This document is an excerpt from the EUR-Lex website
Document 62023CC0021
Opinion of Advocate General Szpunar delivered on 25 April 2024.###
Заключение на генералния адвокат M. Szpunar, представено на 25 април 2024 г.
Заключение на генералния адвокат M. Szpunar, представено на 25 април 2024 г.
Court reports – general
ECLI identifier: ECLI:EU:C:2024:354
Неокончателна редакция
ЗАКЛЮЧЕНИЕ НА ГЕНЕРАЛНИЯ АДВОКАТ
M. SZPUNAR
представено на 25 април 2024 година(1)
Дело C‑21/23
ND
срещу
DR
(Преюдициално запитване, отправено от Bundesgerichtshof (Федерален върховен съд, Германия)
„Преюдициално запитване — Защита на личните данни — Регламент (ЕС) 2016/679 — Способи за защита — Определяне на способите за защита — Обработване на специални категории лични данни — Понятия за данни, свързани със здравословното състояние, и за данни за здравословното състояние“
I. Въведение
1. Настоящото дело се отнася до тълкуването на няколко разпоредби от Регламент (ЕС) 2016/679(2) (наричан по-нататък „ОРЗД“), що се отнася, от една страна, до установената с този регламент система от способи за защита, и от друга страна, до категорията особено чувствителни данни, а именно „данните за здравословното състояние“.
2. Преюдициалното запитване е отправено в рамките на производство по иск за преустановяване на нарушение, основан на предвидената в националното право забрана за извършване на действия на нелоялна конкуренция и предявен от предприятие с цел да се преустанови продажбата по интернет от един от неговите конкуренти на лекарствени продукти, за които не се изисква лекарско предписание. Според това предприятие актът на нелоялна конкуренция, който се твърди, че е извършен, се състои в неспазване на произтичащите от ОРЗД изисквания, що се отнася до обработването на „данни за здравословното състояние“.
3. Ще започна анализа си с разглеждането на втория преюдициален въпрос, който ще позволи на Съда да уточни границите на понятието „данни за здравословното състояние“, които определят дали да се прилага засилен режим на защита.
4. Всъщност, ако разглежданите по настоящото дело данни не могат да бъдат квалифицирани като „данни за здравословното състояние“ по смисъла на член 9, параграф 1 от ОРЗД, от това би следвало, че твърдяното действие на нелоялна конкуренция не е налице. При това положение не би било полезно да се отговаря на първия преюдициален въпрос, а именно дали установената с ОРЗД система от способи за защита позволява в националното право да бъде предвиден иск, основан на нарушение на правилата за забраната за действия на нелоялна конкуренция, с който ищецът изтъква нарушение на материалноправните разпоредби на ОРЗД.
II. Правна уредба
А. Правото на Съюза
1. Директива 95/46/ЕО
5. Член 8, параграф 1 от Директива 95/46/ЕО(3) предвижда:
„Държавите членки забраняват обработването на лични данни, разкриващи расов или религиозен произход, политически идеи, религиозни или философски убеждения, членство в професионални съюзи, като и обработването на данни, свързани със здравословното състояние и половия живот“.
2. ОРЗД
6. Съображения 9, 10, 13, 35, 51 и 142 от ОРЗД гласят следното:
„(9) Въпреки че целите и принципите на [Директива 95/46] ѝ дават солидна основа, тя не предотврати фрагментирането на прилагането на защитата на данни в Съюза, нито правната несигурност и широко разпространеното в обществото схващане, че съществуват значителни рискове за защитата на физическите лица, по-специално по отношение на дейностите онлайн. Разликите в осигуреното в държавите членки ниво на защита на правата и свободите на физическите лица, по-специално на правото на защита на личните данни, във връзка с обработването на лични данни в държавите членки, могат да възпрепятстват свободното движение на лични данни в рамките на Съюза. Поради това тези разлики може да представляват препятствие за осъществяването на икономически дейности на равнището на Съюза, да нарушават конкуренцията и да възпрепятстват органите при изпълнението на техните отговорности съгласно правото на Съюза. Различието в нивата на защита се дължи на съществуването на разлики при въвеждането и прилагането на [Директива 95/46].
(10) За да се гарантира последователно и високо ниво на защита на физическите лица, както и за да се премахнат препятствията пред движението на лични данни в Съюза, нивото на защита на правата и свободите на физическите лица във връзка с обработването на такива данни следва да бъде равностойно във всички държави членки. Следва да се гарантира последователно и еднородно прилагане в рамките на Съюза на правилата за защита на основните права и свободи на физическите лица във връзка с обработването на лични данни. […]
[…]
(13) За да се гарантира съгласувано ниво на защита на физическите лица в целия Съюз и да се попречи на различията да възпрепятстват свободното движение на лични данни в рамките на вътрешния пазар, е необходим регламент, който да осигурява правна сигурност и прозрачност за икономическите оператори, включително за микропредприятията и малките и средните предприятия, и да предоставя на физическите лица във всички държави членки еднакви по степен законно приложими права и задължения и отговорности за администраторите и обработващите лични данни, както и да осигури последователно наблюдение на обработването на лични данни, еквивалентни санкции във всички държави членки и ефективно сътрудничество между надзорните органи на различните държави членки. […]
[…]
(35) Личните данни за здравословното състояние следва да обхващат всички данни, свързани със здравословното състояние на субекта на данните, които разкриват информация за физическото или психическото здравословно състояние на субекта на данните в миналото, настоящето или бъдещето. Това включва информация относно физическото лице, събрана в хода на регистрацията за здравни услуги или тяхното предоставяне, както е посочено в [Директива 2011/24(4)], на същото физическо лице; номер, символ или характеристика, определени за дадено физическо лице с цел уникалното му идентифициране за здравни цели; информация, получена в резултат от изследването или прегледа на част от тялото или на телесно вещество, включително от генетични данни и биологични проби; и всякаква информация, например за заболяване, увреждане, риск от заболяване, медицинска история, клинично лечение или физиологично или биомедицинско състояние на субекта на данните, независимо от източника на информация, като например лекар или друг медицински специалист, болница, медицинско изделие или ин витро диагностично изследване.
[…]
(51) На личните данни, които по своето естество са особено чувствителни от гледна точка на основните права и свободи, се полага специална защита, тъй като контекстът на тяхното обработване би могъл да създаде значителни рискове за основните права и свободи. […] Тези лични данни не следва да се обработват, освен ако обработването не е разрешено в определени случаи, предвидени в настоящия регламент, като се има предвид, че в правото на държавите членки могат да бъдат определени специфични разпоредби за защита на данните с цел да се адаптира прилагането на съдържащите се в настоящия регламент правила за спазване на правно задължение или за изпълнение на задача от обществен интерес или свързана с упражняването на официални правомощия, предоставени на администратора на лични данни. В допълнение към конкретните изисквания за такова обработване следва да се прилагат общите принципи и другите правила, залегнали в настоящия регламент, по-специално по отношение на условията за законосъобразно обработване. Дерогации от общата забрана за обработване на такива специални категории лични данни следва изрично да бъдат предвидени, inter alia, когато субектът на данните даде изричното си съгласие или във връзка с конкретни нужди, по-специално когато обработването се извършва в хода на законната дейност на някои сдружения или фондации, чиято цел е да се позволи упражняването на основните свободи.
[…]
(142) Когато субектът на данни смята, че правата му по настоящия регламент са нарушени, той следва да има право да възложи на структура, организация или сдружение с нестопанска цел, което е учредено съгласно правото на държава членка, има уставни цели, които са от обществен интерес, и работи в областта на защитата на личните данни, да подаде жалба от негово име до надзорен орган, да упражни правото на средства за съдебна защита от името на субектите на данни или ако то е предвидено в правото на държавата членка да упражни правото на обезщетение от името на субектите на данни. Държавите членки могат да предвидят такава структура, организация или сдружение да има право да подаде в тази държава членка жалба, независимо от възложения от субекта на данни мандат, и право на ефективни правни средства за защита, когато има основания да смята, че правата на субект на данни са били нарушени в резултат на обработване на лични данни, което нарушава настоящия регламент. Тази структура, организация или сдружение не може да има право да претендира за обезщетение от името на субекта на данни, независимо от възложения от субекта на данни мандат“.
