Wydanie tymczasowe

OPINIA RZECZNIKA GENERALNEGO

MACIEJA SZPUNARA

przedstawiona w dniu 25 kwietnia 2024 r.(1)

Sprawa C‑21/23

ND

przeciwko

DR

[wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Bundesgerichtshof (federalny trybunał sprawiedliwości, Niemcy)]

Odesłanie prejudycjalne – Ochrona danych osobowych – Rozporządzenie (UE) 2016/679 – Środki ochrony prawnej – Rozgraniczenie środków ochrony prawnej – Przetwarzanie szczególnych kategorii danych osobowych – Pojęcie danych dotyczących zdrowia

I.      Wprowadzenie

1.        Niniejsza sprawa dotyczy wykładni szeregu przepisów rozporządzenia (UE) 2016/679(2) (zwanego dalej „RODO”), odnoszących się, po pierwsze, do systemu środków ochrony prawnej ustanowionego przez to rozporządzenie, a po drugie, do kategorii danych szczególnie wrażliwych, jakimi są „dane dotyczące zdrowia”.

2.        Wniosek o wydanie orzeczenia w trybie prejudycjalnym wpisuje się w kontekst powództwa o zaniechanie, opartego na ustanowionym w prawie krajowym zakazie czynów nieuczciwej konkurencji, które to powództwo zostało wytoczone przez przedsiębiorstwo w celu doprowadzenia do zaprzestania przez jednego z jego konkurentów wprowadzania do obrotu za pośrednictwem Internetu leków, które nie wymagają recepty. Zdaniem tego przedsiębiorstwa zarzucany jego konkurentowi czyn nieuczciwej konkurencji polega na nieprzestrzeganiu wynikających z RODO wymogów dotyczących przetwarzania „danych dotyczących zdrowia”.

3.        Rozpocznę moją analizę od zbadania drugiego pytania prejudycjalnego, co umożliwi Trybunałowi sprecyzowanie zakresu pojęcia „danych dotyczących zdrowia”, determinującego stosowanie wzmocnionego systemu ochrony.

4.        Gdyby bowiem danych rozpatrywanych w niniejszej sprawie nie można było zakwalifikować jako „danych dotyczących zdrowia” w rozumieniu art. 9 ust. 1 RODO, nie zaistniałby zarzucany czyn nieuczciwej konkurencji. Nie byłoby zatem użyteczne udzielenie odpowiedzi na pierwsze pytanie prejudycjalne, które dotyczy ustalenia, czy ustanowiony w RODO system środków ochrony prawnej pozwala, aby w prawie krajowym istniał środek prawny odnoszący się do naruszeń przepisów dotyczących zakazu czynów nieuczciwej konkurencji, w ramach którego powód powołuje się na naruszenie materialnoprawnych przepisów RODO.

II.    Ramy prawne

A.      Prawo Unii

1.      Dyrektywa 95/46/WE

5.        Dyrektywa 95/46/WE(3) w art. 8 ust. 1 stanowi:

„Państwa członkowskie zabraniają przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, opinie polityczne, przekonania religijne lub filozoficzne, przynależność do związków zawodowych, jak również przetwarzanie danych dotyczących zdrowia i życia seksualnego”.

2.      RODO

6.        Motywy 9, 10, 13, 35, 51 i 142 RODO mają następujące brzmienie:

„(9)      Cele i zasady [dyrektywy 95/46] pozostają aktualne, jednak wdrażając ochronę danych w Unii, nie uniknięto fragmentaryzacji, niepewności prawnej oraz upowszechnienia się poglądu, że ochrona osób fizycznych jest znacznie zagrożona, w szczególności w związku z działaniami w Internecie. Różnice w stopniu ochrony praw i wolności osób fizycznych w państwach członkowskich – w szczególności prawa do ochrony danych osobowych – w związku z przetwarzaniem danych osobowych mogą utrudniać swobodny przepływ danych osobowych w Unii. Mogą zatem stanowić przeszkodę w prowadzeniu działalności gospodarczej na szczeblu Unii, zakłócać konkurencję oraz utrudniać organom wykonywanie obowiązków nałożonych na nie prawem Unii. Różnice w stopniu ochrony wynikają z różnic we wdrażaniu i stosowaniu [dyrektywy 95/46].

(10)      Aby zapewnić wysoki i spójny stopień ochrony osób fizycznych oraz usunąć przeszkody w przepływie danych osobowych w Unii, należy zapewnić równorzędny we wszystkich państwach członkowskich stopień ochrony praw i wolności osób fizycznych w związku z przetwarzaniem takich danych. Należy zapewnić spójne i jednolite w całej Unii stosowanie przepisów o ochronie podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych […].

[…]

(13)      Aby zapewnić spójny stopień ochrony osób fizycznych w Unii oraz zapobiegać rozbieżnościom hamującym swobodny przepływ danych osobowych na rynku wewnętrznym, należy przyjąć rozporządzenie, które zagwarantuje podmiotom gospodarczym – w tym mikroprzedsiębiorstwom oraz małym i średnim przedsiębiorstwom – pewność prawa i przejrzystość, a osobom fizycznym we wszystkich państwach członkowskich ten sam poziom prawnie egzekwowalnych praw oraz obowiązków i zadań administratorów i podmiotów przetwarzających, które pozwoli spójnie monitorować przetwarzanie danych osobowych, a także które zapewni równoważne kary we wszystkich państwach członkowskich oraz skuteczną współpracę organów nadzorczych z różnych państw członkowskich […].

[…]

(35)      Do danych osobowych dotyczących zdrowia należy zaliczyć wszystkie dane o stanie zdrowia osoby, której dane dotyczą, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia osoby, której dane dotyczą. Do danych takich należą informacje o danej osobie fizycznej zbierane podczas jej rejestracji do usług opieki zdrowotnej lub podczas świadczenia jej usług opieki zdrowotnej, jak to określa [dyrektywa 2011/24/UE(4)]; numer, symbol lub oznaczenie przypisane danej osobie fizycznej w celu jednoznacznego zidentyfikowania tej osoby fizycznej do celów zdrowotnych; informacje pochodzące z badań laboratoryjnych lub lekarskich części ciała lub płynów ustrojowych, w tym danych genetycznych i próbek biologicznych; oraz wszelkie informacje, na przykład o chorobie, niepełnosprawności, ryzyku choroby, historii medycznej, leczeniu klinicznym lub stanie fizjologicznym lub biomedycznym osoby, której dane dotyczą, niezależnie od ich źródła, którym może być na przykład lekarz lub inny pracownik służby zdrowia, szpital, urządzenie medyczne lub badanie diagnostyczne in vitro.

[…]

(51)      Dane osobowe, które z racji swego charakteru są szczególnie wrażliwe w świetle podstawowych praw i wolności, wymagają szczególnej ochrony, gdyż kontekst ich przetwarzania może powodować poważne ryzyko dla podstawowych praw i wolności […]. Takich danych osobowych nie należy przetwarzać, chyba że niniejsze rozporządzenie dopuszcza ich przetwarzanie w szczególnych przypadkach, przy czym należy uwzględnić, że prawo państw członkowskich może obejmować przepisy szczegółowe o ochronie danych dostosowujące zastosowanie przepisów niniejszego rozporządzenia tak, by można było wypełnić obowiązki prawne lub wykonać zadanie realizowane w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Oprócz wymogów szczegółowych mających zastosowanie do takiego przetwarzania, zastosowanie powinny mieć zasady ogólne i inne przepisy niniejszego rozporządzenia, w szczególności jeżeli chodzi o warunki zgodności przetwarzania z prawem. Należy wyraźnie przewidzieć wyjątki od ogólnego zakazu przetwarzania takich szczególnych kategorii danych osobowych, m.in. w razie wyraźnej zgody osoby, której dane dotyczą, lub ze względu na szczególne potrzeby, w szczególności gdy przetwarzanie danych odbywa się w ramach uzasadnionych działań niektórych zrzeszeń lub fundacji, których celem jest umożliwienie korzystania z podstawowych wolności.

[…]

(142)      Jeżeli osoba, której dane dotyczą, uzna, że naruszane są jej prawa wynikające z niniejszego rozporządzenia, powinna mieć ona prawo zlecić podmiotowi, organizacji lub zrzeszeniu – które nie mają charakteru zarobkowego, zostały ustanowione zgodnie z prawem państwa członkowskiego, mają statutowo na celu interes publiczny i działają w dziedzinie ochrony danych osobowych – wniesienie skargi w swoim imieniu do organu nadzorczego, wykonanie prawa do środka ochrony prawnej przed sądem w imieniu osób, których dane dotyczą lub – o ile taką możliwość przewiduje prawo państwa członkowskiego – żądanie odszkodowania w imieniu osób, których dane dotyczą. Państwo członkowskie może wymagać, by taki podmiot, taka organizacja lub takie zrzeszenie niezależnie od zlecenia otrzymanego od osoby, której dane dotyczą, miały prawo wniesienia w tym państwie członkowskim skargi oraz miały prawo do skutecznego środka ochrony prawnej przed sądem, jeżeli mają powody, by uznać, że w wyniku przetwarzania danych osobowych w sposób naruszający niniejsze rozporządzenie naruszone zostały prawa osoby, której dane dotyczą. Takiemu podmiotowi, takiej organizacji lub takiemu zrzeszeniu nie może przysługiwać prawo do występowania o odszkodowanie w imieniu osoby, której dane dotyczą, jeżeli nie zostały do tego umocowane przez tę osobę”.

7.        Artykuł 1 tego rozporządzenia, zatytułowany „Przedmiot i cele”, stanowi:

„1.      W niniejszym rozporządzeniu ustanowione zostają przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepływie danych osobowych.

