–

ND, v zastúpení: A. Datta, M. Mogendorf a W. Spoerr, Rechtsanwälte,

–

DR, v zastúpení: M. Bahmann, Rechtsanwalt,

–

nemecká vláda, v zastúpení: J. Möller a P.‑L. Krüger, splnomocnení zástupcovia,

–

Európska komisia, v zastúpení: A. Bouchagiar, F. Erlbacher a H. Kranenborg, splnomocnení zástupcovia,

1

Návrh na začatie prejudiciálneho konania sa týka výkladu článku 9 ods. 1 a ustanovení kapitoly VIII nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 2016, s. 1, ďalej len „GDPR“), ako aj článku 8 ods. 1 smernice Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov (Ú. v. ES L 281, 1995, s. 31; Mim. vyd. 13/015, s. 355).

2

Tento návrh bol podaný v rámci sporu medzi ND a DR, dvoma fyzickými osobami, z ktorých každá prevádzkuje svoju lekáreň, a týka sa liekov, ktorých predaj je vyhradený lekárňam, ktoré ND predáva prostredníctvom online platformy.

3

Článok 8 smernice 95/46 s názvom „Spracovanie osobitných kategórií údajov“ stanovoval:

„1.   Členské štáty môžu zabrániť spracovaniu osobných údajov prezrádzajúcich rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenia, členstvo v odborových zväzoch a spracovaniu údajov týkajúcich sa zdravia alebo sexuálneho života.

2.   Odsek 1 sa neuplatňuje tam, kde:

…“

4

Odôvodnenia 9 až 11, 13, 35, 51, 53, 141 a 142 GDPR znejú takto:

…

…

…

…

…

5

Článok 1 tohto nariadenia, nazvaný „Predmet úpravy a ciele“, stanovuje:

„1.   Týmto nariadením sa stanovujú pravidlá ochrany fyzických osôb pri spracúvaní osobných údajov a pravidlá týkajúce sa voľného pohybu osobných údajov.

2.   Týmto nariadením sa chránia základné práva a slobody fyzických osôb, najmä ich právo na ochranu osobných údajov.

3.   Voľný pohyb osobných údajov v rámci Únie nemá byť obmedzený ani zakázaný z dôvodov súvisiacich s ochranou fyzických osôb pri spracúvaní osobných údajov.“

6

Článok 4 tohto nariadenia stanovuje:

„Na účely tohto nariadenia:

…

…

…

…“

7

Kapitola II GDPR s názvom „Zásady“ obsahuje články 5 až 11.

8

Článok 5 nariadenia stanovuje zásady, ktorými sa riadi spracúvanie osobných údajov, zatiaľ čo článok 6 stanovuje podmienky zákonnosti takéhoto spracúvania.

9

Podľa článku 9 uvedeného nariadenia s názvom „Spracúvanie osobitných kategórií osobných údajov“:

„1.   Zakazuje sa spracúvanie osobných údajov, ktoré odhaľujú rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie alebo členstvo v odborových organizáciách, a spracúvanie genetických údajov, biometrických údajov na individuálnu identifikáciu fyzickej osoby, údajov týkajúcich sa zdravia alebo údajov týkajúcich sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby.

2.   Odsek 1 sa neuplatňuje, ak platí niektorá z týchto podmienok:

…

…“

10

Článok 51 toho istého nariadenia s názvom „Dozorný orgán“ v odseku 1 stanovuje:

„Každý členský štát stanoví, že za monitorovanie uplatňovania tohto nariadenia je zodpovedný jeden alebo viacero nezávislých orgánov verejnej moci s cieľom chrániť základné práva a slobody fyzických osôb pri spracúvaní a uľahčiť voľný tok osobných údajov v rámci Únie (ďalej len ‚dozorný orgán‘).“

11

Kapitola VIII GDPR s názvom „Prostriedky nápravy, zodpovednosť a sankcie“ obsahuje články 77 až 84.

12

Článok 77 tohto nariadenia, nazvaný „Právo podať sťažnosť dozornému orgánu“, v odseku 1 stanovuje:

„Bez toho, aby boli dotknuté akékoľvek iné správne alebo súdne prostriedky nápravy, má každá dotknutá osoba právo podať sťažnosť dozornému orgánu, najmä v členskom štáte svojho obvyklého pobytu, mieste výkonu práce alebo v mieste údajného porušenia, ak sa domnieva, že spracúvanie osobných údajov, ktoré sa jej týka, je v rozpore s týmto nariadením.“

13

Článok 78 uvedeného nariadenia, nazvaný „Právo na účinný súdny prostriedok nápravy voči rozhodnutiu dozorného orgánu“, v odseku 1 uvádza:

„Bez toho, aby boli dotknuté iné správne alebo mimosúdne prostriedky nápravy, každá fyzická alebo právnická osoba má právo na účinný súdny prostriedok nápravy voči právne záväznému rozhodnutiu dozorného orgánu, ktoré sa jej týka.“

14

Článok 79 toho istého nariadenia, nazvaný „Právo na účinný súdny prostriedok nápravy voči prevádzkovateľovi alebo sprostredkovateľovi“, vo svojom odseku 1 stanovuje:

„Bez toho, aby bol dotknutý akýkoľvek dostupný správny alebo mimosúdny prostriedok nápravy vrátane práva na podanie sťažnosti dozornému orgánu podľa článku 77, každá dotknutá osoba má právo na účinný súdny prostriedok nápravy, ak sa domnieva, že v dôsledku spracúvania jej osobných údajov v rozpore s týmto nariadením došlo k porušeniu jej práv ustanovených v tomto nariadení.“

15

Článok 80 GDPR s názvom „Zastupovanie dotknutých osôb“ znie takto:

„1.   Dotknutá osoba má právo poveriť neziskový subjekt, organizáciu alebo združenie, ktoré boli riadne zriadené v súlade s právom členského štátu, ktorých ciele podľa stanov sú vo verejnom záujme a ktoré pôsobia v oblasti ochrany práv a slobôd dotknutých osôb, pokiaľ ide o ochranu ich osobných údajov, aby podali sťažnosť v jej mene, aby v jej mene uplatnili práva podľa článkov 77, 78 a 79 a aby v jej mene uplatnili právo na náhradu škody podľa článku 82, ak to umožňuje právo členského štátu.

2.   Členské štáty môžu stanoviť, že akýkoľvek subjekt, organizácia alebo združenie uvedené v odseku 1 tohto článku má v tomto členskom štáte nezávisle od poverenia dotknutej osoby právo podať sťažnosť dotknutému dozornému orgánu, ktorý je príslušný podľa článku 77, a uplatňovať práva uvedené v článkoch 78 a 79, ak sa domnieva, že boli porušené práva dotknutej osoby uvedené v tomto nariadení v dôsledku spracúvania.“

16

Článok 82 tohto nariadenia, nazvaný „Právo na náhradu škody a zodpovednosť“, v odseku 1 stanovuje:

„Každá osoba, ktorá utrpela majetkovú alebo nemajetkovú ujmu v dôsledku porušenia tohto nariadenia, má právo na náhradu utrpenej škody od prevádzkovateľa alebo sprostredkovateľa.“

17

V článku 83 uvedeného nariadenia s názvom „Všeobecné podmienky ukladania správnych pokút“ sa v odseku 1 stanovuje:

„Každý dozorný orgán zabezpečí, aby bolo ukladanie správnych pokút podľa tohto článku za porušenia tohto nariadenia uvedené v odsekoch 4, 5 a 6 v každom jednotlivom prípade účinné, primerané a odrádzajúce.“

18

V článku 84 toho istého nariadenia s názvom „Sankcie“ sa v odseku 1 uvádza:

„Členské štáty stanovia pravidlá pre iné sankcie za porušenia tohto nariadenia, predovšetkým za tie, na ktoré sa nevzťahujú správne pokuty podľa článku 83, a prijmú všetky opatrenia potrebné na zabezpečenie ich vykonávania. Takéto sankcie musia byť účinné, primerané a odrádzajúce.“

19

Článok 94 GDPR v odseku 1 stanovuje:

„Smernica [95/46] sa zrušuje s účinnosťou od 25. mája 2018.“

20

Podľa článku 99 tohto nariadenia:

„1.   Toto nariadenie nadobúda účinnosť dvadsiatym dňom po jeho uverejnení v Úradnom vestníku Európskej únie.

2.   Uplatňuje sa od 25. mája 2018.“

21

Ustanovenie § 3 Gesetz gegen den unlauteren Wettbewerb (zákon o nekalej súťaži) z 3. júla 2004 (BGBl. 2004 I, s. 1414), v znení uplatniteľnom na spor vo veci samej, (ďalej len „UWG“), s názvom „Zákaz nekalého obchodného konania“ v odseku 1 stanovuje:

„Nekalé obchodné praktiky sú zakázané.“

22

Ustanovenie § 3a UWG s názvom „Porušenie práva“ znie takto:

„Nekalej praktiky sa dopustí ten, kto koná v rozpore s právnym predpisom, ktorý je určený najmä na to, aby v záujme subjektov pôsobiacich na trhu reguloval trhové správanie, ak toto konanie môže citeľne obmedziť záujmy spotrebiteľov, iných subjektov na trhu alebo konkurentov.“

23

Ustanovenie § 8 UWG, nazvaného „Upustenie od protiprávneho konania a zdržanie sa protiprávneho konania“, uvádza:

„1.   Proti každému, kto sa dopustí nedovolenej obchodnej praktiky v zmysle § 3 alebo § 7, možno podať návrh na upustenie od protiprávneho konania a v prípade rizika opakovania aj návrh na nariadenie predbežného opatrenia na zdržanie sa konania. …

…

3.   Návrhy uvedené v odseku 1 môže podať:

…“

24

Pohyb liekov upravuje Gesetz über den Verkehr mit Arzneimitteln (zákon o obchodovaní s liekmi) z 24. augusta 1976 (BGB1. 1976 I, s. 2444) v znení zverejnenom 12. decembra 2005 (BGBl. 2005 I, s. 3394), v znení uplatniteľnom na skutkový stav vo veci samej, rozlišuje medzi liekmi predávanými v lekárňach a liekmi, ktorých predaj je viazaný na lekársky predpis, uvedenými v jeho § 48 s názvom „Požiadavka lekárskeho predpisu“.

25

ND od roku 2017 prevádzkuje lekáreň pod obchodným názvom „Lindenapotheke“ a predáva lieky, ktorých predaj je vyhradený lekárňam, na elektronickej obchodnej platforme „Amazon‑Marketplace“ (ďalej len „Amazon“). Pri objednávaní týchto liekov online musia zákazníci ND zadávať informácie, ako je ich meno, adresa dodania a údaje potrebné na individualizáciu týchto liekov.

26

DR, ktorý taktiež prevádzkuje lekáreň, podal na Landgericht Dessau‑Roßlau (Krajinský súd Dessau‑Roßlau, Nemecko) žalobu, ktorou sa domáhal vydania príkazu, ktorým by sa ND pod hrozbou správnych sankcií zakázal predaj liekov na platforme Amazon, pokiaľ nebude zabezpečené, že zákazníci budú mať možnosť vopred vyjadriť súhlas so spracovaním údajov týkajúcich sa zdravia.

27

Na podporu svojej žaloby DR uviedol, že predaj liekov na platforme Amazon, ktorých predaj je vyhradený lekárňam, je nekalý z dôvodu porušenia zákonných požiadaviek na získanie súhlasu zákazníka, ako to vyžadujú právne predpisy o ochrane osobných údajov.

28

Landgericht Dessau‑Roßlau (Krajinský súd Dessau‑Roßlau) rozhodnutím z 28. marca 2018 vyhovel tejto žalobe.

29

ND podal odvolanie proti tomuto rozhodnutiu na Oberlandesgericht Naumburg (Vyšší krajinský súd Naumburg, Nemecko), ktorý ho rozhodnutím zo 7. novembra 2019 zamietol.

30

Odvolací súd rozhodol, že distribúcia liekov na platforme Amazon, ktorých predaj je vyhradený lekárňam, je v rozpore so zákonom proti nekalej súťaži, a preto je podľa § 3 ods. 1 UWG nezákonný. Takýto predaj vedie k spracúvaniu údajov týkajúcich sa zdravia, ktoré je zakázané podľa článku 9 ods. 1 GDPR, ak zákazníci, ktorí kupujú lieky, neposkytnú výslovný súhlas v súlade s článkom 9 ods. 2 písm. a) tohto nariadenia. Pravidlá stanovené týmto nariadením pritom predstavujú právne ustanovenia, ktorých cieľom je upraviť správanie na trhu v zmysle § 3a UWG. Okrem toho podľa § 8 ods. 3 bodu 1 UWG sa DR ako konkurent môže dovolávať porušenia týchto pravidiel zo strany ND prostredníctvom návrhu na zdržanie sa konania na občianskoprávnom súde.

31

ND podal na vnútroštátny súd Bundesgerichtshof (Spolkový súdny dvor, Nemecko), opravný prostriedok „Revision“.

32

Tento súd uviedol, že výsledok sporu závisí od výkladu tak kapitoly VIII GDPR, ako aj článku 9 ods. 1 tohto nariadenia a článku 8 ods. 1 smernice 95/46.

33

Vnútroštátny súd sa najprv pýtal, či po zrušení smernice 95/46 s účinnosťou od 25. mája 2018, t. j. odo dňa, keď sa začalo uplatňovať GDPR, môžu členské štáty naďalej vo vnútroštátnom práve stanoviť, že konkurenti podniku, uvedení v § 8 ods. 3 bode 1 UWG, sú oprávnení podať na občianskoprávnom súde žalobu o zdržanie sa konania s cieľom ukončiť porušovanie ustanovení GDPR, ktorého sa tento podnik dopustil na základe zákazu nekalých obchodných praktík.

34

Vnútroštátny súd poznamenal, že táto otázka vedie k rozdielnym odpovediam na vnútroštátnej úrovni. Takúto odpoveď nemožno jednoznačne vyvodiť zo znenia ustanovení kapitoly VIII GDPR, zo všeobecnej systematiky týchto ustanovení, a dokonca ani z cieľa, ktorý uvedené nariadenie sleduje.

35

V prvom rade teda vnútroštátny súd, pokiaľ ide o znenie ustanovení kapitoly VIII GDPR, zdôraznil, že tieto ustanovenia síce nikde neuvádzajú možnosť konkurentov podniku podať žalobu proti tomuto podniku, najmä ak porušenie právnych predpisov o ochrane údajov predstavuje nekalé obchodné praktiky. Uvedené ustanovenia však zároveň oficiálne túto možnosť nevylučujú.

36

Pokiaľ ide ďalej o všeobecnú systematiku ustanovení kapitoly VIII GDPR, vnútroštátny súd na jednej strane pripomenul, ako Súdny dvor rozhodol v rozsudku z 28. apríla 2022, Meta Platforms Ireland (C‑319/20, EU:C:2022:322, bod 57), že cieľom tohto nariadenia je zabezpečiť harmonizáciu vnútroštátnych právnych predpisov týkajúcich sa ochrany osobných údajov, ktorá je v zásade úplná. Na druhej strane však skutočnosť, že článok 77 ods. 1, článok 78 ods. 1 a 2 a článok 79 ods. 1 GDPR obsahujú v každom z nich slovné spojenie „bez toho, aby boli dotknuté iné… prostriedky nápravy“, môže brániť záveru, že kontrola uplatňovania práva bolo podrobne upravené.

37

Pokiaľ ide napokon o cieľ harmonizácie, a najmä zjednotenia úrovne kontroly uplatňovania práva v rámci Únie, ktorý sleduje GDPR, vnútroštátny súd na jednej strane zdôraznil, že skutočnosť, že konkurenti môžu byť oprávnení podávať žaloby podľa práva hospodárskej súťaže, a teda presadzovať ustanovenia práva o ochrane údajov nad rámec prostriedkov stanovených GDPR, by mohla byť v rozpore s týmto cieľom. Okrem toho nie je isté, či systém kontroly uplatňovania práva stanovený uvedeným nariadením obsahuje medzeru, ktorú by bolo potrebné vyplniť priznaním aktívnej legitimácie konkurentov podľa práva hospodárskej súťaže. Podobne by konkurencia medzi dozornými orgánmi na jednej strane a občianskymi súdmi na strane druhej pri presadzovaní práva na ochranu údajov mohla zasiahnuť do právomocí dozorných orgánov a viesť k rozdielom pri kontrole uplatňovania práva na ochranu údajov v rámci Únie.

38

Na druhej strane podľa vnútroštátneho súdu by umožnenie konkurentom podať žalobu podľa práva hospodárskej súťaže mohlo predstavovať ďalšiu možnosť kontroly uplatňovania práva, ktorá by bola žiaduca na základe zásady účinnosti („potrebný účinok“) s cieľom zabezpečiť čo najvyššiu úroveň ochrany vo vzťahu k osobným údajom v súlade s odôvodnením 10 GDPR.

39

Vnútroštátny súd uviedol, že táto otázka nebola judikatúrou Súdneho dvora objasnená a že najmä v rozsudku z 28. apríla 2022, Meta Platforms Ireland (C‑319/20, EU:C:2022:322), Súdny dvor výslovne ponechal otvorenú otázku aktívnej legitimácie konkurenta.

40

Po druhé sa vnútroštátny súd pýtal, či údaje, ktoré musia zákazníci zadať pri objednávaní liekov na online predajnej platforme, ako je ich meno, adresa dodania a informácie potrebné na individualizáciu objednaného lieku, predstavujú „údaje týkajúce sa zdravia“ v zmysle článku 8 ods. 1 smernice 95/46 a článku 9 ods. 1 GDPR.

41

Podľa tohto súdu odpoveď na danú otázku nie je zrejmá, ak objednané lieky nie sú viazané na lekársky predpis. V takom prípade totiž nebolo možné vylúčiť, že tieto lieky nie sú určené pre samotných zákazníkov, ale pre tretie osoby, ktoré by nebolo možné identifikovať.

42

Vnútroštátny súd zdôraznil, že znenie týchto ustanovení, ako aj znenie článku 4 ods. 15 GDPR v spojení s odôvodnením 35 tohto nariadenia samo osebe neumožňuje odpovedať na túto otázku.

43

V bode 125 rozsudku z 1. augusta 2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601), Súdny dvor rozhodol, že pojem „osobitné kategórie osobných údajov“ uvedený v článku 8 ods. 1 smernice 95/46 a v článku 9 ods. 1 GDPR sa má vykladať extenzívne s prihliadnutím na cieľ tohto nariadenia, ktorým je zabezpečiť vysokú úroveň ochrany základných práv a slobôd fyzických osôb, najmä ich súkromného života, pri spracúvaní ich osobných údajov. Ak by sa prijal takýto široký výklad daného pojmu, bolo by možné dospieť k záveru, že takéto informácie predstavujú údaje týkajúce sa zdravia, ak nie je isté, ale len pravdepodobné, že zákazníci, ktorí si objednali lieky, sú osobami, pre ktoré sú určené.

44

Vnútroštátny súd poukázal na to, že právo na zdržanie sa konania, ktorého sa DR dovoláva, predpokladá, že sporné konanie ND bolo protiprávne tak v čase jeho prijatia, ako aj v čase konania o opravnom prostriedku „Revision“ a že prvá z týchto udalostí sa ešte riadila článkom 8 ods. 1 smernice 95/46, zatiaľ čo druhá udalosť teraz spadá do pôsobnosti článku 9 ods. 1 GDPR.

45

Práve za týchto okolností Bundesgerichtshof (Spolkový súdny dvor) rozhodol prerušiť konanie a položiť Súdnemu dvoru tieto prejudiciálne otázky:

46

Svojou prvou otázkou sa vnútroštátny súd snaží zistiť, či sa ustanovenia kapitoly VIII GDPR majú vykladať v tom zmysle, že bránia vnútroštátnej právnej úprave, ktorá popri intervenčných právomociach dozorných orgánov, ktoré sú príslušné na monitorovanie a vykonávanie nariadenia a možnostiach dotknutých osôb na právnu ochranu, priznáva konkurentom údajného porušovateľa ochrany osobných údajov oprávnenie podať proti nemu žalobu na občianskoprávnom súde z dôvodu porušenia uvedeného nariadenia a na základe zákazu nekalých obchodných praktík.

47

Na úvod je potrebné pripomenúť, že kapitola VIII GDPR upravuje najmä prostriedky nápravy umožňujúce ochranu práv dotknutej osoby, pokiaľ sa osobné údaje, ktoré sa jej týkajú, údajne spracúvali v rozpore s ustanoveniami uvedeného nariadenia. O ochranu týchto práv tak môže na základe článku 77 až 79 tohto nariadenia žiadať buď priamo dotknutá osoba, alebo na základe jeho článku 80 uvedeného nariadenia oprávnený subjekt, či už s poverením na tento účel, alebo bez neho (pozri v tomto zmysle rozsudok z 28. apríla 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, bod 53).

48

Na jednej strane totiž článok 77 ods. 1 GDPR stanovuje, že bez toho, aby boli dotknuté akékoľvek iné správne alebo súdne prostriedky nápravy, má každá dotknutá osoba právo podať sťažnosť dozornému orgánu. Podľa článku 78 ods. 1 tohto nariadenia má každá fyzická alebo právnická osoba právo na účinný súdny prostriedok nápravy voči právne záväznému rozhodnutiu dozorného orgánu, ktoré sa jej týka, bez toho, aby boli dotknuté iné správne alebo mimosúdne prostriedky nápravy. Článok 79 ods. 1 uvedeného nariadenia zaručuje každej dotknutej osobe právo na účinný súdny prostriedok nápravy bez toho, aby bol dotknutý akýkoľvek dostupný správny alebo mimosúdny prostriedok nápravy vrátane práva na podanie sťažnosti dozornému orgánu podľa článku 77 toho istého nariadenia.

49

Okrem toho má dotknutá osoba v súlade s článkom 80 ods. 1 GDPR právo za určitých podmienok poveriť neziskový subjekt, organizáciu alebo združenie, aby v jej mene podali sťažnosť alebo uplatnili práva podľa článkov 77 až 79 tohto nariadenia. Okrem toho podľa článku 80 ods. 2 uvedeného nariadenia môžu členské štáty stanoviť, že akýkoľvek subjekt, organizácia alebo združenie má v tomto členskom štáte nezávisle od poverenia dotknutej osoby právo podať sťažnosť dotknutému dozornému orgánu a uplatňovať tieto práva, ak sa domnieva, že v dôsledku spracúvania osobných údajov, ktoré sa jej týkajú, boli porušené práva dotknutej osoby ustanovené v tom istom nariadení.

50

V prejednávanej veci vyplynulo zo spisu, ktorý má Súdny dvor k dispozícii, že ND, ktorý prevádzkuje lekáreň, distribuuje na online platforme Amazon lieky, ktorých predaj je vyhradený lekárňam, a že pri objednávaní týchto liekov online sú zákazníci povinní zadať údaje, ako je ich meno, dodacia adresa a informácie potrebné na individualizáciu týchto liekov. Žalobu vo veci samej však na občianskoprávnom súde nepodali títo zákazníci, ktorí sú dotknutými osobami v zmysle článku 4 ods. 1 GDPR, na základe článku 79 tohto nariadenia, ani oprávnený subjekt, organizácia alebo združenie s poverením alebo bez poverenia získaného na tento účel od dotknutej osoby v zmysle článku 80 uvedeného nariadenia, ale konkurent tohto lekárnika na základe zákazu nekalých obchodných praktík z dôvodu porušenia ustanovení tohto nariadenia, ktorého sa tento lekárnik údajne dopustil.

51

Vo veci samej sa teda kladie otázka, či GDPR bráni tomu, aby konkurent, akým je DR, ktorý nie je dotknutou osobou v zmysle článku 4 ods. 1 uvedeného nariadenia, bol oprávnený podať takúto žalobu na vnútroštátny občianskoprávny súd.

52

V tejto súvislosti je potrebné pripomenúť, že na účely výkladu ustanovenia práva Únie je potrebné zohľadniť nielen jeho znenie, ale aj jeho kontext a ciele sledované právnou úpravou, ktorej je súčasťou (rozsudok z 12. januára 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, bod 32).

53

Pokiaľ ide o znenie ustanovení kapitoly VIII GDPR, je potrebné uviesť, že žiadne z nich výslovne nevylučuje možnosť konkurenta podniku podať na občianskoprávnom súde žalobu proti tomuto podniku na základe zákazu nekalých obchodných praktík z dôvodu údajného porušenia povinností podniku stanovených týmto nariadením. Z ustanovení článku 77 ods. 1, článku 78 ods. 1 a článku 79 ods. 1 GDPR, ktoré sú pripomenuté v bode 48 tohto rozsudku, naopak vyplýva, že právo podať sťažnosť dozornému orgánu a právo na účinný súdny prostriedok nápravy proti takémuto orgánu a proti prevádzkovateľovi alebo sprostredkovateľovi, uvedené v týchto ustanoveniach, sa má chápať „bez toho, aby boli dotknuté“ akékoľvek iné správne, súdne alebo mimosúdne prostriedky nápravy.

54

Pokiaľ ide o kontext kapitoly VIII GDPR, je potrebné poznamenať, že jeho kapitola II obsahuje súbor hmotnoprávnych ustanovení týkajúcich sa okrem iného zásad súvisiacich so spracúvaním osobných údajov uvedených v článku 5 a podmienok pre zákonné spracúvanie uvedených v článku 6, ktorých cieľom je zabezpečiť úplný súlad okrem iného so základným právom dotknutých osôb na ochranu osobných údajov zaručeným v článku 16 ods. 1 ZFEÚ a článku 8 Charty. Skutočnosť, že v kapitole VIII GDPR neexistujú ustanovenia, ktoré by stanovovali, že konkurenti podniku, ktorý údajne porušil tieto hmotnoprávne ustanovenia, môžu podať žalobu na zdržanie sa konania, je vysvetlená tým, že adresátmi ochrany osobných údajov zaručenej týmto nariadením sú, ako zdôraznil generálny advokát v bode 80 svojich návrhov, len dotknuté osoby, a nie takíto konkurenti.

55

Vzhľadom na to, že porušenie týchto hmotnoprávnych ustanovení sa pravdepodobne dotkne predovšetkým osôb dotknutých údajov, je pravdepodobné, že poškodí aj tretie strany, čo dokazuje skutočnosť, že v článku 82 ods. 1 GDPR sa stanovuje právo na náhradu škody pre „každú osobu, ktorá utrpela majetkovú alebo nemajetkovú ujmu v dôsledku porušenia tohto nariadenia“. Súdny dvor už mal tiež príležitosť rozhodnúť, že porušenie pravidla týkajúceho sa ochrany osobných údajov môže zároveň viesť k porušeniu pravidiel týkajúcich sa ochrany spotrebiteľov alebo nekalých obchodných praktík (rozsudok z 28. apríla 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, bod 78) a predstavovať dôležitú indíciu na účely posúdenia existencie zneužitia dominantného postavenia v zmysle článku 102 ZFEÚ [pozri v tomto zmysle rozsudok zo 4. júla 2023, Meta Platforms a i. (Všeobecné podmienky používania sociálnej siete), C‑252/21, EU:C:2023:537, body 47 a 62].

56

V tejto súvislosti je dôležité pripomenúť, že prístup k osobným údajom a ich využívanie majú v digitálnom hospodárstve značný význam. Prístup k osobným údajom a možnosť ich spracovania sa stali významným parametrom hospodárskej súťaže medzi podnikmi v digitálnom hospodárstve. Preto s cieľom zohľadniť realitu tohto hospodárskeho vývoja a zabezpečiť spravodlivú hospodársku súťaž môže byť potrebné zohľadniť pravidlá ochrany osobných údajov v kontexte uplatňovania práva hospodárskej súťaže a pravidiel týkajúcich sa nekalých obchodných praktík [pozri v tomto zmysle rozsudok zo 4. júla 2023, Meta Platforms a i. (Všeobecné podmienky používania sociálnej siete), C‑252/21, EU:C:2023:537, body 50 a 51].

57

V tejto súvislosti je potrebné uviesť, ako vyplýva z článku 1 ods. 1 GDPR v spojení najmä s jeho odôvodneniami 9 a 13, že cieľom tohto nariadenia je zabezpečiť harmonizáciu vnútroštátnych právnych predpisov týkajúcich sa ochrany osobných údajov, ktorá je v zásade úplná. Napriek tomu viaceré ustanovenia uvedeného nariadenia členským štátom výslovne umožňujú stanoviť dodatočné prísnejšie alebo odchylné vnútroštátne pravidlá, ktoré im ponechávajú mieru voľnej úvahy, pokiaľ ide o spôsob, akým sa môžu tieto ustanovenia vykonávať („ustanovenia o otvorení“) (rozsudok z 28. apríla 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, bod 57).

58

Súdny dvor už rozhodol, že je to tak aj v prípade článku 80 ods. 2 GDPR, ktoré ponecháva členským štátom mieru voľnej úvahy pri jeho vykonávaní, a nebráni vnútroštátnej právnej úprave, ktorá umožňuje združeniu na ochranu záujmov spotrebiteľov podať v prípade neexistencie poverenia, ktoré by mu bolo udelené na tento účel a nezávisle od porušenia konkrétnych práv dotknutých osôb, žalobu na súd proti predpokladanému pôvodcovi zásahu do ochrany osobných údajov s poukázaním na porušenie zákazu nekalých obchodných praktík, pokiaľ predmetné spracovanie údajov môže ovplyvniť práva, ktoré identifikovaným alebo identifikovateľným fyzickým osobám vyplývajú z tohto nariadenia (rozsudok z 28. apríla 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, body 59 a 83).

59

Je pravda, že ustanovenia kapitoly VIII GDPR výslovne neobsahujú takéto ustanovenie o otvorení, ktoré by členským štátom výslovne umožnilo, aby konkurent podniku, ktorý údajne porušuje hmotnoprávne ustanovenia tohto nariadenia, mohol podať žalobu s cieľom zdržať sa takéhoto konania.

60

Zo znenia a kontextu ustanovení tejto kapitoly VIII, ktoré sú pripomenuté v bodoch 53 až 58 vyššie, však vyplýva, že prijatím uvedeného nariadenia nemal normotvorca Únie v úmysle vykonať vyčerpávajúcu harmonizáciu prostriedkov nápravy dostupných v súvislosti s porušením ustanovení GDPR, a najmä nechcel vylúčiť dostupnosť takýchto prostriedkov nápravy pre konkurentov údajného pôvodcu zásahu do ochrany osobných údajov na základe vnútroštátneho práva týkajúceho sa zákazu nekalých obchodných praktík.

61

Tento výklad potvrdzujú ciele GDPR, ktoré, ako vyplýva z jeho odôvodnenia 10, sa zameriava na zabezpečenie konzistentnej a vysokej úrovne ochrany fyzických osôb v súvislosti so spracovaním osobných údajov a odstránenie prekážky toku takýchto údajov v rámci Únie. V odôvodnení 11 tohto nariadenia sa ďalej uvádza, že účinná ochrana takýchto údajov si vyžaduje posilnenie práv dotknutých osôb a povinností tých, ktorí osobné údaje spracúvajú a o ich spracúvaní rozhodujú, ako aj zodpovedajúcich právomocí na monitorovanie a zabezpečenie súladu s pravidlami ochrany osobných údajov a zodpovedajúcich sankcií za porušenia pravidiel v členských štátoch. V odôvodnení 13 uvedeného nariadenia sa uvádza, že s cieľom zaručiť konzistentnú úroveň ochrany fyzických osôb v celej Únii a zabrániť rozdielom, ktoré sú prekážkou voľného pohybu osobných údajov v rámci vnútorného trhu, je potrebné prijať nariadenie, ktorým sa poskytne právna istota a transparentnosť pre hospodárske subjekty a ktorým sa fyzickým osobám vo všetkých členských štátoch poskytne rovnaká úroveň právne vymožiteľných práv, ktorým sa prevádzkovateľom a sprostredkovateľom uložia povinnosti a zodpovednosti, ktorým sa zabezpečí konzistentné monitorovanie spracúvania osobných údajov a ktorým sa stanovia rovnocenné sankcie vo všetkých členských štátoch.

62

Možnosť konkurenta podniku podať žalobu na občianskoprávnom súde na základe zákazu nekalých obchodných praktík s cieľom zastaviť porušovanie hmotnoprávnych ustanovení GDPR, ktorého sa tento podnik údajne dopustil, nielenže nenarúša tieto ciele, ale pravdepodobne naopak posilňuje potrebný účinok týchto ustanovení, a tým aj vysokú úroveň ochrany dotknutých osôb v súvislosti so spracovaním ich osobných údajov, ako je uvedené v tomto nariadení.

63

Na jednej strane totiž žaloba o zdržanie sa konania podaná konkurentom proti podniku na základe zákazu nekalých obchodných praktík z dôvodu údajného porušenia hmotnoprávnych ustanovení GDPR nijako nenarúša systém prostriedkov nápravy, ako sú ustanovené v kapitole VIII tohto nariadenia, ani cieľ zabezpečiť konzistentnú úroveň ochrany jednotlivcov v celej Únii a odstrániť rozdiely, ktoré by bránili voľnému pohybu osobných údajov v rámci vnútorného trhu.

64

Je pravda, že takáto žaloba sa bude zakladať, aj keď incidenčne, na porušení tých istých ustanovení GDPR, na ktorých by sa mohla zakladať sťažnosť alebo odvolanie podľa článkov 77 až 79 tohto nariadenia zo strany dotknutých osôb alebo subjektu, organizácie alebo združenia v zmysle článku 80 tohto nariadenia.

65

Po prvé však na rozdiel od článkov 77 až 80 GDPR žaloba o zdržanie sa konania podaná konkurentom nesleduje ako taká cieľ ochrany základných práv a slobôd dotknutých osôb v súvislosti so spracúvaním ich osobných údajov, ale jej cieľom je zabezpečiť spravodlivú hospodársku súťaž najmä v záujme tohto konkurenta.

66

Po druhé možnosť konkurenta podať takúto žalobu na občianskoprávnom súde na základe zákazu nekalých obchodných praktík dopĺňa prostriedky nápravy stanovené v článkoch 77 až 79 GDPR, ktoré sú v plnej miere zachované a môžu ich vždy uplatniť dotknuté osoby, ako aj prípadne subjekty, organizácie alebo združenia v zmysle článku 80 tohto nariadenia.

67

Ako uviedla nemecká vláda, najmä koexistencia prostriedkov nápravy podľa práva na ochranu údajov a práva hospodárskej súťaže nevytvára riziko pre jednotné uplatňovanie GDPR. V tejto súvislosti je potrebné poznamenať, že z článkoch 77 až 80 tohto nariadenia sa nestanovuje žiadna prednostná alebo výlučná právomoc ani nijaké pravidlo prednosti posúdenia vykonaného orgánom alebo súdmi, ktoré sú v nich uvedené, pokiaľ ide o existenciu porušenia práv priznaných týmto nariadením (pozri v tomto zmysle rozsudok z 12. januára 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, bod 35). V dôsledku toho skutočnosť, že žalobu o zdržanie sa konania podáva konkurent údajného pôvodcu porušenia ochrany osobných údajov na občianskoprávnom súde, nemá vplyv na systém prostriedkov nápravy ustanovených v kapitole VIII GDPR. Okrem toho, ako uviedla táto vláda, jednotný výklad hmotnoprávnych ustanovení tohto nariadenia, ktoré môžu na to isté porušenie uplatniť na jednej strane orgán dohľadu a súdy konajúce na základe článkov 77 až 80 uvedeného nariadenia, a na druhej strane súdy konajúce na základe zákazu nekalých obchodných praktík, zabezpečuje konanie o prejudiciálnej otázke stanovené v článku 267 ZFEÚ.

68

Po tretie, ako v podstate uviedol generálny advokát v bode 104 svojich návrhov, dosiahnutie cieľa zabezpečiť jednotnú úroveň ochrany údajov dotknutých osôb v Únii a odstrániť rozdiely, ktoré by mohli brániť voľnému pohybu osobných údajov na vnútornom trhu, nie je ohrozené tým, že sa iné ako dotknuté osoby a subjekty, organizácie a združenia môžu odvolávať na hmotnoprávne ustanovenia GDPR podľa jeho článku 80. Aj keby jednotlivé členské štáty túto možnosť nestanovili, neviedlo by to k roztriešteniu vykonávania ochrany údajov v Únii, pretože hmotnoprávne ustanovenia GDPR sú rovnako záväzné pre všetkých prevádzkovateľov v zmysle článku 4 ods. 7 tohto nariadenia a ich dodržiavanie je zabezpečené v ňom stanovenými právnymi prostriedkami nápravy.

69

Na druhej strane, pokiaľ ide o cieľ zabezpečiť účinnú ochranu dotknutých osôb v súvislosti so spracúvaním ich osobných údajov a potrebný účinok hmotnoprávnych ustanovení GDPR, je potrebné konštatovať, že hoci žaloba o zdržanie sa konania podaná konkurentom údajného pôvodcu porušenia ochrany osobných údajov nie je zameraná, ako sa uvádza v bode 65 tohto rozsudku, na tento cieľ, ale na zabezpečenie spravodlivej hospodárskej súťaže, zostáva skutočnosťou, že nepochybne prispieva k dodržiavaniu týchto ustanovení, a teda k posilneniu práv dotknutých osôb a k tomu, aby bola týmto osobám zabezpečená vysoká úroveň ochrany (pozri v tomto zmysle rozsudok z 28. apríla 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, bod 74).

70

Okrem toho sa môže ukázať, že takáto žaloba o zdržanie sa konania podaná konkurentom, podobne ako žaloba podaná združeniami na ochranu záujmov spotrebiteľa, je mimoriadne účinná pri zabezpečovaní takejto ochrany, keďže môže zabrániť veľkému počtu porušení práv jednotlivcov dotknutých spracúvaním ich osobných údajov (pozri v tomto zmysle rozsudok z 28. apríla 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, bod 75).

71

Z uvedeného vyplýva, že výklad prijatý v bode 60 tohto rozsudku je v súlade s požiadavkami vyplývajúcimi z článku 16 ods. 1 ZFEÚ a článku 8 Charty základných práv Európskej únie, a teda s cieľom sledovaným GDPR, ktorý spočíva v zabezpečení účinnej ochrany základných práv a slobôd fyzických osôb, ako aj najmä v zabezpečení vysokej úrovne ochrany práva každej osoby na ochranu osobných údajov, ktoré sa jej týkajú (pozri v tomto zmysle rozsudok z 28. apríla 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, bod 73).

72

V prejednávanej veci prináleží vnútroštátnemu súdu overiť, či údajné porušenie hmotnoprávnych ustanovení GDPR, o ktoré ide vo veci samej, ak sa preukáže, predstavuje aj porušenie zákazu používania nekalých obchodných praktík podľa príslušných vnútroštátnych predpisov.

73

Vzhľadom na tieto skutočnosti je potrebné na prvú otázku odpovedať tak, že ustanovenia kapitoly VIII GDPR sa majú vykladať v tom zmysle, že nebránia vnútroštátnej právnej úprave, ktorá súbežne s intervenčnými právomocami dozorných orgánov zodpovedných za kontrolu a presadzovanie tohto nariadenia a súbežne s opravnými prostriedkami, ktoré majú dotknuté osoby k dispozícii, priznáva konkurentom údajného pôvodcu porušenia ochrany osobných údajov oprávnenie podať proti tomuto porušovateľovi žalobu na občianskoprávnom súde v súvislosti s porušením uvedeného nariadenia a na základe zákazu nekalých obchodných praktík.

74

Svojou druhou otázkou sa vnútroštátny súd v podstate snaží zistiť, či sa článok 8 ods. 1 smernice 95/46 a článok 9 ods. 1 GDPR majú vykladať v tom zmysle, že ak prevádzkovateľ lekárne predáva na internetovej predajnej platforme lieky, ktorých predaj je vyhradený lekárňam, tak či údaje, ktoré zákazníci tohto prevádzkovateľa zadávajú pri objednávaní liekov online, ako sú ich meno, dodacia adresa a informácie, ktoré sú nevyhnutné na individualizáciu lieku, predstavujú údaje týkajúce sa zdravia v zmysle týchto ustanovení, aj keď predaj týchto liekov nie je viazaný na lekársky predpis.

75

Článok 8 ods. 1 smernice 95/46 a článok 9 ods. 1 GDPR, ktoré majú podobný rozsah pôsobnosti pre potreby výkladu, ktorý má Súdny dvor poskytnúť (rozsudok z 1. augusta 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, body 58 a 117), a týkajú sa, ako vyplýva z názvu týchto článkov, spracúvania „osobitných kategórií“ osobných údajov, stanovujú zásadu zákazu takéhoto spracúvania. Ako sa výslovne uvádza v odôvodnení 51 tohto nariadenia, osobné údaje, ktoré sú svojou povahou obzvlášť citlivé v súvislosti so základnými právami a slobodami, si zasluhujú osobitnú ochranu, keďže z kontextu ich spracúvania by mohli pre základné práva a slobody vyplývať významné riziká.

76

Medzi tieto osobitné kategórie osobných údajov, ako sú uvedené v článku 8 ods. 1 smernice 95/46 a v článku 9 ods. 1 GDPR, patria údaje týkajúce sa zdravia. V súlade s článkom 4 ods. 15 nariadenia v spojení s odôvodnením 35 uvedeného nariadenia sem patria všetky osobné údaje, ktoré poskytujú informácie o minulom, súčasnom alebo budúcom fyzickom alebo duševnom zdravotnom stave fyzickej osoby, vrátane údajov týkajúcich sa poskytovania služieb zdravotnej starostlivosti tejto osobe.

77

Okrem toho z článku 4 ods. 1 GDPR vyplýva najmä to, že pojem „osobné údaje“ sa vzťahuje na akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby a že na to, aby sa dali považovať za „identifikovateľné“, stačí, aby bolo možné identifikovať dotknutú osobu priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden alebo viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby.

78

Ak teda údaje o nákupe liekov umožňujú vyvodiť závery o zdravotnom stave identifikovanej alebo identifikovateľnej osoby, musia sa považovať za údaje týkajúce sa zdravia v zmysle článku 4 ods. 15 GDPR.

79

V prejednávanej veci zo spisu, ktorý má Súdny dvor k dispozícii, vyplýva, že zákazníci ND pri online objednávaní liekov na platforme Amazon, ktorých predaj je vyhradený lekárňam, zadávajú informácie, ako je ich meno, adresa dodania a údaje o individualizácii liekov. Je všeobecne známe, že takéto informácie predstavujú „osobné údaje“, pokiaľ sa týkajú identifikovaných alebo identifikovateľných fyzických osôb.

80

Za týchto okolností je potrebné určiť, či tieto údaje môžu odhaliť informácie o zdravotnom stave týchto osôb v zmysle článku 4 ods. 15 GDPR, a teda či predstavujú údaje týkajúce sa zdravia v zmysle článku 8 ods. 1 smernice 95/46 a článku 9 ods. 1 uvedeného nariadenia.

81

V tejto súvislosti Súdny dvor už rozhodol, že vzhľadom na cieľ smernice 95/46 a GDPR, ktorým je zabezpečiť vysokú úroveň ochrany základných práv a slobôd fyzických osôb, a najmä ich súkromného života, pri spracúvaní ich osobných údajov, sa pojem „údaje týkajúce sa zdravia“ uvedený v článku 9 ods. 1 tohto nariadenia, ktorý zodpovedá pojmu „údaje týkajúce sa zdravia“ uvedenému v článku 8 ods. 1 tejto smernice, musí vykladať širšie (pozri v tomto zmysle rozsudok zo 6. novembra 2003, Lindqvist, C‑101/01, EU:C:2003:596, bod 50, a rozsudok z 1. augusta 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, bod 125).

82

Tieto ustanovenia predovšetkým nemožno vykladať v tom zmysle, že spracúvanie osobných údajov, ktoré môžu nepriamo odhaľovať citlivé informácie týkajúce sa fyzickej osoby, je vyňaté z režimu posilnenej ochrany upraveného uvedenými ustanoveniami, inak by bol narušený potrebný účinok tohto režimu a ochrana základných práv a slobôd fyzických osôb, ktorú má zaručiť (rozsudok z 1. augusta 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, bod 127).

83

V dôsledku toho na to, aby sa osobné údaje mohli považovať za údaje týkajúce sa zdravia v zmysle článku 8 ods. 1 smernice 95/46 a článku 9 ods. 1 GDPR, stačí, aby na základe myšlienkového pochodu porovnania alebo vyvodenia súvislostí odhaľovali informácie o zdravotnom stave dotknutej osoby (pozri v tomto zmysle rozsudok z 1. augusta 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, bod 123).

84

Údaje, ktoré zákazník zadáva na online platforme pri objednávaní liekov, ktorých predaj je vyhradený lekárňam, pritom môžu prostredníctvom myšlienkového pochodu porovnania alebo vyvodenia odhaliť informácie o zdravotnom stave dotknutej osoby v zmysle článku 4 ods. 1 GDPR, pokiaľ táto objednávka znamená vytvorenie prepojenia medzi liekom, jeho terapeutickými indikáciami alebo jeho použitím a fyzickou osobou identifikovanou alebo identifikovateľnou na základe prvkov, ako je meno tejto osoby alebo dodacia adresa.

85

Vnútroštátny súd si však kladie otázku, či skutočnosť, že predaj objednaných liekov nie je viazaný na lekársky predpis, je relevantná, keďže v takomto prípade by tieto lieky mohli byť určené nie pre objednávateľa, ale pre tretie osoby.

86

V tejto súvislosti je potrebné uviesť, že na účely uplatňovania článku 8 ods. 1 smernice 95/46 a článku 9 ods. 1 GDPR je dôležité overiť, či v prípade spracúvania osobných údajov vykonávaného prevádzkovateľom lekárne prostredníctvom online platformy môžu tieto údaje odhaliť informácie patriace do jednej z kategórií uvedených v tomto ustanovení bez ohľadu na to, či sa tieto informácie týkajú používateľa tejto platformy alebo akejkoľvek inej fyzickej osoby. V prípade kladnej odpovede je takéto spracúvanie osobných údajov – s výhradou výnimiek stanovených v odseku 2 týchto ustanovení – zakázané [pozri v tomto zmysle rozsudok zo 4. júla 2023, Meta Platforms a i. (Všeobecné podmienky používania sociálnej siete), C‑252/21, EU:C:2023:537, bod 68].

87

Tento principiálny zákaz platí bez ohľadu na to, či sú informácie zverejnené v rámci daného spracovania presné alebo nie, a bez ohľadu na to, či prevádzkovateľ koná s cieľom získať informácie, ktoré patria do jednej z osobitných kategórií uvedených v článku 8 ods. 1 smernice 95/46 a článku 9 ods. 1 GDPR. Vzhľadom na významné riziká pre základné slobody a základné práva dotknutých osôb spôsobené akýmkoľvek spracúvaním osobitných kategórií osobných údajov, je účelom uvedených ustanovení zakázať takéto spracúvanie bez ohľadu na ich uvádzaný účel a správnosť príslušných informácií [pozri v tomto zmysle rozsudok zo 4. júla 2023, Meta Platforms a i. (Všeobecné podmienky používania sociálnej siete), C‑252/21, EU:C:2023:537, body 69 a 70].

88

Z uvedeného vyplýva, že ak používateľ online platformy uvedie osobné údaje pri objednávaní liekov, ktorých predaj je vyhradený lekárňam a ktorý nie je viazaný na lekársky predpis, spracovanie týchto údajov prevádzkovateľom lekárne, ktorá tieto lieky predáva prostredníctvom tejto online platformy, sa musí považovať za spracovanie údajov týkajúcich sa zdravia, v zmysle článku 8 ods. 1 smernice 95/46 a článku 9 ods. 1 GDPR, keďže takéto spracovanie údajov môže odhaliť informácie o zdravotnom stave fyzickej osoby bez ohľadu na to, či sa tieto informácie týkajú tohto používateľa alebo inej osoby, pre ktorú používateľ zadáva objednávku [pozri v tomto zmysle rozsudok zo 4. júla 2023, Meta Platforms a i. (Všeobecné podmienky používania sociálnej siete), C‑252/21, EU:C:2023:537, bod 73].

89

Výklad týchto ustanovení, ktorý by viedol k rozlišovaniu na základe druhu dotknutého lieku a skutočnosti, či jeho predaj je alebo nie je viazaný na lekársky predpis, by totiž nebol v súlade s cieľom vysokej úrovne ochrany, ako je uvedený v bode 81 tohto rozsudku. Takýto výklad by bol navyše v rozpore s účelom článku 8 ods. 1 smernice 95/46 a článku 9 ods. 1 GDPR, ktorým je zaručiť zvýšenú ochranu proti spracúvaniu, ktoré z dôvodu osobitnej citlivosti údajov, ktoré sú jeho predmetom, môže predstavovať, ako to vyplýva z odôvodnenia 51 GDPR, obzvlášť závažný zásah do základných práv na rešpektovanie súkromného života a na ochranu osobných údajov zaručených článkami 7 a 8 Charty (rozsudok z 1. augusta 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, bod 126 a citovaná judikatúra).

90

V dôsledku uvedeného informácie, ktoré zákazníci prevádzkovateľa lekárne zadávajú pri objednávaní liekov online, ktorých predaj je vyhradený lekárňam, a nie je viazaný na lekársky predpis, predstavujú údaje týkajúce sa zdravia v zmysle článku 8 ods. 1 smernice 95/46 a článku 9 ods. 1 GDPR, aj keď je len s určitou mierou pravdepodobnosti, a nie s absolútnou istotou, zrejmé, že tieto lieky sú určené pre týchto zákazníkov.

91

Okrem toho nemožno vylúčiť, že aj keď sú takéto lieky určené iným osobám ako zákazníkom, je možné tieto osoby identifikovať a vyvodiť závery o ich zdravotnom stave. Tak to môže byť napríklad v prípade, keď sa predmetné lieky nedodávajú do domácnosti zákazníka, ktorý si ich objednal, ale do domácnosti inej osoby, alebo keď bez ohľadu na adresu dodania zákazník v objednávke alebo v komunikácii týkajúcej sa tejto objednávky odkázal na inú identifikovateľnú osobu, napríklad na člena svojej rodiny. Rovnako, ak si objednávka vyžaduje identifikáciu a/alebo registráciu zákazníka, napríklad vytvorením zákazníckeho účtu alebo zapojením sa do vernostného programu, nemožno vylúčiť, že informácie, ktoré zákazník v tejto súvislosti zadal, sa môžu použiť na vyvodenie záverov nielen o zdravotnom stave tohto zákazníka, ale aj o zdravotnom stave inej osoby, najmä v kombinácii s informáciami o objednaných liekoch.

92

Ako bolo uvedené v bode 86 tohto rozsudku, napokon skutočnosť, že informácie, o aké ide vo veci samej, predstavujú údaje týkajúce sa zdravia v zmysle článku 8 ods. 1 smernice 95/46 a článku 9 ods. 1 GDPR, nebráni ich spracovaniu, ako to vyplýva najmä z odôvodnenia 53 tohto nariadenia, najmä v rámci riadenia zdravotníckych služieb a systémov zdravotnej starostlivosti, ak je splnená jedna z podmienok uvedených v odseku 2 týchto ustanovení.

93

Na jednej strane to môže byť najmä vtedy, ak v súlade s písmenom a) uvedeného odseku 2 a s výhradou výnimky stanovenej v tomto odseku dotknutá osoba výslovne súhlasí so spracovaním týchto osobných údajov pri jednej alebo viacerých príležitostiach po tom, ako jej boli jasne, úplne a zrozumiteľne vysvetlené konkrétne okolnosti a účely. Na druhej strane môže byť takéto spracúvanie prípustné na základe článku 9 ods. 2 písm. h) nariadenia GDPR, ak je nevyhnutné na účely zdravotnej starostlivosti na základe práva Únie, práva členského štátu alebo na základe zmluvy uzavretej so zdravotníckym pracovníkom.

94

Vzhľadom na vyššie uvedené je potrebné na druhú otázku odpovedať tak, že článok 8 ods. 1 smernice 95/46 a článok 9 ods. 1 GDPR sa majú vykladať v tom zmysle, že v prípade, keď prevádzkovateľ lekárne predáva lieky prostredníctvom online platformy, ktorých predaj je vyhradený lekárňam, údaje, ktoré zákazníci tohto prevádzkovateľa zadávajú pri objednávaní liekov online, ako je ich meno, adresa dodania a informácie potrebné pre individualizáciu liekov, predstavujú údaje týkajúce sa zdravia v zmysle týchto ustanovení, aj keď predaj týchto liekov nie je viazaný na lekársky predpis.

95

Vzhľadom na to, že konanie pred Súdnym dvorom má vo vzťahu k účastníkom konania vo veci samej incidenčný charakter a bolo začaté v súvislosti s prekážkou postupu v konaní pred vnútroštátnym súdom, o trovách konania rozhodne tento vnútroštátny súd. Iné trovy konania, ktoré vznikli v súvislosti s predložením pripomienok Súdnemu dvoru a nie sú trovami uvedených účastníkov konania, nemôžu byť nahradené.

Z týchto dôvodov Súdny dvor (veľká komora) rozhodol takto: