EUROOPA KOHTU OTSUS (suurkoda)

4. oktoober 2024 ( *1 )

Eelotsusetaotlus – Isikuandmete kaitse – Määrus (EL) 2016/679 – VIII peatükk – Õiguskaitsevahendid – Apteekri poolt ravimite turustamine veebiplatvormi kaudu – Hagi, mille selle apteekri konkurent on esitanud tsiviilkohtusse ebaausate kaubandustavade keelule tuginedes, põhjendusega et apteeker on rikkunud selles määruses ette nähtud kohustusi – Õigus esitada hagi – Artikli 4 punkt 15 ning artikli 9 lõiked 1 ja 2 – Direktiiv 95/46/EÜ – Artikli 8 lõiked 1 ja 2 – Mõiste „terviseandmed“ – Nende andmete töötlemise tingimused

Kohtuasjas C‑21/23,

mille ese on ELTL artikli 267 alusel Bundesgerichtshofi (Saksamaa Liitvabariigi kõrgeim üldkohus) 12. jaanuari 2023. aasta otsusega esitatud eelotsusetaotlus, mis saabus Euroopa Kohtusse 19. jaanuaril 2023, menetluses

versus

DR,

EUROOPA KOHUS (suurkoda),

koosseisus: president K. Lenaerts, asepresident L. Bay Larsen, kodade presidendid K. Jürimäe, C. Lycourgos, E. Regan, F. Biltgen ja N. Piçarra, kohtunikud S. Rodin, P. G. Xuereb, L. S. Rossi, I. Jarukaitis, N. Jääskinen ja I. Ziemele (ettekandja),

kohtujurist: M. Szpunar,

kohtusekretär: ametnik N. Mundhenke,

arvestades kirjalikku menetlust ja 9. jaanuari 2024. aasta kohtuistungil esitatut,

arvestades seisukohti, mille esitasid:

–	ND, esindajad: Rechtsanwälte A. Datta, M. Mogendorf ja W. Spoerr,

–	DR, esindaja: Rechtsanwalt M. Bahmann,

–	Saksamaa valitsus, esindajad: J. Möller ja P.‑L. Krüger,

–	Euroopa Komisjon, esindajad: A. Bouchagiar, F. Erlbacher ja H. Kranenborg,

olles 25. aprilli 2024. aasta kohtuistungil ära kuulanud kohtujuristi ettepaneku,

on teinud järgmise

kohtuotsuse

Eelotsusetaotlus käsitleb küsimust, kuidas tõlgendada Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT 2016, L 119, lk 1; edaspidi „isikuandmete kaitse üldmäärus“) artikli 9 lõiget 1 ja VIII peatüki sätteid ning Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiivi 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (EÜT 1995, L 281, lk 31; ELT eriväljaanne 13/15, lk 355) artikli 8 lõiget 1.

2	Taotlus on esitatud kohtuvaidluses, mille pooled on ND ja DR, kes mõlemad on apteegipidajad, ja mis puudutab seda, et ND turustab veebiplatvormi kaudu ravimeid, mida tohib müüa ainult apteekides.

Õiguslik raamistik

Liidu õigus

Direktiivi 95/46 artiklis 8 „Andmete eriliikide töötlemine“ oli ette nähtud:

„1. Liikmesriigid keelavad töödelda selliseid isikuandmeid, mis paljastavad rassilise või etnilise päritolu, poliitilised vaated, usulised või filosoofilised veendumused, ametiühingusse kuulumise, ning tervislikku seisundit või seksuaalelu käsitlevate andmete töötlemise.

2. Lõiget 1 ei kohaldata, kui:

a)	andmesubjekt on andnud nende andmete töötlemiseks oma selgesõnalise nõusoleku, välja arvatud juhul, kui liikmesriigi õigusaktides on sätestatud, et andmesubjekti nõusolek ei saa kaotada lõikes 1 osutatud keeldu […]

[…]“.

Isikuandmete kaitse üldmääruse põhjendused 9–11, 13, 35, 51, 53, 141 ja 142 on sõnastatud järgmiselt:

„(9)

Direktiivi [95/46] eesmärgid ja põhimõtted on endiselt ajakohased, kuid see ei ole ära hoidnud liidus andmekaitse rakendamise killustumist, õiguskindlusetust ega avalikkuses laialt levinud seisukohta, et eelkõige internetiga seonduvad märkimisväärsed ohud füüsiliste isikute kaitsele. Liikmesriikide poolt tagatavate füüsiliste isikute õiguste, eelkõige isikuandmete kaitse õiguse, ja vabaduste kaitse taseme erinevused isikuandmete töötlemisel võivad takistada isikuandmete liidusisest vaba liikumist. Need erinevused võivad seetõttu takistada liidu tasandi majandustegevust, moonutada konkurentsi ja takistada ametiasutustel täita nende liidu õigusest tulenevaid kohustusi. Erinevused kaitse tasemes tulenevad erinevustest direktiivi [95/46] rakendamisel ja kohaldamisel.

(10)

Selleks et tagada füüsiliste isikute järjekindel ja kõrgetasemeline kaitse ning kõrvaldada takistused isikuandmete liikumisel liidus, peaks füüsiliste isikute õiguste ja vabaduste kaitse selliste andmete töötlemisel olema kõigis liikmesriikides samal tasemel. Isikuandmete töötlemisel tuleks tagada füüsiliste isikute põhiõiguste ja -vabaduste kaitse eeskirjade järjekindel ja ühtne kohaldamine kogu liidus. […] Samuti nähakse käesoleva määrusega liikmesriikidele ette manööverdamisruum oma eeskirjade, sealhulgas isikuandmete eriliikide [(edaspidi „tundlikud andmed“)] töötlemise eeskirjade täpsustamiseks. […] [täpsustatud sõnastus]

(11)

Tõhusaks isikuandmete kaitseks kogu liidus tuleb tugevdada ja täpsustada andmesubjektide õigusi ning isikuandmete töötlejate ja töötlemise üle otsustajate kohustusi, aga ka nendele vastavaid volitusi isikuandmete kaitse eeskirjade järgimise kontrollimisel ja tagamisel, ning rikkujatele määratavaid karistusi liikmesriikides.

[…]

(13)

Et tagada füüsiliste isikute järjekindel kaitse kogu liidus ning ära hoida erinevusi, mis takistavad andmete vaba liikumist siseturul, on vaja määrust, millega tagatakse õiguskindlus ja läbipaistvus ettevõtjate, sealhulgas mikro-, väikeste ja keskmise suurusega ettevõtjate jaoks ning milles sätestatakse kõikides liikmesriikides füüsiliste isikutele samaväärsed kohtulikult kaitstavad õigused ning vastutavatele töötlejatele ja volitatud töötlejatele kohustused ja vastutusvaldkonnad, et tagada isikuandmete töötlemise järjekindel jälgimine nagu ka samaväärsed karistused kõigis liikmesriikides ning erinevate liikmesriikide järelevalveasutuste tõhus koostöö. […]

[…]

(35)	Tervisealaste isikuandmete hulka peaksid kuuluma kõik andmesubjekti tervislikku seisundit käsitlevad andmed, mis annavad teavet andmesubjekti endise, praeguse või tulevase füüsilise või vaimse tervise kohta. […]

[…]

(51)

Sellist laadi isikuandmed, mis on oma olemuselt põhiõiguste ja -vabaduste seisukohast eriti tundlikud, väärivad erilist kaitset, sest nende töötlemise kontekst võib põhiõigusi ja -vabadusi olulisel määral ohustada. […] Selliseid isikuandmeid ei tohiks töödelda, välja arvatud käesolevas määruses sätestatud konkreetsetel juhtudel, kui töötlemine on lubatud, võttes arvesse seda, et liikmesriikide õiguses võib kehtestada konkreetseid andmekaitse-eeskirju, et kohandada käesoleva määruse eeskirjade kohaldamist juriidilise kohustuse täitmiseks või avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks. Lisaks sellise töötlemise erinõuetele tuleks kohaldada käesoleva määruse üldpõhimõtteid ja muid eeskirju, eelkõige seoses seadusliku töötlemise tingimustega. Erandid selliste isikuandmete eriliikide töötlemise üldisest keelust peaksid olema sõnaselgelt sätestatud, muu hulgas, kui andmesubjekt annab selleks oma selgesõnalise nõusoleku, või konkreetse vajaduse korral, eelkõige juhul, kui töödeldakse teatavate ühenduste või sihtasutuste seadusliku tegevuse käigus, mille eesmärk on võimaldada põhivabaduste kasutamist.

[…]

(53)

Tugevamat kaitset väärivate isikuandmete eriliike tuleks töödelda üksnes tervisega seotud eesmärkidel, kui need eesmärgid on vaja saavutada füüsiliste isikute ja kogu ühiskonna hüvanguks, eelkõige tervishoiu[…]teenuste ja -süsteemide juhtimise kontekstis […] Seetõttu tuleks käesolevas määruses ette näha ühtsed tervisealaste isikuandmete eriliikide töötlemise tingimused konkreetsete vajaduste osas, eelkõige juhul, kui selliseid andmeid töötlevad teatavatel tervishoiuga seotud eesmärkidel isikud, kellel on juriidiline kohustus hoida ametisaladust. Liidu või liikmesriigi õiguses tuleks ette näha konkreetsed ja sobivad meetmed, et kaitsta füüsiliste isikute põhiõigusi ja isikuandmeid. Liikmesriikidel peaks olema lubatud säilitada või kehtestada täiendavad tingimused, sealhulgas piirangud seoses geneetiliste, biomeetriliste või terviseandmete töötlemisega. […]

[…]

(141)

Igal andmesubjektil peaks olema õigus esitada kaebus ühele järelevalveasutusele, eelkõige liikmesriigis, kus on tema alaline elukoht, ja õigus tõhusale õiguskaitsevahendile kooskõlas [Euroopa Liidu põhiõiguste] harta [(edaspidi „harta“)] artikliga 47, kui andmesubjekt on seisukohal, et tema käesoleva määruse kohaseid õigusi on rikutud või kui järelevalveasutus ei reageeri kaebusele, lükkab kaebuse osaliselt või täielikult tagasi või ei võta meetmeid juhul, kui need on vajalikud andmesubjekti õiguste kaitsmiseks. […]

(142)

Kui andmesubjekt leiab, et tema käesoleva määruse kohaseid õigusi on rikutud, peaks tal olema õigus volitada mittetulunduslikku laadi asutust, organisatsiooni või ühingut, mis on loodud kooskõlas liikmesriigi õigusega, mille põhikirjajärgsed eesmärgid on avalikes huvides ning mis tegutseb isikuandmekaitse valdkonnas, esitama tema nimel järelevalveasutusele kaebust või kasutama andmesubjektide nimel õigust õiguskaitsevahendile või kasutama andmesubjektide nimel õigust saada hüvitist, kui hüvitis on asjaomase liikmesriigi õiguses ette nähtud. Liikmesriigid võivad sätestada, et sellisel asutusel, organisatsioonil või ühingul oleks õigus esitada andmesubjekti poolsest volitamisest sõltumata sellises liikmesriigis kaebus ja tal peaks olema õigus tõhusale õiguskaitsevahendile, kui tal on põhjust arvata, et andmesubjekti õigusi on rikutud isikuandmete sellise töötlemise tulemusel, millega rikutakse käesolevat määrust. Sellisele asutusele, organisatsioonile või ühingule ei või anda õigust nõuda andmesubjekti nimel hüvitist, kui andmesubjekt ei ole selleks volitust andnud.“

Määruse artiklis 1 „Reguleerimisese ja eesmärgid“ on sätestatud:

„1. Käesolevas määruses sätestatakse õigusnormid, mis käsitlevad füüsiliste isikute kaitset isikuandmete töötlemisel ja isikuandmete vaba liikumist.

2. Käesoleva määrusega kaitstakse füüsiliste isikute põhiõigusi ja -vabadusi, eriti nende õigust isikuandmete kaitsele.

3. Isikuandmete vaba liikumist liidus ei piirata ega keelata põhjustel, mis on seotud füüsiliste isikute kaitsega isikuandmete töötlemisel.“

Määruse artiklis 4 on ette nähtud:

„Käesolevas määruses kasutatakse järgmisi mõisteid:

„isikuandmed“ – igasugune teave tuvastatud või tuvastatava füüsilise isiku („andmesubjekti“) kohta; tuvastatav füüsiline isik on isik, keda saab otseselt või kaudselt tuvastada, eelkõige sellise identifitseerimistunnuse põhjal nagu nimi, isikukood, asukohateave, võrguidentifikaator või selle füüsilise isiku ühe või mitme füüsilise, füsioloogilise, geneetilise, vaimse, majandusliku, kultuurilise või sotsiaalse tunnuse põhjal;

„isikuandmete töötlemine“ – isikuandmete või nende kogumitega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum, nagu kogumine, dokumenteerimine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute tegemine, lugemine, kasutamine, edastamise, levitamise või muul moel kättesaadavaks tegemise teel avalikustamine, ühitamine või ühendamine, piiramine, kustutamine või hävitamine;

[…]

„vastutav töötleja“ – füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes üksi või koos teistega määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid; kui sellise töötlemise eesmärgid ja vahendid on kindlaks määratud liidu või liikmesriigi õigusega, võib vastutava töötleja või tema määramise konkreetsed kriteeriumid sätestada liidu või liikmesriigi õiguses;

[…]

15)	„terviseandmed“ – füüsilise isiku füüsilise ja vaimse tervisega seotud isikuandmed, sealhulgas temale tervishoiuteenuste osutamist käsitlevad andmed, mis annavad teavet tema tervisliku seisundi kohta;

[…]

21)	„järelevalveasutus“ – liikmesriigis artikli 51 kohaselt asutatud sõltumatu avaliku sektori asutus;

[…]“.

7	Isikuandmete kaitse üldmääruse II peatükk „Põhimõtted“ sisaldab selle määruse artikleid 5–11.

8	Määruse artiklis 5 on ette nähtud isikuandmete töötlemise põhimõtted ning määruse artiklis 6 on kehtestatud töötlemise seaduslikkuse tingimused.

Määruse artiklis 9 „Isikuandmete eriliikide töötlemine“ on sätestatud:

„1. Keelatud on töödelda isikuandmeid, millest ilmneb rassiline või etniline päritolu, poliitilised vaated, usulised või filosoofilised veendumused või ametiühingusse kuulumine, geneetilisi andmeid, füüsilise isiku kordumatuks tuvastamiseks kasutatavaid biomeetrilisi andmeid, terviseandmeid või andmeid füüsilise isiku seksuaalelu ja seksuaalse sättumuse kohta.

2. Lõiget 1 ei kohaldata, kui kehtib üks järgmistest asjaoludest:

a)	andmesubjekt on andnud selgesõnalise nõusoleku nende isikuandmete töötlemiseks ühel või mitmel konkreetsel eesmärgil, välja arvatud juhul, kui liidu või liikmesriigi õiguse kohaselt ei saa andmesubjekt lõikes 1 nimetatud keeldu tühistada;

[…]

töötlemine on vajalik ennetava meditsiini või töömeditsiiniga seotud põhjustel, töötaja töövõime hindamiseks, meditsiinilise diagnoosi panemiseks, tervishoiuteenuste või sotsiaalhoolekande või ravi võimaldamiseks või tervishoiu- või sotsiaalhoolekandesüsteemi ja -teenuste korraldamiseks, tuginedes liidu või liikmesriigi õigusele või tervishoiutöötajaga sõlmitud lepingule ja eeldusel, et lõikes 3 osutatud tingimused on täidetud ja kaitsemeetmed kehtestatud;

[…]“.

Määruse artikli 51 „Järelevalveasutus“ lõikes 1 on ette nähtud:

„Liikmesriik näeb ette ühe või mitu sõltumatut riigiasutust, kes vastutavad käesoleva määruse kohaldamise järelevalve eest, et kaitsta füüsiliste isikute põhiõigusi ja -vabadusi seoses nende isikuandmete töötlemisega ning hõlbustada isikuandmete vaba liikumist liidus („järelevalveasutus“).“

11	Isikuandmete kaitse üldmääruse VIII peatükk „Õiguskaitsevahendid, vastutus ja karistused“ sisaldab artikleid 77–84.

Määruse artikli 77 „Õigus esitada järelevalveasutusele kaebus“ lõikes 1 on sätestatud:

„Ilma et see piiraks muude halduslike või õiguslike kaitsevahendite kohaldamist, on igal andmesubjektil õigus esitada kaebus järelevalveasutusele, eelkõige liikmesriigis, kus on tema alaline elukoht, töökoht või väidetava rikkumise toimumiskoht, kui andmesubjekt on seisukohal, et teda puudutavate isikuandmete töötlemine rikub käesolevat määrust.“

Nimetatud määruse artikli 78 „Õigus tõhusale õiguskaitsevahendile järelevalveasutuse vastu“ lõikes 1 on ette nähtud:

„Ilma et see piiraks muude halduslike kaitsevahendite või kohtuväliste heastamisvahendite kohaldamist, on igal füüsilisel või juriidilisel isikul õigus kasutada tõhusat õiguskaitsevahendit järelevalveasutuse õiguslikult siduva otsuse vastu, mis teda puudutab.“

Sama määruse artikli 79 „Õigus tõhusale õiguskaitsevahendile vastutava töötleja või volitatud töötleja vastu“ lõikes 1 on ette nähtud:

„Ilma et see piiraks mis tahes kättesaadava haldusliku kaitsevahendi või kohtuvälise heastamisvahendi kohaldamist, sealhulgas õigust esitada järelevalveasutusele artikli 77 kohaselt kaebus, on igal andmesubjektil õigus kasutada tõhusat õiguskaitsevahendit, kui ta leiab, et tema käesolevast määrusest tulenevaid õigusi on rikutud tema isikuandmete sellise töötlemise tulemusel, millega rikutakse käesolevat määrust.“

Isikuandmete kaitse üldmääruse artikkel 80 „Andmesubjektide esindamine“ on sõnastatud järgmiselt:

„1. Andmesubjektil on õigus volitada esitama oma nimel kaebuse ning kasutama tema nimel artiklites 77, 78 ja 79 osutatud õigusi ja õigust saada artiklis 82 osutatud hüvitist (kui hüvitis on asjaomase liikmesriigi õigusega ette nähtud) mittetulunduslikku asutust, organisatsiooni või ühendust, mis on nõuetekohaselt asutatud kooskõlas asjaomase liikmesriigi õigusega ning mille põhikirjajärgsed eesmärgid on avalikes huvides ning mis tegutseb andmesubjekti õiguste ja vabaduste kaitsmise valdkonnas seoses andmesubjekti isikuandmete kaitsmisega.

2. Liikmesriigid võivad ette näha, et igal käesoleva artikli lõikes 1 osutatud asutusel, organisatsioonil või ühendusel on andmesubjekti volitusest sõltumatult õigus esitada asjaomases liikmesriigis artikli 77 kohaselt pädevale järelevalveasutusele kaebus ning kasutada artiklites 78 ja 79 osutatud õigusi, kui ta leiab, et käesoleva määruse kohase andmesubjekti õigusi on isikuandmete töötlemise tulemusel rikutud.“

16	Määruse artikli 82 „Õigus hüvitisele ja vastutus“ lõikes 1 on sätestatud: „Igal isikul, kes on kandnud käesoleva määruse rikkumise tulemusel materiaalset või mittemateriaalset kahju, on õigus saada vastutavalt töötlejalt või volitatud töötlejalt hüvitist tekitatud kahju eest.“

17	Määruse artikli 83 „Trahvide määramise üldtingimused“ lõikes 1 on ette nähtud: „Järelevalveasutus tagab, et käesoleva artikli kohane trahvide määramine lõigete 4, 5 ja 6 kohaste käesoleva määruse rikkumiste eest on igal üksikul juhul tõhus, proportsionaalne ja heidutav.“

Määruse artikli 84 „Karistused“ lõikes 1 on ette nähtud:

„Liikmesriigid kehtestavad käesoleva määruse rikkumiste korral kohaldatavad karistusnormid, eelkõige seoses selliste rikkumistega, mille korral ei määrata artikli 83 kohaseid trahve, ning võtavad kõik vajalikud meetmed, et tagada kõnealuste normide rakendamine. Sellised karistused on tõhusad, proportsionaalsed ja heidutavad.“

19	Isikuandmete kaitse üldmääruse artikli 94 lõikes 1 on ette nähtud: „Direktiiv [95/46] tunnistatakse kehtetuks alates 25. maist 2018.“

20	Määruse artiklis 99 on sätestatud: „1. Käesolev määrus jõustub kahekümnendal päeval pärast selle avaldamist Euroopa Liidu Teatajas. 2. Seda kohaldatakse alates 25. maist 2018.“

Saksa õigus

Kõlvatu konkurentsi vastane seadus

21	3. juuli 2004. aasta kõlvatu konkurentsi vastase seaduse (Gesetz gegen den unlauteren Wettbewerb; BGBl. 2004 I, lk 1414) põhikohtuasjas kohaldatavas redaktsioonis (edaspidi „UWG“) on § 3 „Ebaausate kaubandustavade keeld“ lõikes 1 ette nähtud: „Ebaausad kaubandustavad on õigusvastased.“

UWG § 3a „Õiguse rikkumine“ on sõnastatud järgmiselt:

„Ebaausat kaubandustava kasutab igaüks, kes rikub õigusnormi, mis on muu hulgas ette nähtud selleks, et turuosaliste huvides reguleerida tegevust turul, kui see rikkumine võib oluliselt kahjustada tarbijate, teiste turuosaliste või konkurentide huve.“

UWG §‑s 8 „Kõrvaldamine ja tegemata jätmine“ on sätestatud:

„(1) Isiku suhtes, kes kasutab õigusvastast kaubandustava § 3 või § 7 tähenduses, võib esitada nõude selle tegevuse lõpetamiseks; tegevuse kordumise ennetamiseks võib nõuda selle tegevuse lõpetamist või keelamist. […]

[…]

(3) Lõikes 1 osutatud nõudeid võib esitada:

1.	konkurent, kes turustab või tellib kaupu või teenuseid märkimisväärses koguses ja mitte üksnes aeg-ajalt,

[…]“.

Ravimiseadus

Ravimiringlust reguleerib 24. augusti 1976. aasta ravimikaubanduse seadus (Gesetz über den Verkehr mit Arzneimitteln; BGBl. 1976 I, lk 2444) 12. detsembril 2005 avaldatud redaktsioonis (BGBl. 2005 I, lk 3394), nagu seda kohaldatakse põhikohtuasja asjaoludele, ning selles seaduses eristatakse apteegis müüdavaid ravimeid ja retseptiravimeid, mida käsitletakse §‑s 48 „Retseptikohustus“.

Põhikohtuasi ja eelotsuse küsimused

ND, kes on apteegi käibenimega Lindenapotheke pidaja, turustab alates 2017. aastast ravimeid, mida tohib müüa ainult apteekides, veebiplatvormil Amazon-Marketplace (edaspidi „Amazon“). Nende ravimite veebist tellimisel peavad ND kliendid sisestama sellist teavet nagu nende nimi, tarneaadress ja nende ravimite isikustamiseks vajalikud andmed.

DR, kes on samuti apteegipidaja, esitas Landgericht Dessau-Roßlausse (Dessau-Roßlau esimese astme kohus, Saksamaa) hagi nõudega, et ND‑l keelataks trahvi ähvardusel turustada Amazonis ravimeid, mida tohib müüa ainult apteekides, seni, kuni ei ole tagatud, et kliendid saavad anda enda eelneva nõusoleku terviseandmete töötlemiseks.

27	DR väitis hagi põhjenduseks, et Amazonis nende ravimite turustamine, mida tohib müüa ainult apteekides, on ebaaus, kuna ei ole järgitud seadusest tulenevaid nõudeid, mis puudutavad kliendilt nõusoleku saamist, mida nõuavad isikuandmete kaitset käsitlevad õigusnormid.

28	Landgericht Dessau-Roßlau (Dessau-Roßlau esimese astme kohus) rahuldas hagi 28. märtsi 2018. aasta otsusega.

29	ND esitas selle otsuse peale apellatsioonkaebuse Oberlandesgericht Naumburgile (liidumaa kõrgeim üldkohus Naumburgis, Saksamaa), kes jättis selle 7. novembri 2019. aasta otsusega rahuldamata.

Apellatsioonikohus leidis, et niisuguste ravimite Amazonis turustamine, mida tohib müüa ainult apteekides, on ebaaus tava ning seega UWG § 3 lõike 1 kohaselt õigusvastane. Nimelt toob selline ravimite turustamine kaasa terviseandmete töötlemise, mis on keelatud isikuandmete kaitse üldmääruse artikli 9 lõike 1 alusel, kui kliendid, kes ravimeid ostavad, ei ole selle määruse artikli 9 lõike 2 punkti a kohaselt andnud selgesõnalist nõusolekut. Nimetatud määruses ette nähtud eeskirjad kujutavad endast õigusnorme, mille eesmärk on reguleerida tegevust turul UWG § 3a tähenduses. Lisaks on DR‑il UWG § 8 lõike 3 punkti 1 kohaselt konkurendina õigus tugineda nende normide rikkumisele ND poolt, esitades tsiviilkohtule rikkumise lõpetamise nõude.

31	ND esitas eelotsusetaotluse esitanud kohtule, Bundesgerichtshofile (Saksamaa Liitvabariigi kõrgeim üldkohus), kassatsioonkaebuse.

32	Eelotsusetaotluse esitanud kohtu sõnul sõltub vaidluse lahendus sellest, kuidas tõlgendada isikuandmete kaitse üldmääruse VIII peatükki ja artikli 9 lõiget 1 ning direktiivi 95/46 artikli 8 lõiget 1.

Esimesena on eelotsusetaotluse esitanud kohtul tekkinud küsimus, kas alates direktiivi 95/46 kehtetuks tunnistamisest 25. maist 2018 ehk kuupäevast, millest alates muutus kohaldatavaks isikuandmete kaitse üldmäärus, võivad liikmesriigid riigisiseses õiguses veel ette näha, et ettevõtja konkurentidel, kellele on viidatud UWG § 8 lõike 3 punktis 1, on õigus nõuda tsiviilkohtusse esitatud hagiga selle ettevõtja poolt toime pandud isikuandmete kaitse üldmääruse sätete rikkumise lõpetamist, tuginedes ebaausate kaubandustavade keelule.

Eelotsusetaotluse esitanud kohus märgib, et sellele küsimusele on riigisisesel tasandil vastatud erinevalt. Sellist vastust ei saa nimelt üheselt tuletada ei isikuandmete kaitse üldmääruse VIII peatüki sätete sõnastusest, nende sätete üldisest ülesehitusest ega isegi selle määrusega taotletavast eesmärgist.

Kõigepealt, mis puudutab isikuandmete kaitse üldmääruse VIII peatüki sätete sõnastust, siis rõhutab eelotsusetaotluse esitanud kohus, et nendes sätetes ei ole tõepoolest kusagil mainitud ettevõtja konkurentide võimalust esitada ettevõtja vastu hagi, eelkõige juhul, kui andmekaitsealaste õigusnormide rikkumine kujutab endast ebaausaid kaubandustavasid. Samas ei välista nimetatud sätted siiski formaalselt seda võimalust.

Mis puudutab seejärel isikuandmete kaitse üldmääruse VIII peatüki sätete üldist ülesehitust, siis rõhutab eelotsusetaotluse esitanud kohus ühest küljest, et nagu Euroopa Kohus otsustas 28. aprilli 2022. aasta kohtuotsuses Meta Platforms Ireland (C‑319/20, EU:C:2022:322, punkt 57), on selle määruse eesmärk tagada isikuandmete kaitset käsitlevate riigisiseste õigusaktide ühtlustamine, mis on üldjuhul täielik. Teisest küljest võib asjaolu, et isikuandmete kaitse üldmääruse artikli 77 lõige 1, artikli 78 lõiked 1 ja 2 ning artikli 79 lõige 1 kõik sisaldavad väljendit „ilma et see piiraks muude kaitsevahendite kohaldamist“, takistada järelduse tegemist, et õiguse kohaldamise järelevalve on ammendavalt reguleeritud.

Lõpuks, mis puudutab isikuandmete kaitse üldmäärusega taotletavat ühtlustamise eesmärki, eelkõige õiguse kohaldamise järelevalve taseme ühtlustamist liidus, siis rõhutab eelotsusetaotluse esitanud kohus ühest küljest, et selle eesmärgiga võib minna vastuollu asjaolu, et konkurentidel võib olla õigus esitada hagi konkurentsiõiguse alusel ja seega nõuda andmekaitse õigusnormide kohaldamist, mis läheb isikuandmete kaitse üldmääruses ette nähtud vahenditest kaugemale. Lisaks ei ole kindel, et isikuandmete kaitse üldmääruses ette nähtud õiguse kohaldamise järelevalve süsteemis on lünk, mis tuleb täita konkurentidele antud võimalusega omada konkurentsiõiguse alusel hagi esitamise õigust. Samuti võib konkurents ühelt poolt järelevalveasutuste ja teiselt poolt tsiviilkohtute vahel andmekaitseõiguse kohaldamise järelevalve valdkonnas viia järelevalveasutuste volitustesse sekkumiseni ja liidus andmekaitseõiguse kohaldamise järelevalves erinevuste tekkimiseni.

Teisest küljest võib eelotsusetaotluse esitanud kohtu arvates see, kui konkurentidel on õigus esitada hagi konkurentsiõiguse alusel, kujutada endast õiguse kohaldamise järelevalve lisavõimalust, mis oleks tõhususe põhimõtte („soovitav toime“) kohaselt soovitav, et tagada isikuandmete kaitse võimalikult kõrge tase vastavalt isikuandmete kaitse üldmääruse põhjendusele 10.

39	Eelotsusetaotluse esitanud kohus täpsustab, et seda küsimust ei ole Euroopa Kohtu praktikas selgitatud ja et eelkõige 28. aprilli 2022. aasta kohtuotsuses Meta Platforms Ireland (C‑319/20, EU:C:2022:322) jättis Euroopa Kohus sõnaselgelt lahtiseks küsimuse konkurendi õiguse kohta esitada hagi.

Teisena soovib eelotsusetaotluse esitanud kohus sisuliselt teada, kas andmed, mille kliendid peavad sisestama veebimüügiplatvormil, kui nad tellivad ravimeid, nagu nende nimi, tarneaadress ja tellitud ravimi isikustamiseks vajalikud andmed, on terviseandmed direktiivi 95/46 artikli 8 lõike 1 ja isikuandmete kaitse üldmääruse artikli 9 lõike 1 tähenduses.

41	Eelotsusetaotluse esitanud kohtu arvates ei ole vastus sellele küsimusele ilmselge juhul, kui tellitud ravimid ei ole retseptiravimid. Nimelt ei ole sellisel juhul välistatud, et need ravimid ei ole mõeldud mitte klientidele endile, vaid kolmandatele isikutele, keda ei ole võimalik tuvastada.

42	Eelotsusetaotluse esitanud kohus rõhutab, et nende sätete ja isikuandmete kaitse üldmääruse artikli 4 punkti 15 sõnastus koostoimes selle määruse põhjendusega 35 üksi ei võimalda sellele küsimusele vastata.

Euroopa Kohus leidis 1. augusti 2022. aasta kohtuotsuse Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601) punktis 125 siiski, et mõistet „isikuandmete eriliigid“, mis on ette nähtud direktiivi 95/46 artikli 8 lõikes 1 ja isikuandmete kaitse üldmääruse artikli 9 lõikes 1, tuleb tõlgendada laialt, võttes arvesse nimetatud määruse eesmärki, milleks on tagada füüsiliste isikute põhiõiguste ja -vabaduste, eelkõige eraelu puutumatuse kõrgetasemeline kaitse neid puudutavate isikuandmete töötlemisel. Kui nõustuda selle mõiste laia tõlgendusega, võiks järeldada, et selline teave kujutab endast terviseandmeid, kui ei ole kindel, vaid üksnes tõenäoline, et kliendid, kes ravimeid tellivad, on isikud, kellele need on mõeldud.

Eelotsusetaotluse esitanud kohus täpsustab, et õigus rikkumise lõpetamisele, millele DR tugineb, eeldab, et ND kõnealune tegevus oli õigusvastane nii selle toimepanemise ajal kui ka kassatsioonimenetluses toimunud kohtuistungi ajal ning et esimene neist ajahetkedest oli veel reguleeritud direktiivi 95/46 artikli 8 lõikega 1, samas kui viimati nimetatud ajahetk on nüüd reguleeritud isikuandmete kaitse üldmääruse artikli 9 lõikega 1.

Selles olukorras otsustas Bundesgerichtshof (kõrgeim üldkohus) menetluse peatada ja esitada Euroopa Kohtule järgmised eelotsuse küsimused:

„1.

Kas [isikuandmete kaitse üldmääruse] VIII peatüki sätetega on vastuolus riigisisesed õigusnormid, mis – lisaks sellele, et need annavad määruse järelevalve ja täitmise eest vastutavatele järelevalveasutustele sekkumisvolitused ning andmesubjektidele õiguskaitsevõimalused – annavad selle määruse rikkumise korral konkurentidele õiguse esitada rikkuja vastu ebaausate kaubandustavade keelule tuginedes hagi tsiviilkohtusse?

Kas andmed, mille sisestavad veebimüügiplatvormil müüjana tegutseva apteegi kliendid müügiplatvormile, kui nad tellivad ravimeid, mida tohib küll müüa ainult apteekides, kuid mis ei ole retseptiravimid (sellised andmed nagu kliendi nimi, tarneaadress ja tellitud apteegiravimi isikustamiseks vajalikud andmed), on terviseandmed [isikuandmete kaitse üldmääruse] artikli 9 lõike 1 tähenduses ning tervislikku seisundit käsitlevad andmed direktiivi 95/46 artikli 8 lõike 1 tähenduses?“

Eelotsuse küsimuste analüüs

Esimene küsimus

Esimese küsimusega soovib eelotsusetaotluse esitanud kohus teada, kas isikuandmete kaitse üldmääruse VIII peatüki sätteid tuleb tõlgendada nii, et nendega on vastuolus riigisisesed õigusnormid, mis – lisaks sellele, et need annavad määruse järelevalve ja täitmise eest vastutavatele järelevalveasutustele sekkumisvolitused ning andmesubjektidele õiguskaitsevõimalused – annavad selle määruse rikkumise tõttu konkurentidele õiguse esitada oletatava isikuandmete kaitset kahjustava isiku vastu ebaausate kaubandustavade keelule tuginedes hagi tsiviilkohtusse.

Olgu sissejuhatuseks meenutatud, et isikuandmete kaitse üldmääruse VIII peatükk reguleerib eelkõige õiguskaitsevahendeid, mis võimaldavad kaitsta andmesubjekti õigusi juhul, kui teda puudutavaid isikuandmeid on väidetavalt töödeldud kõnealuse määruse sätteid rikkudes. Nende õiguste kaitsmiseks võib seega kaebuse esitada kas andmesubjekt vahetult ise isikuandmete kaitse üldmääruse artiklite 77–79 alusel või selleks volitatud üksus – olgu siis volituse alusel või ilma – vastavalt artiklile 80 (vt selle kohta 28. aprilli 2022. aasta kohtuotsus Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punkt 53).

Nimelt, ühelt poolt on isikuandmete kaitse üldmääruse artikli 77 lõikes 1 ette nähtud, et igal andmesubjektil on õigus esitada kaebus järelevalveasutusele, ilma et see piiraks muude halduslike või õiguslike kaitsevahendite kohaldamist. Määruse artikli 78 lõike 1 kohaselt on igal füüsilisel või juriidilisel isikul õigus kasutada tõhusat kohtulikku õiguskaitsevahendit järelevalveasutuse õiguslikult siduva otsuse vastu, mis teda puudutab, ilma et see piiraks muude halduslike kaitsevahendite või kohtuväliste heastamisvahendite kohaldamist. Määruse artikli 79 lõige 1 tagab igale andmesubjektile õiguse tõhusale kohtulikule õiguskaitsevahendile, ilma et see piiraks mis tahes kättesaadava haldusliku kaitsevahendi või kohtuvälise heastamisvahendi kohaldamist, sealhulgas õigust esitada järelevalveasutusele sama määruse artikli 77 kohaselt kaebus.

Teiselt poolt on andmesubjektil isikuandmete kaitse üldmääruse artikli 80 lõike 1 kohaselt teatavatel tingimustel õigus volitada mittetulunduslikku asutust, organisatsiooni või ühendust esitama kaebust või kasutama tema nimel määruse artiklites 77–79 nimetatud õigusi. Lisaks võivad liikmesriigid isikuandmete kaitse üldmääruse artikli 80 lõike 2 kohaselt ette näha, et igal asutusel, organisatsioonil või ühendusel on andmesubjekti volitusest sõltumatult õigus esitada pädevale järelevalveasutusele kaebus ning kasutada neid õigusi, kui ta leiab, et sama määruse kohaseid andmesubjekti õigusi on teda puudutavate isikuandmete töötlemise tulemusel rikutud.

Käesoleval juhul nähtub Euroopa Kohtu käsutuses olevast toimikust, et ND, kes on apteegipidaja, turustab Amazonis ravimeid, mida tohib müüa ainult apteekides, ning et nende ravimite veebist tellimisel peavad kliendid sisestama sellised andmed nagu oma nimi, tarneaadress ja nende ravimite isikustamiseks vajalik teave. Põhikohtuasjas esitatud hagi ei esitanud tsiviilkohtusse siiski mitte need kliendid, kes on andmesubjektid isikuandmete kaitse üldmääruse artikli 4 lõike 1 tähenduses, selle määruse artikli 79 alusel ega volitatud asutus, organisatsioon või ühendus, kellel on selleks määruse artikli 80 alusel andmesubjektilt saadud volitus või mitte, vaid selle apteekri konkurent ebaausate kaubandustavade keelule tuginedes seetõttu, et nimetatud apteeker rikkus sama määruse sätteid.

51	Põhikohtuasjas tekib seega küsimus, kas isikuandmete kaitse üldmäärusega on vastuolus see, kui niisugusel konkurendil nagu DR, kes ei ole andmesubjekt selle määruse artikli 4 punkti 1 tähenduses, on õigus selline hagi liikmesriigi tsiviilkohtusse esitada.

Sellega seoses olgu märgitud, et liidu õigusnormi tõlgendamisel ei tule arvesse võtta mitte ainult selle sõnastust, vaid ka konteksti ja selle õigusaktiga taotletavaid eesmärke, mille osa see säte on (12. jaanuari 2023. aasta kohtuotsus Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, punkt 32).

Mis puudutab isikuandmete kaitse üldmääruse VIII peatüki sätete sõnastust, siis tuleb tõdeda, et ükski neist ei välista sõnaselgelt ettevõtja konkurendi võimalust esitada selle ettevõtja vastu hagi ebaausate kaubandustavade keelule tuginedes, kuna ettevõtja on väidetavalt rikkunud selles määruses ette nähtud kohustusi. Vastupidi, isikuandmete kaitse üldmääruse artikli 77 lõike 1, artikli 78 lõike 1 ja artikli 79 lõike 1 sõnastusest, millele on viidatud käesoleva kohtuotsuse punktis 48, tuleneb, et nendes sätetes ette nähtud õigust esitada järelevalveasutusele kaebus ja õigust tõhusale kohtulikule õiguskaitsevahendile sellise asutuse ja vastutava töötleja või volitatud töötleja vastu tuleb käsitada, „ilma et see piiraks“ muude halduslike ja kohtulike kaitsevahendite või kohtuväliste heastamisvahendite kohaldamist.

Mis puudutab isikuandmete kaitse üldmääruse VIII peatüki konteksti, siis tuleb märkida, et määruse II peatükis on hulk materiaalõigusnorme, mis käsitlevad muu hulgas artiklis 5 sisalduvaid isikuandmete töötlemise põhimõtteid ja artiklis 6 sätestatud töötlemise seaduslikkuse tingimusi, mille eesmärk on tagada eelkõige ELTL artikli 16 lõikega 1 ja harta artikliga 8 tagatud andmesubjektide põhiõiguse isikuandmete kaitsele täielik järgimine. Asjaolu, et isikuandmete kaitse üldmääruse VIII peatükis puuduvad sätted, mis näeksid ette, et neid materiaalõigusnorme väidetavalt rikkunud ettevõtja konkurendid võivad esitada selle rikkumise lõpetamiseks hagi, on seega seletatav sellega, et selle määrusega tagatud isikuandmete kaitse on suunatud ainult andmesubjektidele, mitte nendele konkurentidele, nagu märkis ka kohtujurist oma ettepaneku punktis 80.

Sellegipoolest, kuigi nende materiaalõigusnormide rikkumine võib esmajoones mõjutada isikuid, keda kõnealused andmed puudutavad, võib see kahjustada ka kolmandaid isikuid, mida näitab asjaolu, et isikuandmete kaitse üldmääruse artikli 82 lõikes 1 on ette nähtud õigus hüvitisele „igal[e] isikul[e], kes on kandnud käesoleva määruse rikkumise tulemusel materiaalset või mittemateriaalset kahju“. Euroopa Kohtul on juba olnud võimalus tõdeda, et isikuandmete kaitset käsitleva õigusnormi rikkumine võib samal ajal kaasa tuua tarbijakaitset või ebaausaid kaubandustavasid käsitlevate normide rikkumise (28. aprilli 2022. aasta kohtuotsus Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punkt 78) ja kujutada endast olulist näitajat selle hindamisel, kas tegemist on turgu valitseva seisundi kuritarvitamisega ELTL artikli 102 tähenduses (vt selle kohta 4. juuli 2023. aasta kohtuotsus Meta Platforms jt (suhtlusvõrgustiku kasutamise tüüptingimused), C‑252/21, EU:C:2023:537, punktid 47 ja 62).

Selles kontekstis on oluline tõdeda, et juurdepääs isikuandmetele ja nende kasutamine on digitaalmajanduses äärmiselt tähtis. Nimelt on juurdepääs isikuandmetele ja võimalus neid andmeid töödelda muutunud digitaalmajanduse ettevõtjate vahelise konkurentsi oluliseks näitajaks. Seega selleks, et võtta arvesse selle majandusarengu tegelikkust ja tagada aus konkurents, võib osutuda vajalikuks võtta konkurentsiõiguse ja ebaausaid kaubandustavasid käsitlevate eeskirjade kohaldamisel arvesse isikuandmete kaitse eeskirju (vt selle kohta 4. juuli 2023. aasta kohtuotsus Meta Platforms jt (suhtlusvõrgustiku kasutamise tüüptingimused), C‑252/21, EU:C:2023:537, punktid 50 ja 51).

Lisaks, kuigi isikuandmete kaitse üldmääruse artikli 1 lõikest 1, arvestades eelkõige selle määruse põhjendusi 9 ja 13, nähtub, et määruse eesmärk on tagada isikuandmete kaitset käsitlevate riigisiseste õigusaktide ühtlustamine, mis on üldjuhul täielik, annavad mitu kõnealuse määruse sätet liikmesriikidele siiski võimaluse näha ette täiendavaid, rangemaid või erandeid ettenägevaid riigisiseseid eeskirju, mis jätavad liikmesriikidele kaalutlusruumi nende sätete rakendamisel („kaitseklauslid“) (28. aprilli 2022. aasta kohtuotsus Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punkt 57).

Euroopa Kohus on juba otsustanud, et nii jätab isikuandmete kaitse üldmääruse artikli 80 lõige 2 liikmesriikidele selle rakendamisel kaalutlusruumi ning sellega ei ole vastuolus riigisisesed õigusnormid, mis võimaldavad tarbijate huve kaitsval ühendusel – kellel puudub selleks antud volitus ja sõltumata andmesubjekti konkreetsete õiguste rikkumisest – pöörduda oletatava isikuandmete kaitset kahjustava isiku vastu kohtusse väitega, et on muu hulgas rikutud ebaausate kaubandustavade kasutamise keeldu, kui asjasse puutuv andmete töötlemine võib kahjustada õigusi, mis on selle määruse alusel tuvastatud või tuvastatavatel füüsilistel isikutel (28. aprilli 2022. aasta kohtuotsus Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punktid 59 ja 83).

On tõsi, et isikuandmete kaitse üldmääruse VIII peatüki sätetes ei ole konkreetselt ette nähtud niisugust kaitseklauslit, mis võimaldaks liikmesriikidel sõnaselgelt näha ette võimaluse, et selle määruse materiaalõigusnorme väidetavalt rikkuva ettevõtja konkurent võib esitada selle rikkumise lõpetamiseks hagi.

Siiski tuleneb VIII peatüki sätete sõnastusest ja kontekstist, mida on meenutatud käesoleva kohtuotsuse punktides 53–58, et nimetatud määruse vastuvõtmisega ei soovinud liidu seadusandja ammendavalt ühtlustada õiguskaitsevahendeid, mida on võimalik kasutada isikuandmete kaitse üldmääruse sätete rikkumise korral, ega soovinud eelkõige välistada sellist õiguskaitsevõimalust, mis on oletatava isikuandmete kaitset kahjustava isiku konkurentidel ebaausate kaubandustavade keelamist reguleeriva riigisisese õiguse alusel.

Seda tõlgendust kinnitavad isikuandmete kaitse üldmääruse eesmärgid, milleks on – nagu nähtub eeskätt määruse põhjendusest 10 – tagada füüsiliste isikute järjekindel ja kõrgetasemeline kaitse isikuandmete töötlemisel ning kõrvaldada takistused isikuandmete liikumisel liidus. Määruse põhjenduses 11 on lisaks märgitud, et tõhusaks isikuandmete kaitseks tuleb tugevdada ja täpsustada andmesubjektide õigusi ning isikuandmete töötlejate ja töötlemise üle otsustajate kohustusi, aga ka nendele vastavaid volitusi isikuandmete kaitse eeskirjade järgimise kontrollimisel ja tagamisel, ning rikkujatele määratavaid karistusi liikmesriikides. Määruse põhjenduses 13 on täpsustatud, et selleks et tagada füüsiliste isikute järjekindel kaitse kogu liidus ning ära hoida erinevusi, mis takistavad andmete vaba liikumist siseturul, on vaja määrust, millega tagatakse õiguskindlus ja läbipaistvus ettevõtjate jaoks ning milles sätestatakse kõikides liikmesriikides füüsilistele isikutele samaväärsed kohtulikult kaitstavad õigused ning vastutavatele töötlejatele ja volitatud töötlejatele kohustused ja vastutusvaldkonnad, et tagada isikuandmete töötlemise järjekindel jälgimine, nagu ka samaväärsed karistused kõigis liikmesriikides.

Ettevõtja konkurendi võimalus esitada tsiviilkohtusse ebaausate kaubandustavade keelule tuginedes hagi, et lõpetada isikuandmete kaitse üldmääruse materiaalõigusnormide rikkumine, mille see ettevõtja väidetavalt toime pani, mitte ei kahjusta neid eesmärke, vaid vastupidi tugevdab nende sätete soovitavat toimet ja seega andmesubjektide kõrgetasemelist kaitset nende isikuandmete töötlemisel, mis on selle määrusega ette nähtud.

Nimelt, ühelt poolt ei kahjusta rikkumise lõpetamise hagi, mille konkurent on esitanud ettevõtja vastu ebaausate kaubandustavade keelule tuginedes isikuandmete kaitse üldmääruse materiaalõigusnormide väidetava rikkumise tõttu, kuidagi selle määruse VIII peatükis ette nähtud õiguskaitsevahendite süsteemi ega eesmärki tagada füüsiliste isikute järjekindel kaitse kogu liidus ning hoida ära erinevusi, mis takistavad isikuandmete vaba liikumist siseturul.

64	On tõsi, et selline hagi võib, olgugi et kaasneva tagajärjena, tugineda nimetatud määruse samade sätete rikkumisele, millel võivad põhineda kaebus või hagi, mille võivad sama määruse artiklite 77–79 alusel esitada andmesubjektid või asutus, organisatsioon või ühendus määruse artikli 80 tähenduses.

Sellegipoolest tuleb tõdeda, et esiteks ei taotle konkurendi esitatud rikkumise lõpetamise hagi – erinevalt isikuandmete kaitse üldmääruse artiklitest 77–80 – iseenesest eesmärki kaitsta andmesubjektide põhiõigusi ja -vabadusi nende isikuandmete töötlemisel, vaid selle eesmärk on tagada aus konkurents eelkõige kõnealuse konkurendi huvides.

Teiseks lisandub konkurendi võimalus esitada niisugune hagi tsiviilkohtusse, tuginedes ebaausate kaubandustavade keelule, isikuandmete kaitse üldmääruse artiklites 77–79 ette nähtud õiguskaitsevahenditele, mis säilivad täies ulatuses ja mida saavad ikka kasutada andmesubjektid ning vajaduse korral asutused, organisatsioonid või ühendused selle määruse artikli 80 tähenduses.

Täpsemalt, nagu märkis Saksamaa valitsus, ei tekita andmekaitseõiguse ja konkurentsiõiguse kohaldamisalasse kuuluvate õiguskaitsevahendite samal ajal eksisteerimine ohtu isikuandmete kaitse üldmääruse ühetaolisele kohaldamisele. Selles kontekstis tuleb märkida, et määruse artiklitest 77–80 tuleneb, et määruses ei ole ette nähtud eelisjärjekorras pädevust või ainupädevust ega ühtegi eeskirja, mille kohaselt seal osutatud asutuse või kohtute hinnang selle määrusega antud õiguste rikkumisele oleks eelistatud (vt selle kohta 12. jaanuari 2023. aasta kohtuotsus Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, punkt 35). Järelikult ei kahjusta asjaolu, et rikkumise lõpetamise hagi on esitanud tsiviilkohtusse oletatava isikuandmete kaitset kahjustava isiku konkurent, isikuandmete kaitse üldmääruse VIII peatükis ette nähtud õiguskaitsevahendite süsteemi. Lisaks, nagu märkis Saksamaa valitsus, on ELTL artiklis 267 ette nähtud eelotsusemenetlusega tagatud see, et tõlgendatakse ühetaoliselt selle määruse materiaalõigusnorme, mida võivad sama rikkumise suhtes kohaldada ühelt poolt järelevalveasutus ja kohtud, kelle poole on pöördutud määruse artiklite 77–80 alusel, ning teiselt poolt kohtud, kelle poole on pöördunud taoline konkurent, tuginedes ebaausate kaubandustavade keelule.

Kolmandaks, nagu kohtujurist oma ettepaneku punktis 104 sisuliselt märkis, ei takista see, et muud isikud peale andmesubjektide ning asutuste, organisatsioonide ja ühenduste selle määruse artikli 80 tähenduses saavad isikuandmete kaitse üldmääruse materiaalõiguslikele sätetele laiemalt tugineda, saavutada eesmärki, milleks on tagada andmesubjektide järjekindel kaitse kogu liidus ning hoida ära erinevusi, mis takistavad isikuandmete vaba liikumist siseturul. Nimelt, isegi kui liikmesriigid sellist võimalust ette ei näe, ei tekita see siiski andmekaitse rakendamise killustumist liidus, kuna isikuandmete kaitse üldmääruse materiaalõigusnormid on ühtemoodi siduvad kõigile vastutavatele töötlejatele määruse artikli 4 punkti 7 tähenduses ja nende järgimine on tagatud nimetatud määruses ette nähtud õiguskaitsevahenditega.

Teiselt poolt, mis puudutab eesmärki tagada andmesubjektide tõhus kaitse nende isikuandmete töötlemisel ning isikuandmete kaitse üldmääruse materiaalõigusnormide soovitav toime, siis tuleb tõdeda, et kuigi oletatava isikuandmete kaitset kahjustava isiku konkurendi esitatud tegevuse lõpetamise hagi eesmärk ei ole – nagu on märgitud käesoleva kohtuotsuse punktis 65 – mitte selle eesmärgi, vaid ausa konkurentsi tagamine, aitab see kahtlemata siiski neid sätteid järgida ning seega tugevdada andmesubjektide õigusi ja tagada nende õiguste kõrgetasemelise kaitse (vt selle kohta 28. aprilli 2022. aasta kohtuotsus Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punkt 74).

Pealegi võib niisugune lõpetamise hagi konkurendi poolt – sarnaselt tarbijate huve kaitsva ühenduse hagiga – osutuda eriti tõhusaks sellise kaitse tagamisel, kuna see võimaldab ära hoida suurt hulka nende andmesubjektide õiguste rikkumisi, keda see isikuandmete töötlemine puudutab (vt selle kohta 28. aprilli 2022. aasta kohtuotsus Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punkt 75).

Sellest tuleneb, et käesoleva kohtuotsuse punktis 60 esitatud tõlgendus on kooskõlas nõuetega, mis tulenevad ELTL artikli 16 lõikest 1 ja harta artiklist 8, ning seega ka isikuandmete kaitse üldmääruse eesmärgiga, milleks on tõhusalt kaitsta füüsiliste isikute põhiõigusi ja -vabadusi ning eelkõige tagada iga isiku õigus tema isikuandmete kaitsele (vt selle kohta 28. aprilli 2022. aasta kohtuotsus Meta Platforms Ireland, C‑319/20, EU:C:2022:322, punkt 73).

Käesoleval juhul on eelotsusetaotluse esitanud kohtu ülesanne kontrollida, kas põhikohtuasjas kõne all olevate isikuandmete kaitse üldmääruse materiaalõigusnormide oletatav rikkumine – tingimusel, et see on tõendatud – kujutab endast ka asjaomastes riigisisestes õigusnormides ette nähtud ebaausate kaubandustavade keelu rikkumist.

Eeltoodud kaalutlusi arvestades tuleb esimesele küsimusele vastata, et isikuandmete kaitse üldmääruse VIII peatüki sätteid tuleb tõlgendada nii, et nendega ei ole vastuolus riigisisesed õigusnormid, mis – lisaks sellele, et need annavad määruse järelevalve ja täitmise eest vastutavatele järelevalveasutustele sekkumisvolitused ning andmesubjektidele õiguskaitsevõimalused – annavad selle määruse rikkumise tõttu konkurentidele õiguse esitada oletatava isikuandmete kaitset kahjustava isiku vastu ebaausate kaubandustavade keelule tuginedes hagi tsiviilkohtusse.

Teine küsimus

Oma teise küsimusega soovib eelotsusetaotluse esitanud kohus sisuliselt teada, kas direktiivi 95/46 artikli 8 lõiget 1 ja isikuandmete kaitse üldmääruse artikli 9 lõiget 1 tuleb tõlgendada nii, et olukorras, kus apteegipidaja turustab veebiplatvormi kaudu ravimeid, mida tohib müüa ainult apteekides, on teave, mille selle apteegipidaja kliendid sisestavad veebis ravimite tellimisel – nagu nende nimi, tarneaadress ja ravimite isikustamiseks vajalikud andmed –, terviseandmed nende sätete tähenduses, isegi kui nende müük ei toimu retsepti alusel.

Direktiivi 95/46 artikli 8 lõige 1 ja isikuandmete kaitse üldmääruse artikli 9 lõige 1, mille ulatus on Euroopa Kohtult taotletud tõlgenduse osas sarnane (1. augusti 2022. aasta kohtuotsus Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, punktid 58 ja 117) ning mis – nagu nähtub nende pealkirjadest – puudutavad isikuandmete „eriliikide“ töötlemist, kehtestavad sellise töötlemise keelu põhimõtte. Nimelt, nagu on märgitud määruse põhjenduses 51, väärivad erilist kaitset isikuandmed, mis on oma olemuselt põhiõiguste ja -vabaduste seisukohast eriti tundlikud, sest nende töötlemise kontekst võib neid õigusi ja vabadusi oluliselt ohustada.

Nende isikuandmete eriliikide hulka, mille loetelu on toodud direktiivi 95/46 artikli 8 lõikes 1 ja isikuandmete kaitse üldmääruse artikli 9 lõikes 1, kuuluvad terviseandmed. Need hõlmavad vastavalt selle määruse artikli 4 punktile 15 koostoimes määruse põhjendusega 35 kõiki isikuandmeid, mis annavad teavet füüsilise isiku endise, praeguse või tulevase füüsilise või vaimse tervise kohta, sealhulgas temale tervishoiuteenuste osutamist käsitlevad andmed.

Isikuandmete kaitse üldmääruse artikli 4 punktis 1 on sätestatud, et „isikuandmed“ on igasugune teave tuvastatud või tuvastatava füüsilise isiku kohta ning selleks, et olla „tuvastatav“, on piisav, et andmesubjekti saab otseselt või kaudselt tuvastada, eelkõige sellise identifitseerimistunnuse põhjal nagu nimi, isikukood, asukohateave, võrguidentifikaator või selle füüsilise isiku ühe või mitme füüsilise, füsioloogilise, geneetilise, vaimse, majandusliku, kultuurilise või sotsiaalse tunnuse põhjal.

78	Seega, kui andmed ravimite ostmise kohta võimaldavad teha järeldusi tuvastatud või tuvastatava isiku tervisliku seisundi kohta, tuleb neid pidada terviseandmeteks isikuandmete kaitse üldmääruse artikli 4 punkti 15 tähenduses.

Käesoleval juhul nähtub Euroopa Kohtu käsutuses olevast toimikust, et ND kliendid sisestavad Amazonis selliste ravimite veebist tellimisel, mida tohib müüa ainult apteekides, niisuguse teabe nagu nende nimi, tarneaadress ja nende ravimite isikustamiseks vajalik teave. Taoline teave on kindlasti „isikuandmed“, kuna see puudutab tuvastatud või tuvastatavaid füüsilisi isikuid.

Neil asjaoludel tuleb kindlaks teha, kas sellised andmed annavad teavet nende isikute tervisliku seisundi kohta isikuandmete kaitse üldmääruse artikli 4 punkti 15 tähenduses ning on seega terviseandmed direktiivi 95/46 artikli 8 lõike 1 ja isikuandmete kaitse üldmääruse artikli 9 lõike 1 tähenduses.

Euroopa Kohus on sellega seoses juba otsustanud, et arvestades direktiivi 95/46 ja isikuandmete kaitse üldmääruse eesmärki, milleks on tagada füüsiliste isikute põhiõiguste ja -vabaduste, eelkõige eraelu puutumatuse kõrgetasemeline kaitse neid puudutavate isikuandmete töötlemisel, tuleb mõistet „terviseandmed“, mis on ette nähtud määruse artikli 9 lõikes 1 ja millele vastab direktiivi artikli 8 lõikes 1 nimetatud mõiste „tervislikku seisundit käsitlevad andmed“, tõlgendada laialt (vt selle kohta 6. novembri 2003. aasta kohtuotsus Lindqvist, C‑101/01, EU:C:2003:596, punkt 50, ja 1. augusti 2022. aasta kohtuotsus Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, punkt 125).

Eelkõige ei saa neid sätteid tõlgendada nii, et nende isikuandmete töötlemine, millest võib kaudselt ilmneda füüsilist isikut puudutav tundlik teave, ei kuulu nendes sätetes ette nähtud tugevdatud kaitse kohaldamisalasse, kuna vastasel juhul kahjustatakse selle kaitsekorra soovitavat toimet ning füüsiliste isikute põhiõiguste ja ‑vabaduste kaitset, mida sellega soovitakse tagada (1. augusti 2022. aasta kohtuotsus Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, punkt 127).

Järelikult piisab selleks, et isikuandmeid saaks kvalifitseerida terviseandmeteks direktiivi 95/46 artikli 8 lõike 1 ja isikuandmete kaitse üldmääruse artikli 9 lõike 1 tähenduses, sellest, kui nendest andmetest ilmneb intellektuaalse kokkuviimise või järeldamise teel teave andmesubjekti tervisliku seisundi kohta (vt selle kohta 1. augusti 2022. aasta kohtuotsus Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, punkt 123).

Andmed, mida klient sisestab veebiplatvormilt nende ravimite tellimisel, mida tohib müüa ainult apteekides, annavad intellektuaalse kokkuviimise või järeldamise teel teavet andmesubjekti tervisliku seisundi kohta isikuandmete kaitse üldmääruse artikli 4 punkti 1 tähenduses, kuna see tellimus eeldab seose loomist ravimi, selle ravinäidustuste või kasutusviiside ning füüsilise isiku vahel, kes on tuvastatud või tuvastatav selliste tunnuste abil nagu selle isiku nimi või tarneaadress.

85	Eelotsusetaotluse esitanud kohtul on siiski tekkinud küsimus, kas asjaolu, et tellitud ravimite müük ei toimu retsepti alusel, on asjakohane, kuna sellisel juhul võivad need ravimid olla mõeldud mitte tellimuse esitanud kliendile, vaid kolmandatele isikutele.

Sellega seoses olgu märgitud, et direktiivi 95/46 artikli 8 lõike 1 ja isikuandmete kaitse üldmääruse artikli 9 lõike 1 kohaldamisel tuleb juhul, kui isikuandmeid töötleb apteegipidaja veebiplatvormi kaudu toimuva tegevuse käigus, kontrollida, kas nendest andmetest ilmneb teave, mis kuulub mõnda selles sättes nimetatud andmeliikidest, olenemata sellest, kas teave puudutab selle platvormi kasutajat või mõnda muud füüsilist isikut. Jaatava vastuse korral on selline isikuandmete töötlemine seega keelatud, kui nende sätete lõikes 2 ette nähtud eranditest ei tulene teisiti (vt selle kohta 4. juuli 2023. aasta kohtuotsus Meta Platforms jt (suhtlusvõrgustiku kasutamise tüüptingimused), C‑252/21, EU:C:2023:537, punkt 68).

See põhimõtteline keeld ei sõltu sellest, kas töötlemise käigus ilmnenud teave on õige või mitte ja kas apteegipidaja tegutseb eesmärgiga saada teavet, mis kuulub ühte direktiivi 95/46 artikli 8 lõikes 1 ja isikuandmete kaitse üldmääruse artikli 9 lõikes 1 nimetatud eriliikidest. Nende sätete eesmärk on nimelt keelata niisugune töötlemine, sõltumata töötlemise väidetavast eesmärgist ja kõnealuse teabe õigsusest, võttes arvesse, et nimetatud liikidesse kuuluvate isikuandmete mis tahes töötlemine kujutab endast märkimisväärset ohtu andmesubjektide põhiõigustele ja -vabadustele (vt selle kohta 4. juuli 2023. aasta kohtuotsus Meta Platforms jt (suhtlusvõrgustiku kasutamise tüüptingimused), C‑252/21, EU:C:2023:537, punktid 69 ja 70).

Sellest järeldub, et juhul, kui veebiplatvormi kasutaja edastab isikuandmeid, tellides ravimeid, mida tohib müüa ainult apteekides, ilma et see toimuks retsepti alusel, tuleb nende andmete töötlemist apteegipidaja poolt, kes müüb neid ravimeid selle veebiplatvormi kaudu, pidada terviseandmete töötlemiseks direktiivi 95/46 artikli 8 lõike 1 ja isikuandmete kaitse üldmääruse artikli 9 lõike 1 tähenduses, kuna sellisest andmetöötlusest võib ilmneda teavet füüsilise isiku tervisliku seisundi kohta, olenemata sellest, kas see teave puudutab seda kasutajat või mis tahes muud isikut, kelle jaoks ta tellimuse esitab (vt selle kohta 4. juuli 2023. aasta kohtuotsus Meta Platforms jt (suhtlusvõrgustiku kasutamise tüüptingimused), C‑252/21, EU:C:2023:537, punkt 73).

Nende sätete tõlgendamine nii, et tehakse vahet vastavalt asjaomaste ravimite liigile ja sellele, kas nende müük toimub retsepti alusel või mitte, ei oleks nimelt kooskõlas kõrgetasemelise kaitse eesmärgiga, mida on meenutatud käesoleva kohtuotsuse punktis 81. Taoline tõlgendus läheks pealegi vastuollu direktiivi 95/46 artikli 8 lõike 1 ja isikuandmete kaitse üldmääruse artikli 9 lõike 1 eesmärgiga, milleks on tugevama kaitse tagamine sellise töötlemise eest, mis nende andmete erilise tundlikkuse tõttu võib – nagu nähtub nimelt isikuandmete kaitse määruse põhjendusest 51 – kujutada endast eriti rasket sekkumist eraelu puutumatuse ja isikuandmete kaitse põhiõigustesse, mis on tagatud harta artiklitega 7 ja 8 (1. augusti 2022. aasta kohtuotsus Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, punkt 126 ja seal viidatud kohtupraktika).

Järelikult on teave, mida apteegipidaja kliendid sisestavad nende ravimite veebist tellimisel, mida tohib müüa ainult apteekides, ilma et see toimuks retsepti alusel, terviseandmed direktiivi 95/46 artikli 8 lõike 1 ja isikuandmete kaitse üldmääruse artikli 9 lõike 1 tähenduses, isegi kui need ravimid on ainult teatava tõenäosusega, mitte absoluutse kindlusega mõeldud nendele klientidele.

Pealegi ei saa välistada, et isegi juhul, kui sellised ravimid on mõeldud teistele isikutele kui need kliendid, on võimalik neid isikuid tuvastada ja teha järeldusi nende tervisliku seisundi kohta. Nii võib see olla näiteks juhul, kui kõnealuseid ravimeid ei tarnitud mitte neid tellinud kliendi, vaid teise isiku elukohta, või kui olenemata tarneaadressist on klient oma tellimuses või seda puudutavas suhtluses viidanud mõnele teisele tuvastatavale isikule, näiteks oma pereliikmele. Samuti, kui tellimus nõuab kliendi tuvastamist ja/või registreerimist, näiteks kliendikonto loomise või lojaalsusprogrammiga liitumise teel, ei ole välistatud, et selles kontekstis kliendi poolt sisestatud teavet võib kasutada mitte ainult kliendi, vaid ka mõne teise isiku tervisliku seisundi kohta järelduste tegemiseks, eelkõige koos tellitud ravimeid puudutava teabega.

Lõpuks, nagu on meenutatud käesoleva kohtuotsuse punktis 86, ei takista asjaolu, et selline teave, nagu on kõne all põhikohtuasjas, on terviseandmed direktiivi 95/46 artikli 8 lõike 1 ja isikuandmete kaitse üldmääruse artikli 9 lõike 1 tähenduses, seda teavet töödelda, eelkõige tervishoiuteenuste ja -süsteemide haldamise kontekstis, kui üks nende sätete lõikes 2 sätestatud tingimustest on täidetud, nagu nähtub eelkõige selle määruse põhjendusest 53.

Eelkõige võib see ühelt poolt olla nii juhul, kui andmesubjekt annab vastavalt selle lõike 2 punktile a ja seal sätestatud erandit arvestades selgesõnalise nõusoleku nende isikuandmete ühel või mitmel korral töötlemiseks, mille konkreetsed tunnused ja eesmärgid on talle esitatud täpsel, täielikul ja kergesti arusaadaval viisil. Teiselt poolt võib selline töötlemine olla lubatav isikuandmete kaitse üldmääruse artikli 9 lõike 2 punkti h alusel, kui see on vajalik ravi võimaldamiseks, tuginedes liidu või liikmesriigi õigusele või tervishoiutöötajaga sõlmitud lepingule.

Eeltoodut arvestades tuleb teisele küsimusele vastata, et direktiivi 95/46 artikli 8 lõiget 1 ja isikuandmete kaitse üldmääruse artikli 9 lõiget 1 tuleb tõlgendada nii, et olukorras, kus apteegipidaja turustab veebiplatvormi kaudu ravimeid, mida tohib müüa ainult apteekides, on teave, mille selle apteegipidaja kliendid sisestavad veebis ravimite tellimisel – nagu nende nimi, tarneaadress ja ravimite isikustamiseks vajalikud andmed –, terviseandmed nende sätete tähenduses, isegi kui nende müük ei toimu retsepti alusel.

Kohtukulud

95	Kuna põhikohtuasja poolte jaoks on käesolev menetlus eelotsusetaotluse esitanud kohtus pooleli oleva asja üks staadium, otsustab kohtukulude jaotuse liikmesriigi kohus. Euroopa Kohtule seisukohtade esitamisega seotud kulusid, välja arvatud poolte kohtukulud, ei hüvitata.

Esitatud põhjendustest lähtudes Euroopa Kohus (suurkoda) otsustab:

Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) VIII peatüki sätteid

tuleb tõlgendada nii, et

nendega ei ole vastuolus riigisisesed õigusnormid, mis – lisaks sellele, et need annavad määruse järelevalve ja täitmise eest vastutavatele järelevalveasutustele sekkumisvolitused ning andmesubjektidele õiguskaitsevõimalused – annavad selle määruse rikkumise tõttu konkurentidele õiguse esitada oletatava isikuandmete kaitset kahjustava isiku vastu ebaausate kaubandustavade keelule tuginedes hagi tsiviilkohtusse.

Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiivi 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta artikli 8 lõiget 1 ja määruse 2016/679 artikli 9 lõiget 1

tuleb tõlgendada nii, et

olukorras, kus apteegipidaja turustab veebiplatvormi kaudu ravimeid, mida tohib müüa ainult apteekides, on teave, mille selle apteegipidaja kliendid sisestavad veebis ravimite tellimisel – nagu nende nimi, tarneaadress ja ravimite isikustamiseks vajalikud andmed –, terviseandmed nende sätete tähenduses, isegi kui nende müük ei toimu retsepti alusel.

Allkirjad

( *1 ) Kohtumenetluse keel: saksa.