органи на различните държави членки. […].

[…] (35)

Личните данни за здравословното състояние следва да обхващат всички данни, свързани със здравословното състояние на субекта на данните, които разкриват информация за физическото или психическото здравословно състояние на субекта на данните в миналото, настоящето или бъдещето. […].

[…] (51)

На личните данни, които по своето естество са особено чувствителни от гледна точка на основните права и свободи, се полага специална защита, тъй като контекстът на тяхното обработване би могъл да създаде значителни рискове за основните права и свободи. […]. Тези лични данни не следва да се обработват, освен ако обработването не е разрешено в определени случаи, предвидени в настоящия регламент, като се има предвид, че в правото на държавите членки могат да бъдат определени специфични разпоредби за защита на данните с цел да се адаптира прилагането на съдържащите се в настоящия регламент правила за спазване на правно задължение или за изпълнение на задача от обществен интерес или свързана с упражняването на официални правомощия, предоставени на администратора на лични данни. В допълнение към конкретните изисквания за такова обработване следва да се прилагат общите принципи и другите правила, залегнали в настоящия регламент, по-специално по отношение на условията за законосъобразно обработване. Дерогации от общата забрана за обработване на такива специални категории лични данни следва изрично да бъдат предвидени, inter alia, когато субектът на данните даде изричното си съгласие или във връзка с конкретни нужди, по-специално когато обработването се извършва в хода на законната дейност на някои сдружения или фондации, чиято цел е да се позволи упражняването на основните свободи.

[…] (53)

Специални категории лични данни, които се нуждаят от по-голяма защита, могат да бъдат обработвани единствено за здравни цели, когато е необходимо тези цели да бъдат постигнати в полза на отделни физически лица и на обществото като цяло, по-специално в рамките на управлението на услугите и системите за здравеопазване […]. Поради това настоящият регламент следва да предвижда хармонизирани условия за обработването на специални категории лични данни за здравословното състояние по отношение на специфични нужди, по-специално когато обработването на тези данни се извършва за определени цели, свързани със здравето, от лица, обвързани от правното задължение за професионална тайна. Правото на Съюза или националното право следва да предвижда конкретни и подходящи мерки за защита на основните права и личните данни на физическите лица. Държавите членки следва да разполагат с възможност да запазят или да въведат допълнителни условия, включително ограничения, по отношение на обработването на генетични, биометрични или данни за здравословното състояние. […].

[…] (141)

Всеки субект на данни следва да има право да подаде жалба до един надзорен орган, по-специално в държавата членка на обичайно си местопребиваване, както и право на ефективни правни средства за защита в съответствие с член 47 от [Хартата на основните права на Европейския съюз, наричана по-нататък „Хартата“], ако счита, че правата му по настоящия регламент са нарушени или ако надзорният орган не предприема действия по подадена жалба, изцяло или частично отхвърля или оставя без разглеждане жалба или не предприема действия, когато такива са необходими, за да се защитят правата на субекта на данни. […].

(142)

Когато субектът на данни смята, че правата му по настоящия регламент са нарушени, той следва да има право да възложи на структура, организация или сдружение с нестопанска цел, което е учредено съгласно правото на държава членка, има уставни цели, които са от обществен интерес и работи в областта на защитата на личните данни, да подаде жалба от негово име до надзорен орган, да упражни правото на средства за съдебна защита от името на субектите на данни или ако то е предвидено в правото на държавата членка да упражни правото на обезщетение от името на субектите на данни. Държавите членки могат да предвидят такава структура, организация или сдружение да има право да подаде в тази държава членка жалба, независимо от възложения от субекта на данни мандат, и право на ефективни правни средства за защита, когато има основания да смята, че правата на субект на данни са били нарушени в резултат на обработване на лични данни, което нарушава настоящия регламент. Тази структура, организация или сдружение не може да има право да претендира за обезщетение от името на субекта на данни, независимо от възложения от субекта на данни мандат“.

5 Член 1 от този регламент, озаглавен „Предмет и цели“, гласи:

„1.С настоящия регламент се определят правилата по отношение на защитата на физическите лица във връзка с обработването на лични данни, както и правилата по отношение на свободното движение на лични данни.

2.С настоящия регламент се защитават основни права и свободи на физическите лица, и по-специално тяхното право на защита на личните данни.

3.Свободното движение на лични данни в рамките на Съюза не се ограничава, нито се забранява по причини, свързани със защитата на физическите лица във връзка с обработването на лични данни“.

6 Член 4 от посочения регламент предвижда:

„За целите на настоящия регламент:

1) „лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;

2) „обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;

[…] 7) „администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;

[…] 15) „данни за здравословното състояние“ означава лични данни, свързани с физическото или психическото здраве на физическо лице, включително предоставянето на здравни услуги, които дават информация за здравословното му състояние;

[…] 21) „надзорен орган“ означава независим публичен орган, създаден от държава членка съгласно член 51;

[…]“.

7 Глава II от ОРЗД, озаглавена „Принципи“, включва членове 5—11.

8 Член 5 от този регламент посочва принципите, свързани с обработването на лични данни, докато член 6 от същия регламент определя условията за законосъобразност на това обработване.

9 Съгласно член 9 от посочения регламент, озаглавен „Обработване на специални категории лични данни“:

„1.Забранява се обработването на лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, както и обработването на генетични данни, биометрични данни за целите единствено на идентифицирането на физическо лице, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице.

2.Параграф 1 не се прилага, ако е налице едно от следните условия:

а) субектът на данни е дал своето изрично съгласие за обработването на тези лични данни за една или повече конкретни цели, освен когато в правото на Съюза или правото на държава членка се предвижда, че посочената в параграф 1 забрана не може да бъде отменена от субекта на данни;

[…] з) обработването е необходимо за целите на превантивната или трудовата медицина, за оценка на трудоспособността на служителя, медицинската диагноза, осигуряването на здравни или социални грижи или лечение, или за целите на управлението на услугите и системите за здравеопазване или социални грижи въз основа на правото на Съюза или правото на държава членка или съгласно договор с медицинско лице и при условията и гаранциите, посочени в параграф 3;

[…]“.

10 Член 51 от същия регламент, озаглавен „Надзорен орган“, предвижда в параграф 1:

„Всяка държава членка осигурява един или повече независими публични органи, които са отговорни за наблюдението на прилагането на настоящия регламент, за да се защитят основните права и свободи на физическите лица във връзка с обработването и да се улесни свободното движение на личните данни в рамките на Съюза („надзорен орган“)“.

11 Глава VIII от ОРЗД, озаглавена „Средства за правна защита, отговорност за причинени вреди и санкции“, включва членове 77—84.

