C-21/23

WyrokTSUE2024-10-04CELEX: 62023CJ0021ECLI:EU:C:2024:846

Analiza orzeczenia

Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.

Zagadnienie prawne
1. Czy przepisy rozdziału VIII RODO stoją na przeszkodzie krajowym regulacjom, które przyznają konkurentom prawo do dochodzenia naruszeń RODO w aspekcie zakazu nieuczciwych praktyk handlowych? 2. Czy dane wprowadzane przez klientów przy zamawianiu leków dostępnych bez recepty (nazwisko, adres, informacje o produkcie) stanowią „dane dotyczące zdrowia” w rozumieniu art. 9 ust. 1 RODO i art. 8 ust. 1 dyrektywy 95/46?
Ratio decidendi
W kwestii legitymacji procesowej konkurenta, TSUE uznał, że rozdział VIII RODO nie harmonizuje wyczerpująco środków ochrony prawnej, a sformułowania „bez uszczerbku dla innych środków” w art. 77–79 RODO wskazują na dopuszczalność krajowych środków. Powództwo konkurenta, choć ma na celu ochronę uczciwej konkurencji, przyczynia się do przestrzegania RODO i wzmacnia ochronę danych osobowych. W kwestii „danych dotyczących zdrowia”, Trybunał przyjął szeroką interpretację tego pojęcia, stwierdzając, że informacje o zakupie leków, nawet tych bez recepty, mogą wskazywać na stan zdrowia osoby poprzez operację kojarzenia lub dedukcji, niezależnie od tego, czy leki są dla klienta czy osoby trzeciej. Takie przetwarzanie jest zakazane, chyba że spełniony jest jeden z wyjątków.
Stan faktyczny
ND, farmaceuta prowadzący aptekę internetową „Lindenapotheke”, sprzedaje produkty lecznicze (zastrzeżone dla aptek) na platformie Amazon. Klienci wprowadzają dane takie jak nazwisko, adres dostawy i informacje do indywidualizacji produktów. DR, konkurent ND, wniósł powództwo o zaniechanie, twierdząc, że sprzedaż ND jest nieuczciwą praktyką handlową, ponieważ narusza RODO poprzez przetwarzanie danych dotyczących zdrowia bez wymaganej zgody klientów.
Rozstrzygnięcie
1. Przepisy rozdziału VIII rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia w sprawie ochrony danych) należy interpretować w ten sposób, że nie stoją one na przeszkodzie uregulowaniu krajowemu, które poza uprawnieniami interwencyjnymi organów nadzorczych właściwych w zakresie monitorowania i wykonywania tego rozporządzenia oraz możliwościami ochrony osób, których dane dotyczą, przyznaje konkurentom domniemanego sprawcy naruszenia ochrony danych osobowych prawo do występowania przeciwko niemu w drodze powództwa do sądu cywilnego z powodu naruszenia wspomnianego rozporządzenia i w aspekcie zakazu stosowania nieuczciwych praktyk handlowych. 2. Artykuł 8 ust. 1 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych oraz art. 9 ust. 1 rozporządzenia 2016/679 należy interpretować w ten sposób, że w sytuacji gdy prowadzący aptekę wprowadza do obrotu, za pośrednictwem platformy internetowej, produkty lecznicze, których sprzedaż jest zastrzeżona dla aptek, informacje, które klienci tego farmaceuty wprowadzają przy zamówieniu produktów leczniczych przez Internet, takie jak ich nazwisko, adres dostawy i elementy niezbędne do indywidualizacji produktów leczniczych, stanowią dane dotyczące zdrowia w rozumieniu tych przepisów, nawet jeśli sprzedaż tych produktów leczniczych nie wymaga recepty.

Pełny tekst orzeczenia

WYROK TRYBUNAŁU (wielka izba) z dnia 4 października 2024 r. ( *1 ) Odesłanie prejudycjalne – Ochrona danych osobowych – Rozporządzenie (UE) 2016/679 – Rozdział VIII – Środki ochrony prawnej – Wprowadzanie do obrotu produktów leczniczych przez farmaceutę za pośrednictwem platformy internetowej – Wniesione do sądu cywilnego przez konkurenta tego farmaceuty powództwo, w którym powołano się na zakaz nieuczciwych praktyk handlowych z powodu naruszenia przez rzeczonego farmaceutę obowiązków określonych w tym rozporządzeniu – Legitymacja procesowa – Artykuł 4 pkt 15 i artykuł 9 ust. 1 i 2 – Dyrektywa 95/46/WE – Artykuł 8 ust. 1 i 2 – Pojęcie „danych dotyczących zdrowia” – Warunki przetwarzania takich danych W sprawie C‑21/23 mającej za przedmiot wniosek o wydanie, na podstawie art. 267 TFUE, orzeczenia w trybie prejudycjalnym, złożony przez Bundesgerichtshof (federalny trybunał sprawiedliwości, Niemcy) postanowieniem z dnia 12 stycznia 2023 r., które wpłynęło do Trybunału w dniu 19 stycznia 2023 r., w postępowaniu: ND przeciwko DR, TRYBUNAŁ (wielka izba), w składzie: K. Lenaerts, prezes, L. Bay Larsen, wiceprezes, K. Jürimäe, C. Lycourgos, E. Regan, F. Biltgen i N. Piçarra, prezesi izb, S. Rodin, P.G. Xuereb, L.S. Rossi, I. Jarukaitis, N. Jääskinen, i I. Ziemele (sprawozdawczyni), sędziowie, rzecznik generalny: M. Szpunar, sekretarz: N. Mundhenke, administratorka, uwzględniając pisemny etap postępowania i po przeprowadzeniu rozprawy w dniu 9 stycznia 2024 r., rozważywszy uwagi, które przedstawili: – w imieniu ND – A. Datta, M. Mogendorf oraz W. Spoerr, Rechtsanwälte, – w imieniu DR – M. Bahmann, Rechtsanwalt, – w imieniu rządu niemieckiego – J. Möller i P.-L. Krüger, w charakterze pełnomocników, – w imieniu Komisji Europejskiej – A. Bouchagiar, F. Erlbacher i H. Kranenborg, w charakterze pełnomocników, po zapoznaniu się z opinią rzecznika generalnego na posiedzeniu w dniu 25 kwietnia 2024 r., wydaje następujący Wyrok Wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczy wykładni art. 9 ust. 1 i przepisów rozdziału VIII rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) (Dz.U. 2016, L 119, s. 1; sprostowanie Dz.U. 1995, L 281, s. 31, zwanego dalej „RODO”) oraz art. 8 ust. 1 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. 1995, L 281, s. 31). Wniosek ten został złożony w ramach sporu pomiędzy ND a DR, dwiema osobami fizycznymi prowadzącymi apteki, w przedmiocie sprzedaży przez ND za pośrednictwem platformy internetowej produktów leczniczych, których sprzedaż jest zastrzeżona dla aptek. Ramy prawne Prawo Unii Artykuł 8 dyrektywy 95/46 zatytułowany „Przetwarzanie szczególnych kategorii danych” stanowił: „1.   Państwa członkowskie zabraniają przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, opinie polityczne, przekonania religijne lub filozoficzne, przynależność do związków zawodowych, jak również przetwarzanie danych dotyczących zdrowia i życia seksualnego. 2.   Ustęp 1 nie ma zastosowania w przypadku gdy: a) osoba, której dane dotyczą, udzieliła wyraźnej zgody na ich przetwarzanie, chyba że ustawodawstwo państwa członkowskiego przewiduje, że zakaz określony w ust. 1 nie może być uchylony mimo udzielonej zgody przez osobę, której dane dotyczą; lub […]”. Motywy 9–11, 13, 35, 51, 53, 141 i 142 RODO mają następujące brzmienie: „(9) Cele i zasady dyrektywy [95/46] pozostają aktualne, jednak wdrażając ochronę danych w Unii, nie uniknięto fragmentaryzacji, niepewności prawnej oraz upowszechnienia się poglądu, że ochrona osób fizycznych jest znacznie zagrożona, w szczególności w związku z działaniami w Internecie. Różnice w stopniu ochrony praw i wolności osób fizycznych w państwach członkowskich – w szczególności prawa do ochrony danych osobowych – w związku z przetwarzaniem danych osobowych mogą utrudniać swobodny przepływ danych osobowych w Unii. Różnice te mogą zatem stanowić przeszkodę w prowadzeniu działalności gospodarczej na szczeblu Unii, zakłócać konkurencję i utrudniać organom wykonywanie ich obowiązków wynikających z przepisów prawa unijnego. Różnice w stopniu ochrony wynikają z różnic we wdrażaniu i stosowaniu dyrektywy [95/46]. (10) Aby zapewnić wysoki i spójny stopień ochrony osób fizycznych oraz usunąć przeszkody w przepływie danych osobowych w Unii, należy zapewnić równorzędny we wszystkich państwach członkowskich stopień ochrony praw i wolności osób fizycznych w związku z przetwarzaniem takich danych. Należy zapewnić spójne i jednolite w całej Unii stosowanie przepisów o ochronie podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych. […] Niniejsze rozporządzenie umożliwia też państwom członkowskim doprecyzowanie jego przepisów, w tym w odniesieniu do przetwarzania szczególnych kategorii danych osobowych (zwanych dalej »danymi wrażliwymi«). […] (11) Aby ochrona danych osobowych w Unii była skuteczna, należy wzmocnić i doprecyzować prawa osób, których dane dotyczą, oraz obowiązki podmiotów przetwarzających dane osobowe i decydujących o przetwarzaniu, jak również zapewnić równorzędne uprawnienia w zakresie monitorowania i egzekwowania przepisów o ochronie danych osobowych oraz równorzędne kary za naruszenia tych przepisów w państwach członkowskich. […] (13) Aby zapewnić spójny stopień ochrony osób fizycznych w Unii oraz zapobiegać rozbieżnościom hamującym swobodny przepływ danych osobowych na rynku wewnętrznym, należy przyjąć rozporządzenie, które zagwarantuje podmiotom gospodarczym – w tym mikroprzedsiębiorstwom oraz małym i średnim przedsiębiorstwom – pewność prawa i przejrzystość, a osobom fizycznym we wszystkich państwach członkowskich ten sam poziom prawnie egzekwowalnych praw oraz obowiązków i zadań administratorów i podmiotów przetwarzających, które pozwoli spójnie monitorować przetwarzanie danych osobowych, a także które zapewni równoważne kary we wszystkich państwach członkowskich oraz skuteczną współpracę organów nadzorczych z różnych państw członkowskich. […] […] (35) Do danych osobowych dotyczących zdrowia należy zaliczyć wszystkie dane o stanie zdrowia osoby, której dane dotyczą, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia osoby, której dane dotyczą. […] […] (51) Dane osobowe, które z racji swego charakteru są szczególnie wrażliwe w świetle podstawowych praw i wolności, wymagają szczególnej ochrony, gdyż kontekst ich przetwarzania może powodować poważne ryzyko dla podstawowych praw i wolności. […] Takich danych osobowych nie należy przetwarzać, chyba że niniejsze rozporządzenie dopuszcza ich przetwarzanie w szczególnych przypadkach, przy czym należy uwzględnić, że prawo państw członkowskich może obejmować przepisy szczegółowe o ochronie danych dostosowujące zastosowanie przepisów niniejszego rozporządzenia tak, by można było wypełnić obowiązki prawne lub wykonać zadanie realizowane w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Oprócz wymogów szczegółowych mających zastosowanie do takiego przetwarzania, zastosowanie powinny mieć zasady ogólne i inne przepisy niniejszego rozporządzenia, w szczególności jeżeli chodzi o warunki zgodności przetwarzania z prawem. Należy wyraźnie przewidzieć wyjątki od ogólnego zakazu przetwarzania takich szczególnych kategorii danych osobowych, m.in. w razie wyraźnej zgody osoby, której dane dotyczą, lub ze względu na szczególne potrzeby, w szczególności gdy przetwarzanie danych odbywa się w ramach uzasadnionych działań niektórych zrzeszeń lub fundacji, których celem jest umożliwienie korzystania z podstawowych wolności. […] (53) Szczególne kategorie danych osobowych zasługujące na większą ochronę powinny być przetwarzane do celów zdrowotnych wyłącznie w przypadkach, gdy jest to niezbędne do realizacji tych celów z korzyścią dla osób fizycznych i ogółu społeczeństwa, w szczególności w kontekście zarządzania usługami i systemami opieki zdrowotnej […]. Niniejsze rozporządzenie powinno zatem przewidywać zharmonizowane warunki przetwarzania szczególnych kategorii danych osobowych dotyczących zdrowia, ze względu na szczególne potrzeby, w szczególności gdy dane takie są przetwarzane w określonych celach zdrowotnych przez osoby podlegające prawnemu obowiązkowi zachowania tajemnicy zawodowej. Prawo Unii lub prawo państwa członkowskiego powinny przewidywać konkretne, odpowiednie środki chroniące prawa podstawowe i dane osobowe osób fizycznych. Państwa członkowskie powinny móc zachować lub wprowadzić dalsze warunki, w tym ograniczenia, przetwarzania danych genetycznych, danych biometrycznych lub danych dotyczących zdrowia. […] […] (141) Każda osoba, której dane dotyczą, powinna mieć prawo wniesienia skargi do jednego organu nadzorczego oraz prawo do skutecznego środka ochrony prawnej przed sądem, zgodnie z art. 47 [Karty praw podstawowych Unii Europejskiej, zwanej dalej »Kartą«], w szczególności w państwie członkowskim, w którym ma miejsce zwykłego pobytu, a jeżeli uzna, że jej prawa wynikające z niniejszego rozporządzenia są naruszane, lub jeżeli organ nadzorczy nie reaguje na skargę, częściowo lub w całości ją odrzuca lub oddala, lub nie podejmuje działania, choć jest to niezbędne do ochrony praw tej osoby. […] (142) Jeżeli osoba, której dane dotyczą, uzna, że naruszane są jej prawa wynikające z niniejszego rozporządzenia, powinna mieć ona prawo zlecić podmiotowi, organizacji lub zrzeszeniu – które nie mają charakteru zarobkowego, zostały ustanowione zgodnie z prawem państwa członkowskiego, mają statutowo na celu interes publiczny i działają w dziedzinie ochrony danych osobowych – wniesienie skargi w swoim imieniu do organu nadzorczego, wykonanie prawa do środka ochrony prawnej przed sądem w imieniu osób, których dane dotyczą lub – o ile taką możliwość przewiduje prawo państwa członkowskiego - żądanie odszkodowania w imieniu osób, których dane dotyczą. Państwo członkowskie może wymagać, by taki podmiot, taka organizacja lub takie zrzeszenie niezależnie od zlecenia otrzymanego od osoby, której dane dotyczą, miały prawo wniesienia w tym państwie członkowskim skargi oraz miały prawo do skutecznego środka ochrony prawnej przed sądem, jeżeli mają powody, by uznać, że w wyniku przetwarzania danych osobowych w sposób naruszający niniejsze rozporządzenie naruszone zostały prawa osoby, której dane dotyczą. Takiemu podmiotowi, takiej organizacji lub takiemu zrzeszeniu nie może przysługiwać prawo do występowania o odszkodowanie w imieniu osoby, której dane dotyczą, jeżeli nie zostały do tego umocowane przez tę osobę”. Artykuł 1 tego rozporządzenia, zatytułowany „Przedmiot i cele”, stanowi: „1.   W niniejszym rozporządzeniu ustanowione zostają przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepływie danych osobowych. 2.   Niniejsze rozporządzenie chroni podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych. 3.   Nie ogranicza się ani nie zakazuje swobodnego przepływu danych osobowych w Unii z powodów odnoszących się do ochrony osób fizycznych w związku z przetwarzaniem danych osobowych”. Artykuł 4 wspomnianego rozporządzenia przewiduje: „Na użytek niniejszego rozporządzenia: 1) »dane osobowe« oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (»osobie, której dane dotyczą«); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej; 2) »przetwarzanie« oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie; […] 7) »administrator« oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania; […] 15) »dane dotyczące zdrowia« oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia; […] 21) »organ nadzorczy« oznacza niezależny organ publiczny ustanowiony przez państwo członkowskie zgodnie z art. 51; […]”. Rozdział II RODO, zatytułowany „Zasady”, zawiera art. 5–11. Artykuł 5 tego rozporządzenia przewiduje zasady dotyczące przetwarzania danych osobowych, podczas gdy art. 6 tego rozporządzenia określa warunki zgodności z prawem takiego przetwarzania. Zgodnie z art. 9 wspomnianego rozporządzenia, zatytułowanym „Przetwarzanie szczególnych kategorii danych osobowych”: „1.   Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby. 2.   