–

ND vārdā – A. Datta, M. Mogendorf un W. Spoerr, Rechtsanwälte,

–

DR vārdā – M. Bahmann, Rechtsanwalt,

–

Vācijas valdības vārdā – J. Möller un P.‑L. Krüger, pārstāvji,

–

Eiropas Komisijas vārdā – A. Bouchagiar, F. Erlbacher un H. Kranenborg, pārstāvji,

1

Lūgums sniegt prejudiciālu nolēmumu ir par to, kā interpretēt Eiropas Parlamenta un Padomes Regulas (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (OV 2016, L 119, 1. lpp.; turpmāk tekstā – “VDAR”) 9. panta 1. punktu un VIII nodaļas normas, kā arī Eiropas Parlamenta un Padomes Direktīvas 95/46/EK (1995. gada 24. oktobris) par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti (OV 1995, L 281, 31. lpp.) 8. panta 1. punktu.

2

Šis lūgums ir iesniegts saistībā ar tiesvedību starp divām katrai savu aptieku pārvaldošām fiziskām personām ND un DR par to, ka ND kādā tiešsaistes platformā tirgo zāles, kuru tirdzniecība ir atļauta tikai aptiekās.

3

Direktīvas 95/46 8. pants “Īpašu kategoriju datu apstrāde” noteica:

“1.   Dalībvalstis aizliedz tādu personas datu apstrādi, kas atklāj rasi vai etnisko izcelsmi, politiskos uzskatus, reliģisko vai filozofisko pārliecību, dalību arodbiedrībās, kā arī uz veselību vai seksuālo dzīvi attiecināmu datu apstrādi.

2.   Šā panta 1. punktu nepiemēro, ja:

[..].”

4

VDAR 9.–11., 13., 35., 51., 53., 141. un 142. apsvērums ir formulēts šādi:

[..]

[..]

[..]

[..]

[..]

5

Šīs regulas 1. pantā “Priekšmets un mērķi” ir noteikts:

“1.   Šī regula paredz noteikumus fizisku personu aizsardzībai attiecībā uz personas datu apstrādi un noteikumus personas datu brīvai apritei.

2.   Šī regula aizsargā fizisku personu pamattiesības un pamatbrīvības un jo īpaši to tiesības uz personas datu aizsardzību.

3.   Personas datu brīvu apriti Savienībā neierobežo un neaizliedz tādu iemeslu dēļ, kas saistīti ar fizisku personu aizsardzību attiecībā uz personas datu apstrādi.”

6

Minētās regulas 4. pantā ir s noteikts:

“Šajā regulā:

[..]

[..]

[..]

[..].”

7

VDAR II nodaļā “Principi” ir ietverts tās 5.–11. pants.

8

Šīs regulas 5. pantā ir noteikti personas datu apstrādes principi, savukārt šīs regulas 6. pantā – šādas apstrādes likumīguma nosacījumi.

9

Minētās regulas 9. pantā “Īpašu kategoriju personas datu apstrāde” ir noteikts:

“1.   Ir aizliegta tādu personas datu apstrāde, kas atklāj rases vai etnisko piederību, politiskos uzskatus, reliģisko vai filozofisko pārliecību vai dalību arodbiedrībās, un ģenētisko datu, biometrisko datu, lai veiktu fiziskas personas unikālu identifikāciju, veselības datu vai datu par fiziskas personas dzimumdzīvi vai seksuālo orientāciju apstrāde.

2.   Šā panta 1. punktu nepiemēro, ja ir piemērojams kāds no šādiem pamatojumiem:

[..]

[..].”

10

Šīs pašas regulas 51. panta “Uzraudzības iestāde” 1. punktā ir noteikts:

“Katra dalībvalsts paredz, ka viena vai vairākas neatkarīgas publiskas iestādes ir atbildīgas par šīs regulas piemērošanas uzraudzību, lai aizsargātu fizisku personu pamattiesības un pamatbrīvības saistībā ar apstrādi un veicinātu personas datu brīvu apriti Savienībā (“uzraudzības iestāde”).”

11

VDAR VIII nodaļā “Tiesību aizsardzības līdzekļi, atbildība un sankcijas” ir ietverts tās 77.–84. pants.

12

Šīs regulas 77. panta “Tiesības iesniegt sūdzību uzraudzības iestādē” 1. punktā ir noteikts:

“Neskarot jebkādus citus administratīvos tiesību aizsardzības līdzekļus vai tiesību aizsardzību tiesā, katram datu subjektam ir tiesības iesniegt sūdzību uzraudzības iestādē, jo īpaši tajā dalībvalstī, kurā ir viņa pastāvīgā dzīvesvieta, darbavieta vai iespējamā pārkāpuma izdarīšanas vieta, ja datu subjekts uzskata, ka viņa personas datu apstrāde pārkāpj šo regulu.”

13

Minētās regulas 78. panta “Tiesības uz efektīvu tiesību aizsardzību tiesā pret uzraudzības iestādi” 1. punktā ir noteikts:

“Neskarot jebkādus citus administratīvos vai ārpustiesas tiesību aizsardzības līdzekļus, katrai fiziskai vai juridiskai personai ir tiesības uz efektīvu tiesību aizsardzību tiesā pret uzraudzības iestādes pieņemtu juridiski saistošu lēmumu, kas skar minētās personas.”

14

Šīs pašas regulas 79. panta “Tiesības uz efektīvu tiesību aizsardzību tiesā pret pārzini vai apstrādātāju” 1. punktā ir noteikts:

“Neskarot pieejamos administratīvos vai ārpustiesas tiesību aizsardzības līdzekļus, tai skaitā tiesības iesniegt sūdzību uzraudzības iestādē, ievērojot 77. pantu, ikvienam datu subjektam ir tiesības uz efektīvu tiesību aizsardzību tiesā, ja viņš uzskata, ka viņa tiesības saskaņā ar šo regulu ir pārkāptas, tādas viņa personas datu apstrādes rezultātā, kura neatbilst šai regulai.”

15

VDAR 80. pants “Datu subjektu pārstāvība” ir formulēts šādi:

“1.   Datu subjektam ir tiesības pilnvarot bezpeļņas struktūru, organizāciju vai apvienību, kura ir pienācīgi izveidota saskaņā ar dalībvalsts tiesību aktiem, kuras statūtos noteiktie mērķi atbilst sabiedrības interesēm un kura darbojas datu subjekta tiesību un brīvību aizsardzības jomā, lai attiecībā uz viņu personas datu aizsardzību viņa vārdā iesniegtu sūdzību, viņa vārdā īstenotu 77., 78. un 79. pantā minētās tiesības un viņa vārdā īstenotu 82. pantā minētās tiesības saņemt kompensāciju, ja to paredz dalībvalsts tiesību akti.

2.   Dalībvalstis var paredzēt, ka jebkurai šā panta 1. punktā minētajai struktūrai, organizācijai vai apvienībai neatkarīgi no datu subjekta dotā pilnvarojuma ir tiesības minētajā dalībvalstī iesniegt sūdzību uzraudzības iestādei, kura ir kompetenta, ievērojot 77. pantu, un īstenot tiesības, kas minētas 78. un 79. pantā, ja tā uzskata, ka apstrādes rezultātā pārkāptas datu subjekta tiesības saskaņā ar šo regulu.”

16

Šīs regulas 82. panta “Tiesības uz kompensāciju un atbildība” 1. punktā ir noteikts:

“Jebkurai personai, kurai šīs regulas pārkāpuma rezultātā ir nodarīts materiāls vai nemateriāls kaitējums, ir tiesības no pārziņa vai apstrādātāja saņemt kompensāciju par tai nodarīto kaitējumu.”

17

Minētās regulas 83. panta “Vispārīgi nosacījumi par administratīvo naudas sodu piemērošanu” 1. punktā ir noteikts:

“Katra uzraudzības iestāde nodrošina, ka par 4., 5. un 6. punktā minētajiem šīs regulas pārkāpumiem saskaņā ar šo pantu paredzēto administratīvo naudas sodu piemērošana katrā konkrētā gadījumā ir iedarbīga, samērīga un atturoša.”

18

Šīs regulas 84. panta “Sankcijas” 1. punktā ir noteikts:

“Dalībvalstis paredz noteikumus par citām sankcijām, ko piemēro par šīs regulas pārkāpumiem, jo īpaši pārkāpumiem, par kuriem nav paredzēti administratīvi naudas sodi saskaņā ar 83. pantu, un veic visus nepieciešamos pasākumus, lai nodrošinātu, ka šos noteikumus īsteno. Šādas sankcijas ir iedarbīgas, samērīgas un atturošas.”

19

VDAR 94. panta 1. punktā ir noteikts:

“Direktīvu [95/46] atceļ no 2018. gada 25. maija.”

20

Saskaņā ar šīs regulas 99. pantu:

“1.   Šī regula stājas spēkā divdesmitajā dienā pēc tās publicēšanas Eiropas Savienības Oficiālajā Vēstnesī.

2.   To piemēro no 2018. gada 25. maija.”

21

2004. gada 3. jūlijaGesetz gegen den unlauteren Wettbewerb (Likums par negodīgas konkurences novēršanu; BGBl. 2004 I, 1414. lpp.), redakcijā, kas piemērojama pamatlietā (turpmāk tekstā – “UWG”), 3. panta 1. punktā ir noteikts:

“Negodīga komercprakse ir prettiesiska.”

22

UWG 3.a pants “Tiesību pārkāpums” ir formulēts šādi:

“Negodīgi rīkojas persona, kas pārkāpj likuma normu, ar kuru īpaši ir paredzēts regulēt uzvedību tirgū tirgus dalībnieku interesēs, ja pārkāpums var jūtami kaitēt patērētāju un citu tirgus dalībnieku vai konkurentu interesēm.”

23

UWG 8. pants “Novēršana un aizliegums” paredz:

“(1)   Pret ikvienu, kas piekopj komercpraksi, kas ir prettiesiska saskaņā ar 3. vai 7. pantu, var izdot rīkojumu šīs darbības izbeigt un atkārtošanās draudu gadījumā – rīkojumu par turpmāku to aizliegumu. [..]

[..]

(3)   Šā panta 1. punktā minētos rīkojumus var lūgt izdot:

[..].”

24

1976. gada 24. augustaGesetz über den Verkehr mit Arzneimitteln (Zāļu aprites likums; BGBl. 1976 I, 2444. lpp.), tā 2005. gada 12. decembrī publicētajā redakcijā (BGBl. 2005 I, 3394. lpp.), kas piemērojama pamatlietas faktiskajiem apstākļiem, reglamentē zāļu apriti un nošķir aptiekās pārdodamās zāles no zālēm, kuru iegādei vajadzīga recepte un kuras minētas šā likuma 48. pantā (“Prasība par ārsta recepti”).

25

ND, kas pārvalda aptieku ar komersanta nosaukumu “Lindenapotheke”, kopš 2017. gada tiešsaistes platformā Amazon‑Marketplace (turpmāk tekstā – “Amazon platforma”) tirgo zāles, kuru tirdzniecība ir atļauta tikai aptiekās. Pasūtot šīs zāles tiešsaistē, ND klientiem jāievada tādas ziņas kā, piemēram, savs personvārds, piegādes adrese un šo zāļu individualizēšanai nepieciešamā informācija.

26

DR, kurš arī pārvalda aptieku, vērsās Landgericht Dessau–Roßlau (Desavas‑Roslavas apgabaltiesa, Vācija) ar prasību piespriest ND izbeigt Amazon platformā tirgot zāles, kuru tirdzniecība ir atļauta tikai aptiekās, pretējā gadījumā paredzot piespiedu naudu, ja vien netiek nodrošināts, ka klients var dot iepriekšēju piekrišanu veselības datu apstrādei.

27

Prasības pamatojumam DR apgalvoja, ka tādu zāļu tirdzniecība Amazon, kuru tirdzniecība ir atļauta tikai aptiekās, ir negodīga, tāpēc ka tajā nav ievērotas tiesību normās par personas datu aizsardzību paredzētās likumiskās prasības attiecībā uz klienta piekrišanas saņemšanu.

28

Ar 2018. gada 28. marta spriedumu Landgericht Dessau–Roßlau (Desavas‑Roslavas apgabaltiesa) šo prasību apmierināja.

29

ND par šo spriedumu iesniedza apelācijas sūdzību Oberlandesgericht Naumburg (Federālās zemes Augstākā tiesa Naumburgā, Vācija), kas to noraidīja ar 2019. gada 7. novembra spriedumu.

30

Lietu apelācijas instancē izskatījusī tiesa atzina, ka tādu zāļu tirdzniecība Amazon platformā, kuru tirdzniecība ir atļauta tikai aptiekās, ir negodīga un līdz ar to prettiesiska prakse saskaņā ar UWG 3. panta 1. punktu. Proti, šādā zāļu tirdzniecībā tiekot veikta veselības datu apstrāde, kas saskaņā ar VDAR 9. panta 1. punktu esot aizliegta bez zāļu pasūtītāju nepārprotamas piekrišanas saskaņā ar šīs regulas 9. panta 2. punkta a) apakšpunktu. Savukārt minētajā regulā paredzētie noteikumi esot tiesību normas, kuru mērķis ir reglamentēt rīcību tirgū UWG 3.a panta izpratnē. Turklāt saskaņā ar UWG 8. panta 3. punkta 1. apakšpunktu DR kā konkurents esot tiesīgs civillietu tiesās prasīt rīkojumu par aizliegumu ND veikt noteiktas darbības, pamatojoties uz to, ka ND ir pārkāpis šos noteikumus.

31

ND iesniedza revīzijas sūdzību Bundesgerichtshof (Federālā augstākā tiesa, Vācija), kas ir iesniedzējtiesa.

32

Minētā tiesa norāda, ka šīs lietas iznākums ir atkarīgs gan no VDAR VIII nodaļas, gan šīs regulas 9. panta 1. punkta, kā arī Direktīvas 95/46 8. panta 1. punkta interpretācijas.