12 Член 77 от този регламент, озаглавен „Право на подаване на жалба до надзорен орган“, гласи в параграф 1:

„Без да се засягат които и да било други административни или съдебни средства за правна защита, всеки субект на данни има право да подаде жалба до надзорен орган, по-специално в държавата членка на обичайно местопребиваване, място на работа или място на предполагаемото нарушение, ако субектът на данни счита, че обработването на лични данни, отнасящи се до него, нарушава разпоредбите на настоящия регламент“.

13 Член 78 от посочения регламент, озаглавен „Право на ефективна съдебна защита срещу надзорен орган“, гласи в параграф 1:

„Без да се засягат които и да било други административни или несъдебни средства за защита, всяко физическо и юридическо лице има право на ефективна съдебна защита срещу отнасящо се до него решение със задължителен характер на надзорен орган“.

14 Член 79 от същия регламент, озаглавен „Право на ефективна съдебна защита срещу администратор или обработващ лични данни“, предвижда в параграф 1:

„Без да се засягат които и да било налични административни или несъдебни средства за защита, включително правото на подаване на жалба до надзорен орган съгласно член 77, всеки субект на данни има право на ефективна съдебна защита, когато счита, че правата му по настоящия регламент са били нарушени в резултат на обработване на личните му данни, което не е в съответствие с настоящия регламент“.

15 Член 80 от ОРЗД, озаглавен „Представителство на субектите на данни“, има следното съдържание:

„1.Субектът на данни има право да възложи на структура, организация или сдружение с нестопанска цел, което е надлежно учредено в съответствие с правото на държава членка, има уставни цели, които са в обществен интерес и действа в областта на защитата на правата и свободите на субекта на данни по отношение на защитата на неговите лични данни, да подаде жалба от негово име и да упражни от негово име правата по членове 77, 78 и 79, както и правото на обезщетение по член 82, когато то е предвидено в правото на държавата членка.

2.Държавите членки могат да предвидят всяка структура, организация и сдружение по параграф 1 от настоящия член, независимо от възложения от субекта на данни мандат, да има право да подаде в съответната държава членка жалба до надзорния орган, който е компетентен съгласно член 73, и да упражни правата по членове 78 и 79, ако счита, че правата на субект на данни съгласно настоящия регламент са били нарушени в резултат на обработването на лични данни“.

16 Член 82 от този регламент, озаглавен „Право на обезщетение и отговорност за причинени вреди“, гласи в параграф 1:

„Всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на настоящия регламент, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди“.

17 Член 83 от посочения регламент, озаглавен „Общи условия за налагане на административни наказания „глоба“ или „имуществена санкция“, предвижда в параграф 1:

„Всеки надзорен орган гарантира, че наложените административни наказания „глоба“ или „имуществена санкция“ в съответствие с настоящия член за извършени нарушения на настоящия регламент, посочени в параграфи 4, 5 и 6, във всеки конкретен случай са ефективни, пропорционални и възпиращи“.

18 Член 84 от същия регламент, озаглавен „Санкции“, гласи в параграф 1:

„Държавите членки определят правила за други санкции, приложими за нарушения на настоящия регламент по-специално за нарушения, които не подлежат на административно наказание „глоба“ или „имуществена санкция“ съгласно член 83, и вземат всички необходими мерки за гарантиране на тяхното прилагане. Тези санкции са ефективни, пропорционални и възпиращи“.

19 Член 94 от ОРЗД предвижда в параграф 1:

„Директива [95/46] се отменя, считано от 25 май 2018 г.“.

20 Съгласно член 99 от този регламент:

„1.Настоящият регламент влиза в сила на двадесетия ден след публикуването му в Официален вестник на Европейския съюз.

2.Прилага се от 25 май 2018 година“.

Германското право

Закон за мерките срещу нелоялната конкуренция

21 Член 3 от Gesetz gegen den unlauteren Wettbewerb (Закон за мерките срещу нелоялната конкуренция) от 3 юли 2004 г. (наричан по-нататък „UWG“) (BGBl. 2004 I, стр. 1414), в редакцията, приложима към делото в главното производство, озаглавен „Забрана на нелоялните търговски практики“, предвижда в параграф 1:

„Забраняват се нелоялните търговски практики“.

22 Член 3a от UWG, озаглавен „Нарушаване на правото“, има следното съдържание:

„Който нарушава законова разпоредба, предназначена в частност да регулира поведението на пазара в интерес на участниците на пазара, и нарушението може да засегне съществено интересите на потребители, на други участници на пазара или на конкуренти, извършва акт на нелоялна конкуренция“.

23 Член 8 от UWG, озаглавен „Премахване и бездействие“, гласи:

„(1)Срещу този, който извършва незаконна търговска практика по смисъла на член 3 или член 7, може да бъде предявен иск за преустановяването ѝ, а при опасност от повторност — за забраната ѝ. […]

[…] (3)Исковете по параграф 1 могат да се предявят от:

1. всеки конкурент, който пуска на пазара или търси стоки или услуги, когато тази дейност не е незначителна и случайна.

[…]“.

Закон за лекарствените продукти

24 Търговията с лекарствените продукти се урежда от Gesetz über den Verkehr mit Arzneimitteln (Закон за търговията с лекарствени продукти) от 24 август 1976 г. (BGBl. 1976 I, стр. 2444), който в редакцията си, публикувана на 12 декември 2005 г. (BGBl. 2005 I, стр. 3394), приложима към фактите в главното производство, прави разграничение между лекарствени продукти, които се продават в аптеките, и тези, които се продават по лекарско предписание, като последните се уреждат в член 48, озаглавен „Изискване за лекарско предписание“.

Спорът в главното производство и преюдициалните въпроси

25 ND, който стопанисва аптека с търговското наименование „Lindenapotheke“, от 2017 г. търгува с лекарствени продукти, които могат да се продават само в аптеките, посредством онлайн платформата „Amazon-Marketplace“ (наричана по-нататък „Amazon“). Когато поръчват тези лекарствени продукти онлайн, клиентите на ND трябва да въведат определена информация, като тяхното име, адрес на доставка и данните, необходими за индивидуализиране на съответните лекарствени продукти.

26 DR, който също стопанисва аптека, сезира Landgericht Dessau-Roßlau (Областен съд Десау-Рослау, Германия) с иск, с който иска ND да бъде задължен, като при неизпълнение на задължението бъде наложена периодична имуществена санкция, да преустанови търговията в Amazon с лекарствените продукти, които могат да се продават само в аптеките, докато няма гаранция, че клиентът може да даде предварително съгласие за обработване на данните за здравословното му състояние.

27 В подкрепа на иска си DR изтъква, че търговията в Amazon с лекарствени продукти, които могат да се продават само в аптеките, е нелоялна поради нарушаването на законовите изисквания относно получаването на съгласието на клиента, както се изисква от законодателството относно защитата на личните данни.