7. Член 1 от този регламент е озаглавен „Предмет и цели“ и гласи:
„1. С настоящия регламент се определят правилата по отношение на защитата на физическите лица във връзка с обработването на лични данни, както и правилата по отношение на свободното движение на лични данни.
2. С настоящия регламент се защитават основни права и свободи на физическите лица, и по-специално тяхното право на защита на личните данни.
3. Свободното движение на лични данни в рамките на Съюза не се ограничава, нито се забранява по причини, свързани със защитата на физическите лица във връзка с обработването на лични данни“.
8. Член 4 от посочения регламент предвижда:
„За целите на настоящия регламент:
1) „лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;
[…]
15) „данни за здравословното състояние“ означава лични данни, свързани с физическото или психическото здраве на физическо лице, включително предоставянето на здравни услуги, които дават информация за здравословното му състояние;
[…]“.
9. Съгласно член 9 от същия регламент, озаглавен „Обработване на специални категории лични данни“:
„1. Забранява се обработването на лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, както и обработването на генетични данни, биометрични данни за целите единствено на идентифицирането на физическо лице, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице.
2. Параграф 1 не се прилага, ако е налице едно от следните условия:
a) субектът на данни е дал своето изрично съгласие за обработването на тези лични данни за една или повече конкретни цели, освен когато в правото на Съюза или правото на държава членка се предвижда, че посочената в параграф 1 забрана не може да бъде отменена от субекта на данни;
[…]
з) обработването е необходимо за целите на превантивната или трудовата медицина, за оценка на трудоспособността на служителя, медицинската диагноза, осигуряването на здравни или социални грижи или лечение, или за целите на управлението на услугите и системите за здравеопазване или социални грижи въз основа на правото на Съюза или правото на държава членка или съгласно договор с медицинско лице и при условията и гаранциите, посочени в параграф 3;
[…]“.
10. Членове 77—84 са включени в глава VIII от ОРЗД, озаглавена „Средства за правна защита, отговорност за причинени вреди и санкции“.
11. Член 77 от този регламент е озаглавен „Право на подаване на жалба до надзорен орган“ и параграф 1 от него предвижда:
„Без да се засягат които и да било други административни или съдебни средства за правна защита, всеки субект на данни има право да подаде жалба до надзорен орган, по-специално в държавата членка на обичайно местопребиваване, място на работа или място на предполагаемото нарушение, ако субектът на данни счита, че обработването на лични данни, отнасящи се до него, нарушава разпоредбите на настоящия регламент“.
12. Член 78 от посочения регламент е озаглавен „Право на ефективна съдебна защита срещу надзорен орган“ и параграф 1 от него гласи:
„Без да се засягат които и да било други административни или несъдебни средства за защита, всяко физическо и юридическо лице има право на ефективна съдебна защита срещу отнасящо се до него решение със задължителен характер на надзорен орган“.
13. Член 79 от същия регламент е озаглавен „Право на ефективна съдебна защита срещу администратор или обработващ лични данни“ и параграф 1 от него предвижда:
„Без да се засягат които и да било налични административни или несъдебни средства за защита, включително правото на подаване на жалба до надзорен орган съгласно член 77, всеки субект на данни има право на ефективна съдебна защита, когато счита, че правата му по настоящия регламент са били нарушени в резултат на обработване на личните му данни, което не е в съответствие с настоящия регламент“.
14. Член 80 от ОРЗД е озаглавен „Представителство на субектите на данни“ и гласи:
„1. Субектът на данни има право да възложи на структура, организация или сдружение с нестопанска цел, което е надлежно учредено в съответствие с правото на държава членка, има уставни цели, които са в обществен интерес, и действа в областта на защитата на правата и свободите на субекта на данни по отношение на защитата на неговите лични данни, да подаде жалба от негово име и да упражни от негово име правата по членове 77, 78 и 79, както и правото на обезщетение по член 82, когато то е предвидено в правото на държавата членка.
2. Държавите членки могат да предвидят всяка структура, организация и сдружение по параграф 1 от настоящия член, независимо от възложения от субекта на данни мандат, да има право да подаде в съответната държава членка жалба до надзорния орган, който е компетентен съгласно член 77, и да упражни правата по членове 78 и 79, ако счита, че правата на субект на данни съгласно настоящия регламент са били нарушени в резултат на обработването на лични данни“.
15. Член 82 от този регламент е озаглавен „Право на обезщетение и отговорност за причинени вреди“ и параграф 1 от него предвижда:
„Всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на настоящия регламент, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди“.
16. Член 84 от посочения регламент е озаглавен „Санкции“ и параграф 1 от него гласи:
„Държавите членки определят правила за други санкции, приложими за нарушения на настоящия регламент по-специално за нарушения, които не подлежат на административно наказание „глоба“ или „имуществена санкция“ съгласно член 83, и вземат всички необходими мерки за гарантиране на тяхното прилагане. Тези санкции са ефективни, пропорционални и възпиращи“.
Б. Германското право
1. Закон за мерките срещу нелоялната конкуренция
17. Член 3 от Gesetz gegen den unlauteren Wettbewerb (Закон за мерките срещу нелоялната конкуренция) от 3 юли 2004 г.(5), в редакцията му, приложима за спора в главното производство (наричан по-нататък „Законът за мерките срещу нелоялната конкуренция“), e озаглавен „Забрана за нелоялно търговско поведение“ и параграф 1 от него предвижда, че „[н]елоялните търговски практики са незаконни“.
18. Член 3а от този закон, озаглавен „Правонарушения“ гласи следното:
„Който нарушава законова разпоредба, предназначена в частност да регулира пазарното поведение в интерес на участниците на пазара, извършва акт на нелоялна конкуренция, когато нарушението може да засегне съществено интересите на потребителите, на другите участници на пазара или на конкурентите“.
19. Член 8 от посочения закон е озаглавен „Премахване и бездействие“ и предвижда:
„(1) Срещу всяка незаконна търговска практика по смисъла на членове 3 или 7 може да бъде предявен иск за преустановяването ѝ, а при опасност от повторност — за забраната ѝ. […]
[…]
(3) Исковете по параграф 1 може да предявява:
[…]
1. всеки конкурент, който пуска на пазара или търси стоки или услуги, когато тази дейност не е незначителна и случайна,
[…]“.
2. Законът за лекарствените продукти
20. Търговията с лекарствените продукти е регламентирана в Arzneimittelgesetz (Закон за лекарствените продукти) от 24 август 1976 г., в редакцията му, публикувана на 12 декември 2005 г.(6), последно изменен с член 8c от Закона от 20 декември 2022 г.(7) Този закон прави разграничение между продаваните в аптека лекарствени продукти, посочени в членове от 43 („Задължение за разпространение в аптека“) до 47, и продаваните по лекарско предписание лекарствени продукти, посочени в член 48 („Задължение за лекарско предписание“).
III. Фактите в главното производство, производството и преюдициалните въпроси
21. Както ND, така и DR стопанисват аптека. Жалбоподателят в главното производство, ND, притежава освен това разрешение за дистанционна продажба и продава също продуктите си, включително лекарствени продукти, които задължително следва да се разпространява само в аптека, посредством „Amazon-Marketplace“ (наричана по-нататък: „Amazon“), платформа за електронна търговия, чрез която продавачите могат да предлагат за продажба продукти директно на потребителите.
22. Ответникът в главното производство, DR, предявява иск за преустановяване на нарушението с цел на ND да бъде забранена търговия на платформата за онлайн продажба Amazon с лекарствени продукти, които задължително следва да се разпространява само в аптека. Според DR такава търговия представлява действие, съставляващо нелоялна търговска практика, доколкото води до нарушаване от страна на ND на законова разпоредба по смисъла на член 3а от Закона за мерките срещу нелоялната конкуренция, а именно на член 9 от ОРЗД относно получаването на предварително изрично съгласие от клиента за обработването на неговите лични данни за здравословното състояние.
23. Landgericht Dessau-Roßlau (Областен съд Десау-Рослау, Германия) уважава този иск. След това Oberlandesgericht Naumburg (Висш областен съд Наумбург, Германия) отхвърля подадената от ND жалба, като постановява, че продажбата от същия посредством Amazon на лекарствени продукти, които задължително следва да се разпространява само в аптека, е в противоречие със Закона за мерките срещу нелоялната конкуренция. Всъщност според този съд въпросната търговия представлява обработване на данни за здравословното състояние по смисъла на член 9, параграф 1 от ОРЗД, за което клиентите не са дали изрично съгласието си. Разпоредбите на ОРЗД обаче трябва да се считат за правила за пазарно поведение по смисъла на националното конкурентно право, така че в качеството си на конкурент DR е имал право да предяви иск за преустановяване на нарушение, основан на националното конкурентно право, като се позове на нарушение от страна на ND на разпоредбите на този регламент.
24. ND подава ревизионна жалба пред запитващата юрисдикция, Bundesgerichtshof (Федерален върховен съд, Германия), в която поддържа исканията си за отхвърляне на иска за преустановяване на нарушение.
25. Според запитващата юрисдикция изходът на делото по ревизионната жалба зависи от тълкуването както на глава VIII от ОРЗД, така и на член 9 от този регламент, а също и на член 8, параграф 1 от Директива 95/46.
26. Всъщност, от една страна, тази юрисдикция подчертава, че е важно да се определи дали ищецът в главното производство, в качеството си на конкурент, има необходимата процесуална легитимация, въз основа на забраната за нелоялни търговски практики, да предяви пред гражданските съдилища иск за нарушаване на ОРЗД срещу нарушителя. Запитващата юрисдикция уточнява, че това е спорен въпрос, на който може да се отговори, че съдържащите се в ОРЗД правила за прилагане на разпоредбите му са изчерпателни, поради което е изключена активната процесуална легитимация на конкурентите на основание на конкурентното право. При все това може да се твърди също, че разпоредбите на ОРЗД, установени с оглед контрола върху прилагането на правото, не са изчерпателни и че следователно конкурентите разполагат с необходимата процесуална легитимация чрез средство за съдебна защита да упражнят правото си да искат преустановяване, като сочат нарушения на този регламент.
27. От друга страна, запитващата юрисдикция поддържа, че следва да се определи дали данните, които клиентите трябва да въведат, за да поръчат онлайн лекарствени продукти, които е задължително да се разпространяват само в аптеки, за които обаче не се изисква лекарско предписание, представляват здравни данни по смисъла на член 9, параграф 1 от ОРЗД и преди това на член 8, параграф 1 от Директива 95/46, доколкото правото да се иска преустановяване съществува само ако поведението на ND е било незаконосъобразно както към момента на реализирането му, така и към момента на съдебното заседание за разглеждане на ревизионната жалба.
28. При тези обстоятелства Bundesgerichtshof (Федерален върховен съд) решава да спре производството и да постави на Съда следните преюдициални въпроси:
„1) Допускат ли разпоредбите на глава VIII от [ОРЗД] национална правна уредба, която — наред с правомощията за намеса на надзорните органи, компетентни за наблюдението и прилагането на Регламента, и възможностите за правна защита на субектите на данни — признава на конкурентите право, въз основа на забраната за нелоялни търговски практики, да предявяват пред гражданските съдилища искове за нарушение на посочения регламент срещу нарушителя?
2) Представляват ли данни за здравословното състояние по смисъла на член 9, параграф 1 от [ОРЗД] или данни, свързани със здравословното състояние, по смисъла на член 8, параграф 1 от Директива 95/46 данните, които клиентите на работещ чрез интернет платформа за продажби фармацевт предоставят в тази интернет платформа при поръчката на лекарствени продукти (име на клиента, адрес на доставка и информация, необходима за индивидуализирането на поръчания лекарствен продукт, който задължително следва да се разпространява само в аптека), като за тези лекарствени продукти, макар че те задължително следва да се разпространяват само в аптеки, не се изисква лекарско предписание?“.
29. Настоящото преюдициално запитване постъпва в Съда на 19 януари 2023 г. Писмени становища представят страните в главното производство, германското правителство и Европейската комисия. Те са представлявани и в съдебното заседание, проведено на 9 януари 2024 г.
IV. Анализ
30. В настоящото дело DR твърди, че ND е нарушил член 9 от ОРЗД, като е обработил данните на клиентите, поръчали онлайн лекарствени продукти, за които не се изисква лекарско предписание, без да спази изискванията за получаване на изричното съгласие на клиентите за обработването на тези данни.
31. С първия преюдициален въпрос запитващата юрисдикция иска по същество да се установи дали разпоредбите на глава VIII от ОРЗД трябва да се тълкуват в смисъл, че не допускат национални разпоредби, които признават на предприятията правото, въз основа на забраната за нелоялни търговски практики, да се позовават на нарушения на материалноправните разпоредби на ОРЗД, за които се твърди, че са извършени от техните конкуренти. С втория преюдициален въпрос тази юрисдикция иска от Съда да установи дали член 9 от ОРЗД трябва да се тълкува в смисъл, че разглежданите данни представляват здравни данни и следователно попадат в обхвата на специалните категории данни, посочени в тази разпоредба(8).
32. В самото начало, както вече подчертах, отбелязвам, че в случай на отрицателен отговор на втория въпрос не следва да се отговаря на първия въпрос, тъй като отговорът на Съда би бил достатъчен, за да може запитващата юрисдикция да реши висящия пред нея спор. При това положение ми се струва уместно да започна анализа си на преюдициалните въпроси с този втори въпрос.
А. По втория преюдициален въпрос
33. С втория преюдициален въпрос запитващата юрисдикция иска по същество да се установи дали данните на клиентите на фармацевт, давани при поръчката на платформа за онлайн продажба на лекарствени продукти, които задължително следва да се разпространяват само в аптеки, но за които не се изисква лекарско предписание, представляват „данни за здравословното състояние“ по смисъла на член 9, параграф 1 от ОРЗД.
34. В самото начало трябва да уточня, че понятието „данни за здравословното състояние“, използвано в член 9, параграф 1 от ОРЗД, е определено в член 4, точка 15 от този регламент. В такъв случай отговорът на втория преюдициален въпрос предполага едновременно тълкуване на тези две разпоредби.
1. По тълкуването на понятието „данни за здравословното състояние“ с оглед на съществуващата съдебна практика
35. Съгласно член 4, точка 15 от ОРЗД „данни за здравословното състояние“ са лични данни, свързани с физическото или психическото здраве на физическо лице, включително предоставянето на здравни услуги, които дават информация за здравословното му състояние.
36. Това определение се подкрепя и от съображение 35 от ОРЗД. Съдът е подчертал в своята практика, че „[това съображение гласи, че] личните данни за здравословното състояние следва да обхващат всички данни, свързани със здравословното състояние на съответното лице, които „разкриват“ информация за физическото или психическото здравословно състояние на съответното лице в миналото, настоящето или бъдещето“(9).
37. Следователно от текста на член 4, точка 15 от ОРЗД, уточнен в съображение 35 от този регламент, е видно, че определящият елемент, за да се установи, че определени лични данни представляват данни за здравословното състояние, е фактът, че въз основа на въпросните данни могат да се направят изводи за здравословното състояние на субекта на данните. С други думи, „данните за здравословното състояние“ не се ограничават до медицинските или пряко свързани със здравословни проблеми данни, а включват и всички данни, които позволяват да се направят изводи за здравословното състояние на субекта на данните, независимо дали става въпрос за болестно или физиологично състояние.
38. Това се потвърждава с оглед на целта, преследвана с член 9 от ОРЗД. Така в практиката си Съдът подчертава, че целта на тази разпоредба е да се осигури повишена защита срещу обработвания, които поради особената чувствителност на обработваните данни могат да съставляват, както следва от съображение 51 от ОРЗД, особено тежко вмешателство в основните права на зачитане на личния живот и на защита на личните данни, гарантирани с членове 7 и 8 от Хартата на основните права на Европейския съюз(10).
39. Особената чувствителност на данните за здравословното състояние всъщност се обяснява с факта, че те се отнасят до информация, която спада към най-интимната сфера на хората и може да разкрие тяхната уязвимост. Тази особена чувствителност и следователно особената им нужда от защита впрочем са признати не само в правото на Съюза, но и в практиката на Европейския съд по правата на човека, който подчертава, че „[о]пазването на поверителността на информацията за здравето е основен принцип на правната система на всички договарящи страни по [Европейската конвенция за защита на правата на човека и основните свободи, подписана в Рим на 4 ноември 1950 г.]“(11).
40. Следователно в светлината на тази цел съгласно практиката на Съда е важно да се даде широко тълкуване на понятието „специални категории лични данни“, към които спадат данните за здравословното състояние, така че те да се отнасят не само за чувствителни по своята същност данни, а и за данни, чрез които след логическа операция по съпоставяне или дедукция косвено се разкрива информация от такова естество(12).
41. В това отношение отбелязвам, че Европейският комитет по защита на данните, създаден с член 68 и сл. от ОРЗД, също възприема подобно схващане за понятието „данни за здравословното състояние“, като подчертава, че квалификацията на информацията като „данни за здравословното състояние“ се определя не само от естеството, присъщо на информацията, но и от обстоятелствата, при които тя се събира и обработва, като дава различни примери в това отношение. Следователно според този комитет „данни за здравословното състояние“ представляват информацията, съдържаща се в медицинско досие, информация, която разкрива здравословното състояние поради съпоставяне с други данни, или информация, които се превръща в здравни данни поради използването ѝ в специфичен контекст, като например информация за пътуване, която се обработва от медицински специалист с цел поставяне на диагноза(13). За сметка на това не представляват „данни за здравословното състояние“ събраните чрез приложение данни, позволяващи да се определи броят на направените крачки от субекта на данни, когато това приложение не може да обвърже тези данни с други данни за този субект и доколкото събраните данни не се обработват в медицински контекст(14).
42. Ето защо от член 4, точка 15 и член 9 от ОРЗД, както са тълкувани в съдебната практика, ясно личи, че за „данни за здравословното състояние“ по смисъла на тези разпоредби трябва да се считат данните, които могат да позволят да се направят изводи за здравословното състояние на субекта на данните.
43. Ето защо отбелязвам, че на пръв поглед не може да се отрече, че поръчката по интернет на лекарствени продукти, за които не се изисква лекарско предписание, включва обработката на данни, които позволяват да се извлече определена свързана със здравето информация или най-малкото дават някои сведения за здравето, доколкото такава поръчка предполага връзка между закупуването на лекарствен продукт — продукт, който par excellence се отнася до здравето — и самоличността на неговия купувач. Според мен обаче и поради причините, които ще изложа по-долу, от информацията, предоставена на Съда от запитващата юрисдикция, е видно, че тази връзка е твърде слаба и от нея могат да се изведат твърде неточни или хипотетични сведения, за да могат разглежданите данни да бъдат квалифицирани като „данни за здравословното състояние“ по смисъла на член 4, точка 15 и член 9 от ОРЗД.
2. По изискването за определена степен на сигурност на изводите, които могат да бъдат направени за здравословното състояние на субекта на данни
44. Трябва да направя някои уточнения относно това тълкуване на понятието „данни за здравословното състояние“, в частност, и на понятието „специална категория данни“ като цяло.
45. От една страна, струва ми се, че въз основа на тези тълкувателни насоки може да се приеме, че даден продукт, поръчан онлайн, може да разкрие обща информация за здравословното състояние на дадено лице, но също така, както следва от член 9 от ОРЗД, расовия или етнически произход, политическите възгледи, религиозните или философските убеждения или сексуалната ориентация на дадено лице. Според мен от поръчаните онлайн стоки могат да бъдат извлечени някои данни относно тези различни обстоятелства, що се отнася до субекта на данни.
46. В подкрепа на това твърдение мога да дам няколко примера. Поръчката на книга на политик може потенциално да укаже привързаност към защитаваните от него идеи, поръчката на облекло може да бъде знак за религиозните убеждения на дадено лице или пък поръчката на еротични аксесоари може да бъде показател за сексуалната ориентация на лицето. Ето защо ми се струва, че е необходимо тълкуването на понятието „данни за здравословното състояние“ да се прецизира допълнително в смисъл, че изводите, които могат да бъдат направени въз основа на свързани с дадена поръчка данни, не трябва да бъдат само евентуални, като в противен случай за голяма част от обработването на данни за онлайн търговия ще бъде приложен режимът, предвиден в член 9, параграф 2 от ОРЗД. С други думи, според мен разкритата от разглежданите данни информация относно здравословното състояние на съответното лице не може да бъде просто предположение, а трябва да бъде с известна степен на сигурност.
47. От друга страна, считам, че освен в случаите, когато данните по своята същност са „данни за здравословното състояние“, въпросът дали данните могат да бъдат квалифицирани по този начин зависи от обстоятелствата във всеки отделен случай. По-конкретно, струва ми се, че изводите, които могат да се направят от тези данни, зависят от контекста, в който са събрани, и от тяхното обработване. Както подчертава Европейският комитет по защита на данните, създаден с член 68 и сл. от ОРЗД, данни, които са на пръв поглед извън медицинската област, като например информация за пътуване, могат все пак да се считат за „данни за здравословното състояние“, когато се анализират в медицински контекст и в съчетание с други данни, за да се установи, в дадения пример, евентуално заразяване с бактерия или вирус в определен регион.
48. По-специално подчертавам, че фактор от особено значение в това отношение е кой е администраторът на данни. Всъщност, след като данните се обработват от орган в областта на здравеопазването, струва ми се, че това може да е показател, че тези данни действително са „данни за здравословното състояние“. За сметка на това същите тези данни биха могли да се квалифицират по различен начин, ако не се обработват от институция в областта на здравеопазването и не могат да бъдат свързани с други данни на съответния субект на данни. С други думи, същите данни могат да разкрият повече информация за здравословното състояние на дадено лице, когато се обработват от институция в областта на здравеопазването, която е компетентна да ги тълкува или разполага с други данни за лицето, отколкото когато се обработват от външен за сектора орган.
49. При това положение считам, че запитващата юрисдикция трябва да извърши проверка както на същността на разглежданите данни, така и на всички обстоятелства, свързани с тяхното обработване, за да определи дали от тях може да се извлече с определена степен на сигурност информация, свързана със здравословното състояние на субекта на данните.
50. С оглед на данните, съдържащи се в акта на запитващата юрисдикция, според мен обаче е възможно да се дадат пояснения, с цел да я насочат при разрешаването на спора в главното производство(15).
3. По релевантните обстоятелства за проверката от запитващата юрисдикция на възможността да бъде извлечена информацията относно здравословното състояние на субекта на данните
51. На първо място, що се отнася до стоките, предмет на поръчката, подчертавам, че въпросните лекарствени продукти, а именно лекарствени продукти, за които не се изисква лекарско предписание, по принцип не се отнасят до лечението на определено състояние, а могат да се използват по-общо за лечение на ежедневни неразположения, с които всеки може да се сблъска и които не са симптоми на конкретно заболяване или здравословно състояние. Освен това тези лекарствени продукти често се купуват и с превантивна цел, за да бъдат на разположение например при нужда или преди заминаване извън обичайното местопребиваване. Например поръчка на парацетамол не позволява да се направи какъвто и да било извод за точното състояние на дадено лице, тъй като тази молекула има действие при лечението на различни видове болка и състояния на треска и често спада към лекарствените продукти, с които лицата разполагат в дома си, без каквато и да е специална необходимост.
52. На второ място, както отбелязва ND, фактът, че дадено лице поръчва онлайн лекарствен продукт, за който не се изисква лекарско предписание, не означава непременно, че ползвател на продукта ще бъде това лице, чиито данни се обработват, а не друго лице от неговото домакинство или кръг. Всъщност често поръчка на сайт за онлайн продажби се прави от лице, регистрирало профил на този сайт, от името и за сметка на лице, което не разполага с такъв. При липсата на предписание, посочващо поименно лицето, за което е предназначен лекарственият продукт, и от което може да се предположи, че ползвателят на лекарствения продукт и купувачът са едно и също лице, от поръчката на свободно достъпен в интернет продукт не може да се направи извод, че този продукт е предназначен да бъде използван само и единствено от купувача. Ето защо от тези данни не може да се направи никакъв извод относно здравословното състояние на лицето, чиито данни се обработват, така че те да могат да бъдат квалифицирани като „данни за здравословното състояние“.
53. Това важи в още по-голяма степен, тъй като, на трето място и освен ако не бъде установено друго при проверките, които запитващата юрисдикция следва да извърши, дадено лице може да направи поръчка по интернет, без да е необходимо да предоставя точни данни за самоличността си, по-специално когато доставката на стоката се извършва не на адреса на съответното лице, а чрез място за доставка, и когато за целите на фактурирането не се изискват никакви други данни за самоличност.
54. Ето защо считам, че на втория преюдициален въпрос следва да се отговори в смисъл, че данните на клиентите на фармацевт, подадени при поръчката на платформа за онлайн продажба на лекарствени продукти, които задължително следва да се разпространяват само в аптеки, но за които не се изисква лекарско предписание, не представляват „данни за здравословното състояние“ по смисъла на член 4, точка 15 и член 9 от ОРЗД, доколкото от тях могат да се направят само хипотетични или неточни изводи относно здравословното състояние на лицето, което прави онлайн поръчката, като запитващата юрисдикция следва да провери това.
55. Освен това трябва да уточня още, че според мен тълкуването на понятието „данни за здравословното състояние“ в смисъл, че в обхвата му попадат данните, давани при поръчката на платформа за онлайн продажба на лекарствени продукти, които задължително следва да се разпространяват само в аптеки, но за които не се изисква лекарско предписание, парадоксално може да доведе до разкриване на повече чувствителна информация поради режима на засилена защита, предвиден в член 9, параграф 2 от ОРЗД. Всъщност искането за изрично съгласие за обработването на данни, които вече са идентифицирани като чувствителни, в крайна сметка би могло да подтикне купувача да разкрие самоличността на крайния ползвател на продукта. При това положение биха могли да се направят по-сигурни изводи относно здравословното състояние на това лице.
Б. По първия преюдициален въпрос
56. С оглед на отговора, който предлагам да се даде на втория преюдициален въпрос, според мен не следва да се отговаря на първия преюдициален въпрос. За изчерпателност и предвид преценката, която запитващата юрисдикция следва да направи, ще анализирам все пак този въпрос, с който запитващата юрисдикция иска по същество да се установи дали разпоредбите на глава VIII от ОРЗД трябва да се тълкуват в смисъл, че не допускат национални разпоредби, които признават на предприятията правото, въз основа на забраната за нелоялни търговски практики, да се позовават на нарушения на материалноправните разпоредби на този регламент, за които се твърди, че са извършени от техните конкуренти.
57. Страните дават на този въпрос диаметрално противоположни отговори. От една страна, според Комисията и ND установената с разпоредбите на глава VIII от ОРЗД система от способи за защита, тълкувана с оглед на целите на този регламент, трябва да бъде разглеждана като изчерпателна система, изключваща всяка възможност за държавите членки да предвиждат алтернативни средства за правна защита в националното право.
58. От друга страна, според германското правителство системата от способи за защита, установена с разпоредбите на глава VIII от ОРЗД, трябва да се разглежда като минимален набор от средства за правна защита, които могат да бъдат допълвани от държавите членки. Неизчерпателният характер на такава система бил обоснован от факта, че ОРЗД има за цел и да защити условията на конкуренция и да предотврати нарушенията, които биха могли да произтекат от различия в нивото на защита на данните, и че възможността конкурент да се позове на нарушение на материалноправните разпоредби на този регламент от страна на друг конкурент засилвала оперативния му характер.
59. Следователно страните формират становищата си около въпроса дали установената с ОРЗД система от способи за защита трябва да бъде разглеждана като система за изчерпателна хармонизация, което според тях обуславя възможността държавите членки да предвидят в националното си право алтернативни на установените с този регламент средства за защита.
60. Въпреки това, макар изводът дали системата от способи за защита е изчерпателна, да е релевантен фактор за предоставянето на полезен отговор на първия преюдициален въпрос, струва ми се, че поради причините, които ще изложа по-долу, за подобен анализ е необходимо първо да се разгледа основният въпрос за идентифицирането на лицата, които се ползват от защитата, предоставена от нормите на ОРЗД, както материално-, така и процесуалноправни. Всъщност, в случай че предприятията, администратори на данни, трябва да се считат за носители на права, предоставени от ОРЗД, считам, че този регламент трябва да се тълкува в смисъл, че изисква от националното право да въведе правно средство за защита на тези права. Ето защо ще започна анализа си с този въпрос, преди да отговоря на въпроса дали системата от способи за защита, въведена с ОРЗД, трябва да бъде разглеждана като изчерпателна система в смисъл, че изключва предоставената в националното право възможност за предприятие да предяви, въз основа на забраната за нелоялни търговски практики, иск за преустановяване на нарушение срещу конкурент, като се позове на нарушение от негова страна на разпоредбите на този регламент.
1. Идентифицирането на носителите на правата, предоставени от ОРЗД
61. Най-напред, ще уточня необходимостта от такова идентифициране, след което ще пристъпя към него, и накрая, ще изложа последиците от идентифицирането на субектите на данни като единствените лица, които се ползват от предоставените с ОРЗД права, за отговора на първия преюдициален въпрос.
а) По необходимостта да бъдат определени носителите на правата, защитени от ОРЗД
62. Според мен необходимостта, за да се отговори на преюдициалния въпрос, първо да се идентифицират носителите на защитените от ОРЗД права, преди да се разгледа въпросът за изчерпателния характер на установената с този регламент система от способи за защита, се обяснява с две причини.
1) Задължението на държавите членки да предвидят средства за защитата на право, произтичащо от правото на Съюза
63. Отбелязвам, че в съдебната практика е безспорно, че, наред с възлагането на задължения на частноправните субекти, правото на Съюза е насочено и към пораждането на права, които стават част от техния патримониум(16), като в това отношение Съдът подчертава, че тези права възникват именно вследствие на задължения, възложени както на частноправните субекти, така и на държавите членки и на институциите на Съюза(17). Всъщност всяко задължение, възложено на физическо или юридическо лице, като общо правило има за последица предоставянето на право в полза на друго лице.
64. Освен това е безспорно, че всяко право, предоставено на частноправен субект от правото на Съюза, води и до наличието на иск или жалба, с който/която именно да се защити това право, като се има предвид, че при липсата на специални норми на правото на Съюза за тази цел държавите членки трябва да гарантират спазването на съответните права в рамките на средствата за защита по вътрешното право(18). Всъщност от съдебната практика ясно личи, че националните юрисдикции са длъжни да защитават правата, които разпоредбите на правото на Съюза предоставят на частноправните субекти(19).
65. Ако, както поддържа германското правителство, ОРЗД трябва да се тълкува в смисъл, че защитава, освен субектите на данни, условията на конкуренция на пазара и следователно в крайна сметка предприятията, би трябвало да се счита, че този регламент поражда права, които стават част от патримониума на последните(20).
66. При това положение, при липсата на изрични разпоредби на правото на Съюза за тази цел, спазването на правата, които предприятията биха извлекли от ОРЗД, би трябвало да може да се осигури в съответствие с правните средства за защита, предвидени от държавите членки.
67. От това следва, че без да е необходимо да се разглежда изчерпателният характер на въведената с ОРЗД система от способи за защита, на първия преюдициален въпрос следва да се отговори, че глава VIII от този регламент трябва да се тълкува не в смисъл, че допуска държавите членки да могат да предвидят възможност за конкурент да предяви иск срещу друго предприятие, като се позове на нарушение на посочения регламент, а по-скоро в смисъл, че изисква спазването на неговите разпоредби да може да бъде гарантирано с правото на дадено предприятие да предяви иск срещу конкурент, като се позовава на нарушаването им от последния(21).
68. Следователно според мен отговорът на първия преюдициален въпрос действително зависи от идентифицирането на носителите на предоставените с ОРЗД права.
2) Двойното измерение на изчерпателността на системата от способи за защита
69. Самото понятие „изчерпателност на системата от способи за защита“ може да има две различни измерения, предполагащи различен анализ, който изисква предварително да се определят лицата, носители на правата, чието спазване се гарантира от такава система.
70. Първото измерение е свързано с изчерпателния характер на системата от способи за защита по отношение на всяко друго средство за защита на същото право. С други думи, става въпрос за изчерпателността на правните средства за защита, предвидени в правото на Съюза за защита на правата, които неговите норми предоставят на частноправните субекти. В практиката си Съдът вече се е произнесъл по последиците от изчерпателния характер на способите за защита, предвидени в правото на Съюза, за защитата на право, което на свой ред е предвидено в правото на Съюза. Така например той трайно приема, че режим на отговорност, който е изчерпателно хармонизиран от правото на Съюза, може все пак да съществува едновременно с предвиден в националното право алтернативен режим на отговорност, който се основава на същите факти и същото основание, при условие че този алтернативен режим не засяга хармонизирания режим и не накърнява неговите цели и полезно действие(22). Следователно сам по себе си изчерпателният характер на система от способи за защита, предвидена в правото на Съюза, не е достатъчен, за да се изключи възможността държава членка да предвиди в националното си право алтернативно средство за защита въз основа на същото право, стига да са спазени определени условия.
71. Второто измерение на понятието „изчерпателност на система от способи за защита“, предвидена в правото на Съюза, е по-широко и се отнася до изчерпателността по отношение на всички други способи за защита, упражнявани от лица, които не са преки носители на предоставените от правото на Съюза права, но които все пак се позовават на тях в рамките на производство по иск или жалба, предвидено в националното право. Ето защо такова схващане за изчерпателността на системата от способи за защита, въведена от правото на Съюза, изисква различен анализ(23).
72. Следователно, за да се извърши релевантен анализ на евентуалния изчерпателен характер на системата от способи за защита, предвидена в ОРЗД, още веднъж е важно да се определят предварително носителите на предоставените с този регламент права, което ще направя в следващото изложение.
б) По идентифицирането на носителите на права, защитени с ОРЗД
73. Персоналният обхват на защитата, предоставена от ОРЗД, според мен трябва да се определи с оглед както на целите, така и на съдържанието на този регламент.
74. Най-напред, що се отнася до целите на ОРЗД, германското правителство изтъква в това отношение, че освен целта да се осигури високо и последователно равнище на защита на физическите лица, този регламент е насочен към установяването на еднакви условия на конкуренция.
75. Наистина, в съображение 9 от ОРЗД се посочва, че разликите в защитата на правото на защита на личните данни във връзка с тяхното обработване могат да нарушат конкуренцията. Според мен обаче подобно уточнение не може да се тълкува като поставянето като цел на ОРЗД да гарантира свободна и ненарушена конкуренция. Струва ми се, че фактът, че различията в законодателствата на държавите членки по отношение на правилата, които трябва да се спазват от предприятията, водят до нарушаване на конкуренцията, е просто констатация, която не е специфична за ОРЗД. След като материалноправните разпоредби уреждат дейността на предприятията на пазара по-строго в една държава членка, отколкото в друга, от това неминуемо произтича определено конкурентно предимство за действащите в последната предприятия спрямо установените в първата, което всеки текст за хармонизация може да поправи.
76. Струва ми се, че в подкрепа на това тълкуване е позоваването в съображение 9 от ОРЗД на необходимостта да се гарантира „свободното движение на лични данни в рамките на Съюза“, потенциално застрашено поради различията в националните правни уредби.
77. Освен това, както отбелязва Комисията в съдебното заседание, съображение 9 от ОРЗД не се отнася до съществуващата между всички предприятия конкуренция, а преди всичко до конкуренцията между предприятията от две различни държави членки, произтичаща от различни правни уредби. С други думи, по същество става въпрос за гарантиране на еднакви условия на конкуренция в различните държави членки чрез прилагането за предприятията на хармонизирани норми, макар тези норми инцидентно да допринасят за това никое предприятие да не се ползва от конкурентно предимство спрямо други предприятия в рамките на една и съща държава членка.
78. Следователно според мен ОРЗД не е насочен към осигуряване на свободна и ненарушена конкуренция в рамките на вътрешния пазар.
79. На следващо място, отбелязвам, че никоя от материалноправните разпоредби на ОРЗД не цели да осигури свободна и ненарушена конкуренция между предприятията и да ги превърне в адресати на въведената с този регламент защита. Напротив, основната им цел е да възложат задължения на предприятията, администратори на данни. Макар да е вярно, както посочих, че всяко задължение, възложено на физическо или юридическо лице, непременно има за съответна последица предоставянето на право на друго лице, единствените лица, които се ползват от разглежданите права, все пак не са предприятията, а лицата, чиито данни се обработват от последните. В това отношение заглавието на ОРЗД е красноречиво, тъй като в него се посочва само защитата на физическите лица.
80. На последно място, що се отнася до процесуалните разпоредби в глава VIII от ОРЗД, подчертавам, както вече отбелязах, че те предоставят защита само на субектите на данни и на образуванията, на които е възложено да ги представляват. Според мен това ограничаване на лицата, които съгласно разпоредбите на ОРЗД могат да търсят съдебна защита, като се позовават на нарушение на защитата на личните им данни, ясно показва, че те са единствените адресати на тази защита. Всъщност според мен би било непоследователно ОРЗД да се използва и като инструмент за защита на правата на конкурентите, без този регламент да предвижда никакво правно средство за защита, за да се позволи на последните да предявят иск или подадат жалба срещу нарушаването на тези права, въпреки че такива способи защита са изрично предвидени, що се отнася до защитата на правата на субектите на данни.
81. Ето защо считам, че предприятията не са адресати на защитата, предвидена в ОРЗД, тъй като този регламент предоставя права само на субектите на данни.
в) По последиците от тълкуването на ОРЗД като защитна норма само за субектите на данни
82. Тълкуването на ОРЗД в смисъл, че разпоредбите на този регламент предоставят права не на предприятията, а само на субектите на данни, води до редица изводи.
83. На първо място, както посочих, това тълкуване според мен изключва възможността да се приеме, че спазването на разпоредбите на ОРЗД трябва да може да се гарантира, като предприятие предяви иск срещу конкурент, позовавайки се на нарушаването на тези разпоредби от конкурента.
84. На второ място, доколкото кръгът на лицата, които се ползват от предоставените с ОРЗД права, е ограничен само до субектите на данни, практиката на Съда относно възможността държавите членки да предвидят в националното право допълнителни средства за правна защита за носителите на тези права, при условие че тези способи за защита не засягат хармонизираната система от способи за защита и не накърняват целите ѝ(24), според мен не може да се приложи пряко към разглежданото положение. Както обаче ще покажа, съответната съдебна практика може да послужи като основа за анализа на това положение.
85. Всъщност съгласно това значение на понятието „изчерпателност на система от способи за защита“ е важно да се определи дали системата от способи за защита, въведена с ОРЗД, трябва да се разбира като изчерпателна система в смисъл, че не допуска възможността в националното право да се предвидят способи за защита, различни от предвидените в този регламент, в полза на субектите на данни.
86. Предмет на главното производство обаче е иск, предявен от предприятие, което не е сред носителите на предоставените с ОРЗД права.
87. При това положение, като се има предвид, че ОРЗД не предоставя никакви права на предприятията и на техните конкуренти, от значение е единствено въпросът дали системата от способи за защита, въведена с ОРЗД, трябва да се разбира като изчерпателна система в смисъл, че този регламент изключва и възможността предприятията да се позовават на нарушение на неговите разпоредби в рамките на предвидените в националното право способи за защита, което ще разгледам сега.
2. Възможността за предявяване на искове, основани на националното право, от лица, които не са носители на предоставените с ОРЗД права
88. Струва ми се, че на въпроса дали разпоредбите относно системата от способи за защита, предвидена в ОРЗД, допускат предприятията да се позовават на нарушение на разпоредбите на този регламент в рамките на предвидените в националното право способи за защита, следва да се отговори на два етапа.
89. Всъщност отговорът на този въпрос предполага да се разгледа, от една страна, възможността на предприятията да се позовават на разпоредбите на ОРЗД, без да са носители на предоставените от тях права, и от друга страна, условията за взаимодействие на подобни средства за защита с предвидената в този регламент система от способи за защита.
90. Що се отнася, на първо място, до възможността предприятията да се позовават на разпоредбите на ОРЗД, отбелязвам, че в рамките на основани на националното право искове, като разглеждания в главното производство, тази възможност е само инцидентна. По-конкретно предприятието предявява иск на основание на националното право, а именно на забраната за нелоялни търговски практики. Следователно нелоялният характер на разглежданото действие произтичал от нарушение на ОРЗД. С други думи, искът не се основава на нарушение на разпоредбите на ОРЗД, а инцидентно отчита такова нарушение(25).
91. Такова инцидентно отчитане обаче вече е прието от Съда, макар и в различен контекст. Всъщност Съдът е постановил в решение Meta Platforms и др. (Общи условия за използване на социална мрежа), че „несъответствието с [ОРЗД] на обработване на данни, което е извършено от предприятие с господстващо положение[,] може да представлява злоупотреба с това положение“(26) и че по принцип е необходимо да се включат „правилата относно защитата на личните данни от правната уредба, която органите за защита на конкуренцията следва да вземат предвид при разглеждането на злоупотреба с господстващо положение“(27). С други думи, Съдът приема, че е налице нарушение на конкурентното право поради нарушение на разпоредбите на ОРЗД.
92. Макар тази констатация да е направена не в рамките на спор между частноправни субекти, а в рамките на проверката на антиконкурентна практика от национален орган за защита на конкуренцията, не виждам никаква причина възможността за инцидентно отчитане на нарушението на разпоредбите на ОРЗД да се ограничи само до тази хипотеза.
93. Всъщност, от една страна, що се отнася до конкурентното право, след като се допуска такова отчитане в областта на public enforcement (прилагането от публичните органи на правилата на Съюза в областта на конкуренцията), струва ми се необходимо то да стане възможно и по отношение на private enforcement (предявяваните в частноправната сфера искове за вреди от нарушение на тези правила), а следователно и по отношение на споровете между частноправни субекти, чието главно основание не е нарушението на предоставено от ОРЗД право, освен ако се приеме, че частноправните субекти не могат да получат обезщетение за вредите, причинени от нарушение на конкурентното право, което обаче е установено от орган за защита на конкуренцията.
94. От друга страна, както посочва генералният адвокат Richard de la Tour, защитата на личните данни може да има „разклонения […] в други области, свързани по-специално с трудовото, конкурентното или потребителското право“(28). Струва ми се, че това влияние на ОРЗД в други области е основание да се приеме, че разпоредбите на този регламент се вземат предвид в рамките на искове или жалби, които се основават главно на разпоредби, които не са свързани с тях.
95. Що се отнася, на второ място, до въпроса за взаимодействието на исковете или жалбите на национално равнище, които предполагат инцидентно отчитане на разпоредбите на ОРЗД, с въведената с този регламент система от способи за защита, считам, че такива средства за правна защита би трябвало да се допускат само при условие че не засягат системата от способи за защита по посочения регламент или постигането на неговите цели.
96. Тези условия са развити в съдебната практика относно изчерпателността на хармонизираната система от способи за защита по отношение на исковете или жалбите на национално равнище, основани на същото право(29). Ето защо ми се струва, че те трябва да бъдат изпълнени на по-силно основание, когато става въпрос за национални норми, които признават на предприятията правото да предявят иск не на основание на същото право, а на основание на националното право, като обаче се позовават на нарушения на материалноправните разпоредби на ОРЗД, за които се твърди, че са извършени от друго предприятие.
97. Следователно е важно да се провери дали в случая тези условия са изпълнени.
98. Най-напред, що се отнася до това дали иск за преустановяване на нарушение, който предприятие предявява срещу конкурент, като се позовава на нарушение от негова страна на разпоредбите на ОРЗД, засяга системата от способи за защита, предвидена в глава VIII от този регламент, считам, че случаят не е такъв. Всъщност тези способи за защита на правата позволяват на субектите на данни или на органите, организациите или сдруженията с нестопанска цел, упълномощени от тях, да подадат жалба до надзорен орган (член 77), да обжалват решение на надзорен орган (член 78), да предявят иск срещу администратор или обработващ лични данни (член 79) или да получат обезщетение от администратора или обработващия лични данни за вреди в резултат от нарушение на Регламента (член 82).
99. С други думи, както е подчертал Съдът в своята практика, глава VIII от ОРЗД „урежда […] способите за защита на правата на субекта на данни, когато негови лични данни са били подложени на обработване, за което се твърди, че противоречи на разпоредбите на посочения регламент“, като защитата на тези права може „да се иска или пряко от субекта на данни, или […] от оправомощено образувание, със или без мандат за тази цел“(30).
100. При това положение искът, който дадено предприятие може да предяви срещу конкурент, като се позове на нарушение на ОРЗД от последния, наистина в крайна сметка се основава на нарушение на една и съща разпоредба, но не преследва същата цел и не е между същите страни. С други думи, такова средство за защита, предвидено в националното право, не е предназначено да гарантира спазването на правата, които имат субектите на данни.
101. Според мен от това следва, че правните средства за защита, с които разполагат субектите на данни в рамките на въведената с ОРЗД система от способи за защита, се запазват и могат да бъдат упражнени дори и в случай на иск, предявен от предприятие срещу конкурент.
102. В това отношение трябва също да уточня, че не виждам в каква степен, както поддържа Комисията, такива способи за защита биха могли да застрашат обществената система за контрол върху прилагането на правото, установена с ОРЗД, доколкото този регламент вече изрично предвижда, наред с такава обществена система, възможността субект на данни да се позове на правата, които черпи от ОРЗД в рамките на съдебно производство.
103. На следващо място, що се отнася до преследваните с ОРЗД цели, от съображение 10 от него следва, че този регламент цели по-специално да се гарантира както високо ниво на защита на физическите лица, така и последователно и еднородно прилагане на правилата за защита на основните права и свободи на физическите лица във връзка с обработването на лични данни.
104. Според мен предоставената на дадено предприятие възможност да предяви, въз основа на забраната за нелоялни търговски практики, иск за преустановяване на нарушение срещу конкурент, като се позове на допуснато от този конкурент нарушение на разпоредбите на ОРЗД, не застрашава постигането на нито една от тези цели. От една страна, считам, че високото равнище на защита на физическите лица при обработването на личните им данни е постигнато и дори е подсилено от възможността, чийто обхват е разширен, така че позволява на дадено предприятие да се позове на нарушение на материалноправните разпоредби на ОРЗД, допуснато от негов конкурент. От друга страна, по-широката възможност за позоваване на тези разпоредби от лица, различни от субектите на данни, не засяга постигането на целта за последователна и еднородна защита в рамките на Съюза. Всъщност, дори държавите членки да не предвиждат такава възможност, това все пак не би довело до фрагментирането на прилагането на защитата на данни в Съюза, тъй като материалноправните разпоредби на ОРЗД са задължителни по един и същ начин за всички предприятия и тяхното спазване се осигурява чрез предвидените в този регламент средства за правна защита.
105. И накрая, що се отнася до полезното действие на ОРЗД, то далеч не е поставено под съмнение от предоставената на дадено предприятие възможност да предяви иск за преустановяване на нарушение срещу конкурент, като се позове на нарушение на ОРЗД, а ми се струва, както вече споменах, че се засилва от факта, че спазването на разпоредбите на този регламент може да се осигури и в рамките на съдебни производства, различни от тези, предвидени в системата от способи за защита, установена с този регламент.
106. При това положение считам, че иск за преустановяване на нарушение, който предприятие предявява срещу конкурент, като се позовава на нарушение от страна на конкурента на разпоредбите на ОРЗД, може да съществува едновременно с правните средства за защита, установени в глава VIII от ОРЗД, доколкото той не ги засяга и не накърнява целите и полезното действие на този регламент.
107. Ето защо предлагам на Съда да постанови, че разпоредбите на глава VIII от ОРЗД допускат национални разпоредби, които признават на предприятията правото да се позоват, въз основа на забраната за нелоялни търговски практики, на нарушения на материалноправните разпоредби на този регламент, за които се твърди, че са извършени от техните конкуренти.
V. Заключение
108. С оглед на всички изложени по-горе съображения предлагам на поставените от Bundesgerichtshof (Федерален върховен съд, Германия) преюдициални въпроси да се отговори по следния начин:
„Член 4, точка 15 и член 9, параграф 1 от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните)
трябва да се тълкува в смисъл, че
данните на клиентите на фармацевт, давани при поръчката на платформа за онлайн продажба на лекарствени продукти, които задължително следва да се разпространяват само в аптеки, но за които не се изисква лекарско предписание, не представляват „данни за здравословното състояние“.
1 Език на оригиналния текст: френски.
2 Регламент на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) (ОВ L 119, 2016 г., стр. 1 и поправка в ОВ L 127, 2018 г., стр. 2).
3 Директива на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни (ОВ L 281, 1995 г., стр. 31; Специално издание на български език, 2007 г., глава 13, том 17, стр. 10).
4 Директива на Европейския парламент и на Съвета от 9 март 2011 година за упражняване на правата на пациентите при трансгранично здравно обслужване (ОВ L 88, 2011 г., стр. 45).
5 BGBl. 2004 I, стр. 1414.
6 BGBl. 2005 I, стр. 3394.
7 BGBl. 2022 I, стр. 2793.
8 В това отношение подчертавам, че запитващата юрисдикция пита Съда и относно понятието „данни, свързани със здравословното състояние“ по смисъла на член 8, параграф 1 от Директива 95/46. Считам обаче, че не следва да се прави разграничение между тази разпоредба и член 9, параграф 1 от ОРЗД, доколкото за тези разпоредби трябва да счита, че имат сходен обхват за нуждите на тълкуването, което Съдът трябва да даде в настоящото дело. Вж. по този въпрос решение от 1 август 2022 г., Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, т. 58). Ето защо в анализа си ще се позовавам само на член 9, параграф 1 от ОРЗД, като казаното важи и за член 8, параграф 1 от Директива 95/46.
9 Решение от 1 август 2022 г., Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, т. 124).
10 Решение от 1 август 2022 г., Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, т. 126).
11 ЕСПЧ, 25 февруари 1997 г., Z с/у Финландия (CE:ECHR:1997:0225, т. 95). Освен това Европейският съд по правата на човека подчертава, че повишената защита на здравните данни е „от решаващо значение не само за закрилата на личния живот на болните, но и за запазването на доверието им в медицинските специалисти и в здравните служби като цяло“.
12 Решение от 1 август 2022 г., Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, т. 123).
13 Насоки 03/2020 на Европейския комитет по защита на данните относно обработването на данни за здравословното състояние с научноизследователска цел в контекста на пандемията от COVID‑19, стр. 5.
14 Вж. Bygrave, L.A., Tosoni, L., „Article 4(15)“ — The EU General Data Protection Regulation (GDPR), a Commentary, Kuner, C., Bygrave, L.A., Docksey, C. (eds), Oxford University Press, 2020, p. 222.
15 Решение от 24 февруари 2022 г., Главна дирекция „Пожарна безопасност и защита на населението“ (C‑262/20, EU:C:2022:117, т. 71).
16 Решения от 19 ноември 1991 г., Francovich и др. (C‑6/90 и C‑9/90, EU:C:1991:428, т. 31), и от 20 септември 2001 г., Courage и Crehan (C‑453/99, EU:C:2001:465, т. 19).
17 Решение от 20 септември 2001 г., Courage и Crehan (C‑453/99, EU:C:2001:465, т. 19).
18 Вж. по този въпрос Van Gerven, W., „Of Rights, Remedies and Procedures“ — Common Market Law Review, том 3, № 3, 2000, p. 501—536.
19 Решение от 20 септември 2001 г., Courage и Crehan (C‑453/99, EU:C:2001:465, т. 25).
20 Решение от 19 ноември 1991 г., Francovich и др. (C‑6/90 и C‑9/90, EU:C:1991:428, т. 31) и от 20 септември 2001 г., Courage и Crehan (C‑453/99, EU:C:2001:465, т. 19).
21 Подобно разрешение вече е възприето от Съда по отношение по-специално на Регламент (ЕИО) № 1035/72 на Съвета от 18 май 1972 година относно общата организация на пазара на плодове и зеленчуци (ОВ L 118, 1972 г., стр. 1). То се основава единствено на факта, че този текст цели също да гарантира лоялната търговия и прозрачността на пазарите, така че граждански иск, предявен от предприятие срещу конкурент с цел да бъде принуден да спазва предвидените в този регламент задължения, засилва оперативния характер на общностната правна уредба. С други думи, Регламент № 1035/72 се тълкува в смисъл, че задължава предприятията да спазват правилата на общата организация на пазара, за да могат същите да се ползват от търговски отношения въз основа на лоялна конкуренция, и следователно им предоставя права, произтичащи от задълженията, които също са им възложени. Вж. решение от 17 септември 2002 г., Muñoz и Superior Fruiticola (C‑253/00, EU:C:2002:497, т. 29 и 31).
22 Решения от 21 декември 2011 г., Dutrueux (C‑495/10, EU:C:2011:869, т. 29 и 30), и от 16 март 2023 г., Beobank (C‑351/21, EU:C:2023:215, т. 38).
23 Това двойно измерение на изчерпателността на система от способи за защита, зависеща от определянето на носителите на право, произтичащо от правото на Съюза, според мен е явно отразено в практиката на Съда, в решение от 2 септември 2021 г., CRCAM (C‑337/20, EU:C:2021:671). В това решение Съдът разглежда съвместимостта с Директива 2007/64/ЕО на Европейския парламент и на Съвета от 13 ноември 2007 година относно платежните услуги във вътрешния пазар, за изменение на директиви 97/7/ЕО, 2002/65/ЕО, 2005/60/ЕО и 2006/48/ЕО и за отмяна на Директива 97/5/ЕО (OВ L 319, 2007 г., стр. 1, с поправка ОВ L 187, 2009 г., стр. 5) на национален режим на отговорност, който позволява, когато доставчик на платежни услуги не е изпълнил задълженията си, произтичащи от тази директива, поръчителят на ползвателя на платежните услуги да се позове на гражданската отговорност на такъв доставчик, в съответствие с правна уредба на общата договорна отговорност. Съдът започва анализа си с констатацията, че посочената директива създава права не спрямо поръчител, а само по отношение на доставчиците на платежни услуги и ползвателите на такива услуги, преди да разгледа въпроса дали въведеният със същата директива режим на отговорност допуска алтернативен режим, основан на националното право.
24 Решения от 21 декември 2011 г., Dutrueux (C‑495/10, EU:C:2011:869, т. 29 и 30), и от 16 март 2023 г., Beobank (C‑351/21, EU:C:2023:215, т. 38).
25 В това отношение подчертавам, че ако нарушението на разпоредба от ОРЗД може да се счита за нелоялна търговска практика по смисъла на Директива 2005/29/ЕО на Европейския парламент и на Съвета от 11 май 2005 година относно нелоялни търговски практики от страна на търговци към потребители на вътрешния пазар и изменение на Директива 84/450/ЕИО на Съвета, Директиви 97/7/EО, 98/27/EО и 2002/65/EО на Европейския парламент и на Съвета, и Регламент (EО) № 2006/2004 на Европейския парламент и на Съвета (ОВ L 149, 2005 г., стр. 22; Специално издание на български език, 2007 г., глава 15, том 14, стр. 260), тази директива според мен би трябвало да се прилага във всичките си разпоредби, включително необходимостта държавите членки да предвидят съгласно член 11 от посочената директива разпоредби, позволяващи на конкурентите да предявяват искове срещу тези нелоялни търговски практики.
26 Решение от 4 юли 2023 г., Meta Platforms и др. (Общи условия за използване на социална мрежа) (C‑252/21, EU:C:2023:537, т. 43).
27 Решение от 4 юли 2023 г., Meta Platforms и др. (Общи условия за използване на социална мрежа) (C‑252/21, EU:C:2023:537, т. 51).
28 Заключение на генералния адвокат Richard de la Tour по дело Meta Platforms Ireland (C‑319/20, EU:C:2021:979, т. 51).
29 Решения от 21 декември 2011 г., Dutrueux (C‑495/10, EU:C:2011:869, т. 29 и 30), и от 16 март 2023 г., Beobank (C‑351/21, EU:C:2023:215, т. 38). Вж. също точка 71 от настоящото заключение.
30 Решение от 28 април 2022 г., Meta Platforms Ireland (C‑319/20, EU:C:2022:322, т. 53).