33

Pirmām kārtām, iesniedzējtiesa vēlas noskaidrot, vai kopš Direktīvas 95/46 atcelšanas no 2018. gada 25. maija, kas ir datums, no kura kļuva piemērojama VDAR, dalībvalstīm joprojām ir iespējams savos tiesību aktos paredzēt, ka tādi uzņēmuma konkurenti kā UWG 8. panta 3. punkta 1. apakšpunktā minētie ir tiesīgi celt prasību civillietu tiesā, lai, pamatojoties uz negodīgas komercprakses aizliegumu, panāktu šā uzņēmuma izdarīto VDAR normu pārkāpumu izbeigšanu.

34

Iesniedzējtiesa norāda, ka uz šo jautājumu valsts līmenī tiek atbildēts atšķirīgi. Proti, šāda atbilde neesot viennozīmīgi izsecināma ne no VDAR VIII nodaļas normu formulējuma, ne no šo normu vispārējās sistēmas, un arī ne no minētās regulas mērķa.

35

Tādējādi par VDAR VIII nodaļas normu formulējumu iesniedzējtiesa uzsver, ka nekur šajās normās patiešām nav minēta uzņēmuma konkurentu iespēja pret šo uzņēmumu celt prasību konkrēti tad, ja datu aizsardzības tiesību aktu pārkāpums ir kvalificējams kā negodīga komercprakse. Tomēr tajā pašā laikā minētās normas arī skaidri neizslēdzot šādu iespēju.

36

Savukārt par VDAR VIII nodaļas normu vispārējo sistēmu iesniedzējtiesa no vienas puses uzsver, ka šīs regulas mērķis – kā Tiesa nospriedusi 2022. gada 28. aprīļa spriedumā Meta Platforms Ireland (C‑319/20, EU:C:2022:322, 57. punkts) – ir nodrošināt personas datu aizsardzības jomu reglamentējošo valstu tiesību aktu saskaņošanu, kas principā ir pilnīga. Tomēr, no otras puses, apstāklis, ka gan VDAR 77. panta 1. punktā, gan 78. panta 1. un 2. punktā, gan 79. panta 1. punktā ir ietvertas frāzes “neskarot [jebkādus citus] tiesību aizsardzības līdzekļus”, varētu liegt secināt, ka uz tiesību piemērošanas kontroli attiecas izsmeļošs regulējums.

37

Visbeidzot, attiecībā uz VDAR izvirzīto saskaņošanas mērķi un it īpaši tiesību piemērošanas kontroles līmeņa vienveidošanu Savienībā iesniedzējtiesa uzsver, no vienas puses, ka apstāklis, ka konkurentiem var būt locus standi saskaņā ar konkurences tiesībām un tādējādi tie var panākt datu aizsardzības tiesību normu piemērošanu arī ārpus VDAR paredzētajiem instrumentiem, varētu būt pretrunā šim mērķim. Turklāt neesot skaidrs, vai minētajā regulā paredzētajā tiesību piemērošanas kontroles sistēmā ir robs, kas būtu jāaizpilda ar konkurentiem paredzēto iespēju būt apveltītiem ar locus standi saskaņā ar konkurences tiesībām. Tāpat arī datu aizsardzības tiesību piemērošanas kontroles jomā esošā sāncensība starp uzraudzības iestādēm, no vienas puses, un civillietu tiesām, no otras puses, varētu izraisīt uzraudzības iestāžu pilnvaru uzurpēšanu un radīt atšķirības datu aizsardzības tiesību piemērošanā Savienībā.

38

No otras puses, iesniedzējtiesa uzskata, ka, apveltot konkurentus ar locus standi saskaņā ar konkurences tiesībām, varētu tikt radīta vēl viena iespēja kontrolēt tiesību piemērošanu, kas būtu vēlama saskaņā ar efektivitātes principu (“lietderīgā iedarbība”), lai nodrošinātu pēc iespējas augstāku personas datu aizsardzības līmeni saskaņā ar VDAR 10. apsvērumu.

39

Iesniedzējtiesa precizē, ka šis jautājums nav ticis skaidrots Tiesas judikatūrā un ka konkrēti 2022. gada 28. aprīļa spriedumā Meta Platforms Ireland (C‑319/20, EU:C:2022:322) jautājumu par konkurenta locus standi Tiesa ir apzināti atstājusi atklātu.

40

Otrām kārtām, iesniedzējtiesa vēlas noskaidrot, vai dati, kas klientiem, pasūtot zāles, jāievada tiešsaistes tirdzniecības platformā, piemēram, viņu personvārds, piegādes adrese un šo zāļu individualizēšanai nepieciešamā informācija, ir “veselības dati” Direktīvas 95/46 8. panta 1. punkta un VDAR 9. panta 1. punkta izpratnē.

41

Minētā tiesa uzskata, ka gadījumā, ja pasūtītajām zālēm nebūtu vajadzīga ārsta recepte, atbilde uz šo jautājumu nebūtu acīmredzama. Proti, šādā gadījumā neesot izslēgts, ka šīs zāles būtu paredzētas nevis pašiem klientiem, bet trešām personām, kuras nav identificējamas.

42

Iesniedzējtiesa uzsver, ka šo tiesību normu un VDAR 4. panta 15. punkta, lasot to kopsakarā ar šīs regulas 35. apsvērumu, formulējums pats par sevi neļauj atbildēt uz šo jautājumu.

43

Tomēr 2022. gada 1. augusta sprieduma Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601) 125. punktā Tiesa esot nospriedusi, ka jēdziens “īpašu kategoriju personas dati”, kas minēts Direktīvas 95/46 8. panta 1. punktā un VDAR 9. panta 1. punktā, jāinterpretē plaši, ņemot vērā šīs regulas mērķi nodrošināt fizisku personu pamattiesību un brīvību – it īpaši viņu privātās dzīves – augsta līmeņa aizsardzību saistībā ar viņu personas datu apstrādi. Atbilstoši šādai plašai šā jēdziena interpretācijai varētu secināt, ka šāda informācija ir veselības dati pat tad, ja ir nevis skaidri zināms, bet tikai iespējams, ka zāļu pasūtītāji tās pasūta savām vajadzībām.

44

Iesniedzējtiesa paskaidro, ka, lai varētu izmantot DR piesauktās tiesības prasīt rīkojumu par aizliegumu ND veikt noteiktas darbības, attiecīgajai ND rīcībai jābūt prettiesiskai gan brīdī, kad tā tika veikta, gan revīzijas sūdzības izskatīšanas tiesas sēdes laikā un ka pirmajā no šiem brīžiem joprojām bija spēkā Direktīvas 95/46 8. panta 1. punkts, savukārt otrajā jau ir piemērojams VDAR 9. panta 1. punkts.

45

Šādos apstākļos Bundesgerichtshof (Federālā augstākā tiesa) nolēma apturēt tiesvedību un uzdot Tiesai šādus prejudiciālus jautājumus:

46

Ar pirmo jautājumu iesniedzējtiesa vēlas noskaidrot, vai VDAR VIII nodaļas normas jāinterpretē tādējādi, ka tām ir pretrunā tāds valsts tiesiskais regulējums, kurā – līdztekus par šīs regulas piemērošanas uzraudzīšanu un nodrošināšanu atbildīgo uzraudzības iestāžu iejaukšanās pilnvarām un datu subjektu tiesību aizsardzības līdzekļiem – arī personas datu aizsardzības pārkāpuma varbūtējā izdarītāja konkurentiem ir piešķirtas tiesības par minētās regulas pārkāpumiem vērsties pret šo varbūtējo izdarītāju ar prasību civillietu tiesās, pamatojoties uz negodīgas komercprakses aizliegumu.