2.      Niniejsze rozporządzenie chroni podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych.

3.      Nie ogranicza się ani nie zakazuje swobodnego przepływu danych osobowych w Unii z powodów odnoszących się do ochrony osób fizycznych w związku z przetwarzaniem danych osobowych”.

8.        Artykuł 4 wspomnianego rozporządzenia stanowi:

„Na użytek niniejszego rozporządzenia:

1)      »dane osobowe« oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (»osobie, której dane dotyczą«); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

[…]

15)      »dane dotyczące zdrowia« oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia;

[…]”.

9.        Zgodnie z art. 9 tego rozporządzenia, zatytułowanym „Przetwarzanie szczególnych kategorii danych osobowych”:

„1.      Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.

2.      Ustęp 1 nie ma zastosowania, jeżeli spełniony jest jeden z poniższych warunków:

a)      osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1;

[…]

h)      przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 3;

[…]”.

10.      Rozdział VIII RODO, zatytułowany „Środki ochrony prawnej, odpowiedzialność i sankcje”, obejmuje art. 77–84.

11.      Artykuł 77 tego rozporządzenia, zatytułowany „Prawo do wniesienia skargi do organu nadzorczego”, stanowi w ust. 1:

„Bez uszczerbku dla innych [środków] administracyjnych lub środków ochrony prawnej przed sądem każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, w szczególności w państwie członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza niniejsze rozporządzenie”.

12.      Artykuł 78 wspomnianego rozporządzenia, zatytułowany „Prawo do skutecznego środka ochrony prawnej przed sądem przeciwko organowi nadzorczemu”, stanowi w ust. 1:

„Bez uszczerbku dla innych administracyjnych lub pozasądowych środków ochrony prawnej każda osoba fizyczna lub prawna ma prawo do skutecznego środka ochrony prawnej przed sądem przeciwko prawnie wiążącej decyzji organu nadzorczego jej dotyczącej”.

13.      Artykuł 79 tego rozporządzenia, zatytułowany „Prawo do skutecznego środka ochrony prawnej przed sądem przeciwko administratorowi lub podmiotowi przetwarzającemu”, stanowi w ust. 1:

„Bez uszczerbku dla dostępnych administracyjnych lub pozasądowych środków ochrony prawnej, w tym prawa do wniesienia skargi do organu nadzorczego zgodnie z art. 77, każda osoba, której dane dotyczą, ma prawo do skutecznego środka ochrony prawnej przed sądem, jeżeli uzna ona, że prawa przysługujące jej na mocy niniejszego rozporządzenia zostały naruszone w wyniku przetwarzania je[j] danych osobowych z naruszeniem niniejszego rozporządzenia”.

14.      Artykuł 80 RODO, zatytułowany „Reprezentowanie osób, których dane dotyczą”, stanowi:

„1.      Osoba, której dane dotyczą, ma prawo umocować podmiot, organizację lub zrzeszenie – które nie mają charakteru zarobkowego, zostały należycie ustanowione zgodnie z prawem państwa członkowskiego, mają cele statutowe leżące w interesie publicznym i działają w dziedzinie ochrony praw i wolności osób, których dane dotyczą, w związku z ochroną ich danych osobowych – do wniesienia w jej imieniu skargi oraz wykonywania w jej imieniu praw, o których mowa w art. 77, 78 i 79, oraz żądania w jej imieniu odszkodowania, o którym mowa w art. 82, jeżeli przewiduje to prawo państwa członkowskiego.

2.      Państwa członkowskie mogą przewidzieć, że podmiot, organizacja lub zrzeszenie, o których mowa w ust. 1 niniejszego artykułu, mają – niezależnie od upoważnienia otrzymanego od osoby, której dane dotyczą – prawo wnieść w tym państwie członkowskim skargę do organu nadzorczego właściwego zgodnie z art. 77 oraz wykonać prawa, o których mowa w art. 78 i 79, jeżeli uznają, że w wyniku przetwarzania naruszone zostały prawa osoby, której dane dotyczą, wynikające z niniejszego rozporządzenia”.

15.      Artykuł 82 tego rozporządzenia, zatytułowany „Prawo do odszkodowania i odpowiedzialność”, stanowi w ust. 1:

„Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę”.

16.      Artykuł 84 wspomnianego rozporządzenia, zatytułowany „Sankcje”, stanowi w ust. 1:

„Państwa członkowskie przyjmują przepisy określające inne sankcje za naruszenia niniejszego rozporządzenia, w szczególności za naruszenia niepodlegające administracyjnym karom pieniężnym na mocy art. 83, oraz podejmują wszelkie środki niezbędne do ich wykonania. Sankcje te muszą być skuteczne, proporcjonalne i odstraszające”.

B.      Prawo niemieckie

1.      Ustawa o zwalczaniu nieuczciwej konkurencji

17.      Paragraf 3 Gesetz gegen den unlauteren Wettbewerb (ustawy o zwalczaniu nieuczciwej konkurencji) z dnia 3 lipca 2004 r.(5), w brzmieniu mającym zastosowanie do sporu w postępowaniu głównym (zwanej dalej „ustawą o zwalczaniu nieuczciwej konkurencji”), zatytułowany „Zakaz nieuczciwych praktyk handlowych”, stanowi w ust. 1, że „[n]ieuczciwe praktyki handlowe są niedozwolone”.

18.      Paragraf 3a tej ustawy, zatytułowany „Naruszenie prawa”, ma następujące brzmienie:

„W sposób nieuczciwy działa ten, kto postępuje niezgodnie z przepisem ustawy, który służy również, w interesie uczestników rynku, regulowaniu zachowania na rynku, jeżeli naruszenie może odczuwalnie naruszyć interesy konsumentów, innych uczestników rynku lub podmiotów konkurujących”.

19.      Paragraf 8 tej ustawy, zatytułowany „Usunięcie skutków i zaniechanie”, stanowi:

„(1)      Od osoby, która stosuje niedozwolone praktyki handlowe wskazane w § 3 lub § 7, można żądać usunięcia ich skutków, a w wypadku ryzyka ponowienia praktyk – ich zaniechania […].

[…]

(3)      Roszczenia, o których mowa w ust. 1, przysługują:

1.      konkurentom, którzy sprzedają lub zgłaszają zapotrzebowanie na towary lub usługi w zakresie szerszym niż znikomy i czynią to nie tylko w okazjonalny sposób,

[…]”.

2.      Ustawa o produktach leczniczych

20.      Obrót produktami leczniczymi jest uregulowany w Arzneimittelgesetz (ustawie o produktach leczniczych) z dnia 24 sierpnia 1976 r., w wersji opublikowanej w dniu 12 grudnia 2005 r.(6), zmienionej ostatnio przez § 8c ustawy z dnia 20 grudnia 2022 r.(7). Ustawa ta wprowadza rozróżnienie na produkty lecznicze sprzedawane w aptekach, o których mowa w jej artykułach od 43 (zatytułowanego „Obowiązek dystrybucji w aptekach”) do 47, oraz produkty lecznicze wydawane na receptę, o których mowa w jej art. 48, zatytułowanym „Obowiązkowa recepta”.

III. Okoliczności postępowania głównego, postępowanie i pytania prejudycjalne

21.      ND i DR prowadzą apteki. ND, skarżący w postępowaniu głównym, posiada ponadto zezwolenie na sprzedaż wysyłkową, a także sprzedaje swoje towary, w tym leki, których sprzedaż jest zastrzeżona wyłącznie dla aptek, za pośrednictwem Amazon Marketplace (zwanej dalej „platformą Amazon”), elektronicznej platformy sprzedażowej, gdzie sprzedawcy mogą proponować do sprzedaży towary bezpośrednio konsumentom.

22.      DR, druga strona postępowania głównego, wytoczył przeciwko ND powództwo o zaniechanie wprowadzania do obrotu za pośrednictwem platformy Amazon leków, których sprzedaż jest zastrzeżona dla aptek. Zdaniem DR takie wprowadzanie do obrotu stanowi czyn nieuczciwej konkurencji, ponieważ skutkuje naruszeniem przez ND przepisu ustawy w rozumieniu § 3a ustawy o zwalczaniu nieuczciwej konkurencji, a mianowicie między innymi art. 9 RODO, który dotyczy uzyskana uprzedniej wyraźnej zgody klienta na przetwarzanie danych osobowych dotyczących zdrowia.

23.      Landgericht Dessau-Roßlau (sąd krajowy w Dessau‑Roßlau, Niemcy) uwzględnił to powództwo. Następnie Oberlandesgericht Naumburg (wyższy sąd krajowy w Naumburgu, Niemcy) oddalił wniesioną przez ND apelację, orzekając, że wprowadzanie przez niego do obrotu na platformie Amazon leków, których sprzedaż jest zastrzeżona dla aptek, narusza prawo krajowe dotyczące nieuczciwej konkurencji. Zdaniem tego sądu takie wprowadzanie do obrotu stanowi bowiem przetwarzanie danych dotyczących zdrowia w rozumieniu art. 9 ust. 1 RODO, na które klienci nie udzielili wyraźnej zgody. Przepisy RODO należy uznać za zasady postępowania na rynku w rozumieniu krajowego prawa konkurencji, tak że DR, jako konkurent, jest uprawniony do podnoszenia roszczenia o zaniechanie opartego na krajowym prawie konkurencji, powołując się na naruszenie przez ND przepisów tego rozporządzenia.

24.      ND wniósł do sądu odsyłającego, Bundesgerichtshof (federalnego trybunału sprawiedliwości, Niemcy) skargę rewizyjną, w której podtrzymuje swoje żądania dotyczące oddalenia powództwa o zaniechanie.

25.      Zdaniem sądu odsyłającego rozstrzygnięcie skargi rewizyjnej zależy od wykładni zarówno rozdziału VIII RODO, jak i art. 9 tego rozporządzenia, a także art. 8 ust. 1 dyrektywy 95/46.

26.      Sąd ten podkreśla bowiem, po pierwsze, że należy ustalić, czy powód w postępowaniu głównym, jako konkurent, posiada wymaganą legitymację procesową do wytoczenia przed sądami cywilnymi powództwa z tytułu naruszeń RODO przeciwko ich sprawcy, z powołaniem się na zakaz nieuczciwych praktyk handlowych. Sąd odsyłający wyjaśnia, iż jest to sporne zagadnienie, które można rozstrzygnąć w ten sposób, że zawarte w RODO regulacje dotyczące egzekwowania przepisów tego rozporządzenia są wyczerpujące, w związku z czym konkurentom nie przysługuje legitymacja procesowa w oparciu o prawo konkurencji. Jednakże można również bronić stanowiska, zgodnie z którym przepisy RODO mające na celu kontrolę stosowania prawa nie są wyczerpujące oraz że w związku z tym konkurentom przysługuje wymagana legitymacja procesowa do dochodzenia roszczeń o zaniechanie z powołaniem się na naruszenie tego rozporządzenia.

27.      Po drugie, sąd odsyłający twierdzi, że należy ustalić, czy dane, które muszą wprowadzać klienci przy zamawianiu w Internecie leków, których sprzedaż jest zastrzeżona dla farmaceutów, lecz które nie wymagają recepty, stanowią dane dotyczące zdrowia w rozumieniu art. 9 ust. 1 RODO, a wcześniej art. 8 ust. 1 dyrektywy 95/46, ponieważ roszczenie o zaniechanie przysługuje, wyłącznie jeżeli działanie ND było bezprawne zarówno w czasie jego podjęcia, jak i w czasie rozprawy rewizyjnej.

28.      W tym kontekście Bundesgerichtshof (federalny trybunał sprawiedliwości) postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi:

„1)      Czy przepisy rozdziału VIII [RODO] stoją na przeszkodzie uregulowaniom krajowym, które – poza uprawnieniami interwencyjnymi organów nadzorczych właściwych w zakresie monitorowania i wykonywania tego rozporządzenia oraz możliwościami ochrony osób, których dane dotyczą – przyznają konkurentom prawo do występowania przeciwko sprawcy w drodze powództwa do sądu cywilnego z powodu naruszenia wspomnianego rozporządzenia w aspekcie zakazu stosowania nieuczciwych praktyk handlowych?

2)      Czy dane, które klienci farmaceuty występującego jako sprzedawca na platformie sprzedaży internetowej wprowadzają na stronie tej platformy przy zamawianiu leków wydawanych wprawdzie jedynie w aptekach, ale niebędących lekami na receptę (nazwisko klienta, adres dostawy oraz informacje niezbędne do indywidualizacji zamawianego leku wydawanego jedynie w aptekach), są danymi dotyczącymi zdrowia w rozumieniu art. 9 ust. 1 [RODO] oraz art. 8 ust. 1 dyrektywy 95/46?”.

29.      Wniosek o wydanie orzeczenia w trybie prejudycjalnym w niniejszej sprawie wpłynął do Trybunału w dniu 19 stycznia 2023 r. Strony postępowania głównego, rząd niemiecki i Komisja Europejska przedstawili uwagi na piśmie. Ci sami uczestnicy byli reprezentowani na rozprawie, która odbyła się w dniu 9 stycznia 2024 r.

IV.    Analiza

30.      W niniejszej sprawie DR twierdzi, że ND naruszył art. 9 RODO, przetwarzając dane klientów, którzy zamówili przez Internet leki niewymagające recepty, nie podporządkowując się wymogowi uzyskania wyraźnej zgody klientów na przetwarzanie tych danych.

31.      Poprzez swoje pierwsze pytanie prejudycjalne sąd odsyłający zmierza w istocie do ustalenia, czy przepisy rozdziału VIII RODO należy interpretować w ten sposób, że stoją one na przeszkodzie przepisom krajowym, które przyznają przedsiębiorstwom prawo do powoływania się, na podstawie zakazu czynów nieuczciwej konkurencji, na naruszenia materialnoprawnych przepisów RODO, jakich mieli się dopuścić ich konkurenci. W drugim pytaniu prejudycjalnym sąd ten zwraca się do Trybunału o wyjaśnienie, czy art. 9 RODO należy interpretować w ten sposób, że rozpatrywane dane stanowią dane dotyczące zdrowia, a tym samym należą do szczególnych kategorii danych, o których mowa w tym przepisie(8).

32.      Na wstępie pragnę zauważyć, że jak już wspomniałem, w przypadku odpowiedzi przeczącej na pytanie drugie, nie byłoby potrzeby odpowiadania na pierwsze, ponieważ udzielona przez Trybunał odpowiedź wystarczyłaby sądowi odsyłającemu, aby rozstrzygnąć zawisły przed nim spór. Uważam, że w tych okolicznościach właściwe będzie rozpoczęcie analizy pytań prejudycjalnych od pytania drugiego.

A.      W przedmiocie drugiego pytania prejudycjalnego

33.      Poprzez swoje drugie pytanie prejudycjalne sąd odsyłający zmierza w istocie do ustalenia, czy dane klientów farmaceuty przekazywane w trakcie składania zamówienia poprzez internetową platformę sprzedaży leków, których sprzedaż jest zastrzeżona dla aptek, ale które nie wymagają recepty, stanowią „dane dotyczące zdrowia” w rozumieniu art. 9 ust. 1 RODO.

34.      Na wstępie należy wyjaśnić, że pojęcie „danych dotyczących zdrowia” z art. 9 ust. 1 RODO jest zdefiniowane w art. 4 pkt 15 tego rozporządzenia. Udzielenie odpowiedzi na drugie pytanie prejudycjalne wymaga zatem łącznej wykładni tych dwóch przepisów.

1.      W przedmiocie wykładni pojęcia „danych dotyczących zdrowia” w świetle dotychczasowego orzecznictwa

35.      Zgodnie z art. 4 pkt 15 RODO „dane dotyczące zdrowia” to dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia.

36.      Definicja ta znajduje dodatkowe potwierdzenie w motywie 35 RODO. Trybunał podkreślił zatem w swoim orzecznictwie, że zgodnie z tym motywem „[d]o danych osobowych dotyczących zdrowia należy zaliczyć wszystkie dane o stanie zdrowia osoby, której dane dotyczą, »ujawniające« informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia osoby, której dane dotyczą”(9).

37.      Z brzmienia art. 4 pkt 15 RODO, uściślonego przez motyw 35 tego rozporządzenia, wynika zatem, że czynnikiem rozstrzygającym dla ustalenia, że pewne dane osobowe są danymi dotyczącymi zdrowia, jest okoliczność, iż na podstawie tych danych możliwe jest wyciągnięcie wniosków co do stanu zdrowia osoby, której dane dotyczą. Innymi słowy, „dane dotyczące zdrowia” nie są ograniczone do danych medycznych lub bezpośrednio związanych z problemami zdrowotnymi, lecz obejmują również wszelkie dane umożliwiające wyciągnięcie wniosków co do stanu zdrowia osoby, której dotyczą, niezależnie od tego, czy chodzi o stan chorobowy, czy stan fizjologiczny.

38.      Znajduje to potwierdzenie w celu, jakiemu służy art. 9 RODO. I tak Trybunał podkreślił w swoim orzecznictwie, że celem tego przepisu jest zapewnienie zwiększonej ochrony przetwarzania, które – ze względu na szczególnie wrażliwy charakter danych będących jego przedmiotem – może stanowić, jak wynika z motywu 51 RODO, szczególnie poważną ingerencję w prawa podstawowe do poszanowania życia prywatnego i ochrony danych osobowych, gwarantowane przez art. 7 i 8 Karty praw podstawowych Unii Europejskiej(10).

39.      Szczególnie wrażliwy charakter danych odnoszących się do zdrowia wynika z tego, że dotyczą one informacji, które należą do najbardziej intymnej sfery człowieka i mogą ujawniać jego słabości. Ten szczególnie wrażliwy charakter, a w konsekwencji szczególna potrzeba ochrony, są zresztą uznane nie tylko przez prawo Unii, lecz również przez orzecznictwo Europejskiego Trybunału Praw Człowieka, w którym wskazuje się, że „przestrzeganie poufnego charakteru informacji o zdrowiu stanowi istotną zasadę systemu prawnego wszystkich państw‑stron [europejskiej Konwencji o ochronie praw człowieka i podstawowych wolności, podpisanej w Rzymie dnia 4 listopada 1950 r.]”(11).

40.      Mając na względzie ten cel, w myśl orzecznictwa Trybunału należy zatem przyjąć szeroką wykładnię pojęcia „szczególnych kategorii danych osobowych”, do których należą dane dotyczące zdrowia, tak aby odnosiło się ono nie tylko do danych ze swej istoty szczególnie chronionych, lecz również do danych ujawniających pośrednio, w wyniku dokonania intelektualnej operacji dedukcji lub kontroli krzyżowej, informacje o tym charakterze(12).

41.      Pragnę w tym względzie zauważyć, że Europejska Rada Ochrony Danych utworzona na podstawie art. 68 i nast. RODO również przyjmuje taką koncepcję pojęcia „danych dotyczących zdrowia”, podkreślając, że o zakwalifikowaniu informacji jako „danych dotyczących zdrowia” rozstrzyga nie tylko istota tych informacji, lecz również okoliczności towarzyszące ich zbieraniu i przetwarzaniu, oraz przytacza w związku z tym różne przykłady. Jej zdaniem „danymi dotyczącymi zdrowia” są zatem informacje zawarte w dokumentacji medycznej, informacje ujawniające stan zdrowia w wyniku ich odniesienia do innych danych czy też informacje, które stały się danymi dotyczącymi zdrowia ze względu na ich wykorzystanie w określonym kontekście, przykładowo informacje dotyczące podróży przetwarzane przez pracownika służby zdrowia w celu postawienia diagnozy(13). „Danymi dotyczącymi zdrowia” nie są natomiast dane zbierane przez aplikację umożliwiającą pomiar liczby kroków, jakie zrobiła dana osoba, jeżeli aplikacja nie może powiązać tych danych z innymi danymi dotyczącymi tej osoby oraz pod warunkiem, że dane te nie są przetwarzane w kontekście medycznym(14).

42.      Z art. 4 pkt 15 i art. 9 RODO zgodnie z ich wykładnią dokonaną w orzecznictwie wynika zatem jasno, że za „dane dotyczące zdrowia” w rozumieniu tych przepisów należy uznać dane, które mogą umożliwić wyciągnięcie wniosków co do stanu zdrowia osoby, której dane dotyczą.

43.      Pragnę zatem zauważyć, że na pierwszy rzut oka nie można zaprzeczyć, iż złożenie przez Internet zamówienia leków niewymagających recepty łączy się z przetwarzaniem danych, z których można wywieść pewne informacje o zdrowiu, lub przynajmniej daje pewne wskazówki dotyczące zdrowia, ponieważ z takiego zamówienia wynika związek między kupnem leku, towaru w najwyższym stopniu związanego ze zdrowiem, a tożsamością jego nabywcy. Jednakże moim zdaniem, z powodów które teraz przedstawię, z informacji przekazanych Trybunałowi przez sąd odsyłający wynika, że związek ten jest zbyt słaby, a informacje, jakie można z niego wywieść, zbyt nieprecyzyjne lub hipotetyczne, aby rozpatrywane dane można było zakwalifikować jako „dane dotyczące zdrowia” w rozumieniu art. 4 pkt 15 i art. 9 RODO.

2.      W przedmiocie wymogu określonego stopnia pewności co do możliwych do wyciągnięcia wniosków na temat stanu zdrowia osoby, której dane dotyczą

44.      Pragnę poczynić kilka uściśleń, jeśli chodzi o tę wykładnię pojęcia „danych dotyczących zdrowia” w szczególności oraz ogólnie – pojęcia „szczególnej kategorii danych”.

45.      Po pierwsze, wydaje mi się, że w oparciu o te elementy wykładni można uznać, iż towar zamówiony przez Internet może ujawniać ogólne informacje dotyczące stanu zdrowia osoby, lecz również, jak wynika z art. 9 RODO, pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe czy też orientację seksualną osoby. Moim zdaniem z zamówień towarów w Internecie można wywieść pewne informacje dotyczące tych aspektów, jeśli chodzi o osobę, której dane dotyczą.

46.      Mogę przedstawić szereg przykładów na poparcie tego twierdzenia. Zamówienie książki napisanej przez znanego polityka może potencjalnie świadczyć o popieraniu idei, za którymi opowiada się ten polityk, zamówienie określonego ubrania może być oznaką przekonań religijnych danej osoby, a z kolei zamówienie akcesoriów erotycznych może stanowić wskazówkę co do orientacji seksualnej osoby. Uważam zatem, że aby nie poddawać znacznej części operacji przetwarzania danych odnoszących się do handlu internetowego rygorom art. 9 ust. 2 RODO, należy bardziej dopracować wykładnię pojęcia „danych dotyczących zdrowia”, tak aby wnioski, jakie można wyciągnąć z danych dotyczących zamówienia, były nie tylko potencjalne. Innymi słowy, według mnie informacje co do stanu zdrowia danej osoby ujawniane przez rozpatrywane dane nie mogą stanowić jedynie przypuszczeń, lecz powinny dawać określony stopień pewności.

47.      Po drugie, jestem zdania, że poza przypadkami, gdy dane ze swej istoty są „danymi dotyczącymi zdrowia”, ustalenie, czy dane można zakwalifikować w ten sposób, zależy od konkretnych okoliczności sprawy. Ściślej rzecz ujmując, wnioski, jakie można wyciągnąć z tych danych, zależą według mnie od kontekstu, w którym są zbierane, oraz od tego, w jaki sposób są one przetwarzane. Jak podkreśla Europejska Rada Ochrony Danych utworzona na podstawie art. 68 i nast. RODO, dane, które na pierwszy rzut oka są niezwiązane z dziedziną medycyny, takie jak dane na temat podróży, mogą jednakże zostać uznane za „dane dotyczące zdrowia”, gdy są analizowane w kontekście medycznym i powiązane z innymi informacjami w celu ustalenia, jak w przytoczonym przykładzie, potencjalnego zarażenia bakterią lub wirusem obecnym w danym regionie.

48.      Pragnę w szczególności podkreślić, że elementem niezwykle istotnym w tym względzie jest tożsamość administratora danych. Okoliczność, że dane są przetwarzane przez podmiot z sektora ochrony zdrowia, może bowiem według mnie stanowić wskazówkę, iż dane te są istotnie „danymi dotyczącymi zdrowia”. Natomiast te same dane można zakwalifikować inaczej ze względu na okoliczność, że nie są przetwarzane przez podmiot z sektora ochrony zdrowia i nie mogą zostać powiązane z innymi danymi osoby, której one dotyczą. Innymi słowy – te same dane mogą ujawniać więcej informacji na temat stanu zdrowia osoby, gdy są przetwarzane przez instytucję ochrony zdrowia, która posiada kompetencje, by je zinterpretować lub dysponuje innymi danymi dotyczącymi tej osoby, niż gdy są przetwarzane przez podmiot spoza tego sektora.

49.      W tych okolicznościach jestem zdania, że sąd odsyłający powinien zbadać zarówno istotę rozpatrywanych danych, jak i wszystkie okoliczności towarzyszące ich przetwarzaniu, aby ustalić, czy można z nich wywieść z określonym stopniem pewności informacje odnoszące się do stanu zdrowia osoby, której dane dotyczą.

50.      Jednakże na bazie informacji zawartych w postanowieniu sądu odsyłającego sądzę, że możliwe jest udzielenie wskazówek mających pomóc temu sądowi w rozstrzygnięciu zawisłego przed nim sporu(15).

3.      W przedmiocie elementów istotnych dla zbadania przez sąd odsyłający możliwości wyciągnięcia wniosków o stanie zdrowia osoby, której dane dotyczą

51.      W pierwszej kolejności, co się tyczy towarów będących przedmiotem zamówienia, pragnę podkreślić, że leki, których dotyczy sprawa, a mianowicie leki niewymagające recepty, co do zasady nie służą do leczenia konkretnego stanu chorobowego, lecz mają szersze zastosowanie do leczenia zwykłych dolegliwości, na które może zapaść każdy i które nie są charakterystyczne dla określonej jednostki chorobowej lub stanu zdrowia. Poza tym leki te są również często kupowane zapobiegawczo, aby mieć je do dyspozycji w razie potrzeby lub na przykład przed wyjazdem z miejsca zwykłego pobytu. Tytułem przykładu, zamówienie paracetamolu nie umożliwia wyciągnięcia jakiegokolwiek wniosku co do konkretnego stanu danej osoby, ponieważ substancja ta jest zalecana w leczeniu różnego rodzaju bólów i stanów gorączkowych oraz zazwyczaj należy do leków, którymi osoby dysponują w miejscu zamieszkania, nawet bez szczególnej potrzeby.

52.      W drugiej kolejności, jak podnosi ND, okoliczność, że dana osoba zamawia przez Internet lek niewymagający recepty, nie musi koniecznie oznaczać, że będzie go stosować właśnie ta osoba, której dane są przetwarzane, a nie inna osoba z jej gospodarstwa domowego lub jej otoczenia. Po pierwsze, zdarza się bowiem często, że zamówienie przez Internet składa osoba, która posiada konto na danej platformie, w imieniu i na rzecz osoby, która go nie posiada. Wobec braku recepty określającej z imienia i nazwiska osobę, dla której lek jest przeznaczony, i pozwalającej domniemywać, że użytkownik leku i nabywca są tą samą osobą, na podstawie zamówienia produktu swobodnie dostępnego w Internecie nie można wnioskować, że produkt ten będzie używany przez nabywcę, i to wyłącznie przez nabywcę. Wynika z tego, że z danych tych nie można racjonalnie wywieść żadnych wniosków co do stanu zdrowia osoby, której dane są przetwarzane, które to wnioski pozwalałyby na ich zakwalifikowanie jako „danych dotyczących zdrowia”.

53.      Jest tak zwłaszcza dlatego, że, w trzeciej kolejności oraz z zastrzeżeniem weryfikacji, której powinien dokonać sąd odsyłający, dana osoba może złożyć zamówienie przez Internet bez konieczności podawania dokładnych danych co do swej tożsamości, w szczególności gdy produkt nie jest dostarczany na adres tej osoby, lecz do punktu odbioru, oraz gdy żadne inne dane dotyczące tożsamości cywilnej nie są wymagane na potrzeby fakturowania.

54.      Jestem zatem zdania, że na drugie pytanie prejudycjalne należy odpowiedzieć w ten sposób, iż dane klientów farmaceuty przekazywane podczas zamawiania poprzez platformę sprzedaży internetowej leków, których sprzedaż jest zastrzeżona dla aptek, ale które nie wymagają recepty, nie stanowią „danych dotyczących zdrowia” w rozumieniu art. 4 pkt 15 i art. 9 RODO, ponieważ z danych tych można wywieść jedynie hipotetyczne lub nieprecyzyjne wnioski o stanie zdrowia osoby składającej zamówienie – co powinien zweryfikować sąd odsyłający.