28 С решение от 28 март 2018 г. Landgericht Dessau-Roßlau (Областен съд Десау-Рослау) уважава иска.

29 ND подава въззивна жалба срещу това решение до Oberlandesgericht Naumburg (Висш областен съд Наумбург, Германия), който я отхвърля с решение от 7 ноември 2019 г.

30 Апелативният съд приема, че търговията в Amazon с лекарствени продукти, които могат да се продават само в аптеките, е нелоялна и следователно незаконна практика по силата на член 3, параграф 1 от UWG. Всъщност такава търговия с лекарствени продукти налагала обработване на данни за здравословното състояние, което било забранено по силата на член 9, параграф 1 от ОРЗД при липсата на изрично съгласие на клиентите, придобиващи лекарствени продукти, в съответствие с член 9, параграф 2, буква а) от този регламент. Предвидените в посочения регламент правила били законови разпоредби, предназначени да регулират поведението на пазара по смисъла на член 3a от UWG. Освен това съгласно член 8, параграф 3, точка 1 от UWG като конкурент DR имал право да сезира гражданските съдилища, като се позове на нарушението на тези правила от страна на ND, и да поиска той да бъде задължен да преустанови нарушението.

31 ND подава ревизионна жалба до Bundesgerichtshof (Федерален върховен съд, Германия), запитващата юрисдикция

32 Този съд отбелязва, че решаването на делото зависи от тълкуването на разпоредбите на глава VIII от ОРЗД и на член 9, параграф 1 от този регламент, както и на член 8, параграф 1 от Директива 95/46.

33 На първо място, запитващата юрисдикция си задава въпроса дали след отмяната на Директива 95/46, считано от 25 май 2018 г., датата, от която става приложим ОРЗД, държавите членки все още могат да предвиждат във вътрешното си право, конкурентите на предприятие, като тези по член 8, параграф 3, точка 1 от UWG, да имат процесуална легитимация да сезират граждански съд на основание на забраната на нелоялните търговски практики с иск за преустановяване на извършваните от това предприятие нарушения на разпоредбите на ОРЗД.

34 Запитващата юрисдикция отбелязва, че на национално равнище този въпрос получава различни отговори. Всъщност не било възможно недвусмислен отговор на този въпрос да се изведе нито от текста на разпоредбите на глава VIII от ОРЗД, нито от общия разум на тези разпоредби, нито дори от преследваната от този регламент цел.

35 Така, първо, що се отнася до текста на разпоредбите от глава VIII от ОРЗД, запитващата юрисдикция подчертава, че безспорно в тези разпоредби никъде не се споменава възможността за конкурентите на предприятие да предявяват иск срещу него, по-специално когато нарушаването на законодателството относно защитата на личните данни представлява нелоялна търговска практика. Същевременно обаче посочените разпоредби не изключват формално тази възможност.

36 След това, що се отнася до общия разум на разпоредбите от глава VIII от ОРЗД, запитващата юрисдикция подчертава, от една страна, че както Съдът е постановил в решение от 28 април 2022 г., Meta Platforms Ireland (C‑319/20, EU:C:2022:322, т. 57), този регламент цели да осигури по принцип пълна хармонизация на националните законодателства за защита на лични данни. От друга страна обаче, фактът, че във всяка от разпоредбите на член 77, параграф 1, член 78, параграфи 1 и 2 и член 79, параграф 1 от ОРЗД се съдържа изразът „[б]ез да се засягат които и да било налични административни или несъдебни средства за защита“ би могъл да попречи да се направи извод, че контролът за прилагането на правото е предмет на изчерпателна регламентация.

37 Накрая, що се отнася до преследваната от ОРЗД цел за хармонизация и особено за уеднаквяване на равнище на контрола за прилагането на правото в рамките на Съюза, запитващата юрисдикция подчертава, от една страна, че възможността конкуренти да разполагат с активна процесуална легитимация на основание на конкурентното право и поради това да могат да искат да се приложат разпоредбите на правото за защита на личните данни, като използват различни от предвидените в ОРЗД инструменти, би могло да противоречи на тази цел. Впрочем не било сигурно, че в предвидената в посочения регламент система за контрол на прилагането на правото е налице празнота, която трябва да бъде запълнена чрез признаване на възможност за конкурентите да разполагат с активна процесуална легитимация на основание на конкурентното право. Освен това имало опасност конкуренция в областта на контрола на прилагането на правото на защита на личните данни между надзорните органи, от една страна, и гражданските съдилища, от друга страна, да доведе до засягане правомощията на надзорните органи и до различия в рамките на Съюза при контрола за прилагането на правото на защитата на личните данни.

38 От друга страна, според запитващата юрисдикция, ако се разреши на конкурентите да предприемат правни действия на основание на конкурентното право, това би могло да представлява допълнителна възможност за контрол на прилагането на правото, каквато би била желателна по силата на принципа на ефективност („effet utile“), за да се гарантира възможно най-високо равнище на защита в областта на личните данни в съответствие със съображение 10 от ОРЗД.

39 Запитващата юрисдикция уточнява, че този въпрос не е бил изяснен от практиката на Съда, и по-специално в решение от 28 април 2022 г., Meta Platforms Ireland (C‑319/20, EU:C:2022:322), Съдът изрично оставя открит въпроса за активната процесуална легитимация на конкурент.

40 На второ място, запитващата юрисдикция се пита дали данните, които клиентите трябва да въведат, когато използват платформа за онлайн продажби, за да поръчват лекарствени продукти, каквито са тяхното име, адресът на доставка и необходимата информация за индивидуализиране на поръчваните лекарствени продукти, представляват „данни, свързани със здравословното състояние“ по смисъла на член 8, параграф 1 от Директива 95/46, съответно „данни за здравословното състояние“ по смисъла на член 9, параграф 1 от ОРЗД.

41 Според тази юрисдикция отговорът на този въпрос не се налага недвусмислено, когато за поръчваните лекарствени продукти не е необходимо лекарско предписание. Всъщност в такъв случай не е изключено тези лекарствени продукти да са предназначени не за самите клиенти, а за трети лица, които не биха могли да бъдат идентифицирани.

42 Запитващата юрисдикция подчертава, че текстът на тези разпоредби и този на член 4, точка 15 от ОРЗД, във връзка със съображение 35 от същия регламент, сами по себе си не позволяват да се отговори на този въпрос.

43 Все пак в точка 125 от решение от 1 август 2022 г., Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601), Съдът е постановил, че е необходимо широко тълкуване на понятието „специални категории лични данни“ по член 8, параграф 1 от Директива 95/46 и член 9, параграф 1 от ОРЗД с оглед на целта на този регламент, а именно да се гарантира високо равнище на защита на основните права и свободи на физическите лица, по-специално на техния личен живот, във връзка с обработването на засягащите ги лични данни. Ако се възприеме такова широко тълкуване на това понятие, би могло да се заключи, че такива данни са за здравословното състояние, когато не е сигурно, а е само вероятно клиентите, които правят поръчката на лекарствените продукти, да са лицата, за които са предназначени тези лекарствени продукти.