47

Ievadam jāatgādina, ka VDAR VIII nodaļa reglamentē tostarp tiesību aizsardzības līdzekļus, kas ļauj aizsargāt datu subjekta tiesības gadījumā, ja ir aizdomas, ka viņa personas dati ir apstrādāti pretēji minētās regulas noteikumiem. Tādējādi šo tiesību aizsardzību var pieprasīt vai nu tieši pats datu subjekts saskaņā ar šīs regulas 77.–79. pantu, vai tiesīgā struktūra saskaņā ar VDAR 80. pantu neatkarīgi no tā, vai tai ir pilnvarojums šādi rīkoties vai arī šāda pilnvarojuma nav (šajā nozīmē skat. spriedumu, 2022. gada 28. aprīlis, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, 53. punkts).

48

Proti, pirmkārt, VDAR 77. panta 1. punkts noteic, ka, neskarot jebkādus citus administratīvos tiesību aizsardzības līdzekļus vai tiesību aizsardzību tiesā, katram datu subjektam ir tiesības iesniegt sūdzību uzraudzības iestādē. VDAR 78. panta 1. punkts noteic, ka katrai fiziskai vai juridiskai personai – neatkarīgi no jebkādiem citiem administratīvajiem vai ārpustiesas tiesību aizsardzības līdzekļiem – ir tiesības uz efektīvu tiesību aizsardzību tiesā pret uzraudzības iestādes pieņemtu juridiski saistošu lēmumu, kas skar minētās personas. Minētās regulas 79. panta 1. punktā katram datu subjektam ir garantētas tiesības uz efektīvu tiesību aizsardzību tiesā neatkarīgi no pieejamajiem administratīvajiem vai ārpustiesas tiesību aizsardzības līdzekļiem, tai skaitā tiesībām iesniegt sūdzību uzraudzības iestādē saskaņā ar šīs pašas regulas 77. pantu.

49

Otrkārt, atbilstoši VDAR 80. panta 1. punktam datu subjekts ir tiesīgs pilnvarot īpašiem nosacījumiem atbilstošu bezpeļņas struktūru, organizāciju vai apvienību, lai tā viņa vārdā iesniegtu sūdzību vai īstenotu šīs regulas 77.–79. pantā minētās tiesības. Turklāt, atbilstoši minētās regulas 80. panta 2. punktam dalībvalstis var paredzēt, ka jebkurai struktūrai, organizācijai vai apvienībai neatkarīgi no datu subjekta dotā pilnvarojuma ir tiesības minētajā dalībvalstī iesniegt šādu sūdzību kompetentajai uzraudzības iestādei un īstenot šīs tiesības, ja tā uzskata, ka, apstrādājot datu subjekta personas datus, ir pārkāptas šajā regulā paredzētās šā datu subjekta tiesības.

50

Šajā gadījumā no Tiesas rīcībā esošajiem lietas materiāliem izriet, ka ND, kas pārvalda aptieku, Amazon platformā tirgo zāles, kuru tirdzniecība ir atļauta tikai aptiekās, un ka, pasūtot šīs zāles tiešsaistē, klientiem jāievada tādi dati kā personvārds, piegādes adrese un minēto zāļu individualizēšanai nepieciešamā informācija. Tomēr pamatlietā prasību civillietu tiesā ir cēluši nevis, pamatojoties uz šīs regulas 79. pantu, šie klienti, kas ir datu subjekti VDAR 4. panta 1. punkta izpratnē, ne arī saskaņā ar minētās regulas 80. pantu kāda tiesīgā struktūra, organizācija vai apvienība ar tālab saņemtu datu subjekta pilnvarojumu vai bez tā, bet gan, pamatojoties uz negodīgas komercprakses aizliegumu, to ir cēlis šā farmaceita konkurents, tāpēc ka minētais farmaceits esot pārkāpis šīs regulas tiesību normas.

51

Tādējādi pamatlietā rodas jautājums, vai VDAR nepieļauj, ka tādam konkurentam kā DR, kas nav datu subjekts šīs regulas 4. panta 1. punkta izpratnē, ir tiesības celt šādu prasību valsts civillietu tiesās.

52

Šajā ziņā jāatgādina, ka, interpretējot Savienības tiesību normu, jāņem vērā ne tikai tās teksts, bet arī konteksts un šo normu ietverošā tiesiskā regulējuma mērķi (spriedums, 2023. gada 12. janvāris, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, 32. punkts).

53

Runājot par VDAR VIII nodaļas normu formulējumu, jākonstatē, ka nevienā no šīm normām nav skaidri izslēgta iespēja uzņēmuma konkurentam, pamatojoties uz negodīgas komercprakses aizliegumu, celt civillietu tiesās prasību pret šo uzņēmumu tāpēc, ka šis uzņēmums šķietami nav izpildījis šajā regulā noteiktos pienākumus. Gluži pretēji, no VDAR 77. panta 1. punkta, 78. panta 1. punkta un 79. panta 1. punkta formulējuma, kas atgādināts šā sprieduma 48. punktā, izriet, ka šajās tiesību normās minētās tiesības iesniegt sūdzību uzraudzības iestādē, kā arī tiesības uz efektīvu tiesību aizsardzību tiesā pret šādu iestādi un pret pārzini vai apstrādātāju, “neskar” citus administratīvos, tiesas vai ārpustiesas tiesību aizsardzības līdzekļus.

54

Attiecībā uz VDAR VIII nodaļu iekļaujošo kontekstu jānorāda, ka šīs regulas II nodaļā ir ietverts materiālo tiesību normu kopums – tostarp par personas datu apstrādes principiem, kas rodami tās 5. pantā, un apstrādes likumīguma nosacījumiem, kas noteikti tās 6. pantā –, kuru mērķis ir nodrošināt, ka pilnībā tiek ievērotas tostarp datu subjektu pamattiesības uz personas datu aizsardzību, kas garantētas LESD 16. panta 1. punktā un Hartas 8. pantā. Tādējādi apstāklis, ka VDAR VIII nodaļā nav normu, kas noteiktu, ka šīs materiālās tiesību normas varbūtēji pārkāpušā uzņēmuma konkurenti var celt prasību, lai panāktu šo pārkāpumu izbeigšanu, ir skaidrojams ar to, ka ar šo regulu nodrošinātās personas datu aizsardzības subjekti ir tikai – kā secinājumu 80. punktā norāda ģenerāladvokāts – datu subjekti, nevis konkurenti..

55

Tomēr, lai arī minēto materiālo tiesību normu pārkāpums ir tāds, kas skar pirmām kārtām jau attiecīgo datu subjektus, tas var iespējami radīt aizskārumu arī trešām personām, kā to uzskatāmi parāda apstāklis, ka tiesības uz atlīdzinājumu VDAR 82. panta 1. punktā ir atzītas “jebkurai personai, kurai šīs regulas pārkāpuma rezultātā ir nodarīts materiāls vai nemateriāls kaitējums”. Tiesai jau bijusi iespēja arī atzīt, ka personas datu aizsardzības noteikuma pārkāpums var vienlaikus izraisīt arī patērētāju tiesību aizsardzības vai negodīgas komercprakses noteikumu pārkāpumu (spriedums, 2022. gada 28. aprīlis, Meta Platforms Ireland, C‑319/20, EU:C:2022:322,78. punkts) un veidot būtisku pazīmi pārbaudē par uzņēmuma dominējošā stāvokļa ļaunprātīgas izmantošanas esamību LESD 102. panta izpratnē (šajā nozīmē skat. spriedumu, 2023. gada 4. jūlijs, Meta Platforms u.c. (Vispārīgie sociālā tīkla lietošanas noteikumi), C‑252/21, EU:C:2023:537, 47. un 62. punkts).

56

Šajā ziņā jāatgādina, ka piekļuvei personas datiem, kā arī to izmantošanai ir ļoti liela nozīme digitālās ekonomikas kontekstā. Proti, piekļuve personas datiem un iespēja tos apstrādāt ir kļuvusi par nozīmīgu parametru uzņēmumu konkurencei digitālajā ekonomikā. Līdz ar to, lai rēķinātos ar šīs ekonomiskās attīstības realitāti un nodrošinātu godīgu konkurenci, personas datu aizsardzības jomā esošās normas var nākties ņemt vērā, piemērojot konkurences tiesības un noteikumus par negodīgu komercpraksi (šajā nozīmē skat. spriedumu, 2023. gada 4. jūlijs, Meta Platforms u.c. (Vispārīgie sociālā tīkla lietošanas noteikumi), C‑252/21, EU:C:2023:537, 50. un 51. punkts).

57

Turklāt, lai arī no VDAR 1. panta 1. punkta, lasot to konkrēti tās 9. un 13. apsvēruma gaismā, izriet, ka šīs regulas mērķis ir nodrošināt personas datu aizsardzību reglamentējošo valstu tiesību aktu saskaņošanu, kas principā ir pilnīga, tomēr vairākas minētās regulas normas dalībvalstīm skaidri paver iespēju papildus paredzēt stingrākus vai atkāpes paredzošus noteikumus, kas dod tām rīcības brīvību, lemjot par to, kādā veidā šīs tiesību normas var tikt īstenotas, (“atvērējklauzulas”) (spriedums, 2022. gada 28. aprīlis, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, 57. punkts).

58

Tiesa jau ir nospriedusi, ka tā tas ir gadījumā ar VDAR 80. panta 2. punktu, kura īstenošanā dalībvalstis ir apveltītas ar rīcības brīvību un kuram nav pretrunā tāds valsts tiesiskais regulējums, kas patērētāju interešu aizstāvības apvienībai – ja tai šim nolūkam nav piešķirts pilnvarojums un nesaistīti ar kādu datu subjektu konkrētu tiesību pārkāpumu – ļauj celt prasību pret personas datu aizsardzības pārkāpuma varbūtējo izdarītāju, atsaucoties konkrēti uz to, ka ir pārkāpts negodīgas komercprakses aizliegums, ja attiecīgā datu apstrāde iespējami var skart tiesības, kas identificētām vai identificējamām personām rodas no šīs regulas (spriedums, 2022. gada 28. aprīlis, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, 59. un 83. punkts).

59

VDAR VIII nodaļas normās nav īpaši paredzēta šāda atvērējklauzula, kas skaidri ļautu dalībvalstīm paredzēt iespēju šīs regulas materiālās tiesību normas varbūtēji pārkāpjoša uzņēmuma konkurentam celt prasību, lai panāktu šā pārkāpuma izbeigšanu.

60

Tomēr no šīs VIII nodaļas tiesību normu formulējuma un konteksta, kas atgādināti šā sprieduma 53.–58. punktā, izriet, ka, pieņemot minēto regulu, Savienības likumdevējs nav grasījies pilnībā saskaņot VDAR noteikumu pārkāpumu gadījumā pieejamos tiesību aizsardzības līdzekļus, un konkrēti – nav vēlējies izslēgt iespēju personas datu aizsardzības jomu reglamentējošo tiesību aktu pārkāpuma varbūtējā izdarītāja konkurentiem celt prasību, pamatojoties uz negodīgas komercprakses aizliegumu noteicošajiem valsts tiesību aktiem.

61

Apstiprinājums šīs interpretācijas pareizībai ir rodams arī VDAR izvirzītajos mērķos: tostarp no tās 10. apsvēruma izriet, ka tie ir nodrošināt konsekventu un augsta līmeņa aizsardzību fiziskām personām attiecībā uz personas datu apstrādi un novērst šķēršļus šo datu apritei Savienībā. Šīs regulas 11. apsvērumā vēl teikts – lai šo datu aizsardzība būtu efektīva, nepieciešams stiprināt datu subjektu tiesības un to personu pienākumus, kuri apstrādā datus un nosaka to apstrādi, kā arī nepieciešams piešķirt arī atbilstošas pilnvaras uzraudzīt un nodrošināt personas datu aizsardzības noteikumu ievērošanu un noteikt atbilstošas sankcijas par pārkāpumiem dalībvalstīs. Minētās regulas 13. apsvērumā ir precizēts – lai nodrošinātu fizisku personu konsekventu aizsardzību visā Savienībā un novērstu atšķirības, kas traucē personas datu brīvu apriti iekšējā tirgū, ir nepieciešama regula, lai nodrošinātu juridisko noteiktību un pārredzamību ekonomikas dalībniekiem un nodrošinātu fiziskām personām visās dalībvalstīs vienādas juridiski īstenojamas tiesības un pienākumus un pārziņu un apstrādātāju atbildību, nodrošinātu konsekventu personas datu apstrādes uzraudzību un atbilstošas sankcijas visās dalībvalstīs.

62

Iespēja uzņēmuma konkurentam, pamatojoties uz negodīgas komercprakses aizliegumu, celt prasību civillietu tiesās, lai panāktu, ka tiek izbeigts VDAR materiālo tiesību normu pārkāpums, ko esot izdarījis šis uzņēmums, ne tikai neapdraud šos mērķus, bet, gluži pretēji, pastiprina šo tiesību normu lietderīgo iedarbību un tādējādi šajā regulā paredzēto augsta līmeņa aizsardzību datu subjektiem attiecībā uz viņu personas datu apstrādi.

63

Proti, pirmām kārtām, prasība par aizliegumu veikt noteiktas darbības, ko kāds konkurents, pamatojoties uz negodīgas komercprakses aizliegumu, ir cēlis pret uzņēmumu tāpēc, ka šis uzņēmums esot pārkāpis VDAR materiālās tiesību normas, nekādi neietekmē ne šīs regulas VIII nodaļā paredzēto tiesību aizsardzības līdzekļu sistēmu, ne mērķi nodrošināt fizisku personu konsekventu aizsardzību visā Savienībā un novērst atšķirības, kas traucē personas datu brīvu apriti iekšējā tirgū.

64

Šāda prasība, lai arī pastarpināti, protams, var tikt pamatota ar to pašu minētās regulas normu pārkāpumu, ar kurām varētu tikt pamatota sūdzība vai prasība, ko saskaņā ar šīs regulas 77.–79. pantu ir cēluši vai nu datu subjekti, vai kāda struktūra, organizācija vai apvienība minētās regulas 80. panta izpratnē.

65

Tomēr, pirmkārt, konkurenta celta prasība par aizliegumu veikt noteiktas darbības pati par sevi, atšķirībā no VDAR 77.–80. panta, ir vērsta nevis uz datu subjektu pamattiesību un pamatbrīvību aizsardzību saistībā ar viņu personas datu apstrādi, bet gan uz godīgas konkurences nodrošināšanu konkrēti šā konkurenta interesēs.

66

Otrkārt, konkurenta iespēja celt šādu prasību civillietu tiesās, pamatojoties uz negodīgas komercprakses aizliegumu, papildina VDAR 77.–79. pantā paredzētos tiesību aizsardzības līdzekļus, kas tiek pilnībā saglabāti un kurus joprojām var izmantot datu subjekti, kā arī attiecīgā gadījumā – struktūras, organizācijas vai apvienības šīs regulas 80. panta izpratnē.

67

Proti, kā norāda Vācijas valdība, datu aizsardzības tiesībās un konkurences tiesībās paredzēto tiesību aizsardzības līdzekļu līdzāspastāvēšana neapdraud VDAR vienveidīgu piemērošanu. Šajā ziņā jānorāda, ka no šīs regulas 77.–80. panta izriet, ka šī regula neparedz nedz prioritāru vai ekskluzīvu kompetenci, nedz noteikumu par kāda tajā minētās iestādes vai minēto tiesu – jautājumā par šajā regulā piešķirto tiesību pārkāpuma esamību – veiktā vērtējuma pārākumu (šajā nozīmē skat. spriedumu, 2023. gada 12. janvāris, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, 35. punkts). Līdz ar to tas, ka civillietu tiesās prasību par aizliegumu veikt noteiktas darbības ir cēlis personas datu aizsardzības pārkāpuma varbūtējā izdarītāja konkurents, neapdraud VDAR VIII nodaļā paredzēto tiesību aizsardzības līdzekļu sistēmu. Turklāt, kā norāda šī valdība, šīs regulas materiālo tiesību normu – kuras viena un tā paša pārkāpuma gadījumā var piemērot gan tā uzraudzības iestāde un tās tiesas, kas izskata sūdzību vai prasību saskaņā ar minētās regulas 77.–80. pantu, gan tās tiesas, kurās šāds konkurents ir vērsies, pamatojoties uz negodīgas komercprakses aizliegumu, – vienveidīga interpretācija tiek nodrošināta LESD 267. pantā paredzētajā prejudiciālā nolēmuma tiesvedībā.

68

Treškārt, kā secinājumu 104. punktā būtībā norāda ģenerāladvokāts, iespēja plašāk atsaukties uz VDAR materiālajām tiesību normām ne tikai datu subjektiem vai struktūrām, organizācijām un apvienībām šīs regulas 80. panta izpratnē, bet arī citām personām netraucē sasniegt mērķi nodrošināt šo subjektu konsekventu aizsardzību visā Savienībā un novērst atšķirības, kas traucē personas datu brīvu apriti iekšējā tirgū. Proti, pat ja dalībvalstis neparedzētu šādu iespēju, tādēļ vien datu aizsardzības īstenošana Savienībā nekļūtu sadrumstalota, jo VDAR materiālās tiesību normas ir vienlīdz saistošas visiem pārziņiem šīs regulas 4. panta 7. punkta izpratnē un šo normu ievērošana tiek nodrošināta ar minētajā regulā paredzētajiem tiesību aizsardzības līdzekļiem.

69

Otrām kārtām, attiecībā uz mērķi nodrošināt gan datu subjektu efektīvu aizsardzību attiecībā uz viņu personas datu apstrādi, gan VDAR materiālo tiesību normu lietderīgo iedarbību jākonstatē, ka prasība par aizliegumu veikt noteiktas darbības, ko cēlis personas datu aizsardzības pārkāpuma varbūtējā izdarītāja konkurents, lai arī tā ir vērsta – kā norādīts šā sprieduma 65. punktā – nevis uz šo mērķi, bet gan uz mērķi nodrošināt godīgu konkurenci, tomēr nenoliedzami veicina šo tiesību normu ievērošanu un tādējādi stiprina datu subjektu tiesības un nodrošina tiem augstu aizsardzības līmeni (šajā nozīmē skat. spriedumu, 2022. gada 28. aprīlis, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, 74. punkts).

70

Turklāt šāda konkurenta prasība par aizliegumu veikt noteiktas darbības – gluži tāpat kā patērētāju interešu aizsardzības apvienību celtā prasība – var izrādīties jo īpaši efektīva šādas aizsardzības nodrošināšanai, jo tā ļauj novērst lielu skaitu datu subjektu tiesību pārkāpumu viņu personas datu apstrādē (šajā nozīmē skat. spriedumu, 2022. gada 28. aprīlis, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, 75. punkts).

71

No tā izriet, ka šā sprieduma 60. punktā veiktā interpretācija ir atbilstīga no LESD 16. panta 1. punkta un Hartas 8. panta izrietošajām prasībām un tādējādi arī VDAR mērķim nodrošināt fizisku personu brīvību un pamattiesību efektīvu aizsardzību, kā arī konkrēti nodrošināt, ka ikvienas personas tiesības uz savu personas datu aizsardzību tiktu aizsargātas augstā līmenī (šajā nozīmē skat. spriedumu, 2022. gada 28. aprīlis, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, 73. punkts).

72

Šajā gadījumā iesniedzējtiesai jāpārbauda, vai VDAR materiālo tiesību normu varbūtējais pārkāpums pamatlietā, ciktāl tas ir pierādīts, rada arī attiecīgajā valsts tiesiskajā regulējumā paredzētā negodīgas komercprakses aizlieguma pārkāpumu.

73

Ņemot vērā iepriekš izklāstītos apsvērumus, uz pirmo jautājumu ir atbildams, ka VDAR VIII nodaļas normas jāinterpretē tādējādi, ka tām nav pretrunā tāds valsts tiesiskais regulējums, kurā – līdztekus par šīs regulas piemērošanas uzraudzīšanu un nodrošināšanu atbildīgo uzraudzības iestāžu iejaukšanās pilnvarām un datu subjektu tiesību aizsardzības līdzekļiem – arī personas datu aizsardzības pārkāpuma varbūtējā izdarītāja konkurentiem ir piešķirtas tiesības par minētās regulas pārkāpumiem vērsties pret šo varbūtējo izdarītāju ar prasību civillietu tiesās, pamatojoties uz negodīgas komercprakses aizliegumu.