55.      Dodatkowo pragnę jeszcze wskazać, że według mnie dokonywanie wykładni pojęcia „danych dotyczących zdrowia” w taki sposób, iż obejmuje ono dane przekazane podczas zamawiania poprzez platformę sprzedaży internetowej leków, których sprzedaż jest zastrzeżona dla aptek, ale które nie wymagają recepty, paradoksalnie może prowadzić do ujawnienia większej liczby wrażliwych informacji z powodu wzmocnionego systemu ochrony przewidzianego w art. 9 ust. 2 RODO. Żądanie udzielenia wyraźnej zgody na przetwarzanie danych zidentyfikowanych już jako dane wrażliwe mogłoby bowiem in fine skłonić kupującego do ujawnienia tożsamości końcowego użytkownika produktu. W takiej sytuacji możliwe byłoby wyciągnięcie bardziej jednoznacznych wniosków co do stanu zdrowia tej osoby.

B.      W przedmiocie pierwszego pytania prejudycjalnego

56.      W świetle odpowiedzi, jakiej proponuję udzielić na drugie pytanie prejudycjalne, moim zdaniem nie ma potrzeby odpowiadania na pierwsze pytanie prejudycjalne. Dla pełności wywodu oraz mając na uwadze ocenę, jakiej będzie musiał jeszcze dokonać sąd odsyłający, przeanalizuję jednakże to pytanie, poprzez które sąd odsyłający zmierza zasadniczo do ustalenia, czy przepisy rozdziału VIII RODO należy interpretować w ten sposób, że stoją one na przeszkodzie przepisom krajowym, które przyznają przedsiębiorstwom prawo do powoływania się, na podstawie zakazu czynów nieuczciwej konkurencji, na naruszenia materialnoprawnych przepisów tego rozporządzenia, jakich mieli się dopuścić ich konkurenci.

57.      Strony udzieliły diametralnie przeciwstawnych odpowiedzi na to pytanie. Z jednej strony zdaniem Komisji i ND system środków ochrony prawnej ustanowiony w przepisach rozdziału VIII RODO, interpretowany w świetle celów tego rozporządzenia, należy rozumieć jako system wyczerpujący, wykluczający jakąkolwiek możliwość ustanowienia przez państwa członkowskie alternatywnych środków ochrony prawnej w prawie krajowym.

58.      Z drugiej strony zdaniem rządu niemieckiego system środków ochrony prawnej ustanowiony w przepisach rozdziału VIII RODO należy rozumieć jako minimalny zbiór środków ochrony prawnej, który państwa członkowskie mogą uzupełniać. Uzasadnieniem dla niewyczerpującego charakteru takiego systemu jest okoliczność, że celem RODO jest również ochrona warunków konkurencji i zapobieganie zakłóceniom, jakie mogłyby wyniknąć z różnic w stopniu ochrony danych, oraz że możliwość powoływania się przez konkurenta na naruszenie przez innego konkurenta materialnoprawnych przepisów tego rozporządzenia zwiększyłaby skuteczność tego aktu.

59.      Strony skoncentrowały zatem swoje uwagi na kwestii, czy przewidziany w RODO system środków ochrony prawnej należy rozumieć jako system wyczerpującej harmonizacji, co ich zdaniem warunkuje możliwość ustanowienia przez państwa członkowskie w prawie krajowym środków ochrony prawnej alternatywnych wobec środków ustanowionych w tym rozporządzeniu.

60.      Niemniej mimo że ustalenie, czy system środków ochrony prawnej ma wyczerpujący charakter, jest istotnym elementem dla udzielenia użytecznej odpowiedzi na pierwsze pytanie prejudycjalne, wydaje mi się – z powodów, które przedstawię – że taka analiza wymaga uprzedniego zbadania podstawowej kwestii, jaką jest określenie osób, którym przysługuje ochrona przyznana zarówno przez materialnoprawne, jak i proceduralne normy RODO. W przypadku bowiem gdyby należało uznać, że prawa przyznane przez RODO przysługują przedsiębiorstwom będącym administratorami danych, jestem zdania, iż rozporządzenie to należałoby interpretować w ten sposób, że wymaga ono ustanowienia w prawie krajowym środka prawnego umożliwiającego dochodzenie tych praw. Rozpocznę zatem moją analizę od tej kwestii, aby następnie odpowiedzieć na pytanie, czy ustanowiony w RODO system środków ochrony prawnej należy rozpatrywać jako system wyczerpujący, w tym znaczeniu, że wyklucza on, aby prawo krajowe dawało przedsiębiorstwu możliwość wytoczenia powództwa o zaniechanie przeciwko konkurentowi na podstawie zakazu czynów nieuczciwej konkurencji, z powołaniem się na naruszenie przez niego przepisów tego rozporządzenia.

1.      Ustalenie, kto jest podmiotem praw przyznanych przez RODO

61.      Postaram się najpierw wyjaśnić konieczność ustalenia tej kwestii, następnie dokonam tego ustalenia, zaś na koniec przedstawię, jaki wpływ na odpowiedź na pierwsze pytanie prejudycjalne ma ustalenie, że jedynymi beneficjentami praw przyznanych przez RODO są osoby, których dane dotyczą.

a)      W przedmiocie konieczności ustalenia podmiotów praw chronionych przez RODO

62.      Moim zdaniem konieczność uprzedniego ustalenia podmiotów praw chronionych przez RODO, a następnie rozważenia kwestii wyczerpującego charakteru systemu środków prawnych ustanowionych w tym rozporządzeniu – do celów udzielenia odpowiedzi na pytanie prejudycjalne – można wyjaśnić na dwa sposoby.

1)      Spoczywający na państwach członkowskich obowiązek ustanowienia środków prawnych w celu dochodzenia praw wywodzących się z prawa Unii

63.      Pragnę zauważyć, że zgodnie z utrwalonym orzecznictwem prawo Unii nie tylko nakłada na jednostki zobowiązania, lecz może również być źródłem praw wchodzących w zakres dóbr prawnych tych jednostek(16), przy czym Trybunał podkreśla w tym względzie, że prawa te powstają między innymi jako skutek zobowiązań nałożonych zarówno na jednostki, jak i na państwa członkowskie oraz instytucje Unii(17). Każde zobowiązanie nałożone na osobę fizyczną lub prawną co do zasady jest bowiem sprzężone z powstaniem prawa po stronie drugiej osoby.

64.      Ponadto jest bezsporne, że każde prawo przyznane jednostce przez prawo Unii wiąże się również z istnieniem środka prawnego mającego na celu właśnie dochodzenie tego prawa, przy czym w braku szczególnych norm prawnych Unii służących temu celowi zadaniem państw członkowskich jest zapewnienie przestrzegania tych praw przy pomocy krajowych środków ochrony prawnej(18). Jak bowiem jasno wynika z orzecznictwa, zadaniem sądów krajowych jest ochrona praw przyznanych jednostkom na mocy przepisów prawa Unii(19).

65.      Jeżeli RODO, jak twierdzi rząd niemiecki, należy interpretować w ten sposób, że oprócz osób, których dane dotyczą, chroni ono również warunki konkurencji na rynku, a zatem in fine przedsiębiorstwa, należy uznać, iż rozporządzenie to jest źródłem praw wchodzących w zakres dóbr prawnych tych przedsiębiorstw(20).

66.      W tych okolicznościach, wobec braku wyraźnych przepisów prawa Unii w tym względzie, przestrzeganie praw wywodzonych z RODO przez przedsiębiorstwa powinno być zapewnione na podstawie środków prawnych ustanowionych przez państwa członkowskie.

67.      Wynikałoby z tego, że bez potrzeby badania, czy system środków ochrony prawnej ustanowiony w RODO ma wyczerpujący charakter, na pierwsze pytanie prejudycjalne należałoby odpowiedzieć, że rozdział VIII tego rozporządzenia należy interpretować w ten sposób, iż nie tyle nie stoi on na przeszkodzie temu, aby państwa członkowskie mogły przewidzieć możliwość wytoczenia powództwa przez konkurenta przeciwko innemu przedsiębiorstwu z powołaniem się na naruszenie wspomnianego rozporządzenia, lecz wręcz wymaga on zapewnienia przestrzegania jego przepisów w drodze powództwa wytoczonego przez przedsiębiorstwo przeciwko konkurentowi z powołaniem się na ich naruszenie przez tego konkurenta(21).

68.      Odpowiedź na pierwsze pytanie prejudycjalne zależy zatem według mnie od ustalenia, kto jest podmiotem praw przyznanych przez RODO.

2)      Podwójny wymiar wyczerpującego charakteru systemu środków ochrony prawnej

69.      Samo pojęcie „wyczerpującego charakteru systemu środków ochrony prawnej” może obejmować dwa odrębne wymiary, wymagające odmiennej analizy oraz wcześniejszego ustalenia kręgu osób będących podmiotami praw, których przestrzeganie zapewnia ten system.

70.      Wymiar pierwszy dotyczy wyczerpującego charakteru systemu środków ochrony prawnej w odniesieniu do wszelkich innych środków prawnych przeznaczonych do ochrony tego samego prawa. Innymi słowy, chodzi o wyczerpujący charakter środków prawnych przewidzianych w prawie Unii dla ochrony praw, jakie przyznaje ono jednostkom. W swoim orzecznictwie Trybunał wypowiedział się już na temat wpływu wyczerpującego charakteru środków prawnych przewidzianych w prawie Unii dla ochrony prawa, które jest właśnie przewidziane w prawie Unii. I tak, tytułem przykładu, Trybunał orzeka konsekwentnie, że zharmonizowany w wyczerpujący sposób przez prawo Unii system odpowiedzialności może jednakże współistnieć z opartym na tych samych okolicznościach faktycznych i podstawach alternatywnym systemem odpowiedzialności przewidzianym w prawie krajowym, o ile ten alternatywny system nie przynosi szkody systemowi zharmonizowanemu oraz nie narusza jego celów i skuteczności (effet utile)(22). Sam wyczerpujący charakter systemu środków ochrony prawnej przewidzianego w prawie Unii nie wystarcza zatem, aby wykluczyć możliwość ustanowienia przez państwo członkowskie w prawie krajowym alternatywnego środka prawnego w oparciu o to samo prawo, o ile spełnione są pewne przesłanki.

71.      Drugi wymiar pojęcia „wyczerpującego charakteru systemu środków ochrony prawnej” przewidzianego w prawie Unii jest szerszy i odnosi się do wyczerpującego charakteru względem wszelkich innych środków prawnych przysługujących osobom, które nie są bezpośrednio podmiotami praw przyznanych przez prawo Unii, lecz powołują się na te prawa w ramach środka prawnego przewidzianego w prawie krajowym. Taka koncepcja wyczerpującego charakteru systemu środków ochrony prawnej ustanowionego w prawie Unii wymaga zatem odmiennej analizy(23).

72.      Także i w tym przypadku przed przystąpieniem do właściwej analizy ewentualnie wyczerpującego charakteru systemu środków ochrony prawnej przewidzianego w RODO należy najpierw ustalić, kto jest podmiotem praw przyznanych w tym rozporządzeniu, co postaram się uczynić w dalszej części opinii.

b)      W przedmiocie ustalenia podmiotów praw chronionych przez RODO

73.      Podmiotowy zakres ochrony przyznanej przez RODO należy moim zdaniem określić zarówno w świetle celów, jak i treści tego rozporządzenia.

74.      Przede wszystkim, jeśli chodzi o cele RODO, rząd niemiecki podnosi w tym względzie, że celem tego rozporządzenia jest – poza zapewnieniem wysokiego i spójnego stopnia ochrony osób fizycznych – ustanowienie równych warunków konkurencji.

75.      Prawdą jest, że w motywie 9 RODO jest mowa o tym, iż różnice w ochronie prawa do ochrony danych osobowych w związku z ich przetwarzaniem mogą zakłócać konkurencję. Niemniej według mnie stwierdzenia tego nie można interpretować w ten sposób, że stawia ono gwarancję swobodnej i niezakłóconej konkurencji jako cel RODO. Okoliczność, że rozbieżności między ustawodawstwami państw członkowskich, jeśli chodzi o normy wymagane od przedsiębiorstw, skutkują zakłóceniami konkurencji, jest według mnie zwykłym stwierdzeniem, które odnosi się nie tylko do RODO. W przypadku gdy przepisy materialnoprawne regulują działalność przedsiębiorstw na rynku w jednym państwie członkowskim w bardziej rygorystyczny sposób niż w innym, siłą rzeczy wynika z tego pewna przewaga konkurencyjna dla przedsiębiorstw działających w tym drugim państwie w stosunku do przedsiębiorstw mających siedziby w pierwszym, przy czym celem harmonizujących aktów prawnych jest przeciwdziałanie takiej sytuacji.

76.      Wykładnię taką potwierdza według mnie zawarte w motywie 9 RODO odniesienie do konieczności zapewnienia „swobodnego przepływu danych osobowych w Unii”, potencjalnie zagrożonego z powodu rozbieżności w krajowych regulacjach prawnych.

77.      Ponadto, jak wskazała Komisja podczas rozprawy, motyw 9 RODO nie odnosi się do konkurencji istniejącej między wszystkimi przedsiębiorstwami, lecz przede wszystkim do konkurencji między przedsiębiorstwami z dwóch różnych państw członkowskich spowodowanej różnicami w regulacjach prawnych. Inaczej mówiąc, chodzi głównie o zapewnienie równych warunków konkurencji w poszczególnych państwach członkowskich poprzez poddanie przedsiębiorstw normom zharmonizowanym, nawet jeżeli normy te przyczyniają się przy okazji do tego, że żadne przedsiębiorstwo nie ma przewagi konkurencyjnej nad innymi przedsiębiorstwami wewnątrz jednego państwa członkowskiego.

78.      Według mnie celem RODO nie jest zatem zapewnienie swobodnej i niezakłóconej konkurencji na rynku wewnętrznym.

79.      Następnie pragnę zauważyć, że żaden z przepisów materialnoprawnych RODO nie ma na celu zapewnienia swobodnej i niezakłóconej konkurencji między przedsiębiorstwami oraz uczynienia z nich adresatów ochrony ustanowionej w tym rozporządzeniu. Przeciwnie, przepisy te mają na celu przede wszystkim nałożenie obowiązków na przedsiębiorstwa będące administratorami danych. Chociaż prawdą jest, że jak wspomniałem, każde zobowiązanie nałożone na osobę fizyczną lub prawną siłą rzeczy jest sprzężone z powstaniem uprawnienia po stronie drugiej osoby, to jednak jedynymi beneficjentami rozpatrywanych uprawnień są nie przedsiębiorstwa, lecz osoby, których dane są przetwarzane przez te przedsiębiorstwa. Wymowny pod tym względem jest tytuł RODO, gdyż odnosi się on wyłącznie do ochrony osób fizycznych.

80.      Wreszcie, jeśli chodzi o przepisy proceduralne rozdziału VIII RODO, pragnę podkreślić, że przewidują one, jak już wcześniej wskazałem, środki ochrony prawnej wyłącznie na rzecz osób, których dane dotyczą, i podmiotów obowiązanych do ich reprezentowania. To ograniczenie kręgu osób, które na mocy przepisów RODO mogą powoływać się przed sądem na naruszenie ochrony ich danych osobowych, wydaje się jasno wskazywać, że wyłącznie one są adresatami tej ochrony. Według mnie byłoby bowiem niespójne, gdyby RODO miało być również instrumentem ochrony praw konkurentów, mimo że rozporządzenie to nie przewiduje żadnego środka prawnego w celu umożliwienia im wniesienia skargi w przypadku naruszenia tych praw, choć środki takie są wyraźnie przewidziane w odniesieniu do ochrony praw osób, których dane dotyczą.

81.      Jestem zatem zdania, że adresatami ochrony przewidzianej w RODO nie są przedsiębiorstwa, ponieważ rozporządzenie to przyznaje prawa wyłącznie osobom, których dane dotyczą.

c)      W przedmiocie wpływu wykładni RODO jako normy chroniącej wyłącznie osoby, których dane dotyczą

82.      Wykładnia RODO, zgodnie z którą przepisy tego rozporządzenia przyznają prawa nie przedsiębiorstwom, lecz wyłącznie osobom, których dane dotyczą, pozwala mi na wyciągnięcie kilku wniosków.

83.      W pierwszej kolejności, jak już wspomniałem, wykładnia ta według mnie nie pozwala na przyjęcie, że przestrzeganie przepisów RODO należy zapewnić w drodze powództwa wytoczonego przez przedsiębiorstwo przeciwko konkurentowi z powołaniem się na naruszenie tych przepisów przez tego konkurenta.

84.      W drugiej kolejności, skoro krąg beneficjentów praw przyznanych przez RODO jest ograniczony wyłącznie do osób, których dane dotyczą, orzecznictwo Trybunału odnoszące się do możliwości ustanowienia przez państwa członkowskie w prawie krajowym dodatkowych środków prawnych przysługujących podmiotom tych praw, o ile te środki prawne nie przynoszą szkody systemowi zharmonizowanemu oraz nie naruszają jego celów(24), nie wydaje mi się możliwe do przeniesienia bezpośrednio na grunt rozpatrywanej sytuacji. Wykażę jednak, że orzecznictwo to może posłużyć za podstawę dla analizy tej sytuacji.

85.      Zgodnie z tym znaczeniem pojęcia „wyczerpującego charakteru środków ochrony prawnej” należy bowiem ustalić, czy ustanowiony w RODO system środków ochrony prawnej należy rozumieć jako system wyczerpujący w tym znaczeniu, że stoi on na przeszkodzie ustanowieniu w prawie krajowym innych środków prawnych na rzecz osób, których dane dotyczą, niż te przewidziane w tym rozporządzeniu.

86.      Sprawa w postępowaniu głównym dotyczy powództwa wytoczonego przez przedsiębiorstwo, które nie należy do podmiotów praw przyznanych przez RODO.

87.      W tych okolicznościach, mając na względzie okoliczność, że RODO nie przyznaje żadnych praw przedsiębiorstwom i ich konkurentom, istotna jest wyłącznie kwestia, czy system środków ochrony prawnej ustanowiony przez RODO należy rozumieć jako system wyczerpujący, w tym znaczeniu, iż rozporządzenie to wyklucza również możliwość powołania się przez przedsiębiorstwa na naruszenie jego przepisów w ramach środków prawnych przewidzianych w prawie krajowym, co postaram się teraz ustalić.

2.      Możliwość korzystania ze środków prawnych opartych na prawie krajowym przez osoby niebędące podmiotami praw przyznanych przez RODO

88.      Pytanie, czy ustanowione w RODO przepisy odnoszące się do systemu środków ochrony prawnej stoją na przeszkodzie powoływaniu się przez przedsiębiorstwa na naruszenie przepisów tego rozporządzenia w ramach środków prawnych przewidzianych w prawie krajowym, moim zdaniem wymaga dwustopniowej odpowiedzi.

89.      Odpowiedź na to pytanie wymaga bowiem zbadania, po pierwsze, możliwości powoływania się przez przedsiębiorstwa na przepisy RODO, mimo że nie są one podmiotami praw przyznanych przez to rozporządzenie, a po drugie, warunków interakcji takich środków prawnych z systemem środków ochrony prawnej przewidzianym w tym rozporządzeniu.

90.      Jeśli chodzi, w pierwszej kolejności, o możliwość powołania się przez przedsiębiorstwa na przepisy RODO, pragnę zauważyć, że jest ona w ramach środków prawnych opartych na prawie krajowym, takich jak środek rozpatrywany w postępowaniu głównym, jedynie incydentalna. Ściślej rzecz ujmując, przedsiębiorstwo wnosi środek prawny na podstawie prawa krajowego, a mianowicie przepisów dotyczących zakazu czynów nieuczciwej konkurencji. Nieuczciwy charakter czynu, którego dotyczy sprawa, wynika zatem z naruszenia RODO. Innymi słowy, środek prawny nie dotyczy naruszenia przepisów RODO, lecz uwzględnia takie naruszenie w sposób incydentalny(25).

91.      Prawdą jest, że Trybunał, co prawda w innym kontekście, dopuścił już takie incydentalne uwzględnienie. W wyroku Meta Platforms i in. (Ogólne warunki korzystania z sieci społecznościowej) Trybunał orzekł bowiem, że „przetwarzanie danych dokonywane przez przedsiębiorstwo zajmujące pozycję dominującą nie jest zgodne z [RODO] i może stanowić nadużycie tej pozycji”(26) oraz że zasadniczo niezbędne jest włączenie „przepisów z dziedziny ochrony danych osobowych [do] ram prawnych, jakie organy ochrony konkurencji powinny wziąć pod uwagę przy badaniu nadużycia pozycji dominującej”(27). Innymi słowy, Trybunał przyznaje, że naruszenie prawa konkurencji może polegać na naruszeniu przepisów RODO.

92.      Mimo że stwierdzenie to nie padło w kontekście sporu między jednostkami, lecz w kontekście badania antykonkurencyjnej praktyki przez krajowy organ ochrony konkurencji, nie widzę żadnego powodu, aby możliwość incydentalnego uwzględnienia naruszenia przepisów RODO ograniczać wyłącznie do tej sytuacji.

93.      Po pierwsze, jeśli chodzi o prawo konkurencji, skoro takie uwzględnienie jest dopuszczalne w sferze public enforcement, moim zdaniem należy je również dopuścić w odniesieniu do private enforcement, a zatem w odniesieniu do sporów między jednostkami, których głównym przedmiotem nie jest naruszenie prawa przyznanego przez RODO, gdyż w przeciwnym razie należałoby przyjąć, że jednostki nie mogą uzyskać naprawienia szkody wyrządzonej wskutek naruszenia prawa konkurencji, mimo iż naruszenie to zostało stwierdzone przez organ ochrony konkurencji.

94.      Po drugie, jak zauważył rzecznik generalny J. Richard de la Tour, ochrona danych osobowych może mieć „[…] powiązan[ia] z [innymi] dziedzina[mi], w szczególności [z] praw[em] pracy, praw[em] konkurencji czy też praw[em] konsumencki[m]”(28). Uważam, że ten wpływ RODO na inne dziedziny powinien skutkować przyjęciem, iż przepisy tego rozporządzenia należy uwzględniać w kontekście środków prawnych, których główną podstawą są przepisy inne niż RODO.

95.      W drugiej kolejności, jeśli chodzi o kwestię interakcji między krajowymi środkami prawnymi obejmującymi incydentalne uwzględnienie przepisów RODO a systemem środków ochrony prawnej ustanowionym w tym rozporządzeniu, jestem zdania, że takie środki powinny być dopuszczalne wyłącznie pod warunkiem, że nie zaszkodzi to systemowi środków ochrony prawnej przewidzianych we wspomnianym rozporządzeniu lub realizacji jego celów.

96.      Warunki te zostały określone w orzecznictwie odnoszącym się do wyczerpującego charakteru zharmonizowanego systemu środków prawnych względem krajowych środków prawnych opartych na tym samym prawie(29). Wydaje się zatem, że powinny one a fortiori być spełnione, gdy chodzi o przepisy krajowe, które dają przedsiębiorstwom prawo do korzystania ze środka prawnego, który nie jest oparty na tym samym prawie, lecz na prawie krajowym, niemniej z powołaniem się na naruszenie materialnoprawnych przepisów RODO, jakiego miało się dopuścić inne przedsiębiorstwo.

97.      Należy zatem zweryfikować, czy w niniejszym przypadku warunki te są spełnione.

98.      W pierwszej kolejności, jeśli chodzi o ustalenie, czy wytoczone przez przedsiębiorstwo przeciwko konkurentowi powództwo o zaniechanie, w ramach którego podniesiono naruszenie przez niego przepisów RODO, przynosi szkodę systemowi środków ochrony prawnej ustanowionemu w rozdziale VIII tego rozporządzenia – jestem zdania, że tak nie jest. Te środki ochrony prawnej umożliwiają bowiem osobom, których dane dotyczą, lub umocowanym przez te osoby podmiotom, organizacjom lub zrzeszeniom, które nie mają charakteru zarobkowego, wnoszenie skarg do organu nadzorczego (art. 77), wnoszenie środków ochrony prawnej przed sądem przeciwko decyzji organu nadzorczego (art. 78), wytoczenie powództwa przeciwko administratorowi lub podmiotowi przetwarzającemu (art. 79) lub uzyskanie od administratora lub podmiotu przetwarzającego odszkodowania za szkodę poniesioną w wyniku naruszenia rozporządzenia (art. 82).

99.      Innymi słowy, jak podkreśla Trybunał w swoim orzecznictwie, rozdział VIII RODO „reguluje […] środki ochrony prawnej umożliwiające ochronę praw osoby, której dane dotyczą, w przypadku gdy dotyczące jej dane osobowe miały zostać przetworzone w sposób sprzeczny z przepisami rzeczonego rozporządzenia”, przy czym ochrony tych praw może „żądać albo bezpośrednio osoba, której dane dotyczą, albo uprawniony podmiot posiadający w tym celu upoważnienie lub nieposiadający takiego upoważnienia”(30).

100. W tym kontekście środek prawny, z którego mogłoby skorzystać przedsiębiorstwo przeciwko konkurentowi, powołując się na naruszenie przez niego RODO, jest wprawdzie ostatecznie oparty na zarzucie naruszenia tego samego przepisu, lecz nie służy temu samemu celowi i nie dotyczy tych samych stron. Inaczej mówiąc, taki krajowy środek prawny nie jest stworzony w celu zapewnienia poszanowania praw, których adresatami są osoby, których dane dotyczą.

101. Moim zdaniem wynika z tego, że środki prawne przysługujące osobom, których dane dotyczą, w ramach systemu środków ochrony prawnej ustanowionego w RODO są zachowane i można nadal z nich korzystać nawet w przypadku wytoczenia powództwa przez przedsiębiorstwo przeciwko konkurentowi.

102. Pragnę w tym względzie również wskazać, że nie rozumiem, dlaczego takie środki prawne miałyby, jak twierdzi Komisja, zagrażać ustanowionemu w RODO publicznemu systemowi kontroli stosowania prawa, skoro rozporządzenie to przewiduje wprost, obok takiego publicznego systemu, możliwość powołania się w ramach postępowania sądowego przez osobę, której dane dotyczą, na prawa przysługujące jej na podstawie RODO.

103. Następnie, co się tyczy celów, do jakich zmierza RODO, z jego motywu 10 wynika, że rozporządzenie to ma na celu w szczególności zapewnienie zarówno wysokiego stopnia ochrony osób fizycznych, jak i spójnego i jednolitego stosowania przepisów o ochronie podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych.

104. Nie wydaje mi się, aby osiągnięcie któregokolwiek z tych celów było zagrożone przez przyznanie przedsiębiorstwu możliwości wytoczenia powództwa o zaniechanie przeciwko konkurentowi na podstawie przepisów dotyczących zakazu czynów nieuczciwej konkurencji, z powołaniem się na naruszenie przez niego przepisów RODO. Po pierwsze, uważam, że przyznanie przedsiębiorstwu możliwości powoływania się na naruszenie przez konkurenta materialnoprawnych przepisów RODO sprzyja osiągnięciu wysokiego stopnia ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych, a nawet wzmacnia tę ochronę. Po drugie, szersza możliwość powoływania się na te przepisy przez osoby inne niż tylko te, których dane dotyczą, nie zagraża realizacji celu, jakim jest spójna i jednolita ochrona w całej Unii. Nawet bowiem gdyby państwa członkowskie nie przewidziały takiej możliwości, nie skutkowałoby to rozdrobnieniem wdrażania ochrony danych w Unii, skoro materialnoprawne przepisy RODO są tak samo wiążące dla wszystkich przedsiębiorstw, a ich przestrzeganie zapewniają środki ochrony prawnej przewidziane w tym rozporządzeniu.

105. Wreszcie, co się tyczy skuteczności (effet utile) RODO, jak już wspomniałem, uważam, że przyznanie przedsiębiorstwu możliwości wytoczenia powództwa o zaniechanie przeciwko konkurentowi, z powołaniem się na naruszenie RODO, nie tylko nie podważa tej skuteczności, lecz zwiększa ją dzięki temu, że przestrzeganie przepisów tego rozporządzenia może być zapewnione również w postępowaniach sądowych innych niż te przewidziane w ramach systemu środków ochrony prawnej ustanowionego w tym rozporządzeniu.

106. Wobec tego jestem zdania, że powództwo o zaniechanie wytoczone przez przedsiębiorstwo przeciwko konkurentowi z powołaniem się na naruszenie przez niego przepisów RODO może współistnieć ze środkami ochrony prawnej ustanowionymi w rozdziale VIII RODO, ponieważ nie przynosi im szkody oraz nie zagraża celom i skuteczności tego rozporządzenia.

107. Proponuję zatem, aby Trybunał orzekł, że przepisy rozdziału VIII RODO nie stoją na przeszkodzie przepisom krajowym, które przyznają przedsiębiorstwom prawo do powoływania się, na podstawie zakazu czynów nieuczciwej konkurencji, na naruszenia materialnoprawnych przepisów tego rozporządzenia, jakich mieli się dopuścić ich konkurenci.