44 Запитващата юрисдикция уточнява, че правото да се иска преустановяване на нарушението, на което се позовава DR, предполага съответното поведение на ND да е било незаконно, както в момента, в който е било възприето, така и в момента, в който се е състояло съдебното заседание в рамките на процедурата за ревизия и че първият от тези моменти е бил все още уреден от член 8, параграф 1 от Директива 95/46, докато вторият вече попада в приложното поле на член 9, параграф 1 от ОРЗД.

45 В този контекст Bundesgerichtshof (Федерален върховен съд) решава да спре производството по делото и да постави на Съда следните преюдициални въпроси:

„1) Допускат ли разпоредбите на глава VIII от [ОРЗД] национална правна уредба, която — наред с правомощията за намеса на надзорните органи, компетентни за наблюдението и прилагането на Регламента, и възможностите за правна защита на субектите на данни — предоставя на конкурентите право, обосновано със забраната за нелоялни търговски практики, да предявяват пред гражданските съдилища искове за нарушаване на Общия регламент относно защитата на данните срещу нарушителя?

2) Представляват ли данни за здравословното състояние по смисъла на член 9, параграф 1 от ОРЗД или данни, свързани със здравословното състояние по смисъла на член 8, параграф 1 от Директива 95/46/ЕО данните, които клиентите на работещ чрез интернет платформа за продажби фармацевт предоставят в тази интернет платформа при поръчката на лекарствени продукти (име на клиента, адрес на доставка и информация, необходима за индивидуализирането на поръчания лекарствен продукт, който задължително следва да се разпространява само в аптека), като за тези лекарствени продукти, макар че те задължително следва да се разпространяват само в аптеки, не се изисква лекарско предписание?“.

По преюдициалните въпроси

По първия въпрос

46 С първия си въпрос запитващата юрисдикция иска да се установи дали разпоредбите на глава VIII от ОРЗД трябва да се тълкуват в смисъл, че не допускат национална правна уредба, която успоредно с правомощията за намеса на надзорните органи, на които е възложено да наблюдават и да осигуряват прилагането на този регламент, както и с възможностите за правна защита на субектите на данни, предоставя на конкурентите на предполагаемия извършител на посегателство срещу защитата на личните данни активна процесуална легитимация да предприемат срещу него правни действия, като предявят иск пред гражданските съдилища поради нарушенията на този регламент и на основание на забраната на нелоялните търговски практики.

47 В началото следва да се припомни, че глава VIII от ОРЗД урежда по-специално способите за защита на правата на субекта на данни, когато негови лични данни са били подложени на обработване, за което се твърди, че противоречи на разпоредбите на посочения регламент. Така защитата на тези права може да се иска или пряко от субекта на данни в приложение на членове 77—79 от този регламент, или съгласно член 80 от посочения регламент от оправомощено образувание, със или без мандат за тази цел (вж. в този смисъл решение от 28 април 2022 г., Meta Platforms Ireland, C‑319/20, EU:C:2022:322, т. 53).

48 Всъщност, от една страна, член 77, параграф 1 от ОРЗД предвижда, че без да се засягат каквито и да било други административни или съдебни средства за правна защита, всеки субект на данни има право да подаде жалба до надзорен орган. Съгласно член 78, параграф 1 от този регламент, без да се засягат каквито и да било други административни или несъдебни средства за защита, всяко физическо и юридическо лице има право на ефективна съдебна защита срещу отнасящо се до него решение на надзорен орган със задължителен характер. Член 79, параграф 1 от посочения регламент гарантира на всеки субект на данни, без по този начин да се засягат каквито и да било налични административни или несъдебни средства за защита, правото на ефективна съдебна защита, включително правото на подаване на жалба до надзорен орган съгласно член 77 от същия регламент.

49 От друга страна, съгласно член 80, параграф 1 от ОРЗД субектът на данни има право да възложи на структура, организация или сдружение с нестопанска цел, при определени условия, да подаде жалба от негово име и да упражни от негово име правата по членове 77—79 от този регламент. Освен това съгласно член 80, параграф 2 от посочения регламент държавите членки могат да предвидят всяка структура, организация и сдружение, независимо от възложения от субекта на данни мандат, да има право да подаде в съответната държава членка жалба до надзорния орган и да упражни тези права, ако счита, че правата на субект на данни съгласно същия регламент са били нарушени в резултат на обработването на лични данни.

50 В случая от преписката по делото, с която разполага Съдът, се установява, че ND, който стопанисва аптека, продава в Amazon лекарствени продукти, които могат да се продават само в аптеките, и че когато поръчват онлайн тези лекарствени продукти, клиентите трябва да въвеждат данни като тяхното име, адрес на доставка и информацията, необходима за индивидуализиране на тези лекарствени продукти. Искът в главното производство обаче е предявен пред граждански съд не от тези клиенти, които са субекти на данни по смисъла на член 4, точка 1 от ОРЗД, на основание на член 79 от този регламент, нито от оправомощена структура, организация или сдружение, независимо от наличието или липсата на получен от субект на данни мандат за целта, съгласно член 80 от посочения регламент, а от конкурент на фармацевта на основание на забраната на нелоялните търговски практики, поради нарушенията на разпоредбите от същия регламент, които бил извършил този фармацевт.

51 Поради това по делото в главното производство се поставя въпросът дали ОРЗД допуска конкурент като DR, който не е субект на данни по смисъла на член 4, точка 1 от този регламент, да е активно легитимиран да предяви такъв иск пред националните граждански съдилища.

52 Във връзка с това следва да се припомни, че за да се тълкува определена разпоредба от правото на Съюза, трябва да се вземат предвид не само нейният текст, но и контекстът ѝ, както и целите на правната уредба, от която тя е част (решение от 12 януари 2023 г., Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, т. 32).

53 Що се отнася до текста на разпоредбите на глава VIII от ОРЗД, следва да се констатира, че нито една от тях не изключва изрично възможността конкурент на предприятие да предяви иск срещу това предприятие пред гражданските съдилища на основание на забраната на нелоялните търговски практики, поради твърдяно нарушение от страна на това предприятие на предвидените в този регламент задължения. Напротив, от текста на член 77, параграф 1, член 78, параграф 1 и член 79, параграф 1 от ОРЗД, припомнени в точка 48 от настоящото решение, се установява, че в тези разпоредби правото да се подаде жалба до надзорен орган, както и правото на ефективна съдебна защита срещу такъв орган или срещу администратор или обработващ лични данни, са предвидени „без да се засягат“ каквито и да било други административни, съдебни или извънсъдебни средства за правна защита.

54 Що се отнася до контекста, в който се вписва глава VIII от ОРЗД, следва да се отбележи, че в този регламент, в глава II има съвкупност от материалноправни разпоредби относно, по-специално, принципите на обработване на лични данни, съдържащи се в член 5, и относно условията за законосъобразност на обработването, посочени в член 6, които трябва да гарантират именно пълното зачитане спрямо субектите на данни на основното право на защита на личните данни, гарантирано от член 16, параграф 1 ДФЕС и от член 8 от Хартата. Липсата в глава VIII от ОРЗД на разпоредби, предвиждащи възможността за конкурентите на предприятие, за което се твърди, че е нарушило тези материалноправни разпоредби, да предявят иск, за да бъде преустановено това нарушение, се обяснява с факта, че само субектите на данни, а не тези конкуренти, както отбелязва генералният адвокат в точка 80 от заключението си, са единствените адресати на защитата на личните данни, гарантирана от този регламент.

55 При това положение, ако нарушаването на тези материалноправни разпоредби може да засегне на първо място субектите на тези данни, то може да засегне и трети лица, което се онагледява от факта, че член 82, параграф 1 от ОРЗД предвижда право на обезщетение за „всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на [този] регламент“. Съдът вече също е имал повод да констатира, че с нарушаването на норма за защита на лични данни могат същевременно да се нарушат норми за защитата на потребителите или норми относно нелоялните търговски практики (решение от 28 април 2022 г., Meta Platforms Ireland, C‑319/20, EU:C:2022:322, т. 78) и то може също да представлява важна индиция, за да се установи наличието на злоупотреба с господстващо положение по смисъла на член 102 ДФЕС (вж. в този смисъл решение от 4 юли 2023 г;, Meta Platforms и др. (Общи условия за използване на социална мрежа), C‑252/21, EU:C:2023:537, т. 47 и 62).

56 В този контекст е важно да се припомни, че достъпът до личните данни, както и тяхното използване, имат голямо значение в рамките на цифровата икономика. Всъщност достъпът до личните данни и възможността за обработване на тези данни са се превърнали във важен параметър за конкуренцията между предприятията от цифровата икономика. Ето защо, за да се държи сметка за действителността на това икономическо развитие и да се гарантира лоялната конкуренция, може да се окаже необходимо да се държи сметка за правилата относно защитата на личните данни при прилагането на конкурентното право и правилата относно нелоялните търговски практики (вж. в този смисъл решение от 4 юли 2023 г., Meta Platforms и др. (Общи условия за използване на социална мрежа), C‑252/21, EU:C:2023:537, т. 50 и 51).

57 Впрочем, макар от член 1, параграф 1 от ОРЗД, тълкуван по-специално в светлината на съображения 9, 10 и 13, да следва, че този регламент цели да осигури по принцип пълна хармонизация на националните законодателства за защита на личните данни, въпреки това някои разпоредби на посочения регламент обаче изрично дават възможност на държавите членки да предвидят допълнителни — по-строги или дерогиращи — национални правила, които им оставят свобода на преценка относно начина на прилагане на тези разпоредби („отворени клаузи“) (решение от 28 април 2022 г., Meta Platforms Ireland, C‑319/20, EU:C:2022:322, т. 57).

58 Съдът вече е постановил, че това се отнася за член 80, параграф 2 от ОРЗД, който оставя на държавите членки свобода на преценка относно неговото прилагане и допуска национална правна уредба, която позволява на сдружение за защита на интересите на потребителите да предяви иск — без да му е възложен мандат за това и независимо дали са нарушени конкретни права на субекти на данни — срещу предполагаемия извършител на посегателство срещу защитата на личните данни, като се позове по-специално на нарушаване на забраната за нелоялни търговски практики, когато съответното обработване на данни може да засегне правата, които идентифицирани физически лица или физически лица, които могат да бъдат идентифицирани, черпят от този регламент (решение от 28 април 2022 г., Meta Platforms Ireland, C‑319/20, EU:C:2022:322, т. 59 и 83).

59 Безспорно разпоредбите от глава VIII от ОРЗД не предвиждат специално такава клауза, която да позволи изрично на държавите членки да уредят възможността за конкурент на предприятие, за което се твърди, че нарушава материалноправните разпоредби на този регламент, да предяви иск, за да бъде преустановено това нарушение.

60 Все пак от текста и от контекста на разпоредбите от тази глава VIII, припомнени в точки 53—58 от настоящото решение, се установява, че чрез приемането на посочения регламент законодателят на Съюза не е искал да осъществи изчерпателна хармонизация на средствата за защита, възможни в случай на нарушаване на разпоредбите на ОРЗД, и по-специално не е пожелал да изключи такава възможност за иск за конкурентите на предполагаемия извършител на посегателство срещу защитата на личните данни въз основа на вътрешното право относно забранените нелоялни търговски практики.

61 Това тълкуване се потвърждава от целите, които преследва ОРЗД, който, както се установява по-конкретно от съображение 10 от него, цели да се гарантира последователно и високо ниво на защита на физическите лица във връзка с обработването на лични данни, както и да се премахнат препятствията пред движението на лични данни в Съюза. В съображение 11 от този регламент се посочва освен това, че ефективната защита на личните данни в рамките на Съюза изисква укрепване и подробно описание на правата на субектите на данните и задълженията на онези, които обработват и определят обработването на личните данни, както и еквивалентни правомощия за наблюдение и гарантиране на спазването на правилата за защита на личните данни и еквивалентни санкции за нарушенията в държавите членки. В съображение 13 от посочения регламент се уточнява, че за да се гарантира съгласувано ниво на защита на физическите лица в целия Съюз и да се попречи на различията да възпрепятстват свободното движение на лични данни в рамките на вътрешния пазар, е необходим регламент, който да осигурява правна сигурност и прозрачност за икономическите оператори, и да предоставя на физическите лица във всички държави членки еднакви по степен законно приложими права и задължения и отговорности за администраторите и обработващите лични данни, както и да осигури последователно наблюдение на обработването на лични данни и еквивалентни санкции във всички държави членки.

62 Възможността за конкурент на дадено предприятие да предяви иск пред гражданските съдилища на основание на забраната на нелоялните търговски практики, за да бъде преустановено нарушение на материалноправните разпоредби на ОРЗД, което се твърди, че е извършено от това предприятие, не само не вреди на тези цели, а напротив, е от естество да засили полезното действие на тези разпоредби, и по този начин високото ниво на защита на субектите на данни при обработването на техните лични данни, което цели този регламент.

63 Всъщност, от една страна, иск за преустановяване на нарушение, предявен срещу дадено предприятие от негов конкурент на основание на забраната на нелоялните търговски практики поради твърдяно нарушение на материалноправните разпоредби на ОРЗД, по никакъв начин не вреди на системата от средствата за правна защита, предвидени в глава VIII от този регламент, нито на целта да се гарантира съгласувано ниво на защита на физическите лица в целия Съюз и да се попречи на различията да възпрепятстват свободното движение на лични данни в рамките на вътрешния пазар.

64 Разбира се, такъв иск може да се основава, макар и инцидентно, на нарушението на същите разпоредби от ОРЗД, като тези, на които би могло да се основава жалба по административен ред или иск, предявен в приложение на членове 77—79 от този регламент от субектите на данни или от структура, организация или сдружение с нестопанска цел по смисъла на член 80 от същия регламент.

65 При все това, първо, за разлика от членове 77—80 от ОРЗД, искът за преустановяване на нарушение, предявен от конкурент, сам по себе си не преследва цел за защита на основните свободи и права на субектите на данни при обработване на личните им данни, а цели да гарантира лоялна конкуренция в интерес по-специално на този конкурент.

66 Второ, възможността за конкурент да предяви такъв иск пред гражданските съдилища на основание на забраната на нелоялните търговски практики се добавя към средствата за правна защита, предвидени в членове 77—79 от ОРЗД, които са запазени изцяло и могат винаги да бъдат използвани от субектите на данни, както и евентуално от структури, организации или сдружения с нестопанска цел по смисъла на член 80 от този регламент.

67 По-специално, както отбелязва германското правителство, успоредното съществуване на средствата за защита, спадащи към правото на защита на личните данни и към конкурентното право, не създава опасност за еднаквото прилагане на ОРЗД. В този контекст следва да се отбележи, че от членове 77—80 от този регламент се установява, че той не предвижда приоритетна или изключителна компетентност, нито пък правило за предимство, що се отнася до извършваната от посочените в него административни или съдебни органи преценка налице ли е нарушение на предоставените с посочения регламент права (вж. в този смисъл решение от 12 януари 2023 г., Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, т. 35). Следователно фактът, че искът за преустановяване на нарушение е предявен от конкурент на предполагаемия извършител на посегателство срещу защитата на личните данни пред гражданските съдилища не нарушава системата на средствата за защита, както е замислена в глава VIII от ОРЗД. Впрочем, както отбеляза това правителство еднаквото тълкуване на материалноправните разпоредби на този регламент, които могат да се приложат към едно и също нарушение от надзорния орган или от юрисдикциите, сезирани на основание на членове 77—80 от посочения регламент, от една страна, и от юрисдикциите, сезирани от такъв конкурент на основание на забраната на нелоялните търговски практики, от друга страна, е гарантирано от предвиденото в член 267 ДФЕС преюдициално производство.

68 Трето, както отбелязва по същество генералният адвокат в точка 104 от заключението си, по-широката възможност за позоваване на материалноправните разпоредби на ОРЗД от лица, различни от субектите на данни, структури, организации или сдружения с нестопанска цел по смисъла на член 80 от този регламент, не засяга постигането на целта за последователна и еднородна защита в рамките на Съюза. Всъщност, дори държавите членки да не предвиждат такава възможност, това все пак не би довело до фрагментирането на прилагането на защитата на данни в Съюза, тъй като материалноправните разпоредби на ОРЗД са задължителни по един и същ начин за всички администратори по смисъла на член 4, точка 7 от този регламент и тяхното спазване се осигурява чрез предвидените в този регламент средства за правна защита.

69 От друга страна, що се отнася до целта да се гарантира ефективна защита на субектите на данни при обработване на личните им данни и до полезното действие на материалноправните разпоредби на ОРЗД, следва да се отбележи, че макар не това, а гарантирането на лоялна конкуренция да е целта на иска за преустановяване на нарушение, предявен от конкурент на предполагаемия извършител на посегателство срещу защитата на личните данни, както беше отбелязано в точка 65 от настоящото решение, независимо от това този иск безспорно допринася за спазването на тези разпоредби и следователно за укрепването на правата на субектите на данни и за гарантирането на високо равнище на защита (вж. в този смисъл решение от 28 април 2022 г., Meta Platforms Ireland, C‑319/20, EU:C:2022:322, т. 74).

70 Впрочем, доколкото позволява да се предотвратят множество нарушения на правата на субектите на данни поради обработването на личните им данни, такъв иск за преустановяване на нарушение на конкурент може да се окаже, както искът на сдруженията за защита на интересите на потребителите, особено ефикасен за гарантиране на такава защита (вж. в този смисъл решение от 28 април 2022 г., Meta Platforms Ireland, C‑319/20, EU:C:2022:322, т. 75).

71 От това следва, че тълкуването, възприето в точка 60 от настоящото решение, е в съответствие с изискванията, произтичащи от член 16, параграф 1 ДФЕС и от член 8 от Хартата, а по този начин и с целта на ОРЗД, а именно да се осигури ефективна защита на основните права и свободи на физическите лица, и в частност да се гарантира високо равнище на защита на правото на всяко лице на защита на неговите лични данни (вж. в този смисъл решение от 28 април 2022 г., Meta Platforms Ireland, C‑319/20, EU:C:2022:322, т. 73).

72 В случая запитващата юрисдикция следва да провери дали разглежданото в главното производство предполагаемо нарушение на материалноправните разпоредби на ОРЗД, ако то бъде установено, представлява също и нарушение на забраната на нелоялните търговски практики, както е предвидена в релевантната национална правна уредба.

73 С оглед на изложените съображения на първия въпрос следва да се отговори, че разпоредбите на глава VIII от ОРЗД трябва да се тълкуват в смисъл, че те допускат национална правна уредба, която успоредно с правомощията за намеса на надзорните органи, на които е възложено да наблюдават и да осигуряват прилагането на този регламент, както и с възможностите за правна защита на субектите на данни, предоставя на конкурентите на предполагаемия извършител на посегателство срещу защитата на личните данни активна процесуална легитимация да предприемат срещу него правни действия, като предявят иск пред гражданските съдилища поради нарушения на посочения регламент на основание на забраната на нелоялните търговски практики.

По втория въпрос

74 С втория си въпрос запитващата юрисдикция по същество иска да установи дали член 8, параграф 1 от Директива 95/46 и член 9, параграф 1 от ОРЗД трябва да се тълкуват в смисъл, че в положение, при което лице, стопанисващо аптека, търгува посредством онлайн платформа с лекарствени продукти, които могат да се продават само в аптеките, информацията, която клиентите на това лице въвеждат, когато поръчват онлайн лекарствени продукти, като тяхното име, адрес на доставка и необходимите за индивидуализирането на лекарствените продукти данни, представляват данни, свързани със здравословното състояние, съответно данни за здравословното състояние по смисъла на тези разпоредби, дори когато за продажбата на тези лекарствени продукти не е необходимо лекарско предписание.

75 Член 8, параграф 1 от Директива 95/46 и член 9, параграф 1 от ОРЗД, които имат сходен обхват за целите на тълкуването, което Съдът трябва да направи (решение от 1 август 2022 г., Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, т. 58 и 117) и са свързани, както показват заглавията на тези членове, с обработване на „специални категории“ лични данни, въвеждат принципа на забрана на такова обработване. Всъщност, както изрично се посочва в съображение 51 от този регламент, на личните данни, които по своето естество са особено чувствителни от гледна точка на основните права и свободи, се полага специална защита, тъй като контекстът на тяхното обработване би могъл да създаде значителни рискове за основните права и свободи.

76 Сред тези специални категории лични данни, изброени в списъка по член 8, параграф 1 от Директива 95/46 и член 9, параграф 1 от ОРЗД, са личните данни за здравословното състояние. Съгласно член 4, точка 15 от този регламент, във връзка със съображение 35 от същия регламент, те включват всички лични данни, които разкриват информация за физическото или психическото здравословно състояние на физическо лице в миналото, настоящето или бъдещето, включително данни относно предоставянето на това лице на здравни услуги.

77 Впрочем по-специално от член 4, точка 1 от ОРЗД се установява, че понятието „лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано, а за да може физическо лице да бъде „идентифицирано“, е достатъчно субектът на данни да може да бъде идентифициран, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.

78 Така, когато данните относно покупките на лекарствените продукти позволяват да се направят изводи за здравословното състояние на идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано, те трябва да се считат за данни за здравословното състояние по смисъла на член 4, точка 15 от ОРЗД.

79 В случая от преписката по делото, с която разполага Съдът, се установява, че когато поръчват онлайн в Amazon лекарствени продукти, които могат да се продават само в аптеките, клиентите на ND въвеждат информация като тяхното име, адрес на доставка и елементите, индивидуализиращи лекарствените продукти. Такава информация със сигурност представлява „лични данни“, тъй като се отнася до идентифицирани физически лица или физически лица, които могат да бъдат идентифицирани.

80 В това отношение следва да се определи дали такива данни могат да разкрият информация за здравословното състояние на тези лица по смисъла на член 4, точка 15 от ОРЗД и следователно представляват данни, свързани със здравословното състояние, по смисъла на член 8, параграф 1 от Директива 95/46 и на член 9, параграф 1 от този регламент.

81 Във връзка с това Съдът вече е постановил, че с оглед на целта на Директива 95/46 и на ОРЗД, да се гарантира високо равнище на защита на основните права и свободи на физическите лица, по-конкретно на техния личен живот, при обработването на засягащите ги лични данни, понятието „данни за здравословното състояние“ по член 9, параграф 1 от този регламент, което съответства на понятието „данни свързани със здравословното състояние“ по член 8, параграф 1 от тази директива, трябва да получи широко тълкуване (вж. в този смисъл решения от 6 ноември 2003 г., Lindqvist, C‑101/01, EU:C:2003:596, т. 50, и от 1 август 2022 г., Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, т. 125).

82 По-специално, не е възможно тези разпоредби да се тълкуват в смисъл, че обработването на лични данни, които косвено могат да разкрият чувствителна информация за физическо лице, е изведено от предвидения в посочените разпоредби засилен режим на защита, без да се накърни полезното действие на този режим и защитата на основните права и свободи на физическите лица, която той цели да осигури (решение от 1 август 2022 г., Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, т. 127).

83 Поради това, за да могат лични данни да бъдат квалифицирани като данни, свързани със здравословното състояние, съответно на данни за здравословното състояние по смисъла на член 8, параграф 1 от Директива 95/46 и на член 9, параграф 1 от ОРЗД, достатъчно е те да са от такова естество, че да могат след логическа операция по съпоставяне или дедукция косвено да разкрият информация относно здравословното състояние на субект на данни (вж. в този смисъл решение от 1 август 2022 г., Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, т. 123).

84 Данните, които клиент въвежда в онлайн платформа при поръчка на лекарствени продукти, които могат да се продават само в аптеките, са от такова естество, че могат чрез логическа операция по съпоставяне или дедукция косвено да разкрият информация относно здравословното състояние на субекта на данни по смисъла на член 4, точка 1 от ОРЗД, доколкото тази поръчка предполага установяване на връзка между даден лекарствен продукт, терапевтичните му показания или неговите приложения и идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано от данни като името на това лице или адреса на доставка.

85 Запитващата юрисдикция обаче иска да установи дали фактът, че продажбата на поръчаните лекарствени продукти не изисква лекарско предписание е релевантен, доколкото в този случай би могло тези лекарствени продукти да са предназначени не за клиента, който прави поръчката, а за трети лица.

86 В това отношение следва да се отбележи, че за целите на прилагането на член 8, параграф 1 от Директива 95/46 и на член 9, параграф 1 от ОРЗД в случай на обработване на лични данни от лице, стопанисващо аптека, в рамките на осъществявана дейност чрез онлайн платформа, е необходимо да се провери дали тези данни позволяват да се разкрива информация, която попада в някоя от упоменатите в тези разпоредби категории, независимо дали тази информация се отнася до ползвател на тази платформа или до друго физическо лице. Ако това е така, подобно обработване на лични данни е забранено, при спазване на изключенията, предвидени в параграф 2 от всяка от двете посочени разпоредби (вж. в този смисъл решение от 4 юли 2023 г., Meta Platforms и др. (Общи условия за използване на социална мрежа), C‑252/21, EU:C:2023:537, т. 68).

87 Тази принципна забрана не зависи от обстоятелството дали разкритата от разглежданото обработване информация е вярна или не и дали лицето, стопанисващо аптеката, действа с цел да получи информация, попадаща в някоя от посочените в член 8, параграф 1 от Директива 95/46 и в член 9, параграф 1 от ОРЗД специални категории. Всъщност предвид значителните рискове за основните права и основните свободи на субектите на данни, породени от всяко обработване на лични данни, които попадат в тези категории, предметът на посочените разпоредби е да се забрани това обработване, независимо от обявената цел на обработването и от това дали въпросната информация е вярна (вж. в този смисъл решение от 4 юли 2023 г., Meta Platforms и др. (Общи условия за използване на социална мрежа), C‑252/21, EU:C:2023:537, т. 69 и 70).

88 От това следва, че в случай че ползвател на онлайн платформа съобщава лични данни при поръчката на лекарствени продукти, които могат да се продават само в аптеките, без да е нужно лекарско предписание, обработването на тези лични данни от лицето, стопанисващо аптека, което продава тези лекарствени продукти чрез тази онлайн платформа, трябва да се счита за обработване на данни, свързани със здравословното състояние по член 8, параграф 1 от Директива 95/46 и за обработване на данни за здравословното състояние по член 9, параграф 1 от ОРЗД, тъй като това обработване на лични данни може да разкрие информация относно здравословното състояние на физическо лице, независимо дали тази информация се отнася до този ползвател или за което и да е друго лице, за което той прави поръчката (вж. в този смисъл решение от 4 юли 2023 г., Meta Platforms и др. (Общи условия за използване на социална мрежа), C‑252/21, EU:C:2023:537, т. 73).

89 Всъщност тълкуване на тези разпоредби, в резултат на което се прави разграничение в зависимост от вида на съответните лекарствени продукти и от това дали за продажбата им се изисква лекарско предписание не би било в съответствие с целта за високо равнище на защита, припомнена в точка 81 от настоящото решение. Такова тълкуване освен това би противоречало на целта на член 8, параграф 1 от Директива 95/46 и на член 9, параграф 1 от ОРЗД, а именно да се осигури повишена защита срещу обработвания, които поради особената чувствителност на обработваните данни могат да съставляват, както следва от съображение 51 от ОРЗД, особено тежко вмешателство в основните права на зачитане на личния живот и на защита на личните данни, гарантирани с членове 7 и 8 от Хартата (решение от 1 август 2022 г., Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, т. 126 и цитираната съдебна практика).

90 Следователно информацията, която клиентите на лице, стопанисващо аптека въвеждат, когато поръчват онлайн лекарствени продукти, които могат да се продават само в аптеките, без да се изисква лекарско предписание, представляват данни, свързани със здравословното състояние, по смисъла на член 8, параграф 1 от Директива 95/46 и данни за здравословното състояние по смисъла на член 9, параграф 1 от ОРЗД, дори ако има само известна вероятност, а не е абсолютно сигурно, че тези лекарствени продукти са предназначени за тези клиенти.

91 Впрочем не би могло да се изключи, че дори в хипотезата, при която такива лекарствени продукти са предназначени за лица, различни от клиентите, е възможно тези лица да бъдат идентифицирани и да се направят изводи относно здравословното им състояние. Такъв би могъл да бъде случаят например, когато въпросните лекарствени продукти се доставят не в жилището на клиента, който ги е поръчал, а в жилището на друго лице или когато, независимо от адреса на доставка в поръчката си или в съобщенията си във връзка с нея, клиентът сочи друго физическо лице, което може да бъде идентифицирано, като член на семейството например. Също така, когато поръчката изисква клиентът да се идентифицира и/или да се регистрира, например като създаде клиентски профил или се включи към програма за редовни клиенти, не е изключено въведената от клиента информация в този контекст да може да се използва, за да се направят изводи не само относно здравословното състояние на този клиент, но също и относно това на друго лице по-специално в съчетание с информацията относно поръчаните лекарствени продукти.

92 Накрая, както беше припомнено в точка 86 от настоящото решение, фактът, че информация като тази, предмет на главното производство, съдържа данни, свързани със здравословното състояние, по смисъла на член 8, параграф 1 от Директива 95/46 и данни за здравословното състояние, по смисъла на член 9, параграф 1 от ОРЗД, не е пречка, както по-специално се установява от съображение 53 от същия регламент, тази информация да може да бъде подложена на обработване, по-специално в рамките на управлението на услугите и на системите за здравни грижи, ако е изпълнено едно от условията, посочени в параграф 2 от всяка от тези разпоредби.

93 Това по-конкретно може да бъде така, от една страна, когато в съответствие с буква а) от този параграф 2, и при спазване на предвиденото в тази разпоредба изключение, субектът на данни даде изрично съгласието си за едно или повече обработвания на тези лични данни, чиито специфични характеристики и цели са му били представени точно, пълно и лесно за разбиране, от друга страна, такова обработване може да бъде допустимо на основание на член 9, параграф 2, буква з) от ОРЗД, когато това обработване е необходимо за осигуряването на здравни грижи въз основа на правото на Съюза или правото на държава членка или съгласно договор с медицинско лице.

94 С оглед на изложеното на втория въпрос следва да се отговори, че член 8, параграф 1 от Директива 95/46 и член 9, параграф 1 от ОРЗД трябва да се тълкуват в смисъл, че в положение, при което лицето, стопанисващо аптека, търгува през онлайн платформа лекарствени продукти, които могат да се продават само в аптеките, информацията, която клиентите на това лице въвеждат, когато поръчват онлайн лекарствени продукти, като тяхното име, адреса на доставка и необходимите за индивидуализиране на лекарствените продукти данни, представляват лични данни, свързани със здравословното състояние, съответно данни за здравословното състояние, по смисъла на тези разпоредби, дори когато за продажбата на тези лекарствени продукти не се изисква лекарско предписание.

По съдебните разноски

95 С оглед на обстоятелството, че за страните по главното производство настоящото дело представлява отклонение от обичайния ход на производството пред запитващата юрисдикция, последната следва да се произнесе по съдебните разноски. Разходите, направени за представяне на становища пред Съда, различни от тези на посочените страни, не подлежат на възстановяване.

По изложените съображения Съдът (голям състав) постанови:

1) Разпоредбите на глава VIII от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент за защитата на личните данни)

трябва да се тълкуват в смисъл, че

допускат национална правна уредба, която успоредно с правомощията за намеса на надзорните органи, на които е възложено да наблюдават и да осигуряват прилагането на този регламент, както и с възможностите за правна защита на субектите на данни, предоставя на конкурентите на предполагаемия извършител на посегателство срещу защитата на личните данни активна процесуална легитимация да предприемат срещу него правни действия, като предявят иск пред гражданските съдилища поради нарушения на посочения регламент на основание на забраната на нелоялните търговски практики.

2) Член 8, параграф 1 от Директива 95/46/EО на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни и член 9, параграф 1 от Регламент 2016/679

трябва да се тълкуват в смисъл, че

в положение, при което лицето, стопанисващо аптека, търгува през онлайн платформа лекарствени продукти, които могат да се продават само в аптеките, информацията, която клиентите на това лице въвеждат, когато поръчват онлайн лекарствени продукти, като тяхното име, адреса на доставка и необходимите за индивидуализиране на лекарствените продукти данни, представляват лични данни, свързани със/за здравословното състояние, по смисъла на тези разпоредби, дори когато за продажбата на тези лекарствени продукти не се изисква лекарско предписание.

Подписи:

( *1 ) Език на производството: немски.

EurLex
Връзка към EurLex
Тематични области
Тагове
Относими актове на ЕС
Договор за функционирането на Европейския съюз Хартата на основните права на ЕС Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за... Директива 95/46
Информация за акта
Маркиране
Зареждане ...
Зареждане...