74

Ar otro jautājumu iesniedzējtiesa būtībā vēlas noskaidrot, vai Direktīvas 95/46 8. panta 1. punkts un VDAR 9. panta 1. punkts jāinterpretē tādējādi, ka – situācijā, kad aptiekas pārvaldītājs, izmantojot tiešsaistes platformu, tirgo zāles, kuru tirdzniecība ir atļauta tikai aptiekās, – ziņas, ko šā pārvaldītāja klienti ievada, tiešsaistē pasūtot zāles, piemēram, viņu personvārds, piegādes adrese un zāļu individualizēšanai nepieciešamā informācija, ir veselības dati šo tiesību normu izpratnē, pat ja šo zāļu pārdošanai nav vajadzīga ārsta recepte.

75

Direktīvas 95/46 8. panta 1. punkts un VDAR 9. panta 1. punkts, kuru tvērums Tiesas veicamās interpretācijas vajadzībām ir vienāds (spriedums, 2022. gada 1. augusts, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, 58. un 117. punkts) un kuri – kā norāda šo pantu virsraksti – attiecas uz “īpašu kategoriju” personas datu apstrādi, noteic šīs apstrādes aizlieguma principu. Proti, kā skaidri teikts šīs regulas 51. apsvērumā, personas datiem, kas pēc savas būtības ir īpaši sensitīvi saistībā ar pamattiesībām un brīvībām, pienākas īpaša aizsardzība, jo to apstrādes konteksts varētu radīt nopietnu risku pamattiesībām un brīvībām.

76

Šo Direktīvas 95/46 8. panta 1. punktā un VDAR 9. panta 1. punktā uzskaitīto īpašo kategoriju personas datu vidū ir arī veselības dati. Šie dati saskaņā ar šīs regulas 4. panta 15. punktu, lasot to kopsakarā ar minētās regulas 35. apsvērumu, ietver visus tos personas datus, kas atspoguļo informāciju par fiziskas personas agrāko, pašreizējo vai turpmāko fiziskās vai garīgās veselības stāvokli, tostarp datus par veselības aprūpes pakalpojumu sniegšanu šai personai.

77

Turklāt konkrēti no VDAR 4. panta 1. punkta izriet, ka jēdziens “personas dati” ir jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu, un ka, lai persona varētu tikt uzskatīta par “identificējamu”, ir pietiekami, ka attiecīgo personu var tieši vai netieši identificēt, jo īpaši atsaucoties uz identifikatoru, piemēram, minētās personas vārdu, uzvārdu, identifikācijas numuru, atrašanās vietas datiem, tiešsaistes identifikatoru vai vienu vai vairākiem minētajai fiziskajai personai raksturīgiem fiziskās, fizioloģiskās, ģenētiskās, garīgās, ekonomiskās, kultūras vai sociālās identitātes faktoriem.

78

Tādējādi, ja zāļu iegādes dati ļauj izdarīt secinājumus par identificētas vai identificējamas personas veselības stāvokli, tie ir uzskatāmi par veselības datiem VDAR 4. panta 15. punkta izpratnē.

79

Šajā gadījumā no Tiesas rīcībā esošajiem lietas materiāliem izriet, ka ND klienti, pasūtot Amazon platformā zāles, kuru tirdzniecība ir atļauta tikai aptiekās, tiešsaistē ievada tādas ziņas kā savu personvārdu, piegādes adresi un zāļu individualizēšanai nepieciešamo informāciju. Šī informācija nešaubīgi ir “personas dati”, jo tie attiecas uz identificētām vai identificējamām fiziskām personām.

80

Šajos apstākļos jānoskaidro, vai šādi dati var atklāt informāciju par šo personu veselības stāvokli VDAR 4. panta 15. punkta izpratnē un līdz ar to ir uzskatāmi par veselības datiem Direktīvas 95/46 8. panta 1. punkta un šīs regulas 9. panta 1. punkta izpratnē.

81

Šajā ziņā Tiesa jau ir nospriedusi, ka, ņemot vērā Direktīvas 95/46 un VDAR mērķi nodrošināt fizisku personu pamattiesību un brīvību – it īpaši viņu privātās dzīves – augsta līmeņa aizsardzību saistībā ar viņu personas datu apstrādi, šīs regulas 9. panta 1. punktā minētais jēdziens “veselības dati”, kas atbilst šīs direktīvas 8. panta 1. punktā minētajam jēdzienam “uz veselību attiecināmi dati”, jāinterpretē plaši (šajā nozīmē skat. spriedumus, 2003. gada 6. novembris, Lindqvist, C‑101/01, EU:C:2003:596, 50. punkts, un 2022. gada 1. augusts, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, 125. punkts).

82

Proti, šīs tiesību normas nav interpretējamas tādējādi, ka tajās paredzētais ciešākas aizsardzības režīms neattiektos uz tādu personas datu apstrādi, kuri var netieši atklāt sensitīvu informāciju par fizisku personu, jo pretējā gadījumā tiktu apdraudētas gan šā režīma lietderīgā iedarbība, gan fizisko personu brīvību un pamattiesību aizsardzība, uz kuras nodrošināšanu tas ir vērsts (spriedums, 2022. gada 1. augusts, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, 127. punkts).

83

Līdz ar to, lai personas datus varētu kvalificēt par veselības datiem Direktīvas 95/46 8. panta 1. punkta un VDAR 9. panta 1. punkta izpratnē, pietiek ar to, ka tie ar indukcijas vai dedukcijas palīdzību var atklāt informāciju par datu subjekta veselības stāvokli (šajā nozīmē skat. spriedumu, 2022. gada 1. augusts, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, 123. punkts).

84

Savukārt dati, ko klients, pasūtot zāles, kuru tirdzniecība ir atļauta tikai aptiekās, ievada tiešsaistes platformā, ar indukcijas vai dedukcijas palīdzību var atklāt informāciju par datu subjekta VDAR 4. panta 1. punkta izpratnē veselības stāvokli, jo pasūtot tiek veidota saikne starp zālēm, to terapeitiskajām indikācijām vai lietojumiem un fizisku personu, kas ir identificēta vai identificējama ar tādām ziņām kā šīs personas personvārds vai piegādes adrese.

85

Iesniedzējtiesa tomēr vēlas noskaidrot, vai apstāklim, ka pasūtīto zāļu pārdošanai nav vajadzīga ārsta recepte, ir nozīme, jo šādā gadījumā šīs zāles varētu būt paredzētas nevis to pasūtītājam, bet gan citām personām.

86

Šajā ziņā jānorāda, ka Direktīvas 95/46 8. panta 1. punkta un VDAR 9. panta 1. punkta piemērošanas nolūkā tādas personas datu apstrādes gadījumā, kuru aptiekas pārvaldītājs veic tiešsaistes platformā veiktas darbības ietvaros, jāpārbauda, vai šie dati ļauj atklāt informāciju, kas ietilpst kādā no šajās tiesību normās minētajām kategorijām, neatkarīgi no tā, vai šī informācija attiecas uz minētās platformas lietotāju vai kādu citu fizisku personu. Apstiprinošas atbildes gadījumā šāda personas datu apstrāde tātad ir aizliegta, izņemot minēto normu 2. punktā paredzētās atkāpes (šajā nozīmē skat. spriedumu, 2023. gada 4. jūlijs, Meta Platforms u.c. (Vispārīgie sociālā tīkla lietošanas noteikumi), C‑252/21, EU:C:2023:537, 68. punkts).

87

Šis principiālais aizliegums nav atkarīgs no tā, vai attiecīgajā apstrādē atklātā informācija ir vai nav pareiza un vai šis pārvaldītājs rīkojas ar nolūku iegūt informāciju, kas ietilpst kādā no Direktīvas 95/46 8. panta 1. punktā un VDAR 9. panta 1. punktā minētajām īpašajām kategorijām. Proti, ņemot vērā būtiskos riskus, ko datu subjektu pamatbrīvībām un pamattiesībām rada jebkāda šo kategoriju personas datu apstrāde, minēto normu mērķis ir aizliegt šādu apstrādi neatkarīgi no norādītā šīs apstrādes mērķa un attiecīgās informācijas pareizības (šajā nozīmē skat. spriedumu, 2023. gada 4. jūlijs, Meta Platforms u.c. (Vispārīgie sociālā tīkla lietošanas noteikumi), C‑252/21, EU:C:2023:537, 69. un 70. punkts).

88

No tā izriet, ka gadījumā, ja kāds tiešsaistes platformas lietotājs dara zināmus personas datus, pasūtot bezrecepšu zāles, kuru tirdzniecība ir atļauta tikai aptiekās, šo datu apstrāde, ko veic šīs zāles ar šīs tiešsaistes platformas palīdzību tirgojošās aptiekas pārvaldnieks, jāuzskata par apstrādi, kas veikta attiecībā uz veselības datiem Direktīvas 95/46 8. panta 1. punkta un VDAR 9. panta 1. punkta izpratnē, ņemot vērā, ka šī datu apstrāde var atklāt informāciju par fiziskas personas veselības stāvokli, neatkarīgi no tā, vai šī informācija attiecas uz šo lietotāju vai jebkuru citu personu, kuras labā tas veic pasūtījumu (šajā nozīmē skat. spriedumu, 2023. gada 4. jūlijs, Meta Platforms u.c. (Vispārīgie sociālā tīkla lietošanas noteikumi), C‑252/21, EU:C:2023:537, 73. punkts).

89

Proti, tāda šo tiesību normu interpretācija, saskaņā ar kuru būtu jāveic nošķiršana atkarībā no attiecīgo zāļu veida un tā, vai to pārdošanai ir vai nav vajadzīga ārsta recepte, neatbilstu šā sprieduma 81. punktā atgādinātajam augsta līmeņa aizsardzības mērķim. Šāda interpretācija būtu arī pretrunā Direktīvas 95/46 8. panta 1. punkta un VDAR 9. panta 1. punkta mērķim nodrošināt stingrāku aizsardzību pret tādu apstrādi, kurā šo datu īpašās sensitivitātes dēļ – kā citastarp izriet no VDAR 51. apsvēruma – varētu tikt radīts Hartas 7. un 8. pantā garantēto pamattiesību uz privātās dzīves neaizskaramību un personas datu aizsardzību īpaši smags aizskārums (spriedums, 2022. gada 1. augusts, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, 126. punkts un tajā minētā judikatūra).

90

Tādējādi informācija, ko aptiekas pārvaldītāja klienti ievada, tiešsaistē pasūtot bezrecepšu zāles, kuru tirdzniecība ir atļauta tikai aptiekās, ir veselības dati Direktīvas 95/46 8. panta 1. punkta un VDAR 9. panta 1. punkta izpratnē pat tad, ja ir tikai iespējams, nevis skaidri zināms, ka viņi šīs zāles pasūta savām vajadzībām.

91

Turklāt nav izslēdzams, ka pat gadījumā, ja šādas zāles ir paredzētas citām personām, nevis šiem klientiem, šīs personas ir iespējams identificēt un izdarīt secinājumus par viņu veselības stāvokli. Tā tas varētu būt, piemēram, ja attiecīgās zāles tiek piegādātas nevis tās pasūtījušā klienta dzīvesvietā, bet gan citas personas dzīvesvietā vai ja neatkarīgi no piegādes adreses klients savā pasūtījumā vai saziņā saistībā ar to ir norādījis kādu citu identificējamu personu, piemēram, savu ģimenes locekli. Tāpat, ja pasūtījuma veikšanai ir vajadzīga klienta identifikācija un/vai reģistrācija, piemēram, izveidojot klienta kontu vai pievienojoties lojalitātes programmai, nav izslēgts, ka klienta šajā kontekstā ievadītā informācija var tikt izmantota, lai izdarītu secinājumus ne tikai par šā klienta veselības stāvokli, bet arī par kādas citas personas veselības stāvokli, it īpaši saistībā ar informāciju par pasūtītajām zālēm.

92

Visbeidzot, kā atgādināts šā sprieduma 86. punktā, apstāklis, ka tāda informācija kā pamatlietā aplūkotā ir veselības dati Direktīvas 95/46 8. panta 1. punkta un VDAR 9. panta 1. punkta izpratnē, neliedz, kā tas citastarp izriet no šīs regulas 53. apsvēruma, to apstrādāt, it īpaši veselības aprūpes pakalpojumu un sistēmu pārvaldības ietvaros, ja ir izpildīts kāds no šo tiesību normu 2. punktā ietvertajiem nosacījumiem.

93

Tā tas konkrēti var būt, pirmkārt, tad, ja saskaņā ar šā 2. punkta a) apakšpunktu un ievērojot tajā paredzēto izņēmumu, datu subjekts dod nepārprotamu piekrišanu vienai vai vairākām minēto personas datu apstrādes darbībām, kuru konkrētie raksturlielumi un nolūki viņam ir izklāstīti konkrēti, pilnīgi un viegli saprotamā veidā. Otrkārt, šāda apstrāde var būt pieļaujama, pamatojoties uz VDAR 9. panta 2. punkta h) apakšpunktu, ja šī apstrāde ir nepieciešama veselības aprūpes nodrošināšanas nolūkos, pamatojoties uz Savienības vai dalībvalsts tiesību aktiem vai saskaņā ar līgumu, kas noslēgts ar veselības aprūpes speciālistu.

94

Ņemot vērā iepriekš izklāstīto, uz otro jautājumu ir atbildams, ka Direktīvas 95/46 8. panta 1. punkts un VDAR 9. panta 1. punkts jāinterpretē tādējādi, ka – situācijā, kad aptiekas pārvaldītājs, izmantojot tiešsaistes platformu, tirgo zāles, kuru tirdzniecība ir atļauta tikai aptiekās, – ziņas, ko šā pārvaldītāja klienti ievada, tiešsaistē pasūtot zāles, piemēram, viņu personvārds, piegādes adrese un zāļu individualizēšanai nepieciešamā informācija, ir veselības dati šo tiesību normu izpratnē, pat ja šo zāļu pārdošanai nav vajadzīga ārsta recepte.

95

Attiecībā uz pamatlietas pusēm šī tiesvedība izriet no tiesvedības, kas notiek iesniedzējtiesā, tāpēc tā lemj par tiesāšanās izdevumiem. Izdevumi, kas radušies, iesniedzot apsvērumus Tiesai, un kas nav minēto pušu izdevumi, nav atlīdzināmi.

Ar šādu pamatojumu Tiesa (virspalāta) nospriež: