C‑21/23 Lindenapotheke - Sud pravde EU-a presudio je da informacije koje kupci unose prilikom naručivanja lijekova koji se izdaju isključivo u ljekarnama predstavljaju zdravstvene podatke, čak i kada se proizvodi izdaju bez recepta. Sud je nadalje utvrdio da GDPR ne isključuje nacionalno pravo koje omogućuje konkurentima voditelja obrade da na sudu osporavaju kršenja GDPR-a kao zabranjene nepoštene poslovne prakse.
Zahtjev potječe iz spora između dva konkurentska ljekarnika (voditelja obrade i DR-a) pokrenutog pred njemačkim regionalnim sudom (Landgericht Dessau-Roßlau).
Voditelj obrade je prodavao lijekove bez recepta, ali koji se izdaju isključivo u ljekarnama, putem Amazona, zahtijevajući od kupaca da unesu svoje ime, adresu za dostavu i podatke potrebne za individualizaciju lijekova.
Na temelju njemačkog zakonodavstva o nepoštenim poslovnim praksama, DR je zatražio sudsku zabranu kojom bi se voditelju obrade zabranila prodaja lijekova bez recepta, ali koji se izdaju isključivo u ljekarnama, putem Amazona, osim ako kupci unaprijed ne mogu izraziti svoj pristanak na obradu podataka.
DR je tvrdio da je prodaja putem Amazona bila nezakonita prema GDPR-u jer nije tražio prethodnu suglasnost kupca kako je propisano člankom 9(2) GDPR-a za obradu osjetljivih podataka.
Sud i Viši regionalni sud (Oberlandesgericht Naumburg) utvrdili su da je marketing lijekova koji se prodaju isključivo u ljekarnama protivan stavku 3. nacionalnog Zakona o nelojalnoj konkurenciji. Također, bez izričitog pristanka kupaca, obrada je zabranjena prema GDPR-u jer podrazumijeva obradu posebnih kategorija osobnih podataka.
Voditelj obrade zatim se žalio Saveznom sudu pravde (Bundesgerichtshof - BGH) koji je Sudu pravde uputio sljedeća prethodna pitanja:
1) Isključuje li GDPR nacionalne odredbe koje konkurentima daju ovlast da poduzmu mjere protiv prekršitelja zbog kršenja GDPR-a putem tužbe pred građanskim sudovima na temelju zabrane nepoštenih poslovnih praksi?
2) Jesu li podaci o kupcima online ljekarnika u vezi s online narudžbama lijekova koji se izdaju samo u ljekarnama (ali ne i na recept) zdravstveni podaci u smislu članka 9(1) GDPR-a?
Mišljenje nezavisnog odvjetnika
1. Prvo pitanje
Kako bi odgovorio na pitanje mogu li u svom nacionalnom pravu predvidjeti alternativne pravne lijekove onima utvrđenima GDPR-om, nezavisni odvjetnik navodi da se prvo mora utvrditi identitet korisnika. Navodi da nijedna od materijalnih odredbi GDPR-a nije namijenjena osiguravanju slobodne i nenarušene konkurencije među poduzećima i da ih učini korisnicima GDPR-a. Budući da samo ispitanici ili njihovi predstavnici mogu pokrenuti tužbe prema GDPR-u, jasno mu je da su ispitanici jedini korisnici zaštite koju jamči GDPR.
GDPR smatra da drugi mogu pokrenuti tužbe na temelju nacionalnog prava samo "usputno". Ovdje je tužba podnesena zbog nelojalne konkurencije čija je posljedica kršenje GDPR-a. Pozivajući se na C 252/21, on pojašnjava da Sud EU prihvaća da kršenje odredbi GDPR-a može predstavljati kršenje prava tržišnog natjecanja.
Navodi da bi nacionalne radnje trebale biti prihvaćene sve dok ne potkopavaju sustav pravnih sredstava predviđen GDPR-om. Budući da prava i pravna sredstva dostupna ispitaniku prema GDPR-u nisu ugrožena radnjom koju treća strana poduzima protiv konkurenta, nezavisni odvjetnik zaključuje da je takav zahtjev dopušten.
2. Podaci o zdravlju
Za nezavisnog odvjetnika, odlučujući faktor za utvrđivanje jesu li određeni osobni podaci podaci o zdravlju jest mogućnost izvođenja zaključaka o zdravstvenom stanju ispitanika. Budući da te informacije čine najprivatniju sferu osoba i mogu otkriti njihove ranjivosti, nezavisni odvjetnik poziva na široko tumačenje koncepta "određenih kategorija osobnih podataka" čiji dio čine podaci o zdravlju. Međutim, ističe da pretpostavka ne može biti samo pretpostavka, već mora predstavljati određeni stupanj sigurnosti.
Nadalje, navodi da identitet voditelja obrade može biti odlučujući faktor u određivanju statusa podataka o zdravlju. Institucija u zdravstvenom sektoru s nadležnošću za tumačenje podataka može odrediti klasifikaciju osobnih podataka, stoga je na sudu da analizira bit podataka kao i okolnosti obrade. Navodi primjer narudžbe paracetamola koja ne dopušta izvođenje ikakvih zaključaka o točnom stanju osobe. Nadalje, ispitanik bi mogao naručivati lijek za nekog drugog. Stoga zaključuje da se podaci kupaca ljekarnika ne klasificiraju kao podaci o zdravlju prema članku 4. stavku 15. i članku 9. GDPR-a ako se o ispitaniku mogu izvući samo hipotetski ili neprecizni zaključci, a na sudu koji je uputio zahtjev je da to provjeri.
Presuda
1. Prvo pitanje (Poglavlje VIII.)
Sud Europske unije istaknuo je da tužbu nije podnijela osoba na koju se odnosi prema članku 79. GDPR-a niti organizacija koja je zastupa prema članku 80. GDPR-a, već konkurent voditelju obrade. Sud se pozvao na mišljenje nezavisnog odvjetnika (točka 80) u kojem se navodi da su samo ispitanici, a ne i ti konkurenti, adresati zaštite osobnih podataka zajamčene GDPR-om.
Međutim, sud je istaknuo da članak 80(2) GDPR-a ne isključuje nacionalnu odredbu prema kojoj udruga za zaštitu interesa potrošača može pokrenuti tužbu protiv navodnog prekršitelja. Sud EU-a podsjetio je da kršenje GDPR-a ne može utjecati samo na ispitanike, već i na treće strane. To se, između ostalog, odražava u članku 82(1) GDPR-a koji predviđa odštetu za „svaku osobu koja je pretrpjela materijalnu ili nematerijalnu štetu kao posljedicu kršenja“ GDPR-a.
Sud je izjavio da s gledišta zabrane korištenja nepoštenih poslovnih praksi, ti zahtjevi ne utječu na ciljeve, već mogu čak i ojačati praktičnu učinkovitost GDPR-a i time poboljšati zaštitu ispitanika. Nadalje, odredbe Poglavlja VIII GDPR-a moraju se tumačiti kao da ne isključuju nacionalno zakonodavstvo koje daje konkurentima pravo na pokretanje građanske parnice zbog kršenja GDPR-a kako bi se spriječile nepoštene poslovne prakse.
2. Drugo pitanje (članak 9. GDPR-a)
Sud je izjavio da ako se podaci koji se odnose na kupnju mogu koristiti za izvođenje zaključaka o zdravstvenom stanju identificirane ili prepoznatljive osobe, oni se smatraju zdravstvenim podacima u smislu članka 4. stavka 15. GDPR-a.
Podsjetio je da se definicija medicinskih podataka treba tumačiti u širokom smislu te stoga uključuje obradu podataka koji mogu neizravno otkriti osjetljive informacije. Pojasnio je da se klasifikacija podataka o zdravlju mora primjenjivati bez obzira odnose li se podaci doista na drugu osobu, točnost podataka te identitet i namjeru voditelja obrade.
U vezi s podacima unesenim na online platformu u vezi s kupnjom medicinskih proizvoda, mogu se izvući zaključci o zdravstvenom stanju ispitanika u smislu članka 4. stavka 1. GDPR-a, bez obzira na njihovu navedenu svrhu i točnost informacija.
Razlikovanje prema vrsti dotičnog lijeka i je li za njegovu prodaju potreban liječnički recept ne bi bilo u skladu s ciljem visoke razine zaštite potrebne za osjetljive podatke. Sud objašnjava da se rizik od izvođenja zaključaka o zdravstvenom stanju ispitanika ne može isključiti. Stoga se podaci koje su ispitanici unijeli u ovom slučaju klasificiraju kao osjetljivi podaci prema članku 9(1) GDPR-a, bez obzira utječu li uneseni podaci na korisnika ili nekog drugog.
Isto obrazloženje koje je Sud slijedio moglo bi biti relevantno za druge proizvode koji su šire dostupni i koji bi potencijalno mogli neizravno otkriti informacije o npr. zdravlju ili religiji (npr. proizvodi bez glutena ili halal u online narudžbama supermarketa). Nezavisni odvjetnik je to primijetio u svom mišljenju – napominjući da bi to moglo značiti da kupci knjige o političkoj osobi mogu uključivati obradu podataka o političkim mišljenjima. Zaključio je da bi široko proširenje koncepta posebne kategorije podataka koje bi iz toga proizašlo bilo neupravljivo i nepoželjno – i to je bio ključni razlog za njegov prijedlog pristupa koji je više specifični za kontekst i svrhu.
