This document is an excerpt from the EUR-Lex website
Document 62023CC0021
Opinion of Advocate General Szpunar delivered on 25 April 2024.###
Julkisasiamies M. Szpunarin ratkaisuehdotus 25.4.2024.
Julkisasiamies M. Szpunarin ratkaisuehdotus 25.4.2024.
Court reports – general
ECLI identifier: ECLI:EU:C:2024:354
Väliaikainen versio
JULKISASIAMIEHEN RATKAISUEHDOTUS
MACIEJ SZPUNAR
25 päivänä huhtikuuta 2024 (1)
Asia C‑21/23
ND
vastaan
DR
(Ennakkoratkaisupyyntö – Bundesgerichtshof (liittovaltion ylin yleinen tuomioistuin, Saksa))
Ennakkoratkaisupyyntö – Henkilötietojen suoja – Asetus (EU) 2016/679 – Oikeussuojakeinot – Oikeussuojakeinojen rajaaminen – Erityisiä henkilötietoryhmiä koskeva käsittely – Terveyteen liittyvien tietojen käsite ja terveystietojen käsite
I Johdanto
1. Nyt käsiteltävässä asiassa on kyse siitä, miten on tulkittava useita asetuksen (EU) 2016/679 (jäljempänä yleinen tietosuoja-asetus)(2) säännöksiä, nimittäin yhtäältä säännöksiä, jotka koskevat kyseisellä asetuksella käyttöön otettua oikeussuojakeinojen järjestelmää, ja toisaalta säännöksiä, jotka koskevat terveystietoja henkilötietoryhmänä, joka on erityisen arkaluonteinen.
2. Ennakkoratkaisupyyntö on esitetty kansallisessa lainsäädännössä säädettyyn sopimatonta kilpailua koskevien toimien kieltoon perustuvan sellaisen kieltokanteen käsittelyn yhteydessä, jonka on nostanut yritys, joka pyrkii saamaan kilpailijansa lopettamaan reseptivapaiden lääkkeiden markkinoinnin internetissä. Kyseisen yrityksen mukaan sopimatonta kilpailua koskevana toimena on pidettävä sitä, että yleisestä tietosuoja-asetuksesta ilmeneviä terveystietojen käsittelyä koskevia vaatimuksia ei noudateta.
3. Tarkastelen aluksi toista ennakkoratkaisukysymystä, jonka yhteydessä unionin tuomioistuin voi tarkentaa terveystietojen käsitteen rajoja, kun kyseisen käsitteen mukaan määräytyy se, sovelletaanko tiukennettua suojajärjestelmää vai ei.
4. Jos nimittäin nyt käsiteltävässä asiassa tarkoitettuja tietoja ei voitaisi luokitella yleisen tietosuoja-asetuksen 9 artiklan 1 kohdassa tarkoitetuiksi terveystiedoiksi, väitettyä sopimatonta kilpailua koskevaa toimea ei olisi toteutunut. Tässä tilanteessa ei olisi hyödyllistä vastata ensimmäiseen ennakkoratkaisukysymykseen, joka koskee sitä, onko yleisellä tietosuoja-asetuksella käyttöön otetun oikeussuojakeinojen järjestelmän kannalta hyväksyttävää, että kansallisen oikeuden nojalla voidaan nostaa kanne, joka perustuu sopimatonta kilpailua koskevien toimien kieltoa koskevien sääntöjen rikkomiseen ja jossa kantaja vetoaa yleisen tietosuoja-asetuksen aineellisten säännösten rikkomiseen.
II Asiaa koskevat oikeussäännöt
A Unionin oikeus
1. Direktiivi 95/46/EY
5. Direktiivin 95/46/EY(3) 8 artiklan 1 kohdassa säädetään seuraavaa:
”Jäsenvaltioiden on kiellettävä sellaisten henkilötietojen käsittely, jotka koskevat rotua tai etnistä alkuperää, poliittisia mielipiteitä, uskonnollista tai filosofista vakaumusta tai ammattiliittoon kuulumista, sekä terveyteen ja seksuaaliseen käyttäytymiseen liittyvien tietojen käsittely.”
2. Yleinen tietosuoja-asetus
6. Yleisen tietosuoja-asetuksen johdanto-osan yhdeksännessä, kymmenennessä, 13, 35, 51 ja 142 perustelukappaleessa todetaan seuraavaa:
”(9) Direktiivin [95/46] tavoitteet ja periaatteet ovat edelleen pätevät, mutta sen avulla ei ole pystytty estämään tietosuojan täytäntöönpanon hajanaisuutta eri puolilla unionia, oikeudellista epävarmuutta tai laajalle levinnyttä näkemystä, jonka mukaan erityisesti verkkoympäristössä toimimiseen liittyy luonnollisten henkilöiden suojelun kannalta huomattavia riskejä. Jäsenvaltioiden väliset eroavuudet henkilötietojen käsittelyssä suhteessa luonnollisten henkilöiden oikeuksien ja vapauksien suojeluun, erityisesti oikeudessa henkilötietojen suojaan, voivat estää henkilötietojen vapaan liikkuvuuden unionin alueella. Nämä eroavuudet voivat muodostua esteeksi unionin taloudelliselle toiminnalle, vääristää kilpailua ja estää viranomaisia suorittamasta unionin oikeuden mukaisia velvollisuuksiaan. Tällaiset suojelun tasossa ilmenevät eroavuudet johtuvat direktiivin [95/46] täytäntöönpanossa ja soveltamisessa esiintyvistä eroista.
(10) Jotta voitaisiin varmistaa yhdenmukainen ja korkeatasoinen luonnollisten henkilöiden suojelu ja poistaa henkilötietojen liikkuvuuden esteet unionissa, luonnollisten henkilöiden oikeuksien ja vapauksien suojelun tason näiden tietojen käsittelyssä olisi oltava vastaava kaikissa jäsenvaltioissa. Luonnollisten henkilöiden perusoikeuksien ja ‑vapauksien suojelua henkilötietojen käsittelyssä koskevien sääntöjen johdonmukainen ja yhtenäinen soveltaminen olisi varmistettava kaikkialla unionissa. – –
– –
(13) Jotta voitaisiin varmistaa luonnollisten henkilöiden yhdenmukainen suoja kaikkialla unionissa ja estää eroavuudet, jotka haittaavat henkilötietojen vapaata liikkuvuutta sisämarkkinoilla, tarvitaan asetus, jolla taataan oikeusvarmuus ja läpinäkyvyys taloudellisille toimijoille, mukaan lukien mikroyritykset sekä pienet ja keskisuuret yritykset, annetaan luonnollisille henkilöille kaikissa jäsenvaltioissa samantasoiset, oikeudellisesti täytäntöönpanokelpoiset oikeudet sekä rekisterinpitäjille ja henkilötietojen käsittelijöille velvollisuudet ja vastuut, jotta varmistetaan henkilötietojen käsittelyn yhdenmukainen valvonta ja samantasoiset seuraamukset kaikissa jäsenvaltioissa sekä tehokas yhteistyö eri jäsenvaltioiden valvontaviranomaisten välillä. – –
– –
(35) Terveyttä koskevia henkilötietoja ovat kaikki tiedot, jotka koskevat rekisteröidyn terveydentilaa ja paljastavat tietoja rekisteröidyn entisestä, nykyisestä tai tulevasta fyysisen terveyden tai mielenterveyden tilasta. Tähän kuuluvat luonnollista henkilöä koskevat tiedot, jotka on kerätty tämän rekisteröityessä Euroopan [2011/24/EU(4)] tarkoitettujen terveyspalvelujen saamista varten tai niiden tarjoamisen yhteydessä; luonnolliselle henkilölle annettu numero, symboli tai tunniste, jolla hänet voidaan tunnistaa yksiselitteisesti terveydenhuollon piirissä; kehon osan tai kehosta peräisin olevan aineen testaamisesta tai tutkimisesta saadut tiedot, mukaan lukien geneettiset tiedot ja biologiset näytteet, sekä kaikki tiedot esimerkiksi sairauksista, vammoista, sairauden riskistä, potilastiedoista tai lääketieteellisistä hoidoista sekä tieto rekisteröidyn fyysisestä tai lääketieteellisestä tilanteesta riippumatta siitä, mistä lähteestä tiedot on saatu, esimerkiksi lääkäriltä tai muulta terveydenhuollon ammattilaiselta, sairaalalta, lääkinnällisestä laitteesta tai diagnostisesta in vitro ‑testistä.
– –
(51) Henkilötietoja, jotka ovat erityisen arkaluonteisia perusoikeuksien ja ‑vapauksien kannalta, on suojeltava erityisen tarkasti, koska niiden käsittelyn asiayhteys voisi aiheuttaa huomattavia riskejä perusoikeuksille ja ‑vapauksille. – – Tällaisia henkilötietoja ei pitäisi käsitellä, ellei käsittelyä sallita tässä asetuksessa vahvistetuissa erityistapauksissa, ottaen huomioon, että jäsenvaltioiden lainsäädännössä voidaan vahvistaa erityisiä tietosuojasäännöksiä tämän asetuksen sääntöjen soveltamisen mukauttamiseksi lakisääteisen velvoitteen noudattamista tai yleistä etua koskevan tehtävän suorittamista tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämistä varten. Tällaista käsittelyä koskevien erityisvaatimusten lisäksi olisi sovellettava tämän asetuksen yleisiä periaatteita ja muita sääntöjä erityisesti lainmukaisen tietojenkäsittelyn osalta. Olisi kuitenkin nimenomaisesti säädettävä poikkeuksista yleiseen kieltoon, joka koskee erityisiin henkilötietojen ryhmiin kuuluvien tietojen käsittelyä, muun muassa silloin, kun rekisteröity antaa nimenomaisen suostumuksensa tai silloin, kun kyseisten tietojen käsittely suoritetaan tiettyjen yhdistysten tai säätiöiden sellaisen oikeutetun toiminnan yhteydessä, jonka tarkoituksena on mahdollistaa perusvapauksien toteutuminen.
– –
(142) Jos rekisteröity katsoo, että hänen tähän asetukseen perustuvia oikeuksiaan on loukattu, hänellä olisi oltava oikeus valtuuttaa jokin voittoa tavoittelematon elin, järjestö tai yhdistys, joka on perustettu kansallisen lainsäädännön mukaisesti, jonka sääntömääräiset tavoitteet ovat yleisen edun mukaisia ja joka toimii henkilötietojen suojaamisen alalla, tekemään puolestaan [kantelu] valvontaviranomaiselle, käyttämään oikeussuojakeinoja rekisteröityjen puolesta tai, silloin kun jäsenvaltion lainsäädäntö sen mahdollistaa, käyttämään korvauksensaamisoikeutta rekisteröityjen puolesta. Jäsenvaltiot voivat edellyttää, että edellä mainitun kaltaisilla elimillä, järjestöillä tai yhdistyksillä on rekisteröidyn valtuutuksesta riippumatta oikeus tehdä [kantelu] ja oikeus tehokkaisiin oikeussuojakeinoihin kyseisessä jäsenvaltiossa, jos niillä on syytä katsoa, että rekisteröidyn oikeuksia on loukattu sen vuoksi, että henkilötietojen käsittelyssä on rikottu tätä asetusta. Tällaisella elimellä, järjestöllä tai yhdistyksellä ei saa olla lupaa vaatia korvausta rekisteröidyn puolesta ilman rekisteröidyn valtuutusta.”
7. Asetuksen 1 artiklassa, jonka otsikko on ”Kohde ja tavoitteet”, säädetään seuraavaa:
”1. Tällä asetuksella vahvistetaan säännöt luonnollisten henkilöiden suojelulle henkilötietojen käsittelyssä sekä säännöt, jotka koskevat henkilötietojen vapaata liikkuvuutta.
2. Tällä asetuksella suojellaan luonnollisten henkilöiden perusoikeuksia ja ‑vapauksia ja erityisesti heidän oikeuttaan henkilötietojen suojaan.
3. Henkilötietojen vapaata liikkuvuutta unionin sisällä ei saa rajoittaa eikä kieltää syistä, jotka liittyvät luonnollisten henkilöiden suojeluun henkilötietojen käsittelyssä.”
8. Asetuksen 4 artiklassa säädetään seuraavaa:
”Tässä asetuksessa tarkoitetaan
1) ’henkilötiedoilla’ kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella – –
15) ’terveystiedoilla’ luonnollisen henkilön fyysiseen tai psyykkiseen terveyteen liittyviä henkilötietoja, mukaan lukien tiedot terveyspalvelujen tarjoamisesta, jotka ilmaisevat hänen terveydentilansa,
– –”
9. Asetuksen 9 artiklassa, jonka otsikko on ”Erityisiä henkilötietoryhmiä koskeva käsittely”, säädetään seuraavaa:
”1. Sellaisten henkilötietojen käsittely, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys sekä geneettisten tietojen käsittely, biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten tai terveyttä koskevien tietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevien tietojen käsittely on kiellettyä.
2. Edellä olevaa 1 kohtaa ei sovelleta, jos sovelletaan jotakin seuraavista:
a) rekisteröity on antanut nimenomaisen suostumuksensa kyseisten henkilötietojen käsittelyyn yhtä tai useampaa tiettyä tarkoitusta varten, paitsi jos unionin oikeudessa tai jäsenvaltion lainsäädännössä säädetään, että 1 kohdassa tarkoitettua kieltoa ei voida kumota rekisteröidyn suostumuksella;
– –
h) käsittely on tarpeen ennalta ehkäisevää tai työterveydenhuoltoa koskevia tarkoituksia varten, työntekijän työkyvyn arvioimiseksi, lääketieteellisiä diagnooseja varten, terveys- tai sosiaalihuollollisen hoidon tai käsittelyn suorittamiseksi taikka terveys- tai sosiaalihuollon palvelujen ja järjestelmien hallintoa varten unionin oikeuden tai jäsenvaltion lainsäädännön perusteella tai terveydenhuollon ammattilaisen kanssa tehdyn sopimuksen mukaisesti ja noudattaen 3 kohdassa esitettyjä edellytyksiä ja suojatoimia;
– –”
10. Yleisen tietosuoja-asetuksen VIII lukuun, jonka otsikko on ”Oikeussuojakeinot, vastuu ja seuraamukset”, kuuluvat asetuksen 77–84 artikla.
11. Asetuksen 77 artiklan, jonka otsikko on ”Oikeus tehdä kantelu valvontaviranomaiselle”, 1 kohdassa säädetään seuraavaa:
”Jokaisella rekisteröidyllä on oikeus tehdä kantelu valvontaviranomaiselle, erityisesti siinä jäsenvaltiossa, jossa hänen vakinainen asuinpaikkansa tai työpaikkansa on taikka jossa väitetty rikkominen on tapahtunut, jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan tätä asetusta, sanotun kuitenkaan rajoittamatta muita hallinnollisia muutoksenhakukeinoja tai oikeussuojakeinoja.”
12. Asetuksen 78 artiklan, jonka otsikko on ”Oikeus tehokkaisiin oikeussuojakeinoihin valvontaviranomaista vastaan”, 1 momentissa säädetään seuraavaa:
”Jokaisella luonnollisella henkilöllä tai oikeushenkilöllä on oikeus tehokkaisiin oikeussuojakeinoihin itseään koskevaa valvontaviranomaisen oikeudellisesti sitovaa päätöstä vastaan, sanotun kuitenkaan rajoittamatta muita hallinnollisia muutoksenhakukeinoja tai muita kuin oikeudellisia oikeussuojakeinoja.”
13. Asetuksen 79 artiklan, jonka otsikko on ”Oikeus tehokkaisiin oikeussuojakeinoihin rekisterinpitäjää tai henkilötietojen käsittelijää vastaan”, 1 kohdassa säädetään seuraavaa:
”Jokaisella rekisteröidyllä on oikeus tehokkaisiin oikeussuojakeinoihin, jos hän katsoo, että hänen tähän asetukseen perustuvia oikeuksiaan on loukattu sen takia, ettei hänen henkilötietojensa käsittelyssä ole noudatettu tätä asetusta, sanotun kuitenkaan rajoittamatta käytettävissä olevien hallinnollisten muutoksenhakukeinojen tai muiden kuin oikeudellisten oikeussuojakeinojen käyttöä, mukaan lukien 77 artiklaan perustuva oikeus tehdä kantelu valvontaviranomaiselle.”
14. Yleisen tietosuoja-asetuksen 80 artiklassa, jonka otsikko on ”Rekisteröityjen edustaminen”, säädetään seuraavaa:
”1. Rekisteröidyllä on oikeus valtuuttaa voittoa tavoittelematon elin, järjestö tai yhdistys, joka on asianmukaisesti perustettu jäsenvaltion lainsäädännön mukaisesti, jonka sääntömääräiset tavoitteet ovat yleisen edun mukaisia ja joka toimii rekisteröidyille kuuluvien oikeuksien ja vapauksien suojaamisen alalla heidän henkilötietojensa suojan osalta, tekemään kantelu puolestaan sekä käyttämään puolestaan 77, 78 ja 79 artiklassa tarkoitettuja oikeuksia ja 82 artiklassa tarkoitettua korvauksensaamisoikeutta, jos siitä on säädetty jäsenvaltion lainsäädännössä.
2. Jäsenvaltiot voivat säätää, että tämän artiklan 1 kohdassa tarkoitetuilla elimillä, järjestöillä tai yhdistyksillä on oltava rekisteröidyn valtuutuksesta riippumatta oikeus tehdä kyseisessä jäsenvaltiossa kantelu 77 artiklan nojalla toimivaltaiselle valvontaviranomaiselle ja oikeus käyttää 78 ja 79 artiklassa tarkoitettuja oikeuksiaan, jos ne katsovat, että tähän asetukseen perustuvia rekisteröidyn oikeuksia on loukattu käsittelyssä.”
15. Kyseisen asetuksen 82 artiklan, jonka otsikko on ”Vastuu ja oikeus korvauksen saamiseen”, 1 kohdassa säädetään seuraavaa:
”Jos henkilölle aiheutuu tämän asetuksen rikkomisesta aineellista tai aineetonta vahinkoa, hänellä on oikeus saada rekisterinpitäjältä tai henkilötietojen käsittelijältä korvaus aiheutuneesta vahingosta.”
16. Asetuksen 84 artiklan, jonka otsikko on ”Seuraamukset”, 1 kohdassa säädetään seuraavaa:
”Jäsenvaltioiden on säädettävä muista tämän asetuksen rikkomisesta aiheutuvista seuraamuksista erityisesti niitä tilanteita varten, joihin ei sovelleta 83 artiklan mukaisia hallinnollisia seuraamusmaksuja, sekä toteutettava kaikki tarvittavat toimenpiteet niiden täytäntöönpanon varmistamiseksi. Tällaisten seuraamusten on oltava tehokkaita, oikeasuhteisia ja varoittavia.”
B Saksan oikeus
1. Sopimattoman kilpailun estämisestä annettu laki
17. Sopimattoman kilpailun estämisestä 3.7.2004 annetun lain (Gesetz gegen den unlauteren Wettbewerb),(5) sellaisena kuin sitä sovelletaan pääasiassa (jäljempänä sopimattoman kilpailun estämisestä annettu laki), 3 §:n, jonka otsikko on ”Sopimattomien kaupallisten menettelyjen kielto”, 1 momentissa säädetään, että ”sopimattomat kaupalliset menettelyt ovat kiellettyjä”.
18. Sopimattoman kilpailun estämisestä annetun lain 3a §:ssä, jonka otsikko on ”Lain rikkominen”, säädetään seuraavaa:
”Sopimattomaan menettelyyn syyllistyy henkilö, joka menettelee sellaisen säännöksen vastaisesti, jolla on tarkoitus säännellä myös markkinakäyttäytymistä markkinatoimijoiden edun mukaisesti, jos rikkominen on omiaan vahingoittamaan tuntuvasti kuluttajien, kilpailijoiden tai muiden markkinatoimijoiden etuja.”
19. Kyseisen lain 8 §:ssä, jonka otsikko on ”Lopettaminen ja kieltäminen”, säädetään seuraavaa:
”(1) Kaikki 3 §:n tai 7 §:n nojalla lainvastaiset kaupalliset menettelyt voidaan määrätä lopetettaviksi, ja mikäli on olemassa uusimisen vaara, niiden toteuttaminen tulevaisuudessa voidaan kieltää. – –
– –
(3) Edellä 1 momentissa tarkoitettuja määräyksiä voivat hakea
– –
1. kilpailijat, jotka myyvät tai ostavat tavaroita tai palveluja vähäistä enemmässä määrin eivätkä vain satunnaisesti,
– –”
2. Lääkelaki
20. Lääkkeiden kaupasta säädetään lääkkeistä 24.8.1976 annetussa laissa (Arzneimittelgesetz), sellaisena kuin se on julkaistuna 12.12.2005(6) ja muutettuna viimeksi 20.12.2022 annetun lain(7) 8c §:llä. Tässä laissa erotetaan toisistaan sen 43–47 §:ssä (joista 43 §:n otsikko on ”Yksinomaan apteekeissa myytävät lääkkeet”) tarkoitetut yksinomaan apteekeissa myytävät lääkkeet ja sen 48 §:ssä, jonka otsikko on ”Lääkemääräyksen edellyttäminen”, tarkoitetut lääkemääräystä edellyttävät lääkkeet.
III Pääasian tosiseikat, menettely ja ennakkoratkaisukysymys
21. ND:llä ja DR:llä on molemmilla apteekki. Pääasian kantajalla ND:llä on lisäksi postimyyntilupa ja hän myy tuotteitaan, mukaan lukien lääkkeitä, joita saadaan myydä vain apteekeissa, Amazon Marketplacen (jäljempänä Amazon) välityksellä, joka on verkkokauppa-alusta, jonka kautta myyjät voivat tarjota myymiään tuotteita suoraan kuluttajille.
22. Pääasian vastaataja DR on nostanut kieltokanteen, jossa hän vaatii, että ND:tä kielletään myymästä Amazon-verkkokauppa-alustalla lääkkeitä, joita saadaan myydä vain apteekeissa. DR:n mukaan tällaista myyntiä on pidettävä sopimattomana kaupallisena menettelynä, koska myymällä lääkkeitä tällä tavalla ND rikkoo sopimattoman kilpailun estämisestä annetun lain 3a §:ssä tarkoitettua säännöstä eli erityisesti yleisen tietosuoja-asetuksen 9 artiklaa, jossa edellytetään, että asiakkaalta hankintaan etukäteen nimenomainen suostumus terveyttä koskevien henkilötietojen käsittelyyn.
23. Landgericht Dessau-Roßlau (Dessau-Roßlaun alueellinen alioikeus, Saksa) hyväksyi kanteen. Tämän jälkeen Oberlandesgericht Naumburg (Naumburgissa sijaitseva osavaltion ylioikeus, Saksa) hylkäsi ND:n tekemän valituksen, sillä se katsoi, että on sopimattoman kilpailun estämisestä annetun kansallisen lain vastaista, että ND myy lääkkeitä, joita saadaan myydä vain apteekeissa, Amazon-palvelussa. Kyseisen tuomioistuimen mukaan lääkkeiden myyminen tällä tavalla on nimittäin yleisen tietosuoja-asetuksen 9 artiklan 1 kohdassa tarkoitettua terveystietojen käsittelyä, johon asiakkaat eivät ole antaneet nimenomaista suostumustaan. Yleisen tietosuoja-asetuksen säännöksiä on kyseisen tuomioistuimen mukaan pidettävä kansallisessa kilpailuoikeudessa tarkoitettuina markkinakäyttäytymistä koskevina sääntöinä, joten DR:llä on ND:n kilpailijana oikeus esittää kansalliseen kilpailuoikeuteen perustuva kieltovaatimus, jossa hän vetoaa siihen, että ND on rikkonut kyseisen asetuksen säännöksiä.
24. ND on esittänyt ennakkoratkaisua pyytäneelle tuomioistuimelle eli Bundesgerichtshofille (liittovaltion ylin yleinen tuomioistuin, Saksa) Revision-valituksen, jossa hän edelleenkin vaatii kieltokanteen hylkäämistä.
25. Ennakkoratkaisua pyytäneen tuomioistuimen mukaan Revision-valitukseen annettava ratkaisu riippuu siitä, miten on tulkittava yleisen tietosuoja-asetuksen VIII lukua, asetuksen 9 artiklaa ja direktiivin 95/46 8 artiklan 1 kohtaa.
26. Kyseinen tuomioistuin toteaa nimittäin yhtäältä, että asiassa on ratkaistava, onko pääasian kantajalla kilpailijana asiavaltuus, jota edellytetään, jotta hän voi nostaa yleisessä tuomioistuimessa sopimattomien kaupallisten menettelyjen kieltoon perustuvan kanteen yleistä tietosuoja-asetusta rikkonutta vastaan sillä perusteella, että kyseinen henkilö on rikkonut yleistä tietosuoja-asetusta. Ennakkoratkaisua pyytänyt tuomioistuin toteaa, että tämä on kiistanalainen kysymys, johon voidaan vastata, että yleisessä tietosuoja-asetuksessa säädetään tyhjentävästi sen säännösten täytäntöönpanosäännöistä, joten kilpailijoilla ei ole asiavaltuutta nostaa kannetta kilpailulainsäädännön nojalla. Voidaan kuitenkin myös puolustaa sitä kantaa, jonka mukaan yleisen tietosuoja-asetuksen oikeuksien täytäntöönpanoa koskevat säännökset eivät ole tyhjentäviä ja että kilpailijat ovat näin ollen asemassa, jota edellytetään, jotta ne voivat kanteella vedota oikeuteensa saada kieltomääräys ja perustella vaatimustaan kyseisen asetuksen rikkomisella.
27. Toisaalta ennakkoratkaisua pyytänyt tuomioistuin katsoo, että asiassa on ratkaistava, onko tietoja, jotka asiakkaiden on syötettävä myyntialustalle tilatessaan verkossa lääkkeitä, joita saadaan myydä vain apteekeissa mutta jotka eivät edellytä lääkemääräystä, pidettävä yleisen tietosuoja-asetuksen 9 artiklan 1 kohdassa tarkoitettuina terveystietoina ja sitä ennen direktiivin 95/46 8 artiklan 1 kohdassa tarkoitettuina terveyteen liittyvinä tietoina, koska oikeus kieltomääräykseen on vain siinä tapauksessa, että ND:n menettely on ollut lainvastainen sekä menettelyn aloittamishetkellä että Revision-valituksen käsittelyajankohtana.
28. Tässä tilanteessa Bundesgerichtshof on päättänyt lykätä asian käsittelyä ja esittää unionin tuomioistuimelle seuraavat ennakkoratkaisukysymykset:
”1) Ovatko asetuksen 2016/679 VIII luvun säännökset esteenä kansalliselle lainsäädännölle, jonka mukaan – asetuksen valvonnasta ja täytäntöönpanosta vastaavien valvontaviranomaisten toimintavallan ja rekisteröityjen käytettävissä olevien oikeussuojakeinojen ohella – kilpailijoilla on kyseisen asetuksen rikkomisten perusteella oikeus nostaa siviilituomioistuimessa kanne rikkojaa vastaan vetoamalla sopimattomien kaupallisten menettelyjen kieltoon?
2) Ovatko tiedot, jotka internetin myyntialustalla myyjänä toimivan apteekin asiakkaat syöttävät myyntialustalle tilatessaan lääkkeitä, joita saadaan myydä vain apteekeissa mutta jotka eivät edellytä lääkemääräystä (asiakkaan nimi, toimitusosoite ja tilatun apteekeissa myytävän lääkkeen yksilöimiseksi tarvittavat tiedot), asetuksen 2016/679 9 artiklan 1 kohdassa tarkoitettuja terveystietoja ja direktiivin 95/46 8 artiklan 1 kohdassa tarkoitettuja terveyteen liittyviä tietoja?”
29. Nyt käsiteltävä ennakkoratkaisupyyntö toimitettiin unionin tuomioistuimeen 19.1.2023. Pääasian asianosaiset, Saksan hallitus ja Euroopan komissio ovat esittäneet kirjallisia huomautuksia. Samat osapuolet olivat edustettuina 9.1.2024 pidetyssä istunnossa.
IV Asian tarkastelu
30. Nyt käsiteltävässä asiassa DR väittää, että ND on rikkonut yleisen tietosuoja-asetuksen 9 artiklaa, kun hän on käsitellyt verkossa reseptivapaita lääkkeitä tilanneiden asiakkaidensa tietoja noudattamatta vaatimuksia siitä, että asiakkailta on saatava nimenomainen suostumus kyseisten tietojensa käsittelyyn.
31. Ensimmäisellä ennakkoratkaisukysymyksellään ennakkoratkaisua pyytänyt tuomioistuin tiedustelee lähinnä, onko yleisen tietosuoja-asetuksen VIII luvun säännöksiä tulkittava siten, että ne ovat esteenä kansallisille säännöille, joissa annetaan yrityksille oikeus vedota sopimatonta kilpailua koskevien toimien kiellon perusteella siihen, että niiden kilpailijat ovat väitetysti rikkoneet yleisen tietosuoja-asetuksen aineellisia säännöksiä. Toisella ennakkoratkaisukysymyksellään kyseinen tuomioistuin tiedustelee unionin tuomioistuimelta, onko yleisen tietosuoja-asetuksen 9 artiklaa tulkittava siten, että kyseiset tiedot ovat terveystietoja ja kuuluvat siis kyseisessä säännöksessä tarkoitettuihin erityisiin henkilötietoryhmiin.(8)
32. Toistan vielä aluksi, että jos toiseen kysymykseen vastataan kieltävästi, ensimmäiseen kysymykseen ei ole tarvetta vastata, koska ennakkoratkaisua pyytänyt tuomioistuin voi ratkaista siinä vireillä olevan asian unionin tuomioistuimen vastauksen perusteella. Näin ollen pidän tarkoituksenmukaisena aloittaa asian tarkastelu seikoista, joita toinen ennakkoratkaisukysymys koskee.
A Toinen ennakkoratkaisukysymys
33. Toisella ennakkoratkaisukysymyksellään ennakkoratkaisua pyytänyt tuomioistuin tiedustelee lähinnä, onko proviisorin asiakkaiden tietoja, jotka välitetään, kun asiakkaat tilaavat verkkokauppa-alustalla lääkkeitä, joita saadaan myydä vain apteekeissa mutta jotka eivät edellytä lääkemääräystä, pidettävä yleisen tietosuoja-asetuksen 9 artiklan 1 kohdassa tarkoitettuina terveystietoina.
34. Aluksi on todettava, että yleisen tietosuoja-asetuksen 9 artiklan 1 kohdassa tarkoitettu terveystietojen käsite määritellään asetuksen 4 artiklan 15 alakohdassa. Toiseen ennakkoratkaisukysymykseen vastaaminen edellyttää näin ollen, että kyseisiä säännöksiä tulkitaan yhdessä.
1. Terveystietojen käsitteen tulkinta toistaiseksi annetun oikeuskäytännön valossa
35. Yleisen tietosuoja-asetuksen 4 artiklan 15 alakohdan mukaan ”terveystiedoilla” tarkoitetaan luonnollisen henkilön fyysiseen tai psyykkiseen terveyteen liittyviä henkilötietoja, mukaan lukien tiedot terveyspalvelujen tarjoamisesta, jotka ilmaisevat hänen terveydentilansa.
36. Kuten unionin tuomioistuin on oikeuskäytännössään todennut, kyseistä määritelmää on lisäksi luettava yleisen tietosuoja-asetuksen johdanto-osan 35 perustelukappaleen valossa, jossa todetaan, että ”terveyttä koskevia henkilötietoja ovat kaikki tiedot, jotka koskevat rekisteröidyn terveydentilaa ja ’paljastavat’ tietoja rekisteröidyn entisestä, nykyisestä tai tulevasta fyysisen terveyden tai mielenterveyden tilasta”.(9)
37. Yleisen tietosuoja-asetuksen 4 artiklan 15 alakohdan sanamuodosta, sellaisena kuin se on luettuna yleisen tietosuoja-asetuksen johdanto-osan 35 perustelukappaleesta ilmenevien tarkennusten valossa, ilmenee siis, että ratkaiseva seikka, jonka perusteella todetaan, että tiettyt henkilötiedot ovat terveystietoja, on se, että kyseisten tietojen perusteella voidaan tehdä päätelmiä rekisteröidyn terveydentilasta. Toisin sanoen terveystietoina ei pidetä vain lääketieteellisiä tietoja tai tietoja, joilla on suora yhteys terveysongelmiin, vaan niillä tarkoitetaan myös kaikkia tietoja, joiden perusteella voidaan tehdä päätelmiä rekisteröidyn terveydentilasta, riippumatta siitä, onko kyse sairaudesta vai fysiologisesta tilasta.
38. Yleisen tietosuoja-asetuksen 9 artiklan tarkoitus tukee tätä tulkintaa. Unionin tuomioistuin on nimittäin todennut oikeuskäytännössään, että kyseisen säännöksen tarkoituksena on varmistaa parempi suoja sellaista käsittelyä vastaan, joka sen kohteena olevien tietojen erityisen arkaluontoisuuden vuoksi voi merkitä – kuten yleisen tietosuoja-asetuksen johdanto-osan 51 perustelukappaleesta ilmenee – erityisen vakavaa puuttumista yksityiselämän kunnioittamista ja henkilötietojen suojaa koskeviin perusoikeuksiin, jotka on taattu Euroopan unionin perusoikeuskirjan 7 ja 8 artiklassa.(10)
39. Se, että terveystiedot ovat erityisen arkaluonteisia tietoja, selittyy nimittäin sillä, että terveystiedot ovat tietoja, jotka koskevat luonnollisten henkilöiden kaikkein yksityisintä elämänaluetta ja niistä voivat ilmetä heidän haavoittuvaisuutensa. Kyseisten tietojen erityinen arkaluonteisuus ja siitä seuraava erityinen tarve suojata niitä on [sitä paitsi] vahvistettu paitsi unionin oikeudessa myös Euroopan ihmisoikeustuomioistuimen oikeuskäytännössä, jossa on todettu, että ”terveystietojen luottamuksellisuuden kunnioittaminen on keskeinen periaate kaikkien [ihmisoikeuksien ja perusvapauksien suojaamiseksi tehdyn] yleissopimuksen[, joka allekirjoitettiin Roomassa 4.11.1950,] sopimusvaltioiden oikeusjärjestyksissä”.(11)
40. Unionin tuomioistuimen oikeuskäytännön mukaan tästä tarkoituksesta seuraa, että erityisten henkilötietoryhmien käsitettä, jonka alaan terveystiedot kuuluvat, on tulkittava laajasti siten, että erityisillä henkilötietoryhmillä tarkoitetaan paitsi luonnostaan arkaluonteisia tietoja myös tietoja, joista selviää epäsuorasti älyllisen päättelyn tai vertailun perusteella tämän luonteisia tietoja.(12)
41. Tästä aiheesta huomautan, että yleisen tietosuoja-asetuksen 68 artiklalla ja sitä seuraavilla artikloilla perustettu Euroopan tietosuojaneuvosto soveltaa niin ikään tällaista tulkintaa terveystietojen käsitteestä, sillä se korostaa, että tietoja ei luokitella terveystiedoiksi pelkästään niiden ominaissisällön perusteella vaan myös niiden keräämis- ja käsittelyolosuhteiden perusteella, mistä Euroopan tietosuojaneuvosto esittää eri esimerkkejä. Euroopan tietosuojaneuvoston mukaan terveystietoina on siis pidettävä potilastietoihin kerättyjä tietoja, tietoja, joista ilmenee terveydentila, kun niitä tarkastellaan yhdessä muiden tietojen kanssa, ja myös tietoja, joista tulee terveystietoja sen vuoksi, että niitä käytetään tietyssä yhteydessä, kuten esimerkiksi matkaa koskevia tietoja, joita terveydenhuollon ammattihenkilö käsittelee tehdäkseen diagnoosin.(13) Sen sijaan terveystietoina ei ole pidettävä sovelluksen keräämiä tietoja, joiden perusteella voidaan mitata rekisteröidyn ottamien askelten määrä, jos sovellus ei voi yhdistää kyseisiä tietoja muihin rekisteröityä koskeviin tietoihin ja jos kerättyjä tietoja ei käsitellä terveydenhuollon asiayhteydessä.(14)
42. Yleisen tietosuoja-asetuksen 4 artiklan 15 alakohdasta ja 9 artiklasta, sellaisina kuin niitä on tulkittu oikeuskäytännössä, ilmenee siis selvästi, että mainituissa säännöksissä tarkoitettuina terveystietoina on pidettävä tietoja, joiden perusteella voidaan tehdä päätelmiä rekisteröidyn terveydentilasta.
43. Näin ollen totean, että ensi arviolta ei voida kiistää, että reseptivapaiden lääkkeiden tilaaminen verkossa edellyttää sellaisten tietojen käsittelyä, joista voidaan päätellä tiettyjä terveyteen liittyviä tietoja tai joista ainakin ilmenee tiettyjä terveyteen viittaavia seikkoja, koska tällaisen tilauksen tekemiseen liittyy yhteys lääkkeen ostamisen, ja lääke on tyyppiesimerkki terveyteen liittyvästä tuotteesta, ja ostajan henkilöllisyyden välillä. Esitän seuraavaksi kuitenkin perustelut tulkinnalleni, jonka mukaan ennakkoratkaisua pyytäneen tuomioistuimen unionin tuomioistuimelle toimittamista tiedoista ilmenee, että tämä yhteys on liian heikko ja siitä pääteltävissä olevat seikat ovat liian epätäsmällisiä tai hypoteettisia, jotta kyseisiä tietoja voitaisiin pitää yleisen tietosuoja-asetuksen 4 artiklan 15 alakohdassa ja 9 artiklassa tarkoitettuina terveystietoina.
2. Vaatimus siitä, että päätelmät, joita voidaan tehdä rekisteröidyn terveydentilasta, ovat tietyssä määrin varmoja
44. Haluan esittää muutamia selvennyksiä, jotka koskevat edellä esitettyä terveystietojen käsitteen tulkintaa erityisesti ja erityisten henkilötietoryhmien käsitteen tulkintaa yleisesti.
45. Minusta näyttää yhtäältä siltä, että edellä esitettyjen tulkintaa koskevien seikkojen perusteella on katsottava, että verkossa tilattu tietty tuote voi merkitä yleisluonteisten henkilön terveydentilaa koskevien tietojen paljastamista mutta myös – kuten yleisen tietosuoja-asetuksen 9 artiklasta ilmenee – rotua tai etnistä alkuperää, poliittisia mielipiteitä, uskonnollista tai filosofista vakaumusta tai henkilön seksuaaliseen suuntautumiseen liittyvien tietojen paljastamista. Mielestäni verkossa tilatuista tuotteista voidaan päätellä tiettyjä tietoja, joilla on yhteys näihin rekisteröidyn eri ominaisuuksiin.
46. Voin esittää useita esimerkkejä tämän tulkintani tueksi. Tietyn poliitikon kirjoittaman kirjan tilaaminen voi mahdollisesti merkitä, että tilaaja kannattaa kyseisen poliitikon puoltamia aatteita, tietyn vaatteen tilaaminen voi olla merkki yksilön uskonnollisesta vakaumuksesta, ja eroottisen materiaalin tilaaminen voi antaa viitteitä kyseisen henkilön seksuaalisesta suuntautumisesta. Sen sijaan, että katsottaisiin, että huomattavan suuri osa verkkokaupankäynnissä käsitellyistä tiedoista kuuluu yleisen tietosuoja-asetuksen 9 artiklan 2 kohdassa säädetyn järjestelmän soveltamisalaan, mielestäni on siis tarpeen tulkita vielä hienojakoisemmin terveystietojen käsitettä edellyttämällä, että päätelmät, joita tilaustietojen perusteella voidaan tehdä, eivät voi olla vain potentiaalisia. Toisin sanoen on mielestäni niin, että kyseisistä tiedoista ilmenevät rekisteröidyn terveydentilaa koskevat tiedot eivät voi olla pelkkiä oletuksia vaan niiden on oltava tietyssä määrin varmoja.
47. Katson toisaalta, että tietojen luokitteleminen terveystiedoiksi riippuu kunkin yksittäistapauksen olosuhteista, elleivät tiedot ole luonnostaan terveystietoja. Tarkemmin sanottuna minusta näyttää siltä, että se, millaisia päätelmiä tiedoista voidaan tehdä, riippuu tietojen keräämisen asiayhteydestä ja siitä, miten niitä käsitellään. Kuten yleisen tietosuoja-asetuksen 68 artiklalla ja sitä seuraavilla artikloilla perustettu Euroopan tietosuojaneuvosto on todennut, tietoja, joilla ensi arviolta ei ole yhteyttä terveydenhuollon alaan, kuten matkaa koskevia tietoja, voidaan kuitenkin pitää terveystietoina, kun niitä analysoidaan terveydenhuollon asiayhteydessä ja kun ne yhdistetään muihin tietoihin sen toteamiseksi – Euroopan tietosuojaneuvostolta lainatussa esimerkissä – että henkilö mahdollisesti kantaa bakteeria tai virusta, jota esiintyy tietyllä alueella.
48. Korostan erityisesti, että tässä yhteydessä erityistä merkitystä on sillä, kuka on rekisterinpitäjä. Minusta nimittäin näyttää siltä, että jos tietoja käsittelee terveydenhuollon alalla toimiva elin, tätä seikkaa voidaan pitää viitteenä siitä, että tiedot todellakin ovat terveystietoja. Sitä vastoin samat tiedot voidaan mahdollisesti luokitella toisin sillä perusteella, että niitä ei käsittele terveydenhuollon alalla toimiva laitos eikä niitä voida yhdistää muihin rekisteröityä koskeviin tietoihin. Toisin sanoen samasta tiedosta voi ilmetä enemmän henkilön terveydentilaa koskevia tietoja silloin, kun tietoa käsittelee terveydenhuollon alan laitos, jolla on kyky tulkita tietoa tai jolla on käytettävissään muita tietoja kyseisestä henkilöstä, kuin silloin, kun tietoa käsittelee elin, joka ei toimi terveydenhuollon alalla.
49. Näin ollen katson, että ennakkoratkaisua pyytäneen tuomioistuimen on arvioitava sekä kyseessä olevien tietojen sisältöä että kaikkia tietojen käsittelyyn liittyviä olosuhteita, jotta se voi ratkaista, voidaanko tiedoista päätellä tietyllä varmuudella rekisteröidyn terveydentilaa koskevia tietoja.
50. Kun otetaan huomioon ennakkoratkaisua pyytäneen tuomioistuimen päätöksessä esitetyt seikat, voidaan mielestäni kuitenkin esittää selvennyksiä, joiden tarkoituksena on ohjata mainitun tuomioistuimen arviointia, kun se tekee ratkaisunsa pääasiassa.(15)
3. Seikat, joilla on merkitystä, kun ennakkoratkaisua pyytänyt tuomioistuin arvioi mahdollisuutta päätellä jostakin rekisteröidyn terveydentilaa koskevia tietoja
51. Ensinnäkin tilattavien tuotteiden osalta korostan, että kyseisillä lääkkeillä eli reseptivapailla lääkkeillä ei ensisijaisesti hoideta tiettyä terveydentilaa vaan niitä voidaan käyttää yleisemmin sellaisten tavanomaisten sairauksien hoitamiseen, joihin kaikki voivat sairastua ja jotka eivät ole oire tietystä vakavammasta sairaudesta tai tietystä terveydentilasta. Lisäksi tällaisia lääkkeitä ostetaan usein myös ennalta ehkäisevästi, jotta ne ovat tarvittaessa saatavilla tai esimerkiksi ennen lähtöä matkalle vakinaisen asuinpaikkakunnan ulkopuolelle. Esimerkiksi parasetamolin tilaamisen perusteella ei voida tehdä mitään päätelmiä henkilön tarkasta terveydentilasta, sillä kyseistä molekyyliä voidaan käyttää monenlaisten kipujen ja kuumetilojen hoitoon ja yksityishenkilöillä on usein kotonaan myös kyseistä lääkettä ilman, että heillä olisi sille erityistä tarvetta.
52. Kuten ND esittää, on toiseksi niin, että se, että henkilö tilaa verkossa reseptivapaan lääkkeen, ei välttämättä tarkoita, että kyseinen henkilö, jonka tietoja käsitellään, on lääkkeen käyttäjä jonkun hänen talouteensa tai lähipiiriinsä kuuluvan henkilön sijasta. Yhtäältä usein tilauksen verkkokaupan sivustolla tekee nimittäin henkilö, jolla on tili kyseisellä sivustolla, sellaisen henkilön nimissä ja puolesta, jolla ei ole tiliä. Kun lääke ei edellytä lääkemääräystä, jossa mainitaan nimellä henkilö, jonka käyttöön lääke on tarkoitettu, ja jonka perusteella voidaan olettaa, että lääkkeen käyttäjä ja lääkkeen ostaja ovat sama henkilö, vapaasti verkossa saatavilla olevan tuotteen tilaamisesta ei voida päätellä, että ostajan ja vain ostajan on tarkoitus käyttää kyseistä tuotetta. Näin ollen henkilön, jonka tietoja käsitellään, terveydentilasta ei voida tehdä kyseisten tietojen perusteella siten järkeviä päätelmiä, että tiedot voitaisiin luokitella terveystiedoiksi.
53. Kolmanneksi on todettava, että näin on tulkittava varsinkin siksi, että – ellei selvityksistä, jotka ennakkoratkaisua pyytäneen tuomioistuimen on tehtävä, muuta johdu – henkilö voi tehdä tilauksen internetissä ilman, että hänen olisi annettava tarkkoja tietoja henkilöllisyydestään, erityisesti kun tuotetta ei toimiteta rekisteröidyn kotiosoitteeseen vaan jakelupisteeseen eikä laskun esittäminen edellytä muita henkilön yksilöintitietoja.
54. Näin ollen katson, että toiseen ennakkoratkaisukysymykseen on vastattava siten, että proviisorin asiakkaiden tiedot, jotka välitetään, kun asiakas tilaa verkkokauppa-alustalla lääkkeitä, joita saadaan myydä vain apteekeissa mutta jotka eivät edellytä lääkemääräystä, eivät ole yleisen tietosuoja-asetuksen 4 artiklan 15 alakohdassa ja 9 artiklassa tarkoitettuja terveystietoja, jos tiedoista voidaan tehdä ainoastaan hypoteettisia tai epätarkkoja päätelmiä verkossa tilauksen tekevän henkilön terveydentilasta, mikä ennakkoratkaisua pyytäneen tuomioistuimen on selvitettävä.
55. Lisään vielä muutenkin, että mielestäni terveystietojen käsitteen tulkitseminen siten, että se kattaa verkkokauppa-alustalla tehdyn tilauksen yhteydessä välitetyt tiedot, kun tilaus koskee lääkkeitä, joita saadaan myydä vain apteekeissa mutta jotka eivät edellytä lääkemääräystä, voisi paradoksaalisesti merkitä, että yleisen tietosuoja-asetuksen 9 artiklan 2 kohdassa säädetyn tiukennetun suojajärjestelmän vuoksi ilmaistaan enemmän arkaluonteisia tietoja kuin jos sääntöjä ei sovelleta. Nimenomaisen suostumuksen vaatiminen jo arkaluonteisiksi todettujen tietojen käsittelyä varten voisi nimittäin viime kädessä kannustaa ostajaa paljastamaan tuotteen loppukäyttäjän henkilöllisyyden. Tässä tilanteessa voitaisiin tehdä varmempia päätelmiä kyseisen henkilön terveydentilasta.
B Ensimmäinen ennakkoratkaisukysymys
56. Kun otetaan huomioon vastaus, jota ehdotan annettavaksi toiseen ennakkoratkaisukysymykseen, ensimmäiseen ennakkoratkaisukysymykseen ei mielestäni ole tarpeen vastata. Kun otetaan huomioon, että ennakkoratkaisua pyytäneen tuomioistuimen on arvioitava tiettyjä seikkoja, tarkastelen kuitenkin täydellisyyden nimissä tätä kysymystä, jolla ennakkoratkaisua pyytänyt tuomioistuin tiedustelee lähinnä, onko yleisen tietosuoja-asetuksen VIII luvun säännöksiä tulkittava siten, että ne ovat esteenä kansallisille säännöille, joissa yrityksille annetaan oikeus vedota sopimatonta kilpailua koskevien toimien kiellon perusteella siihen, että niiden kilpailijat ovat väitetysti rikkoneet yleisen tietosuoja-asetuksen aineellisia säännöksiä.
57. Osapuolet ovat esittäneet täysin vastakkaisia vastauksia tähän kysymykseen. Yhtäältä komission ja ND:n mukaan yleisen tietosuoja-asetuksen VIII luvussa käyttöön otettua oikeussuojakeinojen järjestelmää, tulkittuna yleisen tietosuoja-asetuksen tavoitteiden valossa, on pidettävä siten tyhjentävänä, että jäsenvaltiot eivät voi säätää kansallisessa oikeudessaan vaihtoehtoisista oikeussuojakeinoista.
58. Toisaalta Saksan hallituksen mukaan yleisen tietosuoja-asetuksen VIII luvussa säädettyä oikeussuojakeinojen järjestelmää on pidettävä oikeussuojakeinojen vähimmäiskokonaisuutena, jota jäsenvaltiot voivat täydentää. Se, että järjestelmä ei ole tyhjentävä, on Saksan hallituksen mukaan perusteltua, koska yleisellä tietosuoja-asetuksella on myös tarkoitus suojata kilpailuolosuhteita ja estää vääristymät, joita voisi aiheutua eroista tietosuojan tasoissa, ja koska kilpailijan mahdollisuudella vedota siihen, että sen kilpailija on rikkonut kyseisen asetuksen aineellisia säännöksiä, vahvistetaan kyseisen asetuksen toimivuutta.
59. Osapuolet ovat siis keskittyneet huomautuksissaan kysymykseen siitä, onko yleisessä tietosuoja-asetuksessa säädettyä oikeussuojakeinojen järjestelmää pidettävä tyhjentävän yhdenmukaistamisen järjestelmänä, koska vastauksesta tähän kysymykseen riippuu niiden mukaan se, voivatko jäsenvaltiot säätää kansallisessa oikeudessaan asetuksessa säädetyille oikeussuojakeinoille vaihtoehtoisista oikeussuojakeinoista.
60. Vaikka hyödyllisen vastauksen antamiseksi ensimmäiseen ennakkoratkaisukysymykseen on syytä ratkaista, onko kyseistä oikeussuojakeinojen järjestelmää pidettävä tyhjentävänä vai ei, syistä, jotka esitän jäljempänä, minusta vaikuttaa kuitenkin siltä, että tämän kysymyksen arviointi edellyttää sitä, että ensin arvioidaan taustakysymystä siitä, miten on määritettävä henkilöt, joita suojataan yleisessä tietosuoja-asetuksessa säädetyillä aineellisilla ja menettelyllisillä säännöillä. Jos nimittäin olisi katsottava, että yrityksillä, jotka ovat rekisterinpitäjiä, on yleisessä tietosuoja-asetuksessa säädettyjä oikeuksia, mielestäni asetuksen olisi tulkittava edellyttävän, että kansallisessa lainsäädännössä vahvistetaan oikeussuojakeinot, joiden avulla kyseisiin oikeuksiin voidaan vedota. Aloitan tarkasteluni siis tästä kysymyksestä, jota käsittelen ennen kuin vastaan kysymykseen siitä, onko yleisessä tietosuoja-asetuksessa säädettyä oikeussuojakeinojen järjestelmää pidettävä siten tyhjentävänä, että kansallisessa oikeudessa ei voida tarjota yritykselle mahdollisuutta nostaa kilpailijaansa vastaan sopimatonta kilpailua koskevien toimien kieltoon perustuva kieltokanne, jota yritys perustelee sillä, että kilpailija on rikkonut mainitun asetuksen säännöksiä.
1. Kysymys siitä, kenelle yleisessä tietosuoja-asetuksessa myönnetään oikeuksia
61. Aluksi selvennän, miksi on tarpeen määrittää, kenelle yleisessä tietosuoja-asetuksessa myönnetään oikeuksia, minkä jälkeen määritän kyseiset oikeudenhaltijat, ja lopuksi selvennän, miten tulkinta, jonka mukaan yleisessä tietosuoja-asetuksessa myönnetään oikeuksia ainoastaan rekisteröidyille, vaikuttaa vastaukseen, joka on annettava ensimmäiseen ennakkoratkaisukysymykseen.
a) Tarve määrittää, kenelle yleisessä tietosuoja-asetuksessa myönnetään oikeuksia
62. Mielestäni on kaksi syytä sille, että vastauksen antamiseksi ennakkoratkaisukysymykseen on aluksi määritettävä, kenelle yleisessä tietosuoja-asetuksessa myönnetään sillä suojattuja oikeuksia, ennen kuin käsitellään kysymystä siitä, onko asetuksessa säädettyä oikeussuojakeinojen järjestelmää pidettävä tyhjentävänä.
1) Jäsenvaltioiden velvollisuus säätää oikeussuojakeinoista, joiden avulla voidaan vedota unionin oikeuteen perustuvaan oikeuteen
63. Huomautan, että oikeuskäytännössä on vakiintuneesti katsottu, että unionin oikeudella perustetaan yksityisille velvoitteita, mutta että sillä on lisäksi tarkoitus perustaa oikeuksia, joista tulee osa heidän oikeudellista asemaansa,(16) ja unionin tuomioistuin on korostanut tässä yhteydessä, että kyseiset oikeudet voivat syntyä muun muassa siten, että ne johtuvat yksityisille, jäsenvaltioille ja unionin toimielimille asetetuista velvoitteista.(17) Siitä, että luonnolliselle henkilölle tai oikeushenkilölle asetetaan velvoite, seuraa nimittäin yleensä, että toiselle henkilölle syntyy sitä vastaava oikeus.
64. Vakiintuneesti katsotaan niin ikään, että unionin oikeudessa yksityiselle annetusta oikeudesta seuraa myös, että on oltava oikeussuojakeino, jonka avulla nimenomaan kyseiseen oikeuteen voidaan vedota, ja jos unionin oikeudessa ei ole tätä koskevia erityissääntöjä, jäsenvaltioilla on velvollisuus varmistaa kansalliseen oikeuteensa kuuluvien oikeussuojakeinojen avulla, että kyseisiä oikeuksia kunnioitetaan.(18) Oikeuskäytännöstä ilmenee nimittäin selvästi, että kansallisten tuomioistuinten on suojattava oikeuksia, joita yksityisille annetaan unionin oikeuden säännöksissä tai määräyksissä.(19)
65. Jos yleisellä tietosuoja-asetuksella olisi katsottava suojattavan paitsi rekisteröityjä myös kilpailuolosuhteita markkinoilla ja siis viime kädessä myös yrityksiä, kuten Saksan hallitus väittää, olisi katsottava, että kyseisellä asetuksella vahvistetaan oikeuksia, joista tulee osa yritysten oikeudellista asemaa.(20)
66. TJos unionin oikeudessa ei olisi nimenomaisia säännöksiä tätä varten, yrityksillä yleisen tietosuoja-asetuksen nojalla olevien oikeuksien kunnioittaminen olisi tässä tilanteessa voitava turvata jäsenvaltioiden vahvistamien oikeussuojakeinojen avulla.
67. Näin ollen ensimmäiseen ennakkoratkaisukysymykseen olisi vastattava – ilman, että olisi käsiteltävä kysymystä siitä, onko yleisessä tietosuoja-asetuksessa säädetty oikeussuojakeinojen järjestelmä tyhjentävä vai ei – että yleisen tietosuoja-asetuksen VIII lukua ei ole tulkittava siten, ettei se ole esteenä sille, että jäsenvaltiot voivat säätää kilpailijan mahdollisuudesta nostaa kanne toista yritystä vastaan ja vedota kyseisen asetuksen rikkomiseen, vaan jopa siten, että se edellyttää, että asetuksen säännösten noudattaminen voidaan varmistaa yrityksen kilpailijaansa vastaan nostamalla kanteella, jossa se vetoaa siihen, että kyseinen kilpailija on rikkonut kyseisen asetuksen säännöksiä.(21)
68. Näin ollen vastaus ensimmäiseen ennakkoratkaisukysymykseen riippuu mielestäni siitä, kenelle yleisessä tietosuoja-asetuksessa on katsottava myönnettävän oikeuksia.
2) Oikeussuojakeinojen järjestelmän tyhjentävyyden kaksi ulottuvuutta
69. Oikeussuojakeinojen järjestelmän tyhjentävyyden käsite voi sinänsä viitata kahteen eri tyhjentävyyden ulottuvuuteen, joita on arvioitava eri tavalla ja joiden vuoksi on ensin määritettävä henkilöt, joiden oikeudet tällaisella järjestelmällä turvataan.
70. Tyhjentävyyden ensimmäinen ulottuvuus viittaa siihen, että oikeussuojakeinojen järjestelmä on tyhjentävä suhteessa muihin oikeussuojakeinoihin, jolla suojataan samaa oikeutta. Toisin sanoen kyse on unionin oikeudessa säädettyjen oikeussuojakeinojen tyhjentävyydestä unionin oikeuden säännöillä yksityisille myönnettyjen oikeuksien suojaamisessa. Unionin tuomioistuin on jo oikeuskäytännössään ottanut kantaa siihen, miten unionin oikeudessa säädettyjen oikeussuojakeinojen tyhjentävyys vaikuttaa niin ikään unionin oikeudessa vahvistetun oikeuden suojaamiseen. Unionin tuomioistuin on esimerkiksi vakiintuneesti katsonut, että unionin oikeudessa tyhjentävästi yhdenmukaistetun vastuujärjestelmän rinnalla voidaan kuitenkin soveltaa kansallisessa oikeudessa säädettyä vaihtoehtoista vastuujärjestelmää, joka perustuu samoihin tosiseikkoihin ja samaan perusteeseen, kunhan kyseinen vaihtoehtoinen järjestelmä ei aiheuta haittaa yhdenmukaistetulle järjestelmälle eikä vaaranna sen tavoitteita ja tehokasta vaikutusta.(22) Pelkästään se, että unionin oikeudessa säädetty oikeussuojakeinojen järjestelmä on tyhjentävä, ei siis vielä merkitse, että jäsenvaltio ei voi säätää kansallisessa oikeudessaan samaan oikeuteen perustuvasta vaihtoehtoisesta oikeussuojakeinosta, kunhan tietyt edellytykset täyttyvät.
71. Unionin oikeudessa säädetyn oikeussuojakeinojen järjestelmän tyhjentävyyden käsitteen toinen ulottuvuus on laajempi ja viittaa järjestelmän tyhjentävyyteen suhteessa muihin oikeussuojakeinoihin, joita käyttävät henkilöt, joille ei suoraan myönnetä oikeuksia unionin oikeudessa mutta jotka kuitenkin vetoavat niihin käyttäessään kansallisessa oikeudessa vahvistettua oikeussuojakeinoa. Tätä käsitystä unionin oikeudessa säädetyn oikeussuojakeinojen järjestelmän tyhjentävyyden merkityksestä on siis arvioitava eri tavalla.(23)
72. Tälläkin perusteella on siis niin, että jotta voidaan arvioida merkityksellisellä tavalla sitä, onko yleisessä tietosuoja-asetuksessa säädetty oikeussuojakeinojen järjestelmä mahdollisesti tyhjentävä, ensin on määritettävä, kenelle yleisessä tietosuoja-asetuksessa myönnetään oikeuksia, mikä on kysymys, jota tarkastelen seuraavaksi.
b) Kysymys siitä, kenelle yleisessä tietosuoja-asetuksessa myönnetään oikeuksia
73. Yleisellä tietosuoja-asetuksella annetun suojan henkilöllinen soveltamisala on mielestäni määritettävä sekä kyseisen asetuksen tavoitteiden että sisällön valossa.
74. Yleisen tietosuoja-asetuksen tavoitteista on todettava aluksi, että Saksan hallituksen mukaan kyseisellä asetuksella on tarkoitus paitsi varmistaa luonnollisten henkilöiden korkeatasoinen ja yhdenmukainen suojelu myös luoda tasapuoliset kilpailuolosuhteet.
75. Yleisen tietosuoja-asetuksen johdanto-osan yhdeksännessä perustelukappaleessa kylläkin viitataan siihen, että eroavuudet suojassa, jota henkilötietojen suojaa koskevalle oikeudelle annetaan henkilötietojen käsittelyn yhteydessä, voivat vääristää kilpailua. Tällaisen toteamuksen perusteella ei kuitenkaan voida mielestäni tulkita, että yleisen tietosuoja-asetuksen tavoitteisiin kuuluu vapaan ja vääristymättömän kilpailun turvaaminen. Sitä, että jäsenvaltioiden lainsäädäntöjen väliset erot yrityksiä velvoittavien sääntöjen osalta johtavat kilpailun vääristymiin, on mielestäni pidettävä pelkkänä toteamuksena, joka ei liity ainoastaan yleiseen tietosuoja-asetukseen. Kun yhdessä jäsenvaltiossa aineellisilla säännöksillä rajataan yritysten toimintaa markkinoilla enemmän kuin toisessa, tästä seuraa välttämättä, että viimeksi mainitussa jäsenvaltiossa toimivat yritykset saavat tietyn kilpailuedun verrattuna yrityksiin, jotka ovat sijoittautuneet ensin mainittuun jäsenvaltioon, ja mikä tahansa teksti, jolla yhdenmukaistetaan jäsenvaltioiden lainsäädäntöjä, on omiaan lieventämään tätä tilannetta.
76. Mielestäni tätä tulkintaa tukee yleisen tietosuoja-asetuksen johdanto-osan yhdeksännessä perustelukappaleessa oleva viittaus tarpeeseen varmistaa henkilötietojen vapaa liikkuvuus unionin alueella, minkä erot kansallisten oikeudellisten puitteiden välillä mahdollisesti vaarantavat.
77. Kuten komissio totesi istunnossa, yleisen tietosuoja-asetuksen johdanto-osan yhdeksäs perustelukappale ei myöskään koske yritysten välistä kilpailua vaan ennen kaikkea erilaisista oikeudellisista puitteista johtuvaa kilpailua kahteen eri jäsenvaltioon sijoittautuneiden yritysten välillä. Toisin sanoenkyse on lähinnä tavoitteesta taata tasapuoliset kilpailuolosuhteet eri jäsenvaltioissa säätämällä yhdenmukaistetuista säännöistä, joita yrityksiin sovelletaan, vaikka kyseisillä säännöillä edistetään tahattomasti sitäkin, ettei mikään yritys saa kilpailuetua suhteessa muihin yrityksiin saman jäsenvaltion alueella.
78. Yleisen tietosuoja-asetuksen tavoitteena ei siis mielestäni ole vapaan ja vääristymättömän kilpailun varmistaminen sisämarkkinoilla.
79. Huomautan tämän jälkeen, ettei yleisessä tietosuoja-asetuksessa ole aineellista säännöstä, jonka tarkoituksena olisi varmistaa yritysten välinen vapaa ja vääristymätön kilpailu ja ulottaa kyseisessä asetuksessa säädetty suoja koskemaan yrityksiä. Yleisen tietosuoja-asetuksen säännöksillä on päinvastoin lähinnä tarkoitus asettaa velvoitteita yrityksille, jotka ovat rekisterinpitäjiä. Vaikka toki siitä, että luonnolliselle henkilölle tai oikeushenkilölle asetetaan velvoite, seuraa välttämättä, että toiselle henkilölle syntyy sitä vastaava oikeus, kuten edellä mainitsin, kyseisiä oikeuksia ei kuitenkaan ole myönnetty yrityksille vaan ainoastaan henkilöille, joiden tietoja yritykset käsittelevät. Tätä havainnollistaa hyvin yleisen tietosuoja-asetuksen otsikko, sillä siinä viitataan ainoastaan luonnollisten henkilöiden suojeluun.
80. Yleisen tietosuoja-asetuksen VIII luvussa säädetyistä menettelysäännöksistä totean vielä, että niissä säädetään oikeussuojakeinoista, joita voivat käyttää ainoastaan rekisteröidyt ja heitä edustavat yksiköt, kuten edellä jo totesin. Mielestäni se, että yleisessä tietosuoja-asetuksessa säädetyn nojalla oikeussuojakeinoja tuomioistuimissa voivat käyttää vain tällä tavalla rajatut henkilöt, jotka voivat vedota henkilötietojensa suojan loukkaamiseen, on minusta selvä osoitus siitä, että asetuksella on tarkoitus suojata vain kyseisiä henkilöitä. Mielestäni olisi nimittäin epäjohdonmukaista, jos myös yleistä tietosuoja-asetusta pidettäisiin kilpailijoiden oikeuksien suojaamisen välineenä, kun asetuksessa ei säädetä oikeussuojakeinosta, jonka tarkoituksena olisi se, että kilpailijat voivat käyttää oikeussuojakeinoa asetuksessa vahvistettujen oikeuksien loukkaamisen perusteella, kun tällaisista oikeussuojakeinoista säädetään nimenomaisesti rekisteröityjen oikeuksien suojaamiseksi.
81. Näin ollen katson, että yritykset eivät ole yleisessä tietosuoja-asetuksessa säädetyn suojan adressaatteja, koska asetuksessa myönnetään oikeuksia ainoastaan rekisteröidyille.
c) Seuraukset, joita on sillä, että yleisen tietosuoja-asetuksen tulkitaan suojaavan ainoastaan rekisteröityjä
82. Teen useita päätelmiä tulkinnastani, jonka mukaan yleisen tietosuoja-asetuksen säännöksillä ei myönnetä oikeuksia yrityksille vaan ainoastaan rekisteröidyille.
83. Kuten olen jo maininnut, ensinnäkin tästä tulkinnasta seuraa mielestäni, ettei voida katsoa, että yleisen tietosuoja-asetuksen säännösten noudattaminen on voitava varmistaa yrityksen kilpailijaansa vastaan nostamalla kanteella, jossa yritys vetoaa siihen, että kilpailija on rikkonut kyseisiä säännöksiä.
84. Katson toiseksi, että koska yleisessä tietosuoja-asetuksessa myönnetään oikeuksia ainoastaan rekisteröidyille, nyt käsiteltävässä tilanteessa ei voida suoraan soveltaa unionin tuomioistuimen oikeuskäytäntöä, joka koskee jäsenvaltioiden mahdollisuutta säätää kansallisessa oikeudessaan täydentävistä oikeussuojakeinoista, joita kyseisten oikeuksien haltijat voivat käyttää, kunhan kyseisillä oikeussuojakeinoilla ei aiheuteta haittaa yhdenmukaistetulle oikeussuojakeinojen järjestelmälle eikä vaaranneta sen tavoitteita.(24) Kyseistä oikeuskäytäntöä voidaan kuitenkin käyttää tämän tilanteen arvioinnin perustana, kuten osoitan jäljempänä.
85. Kun oikeussuojakeinojen järjestelmän tyhjentävyyden käsite ymmärretään näin, on nimittäin ratkaistava, onko yleisessä tietosuoja-asetuksessa käyttöön otettua oikeussuojakeinojen järjestelmää pidettävä siten tyhjentävänä, että se on esteenä sille, että kansallisessa oikeudessa vahvistetaan muita kuin asetuksessa säädettyjä oikeussuojakeinoja, joita rekisteröidyt voivat käyttää.
86. Pääasian oikeudenkäynnissä on kuitenkin kyse yrityksen nostamasta kanteesta, eikä yrityksille myönnetä oikeuksia yleisessä tietosuoja-asetuksessa.
87. Kun otetaan huomioon, että yleisessä tietosuoja-asetuksessa ei myönnetä oikeuksia yrityksille tai niiden kilpailijoille, merkitystä on siis ainoastaan kysymyksellä siitä, onko yleisessä tietosuoja-asetuksessa käyttöön otettua oikeussuojakeinojen järjestelmää pidettävä siten tyhjentävänä, että kyseinen asetus on esteenä myös sille, että yritykset vetoavat kyseisen asetuksen säännösten rikkomiseen, kun ne käyttävät kansallisessa oikeudessa vahvistettua oikeussuojakeinoa, mikä on kysymys, jota tarkastelen seuraavaksi.
2. Henkilöiden, joilla ei myönnetä oikeuksia yleisessä tietosuoja-asetuksessa, mahdollisuus käyttää kansalliseen oikeuteen perustuvia oikeussuojakeinoja
88. Minusta kysymykseen siitä, onko yleisessä tietosuoja-asetuksessa säädetyt oikeussuojakeinojen järjestelmää koskevat säännökset esteenä sille, että yritykset vetoavat kyseisen asetuksen säännösten rikkomiseen, kun ne käyttävät kansallisessa oikeudessa vahvistettua oikeussuojakeinoa, on vastattava kaksivaiheisesti.
89. Tähän kysymykseen vastaaminen edellyttää nimittäin, että tutkitaan yhtäältä, voivatko yritykset vedota yleisen tietosuoja-asetuksen säännöksiin, vaikka yleisessä tietosuoja-asetuksessa ei myönnetä niille oikeuksia, ja että tutkitaan toisaalta, millainen tällaisten oikeussuojakeinojen ja asetuksessa säädetyn oikeussuojakeinojen järjestelmän välinen vuorovaikutus on.
90. Ensinnäkin siitä, voivatko yritykset vedota yleisen tietosuoja-asetuksen säännöksiin, totean, että pääasiassa kyseessä olevan kaltaisten kansalliseen oikeuteen perustuvien kanteiden yhteydessä asetukseen voidaan vedota vain liitännäisesti. Tarkemmin sanottuna yritys nostaa kanteen kansallisen oikeuden eli sopimatonta kilpailua koskevien toimien kiellon perusteella. Sen, että kyseessä oleva toimi on sopimaton, väitetään siis johtuvan yleisen tietosuoja-asetuksen rikkomisesta. Toisin sanoen kyseinen kanne ei perustu yleisen tietosuoja-asetuksen säännösten rikkomiseen, vaan kyseisten säännösten rikkominen otetaan siinä huomioon vain liitännäisesti.(25)
91. Unionin tuomioistuin on jo hyväksynyt sen, että unionin oikeussäännöt otetaan huomioon tällä tavalla liitännäisesti, toki hyvin eri asiayhteydessä. Unionin tuomioistuin on nimittäin katsonut tuomiossaan Meta Platforms ym. (Yhteisöpalvelun yleiset käyttöehdot), että tietojenkäsittely, jota suorittaa määräävässä asemassa oleva yritys ja joka ei ole yhteensopivaa kyseisen asetuksen kanssa, voi merkitä kyseisen aseman väärinkäyttöä(26) ja että yleisesti ottaen ”henkilötietojen suojelua koskev[at] sään[nöt on otettava osaksi] oikeudelli[sta] kehy[stä], joka kilpailuviranomaisten on otettava huomioon tutkiessaan määräävän aseman väärinkäyttöä”.(27) Toisin sanoen unionin tuomioistuin katsoo, että kilpailuoikeuden rikkominen voi perustua yleisen tietosuoja-asetuksen säännösten rikkomiseen.
92. Vaikka unionin tuomioistuin ei todennut tätä yksityisten välisen oikeusriidan yhteydessä vaan asiassa, jossa oli kyse kansallisen viranomaisen tutkinnasta, joka koski kilpailunvastaista menettelytapaa, en näe mitään syytä katsoa, että mahdollisuus ottaa liitännäisesti huomioon yleisen tietosuoja-asetuksen säännösten rikkominen koskisi ainoastaan edellä mainittua tilannetta.
93. Kilpailuoikeuden osalta on nimittäin todettava yhtäältä, että jos kyseisten säännösten rikkomisen huomioon ottaminen hyväksytään, kun on kyse kilpailuoikeuden viranomaisvalvonnasta (public enforcement), mielestäni se on voitava ottaa huomioon myös, kun yksityiset vetoavat kilpailuoikeuteen (private enforcement) ja kun siis on kyse yksityisten välisistä oikeusriidoista, jotka eivät perustu ensisijaisesti yleisessä tietosuoja-asetuksessa myönnetyn oikeuden loukkaamiseen, sillä muutoin katsottaisiin, että yksityiset eivät voi saada korvausta vahingosta, joka on aiheutunut kilpailuoikeuden rikkomisesta, jonka kilpailuviranomainen on kuitenkin todennut.
94. Kuten julkisasiamies Richard de la Tour on toisaalta todennut, henkilötietojen suojelu on omiaan aiheuttamaan seurauksia ”muilla aloilla, jotka koskevat muun muassa työoikeutta, kilpailuoikeutta taikka kuluttajansuojaoikeutta”.(28) Koska yleisellä tietosuoja-asetuksella voi siis olla vaikutuksia muilla aloilla, on mielestäni katsottava, että asetuksen säännökset voidaan ottaa huomioon sellaisten kanteiden yhteydessä, jotka perustuvat ensisijaisesti muihin kuin kyseisen asetuksen säännöksiin.
95. Toiseksi siitä, mikä on kansallisten oikeussuojakeinojen, joiden yhteydessä otetaan huomioon yleisen tietosuoja-asetuksen säännökset asiaan liittyvänä seikkana, ja asetuksessa säädetyn oikeussuojakeinojen järjestelmän vuorovaikutus, katson, että tällaiset kansalliset oikeussuojakeinot voidaan hyväksyä vain sillä edellytyksellä, että niillä ei aiheuteta haittaa asetuksessa säädetylle oikeussuojakeinojen järjestelmälle eikä vaaranneta sen tavoitteiden toteutumista.
96. Nämä edellytykset on kehitetty oikeuskäytännössä, joka koskee yhdenmukaistetun oikeussuojakeinojen järjestelmän tyhjentävyyttä, ja ne koskevat samaan oikeuteen perustuvia kansallisia oikeussuojakeinoja.(29) Minusta niiden täyttymistä on siis varsinkin edellytettävä, kun on kyse kansallisista säännöistä, joissa yrityksille annetaan oikeus nostaa kanne, joka ei perustu samaan oikeuteen vaan kansalliseen oikeuteen ja jossa ne kuitenkin vetoavat siihen, että toinen yritys olisi rikkonut yleisen tietosuoja-asetuksen aineellisia säännöksiä.
97. Näin ollen on tutkittava, täyttyvätkö nämä edellytykset nyt käsiteltävässä asiassa.
98. Totean aluksi, että mielestäni on vastattava kielteisesti kysymykseen siitä, aiheuttaako yrityksen kilpailijaansa vastaan nostama kieltokanne, jossa vedotaan siihen, että kilpailija on rikkonut yleisen tietosuoja-asetuksen säännöksiä, haittaa asetuksen VIII luvussa säädetylle oikeussuojakeinojen järjestelmälle. Järjestelmään kuuluvia oikeussuojakeinoja ovat nimittäin se, että rekisteröidyt tai rekisteröityjen valtuuttama voittoa tavoittelematon elin, järjestö tai yhdistys voi tehdä kantelun valvontaviranomaiselle (77 artikla), käyttää oikeussuojakeinoja valvontaviranomaisen päätöstä vastaan (78 artikla), käyttää oikeussuojakeinoja rekisterinpitäjää tai henkilötietojen käsittelijää vastaan (79 artikla) tai saada rekisterinpitäjältä tai henkilötietojen käsittelijältä korvauksen asetuksen rikkomisesta aiheutuneesta vahingosta (82 kohta).
99. Toisin sanoen on niin, kuten unionin tuomioistuin on oikeuskäytännössään todennut, että yleisen tietosuoja-asetuksen VIII luvussa ”säännellään – – oikeussuojakeinoja rekisteröidyn oikeuksien suojaamiseksi silloin, kun häntä koskevia henkilötietoja on käsitelty väitetysti kyseisen asetuksen säännösten vastaisesti” ja näiden oikeuksien suojaa voi siten ”vaatia joko suoraan rekisteröity tai – –oikeutettu yksikkö joko valtuutuksen perusteella tai ilman sitä”.(30)
100. Näin ollen kanne, jonka yritys voi nostaa kilpailijaansa vastaan ja jossa se voi vedota siihen, että kilpailija on rikkonut yleistä tietosuoja-asetusta, perustuu toki viime kädessä kyseisen asetuksen säännöksen rikkomiseen, mutta sen tarkoitus ei ole sama eivätkä kanteella vireille saatetun oikeudenkäynnin asianosaiset ole samoja. Toisin sanoen tällaisen kansallisessa oikeudessa säädetyn oikeussuojakeinon tarkoituksena ei ole varmistaa, että rekisteröityjen oikeuksia kunnioitetaan.
101. Mielestäni tästä seuraa, että tällainen oikeussuojakeino ei vaikuta yleisessä tietosuoja-asetuksessa käyttöön otettuun oikeussuojakeinojen järjestelmään kuuluviin, rekisteröityjen käytettävissä oleviin oikeussuojakeinoihin ja että niitä voidaan edelleenkin käyttää myös siinä tapauksessa, että yritys nostaa kanteen kilpailijaansa vastaan.
102. Tässä yhteydessä totean myös, että en näe, miten tällaiset oikeussuojakeinot voisivat vaarantaa yleisessä tietosuoja-asetuksessa säädetyn oikeuden soveltamisen julkisen valvontajärjestelmän, kuten komissio väittää, sillä asetuksessa säädetään jo nimenomaisesti kyseisen julkisen valvontajärjestelmän lisäksi rekisteröidyn mahdollisuudesta vedota yleisen tietosuoja-asetuksen mukaisiin oikeuksiinsa tuomioistuinmenettelyissä.
103. Yleisen tietosuoja-asetuksen tavoitteista on todettava tämän jälkeen, että asetuksen johdanto-osan kymmenennestä perustelukappaleesta ilmenee, että asetuksen tarkoituksena on muun muassa varmistaa sekä luonnollisten henkilöiden korkeatasoinen suojelu että luonnollisten henkilöiden perusoikeuksien ja ‑vapauksien suojelua henkilötietojen käsittelyssä koskevien sääntöjen johdonmukainen ja yhtenäinen soveltaminen.
104. Kumpikaan näistä tavoitteista ei mielestäni vaarannu sillä perusteella, että yritykselle annetaan mahdollisuus nostaa kilpailijaansa vastaan sopimatonta kilpailua koskevien toimien kieltoon perustuva kieltokanne, jossa yritys vetoaa siihen, että kilpailija on rikkonut yleisen tietosuoja-asetuksen säännöksiä. Yhtäältä tavoite luonnollisten henkilöiden korkeatasoisesta suojelusta heidän henkilötietojensa käsittelyssä saavutetaan sillä, että myös yrityksen kilpailijalle annetaan mahdollisuus vedota siihen, että kilpailija on rikkonut yleisen tietosuoja-asetuksen aineellisia säännöksiä, tai tätä suojelua jopa vahvistaa tämä seikka. Toisaalta sillä, että kyseisiin säännöksiin voivat vedota laajemmin muutkin kuin vain rekisteröidyt, ei aiheuteta haittaa sen tavoitteen saavuttamiselle, joka koskee johdonmukaista ja yhtenäistä suojelua kaikkialla unionissa. On nimittäin niin, että vaikka jäsenvaltiot eivät säätäisikään tällaisesta mahdollisuudesta, tästä ei kuitenkaan seuraisi, että tietosuojan täytäntöönpano olisi hajanaista unionin alueella, koska yleisen tietosuoja-asetuksen aineellisia säännöksiä sovelletaan samalla tavalla kaikkiin yrityksiin ja niiden noudattaminen varmistetaan asetuksessa säädetyillä oikeussuojakeinoilla.
105. Yleisen tietosuoja-asetuksen tehokkaasta vaikutuksesta on vielä todettava, että yrityksen mahdollisuus nostaa kilpailijaansa vastaan kieltokanne, jossa se vetoaa yleisen tietosuoja-asetuksen rikkomiseen, ei suinkaan heikennä asetuksen tehokasta vaikutusta vaan – kuten olen jo todennut – minusta kyseistä vaikutusta vahvistaa se, että asetuksen säännösten noudattamisesta voidaan varmistua myös oikeudenkäynneissä, joilla ei ole yhteyttä asetuksessa käyttöön otettuun oikeussuojakeinojen järjestelmään.
106. Näin ollen katson, että yleisen tietosuoja-asetuksen VIII luvussa säädettyjen oikeussuojakeinojen ohella voidaan sallia se, että yritys nostaa kilpailijaansa vastaan kieltokanteen, jossa se vetoaa siihen, että kilpailija on rikkonut yleisen tietosuoja-asetuksen säännöksiä, koska tällaisella kanteella ei aiheuteta haittaa kyseisille oikeussuojakeinoille eikä vaaranneta kyseisen asetuksen tavoitteita ja tehokasta vaikutusta.
107. Näin ollen ehdotan, että unionin tuomioistuin katsoo, että yleisen tietosuoja-asetuksen VIII luvun säännökset eivät ole esteenä kansallisille säännöille, joiden nojalla yrityksillä on oikeus vedota sopimatonta kilpailua koskevien toimien kiellon perusteella siihen, että niiden kilpailijat ovat väitetysti rikkoneet mainitun asetuksen aineellisia säännöksiä.
V Ratkaisuehdotus
108. Kaiken edellä esitetyn perusteella ehdotan, että Bundesgerichtshofin esittämiin ennakkoratkaisukysymyksiin vastataan seuraavasti:
Luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) 4 artiklan 15 alakohtaa ja 9 artiklan 1 kohtaa
on tulkittava siten, että
proviisorin asiakkaiden tietoja, jotka välitetään, kun asiakas tilaa verkkokauppa-alustalla lääkkeitä, joita saadaan myydä vain apteekeissa mutta jotka eivät edellytä lääkemääräystä, ei ole pidettävä terveystietoina.
1 Alkuperäinen kieli: ranska.
2 Luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annettu Euroopan parlamentin ja neuvoston asetus (yleinen tietosuoja-asetus) (EUVL 2016, L 119, s. 1).
3 Yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24.10.1995 annettu Euroopan parlamentin ja neuvoston direktiivi (EYVL 1995, L 281, s. 31).
4 Potilaiden oikeuksien soveltamisesta rajatylittävässä terveydenhuollossa 9.3.2011 annettu Euroopan parlamentin ja neuvoston direktiivi (EUVL 2011, L 88, s. 45).
5 BGBl. 2004 I, s. 1414.
6 BGBl. 2005 I, s. 3394.
7 BGBl. 2022 I, s. 2793.
8 Mainitsen tässä yhteydessä, että ennakkoratkaisua pyytänyt tuomioistuin on pyytänyt unionin tuomioistuinta tulkitsemaan myös direktiivin 95/46 8 artiklan 1 kohdassa tarkoitettua terveyteen liittyvien tietojen käsitettä. Katson kuitenkin, että kyseisessä säännöksessä säädettyä ei ole erotettava yleisen tietosuoja-asetuksen 9 artiklan 1 kohdassa säädetystä, koska säännösten on katsottava merkitsevän samaa sen tulkinnan kannalta, joka unionin tuomioistuimen on nyt käsiteltävässä asiassa annettava. Ks. tältä osin tuomio 1.8.2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, 58 kohta). Viittaan analyysissani siis ainoastaan yleisen tietosuoja-asetuksen 9 artiklan 1 kohtaan, mutta analyysini pätee myös direktiivin 95/46 8 artiklan 1 kohdan osalta.
9 Tuomio 1.8.2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, 124 kohta).
10 Tuomio 1.8.2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, 126 kohta).
11 Euroopan ihmisoikeustuomioistuimen tuomio 25.2.1997, Z v. Suomi (CE:ECHR:1997:0225, 95 kohta). Euroopan ihmisoikeustuomioistuin totesi lisäksi, että terveystietojen erityissuojalla on ”keskeistä merkitystä paitsi sairastuneiden yksityiselämän suojaamiseksi myös sen kannalta, että sairastuneet eivät menettäisi luottamustaan lääkäreihin ja terveyspalveluihin yleensä”.
12 Tuomio 1.8.2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, 123 kohta).
13 Euroopan tietosuojaneuvoston ”Ohjeet 3/2020 terveystietojen käsittelystä tieteellisiä tutkimustarkoituksia varten covid-19-pandemian yhteydessä”, s. 5.
14 Ks. Bygrave, L.A., ja Tosoni, L., ”Article 4(15)”, The EU General Data Protection Regulation (GDPR), a Commentary, Kuner, C., Bygrave, L.A., ja Docksey, C., (toim.), Oxford University Press, 2020, s. 222.
15 Tuomio 24.2.2022, Glavna direktsia ”Pozharna bezopasnost i zashtita na naselenieto” (C‑262/20, EU:C:2022:117, 71 kohta).
16 Tuomio 19.11.1991, Francovich ym. (C‑6/90 et C‑9/90, EU:C:1991:428, 31 kohta) ja tuomio 20.9.2001, Courage ja Crehan (C‑453/99, EU:C:2001:465, 19 kohta).
17 Tuomio 20.9.2001, Courage ja Crehan (C‑453/99, EU:C:2001:465, 19 kohta).
18 Ks. tästä Van Gerven, W., ”Of Rights, Remedies and Procedures”, Common Market Law Review, vol. 37(3), 2000, s. 501–536.
19 Tuomio 20.9.2001, Courage ja Crehan (C‑453/99, EU:C:2001:465, 25 kohta).
20 Tuomio 19.11.1991, Francovich ym. (C‑6/90 et C‑9/90, EU:C:1991:428, 31 kohta) ja tuomio 20.9.2001, Courage ja Crehan (C‑453/99, EU:C:2001:465, 19 kohta).
21 Yhteisöjen tuomioistuin on jo päätynyt tämänkaltaiseen ratkaisuun erityisesti hedelmä- ja vihannesalan yhteisestä markkinajärjestelystä 18.5.1972 annetun neuvoston asetuksen (ETY) N:o 1035/72 (EYVL 1972, L 118, s. 1) osalta. Ratkaisu perustui ainoastaan siihen, että kyseisen asetuksen tarkoituksena oli myös kaupan vilpittömyyden ja markkinoiden avoimuuden varmistaminen, joten se, että yritys voi nostaa siviilioikeudellisen kanteen kilpailijaansa vastaan pakottaakseen kilpailijan noudattamaan kyseisessä asetuksessa säädettyjä velvollisuuksia, vahvisti yhteisön säännösten toimivuutta. Toisin sanoen asetuksesta 1035/72 tulkittiin seuraavan, että yritysten on noudatettava yhteisen markkinajärjestelyn sääntöjä, jotta niiden kauppasuhteet perustuisivat rehelliseen kilpailuun, ja siten asetuksen katsottiin antavan yrityksille oikeuksia, jotka perustuivat yrityksille niin ikään asetettuihin velvollisuuksiin. Ks. tuomio 17.9.2002, Muñoz ja Superior Fruiticola (C‑253/00, EU:C:2002:497, 29 ja 31 kohta).
22 Tuomio 21.12.2011, Dutrueux (C‑495/10, EU:C:2011:869, 29 ja 30 kohta) ja tuomio 16.3.2023, Beobank (C‑351/21, EU:C:2023:215, 38 kohta).
23 Se, että oikeussuojakeinojen järjestelmän tyhjentävyyteen liittyy kaksi eri ulottuvuutta sen mukaan, miten määritetään unionin oikeudesta johtuvan oikeuden haltijat, ilmenee mielestäni unionin tuomioistuimen oikeuskäytännössä 2.9.2021 annetusta tuomiosta CRCAM (C‑337/20, EU:C:2021:671). Kyseisessä tuomiossaan unionin tuomioistuin tutki, soveltuiko maksupalveluista sisämarkkinoilla, direktiivien 97/7/EY, 2002/65/EY, 2005/60/EY ja 2006/48/EY muuttamisesta ja direktiivin 97/5/EY kumoamisesta 13.11.2007 annetun Euroopan parlamentin ja neuvoston direktiivin 2007/64/EY (EUVL 2007, L 319, s. 1) kanssa yhteen kansallinen vastuujärjestelmä, jonka nojalla maksupalvelunkäyttäjän takaaja voi vedota sillä perusteella, että maksupalveluntarjoaja on laiminlyönyt direktiiviin perustuvan velvoitteensa, kyseisen maksupalveluntarjoajan siviilioikeudelliseen vahingonkorvausvastuuseen yleisen sopimusperusteista vastuuta koskevan kansallisen järjestelmän perusteella. Unionin tuomioistuin aloitti arviointinsa toteamalla, että kyseisessä direktiivissä ei säädetä maksupalvelunkäyttäjien takaajien oikeuksista vaan ainoastaan maksupalveluntarjoajien ja maksupalvelunkäyttäjien oikeuksista, minkä jälkeen unionin tuomioistuin arvioi, onko direktiivillä käyttöön otettu vastuujärjestelmä esteenä kansalliseen oikeuteen perustuvalle vaihtoehtoiselle järjestelmälle.
24 Tuomio 21.12.2011, Dutrueux (C‑495/10, EU:C:2011:869, 29 ja 30 kohta) ja tuomio 16.3.2023, Beobank (C‑351/21, EU:C:2023:215, 38 kohta).
25 Korostan tässä, että jos yleisen tietosuoja-asetuksen säännöksen rikkomista voitaisiin pitää sopimattomista elinkeinonharjoittajien ja kuluttajien välisistä kaupallisista menettelyistä sisämarkkinoilla ja neuvoston direktiivin 84/450/ETY, Euroopan parlamentin ja neuvoston direktiivien 97/7/EY, 98/27/EY ja 2002/65/EY sekä Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 2006/2004 muuttamisesta 11.5.2005 annetussa Euroopan parlamentin ja neuvoston direktiivissä 2005/29/EY (EUVL 2005, L 149, s. 22) tarkoitettuna sopimattomana kaupallisena menettelynä, asiassa olisi mielestäni sovellettava kaikkia mainitun direktiivin säännöksiä, mukaan lukien direktiivin 11 artiklassa säädettyä jäsenvaltioiden velvollisuutta säätää kilpailijoiden mahdollisuudesta ryhtyä oikeudellisiin toimiin tällaisten sopimattomien kaupallisten menettelyjen suhteen.
26 Tuomio 4.7.2023, Meta Platforms ym. (Yhteisöpalvelun yleiset käyttöehdot) (C‑252/21, EU:C:2023:537, 43 kohta).
27 Tuomio 4.7.2023, Meta Platforms ym. (Yhteisöpalvelun yleiset käyttöehdot) (C‑252/21, EU:C:2023:537, 51 kohta).
28 Julkisasiamies Richard de la Tourin ratkaisuehdotus Meta Platforms Ireland (C‑319/20, EU:C:2021:979, 51 kohta).
29 Tuomio 21.12.2011, Dutrueux (C‑495/10, EU:C:2011:869, 29 ja 30 kohta) ja tuomio 16.3.2023, Beobank (C‑351/21, EU:C:2023:215, 38 kohta). Ks. myös tämän ratkaisuehdotuksen 71 kohta.
30 Tuomio 28.4.2022, Meta Platforms Ireland (C‑319/20, EU:C:2022:322, 53 kohta).