Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Document 62023CC0021

    Stanovisko generálního advokáta M. Szpunara přednesené dne 25. dubna 2024.


    ECLI identifier: ECLI:EU:C:2024:354

    null

    STANOVISKO GENERÁLNÍHO ADVOKÁTA

    MACIEJE SZPUNARA

    přednesené dne 25. dubna 2024(1)

    Věc C21/23

    ND

    proti

    DR

    [žádost o rozhodnutí o předběžné otázce, kterou podal Bundesgerichtshof (Spolkový soudní dvůr, Německo)]

    „Řízení o předběžné otázce – Ochrana osobních údajů – Nařízení (EU) 2016/679 – Právní ochrana – Vymezení právní ochrany – Zpracování zvláštních kategorií osobních údajů – Pojmy ‚údaje týkající se zdraví‘ a ‚údaje o zdravotním stavu‘ “






    I.      Úvod

    1.        Tato věc se týká výkladu několika ustanovení nařízení (EU) 2016/679(2) (dále jen „nařízení GDPR“), přičemž se jedná jednak o systém právní ochrany zavedený tímto nařízením a jednak o kategorii obzvláště citlivých údajů, jimiž jsou „údaje o zdravotním stavu“.

    2.        Žádost o rozhodnutí o předběžné otázce souvisí s žalobou na zdržení se jednání založenou na zákazu nekalosoutěžního jednání zakotveném ve vnitrostátním právu, kterou jeden podnik podal s cílem zamezit tomu, aby jeden z jeho konkurentů prodával na internetu volně prodejné léčivé přípravky. Údajné nekalosoutěžní jednání by podle tohoto podniku mělo spočívat v nedodržení požadavků vyplývajících z nařízení GDPR v souvislosti se zpracováním „údajů o zdravotním stavu“.

    3.        Svou analýzu zahájím přezkumem druhé předběžné otázky, která Soudnímu dvoru umožní upřesnit výklad pojmu „údaje o zdravotním stavu“, který je rozhodující pro to, zda se použije posílený režim ochrany, či nikoli.

    4.        Pokud by totiž údaje dotčené v projednávané věci nemohly být kvalifikovány jako „údaje o zdravotním stavu“ ve smyslu čl. 9 odst. 1 nařízení GDPR, znamenalo by to, že by údajné nekalosoutěžní jednání nevzniklo. Nebylo by pak zapotřebí odpovídat na první předběžnou otázku, která se týká toho, zda systém právní ochrany zavedený nařízením GDPR umožňuje, aby mohla být podle vnitrostátního práva podána žaloba založená na porušení pravidel týkajících se zákazu nekalosoutěžního jednání, v níž žalobce vytýká porušení hmotněprávních ustanovení nařízení GDPR.

    II.    Právní rámec

    A.      Unijní právo

    1.      Směrnice 95/46/ES

    5.        Ve směrnici 95/46/ES(3) bylo v jejím čl. 8 odst. 1 stanoveno:

    „Členské státy zakáží zpracování osobních údajů, které odhalují rasový či etnický původ, politické názory, náboženské nebo filozofické přesvědčení, odborovou příslušnost, jakož i zpracování údajů týkajících se zdraví a sexuálního života.“

    2.      Nařízení GDPR:

    6.        Body 9, 10, 13, 35, 63 a 142 odůvodnění nařízení GDPR zní následovně:

    „(9) Ačkoliv cíle a zásady směrnice 95/46/ES nadále platí, nezabránilo to roztříštěnosti v provádění ochrany údajů v celé Unii, právní nejistotě ani rozšířenému pocitu veřejnosti, že v souvislosti s ochranou fyzických osob existují značná rizika, zejména pokud jde o činnosti prováděné online. Rozdíly v úrovni ochrany práv a svobod fyzických osob, zejména práva na ochranu osobních údajů, v souvislosti se zpracováním osobních údajů v členských státech mohou bránit volnému pohybu osobních údajů v rámci Unie. Tyto rozdíly proto mohou být překážkou pro výkon hospodářských činností na úrovni Unie, mohou narušovat hospodářskou soutěž a bránit orgánům veřejné moci ve výkonu povinností, které jim ukládají právní předpisy Unie. Tato rozdílná úroveň ochrany je způsobena rozdíly v provádění a uplatňování směrnice 95/46/ES.

    (10) S cílem zajistit soudržnou a vysokou úroveň ochrany fyzických osob a odstranit překážky bránící pohybu osobních údajů v rámci Unie by měla být úroveň ochrany práv a svobod fyzických osob v souvislosti se zpracováním těchto údajů rovnocenná ve všech členských státech. V celé Unii je třeba zajistit soudržné a jednotné uplatňování pravidel ochrany základních práv a svobod fyzických osob v souvislosti se zpracováním osobních údajů. [...]

    [...]

    (13) Aby byla zajištěna jednotná úroveň ochrany fyzických osob v celé Unii a zamezilo se rozdílům bránícím volnému pohybu osobních údajů v rámci vnitřního trhu, je nezbytné přijmout nařízení, které poskytne hospodářským subjektům, včetně mikropodniků a malých a středních podniků, právní jistotu a transparentnost, které fyzickým osobám ve všech členských státech zajistí stejnou úroveň práv vymahatelných právními prostředky a správcům a zpracovatelům uloží povinnosti a úkoly, které zajistí důsledné monitorování zpracování osobních údajů a rovnocenné sankce ve všech členských státech, jakož i účinnou spolupráci mezi dozorovými úřady jednotlivých členských států. [...]

    [...]

    (35) Mezi osobní údaje o zdravotním stavu by měly být zahrnuty veškeré údaje související se zdravotním stavem subjektu údajů, které vypovídají o minulém, současném či budoucím tělesném nebo duševním zdraví subjektu údajů. To zahrnuje informace o dané fyzické osobě shromážděné v průběhu registrace pro účely zdravotní péče a jejího poskytování dotčené fyzické osobě podle směrnice Evropského parlamentu a Rady 2011/24/EU(4), číslo, symbol nebo specifický údaj přiřazený fyzické osobě za účelem její jedinečné identifikace pro zdravotnické účely, informace získané během provádění testů nebo vyšetřování části těla nebo tělesných látek, včetně z genetických údajů a biologických vzorků, a jakékoliv informace například o nemoci, postižení, riziku onemocnění, anamnéze, klinické léčbě nebo fyziologickém či biomedicínském stavu subjektu údajů nezávisle na jejich původu, tedy bez ohledu na to, zda pocházejí například od lékaře nebo jiného zdravotníka, z nemocnice, ze zdravotnického prostředku či diagnostických testů in vitro.

    [...]

    (51) Osobní údaje, které jsou svou povahou obzvláště citlivé z hlediska základních práv a svobod, zasluhují zvláštní ochranu, jelikož by při jejich zpracování mohla vzniknout závažná rizika pro základní práv[a] a svobody. [...] Tyto osobní údaje by neměly být zpracovávány, pokud není zpracování povoleno ve zvláštních případech stanovených tímto nařízením, a to se zohledněním skutečnosti, že v právu členských států mohou být stanovena zvláštní ustanovení o ochraně údajů s cílem přizpůsobit uplatňování pravidel tohoto nařízení za účelem dodržení zákonné povinnosti nebo splnění úkolu prováděného ve veřejném zájmu či při výkonu veřejné moci, kterým je pověřen správce. Společně se zvláštními požadavky na takové zpracování by se měly uplatňovat obecné zásady a další pravidla tohoto nařízení, zejména pokud jde o podmínky pro zákonné zpracování. Odchylky od obecného zákazu zpracování těchto zvláštních kategorií osobních údajů by měly být výslovně stanoveny mimo jiné v případě, kdy subjekt údajů uděluje svůj výslovný souhlas nebo jde-li o zvláštní potřeby, zejména pokud je toto zpracování prováděno v průběhu oprávněných činností některých sdružení či nadací, jejichž cílem je umožnit výkon základních svobod.

    [...]

    (142) Pokud se subjekt údajů domnívá, že jeho práva podle tohoto nařízení byla porušena, měl by být oprávněn pověřit určitý neziskový subjekt, organizaci nebo sdružení, které jsou zřízeny v souladu s právem členského státu, jejichž statutární cíle jsou ve veřejném zájmu a které působí v oblasti ochrany osobních údajů, aby podaly jeho jménem stížnost u dozorového úřadu, uplatnily právo na soudní ochranu jménem subjektu údajů nebo uplatnily jménem subjektu údajů právo na odškodnění, je-li stanoveno v právu členského státu. Členský stát může stanovit, že tento subjekt, organizace nebo sdružení má právo podat v daném členském státě stížnost nezávisle na pověření od subjektu údajů a právo na účinnou soudní ochranu, pokud mají důvod se domnívat, že došlo k porušení práva subjektu údajů v důsledku zpracování osobních údajů, které je porušením tohoto nařízení. Tento subjekt, organizace nebo sdružení nesmí požadovat jménem subjektu údajů náhradu škody, aniž by ho tím subjekt údajů pověřil.“

    7.        V článku 1 tohoto nařízení, nadepsaném „Předmět a cíle“, je stanoveno:

    „1.      Toto nařízení stanoví pravidla týkající se ochrany fyzických osob v souvislosti se zpracováváním osobních údajů a pravidla týkající se volného pohybu osobních údajů.

    2.      Toto nařízení chrání základní práva a svobody fyzických osob, a zejména jejich právo na ochranu osobních údajů.

    3.      Volný pohyb osobních údajů v Unii není z důvodu ochrany fyzických osob v souvislosti se zpracováním osobních údajů omezen ani zakázán.“

    8.        V článku 4 uvedeného nařízení je stanoveno:

    „Pro účely tohoto nařízení se rozumí:

    1)      ‚osobními údaji‘ veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen ‚subjekt údajů‘); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména s odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby; [...]

    15)      ‚údaji o zdravotním stavu‘ osobní údaje týkající se tělesného nebo duševního zdraví fyzické osoby, včetně údajů o poskytnutí zdravotních služeb, které vypovídají o jejím zdravotním stavu;

    [...]“

    9.        Článek 9 uvedeného nařízení, nadepsaný „Zpracování zvláštních kategorií osobních údajů“, zní takto:

    „1.      Zakazuje se zpracování osobních údajů, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.

    2.      Odstavec 1 se nepoužije, pokud jde o některý z těchto případů:

    a)      subjekt údajů udělil výslovný souhlas se zpracováním těchto osobních údajů pro jeden nebo více stanovených účelů, s výjimkou případů, kdy právo Unie nebo členského státu stanoví, že zákaz uvedený v odstavci 1 nemůže být subjektem údajů zrušen;

    [...]

    h)      zpracování je nezbytné pro účely preventivního nebo pracovního lékařství, pro posouzení pracovní schopnosti zaměstnance, lékařské diagnostiky, poskytování zdravotní nebo sociální péče či léčby nebo řízení systémů a služeb zdravotní nebo sociální péče na základě práva Unie nebo členského státu nebo podle smlouvy se zdravotnickým pracovníkem a při splnění podmínek a záruk uvedených v odstavci 3;

    [...]“

    10.      Články 77 až 84 jsou součástí kapitoly VIII nařízení GDPR, nadepsané „Právní ochrana, odpovědnost a sankce“.

    11.      Článek 77 tohoto nařízení, nadepsaný „Právo podat stížnost u dozorového úřadu“, v odstavci 1 stanoví:

    „Aniž jsou dotčeny jakékoliv jiné prostředky správní nebo soudní ochrany, má každý subjekt údajů právo podat stížnost u některého dozorového úřadu, zejména v členském státě svého obvyklého bydliště, místa výkonu zaměstnání nebo místa, kde došlo k údajnému porušení, pokud se subjekt údajů domnívá, že zpracováním jeho osobních údajů je porušeno toto nařízení.“

    12.      Článek 78 uvedeného nařízení, nadepsaný „Právo na účinnou soudní ochranu vůči dozorovému úřadu“, v odstavci 1 stanoví:

    „Aniž je dotčena jakákoli jiná správní či mimosoudní ochrana, má každá fyzická nebo právnická osoba právo na účinnou soudní ochranu proti právně závaznému rozhodnutí dozorového úřadu, které se jí týká.“

    13.      Článek 79 uvedeného nařízení, nadepsaný „Právo na účinnou soudní ochranu vůči správci nebo zpracovateli“, v odstavci 1 stanoví:

    „Aniž je dotčena jakákoli dostupná správní či mimosoudní ochrana, včetně práva na podání stížnosti u dozorového úřadu podle článku 77, má každý subjekt údajů právo na účinnou soudní ochranu, pokud má za to, že jeho práva podle tohoto nařízení byla porušena v důsledku zpracování jeho osobních údajů v rozporu s tímto nařízením.“

    14.      Článek 80 nařízení GDPR, nadepsaný „Zastupování subjektů údajů“, stanoví:

    „1.      Subjekt údajů má právo pověřit neziskový subjekt, organizaci nebo sdružení, jež byly řádně založeny v souladu s právem některého členského státu, jejichž statutární cíle jsou ve veřejném zájmu a jež vyvíjejí činnost v oblasti ochrany práv a svobod subjektů údajů ohledně ochrany jejich osobních údajů, aby jeho jménem podal stížnost, uplatnil práva uvedená v článcích 77, 78 a 79 a, pokud tak stanoví právo členského státu, uplatnil právo na odškodnění podle článku 82.

    2.      Členské státy mohou stanovit, že jakýkoliv subjekt, organizace nebo sdružení uvedené v odstavci 1 tohoto článku má bez ohledu na pověření od subjektu údajů právo podat v daném členském státě stížnost u dozorového úřadu příslušného podle článku 77 a vykonávat práva uvedená v článcích 78 a 79, pokud se domnívá, že v důsledku zpracování byla porušena práva subjektu údajů podle tohoto nařízení.“

    15.      Článek 82 tohoto nařízení, nadepsaný „Právo na náhradu újmy a odpovědnost“, v odstavci 1 stanoví:

    „Kdokoli, kdo v důsledku porušení tohoto nařízení utrpěl hmotnou či nehmotnou újmu, má právo obdržet od správce nebo zpracovatele náhradu utrpěné újmy.“

    16.      Článek 84 uvedeného nařízení, nadepsaný „Sankce“, v odstavci 1 uvádí:

    „Členské státy stanoví pravidla pro jiné sankce, jež se mají ukládat za porušení tohoto nařízení, zejména za porušení, na něž se nevztahují správní pokuty podle článku 83, a učiní veškerá opatření nezbytná k zajištění jejich uplatňování. Tyto sankce musí být účinné, přiměřené a odrazující.“

    B.      Německé právo

    1.      Zákon proti nekalé soutěži

    17.      Ustanovení § 3 Gesetz gegen den unlauteren Wettbewerb (zákon na ochranu proti nekalé hospodářské soutěži)(5), ve znění použitelném na spor v původním řízení (dále jen „zákon proti nekalé soutěži“), nadepsané „Zákaz nekalého obchodního jednání“, v odstavci 1 stanoví, že: „nekalá obchodní jednání jsou protiprávní“.

    18.      Ustanovení § 3a tohoto zákona, nadepsané „Porušení práva“, zní takto:

    „Nekalého jednání se dopouští ten, kdo jedná v rozporu s právním předpisem, který je určen rovněž ke stanovení pravidel chování na trhu v zájmu účastníků trhu a jehož porušení může citelně narušit zájmy spotřebitelů, jiných účastníků trhu nebo soutěžitelů.“

    19.      Ustanovení § 8 uvedeného zákona, nadepsané „Odstranění a zdržení se jednání“, stanoví:

    „(1)      Po každém, kdo uplatňuje obchodní jednání, které jsou podle § 3 nebo § 7 nepřípustné, lze požadovat, aby toto jednání odstranil nebo se jej zdržel, hrozí-li jeho opakování. [...]

    [...]

    (3)      Nároky uvedené v odstavci 1 mohou být uplatněny vůči:

    1.      každému soutěžiteli, který prodává nebo poptává zboží nebo služby ve významné míře, a nikoli příležitostně.

    [...]“

    2.      Zákonléčivých přípravcích

    20.      Pohyb léčivých přípravků se řídí Arzneimittelgesetz (zákon o léčivých přípravcích), ze dne 24. srpna 1976, ve znění vyhlášeném dne 12. prosince 2005(6), naposledy pozměněném § 8c zákona ze dne 20. prosince 2022(7). Tento zákon rozlišuje mezi léčivými přípravky prodávanými v lékárnách, jichž se týká jeho § 43 (nadepsaný „Povinnost prodeje v lékárnách“) až § 47, a těmi prodávanými na předpis, uvedenými v § 48, nadepsaném „Povinnost výdeje na lékařský předpis“.

    III. Skutkový stav v původním řízení, řízení a předběžné otázky

    21.      ND i DR provozují každý svou lékárnu. Žalobce v původním řízení ND je navíc držitelem povolení pro zásilkový obchod a své výrobky, včetně léčivých přípravků, jejichž prodej je vyhrazen lékárnám, prodává prostřednictvím Amazon Marketplace (dále jen „Amazon“), elektronické obchodní platformy, jejímž prostřednictvím mohou prodejci nabízet prodej zboží přímo spotřebitelům.

    22.      Žalovaný v původním řízení DR podal žalobu na zdržení se jednání, jíž se domáhá, aby bylo ND zakázáno prodávat přes internetovou prodejní platformu Amazon léčivé přípravky, jejichž prodej je vyhrazen lékárnám. Podle DR tento prodej představuje nekalé obchodní jednání, neboť kvůli němu ND překračuje zákonné ustanovení, ve smyslu § 3a zákona proti nekalé hospodářské soutěži, jmenovitě zejména článek 9 nařízení GDPR o získávání předchozího a výslovného souhlasu zákazníka se zpracováním jeho osobních údajů o zdravotním stavu.

    23.      Landgericht Dessau-Roßlau (Zemský soud v Dessau-Roßlau, Německo) této žalobě vyhověl. Oberlandesgericht Naumburg (Vrchní zemský soud v Naumburgu, Německo) následně zamítl odvolání, které podal ND, přičemž rozhodl, že prodává-li tento léčivé přípravky, jejichž prodej je vyhrazen lékárnám, prostřednictvím Amazonu, je to v rozporu s vnitrostátním zákonem proti nekalé soutěži. Podle uvedeného soudu totiž tento prodej představuje zpracování údajů o zdravotním stavu ve smyslu čl. 9 odst. 1 nařízení GDPR, k němuž zákazníci neudělili výslovný souhlas. Ustanovení nařízení GDPR by totiž měla být chápána jako pravidla chování na trhu ve smyslu vnitrostátního práva hospodářské soutěže, takže DR, jakožto konkurent, by měl právo podat návrh na zdržení se jednání podle vnitrostátního práva hospodářské soutěže a dovolávat se porušení ustanovení tohoto nařízení ze strany ND.

    24.      ND podal kasační opravný prostředek „Revision“ k předkládajícímu soudu Bundesgerichtshof (Spolkový soudní dvůr, Německo), v němž trvá na svých návrhových žádáních a domáhá se zamítnutí žaloby na zdržení se jednání.

    25.      Podle předkládajícího soudu výsledné rozhodnutí o opravném prostředku „Revision“ závisí na výkladu jak kapitoly VIII nařízení GDPR, tak článku 9 tohoto nařízení i čl. 8 odst. 1 směrnice 95/46.

    26.      Předkládající soud jednak zdůrazňuje, že je nutné určit, zda má žalobce v původním řízení, jakožto konkurent, aktivní legitimaci k podání žaloby u občanskoprávních soudů z důvodu porušení nařízení GDPR proti osobě, která se dopustila těchto porušení na základě zákazu nekalých obchodních praktik. Předkládající soud upřesňuje, že se jedná o spornou otázku, na kterou lze odpovědět tak, že pravidla obsažená v nařízení GDPR, jejichž účelem je prosazování jeho ustanovení, jsou taxativní, takže je aktivní legitimace konkurentů na základě práva hospodářské soutěže vyloučena. Lze však také tvrdit, že ustanovení nařízení GDPR, zaměřená na kontrolu uplatňování práva, nejsou taxativní, a konkurenti jsou tudíž aktivně legitimováni k tomu, aby se prostřednictvím prostředku právní nápravy domáhali zdržení se jednání a vytýkali přitom porušení tohoto nařízení.

    27.      Dále má předkládající soud za to, že je třeba určit, zda údaje, které zákazníci musí zadat při on-line objednávání léčivých přípravků, jejichž prodej je vyhrazen lékárníkům, ale které nepodléhají omezení výdeje na lékařský předpis, představují údaje o zdraví ve smyslu čl. 9 odst. 1 nařízení GDPR a dříve čl. 8 odst. 1 směrnice 95/46, neboť nárok na zdržení se jednání vzniká pouze, pokud bylo jednání ND protiprávní jak v okamžiku, kdy jej učinil, tak v okamžiku jednání o opravném prostředku „Revision“.

    28.      Za těchto okolností se Bundesgerichtshof (Spolkový soudní dvůr) rozhodl přerušit řízení a položit Soudnímu dvoru následující předběžné otázky:

    „1)      Brání ustanovení kapitoly VIII [GDPR] takové vnitrostátní právní úpravě, podle níž – vedle pravomocí příslušných dozorových úřadů pověřených dohledem a uplatňováním nařízení a vedle možností právní ochrany subjektu údajů – mají rovněž konkurenti možnost bránit se v případě porušení obecného nařízení o ochraně osobních údajů proti porušovateli cestou podání žaloby k občanskoprávnímu soudu s odkazem na zákaz provádění nekalých obchodních praktik?

    2)      Jsou údaje, které zákazníci lékárníka vystupujícího na internetové obchodní platformě jako prodávající zadávají při objednávce léků, které sice musí být prodávány v lékárně, nejsou ovšem na předpis (jméno zákazníka, dodací adresa a informace nezbytné k individualizaci objednaného léku povinně prodávaného v lékárně), údaji o zdravotním stavu ve smyslu čl. 9 odst. 1 [GDPR] nebo údaji týkajícími se zdraví ve smyslu čl. 8 odst. 1 směrnice 95/46?“

    29.      Tato žádost o rozhodnutí o předběžné otázce došla Soudnímu dvoru dne 19. ledna 2023. Písemná vyjádření předložili účastníci původního řízení, německá vláda a Evropská komise. Tito zúčastnění byli také zastoupení na jednání dne 9. ledna 2024.

    IV.    Analýza

    30.      V projednávané věci DR tvrdí, že ND porušil článek 9 nařízení GDPR tím, že zpracovával údaje zákazníků, kteří si on-line objednali léčivé přípravky nepodléhající omezení výdeje na lékařský předpis, aniž dodržel požadavky, které ukládají získat výslovný souhlas zákazníků se zpracováním těchto údajů.

    31.      Svou první předběžnou otázkou se předkládající soud v podstatě táže, zda musí být ustanovení kapitoly VIII nařízení GDPR vykládána v tom smyslu, že brání takovým vnitrostátním pravidlům, která podnikům přiznávají právo poukázat na základě zákazu nekalosoutěžního jednání na porušení hmotněprávních ustanovení nařízení GDPR, jichž se údajně dopustili jejich konkurenti. Ve druhé předběžné otázce se uvedený soud táže Soudního dvora, zda musí být článek 9 nařízení GDPR vykládán v tom smyslu, že dotčené údaje představují údaje o zdraví, a spadají tudíž do zvláštních kategorií údajů, jichž se toto ustanovení týká(8).

    32.      Úvodem podotýkám, jak jsem již zdůraznil, že pokud by odpověď na druhou otázku byla záporná, nebylo by nutné odpovídat na otázku první, neboť odpověď Soudního dvora by předkládajícímu soudu stačila k rozhodnutí sporu, který mu byl předložen. Za těchto podmínek se mi jeví vhodné zahájit svou analýzu předběžných otázek od druhé otázky.

    A.      Ke druhé předběžné otázce

    33.      Svou druhou předběžnou otázkou se předkládající soud v podstatě táže, zda údaje o zákaznících určitého lékárníka, které byly předány při objednávce léčivých přípravků na internetové prodejní platformě, jejichž prodej je vyhrazen lékárnám, ale které nepodléhají omezení výdeje na lékařský předpis, představují „údaje o zdravotním stavu“ ve smyslu čl. 9 odst. 1 nařízení GDPR.

    34.      Úvodem musím upřesnit, že pojem „údaje o zdravotním stavu“ uvedený v čl. 9 odst. 1 nařízení GDPR je definován v čl. 4 bodě 15 tohoto nařízení. Odpověď na tuto druhou předběžnou otázku tedy předpokládá společný výklad obou těchto ustanovení.

    1.      K výkladu pojmu „údajezdravotním stavu“ ve světle stávající judikatury

    35.       Podle čl. 4 bodu 15 GDPR se „údaji o zdravotním stavu“ rozumí osobní údaje týkající se tělesného nebo duševního zdraví fyzické osoby, včetně údajů o poskytnutí zdravotních služeb, které vypovídají o jejím zdravotním stavu.

    36.      , Tato definice je mimo jiné podložena bodem 35 odůvodnění nařízení GDPR. Soudní dvůr ve své judikatuře tak zdůraznil, v uvedeném bodě odůvodnění je uvedeno, že „mezi osobní údaje o zdravotním stavu by měly být zahrnuty veškeré údaje související se zdravotním stavem subjektu údajů, které vypovídají o minulém, současném či budoucím tělesném nebo duševním zdraví subjektu údajů“(9).

    37.      Ze znění čl. 4 bodu 15 nařízení GDPR, upřesněného bodem 35 odůvodnění tohoto nařízení, tedy vyplývá, že prvkem, který rozhoduje o tom, že určité osobní údaje představují údaje o zdravotním stavu, je skutečnost, že z daných údajů lze vyvodit závěry o zdravotním stavu subjektu údajů. Jinak řečeno, „údaje o zdravotním stavu“ se neomezují na lékařské údaje nebo údaje přímo související se zdravotními problémy, ale zahrnují rovněž veškeré údaje, které umožňují vyvozovat závěry o zdravotním stavu subjektu údajů, ať už se jedná o stav patologický či fyziologický.

    38.      To se potvrzuje i ve světle cíle sledovaného v článku 9 nařízení GDPR. Soudní dvůr tak ve své judikatuře zdůraznil, že účelem tohoto ustanovení je zajištění zvýšené ochrany proti zpracování, které z důvodu zvláštní citlivosti těchto údajů při takovém zpracování, jak vyplývá z bodu 33 odůvodnění směrnice 95/46 a bodu 51 odůvodnění GDPR, mohou zvláště závažným způsobem zasáhnout do základních práv na respektování soukromého života a na ochranu osobních údajů zaručených články 7 a 8 Listiny základních práv Evropské unie(10).

    39.      Zvláštní citlivost údajů týkajících se zdraví totiž spočívá v tom, že se týkají informací, které souvisejí s nejintimnější sférou osob a mohou odhalovat jejich zranitelnost. Tato zvláštní citlivost, a tudíž zvláštní potřeba jejich ochrany jsou také uznávány nejen v unijním právu, ale také v judikatuře Evropského soudu pro lidská práva, který zdůrazňuje, že „respektování důvěrného charakteru informací o zdraví představuje základní zásadu právního systému všech smluvních stran Úmluvy [o ochraně lidských práv a základních svobod podepsané v Římě dne 4. listopadu 1950]“(11).

    40.      S ohledem na tento cíl je tedy dle judikatury Soudního dvora nutné vykládat pojem „zvláštní kategorie osobních údajů“, kam spadají údaje o zdravotním stavu, tak, že se netýká pouze údajů, jež jsou ze své podstaty citlivé, ale rovněž údajů nepřímo umožňujících na základě myšlenkového pochodu spočívajícího v dedukci nebo spojení souvislostí odhalit informace takové povahy(12).

    41.      V této souvislosti podotýkám, že takové pojetí pojmu „údaje o zdravotním stavu“ zastává i Evropský sbor pro ochranu osobních údajů zřízený články 68 a následujícími nařízení GDPR, přičemž zdůrazňuje, že o kvalifikaci informací jakožto „údajů o zdravotním stavu“ rozhoduje nejen jejich vlastní podstata, ale také okolnosti jejich shromažďování a zpracování, k čemuž uvádí různé příklady. Podle něj tak „údaje o zdravotním stavu“ představují informace obsažené ve zdravotnické dokumentaci, informace odhalující zdravotní stav v důsledku křížového odkazu na jiné údaje, či údaje, které se stanou údaji o zdravotním stavu vzhledem k jejich použití v konkrétní souvislosti, jako jsou informace týkající se nedávné cesty zpracovávané zdravotnickým pracovníkem za účelem stanovení diagnózy(13). Naproti tomu údaje shromážděné aplikací umožňující měřit počet kroků, které subjekt údajů ušel, nepředstavují „údaje o zdravotním stavu“, pokud aplikace tyto údaje nemůže propojovat s jinými údaji této osoby a shromážděné údaje nejsou zpracovávány v kontextu zdravotní péče(14).

    42.      Z čl. 4 bodu 15 a z článku 9 nařízení GDPR tak, jak jsou vykládány v judikatuře, tedy jasně vyplývá, že za „údaje o zdravotním stavu“ ve smyslu těchto ustanovení je nutné považovat údaje, z nichž lze vyvodit závěry o zdravotním stavu subjektu údajů.

    43.      Podotýkám tedy, že na první pohled nelze popřít, že on-line objednávání léčivých přípravků nepodléhajících omezení výdeje na předpis předpokládá zpracování údajů, z nichž lze odvodit určité informace týkající se zdraví nebo přinejmenším poskytují určitá vodítka, jež se ho týkají, pokud toto objednávání předpokládá spojitost mezi nákupem léčivého přípravku, výrobku týkajícího se zdraví par excellence, a totožností jeho kupujícího. Přesto však podle mého názoru a z důvodů, které nyní vyložím, z informací předaných Soudnímu dvoru předkládajícím soudem vyplývá, že tato spojitost je příliš malá a údaje, které z ní lze vyvodit, příliš nepřesné nebo hypotetické na to, aby dotčené údaje mohly být kvalifikovány jako „údaje o zdravotním stavu“ ve smyslu čl. 4 bodu 15 a článku 9 nařízení GDPR.

    2.      K požadavku určitého stupně jistotysouvislosti se závěry, které lze učinit ohledně zdravotního stavu subjektu údajů

    44.      K tomuto výkladu pojmu „údaje o zdravotním stavu“ konkrétně a pojmu „zvláštní kategorie údajů“ obecně musím uvést několik upřesnění.

    45.      Na jedné straně se domnívám, že na základě těchto prvků výkladu lze určitý výrobek objednaný on-line považovat za výrobek, který může odhalit obecné informace o zdravotním stavu osoby, ale jak vyplývá z článku 9 nařízení GDPR, také o rasovém nebo etnickém původu, politických názorech, náboženském nebo filozofickém přesvědčení či o sexuální orientaci osoby. Podle mého názoru lze ze zboží objednaného on-line vyvodit určité informace o různých věcech týkajících se subjektu údajů.

    46.      Své tvrzení mohu podložit několika příklady. Objednání knihy od určitého politika může potenciálně naznačovat podporu jím zastávaných myšlenek, objednání určitého oblečení může být známkou náboženského přesvědčení jednotlivce, případně objednání erotického materiálu může představovat náznak sexuální orientace osoby. Nemáme-li podrobit značnou část zpracování údajů týkajících se on-line obchodu režimu stanovenému v čl. 9 odst. 2 nařízení GDPR, jeví se mi nezbytné dále upřesnit výklad pojmu „údaje o zdravotním stavu“ v tom smyslu, že závěry, které lze učinit z údajů souvisejících s objednávkou, nesmějí být pouze potenciální. Jinými slovy, podle mého názoru nemohou být informace vyplývající z dotčených údajů týkajících se zdravotního stavu subjektu údajů pouhým předpokladem, ale musí vykazovat určitou míru jistoty.

    47.      Na druhé straně jsem toho názoru, že s výjimkou případů, kdy jsou údaje ze své podstaty „údaji o zdravotním stavu“, závisí na okolnostech každého případu, zda lze údaje takto kvalifikovat. Konkrétně mám za to, že závěry, které lze z těchto údajů vyvodit, závisí na kontextu, v němž jsou shromažďovány, a na tom, jak jsou zpracovávány. Jak zdůrazňuje Evropský sbor pro ochranu údajů zřízený články 68 a následujícími nařízení GDPR, údaje, které na první pohled nesouvisejí se zdravotní péčí, jako jsou informace o cestě, mohou být přesto považovány za „údaje o zdravotním stavu“, pokud jsou analyzovány v kontextu zdravotní péče a propojeny s dalšími informacemi s cílem určit potenciální kontaminaci bakterií nebo virem vyskytujícím se v daném regionu, jako v uvedeném příkladu.

    48.      Zejména upozorňuji, že v tomto ohledu je obzvláště důležitým faktorem totožnost správce údajů. Domnívám se totiž, že pokud jsou údaje zpracovávány subjektem ze zdravotnictví, může to představovat indicii, že jsou tyto údaje skutečně „údaji o zdravotním stavu“. Naproti tomu by tytéž údaje mohly být kvalifikovány jinak, pokud nejsou zpracovávány zdravotnickým zařízením a nelze je spojit s jinými údaji subjektu údajů. Jinak řečeno, tentýž údaj může odhalit o zdravotním stavu osoby více informací, pokud je zpracováván zdravotnickou institucí, která má kompetence k tomu jej interpretovat nebo má o osobě k dispozici i jiné údaje, než když je zpracováván subjektem mimo toto odvětví.

    49.      Za těchto okolností jsem toho názoru, že předkládajícímu soudu přísluší zkoumat jak podstatu dotčených údajů, tak veškeré okolnosti jejich zpracování, aby určil, zda z nich lze s určitou mírou jistoty vyvodit informace týkající se zdravotního stavu subjektu údajů.

    50.      S ohledem na skutečnosti uvedené v rozhodnutí předkládajícího soudu se přesto domnívám, že je možné předkládajícímu soudu poskytnout při řešení sporu v původním řízení vodítko(15).

    3.      Ke skutečnostem relevantním pro předkládající soud při přezkumu možnosti vyvodit informacezdravotním stavu subjektu údajů

    51.      Zaprvé v souvislosti s objednávanými výrobky upozorňuji na to, že dotčené léčivé přípravky, tedy léčivé přípravky nepodléhající omezení výdeje na lékařský předpis, nejsou v zásadě určeny k léčbě konkrétního stavu, ale mohou být použity obecněji k řešení běžných obtíží, s nimiž se může setkat každý a nejsou příznakem konkrétního onemocnění nebo zdravotního stavu. Mimo jiné se tyto léčivé přípravky často kupují preventivně pro případ potřeby nebo například před cestou mimo domov. Například z objednávky paracetamolu nelze usuzovat na přesný zdravotní stav osoby, protože tento přípravek je určen k léčbě různých bolestí a horečnatých stavů a často patří k léčivým přípravkům, které mají lidé doma, aniž ho zrovna potřebují.

    52.      Zadruhé, jak uvádí ND, ze skutečnosti, že si někdo objedná on-line léčivý přípravek nepodléhající omezení výdeje na lékařský předpis, nutně nevyplývá, že ho bude užívat osoba, jejíž údaje jsou zpracovávány, a ne jiná osoba z její domácnosti nebo z jejího okolí. Často se totiž stává, že objednávku na internetových prodejních stránkách provede někdo, kdo má na těchto internetových stránkách účet na své jméno za někoho, kdo účet nemá. Chybí-li lékařský předpis, který jmenovitě označuje osobu, které je léčivý přípravek určen, a na jehož základě lze předpokládat, že uživatel léčivého přípravku a kupující jsou jedna a tatáž osoba, nelze z objednání výrobku volně dostupného on-line vyvozovat, že tento výrobek má být užíván kupujícím a výhradně kupujícím. Z toho vyplývá, že o zdravotním stavu osoby, jejíž údaje jsou zpracovávány, nelze z těchto údajů vyvodit žádný závěr, na jehož základě by tyto údaje mohly být kvalifikovány jako „údaje o zdravotním stavu“.

    53.      Zatřetí to platí tím spíše, s výhradou ověření, která přísluší provést vnitrostátnímu soudu, neboť objednávku přes internet lze učinit, aniž je nutné poskytnout přesné údaje o své totožnosti, zejména pokud není výrobek dodáván na adresu dotčené osoby, ale zprostředkovaně na výdejní místo a pro účely fakturace nejsou vyžadovány žádné další údaje o totožnosti.

    54.      Jsem tedy toho názoru, že na druhou předběžnou otázku je třeba odpovědět v tom smyslu, že údaje o zákaznících určitého lékárníka, které byly předány při objednávce léčivých přípravků na internetové prodejní platformě, jejichž prodej je vyhrazen lékárnám, ale nepodléhají omezení výdeje na lékařský předpis, nejsou „údaji o zdravotním stavu“ ve smyslu čl. 4 bodu 15 a článku 9 nařízení GDPR, neboť z nich lze vyvodit pouze hypotetické nebo nepřesné závěry o zdravotním stavu osoby, která on-line objednávku provedla, což přísluší ověřit předkládajícímu soudu.

    55.      Navíc musím upřesnit, že se domnívám, že takový výklad pojmu „údaje o zdravotním stavu“, který by zahrnoval údaje předávané během objednávání přes internetovou obchodní platformu takových léčivých přípravků, jejichž prodej je vyhrazen lékárnám, ale nepodléhají omezení výdeje na lékařský předpis, by paradoxně vedl k tomu, že by se z důvodu posílené ochrany stanovené v čl. 9 odst. 2 nařízení GDPR zpřístupnilo více citlivých informací. Vyžadování výslovného souhlasu se zpracováním údajů již označených jako citlivé by kupujícího v konečném důsledku mohlo přimět k odhalení totožnosti konečného uživatele výrobku. V takové situaci by bylo možné o zdravotním stavu této osoby vyvodit závěry jednoznačnější.

    B.      K první předběžné otázce

    56.      Ve světle odpovědi, kterou navrhuji podat na druhou předběžnou otázku, není dle mého mínění nutné odpovídat na první předběžnou otázku. Pro úplnost a s ohledem na posouzení, které přísluší předkládajícímu soudu, však analyzuji i tuto otázku, kterou se předkládající soud v podstatě táže, zda musí být ustanovení kapitoly VIII nařízení GDPR vykládána v tom smyslu, že brání vnitrostátním pravidlům, která podnikům přiznávají právo dovolávat se na základě zákazu nekalosoutěžního jednání porušení hmotněprávních ustanovení nařízení GDPR, jichž se údajně dopustili jejich konkurenti.

    57.      Zúčastnění na tuto otázku podali diametrálně odlišné odpovědi. Na jedné straně podle Komise a ND musí být systém právní ochrany zavedený ustanoveními kapitoly VIII nařízení GDPR, vykládaný ve světle cílů uvedeného nařízení, chápán jako taxativní systém, který vylučuje jakoukoli možnost členských států stanovit alternativní právní ochranu podle vnitrostátního práva.

    58.      Na druhé straně podle německé vlády musí být systém právní ochrany zavedený ustanoveními kapitoly VIII nařízení GDPR chápán jako minimální stupeň právní ochrany, který mohou členské státy doplnit. Demonstrativní povaha takového systému by byla odůvodněna skutečností, že nařízení GDPR má také za cíl chránit podmínky hospodářské soutěže a bránit narušením, která by mohla vyplývat z rozdílné úrovně ochrany údajů, a možnost konkurenta dovolávat se porušení hmotněprávních ustanovení tohoto nařízení ze strany jiného konkurenta by posílila funkčnost tohoto nařízení.

    59.      Zúčastnění tedy svá vyjádření soustředili na to, zda má být systém právní ochrany podle nařízení GDPR chápán jako taxativní systém harmonizace, čímž by podle nich byla podmíněna možnost členských států stanovit ve vnitrostátním právu i jiné prostředky ochrany, než jaké jsou zavedeny tímto nařízením.

    60.      Přestože pro poskytnutí užitečné odpovědi na první předběžnou otázku je určení toho, zda je systém právní ochrany taxativní, či nikoli, relevantním faktorem, z důvodů, jež dále vysvětlím, se nicméně domnívám, že taková analýza nejprve vyžaduje, aby byla posouzena základní otázka identifikace osob, které požívají ochrany poskytované hmotnými i procesními pravidly nařízení GDPR. Pokud by totiž podniky odpovědné za zpracování údajů měly být považovány za nositele práv přiznaných nařízením GDPR, jsem toho názoru, že by toto nařízení mělo být vykládáno tak, že vyžaduje, aby právní ochrana pro uplatňování těchto práv byla zavedena vnitrostátními právní předpisy. Začnu tedy svou analýzu od tohoto bodu a následně odpovím na otázku, zda musí být systém právní ochrany zavedený nařízením GDPR chápán jako taxativní v tom smyslu, že vylučuje možnost, kterou nabízí vnitrostátní právo, aby podnik podal proti konkurentovi žalobu na zdržení se jednání na základě zákazu nekalosoutěžního jednání, v níž se dovolává toho, že uvedený konkurent porušil ustanovení tohoto nařízení.

    1.      Určení nositelů práv přiznaných nařízením GDPR

    61.      Nejprve objasním, proč je toto určení zapotřebí, poté je provedu a nakonec vysvětlím, jaké důsledky má určení subjektů údajů jakožto jediných osob požívajících práv přiznaných nařízením GDPR pro odpověď na první předběžnou otázku.

    a)      K nutnosti určit nositele práv přiznaných nařízením GDPR

    62.      Za účelem podání odpovědi na předběžnou otázku je podle mne nutné před řešením otázky taxativní povahy systému právní ochrany stanovené tímto nařízením nejprve určit nositele práv chráněných nařízením GDPR, a to ze dvou pohledů.

    1)      Povinnost členských států stanovit prostředky pro uplatnění práva vyplývajícího z unijního práva

    63.      Podotýkám, že z ustálené judikatury vyplývá, že unijní právo neukládá jednotlivcům jen povinnosti, ale stejně tak má zakládat práva, která se stávají součástí jejich jmění(16), přičemž Soudní dvůr v tomto ohledu zdůrazňuje, že tato práva vznikají zejména v důsledku povinností ukládaných jak jednotlivcům, tak členským státům a orgánům Společenství(17). Veškeré povinnosti uložené fyzickým nebo právnickým osobám, mají totiž zpravidla za následek přiznání práva jiné osobě.

    64.      Kromě toho je nesporné, že každé právo přiznané jednotlivci unijním právem s sebou nese i existenci prostředku ochrany určeného právě k uplatnění tohoto práva, přičemž se má za to, že v případě neexistence zvláštních pravidel unijního práva stanovených za tímto účelem přísluší členským státům, aby zajistily dodržování dotčených práv v rámci prostředků ochrany podle vnitrostátního práva(18). Z judikatury totiž jasně vyplývá, že je věcí vnitrostátních soudů, aby poskytovaly ochranu právům, jež ustanovení unijního práva přiznávají jednotlivcům(19).

    65.      Pokud by, jak tvrdí německá vláda, mělo být nařízení GDPR vykládáno tak, že kromě subjektů údajů chrání i podmínky hospodářské soutěže na trhu, a tudíž in fine podniky, muselo by být toto nařízení chápáno tak, že zakládá práva, jež se stávají součástí jmění(20) posledně uvedených.

    66.      Za těchto podmínek platí, že neexistují-li pro tento účel výslovná ustanovení unijního práva, muselo by být dodržování práv, která by z nařízení GDPR vyplývala pro podniky, zajištěno prostředky právní ochrany stanovenými členskými státy.

    67.      Z toho by vyplývalo, že aniž by bylo zapotřebí zabývat se tím, zda je systém právní ochrany zavedený nařízením GDPR taxativní či nikoli, bylo by třeba na první předběžnou otázku odpovědět tak, že kapitola VIII tohoto nařízení musí být vykládána nikoli tak, že nebrání tomu, aby členské státy mohly stanovit, že konkurent může podal žalobu proti jinému podniku, v níž by se uvedený konkurent dovolával porušení tohoto nařízení, ale spíše v tom smyslu, že vyžaduje, aby dodržování jeho ustanovení mohlo být zajištěno v rámci žaloby podané podnikem proti konkurentovi, v níž se daný podnik dovolává porušení těchto ustanovení ze strany uvedeného konkurenta(21).

    68.      Odpověď na první předběžnou otázku se tedy podle mého názoru odvíjí podle určení nositelů práv přiznaných nařízením GDPR.

    2)      Dvojí rozměr taxativnosti systému právní ochrany

    69.      Samotný pojem „taxativnost systému právní ochrany“ může mít dva rozdílné rozměry, které vyžadují různou analýzu, a je proto třeba nejprve určit osoby, které jsou nositeli práv, jejichž dodržování tento systém zajišťuje.

    70.      První rozměr se týká taxativní povahy systému právní ochrany ve vztahu k jakémukoli jinému prostředku určenému k ochraně téhož práva. Jinými slovy, jedná se o otázku taxativnosti prostředků právní ochrany stanovených unijním právem za účelem ochrany práv, jež jeho předpisy přiznávají jednotlivcům. Soudní dvůr se již ve své judikatuře vyslovil k dopadu taxativní povahy prostředků stanovených unijním právem za účelem ochrany práva, které bylo samo také stanoveno unijním právem. Podle ustálené judikatury Soudního dvora například platí, že unijním právem taxativně harmonizovaný režim odpovědnosti může koexistovat s alternativním režimem odpovědnosti stanoveným vnitrostátním právem, který spočívá na stejných skutečnostech a na stejném základě, pouze za podmínky, že tento souběžný režim nenaruší harmonizovaný režim a neohrozí jeho cíle a užitečný účinek(22). Taxativní povaha právní ochrany stanovené unijním právem tedy sama o sobě nevylučuje možnost, aby členský stát ve vnitrostátním právu stanovil jiné prostředky ochrany, které se budou zakládat na stejném právu, za předpokladu, že budou dodrženy určité podmínky.

    71.      Druhý rozměr pojmu „taxativnost systému právní ochrany“ stanovený unijním právem je širší a týká se taxativnosti ve vztahu k jakýmkoli dalším prostředkům ochrany uplatňovaným osobami, které sice nejsou přímo nositeli práv přiznávaných unijním právem, ale dovolávají se jej v rámci prostředků ochrany stanovených vnitrostátním právem. Takové pojetí taxativnosti systému právní ochrany zavedeného unijním právem tedy vyžaduje odlišnou analýzu(23).

    72.      I v tomto případě je pro relevantní analýzu případné taxativní povahy systému právní ochrany stanoveného nařízením GDPR důležité nejprve určit nositele práv přiznaných tímto nařízením, na což se zaměřím v následujících bodech.

    b)      K určení nositelů práv chráněných nařízením GDPR

    73.      Osobní rozsah působnosti ochrany poskytované nařízením GDPR musí být podle mého názoru určen ve světle cílů i obsahu tohoto nařízení.

    74.      Předně, co se týče cílů nařízení GDPR, tvrdí německá vláda v této souvislosti, že toto nařízení vedle zajištění vysoké a soudržné úrovně ochrany fyzických osob usiluje také o zavedení rovných podmínek hospodářské soutěže.

    75.      Je pravda, že bod 9 odůvodnění nařízení GDPR zmiňuje, že rozdíly v ochraně práva na ochranu osobních údajů v souvislosti s jejich zpracováním mohou narušovat hospodářskou soutěž. Podle mého názoru nicméně nelze toto upřesnění vykládat tak, že je záruka volné a nenarušené hospodářské soutěže jedním z cílů nařízení GDPR. Skutečnost, že rozdíly v právních předpisech členských států, pokud jde o normy pro podniky, vedou k narušení hospodářské soutěže, se mi jeví jako pouhé konstatování, které se nevztahuje jen k nařízení GDPR. Jestliže hmotněprávní ustanovení upravují činnost podniků na trhu v jednom členském státě přísněji než v jiném, nutně z toho vyplývá určitá konkurenční výhoda pro podniky působící v tomto druhém státě vůči podnikům usazeným v prvním státě, kterou mohou zmírňovat všechna harmonizační ustanovení.

    76.      Domnívám se, že tento výklad potvrzuje v bodě 9 odůvodnění nařízení GDPR zmínka, že je nutné zaručit „[volný pohyb] osobních údajů v rámci Unie“, který může být ohrožován rozdílností vnitrostátních právních rámců.

    77.      Navíc jak na jednání zdůraznila Komise, bod 9 odůvodnění nařízení GDPR necílí na hospodářskou soutěž mezi všemi podniky, ale především na hospodářskou soutěž mezi podniky dvou různých členských států upravenou rozdílnými právními rámci. Jinak řečeno, jedná se v podstatě o zaručení rovných podmínek hospodářské soutěže v různých členských státech tím, že se na podniky vztahují harmonizované normy, i kdyby tyto normy jen mimochodem přispívaly k tomu, aby žádný podnik neměl konkurenční výhodu oproti jiným podnikům v rámci téhož členského státu.

    78.      Nařízení GDPR tudíž podle mého názoru nesleduje cíl zajistit volnou a nenarušenou hospodářskou soutěž na vnitřním trhu.

    79.      Dále podotýkám, že žádné z hmotněprávních ustanovení nařízení GDPR nemá za cíl zajistit volnou a nenarušenou hospodářskou soutěž mezi podniky a učinit je tak příjemci ochrany, kterou toto nařízení zavádí. Naopak spočívá cíl těchto ustanovení především v tom, že ukládají povinnosti podnikům odpovědným za zpracování údajů. I když je pravda, jak jsem již zmínil, že každá povinnost uložená fyzické nebo právnické osobě vede nutně k přiznání práva jiné osobě, jedinými příjemci dotčených práv jsou nikoli podniky, ale osoby, jejichž údaje tyto podniky zpracovávají. Výmluvný je v tomto ohledu název nařízení GDPR, neboť odkazuje pouze na ochranu fyzických osob.

    80.      A konečně, pokud jde o procesní ustanovení kapitoly VIII nařízení GDPR, zdůrazňuji, jak jsem již uvedl, že právní ochranu poskytují pouze subjektům údajů a subjektům pověřeným jejich zastupováním. Toto omezení osob, které mají podle ustanovení nařízení GDPR aktivní legitimaci a mohou se dovolávat porušení ochrany svých osobních údajů, podle mého názoru jasně naznačuje, že jsou jedinými adresáty této ochrany. Domnívám se totiž, že by bylo nekonzistentní činit z nařízení GDPR také nástroj ochrany práv soutěžitelů, aniž toto nařízení stanovilo prostředek ochrany, který by soutěžitelům umožňoval podat žalobu z důvodu porušení těchto práv, ačkoli je taková právní ochrana výslovně stanovena v případě ochrany práv subjektů údajů.

    81.      Jsem tudíž toho názoru, že podniky nejsou adresáty ochrany poskytované nařízením GDPR, neboť nařízení přiznává práva pouze subjektům údajů.

    c)      K dopadu výkladu nařízení GDPR jakožto normy chránící pouze subjekty údajů

    82.      Výklad nařízení GDPR, podle něhož ustanovení tohoto nařízení nepřiznávají práva podnikům, ale pouze subjektům údajů, mě vede k několika závěrům.

    83.      Zaprvé, jak jsem již uvedl, tento výklad podle mě vylučuje možnost mít za to, že dodržování ustanovení nařízení GDPR musí být možné zajistit i v rámci žaloby, kterou podnik podá proti konkurentovi a v níž se dovolává toho, že konkurent porušuje uvedená ustanovení GDPR.

    84.      Zadruhé vzhledem k tomu, že je okruh příjemců práv přiznaných nařízením GDPR omezen pouze na subjekty údajů, nedomnívám se, že by judikatura Soudního dvora týkající se možnosti, aby členské státy ve vnitrostátním právu stanovily dodatečné prostředky ochrany určené nositelům těchto práv, za podmínky, že tato ochrana nenaruší harmonizovaný systém ochrany a neohrozí jeho cíle(24), byla přímo použitelná na dotčenou situaci. Jak ukážu, dotčená judikatura může však přesto sloužit jako základ pro analýzu této situace.

    85.      Podle tohoto pojetí pojmu „taxativnost systému právní ochrany“ je totiž důležité určit, zda musí být systém právní ochrany zavedený nařízením GDPR chápán jako taxativní systém v tom smyslu, že brání tomu, aby mohly být ve prospěch subjektů údajů využity i jiné prostředky ochrany podle vnitrostátního práva.

    86.      Ve věci v původním řízení je nicméně dotčena žaloba podaná podnikem, který není jedním z nositelů práv přiznaných nařízením GDPR.

    87.      Za těchto okolností, vzhledem k tomu, že nařízení GDPR nepřiznává podnikům ani jejich konkurentům žádná práva, je relevantní pouze otázka, zda má být systém právní ochrany zavedený nařízením GDPR chápán jako taxativní systém v tom smyslu, že toto nařízení vylučuje i to, aby se podniky dovolávaly porušení jeho ustanovení v rámci prostředků právní ochrany stanovených vnitrostátním právem, na což se nyní zaměřím.

    2.      Možnost využití prostředků právní ochrany založených na vnitrostátním právu osobami, které nejsou nositeli práv přiznaných nařízením GDPR

    88.      Otázka, zda ustanovení týkající se systému právní ochrany zavedeného nařízením GDPR brání tomu, aby se podniky dovolávaly porušení ustanovení tohoto nařízení v rámci prostředků právní ochrany stanovených vnitrostátním právem, dle mého mínění vyžaduje odpověď rozdělenou na dvě části.

    89.      K odpovědi na tuto otázku je totiž třeba přezkoumat jednak to, zda mají podniky možnost dovolávat se ustanovení nařízení GDPR přesto, že nejsou nositeli jimi přiznaných práv, a jednak podmínky vztahu mezi těmito prostředky právní ochrany a systémem právní ochrany stanoveným tímto nařízením.

    90.      Pokud jde o možnost podniků dovolávat se ustanovení nařízení GDPR, podotýkám zaprvé, že tato je v rámci prostředků ochrany založených na vnitrostátním právu, jako je žaloba dotčená ve věci v původním řízení, pouze incidenční. Přesněji řečeno, podnik podává žalobu na základě vnitrostátního práva, konkrétně zákazu nekalosoutěžního jednání. Nekalá povaha dotčeného jednání tak údajně vyplývá z porušení nařízení GDPR. Jinými slovy, žaloba se nezakládá na porušení ustanovení nařízení GDPR, ale zohledňuje toto porušení pouze incidenčně(25).

    91.      Takové incidenční zohlednění již ale Soudní dvůr připustil, ačkoli je pravda, že v jiném kontextu. Soudní dvůr totiž v rozsudku Meta Platforms a další (Všeobecné podmínky používání sociální sítě) rozhodl, že „nesoulad [s nařízením GDPR] zpracování údajů prováděného podnikem v dominantním postavení [...] může představovat zneužití tohoto postavení“(26) a je obecně nutné zahrnout „[pravidla] v oblasti ochrany osobních údajů [do] právního rámce, který musí orgány pro hospodářskou soutěž zohlednit při posuzování, zda došlo ke zneužití dominantního postavení“(27). Jinými slovy, Soudní dvůr připouští, že k porušení práva hospodářské soutěže může dojít z důvodu porušení ustanovení nařízení GDPR.

    92.      Přestože toto konstatování nebylo učiněno v rámci sporu mezi jednotlivci, ale v rámci přezkumu protisoutěžního jednání, který byl prováděn vnitrostátním orgánem pro hospodářskou soutěž, nevidím důvod, proč omezovat možnost incidenčního zohlednění porušení ustanovení nařízení GDPR pouze na tento případ.

    93.      Na jedné straně, pokud jde o právo hospodářské soutěže, jestliže je takové zohlednění umožněno v oblasti veřejnoprávního prosazování (public enforcement), považuji za nutné jej umožnit i v oblasti soukromoprávního prosazování (private enforcement), a tedy i v případě sporů mezi soukromými osobami, jejichž prvotním základem není porušení práva přiznaného nařízením GDPR, ledaže bychom připustili, že soukromé osoby nemohou získat náhradu škody způsobené porušením práva hospodářské soutěže, přestože bylo orgánem pro hospodářskou soutěž konstatováno.

    94.      Na druhé straně, jak upozornil generální advokát Richard de la Tour, ochrana osobních údajů může nabývat různé „podoby [...] v jiných oblastech, zvláště pak v pracovním právu, právu hospodářské soutěže či spotřebitelském právu“(28). Tento vliv nařízení GDPR v jiných oblastech podle mne musí vést k tomu, že je nutné připustit zohlednění ustanovení tohoto nařízení v rámci prostředků právní ochrany, které se zakládají na ustanoveních, která s ním nesouvisejí.

    95.      Zadruhé, pokud jde o otázku vzájemného vztahu mezi vnitrostátními prostředky právní ochrany zahrnujícími incidenční zohlednění ustanovení nařízení GDPR a systémem právní ochrany zavedeným tímto nařízením, domnívám se, že by tyto prostředky měly být přípustné pouze za podmínky, že nenarušují systém prostředků právní ochrany podle tohoto nařízení nebo dosažení jeho cílů.

    96.      Tyto podmínky byly v judikatuře rozvedeny v souvislosti s taxativností systému harmonizované ochrany s ohledem na vnitrostátní prostředky ochrany založené na tomtéž právu(29). Zdá se mi proto, že a fortiori musí být splněny, pokud jsou dotčena vnitrostátní pravidla, která podnikům přiznávají právo podat žalobu nikoliv na základě téhož práva, ale na základě vnitrostátního práva, podle něhož se nicméně mohou dovolávat porušení hmotněprávních ustanovení nařízení GDPR, kterého se údajně dopustil jiný podnik.

    97.      Je tedy nutné ověřit, zda jsou v projednávané věci tyto podmínky splněny.

    98.      Pokud jde nejprve o otázku, zda žaloba na zdržení se jednání podaná podnikem proti konkurentovi, v níž se daný podnik dovolává porušení ustanovení nařízení GDPR ze strany konkurenta, narušuje systém právní ochrany stanovený v kapitole VIII tohoto nařízení, jsem toho názoru, že tomu tak není. Tato právní ochrana totiž subjektům údajů nebo jimi pověřeným neziskovým subjektům, organizacím nebo sdružením umožňuje podat stížnost u dozorového úřadu (článek 77), zaručuje právo na soudní ochranu proti rozhodnutí dozorového úřadu (článek 78), právo zahájit řízení proti správci nebo zpracovateli (článek 79) nebo obdržet od správce nebo zpracovatele náhradu újmy z důvodu porušení tohoto nařízení (článek 82).

    99.      Jinými slovy, jak Soudní dvůr zdůrazňuje ve své judikatuře, kapitola VIII nařízení GDPR „upravuje [...] opravné prostředky, které umožňují chránit práva subjektu údajů, pokud osobní údaje, které se ho týkají, byly zpracovány údajně v rozporu s ustanoveními uvedeného nařízení“, přičemž „[o]chrana těchto práv [...] může být požadována buď přímo subjektem údajů, nebo subjektem oprávněným v případě, že za tímto účelem existuje nebo neexistuje pověření“(30).

    100. Za těchto okolností je žaloba, kterou by podnik mohl podat proti svému konkurentovi a v níž by se dovolával porušení tohoto nařízení ze strany takového konkurenta, jistě in fine založena na porušení stejného ustanovení, ale nesleduje stejný cíl a netýká se stejných účastníků. Jinak řečeno, takový prostředek stanovený vnitrostátním právem není zamýšlen k zajištění dodržování práv, jež jsou určena subjektům údajů.

    101. Z toho podle mého názoru vyplývá, že prostředky právní nápravy, které subjektům údajů poskytuje systém právní ochrany zavedený nařízením GDPR, zůstávají zachovány a lze je uplatnit, a to i v případě, že podnik podal proti konkurentovi žalobu.

    102. V tomto ohledu musím rovněž upřesnit, že mi není jasné, jak by tyto prostředky právní ochrany mohly ohrozit veřejný systém kontroly uplatňování práva zavedeného nařízením GDPR, jak tvrdí Komise, neboť toto nařízení vedle tohoto veřejnoprávního systému již výslovně stanoví možnost subjektu údajů uplatňovat práva, která pro něj z nařízení GDPR vyplývají, v rámci soudních řízení.

    103. Dále, pokud jde o cíle GDPR, z bodu 10 odůvodnění uvedeného nařízení vyplývá, že cílem nařízení je zejména zajistit jak vysokou úroveň ochrany fyzických osob, tak soudržné a jednotné uplatňování pravidel ochrany základních práv a svobod fyzických osob v souvislosti se zpracováním osobních údajů.

    104. Nezdá se mi, že by dosažení kteréhokoli z těchto cílů bylo ohroženo, pokud by bylo podniku umožněno, aby podal proti konkurentovi žalobu na zdržení se jednání na základě zákazu nekalosoutěžního jednání z toho důvodu, že konkurent porušuje ustanovení tohoto nařízení. Předně mám za to, že vysoká úroveň ochrany fyzických osob v souvislosti se zpracováním jejich osobních údajů je zajištěna, či dokonce posílena tím, že má podnik možnost dovolávat se porušení hmotněprávních ustanovení nařízení GDPR konkurentem. Dále širší možností dovolávat se těchto ustanovení ze strany jiných osob než samotných subjektů údajů není dotčeno dosažení cíle soudržné a jednotné ochrany v rámci Unie. I kdyby totiž členské státy tuto možnost nestanovily, nevedlo by to ještě k roztříštěnosti uplatňování ochrany údajů v rámci Unii, neboť hmotněprávní ustanovení nařízení GDPR se vztahují na všechny podniky stejně a jejich dodržování je zajištěno prostředky právní ochrany, jež jsou stanoveny v tomto nařízení.

    105. Konečně se domnívám, pokud jde o užitečný účinek nařízení GDPR, že ani zdaleka není zpochybněn tím, že by podniku bylo umožněno podat žalobu na zdržení se jednání proti konkurentovi a dovolávat se přitom porušení nařízení GDPR, ale, jak jsem již uvedl, je naopak posílen tím, že dodržování ustanovení tohoto nařízení může být zajištěno i v rámci jiných soudních řízení než v rámci systému právní ochrany podle tohoto nařízení.

    106. Za těchto podmínek jsem toho názoru, že žaloba na zdržení se jednání podaná podnikem proti konkurentovi, v níž se takový podnik dovolává porušení ustanovení nařízení GDPR ze strany konkurenta, může existovat vedle prostředků právní ochrany zavedených v kapitole VIII nařízení GDPR, pokud je nenarušuje a neohrožuje cíle a užitečný účinek tohoto nařízení.

    107. Navrhuji proto, aby Soudní dvůr rozhodl, že ustanovení kapitoly VIII nařízení GDPR nebrání vnitrostátním pravidlům, která podnikům přiznávají právo dovolávat se na základě zákazu nekalosoutěžního jednání porušení hmotněprávních ustanovení tohoto nařízení, jehož se údajně dopustili jejich konkurenti.

    V.      Závěry

    108. S ohledem na všechny výše uvedené úvahy navrhuji odpovědět na předběžné otázky položené Bundesgerichtshof (Spolkový soudní dvůr, Německo) následovně:

    Článek 4 bod 15 a čl. 9 odst. 1 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízen o ochraně osobních údajů)

    musí být vykládány v tom smyslu, že

    údaje o zákaznících určitého lékárníka, které byly předány při objednávce léčivých přípravků na internetové prodejní platformě, jejichž prodej je vyhrazen lékárnám, ale které nepodléhají omezení výdeje na lékařský předpis, nejsou „údaji o zdravotním stavu“.

    1–      Původní jazyk: francouzština.

    2–      Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. 2016, L 119, s. 1).

    3–      Směrnice Evropského parlamentu a Rady ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (Úř. věst. 1995, L 281, s. 31; Zvl. vyd. 13/15, s. 355).

    4–      Směrnice Evropského parlamentu a Rady 2011/24/EU ze dne 9. března 2011 o uplatňování práv pacientů v přeshraniční zdravotní péči (Úř. věst. 2011, L 88, s. 45).

    5–      BGBl. 2004 I, s. 1414.

    6–      BGBl. 2005 I, s. 3394.

    7–      BGBl. 2022 I, s. 2793.

    8–      V této souvislosti zdůrazňuji, že předkládající soud se Soudního dvora táže rovněž na pojem „údaje týkající se zdraví“ ve smyslu čl. 8 odst. 1 směrnice 95/46. Jsem však toho názoru, že není namístě rozlišovat mezi tímto ustanovením a ustanovením čl. 9 odst. 1 nařízení GDPR, neboť tato ustanovení je nutné chápat tak, že mají pro potřeby výkladu, který má Soudní dvůr poskytnout v projednávané věci, podobnou působnost. K tomuto bodu viz rozsudek ze dne 1. srpna 2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, bod 58). Ve své analýze se proto budu odkazovat pouze na čl. 9 odst. 1 nařízení GDPR, přičemž totéž platí i pro čl. 8 odst. 1 směrnice 95/46.

    9–      Rozsudek ze dne 1. srpna 2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, bod 124).

    10–      Rozsudek ze dne 1. srpna 2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, bod 126).

    11–      Rozsudek ESLP, 25. února 1997, Z v. Finsko (CE:ECHR:1997:0225JUD002200993, bod 95). Evropský soud pro lidská práva mimo jiné zdůrazňuje, že zvýšená ochrana údajů o zdraví je „prvořadá nejen z hlediska ochrany soukromého života nemocných osob, ale také z hlediska ochrany jejich důvěry v lékařské pracovníky a lékařské služby obecně“.

    12–      Rozsudek ze dne 1. srpna 2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, bod 123).

    13–      Pokyny 03/2020 ke zpracování údajů o zdravotním stavu pro účely vědeckého výzkumu v souvislosti s rozšířením onemocnění covid-19, s. 5.

    14–      Viz Bygrave, L. A., a Tosoni, L., „Article 4(15)“, The EU General Data Protection Regulation (GDPR), a Commentary, Kuner, C., Bygrave, L. A., a Docksey, C., (éd.), Oxford University Press, 2020, s. 222.

    15–      Rozsudek ze dne 24. února 2022, Glavna direkcia „Požarna bezopasnost i zaštita na naselenieto“ (C‑262/20, EU:C:2022:117, bod 71).

    16–      Rozsudky ze dne 19. listopadu 1991, Francovich a další (C‑6/90 et C‑9/90, EU:C:1991:428, bod 31), jakož i ze dne 20. září 2001, Courage a Crehan (C‑453/99, EU:C:2001:465, bod 19).

    17–      Rozsudek ze dne 20. září 2001, Courage a Crehan (C‑453/99, EU:C:2001:465, bod 19).

    18–      K tomu viz Van Gerven, W., „Of Rights, Remedies and Procedures“, Common Market Law Review, sv. 37 č. 3, 2000, s. 501 až 536.

    19–      Rozsudek ze dne 20. září 2001, Courage a Crehan (C‑453/99, EU:C:2001:465, bod 25).

    20–      Rozsudky ze dne 19. listopadu 1991, Francovich a další (C‑6/90 a C‑9/90, EU:C:1991:428, bod 31), jakož i ze dne 20. září 2001, Courage a Crehan (C‑453/99, EU:C:2001:465, bod 19).

    21–      Podobné řešení již Soudní dvůr přijal zejména v souvislosti s nařízením Rady (EHS) č. 1035/72 ze dne 18. května 1972 o společné organizaci trhu s ovocem a zeleninou (Úř. věst. 1972, L 118, s. 1). Vycházelo výhradně ze skutečnosti, že cílem tohoto textu je rovněž zajistit poctivé obchodování a transparentnost trhu, takže občanskoprávní žaloba podaná podnikem proti konkurentovi s cílem donutit jej dodržovat povinnosti stanovené tímto nařízením posiluje funkčnost právních předpisů Společenství. Jinými slovy, nařízení 1035/72 bylo vykládáno tak, že podnikům ukládalo dodržovat pravidla společné organizace trhu k tomu, aby mohly těžit z obchodních vztahů založených na spravedlivé hospodářské soutěži a mohly těžit z práv vyplývajících z povinností, které jim také byly uloženy. Viz rozsudek ze dne 17. září 2002, Muñoz a Superior Fruiticola (C‑253/00, EU:C:2002:497, body 29 a 31).

    22–      Rozsudky ze dne 21. prosince 2011, Dutrueux (C‑495/10, EU:C:2011:869, body 29 a 30), a ze dne 16. března 2023, Beobank (C‑351/21, EU:C:2023:215, bod 38).

    23–      Tento dvojí rozměr taxativnosti systému právní ochrany závisející na určení nositele práva vyplývajícího z unijního práva se podle mého názoru v judikatuře Soudního dvora objevuje v rozsudku ze dne 2. září 2021, CRCAM (C‑337/20, EU:C:2021:671). V tomto rozsudku Soudní dvůr přezkoumal slučitelnost vnitrostátního režimu odpovědnosti, který umožňuje, aby se ručitel uživatele platebních služeb za účelem zpochybnění výše dluhu zajištěného ručením dovolával, v souladu s vnitrostátním režimem obecné smluvní odpovědnosti, občanskoprávní odpovědnosti poskytovatele platebních služeb, se směrnicí Evropského parlamentu a Rady 2007/64/ES ze dne 13. listopadu 2007 o platebních službách na vnitřním trhu, kterou se mění směrnice 97/7/ES, 2002/65/ES, 2005/60/ES a 2006/48/ES a zrušuje směrnice 97/5/ES (Úř. věst. 2007, L 319, s. 1, a oprava: Úř. věst. 2009, L 187, s. 5). Než přikročil k analýze toho, zda režim odpovědnosti zavedený směrnicí brání jinému režimu odpovědnosti založenému na vnitrostátním právu, zahájil Soudní dvůr svou analýzu konstatováním, že tato směrnice stanoví práva nikoli ve vztahu k ručiteli, ale pouze ve vztahu k poskytovatelům platebních služeb a uživatelům takových služeb.

    24–      Rozsudky ze dne 21. prosince 2011, Dutrueux (C‑495/10, EU:C:2011:869, body 29 a 30), a ze dne 16. března 2023, Beobank (C‑351/21, EU:C:2023:215, bod 38).

    25–      V této souvislosti zdůrazňuji, že za předpokladu, že by porušení ustanovení nařízení GDPR mohlo být považováno za nekalou obchodní praktiku ve smyslu směrnice Evropského parlamentu a Rady 2005/29/ES ze dne 11. května 2005 o nekalých obchodních praktikách vůči spotřebitelům na vnitřním trhu a o změně směrnice Rady 84/450/EHS, směrnic Evropského parlamentu a Rady 97/7/ES, 98/27/ES a 2002/65/ES a nařízení Evropského parlamentu a Rady (ES) č. 2006/2004 (Úř. věst. 2005, L 149, s. 22), musela by se podle mého názoru použít všechna ustanovení této směrnice, a to včetně povinnosti, aby členské státy podle článku 11 této směrnice zavedly ustanovení, která konkurentům umožní podat žalobu pro používání nekalých obchodních praktik.

    26–      Rozsudek ze dne 4. července 2023, Meta Platforms a další(Všeobecné podmínky používání sociální sítě) (C‑252/21, EU:C:2023:537, bod 43).

    27–      Rozsudek ze dne 4. července 2023, Meta Platforms a další(Všeobecné podmínky používání sociální sítě) (C‑252/21, EU:C:2023:537, bod 51).

    28–      Stanovisko generálního advokáta Richarda de la Tour ve věci Meta Platforms Ireland (C‑319/20, EU:C:2021:979, bod 51).

    29–      Rozsudky ze dne 21. prosince 2011, Dutrueux (C‑495/10, EU:C:2011:869, body 29 a 30), a ze dne 16. března 2023, Beobank (C‑351/21, EU:C:2023:215, bod 38). Viz rovněž bod 71 tohoto stanoviska.

    30–      Rozsudek ze dne 28. dubna 2022, Meta Platforms Ireland (C‑319/20, EU:C:2022:322, bod 53).

    Top