V.      Wnioski

108. W świetle całości powyższych rozważań proponuję na pytania prejudycjalne przedstawione przez Bundesgerichtshof (federalny trybunał sprawiedliwości, Niemcy) udzielić następującej odpowiedzi:

Artykuł 4 pkt 15 i art. 9 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych)

należy interpretować w ten sposób, że

dane klientów farmaceuty przekazane podczas zamawiania poprzez platformę sprzedaży internetowej leków, których sprzedaż jest zastrzeżona dla aptek, ale które nie wymagają recepty, nie stanowią „danych dotyczących zdrowia”.

1      Język oryginału: francuski.

2      Rozporządzenie Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. 2016, L 119, s. 1).

3      Dyrektywa Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. 1995, L 281, s. 31).

4      Dyrektywa Parlamentu Europejskiego i Rady z dnia 9 marca 2011 r. w sprawie stosowania praw pacjentów w transgranicznej opiece zdrowotnej (Dz.U. 2011, L 88, s. 45).

5      BGBl. 2004 I, s. 1414.

6      BGBl. 2005 I, s. 3394.

7      BGBl. 2022 I, s. 2793.

8      Pragnę w tym względzie zaznaczyć, że sąd odsyłający stawia Trybunałowi również pytanie o „dane dotyczące zdrowia” w rozumieniu art. 8 ust. 1 dyrektywy 95/46. Jednakże moim zdaniem nie ma potrzeby dokonywania rozróżnienia między tym przepisem a art. 9 ust. 1 RODO, ponieważ przepisy te należy uznać za mające podobny zakres do celów ich wykładni, o której dokonanie wystąpiono do Trybunału w niniejszej sprawie. Zobacz w tej kwestii wyrok z dnia 1 sierpnia 2022 r., Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, pkt 58). W toku mojej analizy będę się zatem odwoływał wyłącznie do art. 9 ust. 1 RODO, przy czym będzie się ona również odnosić do art. 8 ust. 1 dyrektywy 95/46.

9      Wyrok z dnia 1 sierpnia 2022 r., Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, pkt 124).

10      Wyrok z dnia 1 sierpnia 2022 r., Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, pkt 126).

11      Wyrok ETPC z dnia 25 lutego 1997 r., Z przeciwko Finlandii (CE:ECHR:1997:0225, pkt 95). Europejski Trybunał Praw Człowieka podkreśla ponadto, że zwiększona ochrona danych zdrowotnych jest „kluczowa nie tylko ze względu na ochronę życia prywatnego chorych, lecz również ze względu na ochronę ich zaufania do zawodów medycznych i usług opieki zdrowotnej”.

12      Wyrok z dnia 1 sierpnia 2022 r., Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, pkt 123).

13      Wytyczne Europejskiej Rady Ochrony Danych 03/2020 w sprawie przetwarzania danych dotyczących zdrowia do celów badań naukowych w kontekście pandemii COVID‑19, s. 5.

14      Zobacz L.A. Bygrave i L. Tosoni, Article 4(15), [w:] C. Kuner, L.A. Bygrave, I C Docksey (eds), The EU General Data Protection Regulation (GDPR), a Commentary, Oxford University Press, 2020, s. 222.

15      Wyrok z dnia 24 lutego 2022 r., Glavna direktsia „Pozharna bezopasnost i zashtita na naselenieto” (C‑262/20, EU:C:2022:117, pkt 71).

16      Wyroki: z dnia 19 listopada 1991 r., Francovich i in. (C‑6/90 i C‑9/90, EU:C:1991:428, pkt 31); a także z dnia 20 września 2001 r., Courage i Crehan (C‑453/99, EU:C:2001:465, pkt 19).

17      Wyrok z dnia 20 września 2001 r., Courage i Crehan (C‑453/99, EU:C:2001:465, pkt 19).

18      Jeśli chodzi o tę kwestię, zob. W. Van Gerven, Of Rights, Remedies and Procedures, Common Market Law Review, vol. 37(3), 2000, s. 501–536.

19      Wyrok z dnia 20 września 2001 r., Courage i Crehan (C‑453/99, EU:C:2001:465, pkt 25).

20      Wyroki: z dnia 19 listopada 1991 r., Francovich i in. (C‑6/90 i C‑9/90, EU:C:1991:428, pkt 31); a także z dnia 20 września 2001 r., Courage i Crehan (C‑453/99, EU:C:2001:465, pkt 19).

21      Trybunał przyjął już podobne rozstrzygnięcie, w szczególności w odniesieniu do rozporządzenia Rady (EWG) nr 1035/72 z dnia 18 maja 1972 r. w sprawie wspólnej organizacji rynku owoców i warzyw (Dz.U. 1972, L 118, s. 1). Rozstrzygnięcie to opierało się wyłącznie na okoliczności, że ten akt prawny miał również na celu zapewnienie uczciwego handlu i przejrzystości rynku, w związku z czym powództwo cywilne wytoczone przez przedsiębiorstwo przeciwko konkurentowi w celu przymuszenia go do przestrzegania obowiązków określonych w tym rozporządzeniu wzmacniało skuteczność regulacji wspólnotowej. Innymi słowy, wykładni rozporządzenia nr 1035/72 dokonano w ten sposób, że nakazuje ono przedsiębiorstwom przestrzeganie zasad wspólnej organizacji rynku, aby mogły korzystać z relacji handlowych opartych na uczciwej konkurencji, oraz sprawia, że przedsiębiorstwa są beneficjentami uprawnień wynikających z zobowiązań, które się na nie również nakłada. Zobacz wyrok z dnia 17 września 2002 r., Muñoz i Superior Fruiticola (C‑253/00, EU:C:2002:497, pkt 29, 31).

22      Wyroki: z dnia 21 grudnia 2011 r., Dutrueux (C‑495/10, EU:C:2011:869, pkt 29, 30); z dnia 16 marca 2023 r., Beobank (C‑351/21, EU:C:2023:215, pkt 38).

23      Jeśli chodzi o orzecznictwo Trybunału, ten podwójny wymiar pojęcia wyczerpującego charakteru systemu środków prawnych w zależności od tego, kto jest podmiotem prawa wywiedzionego z prawa Unii, jest moim zdaniem dostrzegalny w wyroku z dnia 2 września 2021 r., CRCAM (C‑337/20, EU:C:2021:671). W wyroku tym Trybunał badał pod kątem zgodności z dyrektywą 2007/64/WE Parlamentu Europejskiego i Rady z dnia 13 listopada 2007 r. w sprawie usług płatniczych w ramach rynku wewnętrznego, zmieniającą dyrektywy 97/7/WE, 2002/65/WE, 2005/60/WE i 2006/48/WE i uchylającą dyrektywę 97/5/WE (Dz.U. 2007, L 319, s. 1; sprostowanie Dz.U. 2009, L 187, s. 5) krajowy system odpowiedzialności umożliwiający poręczycielowi użytkownika usług płatniczych, ze względu na niewypełnienie przez dostawcę usług płatniczych jego obowiązków wynikających z tej dyrektywy, powołanie się na odpowiedzialność cywilną tego dostawcy usług zgodnie z krajowymi przepisami prawa powszechnego regulującymi odpowiedzialność umowną. Trybunał rozpoczął swoją analizę od stwierdzenia, że wspomniana dyrektywa ustanawia prawa wyłącznie wobec dostawców usług płatniczych i użytkowników takich usług, nie zaś wobec poręczyciela, a następnie rozpatrywał, czy system odpowiedzialności ustanowiony przez dyrektywę stoi na przeszkodzie alternatywnemu systemowi odpowiedzialności opartemu na prawie krajowym.

24      Wyroki: z dnia 21 grudnia 2011 r., Dutrueux (C‑495/10, EU:C:2011:869, pkt 29, 30); z dnia 16 marca 2023 r., Beobank (C‑351/21, EU:C:2023:215, pkt 38).

25      Pragnę w tym względzie podkreślić, że w przypadku gdyby naruszenie przepisów RODO mogło być uznane za nieuczciwą praktykę handlową w rozumieniu dyrektywy 2005/29/WE Parlamentu Europejskiego i Rady z dnia 11 maja 2005 r. dotyczącej nieuczciwych praktyk handlowych stosowanych przez przedsiębiorstwa wobec konsumentów na rynku wewnętrznym oraz zmieniającej dyrektywę Rady 84/450/EWG, dyrektywy 97/7/WE, 98/27/WE i 2002/65/WE Parlamentu Europejskiego i Rady oraz rozporządzenie (WE) nr 2006/2004 Parlamentu Europejskiego i Rady (Dz.U. 2005, L 149, s. 22), według mnie zastosowanie powinny mieć wszystkie przepisy tej dyrektywy, w tym przewidujące obowiązek ustanowienia przez państwa członkowskie, w myśl art. 11 wspomnianej dyrektywy, przepisów umożliwiających konkurentom wytoczenie powództwa w odniesieniu do takich nieuczciwych praktyk handlowych.

26      Wyrok z dnia 4 lipca 2023 r., Meta Platforms i in. (Ogólne warunki korzystania z sieci społecznościowej) (C‑252/21, EU:C:2023:537, pkt 43).

27      Wyrok z dnia 4 lipca 2023 r., Meta Platforms i in. (Ogólne warunki korzystania z sieci społecznościowej) (C‑252/21, EU:C:2023:537, pkt 51).

28      Opinia rzecznika generalnego J. Richarda de la Toura w sprawie Meta Platforms Ireland (C‑319/20, EU:C:2021:979, pkt 51).

29      Wyroki: z dnia 21 grudnia 2011 r., Dutrueux (C‑495/10, EU:C:2011:869, pkt 29, 30); z dnia 16 marca 2023 r., Beobank (C‑351/21, EU:C:2023:215, pkt 38). Zobacz także pkt 71 niniejszej opinii.

30      Wyrok z dnia 28 kwietnia 2022 r., Meta Platforms Ireland (C‑319/20, EU:C:2022:322, pkt 53).