Ideiglenes változat

MACIEJ SZPUNAR

FŐTANÁCSNOK INDÍTVÁNYA

Az ismertetés napja: 2024. április 25.(1)

C21/23. sz. ügy

ND

kontra

DR

(a Bundesgerichtshof [szövetségi legfelsőbb bíróság, Németország] által benyújtott előzetes döntéshozatal iránti kérelem)

„Előzetes döntéshozatal – A személyes adatok védelme – (EU) 2016/679 rendelet – Jogorvoslati lehetőségek – A jogorvoslati lehetőségek körülhatárolása – A személyes adatok különleges kategóriáinak kezelése – Az »egészségi állapotra vonatkozó adatok« és az »egészségügyi adatok« fogalma”






I.      Bevezetés

1.        A jelen ügy az (EU) 2016/679 rendelet (a továbbiakban: általános adatvédelmi rendelet)(2) több rendelkezésének értelmezésére vonatkozik, egyrészt az említett rendelet által létrehozott jogorvoslati rendszerrel, másrészt pedig a különleges érzékenységű adatok azon kategóriájával kapcsolatban, amelyet az „egészségügyi adatok” alkotnak.

2.        Az előzetes döntéshozatal iránti kérelem egy jogsértés megszüntetésére irányuló eljárás keretébe illeszkedik, amely a tisztességtelen versenyjogi magatartás nemzeti jog szerinti tilalmán alapul, és amelyet egy vállalkozás azzal a céllal indított, hogy véget vessen nem vényköteles gyógyszerek egyik versenytársa által az interneten végzett forgalmazásának. A társaság szerint az állítólagos tisztességtelen versenyjogi magatartást az jelentette, hogy nem tartották be az általános adatvédelmi rendeletből eredő, az „egészségügyi adatok” kezelésére vonatkozó követelményeket.

3.        Elemzésemet az előzetes döntéshozatalra előterjesztett második kérdés vizsgálatával kezdem, amely lehetővé teszi a Bíróság számára, hogy pontosítsa a megerősített védelmi rendszer alkalmazását meghatározó „egészségügyi adatok” fogalmának körvonalait.

4.        Ha a jelen ügyben szóban forgó adatok nem minősülnének az általános adatvédelmi rendelet 9. cikkének (1) bekezdése értelmében vett „egészségügyi adatoknak”, akkor ebből az következne, hogy az állítólagos tisztességtelen versenyjogi magatartás nem valósulna meg. Ekkor tehát nem lenne érdemes választ adni az előzetes döntéshozatalra előterjesztett első kérdésre, amely arra vonatkozik, hogy az általános adatvédelmi rendelet által létrehozott jogorvoslati rendszer lehetővé teszi‑e, hogy a nemzeti jogban fennálljon a tisztességtelen versenyjogi magatartás tilalmára vonatkozó szabályok megsértésén alapuló olyan kereset, amellyel a felperes az általános adatvédelmi rendelet anyagi jogi rendelkezéseinek megsértésére hivatkozik.

II.    Jogi háttér

A.      Az uniós jog

1.      A 95/46/EK irányelv

5.        A 95/46/EK irányelv(3) 8. cikkének (1) bekezdése a következőképpen rendelkezik:

„A tagállamok megtilthatják az olyan személyes adatok feldolgozását [helyesen: kezelését], amelyek a faji vagy etnikai hovatartozásra, a politikai véleményre, a vallási vagy világnézeti meggyőződésre, a szakszervezeti tagságra, az egészségi állapotra vagy a szexuális életre vonatkoznak”.

2.      Az általános adatvédelmi rendelet

6.        Az általános adatvédelmi rendelet (9), (10), (13), (35), (51) és (142) preambulumbekezdése a következőképpen szól:

„(9)      A 95/46/EK irányelv célkitűzései és elvei továbbra is érvényesek, azonban az irányelv nem akadályozta meg sem azt, hogy az Unió tagállamaiban az adatvédelem végrehajtása széttagolt módon valósuljon meg, sem a jogbizonytalanságot, sem pedig azt, hogy széles körben az a benyomás alakuljon ki, hogy természetes személy védelme – különösen az online tevékenységek esetében – jelentős kockázatoknak van kitéve. Az a tény, hogy a személyes adatok kezelése tekintetében a természetes személyek jogai és szabadságai egyes tagállamokban eltérő szintű védelmet élveznek, különösen, ami személyes adatok védelméhez való jogot illeti, a személyes adatok Unióban történő szabad áramlásának útjában állhat. Ebből eredően ezek az eltérések a gazdasági tevékenységek uniós szinten való folytatásának akadályát képezhetik, torzíthatják a versenyt, és hátráltathatják a hatóságokat az uniós jog szerinti feladataik ellátásában. A jogok és szabadságok védelmi szintjében mutatkozó ilyen eltérések a 95/46 irányelv végrehajtásában és alkalmazásában fennálló eltérésekre vezethetők vissza.

(10)      A természetes személyek következetes és magas szintű védelmének biztosítása és a személyes adatok Unión belüli áramlása előtti akadályok elhárítása érdekében a természetes személyeknek az ilyen adatok kezelésével összefüggésben fennálló jogait és szabadságait minden tagállamban azonos szintű védelemben kell részesíteni. A természetes személyeknek a személyes adataik kezeléséhez kapcsolódó alapvető jogai és szabadságai védelmére vonatkozó szabályok következetes és egységes alkalmazását az Unió egész területén biztosítani kell. […]

[…]

(13)      A természetes személyek egységes, uniós‑szintű védelmének biztosítása, valamint a személyes adatok belső piacon való szabad áramlását akadályozó eltérések megelőzése érdekében rendelettel kell biztosítani a jogbiztonságot és az áttekinthetőséget valamennyi tagállam gazdasági szereplői részére – beleértve a mikro‑, kis- és középvállalkozásokat is –, továbbá rendelettel kell biztosítani a természetes személyek részére minden tagállamban azonos szintű, jogi úton érvényesíthető jogokat és kötelezettségeket, az adatkezelők és adatfeldolgozók számára azonos felelősséget, a személyes adatok kezelésének következetes nyomon követését, valamennyi tagállamban azonos szankciók alkalmazását, és a különböző tagállamok felügyeleti hatóságai közötti hatékony együttműködést. […]

[…]

(35)      Az egészségügyi személyes adatok közé tartoznak az érintett egészségi állapotára vonatkozó olyan adatok, amelyek információt hordoznak az érintett múltbeli, jelenlegi vagy jövőbeli testi vagy pszichikai egészségi állapotáról. Ide tartoznak az alábbiak: a természetes személyre vonatkozó olyan személyes adatok, amelyeket az egyénnek a [2011/24/EU irányelvben(4)] említett egészségügyi szolgáltatások céljából történő nyilvántartásba vétel, vagy ilyen szolgáltatások nyújtása során gyűjtöttek, a természetes személy egészségügyi célokból történő egyéni azonosítása érdekében hozzá rendelt szám, jel vagy adat, valamely testrész vagy a testet alkotó anyag – beleértve a genetikai adatokat és a biológiai mintákat is – teszteléséből vagy vizsgálatából származó információk, és bármilyen, például az érintett betegségével, fogyatékosságával, betegségkockázatával, kórtörténetével, klinikai kezelésével vagy fiziológiai vagy orvosbiológiai állapotával kapcsolatos információ, függetlenül annak forrásától, amely lehet például orvos vagy egyéb egészségügyi dolgozó, kórház, orvostechnikai eszköz vagy in vitro diagnosztikai teszt.

[…]

(51)      Az alapvető jogok és szabadságok szempontjából a természetüknél fogva különösen érzékeny személyes adatok egyedi védelmet igényelnek, mivel az alapvető jogokra és szabadságokra nézve a kezelésük körülményei jelentős kockázatot hordozhatnak. […] Az ilyen adatok nem kezelhetők, kivéve, ha az adatkezelés az e rendeletben meghatározott egyedi esetekben megengedett, azt is figyelembe véve, hogy a tagállami jog különös rendelkezéseket állapíthat meg az adatok védelmére vonatkozóan annak érdekében, hogy kiigazítsák az e rendeletben foglalt szabályok alkalmazását valamely jogi kötelezettségnek való megfelelés vagy közérdekből végzett feladat végrehajtása vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása tekintetében. Az ilyen adatkezelésre vonatkozó konkrét előírásokon kívül e rendelet általános elveit és egyéb szabályait kell alkalmazni, különösen a jogszerű adatkezelés feltételei tekintetében. A személyes adatok ilyen különleges kategóriáinak kezelésére vonatkozó általános tilalomtól való eltérésről kifejezetten rendelkezni kell, ideértve, ha az érintett egyértelmű hozzájárulását adja, vagy bizonyos sajátos adatkezelési szükségletekre tekintettel, különösen, ha az adatkezelést jogszerű tevékenységük keretében olyan egyesületek vagy alapítványok végzik, amelyek célja az alapvető szabadságok gyakorlásának lehetővé tétele.

[…]

(142)      Ha az érintett úgy ítéli meg, hogy az ezen rendelet értelmében fennálló jogait megsértették, jogában áll megbízni egy, a személyes adatok védelmével foglalkozó, az alapszabályában rögzített közérdekű célokat szolgáló, a tagállami jognak megfelelően létrehozott nonprofit szervet, szervezetet vagy egyesületet, hogy a nevében eljárva panaszt nyújtson be valamely felügyeleti hatóságnál, gyakorolja a bírósági jogorvoslathoz való jogot, illetve gyakorolja a kártérítéshez való jogot, ha ez utóbbit a tagállami jog biztosítja. A tagállam rendelkezhet arról, hogy az adott tagállamban ilyen szerv, szervezet vagy egyesület jogosult arra, hogy az érintett megbízásától függetlenül ebben a tagállamban panaszt nyújtson be és hatékony bírósági jogorvoslattal élhessen, ha alapos okkal úgy véli, hogy az érintett jogai sérültek annak következtében, hogy személyes adataik kezelése e rendelet megsértésével történt. Ez a szerv, szervezet vagy egyesület nem jogosult, hogy az érintett nevében, annak megbízásától függetlenül kártérítést igényeljen.”

7.        E rendelet „Tárgy” című 1. cikke a következőképpen rendelkezik:

„(1)      Ez a rendelet a természetes személyeknek a személyes adatok kezelése tekintetében történő védelmére és a személyes adatok szabad áramlására vonatkozó szabályokat állapít meg.

(2)      Ez a rendelet a természetes személyek alapvető jogait és szabadságait és különösen a személyes adatok védelméhez való jogukat védi.

(3)      A személyes adatok Unión belüli szabad áramlása nem korlátozható vagy tiltható meg a természetes személyeknek a személyes adatok kezelése tekintetében történő védelmével összefüggő okokból.”

8.        Az említett rendelet 4. cikke a következőképpen rendelkezik:

„E rendelet alkalmazásában:

1)      »személyes adat«: azonosított vagy azonosítható természetes személyre (»érintett«) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható; […]

15)      »egészségügyi adat«: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról;

[…]”

9.        Az említett rendeletnek „A személyes adatok különleges kategóriáinak kezelése” című 9. cikke értelmében:

„(1)      A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése tilos.

(2)      Az (1) bekezdés nem alkalmazandó abban az esetben, ha:

a)      az érintett kifejezett hozzájárulását adta az említett személyes adatok egy vagy több konkrét célból történő kezeléséhez, kivéve, ha az uniós vagy tagállami jog úgy rendelkezik, hogy az (1) bekezdésben említett tilalom nem oldható fel az érintett hozzájárulásával;

[…]

h)      az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása, illetve egészségügyi vagy szociális rendszerek és szolgáltatások irányítása érdekében szükséges, uniós vagy tagállami jog alapján vagy egészségügyi szakemberrel kötött szerződés értelmében, továbbá a (3) bekezdésben említett feltételekre és garanciákra figyelemmel;

[…]”

10.      A 77–84. cikkek az általános adatvédelmi rendelet „Jogorvoslat, felelősség és szankciók” című VIII. fejezetében találhatók.

11.      E rendeletnek „A felügyeleti hatóságnál történő panasztételhez való jog” című 77. cikkének (1) bekezdése a következőképpen rendelkezik:

„Az egyéb közigazgatási vagy bírósági jogorvoslatok sérelme nélkül, minden érintett jogosult arra, hogy panaszt tegyen egy felügyeleti hatóságnál – különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban –, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti e rendeletet.”

12.      Ugyanezen rendeletnek „A felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jog” című 78. cikkének (1) bekezdése kimondja:

„Az egyéb közigazgatási vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül, minden természetes és jogi személy jogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben.”

13.      Az említett rendeletnek „Az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog” című 79. cikkének (1) bekezdése a következőket írja elő:

„A rendelkezésre álló közigazgatási vagy nem bírósági útra tartozó jogorvoslatok – köztük a felügyeleti hatóságnál történő panasztételhez való, 77. cikk szerinti jog – sérelme nélkül, minden érintett hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes adatainak e rendeletnek nem megfelelő kezelése következtében megsértették az e rendelet szerinti jogait.”

14.      Az általános adatvédelmi rendelet „Az érintettek képviselete” című 80. cikke kimondja:

„(1)      Az érintett jogosult arra, hogy panaszának a nevében történő benyújtásával, a 77., 78. és 79. cikkben említett jogoknak a nevében való gyakorlásával, valamint – ha a tagállam joga ezt lehetővé teszi – a 82. cikkben említett kártérítési jognak a nevében történő érvényesítésével olyan nonprofit jellegű szervet, szervezetet vagy egyesületet bízzon meg, amelyet valamely tagállam jogának megfelelően hoztak létre, és amelynek az alapszabályában rögzített céljai a közérdeket szolgálják, és amely az érintettek jogainak és szabadságainak a személyes adataik vonatkozásában biztosított védelme területén tevékenykedik.

(2)      A tagállamok rendelkezhetnek úgy, hogy az adott tagállamban az e cikk (1) bekezdésében említett bármely szerv, szervezet vagy egyesület – az érintettől kapott megbízástól függetlenül – jogosult legyen arra, hogy a 77. cikk alapján eljárni jogosult felügyeleti hatósághoz panaszt nyújtson be, valamint hogy gyakorolja a 78. és 79. cikkben említett jogokat, ha megítélése szerint az érintett személyes adatainak kezelése következtében megsértették az érintett e rendelet szerinti jogait.”

15.      E rendeletnek „A kártérítéshez való jog és a felelősség” című 82. cikke az (1) bekezdésében így rendelkezik:

„Minden olyan személy, aki e rendelet megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért az adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult.”

16.      Ugyanezen rendelet „Szankciók” című 84. cikkének (1) bekezdése kimondja:

„A tagállamok megállapítják az e rendelet megsértése esetén alkalmazandó további szankciókra vonatkozó szabályokat, különösen azon jogsértések tekintetében, amelyek nem tartoznak a 83. cikkben meghatározott, közigazgatási bírságokkal sújtható jogsértések közé, és meghoznak minden szükséges intézkedést ezek végrehajtására. E szankcióknak hatékonynak, arányosnak és visszatartó erejűnek kell lenniük.”

B.      A német jog

1.      A tisztességtelen verseny tilalmáról szóló törvény

17.      A 2004. július 3‑i Gesetz gegen den unlauteren Wettbewerb (a tisztességtelen verseny tilalmáról szóló törvény)(5) alapeljárásra alkalmazandó változatának (a továbbiakban: a tisztességtelen verseny tilalmáról szóló törvény) „A tisztességtelen kereskedelmi magatartások tilalma” című 3. §‑ának (1) bekezdése előírja, hogy „[a] tisztességtelen kereskedelmi gyakorlatok alkalmazása jogellenes”.

18.      E törvény „Jogsértés” című 3a. §‑ának szövege a következő:

„Tisztességtelenül jár el, aki a piaci magatartás gazdasági szereplők érdekében történő szabályozására is irányuló valamely jogszabályt megsért, ha a jogsértés alkalmas arra, hogy érzékelhetően csorbítsa a fogyasztók, a piac egyéb résztvevői vagy a versenytársak érdekeit.”

19.      Az említett törvény „Abbahagyás és eltiltás” című 8. §‑a kimondja:

„(1) Azzal szemben, aki a 3. § vagy 7. § értelmében tiltott kereskedelmi tevékenységet végez, e tevékenység azonnali megszüntetésére kötelezés iránti, ismétlődő jogsértés veszélye esetén pedig tartózkodásra kötelezés iránti kérelemmel lehet fellépni. […]

[…]

(3)      Az (1) bekezdésben említett intézkedések elrendelését kérelmezheti:

[…]

1.      az olyan versenytárs, amely nem elhanyagolható mértékben és nem alkalmi jelleggel értékesít vagy kér árukat vagy szolgáltatásokat,

[…]”

2.      A gyógyszerekről szóló törvény

20.      A gyógyszerek forgalmát a legutóbb a 2022. december 20‑i törvény(6) 8c. §‑ával módosított, 1976. augusztus 24‑i Arzneimittelgesetz (a gyógyszerekről szóló törvény) 2005. december 12‑én közzétett változata(7) szabályozza. E törvény különbséget tesz a gyógyszertárban árusított, a 43. és 47. §‑ban (amelynek címe „Gyógyszertári forgalmazási kötelezettség”) hivatkozott gyógyszerek, illetve a rendelvényre árusított gyógyszerek között, amelyekre a törvény „Vénykötelezettség” című 48. §‑a vonatkozik.

III. Az alapeljárás tényállása, az eljárás és az előzetes döntéshozatalra előterjesztett kérdés

21.      ND és DR gyógyszertárat üzemeltetnek. Az alapeljárás felperese, ND ezenkívül csomagküldő vállalkozás útján történő értékesítésre vonatkozó engedéllyel is rendelkezik, és termékeit – köztük olyan gyógyszereket is, amelyek kizárólag gyógyszertárban forgalmazhatók – az Amazon Marketplace (a továbbiakban: Amazon), vagyis egy olyan elektronikus kereskedelmi platform útján is forgalmazza, amelyen az eladók közvetlenül a fogyasztók számára kínálhatják eladásra áruikat.

22.      Az alapeljárás alperese, DR jogsértés megszüntetése iránti keresetet indított annak érdekében, hogy tiltsák meg ND számára az Amazon online értékesítési platformján az olyan gyógyszerek forgalmazását, amelyek kizárólag gyógyszertárban forgalmazhatók. DR szerint az ilyen forgalmazás tisztességtelen kereskedelmi magatartásnak minősül, mivel az ND részéről a tisztességtelen versenyről szóló törvény 3a. §‑a értelmében vett jogszabályi rendelkezés, vagyis többek között az általános adatvédelmi rendelet 9. cikkének megsértését eredményezi, amely az ügyfél személyes egészségügyi adatainak kezeléséhez való előzetes és kifejezett hozzájárulására vonatkozik.

23.      A Landgericht Dessau‑Roßlau (Dessau‑Roßlau‑i regionális bíróság, Németország) helyt adott e keresetnek. Az Oberlandesgericht Naumburg (naumburgi regionális felsőbíróság, Németország) ezt követően elutasította az ND által benyújtott fellebbezést, megállapítva, hogy a tisztességtelen versenyről szóló nemzeti törvénnyel ellentétes az olyan gyógyszereknek az utóbbi által az Amazonon történő forgalmazása, amelyek kizárólag gyógyszertárban forgalmazhatók. E bíróság szerint ugyanis e forgalmazás az általános adatvédelmi rendelet 9. cikkének (1) bekezdése értelmében vett olyan egészségügyi adatkezelésnek minősül, amelyhez az ügyfelek nem járultak hozzá kifejezetten. Márpedig az általános adatvédelmi rendelet rendelkezéseit a nemzeti versenyjog értelmében vett piaci magatartásra vonatkozó szabályoknak kell tekinteni, így DR versenytársként jogosult a jogsértés megszüntetésére irányuló, a nemzeti versenyjogon alapuló keresetet indítani arra hivatkozva, hogy ND megsértette e rendelet rendelkezéseit.

24.      ND felülvizsgálati kérelmet nyújtott be a kérdést előterjesztő bírósághoz, a Bundesgerichtshofhoz (szövetségi legfelsőbb bíróság, Németország), amelyben fenntartja a megszüntetésre kötelezés iránti kereset elutasítására irányuló kérelmeit.

25.      A kérdést előterjesztő bíróság szerint a felülvizsgálati kérelem elbírálása az általános adatvédelmi rendelet VIII. fejezetének és 9. cikkének, valamint a 95/46 irányelv 8. cikke (1) bekezdésének értelmezésétől függ.

26.      Egyrészt ugyanis e bíróság hangsúlyozza, hogy meg kell határozni, hogy az alapeljárás felperese versenytársként rendelkezik‑e az ahhoz szükséges kereshetőségi joggal, hogy polgári bíróságok előtt az általános adatvédelmi rendelet megsértése miatt a tisztességtelen kereskedelmi gyakorlatok tilalma alapján e jogsértések elkövetőjével szemben keresetet indíthasson. A kérdést előterjesztő bíróság pontosítja, hogy olyan vitatott kérdésről van szó, amelyre azt a választ lehet adni, hogy az általános adatvédelmi rendeletben foglalt, a rendelkezéseinek végrehajtására irányuló szabályok kimerítő jellegűek, így a versenytársak versenyjog alapján fennálló kereshetőségi joga kizárt. Ugyanakkor azzal is lehet érvelni, hogy az általános adatvédelmi rendelet jogalkalmazás ellenőrzésére irányuló rendelkezései nem kimerítőek, ezért a versenytársak rendelkeznek a szükséges jogosultsággal arra, hogy e rendelet megsértésére hivatkozva jogorvoslat útján érvényesítsék a jogsértés megszüntetésére vonatkozó jogokat.

27.      Másrészt a kérdést előterjesztő bíróság előadja, hogy meg kell határozni, hogy azok az adatok, amelyeket az ügyfeleknek a kizárólag gyógyszerészek által forgalmazható, de nem vényköteles gyógyszerek online megrendelésekor meg kell adniuk, az általános adatvédelmi rendelet 9. cikkének (1) bekezdése és korábban a 95/46 irányelv 8. cikkének (1) bekezdése értelmében vett egészségügyi adatoknak minősülnek‑e, mivel a megszüntetéshez való jog csak akkor áll fenn, ha ND magatartása mind tanúsításának időpontjában, mind pedig a felülvizsgálati tárgyalás időpontjában jogellenes volt.

28.      E körülmények között a Bundesgerichtshof (szövetségi legfelsőbb bíróság, Németország) úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:

„1)      Ellentétes‑e az általános adatvédelmi rendelet VIII. fejezetének rendelkezéseivel az a nemzeti szabályozás, amely – a rendelet végrehajtására és a végrehajtás nyomon követésére hivatott felügyeleti hatóságok beavatkozási jogkörén és az érintettek jogvédelmi lehetőségein túlmenően – a versenytársakat feljogosítja arra, hogy a tisztességtelen kereskedelmi gyakorlatok tilalmára hivatkozva az általános adatvédelmi rendelet megsértése miatt polgári peres úton lépjenek fel a jogsértővel szemben?

2)      Az általános adatvédelmi rendelet 9. cikkének (1) bekezdése szerinti egészségügyi adatnak minősülnek‑e, illetve az adatvédelmi irányelv 8. cikkének (1) bekezdése szerinti, az egészségi állapotra vonatkozó adatnak minősülnek‑e azok az adatok, amelyeket az internetes értékesítési platformon eladóként fellépő gyógyszerész vevői a kizárólag gyógyszertárban forgalmazható, de nem vényköteles gyógyszerek rendelésekor az értékesítési platformon megadnak (a vevő neve, szállítási címe és a megrendelt, kizárólag gyógyszertárban forgalmazható gyógyszer személyre szabásához szükséges információk)?”

29.      A jelen előzetes döntéshozatal iránti kérelem 2023. január 19‑én érkezett a Bírósághoz. Az alapeljárásban részt vevő felek, a német kormány és az Európai Bizottság terjesztett elő írásbeli észrevételeket. Ugyanezen felek képviseltették magukat a 2024. január 9‑én tartott tárgyaláson.

IV.    Elemzés

30.      A jelen ügyben DR arra hivatkozik, hogy ND megsértette az általános adatvédelmi rendelet 9. cikkét azáltal, hogy a nem vényköteles gyógyszereket online megrendelő ügyfelek adatait anélkül kezelte, hogy megfelelt volna az ügyfelek ezen adatok kezeléséhez való kifejezett hozzájárulásának beszerzésére vonatkozó követelményeknek.

31.      Előzetes döntéshozatalra előterjesztett első kérdésével a kérdést előterjesztő bíróság lényegében arra vár választ, hogy az általános adatvédelmi rendelet VIII. fejezetének rendelkezéseit úgy kell‑e értelmezni, hogy azokkal ellentétesek az olyan nemzeti szabályok, amelyek elismerik a vállalkozások azon jogát, hogy a tisztességtelen versenyjogi magatartás tilalma alapján az általános adatvédelmi rendelet anyagi jogi rendelkezéseinek versenytársaik általi állítólagos megsértésére hivatkozzanak. Előzetes döntéshozatalra irányuló második kérdésében e bíróság azt kérdezi a Bíróságtól, hogy az általános adatvédelmi rendelet 9. cikkét úgy kell‑e értelmezni, hogy a szóban forgó adatok egészségügyi adatoknak minősülnek, ezért az e rendelkezésben hivatkozott különleges adatkategóriákba tartoznak.(8)

32.      Először is, amint azt már hangsúlyoztam, megjegyzem, hogy a második kérdésre adandó nemleges válasz esetén az első kérdésre nem kell válaszolni, mivel a Bíróság válasza elegendő lenne ahhoz, hogy a kérdést előterjesztő bíróság eldönthesse az előtte folyamatban lévő jogvitát. Ilyen körülmények között célszerűnek tűnik számomra az előzetes döntéshozatalra előterjesztett kérdésekre vonatkozó elemzésemet e második kérdéssel kezdeni.

A.      Az előzetes döntéshozatalra előterjesztett második kérdésről

33.      Az előzetes döntéshozatalra irányuló második kérdésével a kérdést előterjesztő bíróság lényegében azt kérdezi, hogy a gyógyszerész vásárlóinak a gyógyszertári értékesítésre fenntartott, de nem vényköteles gyógyszerek online értékesítési platformon történő rendelése során továbbított adatai az általános adatvédelmi rendelet 9. cikkének (1) bekezdése értelmében vett „egészségügyi adatoknak” minősülnek‑e.

34.      Először is pontosítani kell, hogy az „egészségügyi adatoknak” az általános adatvédelmi rendelet 9. cikkének (1) bekezdésében szereplő fogalmát e rendelet 4. cikkének 15. pontja határozza meg. Az előzetes döntéshozatalra előterjesztett második kérdésre adandó válasz tehát e két rendelkezés együttes értelmezését feltételezi.

1.      Az „egészségügyi adatok” fogalmának a fennálló ítélkezési gyakorlat fényében történő értelmezéséről

35.       Az általános adatvédelmi rendelet 4. cikkének 15. pontja értelmében „egészségügyi adat” egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról.

36.      Amint arra a Bíróság az ítélkezési gyakorlatában rámutat, ezt a meghatározást az általános adatvédelmi rendelet (35) preambulumbekezdése is alátámasztja, amely szerint „az egészségügyi személyes adatok közé tartoznak az érintett egészségi állapotára vonatkozó olyan adatok, amelyek információt »hordoznak« az érintett múltbeli, jelenlegi vagy jövőbeli testi vagy pszichikai egészségi állapotáról”.(9)

37.      Az általános adatvédelmi rendelet 4. cikke 15. pontjának az általános adatvédelmi rendelet (35) preambulumbekezdésében pontosított szövegéből tehát kitűnik, hogy annak megállapítása szempontjából, hogy bizonyos személyes adatok egészségügyi adatoknak minősülnek‑e, az a meghatározó tényező, hogy a szóban forgó adatok alapján lehetséges az érintett egészségi állapotára vonatkozó következtetések levonása. Másként fogalmazva, az „egészségügyi adatok” nem korlátozódnak az egészségügyi problémákkal közvetlenül kapcsolatos egészségügyi adatokra, hanem magukban foglalnak minden olyan adatot is, amely lehetővé teszi az érintett egészségi állapotára vonatkozó következtetések levonását, legyen szó akár kórállapotról, akár élettani állapotról.

38.      Ez az általános adatvédelmi rendelet 9. cikkében kitűzött cél fényében megerősítést nyer. A Bíróság így az ítélkezési gyakorlatában hangsúlyozta, hogy e rendelkezés célja fokozott védelem biztosítása az olyan adatkezelésekkel szemben, amelyek – amint az az általános adatvédelmi rendelet (51) preambulumbekezdéséből következik – a tárgyukat képező különleges adatok különösen érzékeny jellege folytán különösen súlyos beavatkozást jelenthetnek a magánélet tiszteletben tartásához és a személyes adatok védelméhez való, az Európai Unió Alapjogi Chartája 7. és 8. cikkében biztosított alapvető jogokba.(10)

39.      Az egészségügyi adatok különösen érzékeny jellegét ugyanis az magyarázza, hogy azok olyan információkra vonatkoznak, amelyek az emberek legintimebb szférájába tartoznak, és megmutathatják sebezhetőségüket. Ezt a különösen érzékeny jelleget, és következésképpen védelmük különleges szükségességét nemcsak az uniós jog ismeri el, hanem az Emberi Jogok Európai Bíróságának ítélkezési gyakorlata is, amely hangsúlyozza, hogy „az egészségügyi információk bizalmas jellegének tiszteletben tartása az [emberi jogok és alapvető szabadságok védelméről szóló, 1950. november 4‑én Rómában aláírt] egyezmény valamennyi szerződő fele jogrendszerének egyik alapvető elve”.(11)

40.      E célkitűzés fényében tehát a Bíróság ítélkezési gyakorlata szerint tágan kell értelmezni a „személyes adatok különleges kategóriáinak” fogalmát, amelybe az egészségügyi adatok tartoznak, oly módon, hogy azok nemcsak a jellegüknél fogva különleges adatokra vonatkoznak, hanem azokra az adatokra is, amelyek közvetve, következtetés levonása vagy információk összevetése útján lehetővé teszik ilyen adatok felfedését.(12)

41.      E tekintetben megjegyzem, hogy az általános adatvédelmi rendelet 68. és azt követő cikkeivel létrehozott Európai Adatvédelmi Testület szintén az „egészségügyi adatok” fogalmának ilyen felfogását fogadja el, hangsúlyozva, hogy nemcsak az információ jellege határozza meg az „egészségügyi adatként” való minősítését, hanem gyűjtésének és kezelésének körülményei is, és e tekintetben különböző példákat hoz fel. Véleménye szerint „egészségügyi adatoknak” minősülnek tehát az egészségügyi dokumentációban szereplő információk, azok az információk, amelyek a más adatokkal való összekapcsolásuk folytán az egészségi állapotot mutatják, vagy azok az adatok, amelyek egy sajátos összefüggésben történő felhasználásuk miatt egészségügyi adatokká válnak, mint például az utazással kapcsolatos információk, amelyeket az egészségügyi szakember diagnózis megállapítása érdekében kezelt.(13) Ezzel szemben nem minősülnek „egészségügyi adatoknak” az olyan alkalmazás révén gyűjtött adatok, amely lehetővé teszi az érintett személy által megtett lépések számának mérését, amennyiben ez az alkalmazás nem kapcsolhatja össze ezen adatokat e személy más adataival, és amennyiben a gyűjtött adatokat nem egészségügyi összefüggésben kezelik.(14)

42.      Az általános adatvédelmi rendelet ítélkezési gyakorlatban értelmezett 4. cikkének 15. pontjából és 9. cikkéből tehát egyértelműen kitűnik, hogy az e rendelkezések értelmében vett „egészségügyi adatoknak” kell tekinteni azokat az adatokat, amelyek lehetővé teszik az érintett egészségi állapotára vonatkozó következtetések levonását.

43.      Megjegyzem tehát, hogy első ránézésre nem tagadható, hogy a vény nélkül kiváltható gyógyszerek online megrendelése olyan adatok kezelését feltételezi, amelyekből bizonyos, az egészségre vonatkozó információk vezethetők le, vagy legalábbis az arra utaló jeleket szolgáltat, mivel ez a megrendelés kapcsolatot foglal magában egy fogalmilag az egészséggel kapcsolatos gyógyszer vásárlása és vevőjének személye között. Véleményem szerint azonban, a következőkben kifejtendő indokok alapján, a kérdést előterjesztő bíróság által a Bíróságnak megküldött információkból kitűnik, hogy ez a kapcsolat túl gyenge, az ebből levezethető jelzések pedig túlságosan pontatlanok vagy hipotetikusak ahhoz, hogy a szóban forgó adatok az általános adatvédelmi rendelet 4. cikkének 15. pontja és 9. cikke értelmében vett „egészségügyi adatoknak” minősüljenek.

2.      Az érintett személy egészségi állapotára vonatkozóan levonható következtetésekre vonatkozó bizonyos fokú bizonyosság követelményéről

44.      Pontosításokat kell tennem különösen az „egészségügyi adatok” és általában a „különleges adatkategória” fogalmának ezen értelmezését illetően.

45.      Egyrészt számomra úgy tűnik, hogy ezen értelmezési szempontok alapján az online megrendelt termék úgy tekinthető, mint amely alkalmas arra, hogy felfedje a valamely személy egészségi állapotára, de – amint az az általános adatvédelmi rendelet 9. cikkéből kitűnik – valamely személy faji vagy etnikai származására, politikai véleményére, vallási vagy világnézeti meggyőződésére vagy szexuális irányultságára vonatkozó általános információkat is. Véleményem szerint az érintett személyre vonatkozó e különböző tényezőkre vonatkozó bizonyos információk levezethetők az online megrendelt árukból.

46.      Több példa is lehetővé teszi állításaim alátámasztását. Egy politikai személyiség könyvének megrendelése potenciálisan jelezheti az általa képviselt elgondolásokhoz csatlakozást, a ruházati cikk megrendelése az egyén vallási meggyőződésének jele lehet, vagy az erotikus anyagok megrendelése az egyén szexuális irányultságára utaló jel lehet. Hacsak az online kereskedelmi adatok kezelésének jelentős részét nem vonjuk az általános adatvédelmi rendelet 9. cikkének (2) bekezdésében előírt szabályozás alá, úgy tűnik számomra, hogy tovább kell finomítani az „egészségügyi adatok” fogalmának olyan értelmezését, amely szerint a megrendelésre vonatkozó adatokból levonható következtetéseknek nem csupán potenciálisnak kell lenniük. Másként fogalmazva, véleményem szerint a szóban forgó adatok által az érintett személy egészségi állapotára vonatkozóan feltárt információk nem lehetnek puszta feltételezések, hanem azoknak bizonyos fokú bizonyosságot kell mutatniuk.

47.      Másrészt úgy vélem, hogy azokon az eseteken kívül, amikor az adatok jellegüknél fogva „egészségügyi adatok”, az egyes ügyek körülményeitől függ az, hogy az adatok ilyennek minősíthetők‑e. Közelebbről úgy tűnik számomra, hogy az ezen adatokból levonható következtetések attól a kontextustól függnek, amelyben azokat összegyűjtik, illetve azok kezelésétől. Amint azt az általános adatvédelmi rendelet 68. és azt követő cikkei által létrehozott Európai Adatvédelmi Testület hangsúlyozza, az orvosi területtől prima facie eltérő adatok, mint például az utazással kapcsolatos információk, mindazonáltal „egészségügyi adatoknak” tekinthetők, amennyiben azokat orvosi összefüggésben elemzik, és más információkkal párosítják annak érdekében, hogy a hivatkozott példa szerint meg lehessen állapítani egy adott régióban található baktérium vagy vírus általi lehetséges fertőzést.

48.      Hangsúlyozom különösen, hogy az adatkezelő személyazonossága e tekintetben különösen releváns tényező. Ha ugyanis az adatokat az egészségügy területén működő szerv kezeli, számomra úgy tűnik, hogy ez arra utalhat, hogy ezek az adatok valóban „egészségügyi adatok”. Ezzel szemben ugyanezek az adatok eltérően minősíthetők amiatt, hogy azokat nem egészségügyi intézmény kezeli, és nem kapcsolhatók össze az érintett más adataival. Másként fogalmazva, ugyanez az adat több információt fedhet fel valamely személy egészségi állapotáról, ha azt olyan egészségügyi intézmény kezeli, amely hatáskörrel rendelkezik azok vagy a személyre vonatkozó egyéb adatok értelmezésére, mint ha az adatot ezen az ágazaton kívüli szerv kezeli.

49.      E körülmények között úgy vélem, hogy a kérdést előterjesztő bíróságnak meg kell vizsgálnia mind a szóban forgó adatok lényegét, mind pedig az azok kezelését övező körülmények összességét annak meghatározása érdekében, hogy azokból bizonyos fokú bizonyossággal levezethetők‑e az érintett egészségi állapotára vonatkozó információk.

50.      A kérdést előterjesztő bíróság határozatában szereplő elemekre tekintettel azonban úgy tűnik számomra, hogy lehetséges olyan pontosításokat tenni, amelyek célja, hogy iránymutatást adjanak e bíróság számára az alapeljárásban történő határozathozatalt illetően.(15)

3.      Az érintett egészségi állapotára vonatkozó információkra következtetés lehetősége kérdést előterjesztő bíróság általi vizsgálatának szempontjából releváns körülményekről

51.      Először is, ami a megrendelt termékeket illeti, hangsúlyozom, hogy a szóban forgó gyógyszerek, vagyis a vény nélkül kiváltható gyógyszerek főszabály szerint nem egy adott állapot kezelésére irányulnak, hanem általánosabban a mindennapi élet olyan betegségeinek kezelésére használhatók, amelyek bárkit érinthetnek, és amelyek nem valamely konkrét betegség vagy egészségi állapot tüneteit mutatják. Ezenkívül ezeket a gyógyszereket gyakran megelőző jelleggel is vásárolják, hogy szükség esetén rendelkezésre álljanak vagy például a szokásos tartózkodási hely elhagyása előtt. Szemléltetésképpen, a paracetamol megrendelése semmilyen következtetést nem tesz lehetővé valamely személy pontos állapotára nézve, mivel ezt a molekulát sokféle fájdalom és lázas állapot kezelése során használják, és gyakran részét képezi azoknak a gyógyszereknek, amelyeket az egyének otthonukban tartanak, minden különösebb igény nélkül.

52.      Másodszor, amint arra ND rámutat, az a tény, hogy valaki vény nélkül kapható gyógyszert rendel online, nem jelenti szükségképpen azt, hogy ez a személy, akinek adatait kezelik, lesz annak felhasználója, nem pedig az otthonában vagy az ismeretségi körében található más személy. Egyrészt ugyanis gyakori, hogy egy online értékesítési oldalon olyan személy végez megrendelést, aki ezen az oldalon fiókkal rendelkezik, olyan személy nevében és javára aki nem rendelkezik ilyen fiókkal. Az azon személyt név szerint megjelölő vény hiányában, akinek a gyógyszert szánják, és amelynek értelmében vélelmezni kell, hogy a gyógyszer felhasználója és a vevő ugyanaz a személy, egy szabadon hozzáférhető termék online megrendeléséből nem lehet arra következtetni, hogy e terméket a vevő és kizárólag csak a vevő használja. Ebből következik, hogy ezen adatokból nem vonható le észszerűen semmilyen következtetés azon személy egészségi állapotára vonatkozóan, akinek az adatait kezelik, oly módon, hogy azokat „egészségügyi adatoknak” lehessen minősíteni.

53.      Ez annál is inkább így van, mivel harmadszor, a kérdést előterjesztő bíróság által elvégzendő vizsgálatok függvényében valamely személy a személyazonosságára vonatkozó pontos adatok szolgáltatása nélkül is eszközölhet internetes megrendelést, különösen akkor, ha a terméket nem az érintett személy címére, hanem kézbesítési ponton keresztül szállítják, és a számlázás céljából semmilyen más személyazonosító adat nem szükséges.

54.      Ezért úgy vélem, hogy az előzetes döntéshozatalra előterjesztett második kérdésre azt a választ kell adni, hogy a gyógyszerész vásárlóinak a gyógyszertári értékesítésre fenntartott, de nem vényköteles gyógyszerek online értékesítési platformon történő rendelése során továbbított adatai nem minősülnek az általános adatvédelmi rendelet 4. cikkének 15. pontja és 9. cikke értelmében vett „egészségügyi adatoknak”, amennyiben ezekből csak hipotetikus vagy pontatlan következtetések vonhatók le az online rendelést leadó személy egészségi állapotára vonatkozóan, aminek vizsgálata a kérdést előterjesztő bíróság feladata.

55.      Egyebekben pontosítani kell továbbá, hogy véleményem szerint az „egészségügyi adatok” fogalmának olyan értelmezése, hogy az magában foglalja a gyógyszertári értékesítésre fenntartott, de nem vényköteles gyógyszerek online értékesítési platformon történő rendelése során továbbított adatokat is, paradox módon több különleges adat felfedéséhez vezethet az általános adatvédelmi rendelet 9. cikkének (2) bekezdésében előírt fokozott védelmi rendszer miatt. A már érzékenyként azonosított adatok kezeléséhez való kifejezett hozzájárulás kérése ugyanis végső soron arra ösztönözheti a vásárlót, hogy felfedje a termék végső felhasználójának kilétét. Ebben a helyzetben bizonyosabb következtetéseket lehetne levonni e személy egészségi állapotát illetően.

B.      Az előzetes döntéshozatalra előterjesztett első kérdésről

56.      Az előzetes döntéshozatalra előterjesztett második kérdésre általam javasolt válaszra tekintettel véleményem szerint az előzetes döntéshozatalra előterjesztett első kérdést nem kell megválaszolni. A teljesség kedvéért és a nemzeti bíróság által elvégzendő értékelés fényében azonban elemezni fogom ezt a kérdést, amellyel a nemzeti bíróság lényegében azt kívánja megtudni, hogy az általános adatvédelmi rendelet VIII. fejezetének rendelkezéseit úgy kell‑e értelmezni, hogy azokkal ellentétes az olyan nemzeti szabályozás, amely elismeri a vállalkozások azon jogát, hogy a tisztességtelen versenyjogi magatartás tilalma alapján hivatkozzanak e rendelet anyagi jogi rendelkezéseinek a versenytársaik által állítólagosan elkövetett megsértésére.

57.      A felek homlokegyenest ellenkező választ adtak erre a kérdésre. Egyrészt a Bizottság és ND szerint az általános adatvédelmi rendelet VIII. fejezetének rendelkezései által létrehozott, az általános adatvédelmi rendelet célkitűzéseinek fényében értelmezett jogorvoslati rendszert kimerítő rendszerként kell felfogni, amely kizárja a tagállamok azon lehetőségét, hogy a nemzeti jogban alternatív jogorvoslati lehetőségeket írjanak elő.

58.      Másrészt a német kormány szerint az általános adatvédelmi rendelet VIII. fejezetének rendelkezései által létrehozott jogorvoslati rendszert úgy kell felfogni, mint a jogorvoslatok minimális rendszerét, amelyet a tagállamok kiegészíthetnek. Az ilyen rendszer nem kimerítő jellegét az igazolja, hogy az általános adatvédelmi rendeletnek az is a célja, hogy védje a versenyfeltételeket, és megakadályozza azokat a torzulásokat, amelyek az adatvédelem különböző szintjeiből eredhetnek, és a versenytárs azon lehetősége, hogy e rendelet anyagi jogi rendelkezéseinek egy másik versenytárs általi megsértésére hivatkozzon, megerősíti e rendelet működőképességét.

59.      A felek tehát arra a kérdésre vonatkozóan fogalmazták meg észrevételeiket, hogy az általános adatvédelmi rendeletben előírt jogorvoslati rendszert kimerítő harmonizációs rendszerként kell‑e felfogni, ami véleményük szerint meghatározza azt, hogy a tagállamok nemzeti jogukban az e rendelettel létrehozott jogorvoslati lehetőségekhez képest alternatív jogorvoslatokat írhatnak‑e elő.

60.      Bár annak meghatározása, hogy a jogorvoslati rendszer kimerítő‑e vagy sem, lényeges tényező az előzetes döntéshozatalra előterjesztett első kérdésre adandó hasznos válasz szempontjából, az általam kifejtett okok miatt úgy tűnik számomra, hogy az ilyen elemzéshez először is meg kell vizsgálni az általános adatvédelmi rendelet anyagi és eljárási szabályai által biztosított védelemben részesülő személyek azonosításának alapkérdését. Abban az esetben ugyanis, ha az adatkezelő vállalkozásokat az általános adatvédelmi rendelet által biztosított jogok jogosultjainak kell tekinteni, úgy vélem, hogy e rendeletet úgy kell értelmezni, hogy az megköveteli a nemzeti jogtól az e jogok érvényesítésére irányuló jogorvoslatok rendelkezésre állását. Elemzésemet tehát e ponttal kezdem, mielőtt választ adnék arra a kérdésre, hogy az általános adatvédelmi rendelet által létrehozott jogorvoslati rendszert kimerítő rendszerként kell‑e felfogni abban az értelemben, hogy kizárja a nemzeti jogban a vállalkozás számára biztosított azon lehetőséget, hogy a tisztességtelen versenyjogi magatartás tilalma alapján jogsértés megszüntetésére irányuló keresetet indítson valamely versenytárssal szemben arra hivatkozva, hogy ez utóbbi megsértette e rendelet rendelkezéseit.

1.      Az általános adatvédelmi rendelet által biztosított jogok jogosultjainak azonosítása

61.      Mindenekelőtt igyekszem tisztázni, hogy szükség van‑e ilyen azonosításra, majd ezt követően bemutatom, hogy milyen hatással jár az érintettek általános adatvédelmi rendelet által biztosított jogok kizárólagos kedvezményezettjeiként történő azonosítása az előzetes döntéshozatalra előterjesztett első kérdésre adandó választ illetően.

a)      Az általános adatvédelmi rendelet által védett jogok jogosultjai meghatározásának szükségességéről

62.      Az, hogy az előzetes döntéshozatalra előterjesztett kérdés megválaszolásához először az általános adatvédelmi rendelet által védett jogok jogosultjainak azonosítására van szükség, mielőtt az e rendelet által létrehozott jogorvoslati rendszer kimerítő jellegének kérdésével foglalkoznánk, véleményem szerint két okból is indokolt.

1)      A tagállamok azon kötelezettsége, hogy jogorvoslati lehetőséget biztosítsanak az uniós jogból eredő valamely jog érvényesítése érdekében

63.      Megjegyzem, hogy az ítélkezési gyakorlatban nem vitatott, hogy az uniós jog, ugyanúgy, ahogy a magánszemélyek számára kötelezettségeket keletkeztet, arra is szolgál, hogy olyan jogokat keletkeztessen, amelyek az őket megillető jogok összességének részévé válnak,(16) és a Bíróság e tekintetben hangsúlyozza, hogy e jogok többek között a magánszemélyek, a tagállamok és az uniós intézmények számára előírt kötelezettségekből eredően is keletkeznek.(17) A természetes vagy jogi személy számára előírt valamennyi kötelezettség ugyanis főszabály szerint azzal a hatással jár, hogy jogot biztosít valamely másik személy javára.

64.      Ezenkívül nem vitatott, hogy az uniós jog által valamely magánszemélyre ruházott bármely jog olyan kereset létét is maga után vonja, amely éppen e jog érvényesítésére irányul, azzal, hogy az uniós jog erre vonatkozó különös szabályainak hiányában a tagállamok feladata, hogy a belső jogi jogorvoslatok keretében biztosítsák a szóban forgó jogok tiszteletben tartását.(18) Az ítélkezési gyakorlatból ugyanis egyértelműen kitűnik, hogy a nemzeti bíróságok feladata azon jogok védelme, amelyeket az uniós jog rendelkezései a magánszemélyekre ruháznak.(19)

65.      Ha az általános adatvédelmi rendeletet úgy kell értelmezni, ahogyan azt a német kormány állítja, hogy az az érintett személyeken kívül a piaci versenyfeltételeket és így végső soron a vállalkozásokat is védi, akkor e rendeletet úgy kell tekinteni, mint amely az utóbbiakat megillető jogok összességének részévé váló jogokat keletkeztet.(20)

66.      E körülmények között az uniós jog erre vonatkozó kifejezett rendelkezései hiányában a vállalkozásokat az általános adatvédelmi rendelet alapján megillető jogok tiszteletben tartását a tagállamok által előírt jogorvoslatoknak megfelelően kell biztosítani.

67.      Ebből következik, hogy anélkül, hogy szükséges lenne megvizsgálni azt, hogy az általános adatvédelmi rendelet által létrehozott jogorvoslati rendszer kimerítő jellegű‑e, vagy sem, az előzetes döntéshozatalra előterjesztett első kérdésre azt a választ kell adni, hogy e rendelet VIII. fejezetét nem úgy kell értelmezni, hogy azzal nem ellentétes annak lehetősége, hogy a tagállamok előírják annak lehetőségét, hogy valamely versenytárs keresetet indítson egy másik vállalkozással szemben az említett rendelet megsértésére hivatkozva, hanem sokkal inkább úgy, hogy megköveteli, hogy e rendelkezések tiszteletben tartása biztosítható legyen egy vállalkozás által azon versenytárs ellen indított kereset alapján, amely e rendelkezéseknek az utóbbi általi megsértésére hivatkozik.(21)

68.      Az előzetes döntéshozatalra előterjesztett első kérdésre adandó válasz tehát véleményem szerint az általános adatvédelmi rendelet által biztosított jogok jogosultjainak azonosításától függ.

2)      A jogorvoslati rendszer kimerítő jellegének kettős dimenziója

69.      Magának a „jogorvoslati rendszer kimerítő jellegének” a fogalma két különböző dimenziót foglalhat magában, amelyek eltérő elemzést feltételeznek, és szükségessé teszik azon jogok jogosultjainak előzetes azonosítását, amelyek tiszteletben tartását az ilyen rendszer biztosítja.

70.      Az első dimenzió a jogorvoslati rendszer kimerítő jellegére vonatkozik minden más, ugyanezen jog védelmét szolgáló jogorvoslat tekintetében. Másként fogalmazva, az uniós jog részéről a szabályai által a magánszemélyeknek biztosított jogok védelme érdekében előírt jogorvoslatok kimerítő jellegéről van szó. A Bíróság ítélkezési gyakorlatában már állást foglalt az uniós jog által előírt jogorvoslatok kimerítő jellegének a szintén az uniós jog által biztosított jog védelmére gyakorolt hatásáról. Szemléltetésképpen a Bíróság ily módon következetesen kimondta, hogy az uniós jog által kimerítő jelleggel harmonizált felelősségi rendszer ugyanakkor párhuzamosan létezhet a nemzeti jog által előírt, ugyanazon tényeken és alapokon nyugvó alternatív felelősségi rendszerrel, feltéve hogy ez az alternatív rendszer nem sérti a harmonizált rendszert, és nem érinti hátrányosan annak céljait és hatékony érvényesülését.(22) Az uniós jog által előírt jogorvoslati rendszer kimerítő jellege tehát önmagában nem elegendő annak kizárásához, hogy valamely tagállam a nemzeti jogban ugyanezen jogon alapuló alternatív jogorvoslatot írjon elő, feltéve hogy bizonyos feltételeket tiszteletben tartanak.

71.      A „jogorvoslati rendszer kimerítő jellege” uniós jogban előírt fogalmának második dimenziója tágabb, és az uniós jog által biztosított jogokkal közvetlenül nem rendelkező, de a nemzeti jogban előírt jogorvoslat keretében arra hivatkozó személyek által igénybe vett bármely egyéb jogorvoslati lehetőség tekintetében fennálló kimerítő jellegre utal. Az uniós jog által létrehozott jogorvoslati rendszer kimerítő jellegének ilyen felfogása tehát eltérő elemzést igényel.(23)

72.      Az általános adatvédelmi rendelet által előírt jogorvoslati rendszer esetleges kimerítő jellegére vonatkozó releváns elemzés elvégzése érdekében tehát itt is előzetesen meg kell határozni az e rendelet által biztosított jogok jogosultjait, amit az alábbi okfejtésekben fogok tenni.

b)      Az általános adatvédelmi rendelet által védett jogok jogosultjainak azonosításáról

73.      Az általános adatvédelmi rendelet által biztosított védelem személyi hatályát véleményem szerint e rendelet célkitűzései és tartalma alapján kell meghatározni.

74.      Ami mindenekelőtt az általános adatvédelmi rendelet célkitűzéseit illeti, a német kormány e tekintetben arra hivatkozik, hogy e rendelet a természetes személyek magas szintű és koherens védelme biztosításának célkitűzésén kívül az egyenlő versenyfeltételek megteremtésére is irányul.

75.      Kétségtelen, hogy az általános adatvédelmi rendelet (9) preambulumbekezdése hivatkozik arra, hogy a személyes adatok védelméhez való jog védelmének az adatkezelés tekintetében fennálló eltérései torzíthatják a versenyt. Ugyanakkor véleményem szerint ez a pontosítás nem értelmezhető úgy, hogy a szabad és torzulásmentes verseny garanciája képezi az általános adatvédelmi rendelet egyik célkitűzését. Úgy tűnik számomra, hogy az a tény, hogy a vállalkozásokra nézve kötelező normák tekintetében a tagállamok jogszabályai közötti eltérések a verseny torzulásához vezetnek, csupán egyszerű megállapítás, amely nem az általános adatvédelmi rendelet sajátossága. Mivel az anyagi jogi rendelkezések szigorúbb keretek közé szorítják a vállalkozások piaci tevékenységét az egyik tagállamban, mint a másikban, ebből szükségszerűen bizonyos versenyelőny származik az utóbbi tagállamban működő vállalkozások számára az elsőben megállapítottakkal szemben, amelynek orvoslására bármely harmonizációs szabály alkalmas lehet.

76.      Úgy tűnik számomra, hogy ezt az értelmezést megerősíti az általános adatvédelmi rendelet (9) preambulumbekezdésében szereplő, „az ilyen adatok Unióban történő szabad áramlása” biztosításának követelményére való hivatkozás, amelyet a nemzeti jogi keretek eltérései potenciálisan veszélyeztethetnek.

77.      Ezenfelül, amint arra a Bizottság a tárgyaláson rámutatott, az általános adatvédelmi rendelet (9) preambulumbekezdése nem a valamennyi vállalkozás között fennálló versenyre vonatkozik, hanem elsősorban a két különböző tagállam vállalkozásai közötti, eltérő jogi háttérből eredő versenyre. Másként fogalmazva, lényegében arról van szó, hogy egyenlő versenyfeltételeket kell biztosítani a különböző tagállamokban azáltal, hogy a vállalkozásokat harmonizált szabályok alá vonják, még akkor is, ha ezek a szabályok mellékesen hozzájárulnak ahhoz, hogy egyetlen vállalkozás se részesüljön versenyelőnyben az ugyanazon tagállamon belüli más vállalkozásokkal szemben.

78.      Az általános adatvédelmi rendelet tehát véleményem szerint nem a belső piacon belüli szabad és torzulásmentes verseny biztosításának célját szolgálja.

79.      Ezt követően megjegyzem, hogy az általános adatvédelmi rendelet egyetlen anyagi jogi rendelkezése sem irányul a vállalkozások közötti szabad és torzulásmentes verseny biztosítására, és arra, hogy e vállalkozások a rendelet által létrehozott védelem címzettjeivé váljanak. Éppen ellenkezőleg, lényegében arra irányulnak, hogy kötelezettségeket írjanak elő az adatkezelő vállalkozások számára. Bár az igaz – amint azt említettem –, hogy a természetes vagy jogi személy számára előírt minden kötelezettség szükségszerűen azzal a következménnyel jár, hogy jogot biztosítson egy másik személy számára, a szóban forgó jogok kizárólagos kedvezményezettjei azonban nem a vállalkozások, hanem azok a személyek, akiknek az adatait ez utóbbiak kezelik. Az általános adatvédelmi rendelet címe e tekintetben sokatmondó, mivel csak a természetes személyek védelmére utal.

80.      Végül, ami az általános adatvédelmi rendelet VIII. fejezetének eljárási rendelkezéseit illeti, hangsúlyozom, amint arra már utaltam, hogy azok csak az érintettek és az őket képviselő szervezetek számára nyitnak jogorvoslati lehetőséget. Azon személyek e korlátozása, akik az általános adatvédelmi rendelet rendelkezései értelmében a személyes adataik védelmének megsértésére hivatkozva keresetet indíthatnak bíróság előtt, véleményem szerint egyértelműen arra utal, hogy e védelemnek ők az egyedüli címzettjei. Véleményem szerint ugyanis következetlen lenne az általános adatvédelmi rendeletet a versenytársak jogainak védelmét szolgáló eszközzé tenni anélkül, hogy e rendelet bármilyen jogorvoslatot előírna annak érdekében, hogy lehetővé tegye a versenytársak számára, hogy keresetet indítsanak e jogok megsértése miatt, még akkor is, ha az ilyen kereseteket kifejezetten előírják az érintettek jogainak védelme tekintetében.

81.      Ennélfogva úgy vélem, hogy a vállalkozások nem címzettjei az általános adatvédelmi rendeletben előírt védelemnek, mivel e rendelet csak az érintettek számára biztosít jogokat.

c)      Az általános adatvédelmi rendelet kizárólagos érintetteket védő normaként történő értelmezésének hatásáról

82.      Az általános adatvédelmi rendelet azon értelmezése, amely szerint e rendelet rendelkezései nem a vállalkozások, hanem kizárólag az érintettek számára biztosítanak jogokat, több következtetésre vezet.

83.      Először is, amint arra utaltam, ez az értelmezés véleményem szerint kizárja annak megállapítását, hogy az általános adatvédelmi rendelet rendelkezéseinek tiszteletben tartását biztosítani kell egy vállalkozás által egy olyan versenytárs ellen indított kereset keretében, amely e rendelkezéseknek az utóbbi általi megsértésére hivatkozik.

84.      Másodszor, mivel az általános adatvédelmi rendelet által biztosított jogok kedvezményezettjeinek köre kizárólag az érintett személyekre korlátozódik, a Bíróság azon ítélkezési gyakorlata, amely a tagállamok azon lehetőségére vonatkozik, hogy a nemzeti jogban e jogok jogosultjai számára további jogorvoslatokat írjanak elő, azzal a feltétellel, hogy e jogorvoslatok nem sértik a harmonizált jogorvoslati rendszert, és nem érintik hátrányosan annak céljait,(24) álláspontom szerint közvetlenül nem ültethető át a szóban forgó helyzetre. Az érintett ítélkezési gyakorlat azonban – amint azt be fogom mutatni – e helyzet elemzésének alapjául szolgálhat.

85.      A „jogorvoslati rendszer kimerítő jellege” fogalmának ezen értelmezése szerint ugyanis meg kell határozni, hogy az általános adatvédelmi rendelet által létrehozott jogorvoslati rendszert kimerítő rendszerként kell‑e értelmezni abban az értelemben, hogy azzal ellentétes az, hogy az e rendeletben előírtaktól eltérő jogorvoslatok állnak az érintettek rendelkezésére a nemzeti jogban.

86.      Márpedig az alapügyben egy olyan vállalkozás által benyújtott keresetről van szó, amely nem szerepel az általános adatvédelmi rendelet által biztosított jogok jogosultjai közé.

87.      E körülmények között, figyelemmel arra, hogy az általános adatvédelmi rendelet semmilyen jogot nem biztosít a vállalkozások és versenytársaik számára, kizárólag az a kérdés releváns, hogy az általános adatvédelmi rendelet által létrehozott jogorvoslati rendszert kimerítő rendszernek kell‑e tekinteni abban az értelemben, hogy e rendelet azt is kizárja, hogy a vállalkozások a nemzeti jog által előírt jogorvoslatok keretében e rendelkezések megsértésére hivatkozzanak, amit most meg kívánok határozni.

2.      Az általános adatvédelmi rendelet által biztosított jogokkal nem rendelkező személyek által benyújtott, a nemzeti jogon alapuló jogorvoslati lehetőség

88.      Úgy tűnik számomra, hogy kétlépcsős választ kell adni arra a kérdésre, hogy az általános adatvédelmi rendeletben előírt jogorvoslati rendszerre vonatkozó rendelkezésekkel ellentétes‑e az, hogy a vállalkozások a nemzeti jog által előírt jogorvoslatok keretében e rendelet rendelkezéseinek megsértésére hivatkozzanak.

89.      E kérdés megválaszolásához egyrészt meg kell vizsgálni, hogy a vállalkozások hivatkozhatnak‑e az általános adatvédelmi rendelet rendelkezéseire akkor is, ha nem rendelkeznek az e rendelkezések által biztosított jogokkal, másrészt pedig azt, hogy az ilyen keresetek milyen feltételek mellett érintkeznek az e rendelet által előírt jogorvoslati rendszerrel.

90.      Ami először is azt a kérdést illeti, hogy a vállalkozások hivatkozhatnak‑e az általános adatvédelmi rendelet rendelkezéseire, megjegyzem, hogy az alapügyben szereplőhöz hasonló, nemzeti jogon alapuló keresetek esetében az ilyen hivatkozás csak járulékos. Közelebbről a vállalkozás a nemzeti jog, azaz a tisztességtelen versenyjogi magatartás tilalma alapján nyújt be keresetet. A szóban forgó cselekmény tisztességtelen jellege tehát az általános adatvédelmi rendelet megsértéséből ered. Másként fogalmazva, a kereset nem az általános adatvédelmi rendelet rendelkezéseinek megsértésén alapul, hanem járulékosan figyelembe veszi ezt a jogsértést.(25)

91.      Márpedig az ilyen járulékos figyelembevételt a Bíróság – bár eltérő összefüggésben – már elfogadta. A Bíróság ugyanis a Meta Platforms és társai (Közösségi hálózat általános felhasználási feltételei) ítéletben megállapította, hogy „az erőfölényben lévő vállalkozás által végzett olyan adatkezelés, amely ezen erőfölénnyel való visszaélésnek minősülhet, nem felel meg [az általános adatvédelmi rendeletnek]”,(26) és hogy általános jelleggel részét kell képeznie „a személyes adatok védelmére vonatkozó szabályoknak a versenyhatóságok által – az erőfölénnyel való visszaélés vizsgálata során – figyelembe veendő jogi [szabályozásnak]”.(27) Másként fogalmazva, a Bíróság elismeri, hogy megvalósul a versenyjog megsértése az általános adatvédelmi rendelet rendelkezéseinek megsértése miatt.

92.      Bár e megállapítást nem magánszemélyek közötti jogvita keretében tették, hanem egy versenyellenes magatartás nemzeti versenyhatóság általi vizsgálata során, nem látok okot arra, hogy erre az egyetlen esetre korlátozzuk az általános adatvédelmi rendelet rendelkezéseinek megsértése járulékos figyelembevételének lehetőségét.

93.      Egyrészt ugyanis, ami a versenyjogot illeti, amennyiben elfogadjuk az ilyen figyelembevételt a public enforcement terén, számomra szükségesnek tűnik, hogy azt a private enforcement, és így a magánszemélyek közötti olyan jogviták esetében is lehetővé tegyük, amelyek elsődlegesen nem az általános adatvédelmi rendelet által biztosított valamely jog megsértésén alapulnak, különben elfogadnánk, hogy magánszemélyek nem részesülhetnek kártérítésben a versenyjog versenyhatóság által megállapított megsértésével okozott kár után.

94.      Másrészt, amint arra Richard de la Tour főtanácsnok rámutatott, a személyes adatok védelmének „más területeket, különösen a munkajog, a versenyjog vagy a fogyasztóvédelem területét érintő [elágazásai]” lehetnek.(28) Úgy tűnik számomra, hogy az általános adatvédelmi rendelet más területekre gyakorolt e befolyása annak elismeréséhez vezet, hogy figyelembe kell venni e rendelet rendelkezéseit egy olyan kereset keretében, amelynek elsődleges alapját azon kívül eső rendelkezések képezik.

95.      Másodszor, ami a nemzeti jogorvoslatoknak az általános adatvédelmi rendelet rendelkezéseinek járulékos figyelembevételét magában foglaló és az e rendelet által létrehozott jogorvoslati rendszerrel való kölcsönhatásának kérdését illeti, úgy vélem, hogy az ilyen keresetek csak azzal a feltétellel fogadhatók el, hogy azok nem sértik az említett rendelet jogorvoslati rendszerét vagy célkitűzéseinek megvalósítását.

96.      Ezeket a feltételeket az ítélkezési gyakorlat a harmonizált jogorvoslati rendszer kimerítő voltára tekintettel alakította ki az azonos jogon alapuló nemzeti jogorvoslatok tekintetében.(29) Úgy tűnik tehát számomra, hogy azokat a fortiori teljesíteni kell, ha olyan nemzeti szabályokról van szó, amelyek elismerik a vállalkozások azon jogát, hogy nem ugyanazon jog, hanem a nemzeti jog alapján indítsanak keresetet, mindazonáltal az általános adatvédelmi rendelet anyagi jogi rendelkezéseinek egy másik vállalkozás általi állítólagos megsértésére hivatkozva.

97.      Meg kell tehát vizsgálni, hogy a jelen ügyben teljesülnek‑e ezek a feltételek.

98.      Először is, ami azt a kérdést illeti, hogy a valamely vállalkozás által egy versenytárssal szemben az általános adatvédelmi rendelet rendelkezéseinek e versenytárs általi megsértésére hivatkozva indított jogsértés megszüntetése iránti kereset sérti‑e az e rendelet VIII. fejezetében előírt jogorvoslati rendszert, úgy vélem, hogy nem ez a helyzet. E jogorvoslati lehetőségek ugyanis lehetővé teszik az érintettek, illetve az általuk megbízott nonprofit szervek, szervezetek vagy egyesületek számára, hogy panaszt nyújtsanak be a felügyeleti hatósághoz (77. cikk), jogorvoslati kérelmet nyújtsanak be a felügyeleti hatóság határozata ellen (78. cikk), eljárást indítsanak az adatkezelővel vagy adatfeldolgozóval szemben (79. cikk), vagy kártérítésben részesüljenek az adatkezelőtől vagy az adatfeldolgozótól a rendelet megsértéséből eredő károkért (82. cikk).

99.      Másként fogalmazva, amint azt a Bíróság az ítélkezési gyakorlatában hangsúlyozza, az általános adatvédelmi rendelet VIII. fejezete „szabályozza […] azokat a jogorvoslati lehetőségeket, amelyek lehetővé teszik az érintett személy jogainak védelmét, amennyiben a rá vonatkozó személyes adatokat állítólag az említett rendelet rendelkezéseivel ellentétes módon kezelték”; e jogok védelmét „kérheti akár közvetlenül az érintett személy, akár [a] feljogosított, erre vonatkozó megbízással rendelkező vagy éppenséggel nem rendelkező szervezet”.(30)

100. E körülmények között kétségtelen, hogy az a kereset, amelyet valamely vállalkozás a versenytárssal szemben az általános adatvédelmi rendelet e versenytárs általi megsértésére hivatkozva indíthat, végső soron ugyanazon rendelkezés megsértésén alapul, de nem ugyanazt a célt követi, és annak keretében nem ugyanazon felek állnak egymással szemben. Másként fogalmazva, az ilyen, nemzeti jogban előírt jogorvoslatnak nem az a célja, hogy biztosítsa az érintett személyeket megillető jogok tiszteletben tartását.

101. Ebből véleményem szerint az következik, hogy az általános adatvédelmi rendelet által létrehozott jogorvoslati rendszer által az érintett személyek számára biztosított jogorvoslatok fennmaradnak, és azok még abban az esetben is gyakorolhatók, ha egy vállalkozás keresetet nyújt be egy versenytárssal szemben.

102. E tekintetben azt is pontosítani kell, hogy nem látom be, hogy az ilyen keresetek – amint azt a Bizottság állítja – milyen mértékben veszélyeztethetik az általános adatvédelmi rendelet által létrehozott jog alkalmazásának állami felügyeleti rendszerét, mivel e rendelet az ilyen állami rendszer mellett már kifejezetten előírja az érintett számára annak lehetőségét, hogy a bírósági eljárások keretében érvényesítse az általános adatvédelmi rendeleten alapuló jogait.

103. Ezt követően, ami az általános adatvédelmi rendelet által követett célokat illeti, annak (10) preambulumbekezdéséből kitűnik, hogy e rendelet célja többek között mind a természetes személyek magas szintű védelmének, mind pedig a természetes személyek alapvető jogainak és szabadságainak védelmére vonatkozó szabályok következetes és egységes alkalmazásának biztosítása a személyes adatok kezelése tekintetében.

104. Nem hiszem, hogy e célok bármelyikének megvalósítását veszélyeztetné annak lehetősége hogy egy vállalkozás a tisztességtelen versenyjogi magatartás tilalma alapján jogsértés megszüntetésére irányuló keresetet indítson egy versenytárssal szemben arra hivatkozva, hogy ez utóbbi megsértette az általános adatvédelmi rendelet rendelkezéseit. Másodszor, úgy tűnik számomra, hogy az egyéneknek a személyes adataik feldolgozása tekintetében biztosított magas szintű védelmet azáltal érték el, sőt erősítették meg, hogy a vállalkozás versenytársára is kiterjed az a lehetőség, hogy az általános adatvédelmi rendelet anyagi jogi rendelkezéseinek e versenytárs általi megsértésére hivatkozzon. Másrészt e rendelkezéseknek a kizárólag az érintett személyektől eltérő személyek általi szélesebb körű felhívhatósága nem sérti az Unión belüli következetes és egységes védelem céljának megvalósítását. Még ha ugyanis a tagállamok nem is írnak elő ilyen lehetőséget, ebből nem következik az adatvédelem Unión belüli végrehajtásának széttagoltsága, mivel az általános adatvédelmi rendelet anyagi jogi rendelkezései egyformán vonatkoznak valamennyi vállalkozásra, és tiszteletben tartásukat az e rendeletben előírt jogorvoslati lehetőségek biztosítják.

105. Végül, ami az általános adatvédelmi rendelet hatékony érvényesülését illeti, azt korántsem kérdőjelezi meg az a vállalkozás számára biztosított lehetőség, hogy jogsértés megszüntetésére irányuló keresetet indítson valamely versenytárssal szemben az általános adatvédelmi rendelet megsértésére hivatkozva, számomra úgy tűnik, hogy – amint arra emlékeztettem – ezt megerősíti az a tény, hogy e rendelet rendelkezéseinek tiszteletben tartása az e rendelet által létrehozott jogorvoslati rendszerben előírt eljárásoktól eltérő bírósági eljárások keretében is biztosítható.

106. E körülmények között úgy vélem, hogy a vállalkozás által egy versenytárssal szemben az általános adatvédelmi rendelet rendelkezéseinek e versenytárs általi megsértésére hivatkozva indított jogsértés megszüntetése iránti kereset párhuzamosan létezhet az általános adatvédelmi rendelet VIII. fejezetében bevezetett jogorvoslati lehetőségekkel, amennyiben nem sérti őket, és nem érinti hátrányosan e rendelet céljait és hatékony érvényesülését.

107. Ennélfogva azt javaslom, hogy a Bíróság állapítsa meg, hogy az általános adatvédelmi rendelet VIII. fejezetének rendelkezéseivel nem ellentétesek azok a nemzeti szabályok, amelyek elismerik a vállalkozások azon jogát, hogy a tisztességtelen versenyjogi magatartás tilalma alapján e rendelet anyagi jogi rendelkezéseinek a versenytársaik általi állítólagos megsértésére hivatkozzanak.

V.      Végkövetkeztetés

108. A fenti megfontolások összességére tekintettel azt javaslom, hogy a Bíróság a Bundesgerichtshof (szövetségi legfelsőbb bíróság, Németország) által előzetes döntéshozatalra előterjesztett kérdésekre a következő választ adja:

A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet 4. cikkének 15. pontját és 9. cikkének (1) bekezdését

a következőképpen kell értelmezni:

a gyógyszerész vásárlóinak a gyógyszertári értékesítésre fenntartott, de nem vényköteles gyógyszerek online értékesítési platformon történő rendelése során továbbított adatai nem minősülnek „egészségügyi adatoknak”.

1      Eredeti nyelv: francia.

2      A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 2. o.; HL 2021. L 74., 35. o.).

3      A személyes adatok feldolgozása [helyesen: kezelése] vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24‑i európai parlamenti és tanácsi irányelv (HL 1995. L 281., 31. o.; magyar nyelvű különkiadás 13. fejezet, 15. kötet, 355. o.).

4      A határon átnyúló egészségügyi ellátásra vonatkozó betegjogok érvényesítéséről szóló, 2011. március 9‑i európai parlamenti és tanácsi irányelv (HL 2011. L 88., 45. o.).

5      BGB1 2004. I, 1414. o.

6      BGB1 2022. I, 2793. o.

7      BGB1 2005. I, 3394. o.

8      E tekintetben hangsúlyozom, hogy a kérdést előterjesztő bíróság a 95/46 irányelv 8. cikkének (1) bekezdése értelmében vett „egészségi állapotra vonatkozó adatok” fogalmáról is kérdezi a Bíróságot. Mindazonáltal úgy vélem, hogy nem kell különbséget tenni e rendelkezés és az általános adatvédelmi rendelet 9. cikkének (1) bekezdése között, mivel e rendelkezéseket a Bíróság által a jelen ügyben adandó értelmezés szempontjából hasonló tartalmúnak kell tekinteni. Lásd e tekintetben: 2022. augusztus 1‑jei Vyriausioji tarnybinės etikos komisija ítélet (C‑184/20, EU:C:2022:601, 58. pont). Elemzésemben ezért kizárólag az általános adatvédelmi rendelet 9. cikkének (1) bekezdésére hivatkozom, amely elemzés a 95/46 irányelv 8. cikkének (1) bekezdésére is vonatkozik.

9      2022. augusztus 1‑jei Vyriausioji tarnybinės etikos komisija ítélet (C‑184/20, EU:C:2022:601, 124. pont).

10      2022. augusztus 1‑jei Vyriausioji tarnybinės etikos komisija ítélet (C‑184/20, EU:C:2022:601, 126. pont).

11      EJEB, 1997. február 25., Z kontra Finnország (CE:ECHR:1997:0225, 95. pont). Az Emberi Jogok Európai Bírósága hangsúlyozza továbbá, hogy az egészségügyi adatok fokozott védelme „nemcsak a betegek magánéletének védelme, hanem az orvosi testületbe és általában az egészségügyi szolgáltatásokba vetett bizalmuk megőrzése érdekében is alapvető fontosságú”.

12      2022. augusztus 1‑jei Vyriausioji tarnybinės etikos komisija ítélet (C‑184/20, EU:C:2022:601, 123. pont).

13      Az Európai Adatvédelmi Testület 03/2020. számú iránymutatása az egészségügyi adatok tudományos kutatási célú feldolgozásáról a COVID‑19 világjárvánnyal összefüggésben, 5. o.

14      Lásd: Bygrave, L. A. és Tosoni, L., „Article 4(15)”, The EU General Data Protection Regulation (GDPR), a Commentary, Kuner, C., Bygrave, L. A. és Docksey, C., (szerk.), Oxford University Press, 2020, 222. o.

15      2022. február 24‑i Glavna direktsia „Pozharna bezopasnost i zashtita naselenieto” ítélet (C‑262/20, EU:C:2022:117, 71. pont).

16      1991. november 19‑i Francovich és társai ítélet (C‑6/90 és C‑9/90, EU:C:1991:428, 31. pont); 2001. szeptember 20‑i Courage és Crehan ítélet (C‑453/99, EU:C:2001:465, 19. pont).

17      2001. szeptember 20‑i Courage és Crehan ítélet (C‑453/99, EU:C:2001:465, 19. pont).

18      Lásd ezzel kapcsolatban: Van Gerven, W., „Of Rights, Remedies and Procedures”, Common Market Law Review, 37(3) kötet, 2000, 501–536. o.

19      2001. szeptember 20‑i Courage és Crehan ítélet (C‑453/99, EU:C:2001:465, 25. pont).

20      1991. november 19‑i Francovich és társai ítélet (C‑6/90 és C‑9/90, EU:C:1991:428, 31. pont); 2001. szeptember 20‑i Courage és Crehan ítélet (C‑453/99, EU:C:2001:465, 19. pont).

21      Hasonló megoldást fogadott el a Bíróság többek között a gyümölcs‑ és zöldségpiac közös szervezéséről szóló, 1972. május 18‑i 1035/72/EGK tanácsi rendelettel (HL 1972. L 118., 1. o.) kapcsolatban is. Ez kizárólag azon a tényen alapult, hogy e jogszabály célja a tisztességes kereskedelem és a piacok átláthatóságának biztosítása is, így a valamely vállalkozás által valamely versenytárssal szemben azzal a céllal indított polgári jogi kereset, hogy azt az e rendeletben előírt kötelezettségek betartására kényszerítse, megerősíti a közösségi szabályozás működőképességét. Másként fogalmazva, az 1035/72 rendeletet úgy értelmezték, hogy az arra kötelezi a vállalkozásokat, hogy tartsák tiszteletben a közös piacszervezés szabályait annak érdekében, hogy azok tisztességes verseny alapján részesüljenek kereskedelmi kapcsolatokban, és így a velük szemben is előírt kötelezettségekből eredő jogok kedvezményezettjei legyenek. Lásd: 2002. szeptember 17‑i Muñoz és Superior Fruiticola ítélet (C‑253/00, EU:C:2002:497, 29. és 31. pont).

22      2011. december 21‑i Dutrueux ítélet (C‑495/10, EU:C:2011:869, 29. és 30. pont); 2023. március 16‑i Beobank ítélet (C‑351/21, EU:C:2023:215, 38. pont).

23      A jogorvoslati rendszer kimerítő jellegének e kettős dimenziója, amely az uniós jogból eredő jog jogosultjainak azonosításától függ, álláspontom szerint a Bíróság 2021. szeptember 2‑i CRCAM–ítéletében (C‑337/20, EU:C:2021:671) jelenik meg a Bíróság ítélkezési gyakorlatában. Ebben az ítéletben a Bíróság azt vizsgálta, hogy a belső piaci pénzforgalmi szolgáltatásokról és a 97/7/EK, a 2002/65/EK, a 2005/60/EK és a 2006/48/EK irányelv módosításáról és a 97/5/EK irányelv hatályon kívül helyezéséről szóló, 2007. november 13‑i 2007/64/EK európai parlamenti és tanácsi irányelvvel (HL 2007. L 319., 1. o.; helyesbítés: HL 2009. L 187., 5. o.) összeegyeztethető‑e az olyan nemzeti felelősségi rendszer, amely lehetővé teszi, hogy a pénzforgalmi szolgáltatás igénybe vevőjének kezese az irányelvből eredő kötelezettségeinek a pénzforgalmi szolgáltató általi elmulasztása miatt az ilyen szolgáltatónak az általános jog szerinti szerződéses felelősségi rendszer szerinti polgári jogi felelősségére hivatkozzon. A Bíróság elemzését annak megállapításával kezdte, hogy ez az irányelv nem a kezes, hanem kizárólag a pénzforgalmi szolgáltatók és az ilyen szolgáltatások igénybe vevői tekintetében állapít meg jogokat, majd azt vizsgálta, hogy az irányelv által bevezetett felelősségi rendszerrel ellentétes‑e a nemzeti jogon alapuló alternatív rendszer.

24      2011. december 21‑i Dutrueux ítélet (C‑495/10, EU:C:2011:869, 29. és 30. pont); 2023. március 16‑i Beobank ítélet (C‑351/21, EU:C:2023:215, 38. pont).

25      E tekintetben hangsúlyozom, hogy abban az esetben, ha az általános adatvédelmi rendelet valamely rendelkezésének megsértése a belső piacon az üzleti vállalkozások fogyasztókkal szemben folytatott tisztességtelen kereskedelmi gyakorlatairól, valamint a 84/450/EGK tanácsi irányelv, a 97/7/EK, a 98/27/EK és a 2002/65/EK európai parlamenti és tanácsi irányelvek, valamint a 2006/2004/EK európai parlamenti és tanácsi rendelet módosításáról szóló, 2005. május 11‑i 2005/29/EK európai parlamenti és tanácsi irányelv (HL 2005. L 149., 22. o.) értelmében vett tisztességtelen kereskedelmi gyakorlatnak tekinthető, véleményem szerint ezen irányelv valamennyi rendelkezését alkalmazni kell, beleértve azt a követelményt is, hogy a tagállamok az említett irányelv 11. cikke szerint olyan rendelkezéseket állapítsanak meg, amelyek lehetővé teszik a versenytársak számára, hogy keresetet indítsanak az ilyen tisztességtelen kereskedelmi gyakorlatokkal szemben.

26      2023. július 4‑i Meta Platforms és társai (Közösségi hálózat általános felhasználási feltételei) ítélet (C‑252/21, EU:C:2023:537, 43. pont).

27      2023. július 4‑i Meta Platforms és társai (Közösségi hálózat használatának felhasználási általános feltételei) ítélet (C‑252/21, EU:C:2023:537, 51. pont).

28      Richard de la Tour főtanácsnok Meta Platforms Ireland ügyre vonatkozó indítványa (C‑319/20, EU:C:2021:979), 51. pont.

29      2011. december 21‑i Dutrueux ítélet (C‑495/10, EU:C:2011:869, 29. és 30. pont); 2023. március 16‑i Beobank ítélet (C‑351/21, EU:C:2023:215, 38. pont). Lásd még a jelen indítvány 71. pontját.

30      2022. április 28‑i Meta Platforms Ireland ítélet (C‑319/20, EU:C:2022:322, 53. pont).