Ustęp 1 nie ma zastosowania, jeżeli spełniony jest jeden z poniższych warunków: a) osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1; […] h) przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 3; […]”. Artykuł 51 tego samego rozporządzenia, zatytułowany „Organ nadzorczy”, przewiduje w ust. 1: „Każde państwo członkowskie zapewnia, by za monitorowanie stosowania niniejszego rozporządzenia odpowiadał co najmniej jeden niezależny organ publiczny w celu ochrony podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem oraz ułatwiania swobodnego przepływu danych osobowych w Unii (zwany dalej »organem nadzorczym«)”. Rozdział VIII RODO, zatytułowany „Środki ochrony prawnej, odpowiedzialność i sankcje”, obejmuje art. 77–84 tego rozporządzenia. Artykuł 77 tego rozporządzenia, zatytułowany „Prawo do wniesienia skargi do organu nadzorczego”, stanowi w ust. 1: „Bez uszczerbku dla innych [środków] administracyjnych lub środków ochrony prawnej przed sądem każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, w szczególności w państwie członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza niniejsze rozporządzenie”. Artykuł 78 wspomnianego rozporządzenia, zatytułowany „Prawo do skutecznego środka ochrony prawnej przed sądem przeciwko organowi nadzorczemu”, stanowi w ust. 1: „Bez uszczerbku dla innych administracyjnych lub pozasądowych środków ochrony prawnej każda osoba fizyczna lub prawna ma prawo do skutecznego środka ochrony prawnej przed sądem przeciwko prawnie wiążącej decyzji organu nadzorczego jej dotyczącej”. Artykuł 79 tego rozporządzenia, zatytułowany „Prawo do skutecznego środka ochrony prawnej przed sądem przeciwko administratorowi lub podmiotowi przetwarzającemu”, stanowi w ust. 1: „Bez uszczerbku dla dostępnych administracyjnych lub pozasądowych środków ochrony prawnej, w tym prawa do wniesienia skargi do organu nadzorczego zgodnie z art. 77, każda osoba, której dane dotyczą, ma prawo do skutecznego środka ochrony prawnej przed sądem, jeżeli uzna ona, że prawa przysługujące jej na mocy niniejszego rozporządzenia zostały naruszone w wyniku przetwarzania je[j] danych osobowych z naruszeniem niniejszego rozporządzenia”. Artykuł 80 RODO, zatytułowany „Reprezentowanie osób, których dane dotyczą”, ma następujące brzmienie: „1.   Osoba, której dane dotyczą, ma prawo umocować podmiot, organizację lub zrzeszenie – które nie mają charakteru zarobkowego, zostały należycie ustanowione zgodnie z prawem państwa członkowskiego, mają cele statutowe leżące w interesie publicznym i działają w dziedzinie ochrony praw i wolności osób, których dane dotyczą, w związku z ochroną ich danych osobowych – do wniesienia w jej imieniu skargi oraz wykonywania w jej imieniu praw, o których mowa w art. 77, 78 i 79, oraz żądania w jej imieniu odszkodowania, o którym mowa w art. 82, jeżeli przewiduje to prawo państwa członkowskiego. 2.   Państwa członkowskie mogą przewidzieć, że podmiot, organizacja lub zrzeszenie, o których mowa w ust. 1 niniejszego artykułu, mają - niezależnie od upoważnienia otrzymanego od osoby, której dane dotyczą - prawo wnieść w tym państwie członkowskim skargę do organu nadzorczego właściwego zgodnie z art. 77 oraz wykonać prawa, o których mowa w art. 78 i 79, jeżeli uznają, że w wyniku przetwarzania naruszone zostały prawa osoby, której dane dotyczą, wynikające z niniejszego rozporządzenia”. Artykuł 82 tego rozporządzenia, zatytułowany „Prawo do odszkodowania i odpowiedzialność”, stanowi w ust. 1: „Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę”. Artykuł 83 wspomnianego rozporządzenia, zatytułowany „Ogólne warunki nakładania administracyjnych kar pieniężnych”, przewiduje w ust. 1: „Każdy organ nadzorczy zapewnia, by stosowane na mocy niniejszego artykułu za naruszenia niniejszego rozporządzenia administracyjne kary pieniężne, o których mowa w ust. 4, 5 i 6, były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające”. Artykuł 84 tego samego rozporządzenia, zatytułowany „Sankcje”, stanowi w ust. 1: „Państwa członkowskie przyjmują przepisy określające inne sankcje za naruszenia niniejszego rozporządzenia, w szczególności za naruszenia niepodlegające administracyjnym karom pieniężnym na mocy art. 83, oraz podejmują wszelkie środki niezbędne do ich wykonania. Sankcje te muszą być skuteczne, proporcjonalne i odstraszające”. Artykuł 94 RODO przewiduje w ust. 1: „Dyrektywa [95/46] zostaje uchylona ze skutkiem od dnia 25 maja 2018 r.”. Zgodnie z art. 99 tego rozporządzenia: „1.   Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po publikacji w Dzienniku Urzędowym Unii Europejskiej. 2.   Niniejsze rozporządzenie ma zastosowanie od dnia 25 maja 2018 r.”. Prawo niemieckie Ustawa o zwalczaniu nieuczciwej konkurencji Paragraf 3 Gesetz gegen den unlauteren Wettbewerb (ustawy o zwalczaniu nieuczciwej konkurencji) z dnia 3 lipca 2004 r. (BGBl. 2004 I, s. 1414), w brzmieniu mającym zastosowanie w postępowaniu głównym (zwanej dalej „UWG”), zatytułowany „Zakaz nieuczciwych praktyk handlowych”, przewiduje w ust. 1: „Nieuczciwe praktyki handlowe są niedozwolone”. Paragraf 3a UWG, zatytułowany „Naruszenie prawa”, ma następujące brzmienie: „W sposób nieuczciwy działa ten, kto postępuje niezgodnie z przepisem ustawy, który służy również, w interesie uczestników rynku, regulowaniu zachowania na rynku, jeżeli naruszenie może odczuwalnie naruszyć interesy konsumentów, innych uczestników rynku lub podmiotów konkurujących”. Paragraf 8 UWG, zatytułowany „Usunięcie skutków i zaniechanie”, stanowi: „(1)   Od osoby, która stosuje niedozwolone praktyki handlowe wskazane w § 3 lub § 7, można żądać usunięcia ich skutków, a w wypadku ryzyka ponowienia praktyk – ich zaniechania. […] […] (3)   Roszczenia, o których mowa w ust. 1, przysługują: 1. konkurentom, którzy sprzedają lub zgłaszają zapotrzebowanie na towary lub usługi w zakresie szerszym niż znikomy i czynią to nie tylko w okazjonalny sposób, […]”. Ustawa o produktach leczniczych Obrót produktami leczniczymi reguluje Gesetz über den Verkehr mit Arzneimitteln (ustawa o obrocie produktami leczniczymi) z dnia 24 sierpnia 1976 r. (BGBl. 1976 I, s. 2444) w wersji opublikowanej w dniu 12 grudnia 2005 r. (BGBl. 2005 I, s. 3394), mającej zastosowanie w postępowaniu głównym, która dokonuje rozróżnienia na produkty lecznicze sprzedawane w aptekach oraz produkty lecznicze wydawane na receptę, przy czym te ostatnie są przedmiotem art. 48, zatytułowanego „Obowiązkowa recepta”. Postępowanie główne i pytania prejudycjalne ND, prowadzący aptekę pod nazwą handlową „Lindenapotheke”, od 2017 r. sprzedaje produkty lecznicze, których sprzedaż jest zastrzeżona dla aptek, na platformie internetowej „Amazon-Marketplace” (zwanej dalej „platformą Amazon”). Przy zamawianiu tych produktów leczniczych przez Internet klienci ND muszą wprowadzić informacje takie jak ich nazwisko, adres dostawy i informacje niezbędne do indywidualizacji rzeczonych produktów leczniczych. DR, który również prowadzi aptekę, wniósł do Landgericht Dessau-Roßlau (sądu krajowego w Dessau-Roßlau, Niemcy) powództwo przeciwko ND o zaniechanie, pod rygorem grzywny, wprowadzania do obrotu na platformie Amazon produktów leczniczych, których sprzedaż jest zastrzeżona dla aptek, dopóki nie zostanie zagwarantowane, że klient będzie mógł wyrazić uprzednią zgodę na przetwarzanie danych dotyczących zdrowia. Na poparcie powództwa DR podniósł, że wprowadzanie do obrotu produktów leczniczych, których sprzedaż jest zastrzeżona dla aptek, na platformie Amazon jest nieuczciwe ze względu na niespełnienie obowiązków prawnych dotyczących uzyskania zgody klienta wymaganej przez przepisy o ochronie danych osobowych. Orzeczeniem z dnia 28 marca 2018 r. Landgericht Dessau-Roßlau (sąd krajowy w Dessau-Roßlau) uwzględnił powództwo. ND wniósł apelację od tego orzeczenia do Oberlandesgericht Naumburg (wyższego sądu krajowego w Naumburgu, Niemcy), który oddalił ją wyrokiem z dnia 7 listopada 2019 r. Sąd apelacyjny uznał, że wprowadzanie do obrotu na platformie Amazon produktów leczniczych, których sprzedaż jest zastrzeżona dla aptek, stanowi nieuczciwą praktykę, a zatem niezgodną z prawem na podstawie § 3 ust. 1 UWG. Takie wprowadzenie do obrotu produktów leczniczych wiąże się bowiem z przetwarzaniem danych dotyczących zdrowia, które, na mocy art. 9 ust. 1 RODO, jest niedozwolone bez wyraźnej zgody klientów nabywających produkty lecznicze, zgodnie z art. 9 ust. 2 lit. a) tego rozporządzenia. Zasady przewidziane w rzeczonym rozporządzeniu stanowią zaś przepisy prawne mające na celu regulowanie zachowania na rynku w rozumieniu § 3a UWG. Ponadto na podstawie § 8 ust. 3 pkt 1 UWG DR jako konkurent ma prawo powoływać się na naruszenie tych zasad przez ND w drodze powództwa o zaniechanie przed sądami cywilnymi. ND wniósł skargę rewizyjną do Bundesgerichtshof (federalnego trybunału sprawiedliwości, Niemcy), będącego sądem odsyłającym. Sąd ten zauważa, że rozstrzygnięcie sporu zależy od wykładni przepisów rozdziału VIII RODO i art. 9 ust. 1 tego rozporządzenia, a także art. 8 ust. 1 dyrektywy 95/46. W pierwszej kolejności sąd odsyłający zastanawia się nad kwestią, czy od czasu uchylenia dyrektywy 95/46 ze skutkiem od dnia 25 maja 2018 r., czyli od daty, od której zaczęło obowiązywać RODO, państwa członkowskie nadal mogą przewidzieć w prawie krajowym, że konkurenci przedsiębiorstwa, tacy jak ci, o których mowa w § 8 ust. 3 pkt 1 UWG, mają legitymację do wyegzekwowania, w drodze powództwa przed sądem cywilnym, zaniechania naruszeń przepisów RODO popełnionych przez to przedsiębiorstwo w aspekcie zakazu nieuczciwych praktyk handlowych. Sąd odsyłający zauważa, że pytanie to prowadzi do rozbieżnych odpowiedzi na szczeblu krajowym. Takiej odpowiedzi nie można bowiem wywieść w sposób jednoznaczny ani z brzmienia przepisów rozdziału VIII RODO, ani z ogólnej systematyki tych przepisów, ani nawet z celu realizowanego przez to rozporządzenie. Otóż, przede wszystkim, jeśli chodzi o brzmienie przepisów rozdziału VIII RODO, sąd odsyłający podkreśla, że jest prawdą, iż przepisy te nie wspominają w żadnym miejscu o możliwości wytoczenia powództwa przeciwko przedsiębiorstwu przez jego konkurentów, w szczególności gdy naruszenie przepisów o ochronie danych stanowi nieuczciwe praktyki handlowe. Jednocześnie jednak wspomniane przepisy formalnie nie wykluczają tej możliwości. Następnie, co się tyczy ogólnej systematyki przepisów rozdziału VIII RODO, sąd odsyłający podkreśla z jednej strony, że – jak orzekł Trybunał w wyroku z dnia 28 kwietnia 2022 r., Meta Platforms Ireland (C‑319/20, EU:C:2022:322, pkt 57) – owo rozporządzenie ma na celu zapewnienie harmonizacji ustawodawstw krajowych w zakresie ochrony danych osobowych, która jest co do zasady pełna. Z drugiej strony jednak okoliczność, że art. 77 ust. 1, art. 78 ust. 1 i 2 oraz art. 79 ust. 1 RODO zawierają sformułowania „bez uszczerbku dla innych […] środków”, może stać na przeszkodzie stwierdzeniu, że kwestia nadzoru nad stosowaniem prawa została uregulowana w sposób wyczerpujący. Wreszcie, jeśli chodzi o realizowany przez RODO cel polegający na harmonizacji, a w szczególności ujednoliceniu poziomu nadzoru nad stosowaniem prawa w Unii, sąd odsyłający podkreśla z jednej strony, że sprzeczny z tym celem może być fakt, iż konkurenci mogą mieć legitymację procesową na podstawie prawa konkurencji, a tym samym egzekwować stosowanie przepisów prawa ochrony danych poza instrumentami przewidzianymi w RODO. Ponadto nie jest jasne, czy przewidziany w tym rozporządzeniu system nadzoru nad stosowaniem prawa zawiera lukę, którą należy wypełnić poprzez przyznanie konkurentom legitymacji procesowej na podstawie prawa konkurencji. Podobnie konkurencja w zakresie nadzoru nad stosowaniem prawa ochrony danych między organami nadzorczymi z jednej strony a sądami cywilnymi z drugiej strony mogłaby naruszać uprawnienia organów nadzorczych i prowadzić do rozbieżności wewnątrz Unii w nadzorze nad stosowaniem prawa ochrony danych. Z drugiej strony zdaniem sądu odsyłającego umożliwienie konkurentom wytaczania powództw na podstawie prawa konkurencji mogłoby stanowić dodatkową możliwość nadzoru nad stosowaniem prawa, która byłaby pożądana zgodnie z zasadą skuteczności („effet utile”) w celu zapewnienia jak najwyższego poziomu ochrony w dziedzinie danych osobowych, zgodnie z motywem 10 RODO. Sąd odsyłający wskazuje, że nie wyjaśniono tej kwestii w orzecznictwie Trybunału i że w szczególności w wyroku z dnia 28 kwietnia 2022 r., Meta Platforms Ireland (C‑319/20, EU:C:2022:322), Trybunał wyraźnie pozostawił otwartą kwestię legitymacji procesowej konkurenta. W drugiej kolejności sąd odsyłający zastanawia się nad kwestią, czy dane, które klienci muszą wprowadzić na platformie sprzedaży internetowej przy zamawianiu produktów leczniczych, takie jak ich nazwisko, adres dostawy oraz informacje niezbędne do indywidualizacji zamówionych produktów leczniczych, są „danymi dotyczącymi zdrowia” w rozumieniu art. 8 ust. 1 dyrektywy 95/46 i art. 9 ust. 1 RODO. Zdaniem tego sądu odpowiedź na to pytanie nie jest oczywista w przypadku, gdy zamówione produkty lecznicze nie są wydawane na receptę. W takim przypadku nie jest bowiem wykluczone, że te produkty lecznicze nie są przeznaczone dla samych klientów, lecz dla osób trzecich, których nie można zidentyfikować. Sąd odsyłający podkreśla, że brzmienie tych przepisów oraz brzmienie art. 4 pkt 15 RODO w związku z motywem 35 tego rozporządzenia nie pozwalają same w sobie na udzielenie odpowiedzi na to pytanie. Jednakże w pkt 125 wyroku z dnia 1 sierpnia 2022 r., Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601), Trybunał orzekł, że pojęcie „szczególnych kategorii danych osobowych”, którym posłużono się w art. 8 ust. 1 dyrektywy 95/46 i w art. 9 ust. 1 RODO, należy interpretować szeroko, biorąc pod uwagę cel tego rozporządzenia, jakim jest zagwarantowanie wysokiego poziomu ochrony podstawowych praw i wolności osób fizycznych, a zwłaszcza ich życia prywatnego, w zakresie przetwarzania danych osobowych, które ich dotyczą. Gdyby przyjąć taką szeroką wykładnię tego pojęcia, można by dojść do wniosku, że takie informacje są danymi dotyczącymi zdrowia, jeżeli nie jest pewne, a jedynie prawdopodobne, że klienci zamawiający produkty lecznicze, są osobami, dla których są one przeznaczone. Sąd odsyłający wyjaśnia, że zgłoszone przez DR roszczenie o zaniechanie, jest oparte na założeniu, że rozpatrywane zachowanie ND było niezgodne z prawem zarówno w momencie jego wystąpienia, jak i w momencie, w którym odbyła się rozprawa w ramach postępowania rewizyjnego, oraz że pierwszy z tych momentów był jeszcze uregulowany w art. 8 ust. 1 dyrektywy 95/46, podczas gdy drugi z nich jest obecnie objęty zakresem stosowania art. 9 ust. 1 RODO. W tym kontekście Bundesgerichtshof (federalny trybunał sprawiedliwości) postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi: „1) Czy przepisy rozdziału VIII [RODO] stoją na przeszkodzie uregulowaniom krajowym, które – poza uprawnieniami interwencyjnymi organów nadzorczych właściwych w zakresie monitorowania i wykonywania tego rozporządzenia oraz możliwościami ochrony osób, których dane dotyczą – przyznają konkurentom prawo do występowania przeciwko sprawcy w drodze powództwa do sądu cywilnego z powodu naruszenia wspomnianego rozporządzenia w aspekcie zakazu stosowania nieuczciwych praktyk handlowych? 2) Czy dane, które klienci farmaceuty występującego jako sprzedawca na platformie sprzedaży internetowej wprowadzają na stronie tej platformy przy zamawianiu leków wydawanych wprawdzie jedynie w aptekach, ale niebędących lekami na receptę (nazwisko klienta, adres dostawy oraz informacje niezbędne do indywidualizacji zamawianego leku wydawanego jedynie w aptekach), są danymi dotyczącymi zdrowia w rozumieniu art. 9 ust. 1 [RODO] oraz art. 8 ust. 1 dyrektywy 95/46?”. W przedmiocie pytań prejudycjalnych W przedmiocie pytania pierwszego Poprzez pytanie pierwsze sąd odsyłający dąży do ustalenia, czy przepisy rozdziału VIII RODO należy interpretować w ten sposób, że stoją one na przeszkodzie uregulowaniu krajowemu, które poza uprawnieniami interwencyjnymi organów nadzorczych właściwych w zakresie monitorowania i wykonywania tego rozporządzenia oraz możliwościami ochrony osób, których dane dotyczą, przyznają konkurentom domniemanego sprawcy naruszenia ochrony danych osobowych prawo do występowania przeciwko niemu w drodze powództwa do sądu cywilnego z powodu naruszenia wspomnianego rozporządzenia i w aspekcie zakazu stosowania nieuczciwych praktyk handlowych. Na wstępie należy przypomnieć, że rozdział VIII RODO reguluje między innymi środki ochrony prawnej umożliwiające ochronę praw osoby, której dane dotyczą, w przypadku gdy dotyczące jej dane osobowe zostały przetworzone w sposób sprzeczny z przepisami tego rozporządzenia. Ochrony tych praw może zatem żądać albo bezpośrednio osoba, której dane dotyczą, na podstawie art. 77–79 owego rozporządzenia, albo uprawniony podmiot posiadający w tym celu upoważnienie lub nieposiadający takiego upoważnienia, na podstawie art. 80 wspomnianego rozporządzenia (zob. podobnie wyrok z dnia 28 kwietnia 2022 r., Meta Platforms Ireland, C‑319/20, EU:C:2022:322, pkt 53). Po pierwsze, art. 77 ust. 1 RODO przewiduje bowiem, że bez uszczerbku dla innych administracyjnych lub pozasądowych środków ochrony prawnej każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego. Zgodnie z art. 78 ust. 1 tego rozporządzenia bez uszczerbku dla innych administracyjnych lub pozasądowych środków ochrony prawnej każda osoba fizyczna lub prawna ma prawo do skutecznego środka ochrony prawnej przed sądem przeciwko prawnie wiążącej decyzji organu nadzorczego jej dotyczącej. Artykuł 79 ust. 1 tego rozporządzenia gwarantuje, iż bez uszczerbku dla dostępnych administracyjnych lub pozasądowych środków ochrony prawnej, w tym prawa do wniesienia skargi do organu nadzorczego zgodnie z art. 77 tego samego rozporządzenia, każda osoba, której dane dotyczą, ma prawo do skutecznego środka ochrony prawnej przed sądem. Po drugie, zgodnie z art. 80 ust. 1 RODO osoba, której dane dotyczą, ma prawo umocować podmiot, organizację lub zrzeszenie, które nie mają charakteru zarobkowego, pod pewnymi warunkami, do wniesienia w jej imieniu skargi oraz do wykonywania w jej imieniu praw, o których mowa w art. 77–79 tego rozporządzenia. Ponadto zgodnie z art. 80 ust. 2 wspomnianego rozporządzenia państwa członkowskie mogą przewidzieć, że podmiot, organizacja lub zrzeszenie mają prawo – niezależnie od upoważnienia otrzymanego od osoby, której dane dotyczą – wnieść w tym państwie członkowskim taką skargę do organu nadzorczego oraz wykonać prawa, jeżeli uznają, że przewidziane w tymże rozporządzeniu prawa osoby, której dane dotyczą, zostały naruszone w wyniku przetwarzania dotyczących jej danych osobowych. W niniejszej sprawie z akt sprawy, którymi dysponuje Trybunał, wynika, że ND, prowadzący aptekę, wprowadza do obrotu na platformie Amazon produkty lecznicze, których sprzedaż jest zastrzeżona dla aptek, oraz że przy zamawianiu tych produktów przez Internet klienci muszą wprowadzić dane takie jak ich nazwisko, adres dostawy i informacje niezbędne do indywidualizacji rzeczonych produktów leczniczych. Jednakże powództwa w postępowaniu głównym do sądu cywilnego nie wnieśli ci klienci, będący osobami, których dane dotyczą w rozumieniu art. 4 pkt 1 RODO, na podstawie art. 79 tego rozporządzenia, ani uprawnieni podmiot, organizacja lub zrzeszenie, na podstawie upoważnienia uzyskanego w tym celu od osoby, której dane dotyczą bądź bez tego upoważnienia, na podstawie art. 80 owego rozporządzenia, lecz z pozwem wystąpił konkurent tego farmaceuty na podstawie zakazu nieuczciwych praktyk handlowych ze względu na naruszenia przepisów tegoż rozporządzenia, których miał się dopuścić wspomniany farmaceuta. W postępowaniu głównym powstaje zatem pytanie, czy RODO stoi na przeszkodzie temu, aby konkurent taki jak DR, który nie jest osobą, której dane dotyczą, w rozumieniu art. 4 pkt 1 tego rozporządzenia, mógł wystąpić z takim powództwem do krajowych sądów cywilnych. W tym względzie należy przypomnieć, że przy dokonywaniu wykładni przepisu prawa Unii należy uwzględniać nie tylko jego brzmienie, ale także jego kontekst i cel aktu prawnego, którego jest on częścią (wyrok z dnia 12 stycznia 2023 r., Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, pkt 32). Co się tyczy brzmienia przepisów rozdziału VIII RODO, należy stwierdzić, że żaden z nich wyraźnie nie wyklucza możliwości wytoczenia powództwa przed sądami cywilnymi przeciwko przedsiębiorstwu przez jego konkurenta na podstawie zakazu nieuczciwych praktyk handlowych ze względu na zarzucane temu przedsiębiorstwu naruszenie obowiązków przewidzianych w tym rozporządzeniu. Przeciwnie, z brzmień art. 77 ust. 1, art. 78 ust. 1 i art. 79 ust. 1 RODO, przypomnianych w pkt 48 niniejszego wyroku, wynika, że prawo do wniesienia skargi do organu nadzorczego oraz prawo do skutecznego środka ochrony prawnej przed sądem przeciwko takiemu organowi oraz przeciwko administratorowi lub podmiotowi przetwarzającemu, obowiązują w tych przepisach „bez uszczerbku” dla wszelkich innych środków administracyjnych, sądowych lub pozasądowych. Co się tyczy kontekstu, w jaki wpisuje się rozdział VIII RODO, należy zauważyć, że rozporządzenie to zawiera w rozdziale II zbiór przepisów materialnych dotyczących między innymi zawartych w art. 5 zasad przetwarzania danych osobowych oraz określonych w art. 6 warunków zgodności przetwarzania z prawem, które mają zapewnić pełne poszanowanie, między innymi, prawa podstawowego do ochrony danych osobowych osób, których dane dotyczą, zagwarantowanego w art. 16 ust. 1 TFUE i art. 8 Karty. Brak w rozdziale VIII RODO przepisów zapewniających konkurentom możliwość wytoczenia przeciwko przedsiębiorstwu, które miało naruszyć te przepisy materialne, powództwa o zaniechanie tego naruszenia, wynika zatem z faktu, że – jak zauważył rzecznik generalny w pkt 80 opinii – adresatami ochrony danych osobowych przyznanej przez to rozporządzenie są jedynie osoby, których dane dotyczą, a nie ci konkurenci. Niemniej jednak, o ile naruszenie wspomnianych przepisów materialnych może mieć wpływ przede wszystkim na osoby, których dane dotyczą, o tyle może ono również naruszać prawa osób trzecich, o czym świadczy fakt, że art. 82 ust. 1 RODO przewiduje prawo do odszkodowania dla „każdej osoby, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia tego rozporządzenia”. Trybunał miał już również okazję stwierdzić, że naruszenie przepisu dotyczącego ochrony danych osobowych może jednocześnie prowadzić do naruszenia przepisów odnoszących się do ochrony konsumentów lub do nieuczciwych praktyk handlowych (wyrok z dnia 28 kwietnia 2022 r., Meta Platforms Ireland, C‑319/20, EU:C:2022:322, pkt 78) i stanowić przesłankę istotną dla ustalenia, czy doszło do nadużycia pozycji dominującej w rozumieniu art. 102 TFUE [zob. podobnie wyrok z dnia 4 lipca 2023 r., Meta Platforms i in. (Ogólne warunki korzystania z sieci społecznościowej), C‑252/21, EU:C:2023:537, pkt 47, 62]. W tym kontekście należy przypomnieć, że dostęp do danych osobowych oraz ich wykorzystywanie odgrywają w ramach gospodarki cyfrowej rolę, której nie sposób przecenić. Dostęp do danych osobowych i możliwość ich przetwarzania stały się bowiem istotnym parametrem gry rynkowej, jaka się toczy pomiędzy przedsiębiorstwami konkurującymi ze sobą w ramach gospodarki cyfrowej. W związku z tym, aby uwzględnić zachodzącą rewolucję gospodarczą i zapewnić uczciwą konkurencję, konieczne może okazać się uwzględnienie przepisów o ochronie danych osobowych w ramach stosowania prawa konkurencji i przepisów dotyczących nieuczciwych praktyk handlowych [zob. podobnie wyrok z dnia 4 lipca 2023 r., Meta Platforms i in. (Ogólne warunki korzystania z sieci społecznościowej), C‑252/21, EU:C:2023:537, pkt 50, 51]. Ponadto, o ile z art. 1 ust. 1 RODO w związku w szczególności z jego motywami 9 i 13 wynika, że rozporządzenie to ma na celu zapewnienie harmonizacji ustawodawstw krajowych w zakresie ochrony danych osobowych, która jest co do zasady pełna, o tyle kilka przepisów tego rozporządzenia wyraźnie daje państwom członkowskim możliwość ustanowienia dodatkowych – bardziej restrykcyjnych lub wprowadzających odstępstwa – uregulowań krajowych, które pozostawiają tym państwom pewien zakres uznania co do sposobu, w jaki owe przepisy mogą być wprowadzane w życie („klauzule upoważniające”) (wyrok z dnia 28 kwietnia 2022 r., Meta Platforms Ireland, C‑319/20, EU:C:2022:322, pkt 57). Trybunał orzekł już, że tak wynika z art. 80 ust. 2 RODO, który pozostawia państwom członkowskim zakres uznania w odniesieniu do jego wdrożenia i który nie sprzeciwia się uregulowaniu krajowemu, które zezwala stowarzyszeniu ochrony interesów konsumentów na wniesienie do sądu powództwa – w braku udzielonego mu w tym celu upoważnienia i niezależnie od naruszenia konkretnych praw osób, których dane dotyczą – przeciwko domniemanemu sprawcy naruszenia przepisów o ochronie danych osobowych z powodu, między innymi, naruszenia zakazu stosowania nieuczciwych praktyk handlowych, jeżeli odnośne przetwarzanie danych może mieć wpływ na prawa, jakie zidentyfikowane lub możliwe do zidentyfikowania osoby fizyczne wywodzą z tego rozporządzenia (wyrok z dnia 28 kwietnia 2022 r., Meta Platforms Ireland, C‑319/20, EU:C:2022:322, pkt 59, 83). Jest prawdą, że przepisy rozdziału VIII RODO nie przewidują konkretnie takiej klauzuli upoważniającej, która wyraźnie pozwalałaby państwom członkowskim na zapewnienie konkurentowi przedsiębiorstwa, które miało naruszyć przepisy materialne tego rozporządzenia, możliwości wniesienia powództwa o zaniechanie tego naruszenia. Jednakże z brzmienia i kontekstu przepisów tego rozdziału VIII, przypomnianych w pkt 53–58 niniejszego wyroku, wynika, że przyjmując to rozporządzenie, prawodawca Unii nie zamierzał dokonywać wyczerpującej harmonizacji środków ochrony prawnej dostępnych w przypadku naruszenia przepisów RODO, a w szczególności nie zamierzał wykluczyć takiej możliwości wniesienia powództwa przez konkurentów domniemanego sprawcy naruszenia ochrony danych osobowych na podstawie prawa krajowego dotyczącego zakazu nieuczciwych praktyk handlowych. Wykładnię tę potwierdzają cele RODO, które – jak wynika w szczególności z jego motywu 10 – zmierza do zapewnienia spójnego i wysokiego stopnia poziomu ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz do usunięcia przeszkód w przepływie tych danych w Unii. Motyw 11 tego rozporządzenia stanowi ponadto, że aby ochrona tych danych była skuteczna, należy wzmocnić prawa osób, których dane dotyczą, oraz obowiązki podmiotów przetwarzających dane i decydujących o przetwarzaniu, jak również zapewnić równorzędne uprawnienia w zakresie monitorowania i egzekwowania przepisów o ochronie danych osobowych oraz równorzędne kary za naruszenia tych przepisów w państwach członkowskich. W motywie 13 wspomnianego rozporządzenia uściślono, że aby zapewnić spójny stopień ochrony osób fizycznych w Unii oraz zapobiegać rozbieżnościom hamującym swobodny przepływ danych osobowych na rynku wewnętrznym, należy przyjąć rozporządzenie, które zagwarantuje podmiotom gospodarczym pewność prawa i przejrzystość, a osobom fizycznym we wszystkich państwach członkowskich ten sam poziom prawnie egzekwowalnych praw oraz obowiązków i zadań administratorów i podmiotów przetwarzających, które pozwoli spójnie monitorować przetwarzanie danych osobowych, a także które zapewni równoważne kary we wszystkich państwach członkowskich. Możliwość wytoczenia przez konkurenta przedsiębiorstwa powództwa przed sądami cywilnymi, opartego na zarzucie naruszenia zakazu nieuczciwych praktyk handlowych, w celu wyegzekwowania zaniechania naruszenia przepisów materialnych RODO, którego miało się dopuścić to przedsiębiorstwo, nie tylko nie narusza tych celów, lecz przeciwnie, może wzmocnić skuteczność (effet utile) tych przepisów, a tym samym wysoki stopień poziomu ochrony osób, których dane dotyczą, w zakresie przetwarzania ich danych osobowych, o którym mowa w tym rozporządzeniu. Po pierwsze, wniesione przez konkurenta przeciwko przedsiębiorstwu powództwo o zaniechanie, oparte na zarzucie naruszenia zakazu nieuczciwych praktyk handlowych z powodu domniemanego naruszenia przepisów materialnych RODO, w żaden sposób nie podważa bowiem systemu środków ochrony prawnej przewidzianego w rozdziale VIII tego rozporządzenia ani celu polegającego na zapewnieniu spójnego poziomu ochrony osób fizycznych w Unii i zapobieganiu rozbieżnościom hamującym swobodny przepływ danych osobowych na rynku wewnętrznym. Jest prawdą, że takie powództwo może opierać się, choć w sposób incydentalny, na naruszeniu tych samych przepisów RODO co przepisy, na których można oprzeć skargę lub środek ochrony prawnej wniesione na podstawie art. 77–79 tego rozporządzenia przez osoby, których dane dotyczą, bądź przez podmiot, organizację lub zrzeszenie w rozumieniu art. 80 owego rozporządzenia. Jednakże, w pierwszej kolejności, w odróżnieniu od art. 77–80 RODO powództwo o zaniechanie wniesione przez konkurenta nie realizuje jako takie celu polegającego na ochronie podstawowych praw i wolności osób, których dane dotyczą, w związku z przetwarzaniem ich danych osobowych, lecz zmierza do zapewnienia uczciwej konkurencji, w szczególności w interesie tego konkurenta. W drugiej kolejności, możliwość wytoczenia takiego powództwa przez konkurenta przed sądami cywilnymi, w oparciu o zarzut naruszenia zakazu nieuczciwych praktyk handlowych, ma charakter dodatkowy w stosunku do środków ochrony prawnej ustanowionych w art. 77–79 RODO, które są w pełni zachowane i nadal mogą być wykonywane przez osoby, których dane dotyczą, a także, w stosownych przypadkach, przez podmioty, organizacje lub zrzeszenia w rozumieniu art. 80 tego rozporządzenia. W szczególności, jak zauważył rząd niemiecki, współistnienie środków ochrony prawnej z zakresu prawa ochrony danych i prawa konkurencji nie stwarza zagrożenia dla jednolitego stosowania RODO. W tym kontekście należy zauważyć, że z art. 77–80 tego rozporządzenia wynika, iż nie przewiduje ono pierwszeństwa lub wyłączności ani żadnej zasady nadrzędności oceny dokonanej przez organ lub sądy w odniesieniu do istnienia naruszenia praw przyznanych przez to rozporządzenie (zob. podobnie wyrok z dnia 12 stycznia 2023 r., Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, pkt 35). W związku z tym okoliczność, że powództwo o zaniechanie zostało wniesione przez konkurenta domniemanego sprawcy naruszenia ochrony danych osobowych przed sądami cywilnymi, nie podważa systemu środków ochrony prawnej ustanowionego w rozdziale VIII RODO. Ponadto, jak zauważył ten rząd, postępowanie prejudycjalne ustanowione w art. 267 TFUE zapewnia jednolitą wykładnię przepisów materialnych tego rozporządzenia, które mogą być stosowane w odniesieniu do tego samego naruszenia, z jednej strony przez organ nadzorczy i sądy rozpatrujące sprawę na podstawie art. 77–80 wspomnianego rozporządzenia, a z drugiej strony przez sądy, do których taki konkurent wniósł powództwo na podstawie zakazu nieuczciwych praktyk handlowych. W trzeciej kolejności, jak zauważył w istocie rzecznik generalny w pkt 104 opinii, możliwość powoływania się na przepisy materialne RODO w szerszym zakresie przez osoby inne niż tylko te, których dane dotyczą, oraz podmioty, organizacje i zrzeszenia w rozumieniu art. 80 tego rozporządzenia nie zagraża realizacji celu, jakim jest zapewnienie spójnego poziomu ochrony tych osób w Unii oraz zapobieganie rozbieżnościom hamującym swobodny przepływ danych osobowych na rynku wewnętrznym. Nawet bowiem gdyby państwa członkowskie nie przewidziały takiej możliwości, nie skutkowałoby to rozdrobnieniem wdrażania ochrony danych w Unii, skoro materialnoprawne przepisy RODO są tak samo wiążące dla wszystkich administratorów danych, w rozumieniu art. 4 pkt 7 tego rozporządzenia, a ich przestrzeganie zapewniają przewidziane w nim środki ochrony prawnej. Z drugiej strony, co się tyczy celu, jakim jest zapewnienie skutecznej ochrony osób, których dane dotyczą, w zakresie przetwarzania ich danych osobowych i skuteczności (effet utile) przepisów materialnych RODO, należy stwierdzić, że o ile powództwo o zaniechanie wniesione przez konkurenta domniemanego sprawcy naruszenia ochrony danych osobowych nie zmierza, jak wskazano w pkt 65 niniejszego wyroku, do tego celu, lecz do celu polegającego na zapewnieniu uczciwej konkurencji, o tyle jednak niewątpliwie przyczynia się ono do przestrzegania tych przepisów, a zatem do wzmocnienia praw osób, których dane dotyczą i do zapewnienia im wysokiego poziomu ochrony (zob. podobnie wyrok z dnia 28 kwietnia 2022 r., Meta Platforms Ireland, C‑319/20, EU:C:2022:322, pkt 74). Ponadto takie powództwo o zaniechanie wniesione przez konkurenta – w zakresie, w jakim pozwala ono zapobiec licznym naruszeniom praw osób, których dotyczy przetwarzanie ich danych osobowych – może okazać się, podobnie jak powództwo wytoczone przez stowarzyszenia, których celem jest ochrona interesów konsumentów, szczególnie skuteczne dla zapewnienia takiej ochrony (zob. podobnie wyrok z dnia 28 kwietnia 2022 r., Meta Platforms Ireland, C‑319/20, EU:C:2022:322, pkt 75). Wynika z tego, że wykładnia przyjęta w pkt 60 niniejszego wyroku jest zgodna z wynikającymi z art. 16 ust. 1 TFUE i z art. 8 Karty wymogami, a tym samym z realizowanym przez RODO celem polegającym na zapewnieniu skutecznej ochrony podstawowych praw i wolności osób fizycznych, a także między innymi na zapewnieniu wysokiego poziomu ochrony prawa każdej osoby do ochrony dotyczących jej danych osobowych (zob. podobnie wyrok z dnia 28 kwietnia 2022 r., Meta Platforms Ireland, C‑319/20, EU:C:2022:322, pkt 73). W niniejszej sprawie do sądu odsyłającego należy zbadanie, czy rozpatrywane w postępowaniu głównym domniemane naruszenie przepisów materialnych RODO, o ile zostanie wykazane, stanowi również naruszenie przewidzianego we właściwych przepisach krajowych zakazu nieuczciwych praktyk handlowych. W świetle powyższych rozważań na pytanie pierwsze należy odpowiedzieć, że przepisy rozdziału VIII RODO należy interpretować w ten sposób, że nie stoją one na przeszkodzie uregulowaniu krajowemu, które poza uprawnieniami interwencyjnymi organów nadzorczych właściwych w zakresie monitorowania i wykonywania tego rozporządzenia oraz możliwościami ochrony osób, których dane dotyczą, przyznaje konkurentom domniemanego sprawcy naruszenia ochrony danych osobowych prawo do występowania przeciwko niemu w drodze powództwa do sądu cywilnego z powodu naruszenia wspomnianego rozporządzenia i w aspekcie zakazu stosowania nieuczciwych praktyk handlowych. W przedmiocie pytania drugiego Poprzez pytanie drugie sąd odsyłający dąży w istocie do ustalenia, czy art. 8 ust. 1 dyrektywy 95/46 i art. 9 ust. 1 RODO należy interpretować w ten sposób, że w sytuacji gdy prowadzący aptekę wprowadza do obrotu, za pośrednictwem platformy internetowej, produkty lecznicze, których sprzedaż jest zastrzeżona dla aptek, informacje, które klienci tego farmaceuty wprowadzają przy zamówieniu produktów leczniczych przez Internet, takie jak ich nazwisko, adres dostawy i elementy niezbędne do indywidualizacji produktów leczniczych, stanowią dane dotyczące zdrowia w rozumieniu tych przepisów, nawet jeśli sprzedaż tych produktów leczniczych nie wymaga recepty. Artykuł 8 ust. 1 dyrektywy 95/46 i art. 9 ust. 1 RODO, które mają podobny zakres do celów ich wykładni, o której dokonanie wystąpiono do Trybunału (wyrok z dnia 1 sierpnia 2022 r., Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, pkt 58, 117) i odnoszą się, jak wskazuje tytuł tych artykułów, do przetwarzania „szczególnych kategorii” danych osobowych, ustanawiają zasadę zakazu takiego przetwarzania. Jak bowiem wyraźnie wskazano w motywie 51 tego rozporządzenia, dane osobowe, które z racji swego charakteru są szczególnie wrażliwe w świetle podstawowych praw i wolności, wymagają szczególnej ochrony, gdyż kontekst ich przetwarzania może powodować poważne ryzyko dla podstawowych praw i wolności. Wśród tych szczególnych kategorii danych osobowych, których wykaz zamieszczono w art. 8 ust. 1 dyrektywy 95/46 i art. 9 ust. 1 RODO, znajdują się dane dotyczące zdrowia. Obejmują one, zgodnie z art. 4 pkt 15 tego rozporządzenia w związku z jego motywem 35, wszystkie dane osobowe ujawniające informacje o przeszłym, obecnym lub przyszłym stanie zdrowia fizycznego lub psychicznego osoby fizycznej, w tym dane dotyczące świadczenia na rzecz tej osoby usług opieki zdrowotnej. Ponadto z art. 4 pkt 1 RODO wynika w szczególności, że „dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, i że do możliwości zidentyfikowania wystarczy, że osobę, której dane dotyczą, można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Zatem w przypadku gdy dane dotyczące zakupów produktów leczniczych pozwalają na wyciągnięcie wniosków co do stanu zdrowia zidentyfikowanej lub możliwej do zidentyfikowania osoby, dane te należy uznać za dane dotyczące zdrowia w rozumieniu art. 4 pkt 15 RODO. W niniejszej sprawie z akt sprawy, którymi dysponuje Trybunał, wynika, że klienci ND, przy zamawianiu przez Internet, na platformie Amazon, produktów leczniczych, których sprzedaż jest zastrzeżona dla aptek, wprowadzają informacje takie jak ich nazwisko, adres dostawy i informacje indywidualizujące produkty lecznicze. Takie informacje niewątpliwie stanowią „dane osobowe”, ponieważ odnoszą się do zidentyfikowanych lub możliwych do zidentyfikowania osób fizycznych. W tych okolicznościach należy ustalić, czy takie dane mogą ujawnić informacje o stanie zdrowia tych osób w rozumieniu art. 4 pkt 15 RODO i czy w konsekwencji stanowią one dane dotyczące zdrowia w rozumieniu art. 8 ust. 1 dyrektywy 95/46 i art. 9 ust. 1 tego rozporządzenia. W tym względzie Trybunał orzekł już, iż w świetle celu dyrektywy 95/46 i RODO, jakim jest zagwarantowanie wysokiego poziomu ochrony podstawowych praw i wolności osób fizycznych, a zwłaszcza ich życia prywatnego, w zakresie przetwarzania danych osobowych, które ich dotyczą, pojęcie „danych dotyczących zdrowia”, o którym mowa w art. 9 ust. 1 tego rozporządzenia, które odpowiada pojęciu „danych dotyczących zdrowia”, o którym mowa w art. 8 ust. 1 tej dyrektywy, należy interpretować szeroko (zob. podobnie wyroki: z dnia 6 listopada 2003 r., Lindqvist, C‑101/01, EU:C:2003:596, pkt 50; z dnia 1 sierpnia 2022 r.Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, pkt 125). W szczególności przepisów tych nie można interpretować w ten sposób, że przetwarzanie danych osobowych, które może ujawnić w sposób pośredni szczególnie chronione informacje dotyczące osoby fizycznej, jest wyłączone spod ustanowionego w tych przepisach wzmocnionego systemu ochrony, chyba że naruszałoby skuteczność tego systemu i podważało ochronę podstawowych praw i wolności osób fizycznych, które ma on zapewnić (wyrok z dnia 1 sierpnia 2022 r., Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, pkt 127). W związku z tym, aby dane osobowe mogły zostać uznane za dane dotyczące zdrowia w rozumieniu art. 8 ust. 1 dyrektywy 95/46 i art. 9 ust. 1 RODO, wystarczy, że mogą one wskazywać, poprzez intelektualną operację kojarzenia lub dedukcji, na informacje dotyczące stanu zdrowia osoby, której dane dotyczą (zob. podobnie wyrok z dnia 1 sierpnia 2022 r., Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, pkt 123). Otóż dane, które klient wprowadza na platformie internetowej przy zamawianiu produktów leczniczych, których sprzedaż jest zastrzeżona dla aptek – w zakresie, w jakim zamówienie to wiąże się z ustaleniem związku między produktem leczniczym, wskazaniami leczniczymi, wskazaniami co do jego stosowania a osobą fizyczną zidentyfikowaną lub możliwą do zidentyfikowania za pomocą informacji takich jak jej nazwisko lub adres dostawy – mogą wskazywać, poprzez intelektualną operację kojarzenia lub dedukcji, na informacje dotyczące stanu zdrowia osoby, której dane dotyczą, w rozumieniu art. 4 pkt 1 RODO. Sąd odsyłający zastanawia się jednak nad kwestią, czy ma znaczenie okoliczność, że sprzedaż zamówionych produktów leczniczych nie wymaga recepty, ponieważ w takim przypadku produkty te mogą nie być przeznaczone dla klienta składającego zamówienie, lecz dla osób trzecich. W tym względzie należy zauważyć, że do celów stosowania art. 8 ust. 1 dyrektywy 95/46 i art. 9 ust. 1 RODO w przypadku przetwarzania danych osobowych przez prowadzącego aptekę w ramach działalności prowadzonej za pośrednictwem platformy internetowej należy sprawdzić, czy takie dane umożliwiają ujawnienie informacji należących do jednej z kategorii określonych w tych przepisach, niezależnie od tego, czy informacje te dotyczą użytkownika tej platformy, czy jakiejkolwiek innej osoby fizycznej. W przypadku udzielenia odpowiedzi twierdzącej takie przetwarzanie danych osobowych będzie w konsekwencji zakazane, z zastrzeżeniem odstępstw przewidzianych w ustępach 2 wspomnianych przepisów [zob. podobnie wyrok z dnia 4 lipca 2023 r., Meta Platforms i in. (Ogólne warunki korzystania z sieci społecznościowej), C‑252/21, EU:C:2023:537, pkt 68]. Ten mający co do zasady zastosowanie zakaz obowiązuje niezależnie od tego, czy informacja ujawniona w wyniku danego przetwarzania jest prawdziwa i czy ów prowadzący aptekę działa w celu uzyskania informacji należących do jednej ze szczególnych kategorii, o których mowa w art. 8 ust. 1 dyrektywy 95/46 i art. 9 ust. 1 RODO. Biorąc bowiem pod uwagę poważne zagrożenia dla podstawowych wolności i praw podstawowych osób, których dane dotyczą, a które to zagrożenia wynikają z przetwarzania danych osobowych należących do tych kategorii, wspomniane przepisy mają na celu zakazanie tego rodzaju przetwarzania, niezależnie od jego zadeklarowanego celu i prawdziwości rozpatrywanych informacji [zob. podobnie wyrok z dnia 4 lipca 2023 r., Meta Platforms i in. (Ogólne warunki korzystania z sieci społecznościowej), C‑252/21, EU:C:2023:537, pkt 69, 70]. Wynika z tego, że w przypadku gdy użytkownik platformy internetowej przekazuje dane osobowe przy zamawianiu produktów leczniczych, których sprzedaż jest zastrzeżona dla aptek i które nie wymagają recepty, przetwarzanie tych danych przez prowadzącego aptekę, który sprzedaje te produkty lecznicze za pośrednictwem tej platformy internetowej, należy uznać za przetwarzanie danych dotyczących zdrowia w rozumieniu art. 8. ust. 1 dyrektywy 95/46 i art. 9 ust. 1 RODO, ponieważ takie przetwarzanie danych może ujawniać informacje dotyczące stanu zdrowia osoby fizycznej, niezależnie od tego, czy informacje te dotyczą owego użytkownika, czy jakiejkolwiek innej osoby fizycznej, dla której składa on zamówienie [zob. podobnie wyrok z dnia 4 lipca 2023 r., Meta Platforms i in. (Ogólne warunki korzystania z sieci społecznościowej), C‑252/21, EU:C:2023:537, pkt 73]. Wykładnia tych przepisów, która prowadziłaby do wprowadzenia rozróżnienia w zależności od rodzaju danych produktów leczniczych i tego, czy ich sprzedaż wymaga recepty, nie byłaby bowiem spójna z przypomnianym w pkt 81 niniejszego wyroku celem, jakim jest zapewnienie wysokiego poziomu ochrony, Taka wykładnia stałaby co więcej w sprzeczności z celem art. 8 ust. 1 dyrektywy 95/46 i art. 9 ust. 1 RODO, którym jest zapewnienie zwiększonej ochrony względem przetwarzania, które – ze względu na szczególnie chroniony charakter danych będących jego przedmiotem – może stanowić, jak wynika w szczególności z motywu 51 RODO, szczególnie poważną ingerencję w gwarantowane przez art. 7 i 8 Karty prawa podstawowe do poszanowania życia prywatnego i ochrony danych osobowych (wyrok z dnia 1 sierpnia 2022 r., Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, pkt 126 i przytoczone tam orzecznictwo). W związku z tym informacje, które klienci prowadzącego aptekę wprowadzają przy zamawianiu przez Internet produktów leczniczych, których sprzedaż jest zastrzeżona dla aptek i nie wymaga recepty, stanowią dane dotyczące zdrowia w rozumieniu art. 8 ust. 1 dyrektywy 95/46 i art. 9 ust. 1 RODO, nawet jeśli istnieje tylko pewne prawdopodobieństwo, a nie z całkowita pewność, że owe produkty lecznicze są przeznaczone dla tych klientów. Ponadto nie można wykluczyć, że nawet w przypadku, gdy takie produkty lecznicze są przeznaczone dla osób innych niż klienci, możliwe będzie zidentyfikowanie tych osób i wyciągnięcie wniosków co do ich stanu zdrowia. Może tak być na przykład w przypadku, gdy dane produkty lecznicze dostarczane są nie do miejsca zamieszkania klienta, który je zamówił, lecz do miejsca zamieszkania innej osoby, lub gdy, niezależnie od adresu dostawy, klient odniósł się w swoim zamówieniu lub w informacjach dotyczących dostawy do innej możliwej do zidentyfikowania osoby, takiej jak członek jego rodziny. Podobnie, gdy zamówienie wymaga identyfikacji lub rejestracji klienta, na przykład poprzez utworzenie konta klienta lub jego przystąpienie do programu lojalnościowego, nie jest wykluczone, że informacje wprowadzone przez klienta w tym kontekście można by wykorzystać do wyciągnięcia wniosków nie tylko co do stanu zdrowia tego klienta, lecz również co do stanu zdrowia innej osoby, w szczególności w związku z informacjami dotyczącymi zamówionych produktów leczniczych. Wreszcie, jak przypomniano w pkt 86 niniejszego wyroku, okoliczność, że informacje takie jak te rozpatrywane w postępowaniu głównym stanowią dane dotyczące zdrowia w rozumieniu art. 8 ust. 1 dyrektywy 95/46 i art. 9 ust. 1 RODO, nie stoi na przeszkodzie, jak wynika w szczególności z motywu 53 tego rozporządzenia, przetwarzaniu tych informacji, w szczególności w ramach zarządzania usługami i systemami opieki zdrowotnej, jeżeli spełniony jest jeden z warunków określonych w ustępach 2 tych przepisów. Może tak być w szczególności, po pierwsze, jeżeli zgodnie z ust. 2 lit. a) i z zastrzeżeniem przewidzianego w nim wyjątku, osoba, której dane dotyczą, udzieli wyraźnej zgody na co najmniej jedno przetwarzanie tych danych osobowych, którego szczególne cechy i cele zostały jej przedstawione w dokładny, kompletny i łatwy do zrozumienia sposób. Z drugiej strony takie przetwarzanie może być dopuszczalne na podstawie art. 9 ust. 2 lit. h) RODO, jeżeli jest ono niezbędne do celów zapewnienia opieki zdrowotnej na podstawie prawa Unii, prawa państwa członkowskiego lub zgodnie z umową zawartą z pracownikiem służby zdrowia. W świetle powyższych rozważań na pytanie drugie należy odpowiedzieć, że art. 8 ust. 1 dyrektywy 95/46 i art. 9 ust. 1 RODO należy interpretować w ten sposób, że w sytuacji gdy prowadzący aptekę wprowadza do obrotu, za pośrednictwem platformy internetowej, produkty lecznicze, których sprzedaż jest zastrzeżona dla aptek, informacje, które klienci tego farmaceuty wprowadzają przy zamówieniu produktów leczniczych przez Internet, takie jak ich nazwisko, adres dostawy i elementy niezbędne do indywidualizacji produktów leczniczych, stanowią dane dotyczące zdrowia w rozumieniu tych przepisów, nawet jeśli sprzedaż tych produktów leczniczych nie wymaga recepty. W przedmiocie kosztów Dla stron w postępowaniu głównym niniejsze postępowanie ma charakter incydentalny, dotyczy bowiem kwestii podniesionej przed sądem odsyłającym, do niego zatem należy rozstrzygnięcie o kosztach. Koszty poniesione w związku z przedstawieniem uwag Trybunałowi, inne niż koszty stron w postępowaniu głównym, nie podlegają zwrotowi.   Z powyższych względów Trybunał (wielka izba) orzeka, co następuje:   1) Przepisy rozdziału VIII rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia w sprawie ochrony danych) należy interpretować w ten sposób, że: nie stoją one na przeszkodzie uregulowaniu krajowemu, które poza uprawnieniami interwencyjnymi organów nadzorczych właściwych w zakresie monitorowania i wykonywania tego rozporządzenia oraz możliwościami ochrony osób, których dane dotyczą, przyznaje konkurentom domniemanego sprawcy naruszenia ochrony danych osobowych prawo do występowania przeciwko niemu w drodze powództwa do sądu cywilnego z powodu naruszenia wspomnianego rozporządzenia i w aspekcie zakazu stosowania nieuczciwych praktyk handlowych. 2) Artykuł 8 ust. 1 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych oraz art. 9 ust. 1 rozporządzenia 2016/679 należy interpretować w ten sposób, że w sytuacji gdy prowadzący aptekę wprowadza do obrotu, za pośrednictwem platformy internetowej, produkty lecznicze, których sprzedaż jest zastrzeżona dla aptek, informacje, które klienci tego farmaceuty wprowadzają przy zamówieniu produktów leczniczych przez Internet, takie jak ich nazwisko, adres dostawy i elementy niezbędne do indywidualizacji produktów leczniczych, stanowią dane dotyczące zdrowia w rozumieniu tych przepisów, nawet jeśli sprzedaż tych produktów leczniczych nie wymaga recepty.   Podpisy ( *1 ) Język postępowania: niemiecki.

© Unia Europejska, źródło: EUR-Lex (eur-lex.europa.eu), pozyskano 13.07.2026. Autentyczne są wyłącznie wersje opublikowane w Dz. Urz. UE. · Źródło