–

za ND: A. Datta, M. Mogendorf a W. Spoerr, Rechtsanwälte,

–

za DR: M. Bahmann, Rechtsanwalt,

–

za německou vládu: J. Möller a P.-L. Krüger, jako zmocněnci,

–

za Evropskou komisi: A. Bouchagiar, F. Erlbacher a H. Kranenborg, jako zmocněnci,

1

Žádost o rozhodnutí o předběžné otázce se týká výkladu čl. 9 odst. 1 a ustanovení kapitoly VIII nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. 2016, L 119, s. 1, oprava, Úř. věst. 2018, L 127, s. 2, oprava, Úř. věst. 2021, L 074, s. 35, dále jen „GDPR“), jakož i čl. 8 odst. 1 směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (Úř. věst. 1995, L 281, s. 31; Zvl. vyd. 13/15, s. 355).

2

Tato žádost byla předložena v rámci sporu mezi ND a DR, dvěma fyzickými osobami, z nichž každá provozuje lékárnu, ve věci uvádění léčivých přípravků, jejichž prodej je vyhrazen lékárnám, ze strany ND prostřednictvím on-line platformy.

3

Článek 8 směrnice 95/46, nadepsaný „Zpracování zvláštních kategorií údajů“, stanovil:

„1.   Členské státy zakáží zpracování osobních údajů, které odhalují rasový či etnický původ, politické názory, náboženské nebo filozofické přesvědčení, odborovou příslušnost, jakož i zpracování údajů týkajících se zdraví a sexuálního života.

2.   Odstavec 1 se nepoužije, pokud:

[…]“

4

Body 9 až 11, 13, 35, 51, 53, 141 a 142 odůvodnění GDPR znějí následovně:

[…]

[…]

[…]

[…]

[…]

5

Článek 1 tohoto nařízení, nadepsaném „Předmět a cíle“, stanoví:

„1.   Toto nařízení stanoví pravidla týkající se ochrany fyzických osob v souvislosti se zpracováním osobních údajů a pravidla týkající se volného pohybu osobních údajů.

2.   Toto nařízení chrání základní práva a svobody fyzických osob, a zejména jejich právo na ochranu osobních údajů.

3.   Volný pohyb osobních údajů v Unii není z důvodu ochrany fyzických osob v souvislosti se zpracováním osobních údajů omezen ani zakázán.“

6

Článek 4 uvedeného nařízení stanoví:

„Pro účely tohoto nařízení se rozumí:

[…]

[…]

[…]

[…]“

7

Kapitola II GDPR, nadepsaná „Zásady“, obsahuje články 5 až 11.

8

Článek 5 tohoto nařízení stanoví zásady zpracování osobních údajů, zatímco článek 6 tohoto nařízení stanoví podmínky pro zákonnost takového zpracování.

9

Článek 9 uvedeného nařízení, nadepsaný „Zpracování zvláštních kategorií osobních údajů“, zní takto:

„1.   Zakazuje se zpracování osobních údajů, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.

2.   Odstavec 1 se nepoužije, pokud jde o některý z těchto případů:

[…]

[…]“

10

Článek 51 téhož nařízení, nadepsaný „Dozorový úřad“, v odstavci 1 stanoví:

„Každý členský stát stanoví, že jeden nebo více nezávislých orgánů veřejné moci jsou pověřeny monitorováním uplatňování tohoto nařízení s cílem chránit základní práva a svobody fyzických osob v souvislosti se zpracováním jejich osobních údajů a usnadnit volný pohyb osobních údajů uvnitř Unie (dále jen ‚dozorový úřad‘).“

11

Kapitola VIII GDPR, nadepsaná „Právní ochrana, odpovědnost a sankce“, obsahuje články 77 až 84 tohoto nařízení.

12

Článek 77 tohoto nařízení, nadepsaný „Právo podat stížnost u dozorového úřadu“, v odstavci 1 stanoví:

„Aniž jsou dotčeny jakékoliv jiné prostředky správní nebo soudní ochrany, má každý subjekt údajů právo podat stížnost u některého dozorového úřadu, zejména v členském státě svého obvyklého bydliště, místa výkonu zaměstnání nebo místa, kde došlo k údajnému porušení, pokud se subjekt údajů domnívá, že zpracováním jeho osobních údajů je porušeno toto nařízení.“

13

Článek 78 uvedeného nařízení, nadepsaný „Právo na účinnou soudní ochranu vůči dozorovému úřadu“, v odstavci 1 stanoví:

„Aniž je dotčena jakákoli jiná správní či mimosoudní ochrana, má každá fyzická nebo právnická osoba právo na účinnou soudní ochranu proti právně závaznému rozhodnutí dozorového úřadu, které se jí týká.“

14

Článek 79 téhož nařízení, nadepsaný „Právo na účinnou soudní ochranu vůči správci nebo zpracovateli“, v odstavci 1 stanoví:

„Aniž je dotčena jakákoli dostupná správní či mimosoudní ochrana, včetně práva na podání stížnosti u dozorového úřadu podle článku 77, má každý subjekt údajů právo na účinnou soudní ochranu, pokud má za to, že jeho práva podle tohoto nařízení byla porušena v důsledku zpracování jeho osobních údajů v rozporu s tímto nařízením.“

15

Článek 80 GDPR, nadepsaný „Zastupování subjektů údajů“, zní:

„1.   Subjekt údajů má právo pověřit neziskový subjekt, organizaci nebo sdružení, jež byly řádně založeny v souladu s právem některého členského státu, jejichž statutární cíle jsou ve veřejném zájmu a jež vyvíjejí činnost v oblasti ochrany práv a svobod subjektů údajů ohledně ochrany jejich osobních údajů, aby jeho jménem podal stížnost, uplatnil práva uvedená v článcích 77, 78 a 79 a, pokud tak stanoví právo členského státu, uplatnil právo na odškodnění podle článku 82.

2.   Členské státy mohou stanovit, že jakýkoliv subjekt, organizace nebo sdružení uvedené v odstavci 1 tohoto článku má bez ohledu na pověření od subjektu údajů právo podat v daném členském státě stížnost u dozorového úřadu příslušného podle článku 77 a vykonávat práva uvedená v článcích 78 a 79, pokud se domnívá, že v důsledku zpracování byla porušena práva subjektu údajů podle tohoto nařízení.“

16

Článek 82 tohoto nařízení, nadepsaný „Právo na náhradu újmy a odpovědnost“, v odstavci 1 stanoví:

„Kdokoli, kdo v důsledku porušení tohoto nařízení utrpěl hmotnou či nehmotnou újmu, má právo obdržet od správce nebo zpracovatele náhradu utrpěné újmy.“

17

Článek 83 uvedeného nařízení, nadepsaný „Obecné podmínky pro ukládání správních pokut“, v odstavci 1 stanoví:

„Každý dozorový úřad zajistí, aby ukládání správních pokut v souladu s tímto článkem ohledně porušení tohoto nařízení podle odstavců 4, 5 a 6 bylo v každém jednotlivém případě účinné, přiměřené a odrazující.“

18

Článek 84 téhož nařízení, nadepsaný „Sankce“, v odstavci 1 stanoví:

„Členské státy stanoví pravidla pro jiné sankce, jež se mají ukládat za porušení tohoto nařízení, zejména za porušení, na něž se nevztahují správní pokuty podle článku 83, a učiní veškerá opatření nezbytná k zajištění jejich uplatňování. Tyto sankce musí být účinné, přiměřené a odrazující.“

19

Článek 94 GDPR v odstavci 1 stanoví:

„Směrnice [95/46] se zrušuje s účinkem ode dne 25. května 2018.“

20

Článek 99 tohoto nařízení stanoví:

„1.   Toto nařízení vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.

2.   Toto nařízení se použije ode dne 25. května 2018.“

21

Ustanovení § 3 Gesetz gegen den unlauteren Wettbewerb (zákon proti nekalé hospodářské soutěži) ze dne 3. července 2004 (BGBl. 2004 I, s. 1414), ve znění použitelném na spor v původním řízení (dále jen „UWG“), nadepsané „Zákaz nekalého obchodního jednání“, v odstavci 1 stanoví:

„Nekalé obchodní praktiky jsou protiprávní.“

22

Ustanovení § 3a UWG, nadepsané „Porušení práva“, zní:

„Nekalého jednání se dopustí ten, kdo jedná v rozporu s právním předpisem, který je určen zejména ke stanovení pravidel chování na trhu v zájmu jeho účastníků, jestliže porušení právního předpisu může citelně narušit zájmy spotřebitelů, jiných účastníků trhu nebo soutěžitelů.“

23

Ustanovení § 8 UWG, nadepsané „Odstranění a zdržení se jednání“, stanoví:

„(1)   Vůči každému, kdo používá obchodní praktiky, které jsou podle § 3 nebo § 7 protiprávní, se lze domáhat toho, aby těchto praktik okamžitě zanechal a v případě, že hrozí jejich opakování, se jich zdržel. […]

[…]

(3)   Nároky podle odstavce 1 mohou být uplatněny vůči:

[…]“

24

Pohyb léčivých přípravků se řídí Gesetz über den Verkehr mit Arzneimitteln (zákon o obchodování s léčivými přípravky) ze dne 24. srpna 1976 (BGBl. 1976 I, s. 2444), ve znění zveřejněném dne 12. prosince 2005 (BGBl. 2005 I, s. 3394), použitelném na skutkový stav v původním řízení, rozlišuje mezi léčivými přípravky prodávanými v lékárně a léčivými přípravky prodávanými na předpis, přičemž posledně uvedené léčivé přípravky jsou uvedeny v článku 48, nadepsaném „Povinnost výdeje na lékařský předpis“.

25

ND, který provozuje lékárnu pod obchodním názvem „Lindenapotheke“, uvádí od roku 2017 na trh léčivé přípravky, jejichž prodej je vyhrazen lékárnám, na on-line platformě „Amazon-Marketplace“ (dále jen „Amazon“). Při on-line objednávce těchto léčivých přípravků musí zákazníci ND zadat takové informace, jako je jejich jméno, dodací adresa a údaje nezbytné k individualizaci uvedených léčivých přípravků.

26

DR, který provozuje rovněž lékárnu, podal k Landgericht Dessau-Roßlau (Zemský soud v Dessau-Roßlau, Německo) žalobu, kterou se domáhal, aby bylo ND pod hrozbou penále uloženo, aby přestal uvádět na trh prostřednictvím Amazonu léčivé přípravky, jejichž prodej je vyhrazen lékárnám, dokud nebude zaručeno, že zákazník může udělit předchozí souhlas se zpracováním údajů o zdravotním stavu.

27

Na podporu své žaloby DR tvrdil, že uvádění léčivých přípravků, jejichž prodej je vyhrazen lékárnám, na trh prostřednictvím Amazonu bylo nekalé z důvodu nedodržení zákonných požadavků na získání souhlasu zákazníka vyžadovaných právními předpisy o ochraně osobních údajů.

28

Rozhodnutím ze dne 28. března 2018 Landgericht Dessau-Roßlau (Zemský soud v Dessau-Roßlau) žalobě vyhověl.

29

ND podal proti tomuto rozhodnutí odvolání k Oberlandesgericht Naumburg (Vrchní zemský soud v Naumburgu, Německo), který jej rozhodnutím ze dne 7. listopadu 2019 zamítl.

30

Odvolací soud měl za to, že uvádění léčivých přípravků, jejichž prodej je vyhrazen lékárnám, na trh prostřednictvím Amazonu představuje nekalou praktiku, a je proto protiprávní podle § 3 odst. 1 UWG.Takové uvádění léčivých přípravků na trh totiž podle jeho názoru vede ke zpracování údajů o zdravotním stavu, které je zakázáno podle čl. 9 odst. 1 GDPR, v případě, že zákazníci, kteří léčivé přípravky nakupují, nedají výslovný souhlas v souladu s čl. 9 odst. 2 písm. a) tohoto nařízení. Pravidla stanovená uvedeným nařízením přitom představují právní ustanovení určená k úpravě chování na trhu ve smyslu § 3a UWG. Mimoto podle § 8 odst. 3 bodu 1 UWG je DR jakožto soutěžitel oprávněn dovolávat se porušení těchto pravidel ze strany ND prostřednictvím návrhu na vydání soudního zákazu u občanskoprávních soudů.

31

ND podal opravný prostředek „Revision“ k Bundesgerichtshof (Spolkový soudní dvůr, Německo), který je předkládajícím soudem.

32

Předkládající soud uvádí, že výsledek sporu závisí na výkladu ustanovení kapitoly VIII GDPR a čl. 9 odst. 1 tohoto nařízení, jakož i čl. 8 odst. 1 směrnice 95/46.

33

Na prvním místě si předkládající soud klade otázku, zda od zrušení směrnice 95/46 s účinností od 25. května 2018, tedy od data, od kterého se GDPR stalo použitelným, mohou členské státy ve vnitrostátním právu stanovit, že takoví konkurenti podniku, jako jsou konkurenti uvedení v § 8 odst. 3 bodu 1 UWG, jsou oprávněni domáhat se prostřednictvím žaloby podané k civilnímu soudu, aby bylo ukončeno porušování ustanovení GDPR, kterých se tento podnik dopustil, na základě zákazu nekalých obchodních praktik.

34

Předkládající soud poznamenává, že na tuto otázku existují na vnitrostátní úrovni rozdílné odpovědi. Takovou odpověď totiž nelze jednoznačně vyvodit ze znění ustanovení kapitoly VIII GDPR ani z obecné systematiky těchto ustanovení a ani z cíle sledovaného uvedeným nařízením.

35

Pokud jde o znění ustanovení kapitoly VIII GDPR, předkládající soud zdůrazňuje, že je pravda, že tato ustanovení na žádném místě nezmiňují možnost konkurentů podniku podat proti tomuto podniku žalobu, zejména pokud porušení právních předpisů o ochraně údajů představuje nekalé obchodní praktiky. Uvedená ustanovení však zároveň tuto možnost formálně nevylučují.

36

Pokud jde dále o obecnou systematiku ustanovení kapitoly VIII GDPR, předkládající soud zdůrazňuje, že jak rozhodl Soudní dvůr v rozsudku ze dne 28. dubna 2022, Meta Platforms Ireland (C‑319/20, EU:C:2022:322, bod 57), cílem tohoto nařízení je zajistit harmonizaci vnitrostátních právních předpisů o ochraně osobních údajů, která je v zásadě úplná. Skutečnost, že čl. 77 odst. 1, čl. 78 odst. 1 a 2 a čl. 79 odst. 1 GDPR obsahují výrazy „aniž jsou dotčeny jakékoliv jiné prostředky/aniž je dotčena jakákoliv jiná ochrana“, však může bránit závěru, že kontrola uplatňování práva byla upravena vyčerpávajícím způsobem.

37

Pokud jde o cíl harmonizace, a zejména sjednocení úrovně kontroly uplatňování práva v rámci Unie, který sleduje GDPR, předkládající soud zdůrazňuje, že skutečnost, že by konkurenti mohli být aktivně legitimováni na základě práva hospodářské soutěže, a tudíž by se mohli dovolávat ustanovení práva na ochranu údajů nad rámec nástrojů stanovených GDPR, mohla být v rozporu s tímto cílem. Mimoto podle předkládajícího soudu není jisté, zda systém kontroly uplatňování práva stanovený uvedeným nařízením obsahuje mezeru, která by měla být vyplněna možností přiznanou soutěžitelům mít aktivní legitimaci na základě práva hospodářské soutěže. Stejně tak by mohlo existovat riziko, že konkurence v oblasti kontroly uplatňování práva na ochranu údajů mezi dozorovými úřady na jedné straně a civilní soudy na straně druhé by mohla vést ke zhoršení pravomocí dozorových úřadů a k rozdílům v kontrole uplatňování práva na ochranu údajů v rámci Unie.

38

Předkládající soud má za to, že přiznat soutěžitelům možnost žalovat na základě práva hospodářské soutěže by mohlo představovat další možnost kontroly uplatňování práva, která je žádoucí na základě zásady efektivity („užitečný účinek“), aby byla zajištěna co nejvyšší úroveň ochrany osobních údajů v souladu s bodem 10 odůvodnění GDPR.

39

Předkládající soud upřesňuje, že tato otázka nebyla objasněna judikaturou Soudního dvora a zejména v rozsudku ze dne 28. dubna 2022, Meta Platforms Ireland (C‑319/20, EU:C:2022:322), Soudní dvůr výslovně ponechal otevřenou otázku aktivní legitimace konkurenta.

40

Na druhém místě si předkládající soud klade otázku, zda údaje, které musí zákazníci zadat na on-line prodejní platformě při objednávce léčivých přípravků, jako je jejich jméno, adresa dodání a informace nezbytné k individualizaci objednaných léčivých přípravků, představují „údaje o zdravotním stavu“ ve smyslu čl. 8 odst. 1 směrnice 95/46 a čl. 9 odst. 1 GDPR.

41

Podle předkládajícího soudu není odpověď na tuto otázku zřejmá v případě, kdy objednané léčivé přípravky nepodléhají omezení výdeje na lékařský předpis. V takovém případě totiž není vyloučeno, že tyto léčivé přípravky nejsou určeny samotným zákazníkům, ale třetím osobám, které nelze identifikovat.

42

Předkládající soud zdůrazňuje, že znění těchto ustanovení a znění čl. 4 bodu 15 GDPR ve spojení s bodem 35 odůvodnění tohoto nařízení samy o sobě neumožňují odpovědět na tuto otázku.

43

V bodě 125 rozsudku ze dne 1. srpna 2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601), však Soudní dvůr rozhodl, že pojem „zvláštní kategorie osobních údajů“ uvedený v čl. 8 odst. 1 směrnice 95/46 a v čl. 9 odst. 1 nařízení GDPR musí být vykládán široce s ohledem na cíl tohoto nařízení, kterým je zajistit vysokou úroveň ochrany základních práv a svobod fyzických osob, zejména jejich soukromí, v souvislosti se zpracováním jejich osobních údajů. Pokud by byl zvolen tento široký výklad tohoto pojmu, bylo by možné dospět k závěru, že takové informace představují údaje o zdravotním stavu i pokud není jisté, ale pouze pravděpodobné, že zákazníky, kteří objednávají léčivé přípravky, jsou osoby, kterým jsou léčivé přípravky určeny.

44

Předkládající soud upřesňuje, že nárok dosáhnout toho, aby se porušovatel zdržel jednání, kterého se DR dovolává, předpokládá, že dotčené jednání ND bylo protiprávní jak v okamžiku, kdy jej učinil, tak v okamžiku jednání o opravném prostředku „Revision“, a první z těchto okamžiků se ještě řídil čl. 8 odst. 1 směrnice 95/46, zatímco druhý z nich již spadá do působnosti čl. 9 odst. 1 GDPR.

45

Za těchto okolností se Bundesgerichtshof (Spolkový soudní dvůr) rozhodl přerušit řízení a položit Soudnímu dvoru následující předběžné otázky:

46

Podstatou první otázky předkládajícího soudu je, zda ustanovení kapitoly VIII GDPR musí být vykládána v tom smyslu, že brání takové vnitrostátní právní úpravě, podle níž – vedle pravomocí k zásahům dozorových úřadů pověřených dohledem a uplatňováním tohoto nařízení a vedle možností subjektů údajů podat prostředek právní ochrany – mají konkurenti rovněž možnost bránit se v případě porušení uvedeného nařízení proti jeho údajnému porušovateli cestou podání žaloby k civilnímu soudu, a to z důvodu porušení uvedeného nařízení a na základě zákazu nekalých obchodních praktik.

47

Je třeba připomenout, že kapitola VIII GDPR upravuje zejména prostředky nápravy, které umožňují chránit práva subjektu údajů, pokud osobní údaje, které se ho týkají, byly údajně zpracovány v rozporu s ustanoveními uvedeného nařízení. Ochranu těchto práv tak může požadovat buď přímo subjekt údajů na základě článků 77 až 79 tohoto nařízení, nebo subjekt oprávněný v případě, že za tímto účelem existuje nebo neexistuje pověření na základě článku 80 uvedeného nařízení (v tomto smyslu viz rozsudek ze dne 28. dubna 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, bod 53).

48

Článek 77 odst. 1 GDPR totiž stanoví, že aniž jsou dotčeny jakékoliv jiné prostředky správní nebo soudní ochrany, má každý subjekt údajů právo podat stížnost u některého dozorového úřadu. Článek 78 odst. 1 tohoto nařízení stanoví, že aniž je dotčena jakákoli jiná správní či mimosoudní ochrana, má každá fyzická nebo právnická osoba právo na účinnou soudní ochranu proti právně závaznému rozhodnutí dozorového úřadu, které se jí týká. Článek 79 odst. 1 uvedeného nařízení zaručuje každému subjektu údajů právo na účinnou soudní ochranu, aniž je dotčena jakákoli dostupná správní či mimosoudní ochrana, včetně práva na podání stížnosti u dozorového úřadu podle článku 77 téhož nařízení.

49

Podle čl. 80 odst. 1 GDPR má subjekt údajů právo pověřit neziskový subjekt, organizaci nebo sdružení, jejichž statutární cíle jsou ve veřejném zájmu, aby za určitých podmínek jeho jménem podal stížnost nebo uplatnil práva uvedená v článcích 77 až 79 tohoto nařízení. Podle čl. 80 odst. 2 uvedeného nařízení mohou členské státy stanovit, že jakýkoliv subjekt, organizace nebo sdružení má bez ohledu na pověření od subjektu údajů právo podat v daném členském státě stížnost u dozorového úřadu a vykonávat tato práva, pokud se domnívá, že v důsledku zpracování byla porušena práva subjektu údajů podle tohoto nařízení.

50

V projednávané věci ze spisu, který má Soudní dvůr k dispozici, vyplývá, že ND, který provozuje lékárnu, uvádí na Amazonu na trh léčivé přípravky, jejichž prodej je vyhrazen lékárnám, a že při on-line objednávce těchto léčivých přípravků musí zákazníci zadat takové údaje, jako např. jejich jméno, dodací adresa a informace nezbytné k individualizaci uvedených léčivých přípravků. Žaloba ve věci v původním řízení však nebyla podána k civilnímu soudu těmito zákazníky, kteří jsou subjekty údajů ve smyslu čl. 4 bodu 1 GDPR, na základě článku 79 tohoto nařízení, ani oprávněným subjektem, organizací nebo sdružením v případě existence či neexistence pověření od subjektu údajů k tomuto účelu na základě článku 80 uvedeného nařízení, ale konkurentem tohoto lékárníka na základě zákazu nekalých obchodních praktik z důvodu porušení ustanovení GDPR, kterých se údajně dopustil uvedený lékárník.

51

Věc v původním řízení tedy vyvolává otázku, zda GDPR brání tomu, aby takový konkurent, jako je DR, který není subjektem údajů ve smyslu čl. 4 bodu 1 tohoto nařízení, byl aktivně legitimován k podání takové žaloby k vnitrostátním občanskoprávním soudům.

52

V tomto ohledu je třeba připomenout, že při výkladu ustanovení unijního práva je třeba vzít v úvahu nejen jeho znění, ale i jeho kontext a cíle sledované právní úpravou, jejíž je součástí (rozsudek ze dne 12. ledna 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, bod 32).

53

Pokud jde o znění ustanovení kapitoly VIII GDPR, je třeba konstatovat, že žádné z nich výslovně nevylučuje možnost konkurenta podniku podat proti tomuto podniku žalobu k civilním soudům na základě zákazu nekalých obchodních praktik z důvodu tvrzeného porušení povinností stanovených tímto nařízením ze strany tohoto podniku. Naopak, ze znění čl. 77 odst. 1, čl. 78 odst. 1 a čl. 79 odst. 1 GDPR, připomenutých v bodě 48 tohoto rozsudku, vyplývá, že právem podat stížnost u dozorového úřadu, jakož i právem na účinnou soudní ochranu vůči dozorovému úřadu a vůči správci nebo zpracovateli ve smyslu těchto ustanovení, není „dotčena“ žádná jiná správní, soudní či mimosoudní ochrana.

54

Pokud jde o kontext, do něhož je zasazena kapitola VIII GDPR, je třeba uvést, že toto nařízení obsahuje v kapitole II soubor hmotněprávních ustanovení týkajících se mimo jiné zásad zpracování osobních údajů uvedených v článku 5 a podmínek pro zákonnost zpracování uvedených v článku 6, která mají zajistit plné dodržování zejména základního práva subjektů údajů na ochranu osobních údajů zaručeného v čl. 16 odst. 1 SFEU a v článku 8 Listiny. Neexistence ustanovení v kapitole VIII GDPR, která by stanovila, že konkurenti podniku, který údajně porušil tato hmotněprávní ustanovení, mohou podat žalobu za účelem ukončení tohoto porušení, lze tedy vysvětlit tím, že adresáty ochrany osobních údajů zajišťované tímto nařízením jsou, jak uvedl generální advokát v bodě 80 svého stanoviska, pouze subjekty údajů, a nikoli tito konkurenti.

55

Avšak třebaže se porušení uvedených hmotněprávních ustanovení může v prvé řadě dotknout subjektů dotčených údajů, může zasáhnout i třetí osoby, což dokládá skutečnost, že čl. 82 odst. 1 GDPR stanoví právo na náhradu újmy pro „[koho]koli, kdo v důsledku porušení tohoto nařízení utrpěl hmotnou či nehmotnou újmu“. Soudní dvůr již měl rovněž příležitost konstatovat, že porušení pravidla týkajícího se ochrany osobních údajů může vést současně k porušení pravidel týkajících se ochrany spotřebitele nebo k nekalým obchodním praktikám (rozsudek ze dne 28. dubna 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, bod 78) a představovat významnou indicii pro účely posouzení existence zneužití dominantního postavení ve smyslu článku 102 SFEU [v tomto smyslu viz rozsudek ze dne 4. července 2023, Meta Platforms a další (Všeobecné podmínky používání sociální sítě), C‑252/21, EU:C:2023:537, body 47 a 62].

56

V této souvislosti je třeba uvést, že přístup k osobním údajům i jejich využívání mají v rámci digitální ekonomiky zásadní význam. Přístup k osobním údajům a možnost zpracování těchto údajů se totiž staly významným parametrem hospodářské soutěže mezi podniky v digitální ekonomice. Za účelem zohlednění skutečného stavu tohoto hospodářského vývoje a zajištění spravedlivé hospodářské soutěže se tedy může jevit nezbytným zohlednit pravidla v oblasti ochrany osobních údajů v rámci uplatňování práva hospodářské soutěže a pravidel týkajících se nekalých obchodních praktik [v tomto smyslu viz rozsudek ze dne 4. července 2023, Meta Platforms a další (Všeobecné podmínky používání sociální sítě), C‑252/21, EU:C:2023:537, body 50 a 51].

57

Kromě toho, ačkoli jak vyplývá z čl. 1 odst. 1 GDPR ve spojení zejména s body 9 a 13 odůvodnění, cílem uvedeného nařízení je zajistit v zásadě úplnou harmonizaci vnitrostátních právních předpisů týkajících se ochrany osobních údajů, nic to nemění na tom, že některá ustanovení uvedeného nařízení členským státům dávají možnost stanovit další přísnější nebo odchylná vnitrostátní pravidla, která ponechávají členským státům prostor pro uvážení ohledně způsobu, jakým mohou být tato ustanovení uplatňována („ustanovení o výjimce“) (rozsudek ze dne 28. dubna 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, bod 57).

58

Soudní dvůr již rozhodl, že tomu tak je v případě čl. 80 odst. 2 GDPR, který ponechává členským státům prostor pro uvážení, pokud jde o jeho provádění, a nebrání vnitrostátní právní úpravě, která umožňuje sdružení na ochranu zájmů spotřebitelů podat žalobu při neexistenci zmocnění, které by mu bylo uděleno za tím účelem, a bez ohledu na porušení konkrétních práv subjektů údajů, proti údajnému původci porušení ochrany osobních údajů, a tvrdit, že byl porušen zákaz nekalých obchodních praktik, pokud se dané zpracování údajů může dotknout práv, která identifikovaným nebo identifikovatelným fyzickým osobám vyplývají z tohoto nařízení (rozsudek ze dne 28. dubna 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, body 59 a 83).

59

Je pravda, že ustanovení kapitoly VIII GDPR neobsahují specificky takové otevřené ustanovení, které by členským státům výslovně umožňovalo stanovit možnost konkurenta podniku, který údajně porušuje hmotněprávní ustanovení tohoto nařízení, podat žalobu za účelem ukončení tohoto porušování.

60

Ze znění a kontextu ustanovení této kapitoly VIII, připomenutých v bodech 53 až 58 tohoto rozsudku, však vyplývá, že přijetím uvedeného nařízení neměl unijní normotvůrce v úmyslu provést úplnou harmonizaci prostředků právní ochrany dostupných v případě porušení ustanovení GDPR, a zejména nechtěl vyloučit možnost podat takový prostředek v případě konkurentů údajného původce porušení ochrany osobních údajů na základě vnitrostátního práva týkajícího se zákazu nekalých obchodních praktik.

61

Tento výklad je potvrzen cíli sledovanými GDPR, jehož cílem je, jak vyplývá zejména z bodu 10 jeho odůvodnění, zajistit soudržnou a vysokou úroveň ochrany fyzických osob a odstranit překážky bránící pohybu osobních údajů v rámci Unie. Bod 11 odůvodnění tohoto nařízení kromě toho uvádí, že účinná ochrana osobních údajů v celé Unii vyžaduje nejen posílení a podrobné vymezení práv subjektů údajů a povinností těch, kdo osobní údaje zpracovávají a o jejich zpracování rozhodují, ale také rovnocenné pravomoci pro monitorování a zajišťování souladu s pravidly ochrany osobních údajů a rovnocenné sankce za jejich porušování v členských státech. Bod 13 odůvodnění uvedeného nařízení upřesňuje, že aby byla zajištěna jednotná úroveň ochrany fyzických osob v celé Unii a zamezilo se rozdílům bránícím volnému pohybu osobních údajů v rámci vnitřního trhu, je nezbytné přijmout nařízení, které poskytne hospodářským subjektům právní jistotu a transparentnost, které fyzickým osobám ve všech členských státech zajistí stejnou úroveň práv vymahatelných právními prostředky a správcům a zpracovatelům uloží povinnosti a úkoly, které zajistí důsledné monitorování zpracování osobních údajů a rovnocenné sankce ve všech členských státech.

62

Možnost konkurenta podniku podat žalobu k civilním soudům na základě zákazu nekalých obchodních praktik za účelem ukončení porušování hmotněprávních ustanovení GDPR, kterého se tento podnik údajně dopustil, nejenže tyto cíle nenarušuje, ale může naopak posílit užitečný účinek těchto ustanovení, a tím i vysokou úroveň ochrany subjektů údajů v souvislosti se zpracováním jejich osobních údajů podle tohoto nařízení.

63

Žaloba na zdržení se jednání podaná konkurentem proti podniku na základě zákazu nekalých obchodních praktik z důvodu údajného porušení hmotněprávních ustanovení GDPR totiž nijak nenarušuje systém právní ochrany stanovený v kapitole VIII tohoto nařízení ani cíl zajistit jednotnou úroveň ochrany fyzických osob v celé Unii a zabránit tomu, aby rozdíly bránily volnému pohybu osobních údajů v rámci vnitřního trhu.

64

Je pravda, že taková žaloba se může, byť incidenčně, zakládat na porušení stejných ustanovení GDPR, jako jsou ustanovení, na kterých by mohla být založena stížnost nebo žaloba podaná na základě článků 77 až 79 téhož nařízení subjektem údajů nebo subjektem, organizací nebo sdružením ve smyslu článku 80 tohoto nařízení.

65

Zaprvé však na rozdíl od článků 77 až 80 GDPR žaloba na zdržení se jednání podaná konkurentem jako taková nesleduje cíl ochrany základních práv a svobod subjektů údajů v souvislosti se zpracováním jejich osobních údajů, ale směřuje k zajištění spravedlivé hospodářské soutěže, zejména v zájmu tohoto konkurenta.

66

Zadruhé možnost konkurenta podat takovou žalobu k civilním soudům na základě zákazu nekalých obchodních praktik doplňuje prostředky právní ochrany zavedené v článcích 77 až 79 GDPR, které jsou plně zachovány a mohou být vždy podány subjekty údajů, jakož i případně subjekty, organizacemi nebo sdruženími ve smyslu článku 80 tohoto nařízení.

67

Jak německá vláda zdůrazňuje, koexistence prostředků nápravy podle práva na ochranu údajů a práva hospodářské soutěže zejména nevytváří riziko pro jednotné uplatňování GDPR. V této souvislosti je třeba poznamenat, že z článků 77 až 80 uvedeného nařízení vyplývá, že nestanoví přednostní nebo výlučnou příslušnost ani žádné pravidlo přednosti posouzení provedeného úřadem nebo soudem, které jsou v něm uvedeny, pokud jde o existenci porušení práv přiznaných tímto nařízením (v tomto smyslu viz rozsudek ze dne 21. března 2011, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, bod 35). Skutečnost, že žalobu na zdržení se jednání podává konkurent údajného původce porušení ochrany osobních údajů u civilních soudů, tudíž neporušuje systém prostředků právní ochrany stanovený v kapitole VIII GDPR. Kromě toho, jak poznamenala tato vláda, jednotný výklad hmotněprávních ustanovení tohoto nařízení, která mohou být použita na totéž porušení dozorovým orgánem a soudy, u nichž bylo zahájeno řízení na základě článků 77 až 80 uvedeného nařízení, na jedné straně, a soudy, na které se takový konkurent obrátil na základě zákazu nekalých obchodních praktik, na straně druhé, je zajištěn řízením o předběžné otázce upraveným v článku 267 SFEU.

68

Zatřetí, jak v podstatě uvedl generální advokát v bodě 104 svého stanoviska, širší možností dovolávat se hmotněprávní ustanovení GDPR ze strany jiných osob než samotných subjektů údajů a subjektů, organizací a sdružení ve smyslu článku 80 tohoto nařízení není ohroženo dosažení cíle zajistit jednotnou úroveň ochrany těchto osob v celé Unii a zabránit tomu, aby rozdíly bránily volnému pohybu osobních údajů na vnitřním trhu. I kdyby totiž některé členské státy takovou možnost nestanovily, nevedlo by to k roztříštěnosti provádění ochrany údajů v Unii, neboť hmotněprávní ustanovení GDPR jsou závazná pro všechny správce ve smyslu čl. 4 bodu 7 tohoto nařízení stejným způsobem a jejich dodržování je zajištěno prostředky právní ochrany stanovenými v tomto nařízení.

69

Pokud jde dále o cíl zajistit účinnou ochranu subjektů údajů v souvislosti se zpracováním jejich osobních údajů a užitečný účinek hmotněprávních ustanovení GDPR, je třeba konstatovat, že i když žaloba na zdržení se jednání podaná konkurentem údajného původce porušení ochrany osobních údajů nesměřuje, jak bylo uvedeno v bodě 65 tohoto rozsudku, k tomuto cíli, ale k zajištění spravedlivé hospodářské soutěže, nic to nemění na tom, že tato žaloba nesporně přispívá k dodržování těchto ustanovení, a tedy k posílení práv subjektu údajů a k zajištění vysoké úrovně ochrany (v tomto smyslu viz rozsudek ze dne 28. dubna 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, bod 74).

70

Taková žaloba na zdržení se jednání podaná konkurentem může být ostatně stejně jako žaloba sdružení na ochranu zájmů spotřebitelů zvláště účinná k zajištění takové ochrany, jelikož umožňuje předejít velkému počtu porušení práv subjektů dotčených zpracováním jejich osobních údajů (v tomto smyslu viz rozsudek ze dne 28. dubna 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, bod 75).

71

Z toho vyplývá, že výklad uvedený v bodě 60 tohoto rozsudku je v souladu s požadavky vyplývajícími z čl. 16 odst. 1 SFEU a z článku 8 Listiny, a tedy s cílem sledovaným GDPR, který spočívá v zajištění účinné ochrany základních práv a svobod fyzických osob, jakož i zejména v zajištění vysoké úrovně ochrany práva každého na ochranu osobních údajů, které se ho týkají (v tomto smyslu viz rozsudek ze dne 28. dubna 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, bod 73).

72

V projednávané věci je na předkládajícím soudu, aby ověřil, zda údajné porušení hmotněprávních ustanovení GDPR, o které se jedná ve věci v původním řízení, představuje v rozsahu, v němž je prokázáno, rovněž porušení zákazu nekalých obchodních praktik, jak je stanoven příslušnou vnitrostátní právní úpravou.

73

S ohledem na výše uvedené úvahy je třeba na první otázku odpovědět tak, že ustanovení kapitoly VIII GDPR musí být vykládána v tom smyslu, že nebrání takové vnitrostátní právní úpravě, podle níž – vedle pravomocí k zásahům dozorových úřadů pověřených dohledem a uplatňováním tohoto nařízení a vedle možností subjektů údajů využít prostředků právní ochrany – mají konkurenti rovněž možnost bránit se v případě porušení uvedeného nařízení proti jeho údajnému porušovateli cestou podání žaloby k civilnímu soudu, a to z důvodu porušení uvedeného nařízení a na základě zákazu nekalých obchodních praktik.

74

Podstatou druhé otázky předkládajícího soudu je, zda čl. 8 odst. 1 směrnice 95/46 a čl. 9 odst. 1 GDPR musí být vykládány v tom smyslu, že v situaci, kdy provozovatel lékárny prodává prostřednictvím on-line platformy léčivé přípravky, jejichž prodej je vyhrazen lékárnám, představují takové informace, které zákazníci tohoto provozovatele zadávají při on-line objednávce léčivých přípravků, jako je jejich jméno, adresa dodání a informace nezbytné k individualizaci léčivých přípravků, údaje o zdravotním stavu ve smyslu těchto ustanovení, i když prodej těchto léčivých přípravků nepodléhá omezení výdeje na lékařský předpis.

75

Článek 8 odst. 1 směrnice 95/46 a čl. 9 odst. 1 GDPR, které mají podobnou působnost pro účely výkladu Soudního dvora (rozsudek ze dne 1. srpna 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, body 58 a 117), a týkají se, jak uvádí nadpis těchto článků, zpracování „zvláštních kategorií“ osobních údajů, stanoví zásadu zákazu těchto zpracování. Jak upřesňuje bod 51 odůvodnění téhož nařízení, osobní údaje, které jsou svou povahou obzvláště citlivé z hlediska základních práv a svobod, zasluhují zvláštní ochranu, jelikož by při jejich zpracování mohla vzniknout závažná rizika pro základní práv a svobody.

76

Mezi tyto zvláštní kategorie osobních údajů, jejichž seznam je uveden v čl. 8 odst. 1 směrnice 95/46 a v čl. 9 odst. 1 nařízení GDPR, patří údaje o zdravotním stavu. V souladu s čl. 4 bodem 15 nařízení ve spojení s bodem 35 odůvodnění se jedná o všechny osobní údaje, které vypovídají o minulém, současném či budoucím tělesném nebo duševním zdraví subjektu údajů, včetně údajů o poskytnutí zdravotních služeb.

77

Z článku 4 bodu 1 GDPR dále vyplývá, že pojem „osobní údaje“ se vztahuje na veškeré informace o identifikované nebo identifikovatelné fyzické osobě a aby byla osoba kvalifikována jako „identifikovatelná“, stačí, že subjekt údajů lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity tohoto subjektu údajů.

78

Pokud tedy údaje o nákupech léčivých přípravků umožňují vyvodit závěry o zdravotním stavu identifikované nebo identifikovatelné osoby, musí být považovány za údaje o zdravotním stavu ve smyslu čl. 4 bodu 15 GDPR.

79

V projednávané věci ze spisu, který má Soudní dvůr k dispozici, vyplývá, že zákazníci ND zadávají při on-line objednávce léčivých přípravků na Amazonu, jejichž prodej je vyhrazen lékárnám, takové informace, jako je jejich jméno, adresa dodání a prvky individualizující léčivé přípravky. Tyto informace nepochybně představují „osobní údaje“, neboť se týkají identifikovaných nebo identifikovatelných fyzických osob.

80

Za těchto okolností je třeba určit, zda tyto údaje mohou vypovídat o zdravotním stavu těchto osob ve smyslu čl. 4 bodu 15 GDPR, a zda tedy představují údaje týkající se zdraví ve smyslu čl. 8 odst. 1 směrnice 95/46 a údaje o zdravotním stavu ve smyslu čl. 9 odst. 1 tohoto nařízení.

81

V tomto ohledu Soudní dvůr již rozhodl, že s ohledem na cíl směrnice 95/46 a GDPR, kterým je zajistit vysokou úroveň ochrany základních práv a svobod fyzických osob, zejména jejich soukromí, v souvislosti se zpracováním osobních údajů, které se jich týkají, pojem „údaje o zdravotním stavu“ uvedený v čl. 9 odst. 1 tohoto nařízení, který odpovídá pojmu „údaje týkající se zdraví“ uvedenému v čl. 8 odst. 1 této směrnice, musí být vykládán široce (v tomto smyslu viz rozsudky ze dne 6. listopadu 2003, Lindqvist, C‑101/01, EU:C:2003:596, bod 50, a ze dne 1. srpna 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, bod 125).

82

Tato ustanovení zejména nemohou být vykládána v tom smyslu, že zpracování osobních údajů, které může nepřímo vést k odhalení citlivých údajů o fyzické osobě, je vyňato z režimu zvýšené ochrany stanoveného uvedenými ustanoveními, jinak by byl narušen užitečný účinek tohoto režimu a ochrana základních práv a svobod fyzických osob, kterou má tento režim zajistit (rozsudek ze dne 1. srpna 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, bod 127).

83

Proto, aby osobní údaje mohly být kvalifikovány jako údaje o zdravotním stavu ve smyslu čl. 8 odst. 1 směrnice 95/46 a čl. 9 odst. 1 GDPR, stačí, aby byly takové, že na základě myšlenkového pochodu spočívajícího v dedukci nebo spojení souvislostí umožňují odhalit informace o zdravotním stavu subjektu údajů (v tomto smyslu viz rozsudek ze dne 1. srpna 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, bod 123).

84

Údaje, které zákazník zadává na on-line platformě při objednávce léčivých přípravků, jejichž prodej je vyhrazen lékárnám, přitom umožňují prostřednictvím myšlenkového pochodu spočívajícího v dedukci nebo spojení souvislostí odhalit informace o zdravotním stavu subjektu údajů ve smyslu čl. 4 bodu 1 GDPR, jelikož při této objednávce je vytvářena spojitost mezi léčivým přípravkem, jeho léčebnými indikacemi nebo použitím a fyzickou osobou identifikovanou nebo identifikovatelnou takovými skutečnostmi, jako je jméno této osoby nebo adresa dodání.

85

Předkládající soud si však klade otázku, zda je relevantní skutečnost, že prodej objednaných léčivých přípravků nepodléhá lékařskému předpisu, jelikož v takovém případě by tyto léčivé přípravky mohly být určeny nikoli zákazníkovi, který objednává, ale třetím osobám.

86

V tomto ohledu je třeba uvést, že pro účely použití čl. 8 odst. 1 směrnice 95/46 a čl. 9 odst. 1 GDPR je v případě zpracování osobních údajů prováděného provozovatelem lékárny v rámci činnosti prováděné prostřednictvím on-line platformy důležité ověřit, zda tyto údaje mohou odhalit informace spadající do některé z kategorií uvedených v tomto ustanovení, ať již se tyto informace týkají uživatele této sítě, nebo jiné fyzické osoby. V případě kladné odpovědi je takové zpracování osobních údajů až na výjimky stanovené v odstavci 2 tohoto ustanovení zakázáno [v tomto smyslu viz rozsudek ze dne 4. července 2023, Meta Platforms a další (Všeobecné podmínky používání sociální sítě), C‑252/21, EU:C:2023:537, bod 68].

87

Tento principiální zákaz je nezávislý na tom, zda jsou informace odhalené dotčeným zpracováním správné, či nikoli, a zda správce jedná za účelem získání informací spadajících do některé ze zvláštních kategorií uvedených v čl. 8 odst. 1 směrnice 95/46 a čl. 9 odst. 1 GDPR. S ohledem na závažná rizika pro základní práva a svobody subjektů údajů způsobená jakýmkoli zpracováním osobních údajů spadajících do těchto kategorií, je totiž cílem těchto ustanovení zakázat toto zpracování bez ohledu na jeho deklarovaný účel a přesnost daných informací [v tomto smyslu viz rozsudek ze dne 4. července 2023, Meta Platforms a další (Všeobecné podmínky používání sociální sítě), C‑252/21, EU:C:2023:537, bod 69 a 70].

88

Z toho vyplývá, že pokud uživatel on-line platformy sdělí osobní údaje při objednávání léčivých přípravků, jejichž prodej je vyhrazen lékárnám, aniž je vázán na lékařský předpis, musí být zpracování těchto údajů provozovatelem lékárny, která tyto léčivé přípravky prodává prostřednictvím této on-line platformy, považováno za zpracování údajů o zdravotním stavu, ve smyslu čl. 8 odst. 1 směrnice 95/46 a čl. 9 odst. 1 GDPR, neboť takové zpracování údajů může odhalit informace o zdravotním stavu fyzické osoby, ať již se tyto informace týkají uživatele této sítě, nebo jakékoli jiné fyzické osoby [v tomto smyslu viz rozsudek ze dne 4. července 2023, Meta Platforms a další (Všeobecné podmínky používání sociální sítě), C‑252/21, EU:C:2023:537, bod 73].

89

Výklad těchto ustanovení, který by vedl k rozlišování podle druhu dotčených léčivých přípravků a skutečnosti, zda jejich prodej podléhá lékařskému předpisu, či nikoli, by totiž nebyl v souladu s cílem vysoké úrovně ochrany připomenutým v bodě 81 tohoto rozsudku. Takový výklad by navíc byl v rozporu s účelem čl. 8 odst. 1 směrnice 95/46 a čl. 9 odst. 1 GDPR, který spočívá v zajištění zvýšené ochrany proti zpracování, které z důvodu zvláštní citlivosti těchto údajů při takovém zpracování, jak vyplývá z bodu 51 odůvodnění GDPR, mohou zvláště závažným způsobem zasáhnout do základních práv na respektování soukromého života a na ochranu osobních údajů zaručených články 7 a 8 Listiny (rozsudek ze dne 1. srpna 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, bod 126 a citovaná judikatura).

90

Informace, které zákazníci provozovatele lékárny zadávají při on-line objednávce léčivých přípravků, jejichž prodej je vyhrazen lékárnám a které nepodléhají lékařskému předpisu, tudíž představují údaje o zdravotním stavu ve smyslu čl. 8 odst. 1 směrnice 95/46 a čl. 9 odst. 1 GDPR, i když je pouze pravděpodobné, a nikoli absolutně jisté, že tyto léčivé přípravky jsou určeny těmto zákazníkům.

91

Kromě toho nelze vyloučit, že i v případě, že jsou tyto léčivé přípravky objednány pro jiné osoby než pro uvedené zákazníky, je možné tyto osoby identifikovat a vyvodit závěry o jejich zdravotním stavu. Tak by tomu mohlo být například v případě, kdy jsou dotčené léčivé přípravky dodány nikoli do bydliště zákazníka, který si je objednal, ale do bydliště jiné osoby, nebo pokud zákazník bez ohledu na adresu dodání zmínil ve své objednávce nebo v komunikaci s ní související jinou identifikovatelnou osobu, například na člena své rodiny. Stejně tak v případech, kdy objednávka vyžaduje identifikaci nebo registraci zákazníka, například vytvořením zákaznického účtu nebo zapojením do věrnostního programu, nelze vyloučit, že informace zadané zákazníkem v této souvislosti mohou být použity k vyvození závěrů nejen o zdravotním stavu zákazníka, ale i jiné osoby, zejména v kombinaci s informacemi o objednaných léčivých přípravcích.

92

Konečně, jak bylo uvedeno v bodě 86 tohoto rozsudku, skutečnost, že takové informace, jako jsou informace dotčené ve věci v původním řízení, představují údaje o zdravotním stavu ve smyslu čl. 8 odst. 1 směrnice 95/46 a čl. 9 odst. 1 GDPR, nebrání tomu, aby, jak vyplývá zejména z bodu 53 odůvodnění GDPR, mohly být zpracovávány, zejména v rámci správy zdravotnických služeb a systémů, pokud je splněna jedna z podmínek uvedených v odstavci 2 těchto ustanovení.

93

Tak tomu může být zejména v případě, kdy subjekt údajů v souladu s písmenem a) tohoto odstavce 2 a s výhradou výjimky v něm stanovené udělí výslovný souhlas s jednou nebo více operacemi zpracování těchto osobních údajů, jejichž charakteristika a konkrétní účely mu byly předloženy přesným, úplným a snadno srozumitelným způsobem. Dále může být takové zpracování přípustné na základě čl. 9 odst.2 písm. h) GDPR, pokud je nezbytné pro účely zdravotní péče na základě unijního práva, práva členského státu nebo na základě smlouvy uzavřené se zdravotnickým pracovníkem.

94

S ohledem na výše uvedené je třeba na druhou otázku odpovědět tak, že čl. 8 odst. 1 směrnice 95/46 a čl. 9 odst. 1 GDPR musí být vykládány v tom smyslu, že v situaci, kdy provozovatel lékárny prodává prostřednictvím on-line platformy léčivé přípravky, jejichž prodej je vyhrazen lékárnám, představují takové informace, které zákazníci tohoto provozovatele zadávají při on-line objednávce léčivých přípravků, jako je jejich jméno, adresa dodání a informace nezbytné k individualizaci léčivých přípravků, údaje o zdravotním stavu ve smyslu těchto ustanovení, i když prodej těchto léčivých přípravků nepodléhá lékařskému předpisu.

95

Vzhledem k tomu, že řízení má, pokud jde o účastníky původního řízení, povahu incidenčního řízení ve vztahu ke sporu probíhajícímu před předkládajícím soudem, je k rozhodnutí o nákladech řízení příslušný uvedený soud. Výdaje vzniklé předložením jiných vyjádření Soudnímu dvoru než vyjádření uvedených účastníků řízení se nenahrazují.

Z těchto důvodů Soudní dvůr (velký senát) rozhodl takto: