Pagaidu versija
ĢENERĀLADVOKĀTA MACEJA ŠPUNARA [MACIEJ SZPUNAR]
SECINĀJUMI,
sniegti 2024. gada 25. aprīlī (1)
Lieta C‑21/23
ND
pret
DR
(Bundesgerichtshof (Federālā augstākā tiesa, Vācija) lūgums sniegt prejudiciālu nolēmumu)
Lūgums sniegt prejudiciālu nolēmumu – Personas datu aizsardzība – Regula (ES) 2016/679 – Tiesību aizsardzības līdzekļi – Tiesību aizsardzības līdzekļu norobežošana – Īpašu kategoriju personas datu apstrāde – Jēdzieni “uz veselību attiecināmi dati” un “veselības dati”
I. Ievads
1. Izskatāmā lieta attiecas uz vairāku Regulas (ES) 2016/679 (2) (turpmāk tekstā – “VDAR”) normu interpretāciju saistībā ar, pirmkārt, tiesību aizsardzības līdzekļu sistēmu, kas ieviesta ar šo regulu, un, otrkārt, īpaši sensitīvu datu kategoriju, kādi ir “veselības dati”.
2. Lūgums sniegt prejudiciālu nolēmumu ir saistīts ar prasību noteikt aizliegumu, kura ir balstīta uz valsts tiesībās paredzēto negodīgas konkurences darbību aizliegumu un kuru ir cēlis uzņēmums, lai izbeigtu kāda no tā konkurentiem veikto bezrecepšu zāļu tirdzniecību internetā. Šis uzņēmums uzskata, ka apgalvotā negodīgās konkurences darbība esot izpaudusies kā no VDAR izrietošo prasību neievērošana attiecībā uz “veselības datu” apstrādi.
3. Savu analīzi sākšu ar otrā prejudiciālā jautājuma izvērtēšanu, kas ļaus Tiesai precizēt tā jēdziena “veselības dati” aprises, no kura ir atkarīga pastiprināta aizsardzības režīma piemērošana vai nepiemērošana.
4. Proti, gadījumā, ja izskatāmajā lietā aplūkojamos datus nevarētu kvalificēt kā “veselības datus” VDAR 9. panta 1. punkta izpratnē, no tā izrietētu, ka apgalvotā negodīgās konkurences darbība nebūtu notikusi. Tad nebūtu lietderīgi atbildēt uz pirmo prejudiciālo jautājumu, kas attiecas uz to, vai ar VDAR ieviestā tiesību aizsardzības līdzekļu sistēma pieļauj to, ka saskaņā ar valsts tiesībām pastāv prasība, kura pamatota ar tādu noteikumu pārkāpumu, kas attiecas uz negodīgas konkurences darbību aizliegumu, un kurā prasītājs atsaucas uz VDAR materiālo tiesību normu pārkāpumu.
II. Atbilstošās tiesību normas
A. Savienības tiesības
1. Direktīva 95/46/EK
5. Direktīvas 95/46/EK (3) 8. panta 1. punktā ir paredzēts:
“Dalībvalstis aizliedz tādu personas datu apstrādi, kas atklāj rasi vai etnisko izcelsmi, politiskos uzskatus, reliģisko vai filozofisko pārliecību, dalību arodbiedrībās, kā arī uz veselību vai seksuālo dzīvi attiecināmu datu apstrādi.”
2. VDAR
6. VDAR 9., 10., 13., 35., 51. un 142. apsvērums ir formulēts šādi:
“(9) [Direktīvas 95/46] mērķi un principi joprojām ir spēkā, taču tā nav spējusi novērst datu aizsardzības īstenošanas sadrumstalotību Savienībā, juridisko nenoteiktību vai tāda uzskata plašu izplatību sabiedrībā, ka pastāv ievērojams risks fizisku personu aizsardzībai, jo īpaši attiecībā uz tiešsaistes aktivitātēm. Fizisku personu tiesību un brīvību aizsardzības līmeņa atšķirības, jo īpaši tiesību uz personas datu aizsardzību atšķirības dalībvalstīs attiecībā uz personas datu apstrādi, var kavēt personas datu brīvu apriti Savienībā. Minētās atšķirības tādēļ var kavēt iesaistīšanos virknē ekonomisku darbību Savienības līmenī, var radīt konkurences izkropļojumus un kavēt iestādes to pienākumu izpildē, kas paredzēti Savienības tiesību aktos. Šāda atšķirība aizsardzības līmeņos ir radusies tāpēc, ka [Direktīva 95/46] tiek īstenota un piemērota dažādi.
(10) Lai nodrošinātu konsekventu un augsta līmeņa aizsardzību fiziskām personām un novērstu šķēršļus personu datu apritei Savienībā, fiziskas personas tiesību un brīvību aizsardzības līmenim attiecībā uz šādu datu apstrādi visās dalībvalstīs vajadzētu būt vienādam. Visā Savienībā būtu jānodrošina noteikumu par fiziskas personas pamattiesību un pamatbrīvību aizsardzību attiecībā uz personas datu apstrādi vienveidīga piemērošana. [..]
[..]
(13) Lai nodrošinātu fizisku personu konsekventu aizsardzību visā Savienībā un novērstu atšķirības, kas traucē personas datu brīvu apriti iekšējā tirgū, ir nepieciešama regula, lai nodrošinātu juridisko noteiktību un pārredzamību ekonomikas dalībniekiem, tostarp mikrouzņēmumiem, maziem un vidējiem uzņēmumiem, un nodrošinātu fiziskām personām visās dalībvalstīs vienādas juridiski īstenojamas tiesības un pienākumus un pārziņu un apstrādātāju atbildību, nodrošinātu konsekventu personas datu apstrādes uzraudzību un atbilstošas sankcijas visās dalībvalstīs, kā arī efektīvu sadarbību starp uzraudzības iestādēm dažādās dalībvalstīs. [..]
[..]
(35) Personas datos attiecībā uz veselību būtu jāiekļauj visi dati par datu subjekta veselības stāvokli, kuri atspoguļo informāciju par datu subjekta kādreizējo, tagadējo vai prognozējamo fiziskās vai garīgās veselības stāvokli. Tas ietver tādu informāciju par fizisko personu, kas savākta, minēto fizisko personu reģistrējot veselības aprūpes pakalpojumu sniegšanai vai to sniegšanas laikā, kā minēts [Direktīvā 2011/24/ES (4)]; skaitlis, simbols vai zīme, kas piešķirta fiziskai personai, lai to unikāli identificētu ar veselību saistītos nolūkos; informācija, kas iegūta, pārbaudot vai izmeklējot kādu ķermeņa daļu vai no tā iegūtu materiālu, tostarp no ģenētiskiem datiem un bioloģiskiem paraugiem; un jebkāda informācija, piemēram, par slimību, invaliditāti, slimības risku, slimības vēsturi, klīnisko aprūpi vai par datu subjekta fizioloģisko vai biomedicīnisko stāvokli neatkarīgi no informācijas avota, piemēram, ārsta vai cita veselības aprūpes speciālista, slimnīcas, medicīniskās ierīces vai in vitro diagnostikas testa.
[..]
(51) Personas datiem, kas pēc savas būtības ir īpaši sensitīvi saistībā ar pamattiesībām un brīvībām, pienākas īpaša aizsardzība, jo to apstrādes konteksts varētu radīt nopietnu risku pamattiesībām un brīvībām. [..] Šādi personas dati nebūtu jāapstrādā, ja vien apstrāde nav atļauta konkrētos, šajā regulā precizētos gadījumos, ņemot vērā, ka dalībvalstu tiesību aktos var būt paredzēti konkrēti noteikumi par datu aizsardzību, lai pieņemtu šīs regulas noteikumu piemērošanu juridisku pienākumu izpildei vai sabiedrības interesēs veiktu uzdevumu izpildei, vai pārzinim likumīgi piešķirto oficiālo pilnvaru īstenošanai. Papildus konkrētajām prasībām attiecībā uz šādu apstrādi būtu jāpiemēro vispārējie principi un citi šīs regulas noteikumi, jo īpaši attiecībā uz likumīgas apstrādes nosacījumiem. Būtu skaidri jāparedz atkāpes no vispārējā aizlieguma apstrādāt šādu īpašu kategoriju personas datus, cita starpā tad, ja datu subjekts dot nepārprotamu piekrišanu, vai attiecībā uz īpašām vajadzībām, jo īpaši gadījumos, kad apstrādi veic konkrētas apvienības vai nodibinājumi savu leģitīmo darbību ietvaros, kuru nolūks ir atļaut īstenot pamatbrīvības.
[..]
(142) Ja datu subjekts uzskata, ka viņa tiesības saskaņā ar šo regulu ir pārkāptas, viņam vajadzētu būt tiesībām pilnvarot bezpeļņas struktūru, organizāciju vai apvienību, kura ir izveidota saskaņā ar dalībvalsts tiesību aktiem, kuras statūtos noteiktie mērķi atbilst sabiedrības interesēm un kura darbojas personas datu aizsardzības jomā, iesniegt sūdzību viņa vārdā uzraudzības iestādē, īstenot tiesības pielietot tiesību aizsardzību tiesā datu subjektu vārdā vai – ja to paredz dalībvalsts tiesību akti – īstenot tiesības saņemt kompensāciju datu subjektu vārdā. Dalībvalsts var paredzēt, ka šādai struktūrai, organizācijai vai apvienībai ir tiesības neatkarīgi no datu subjekta pilnvarojuma minētajā dalībvalstī iesniegt sūdzību un tiesības uz efektīvu tiesību aizsardzību tiesā, ja tai ir iemesls uzskatīt, ka datu subjekta tiesības ir pārkāptas tādas personas datu apstrādes rezultātā, kas pārkāpj šo regulu. Minētajai struktūrai, organizācijai vai apvienībai var nebūt tiesību prasīt kompensāciju datu subjekta vārdā bez datu subjekta pilnvarojuma.”
7. Šīs regulas 1. pantā “Priekšmets un mērķi” ir noteikts:
“1. Šī regula paredz noteikumus fizisku personu aizsardzībai attiecībā uz personas datu apstrādi un noteikumus personas datu brīvai apritei.
2. Šī regula aizsargā fizisku personu pamattiesības un pamatbrīvības un jo īpaši to tiesības uz personas datu aizsardzību.
3. Personas datu brīvu apriti Savienībā neierobežo un neaizliedz tādu iemeslu dēļ, kas saistīti ar fizisku personu aizsardzību attiecībā uz personas datu apstrādi.”
8. Minētās Šīs pašas regulas 4. pantā ir paredzēts:
“Šajā regulā:
1) “personas dati” ir jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu (“datu subjekts”); identificējama fiziska persona ir tāda, kuru var tieši vai netieši identificēt, jo īpaši atsaucoties uz identifikatoru, piemēram, minētās personas vārdu, uzvārdu, identifikācijas numuru, atrašanās vietas datiem, tiešsaistes identifikatoru vai vienu vai vairākiem minētajai fiziskajai personai raksturīgiem fiziskās, fizioloģiskās, ģenētiskās, garīgās, ekonomiskās, kultūras vai sociālās identitātes faktoriem;
[..]
15) “veselības dati” ir personas dati, kas saistīti ar fiziskas personas fizisko vai garīgo veselību, tostarp veselības aprūpes pakalpojumu sniegšanu, un kas atspoguļo informāciju par tās veselības stāvokli;
[..].”
9. Saskaņā ar šīs pašas regulas 9. pantu “Īpašu kategoriju personas datu apstrāde”:
“1. Ir aizliegta tādu personas datu apstrāde, kas atklāj rases vai etnisko piederību, politiskos uzskatus, reliģisko vai filozofisko pārliecību vai dalību arodbiedrībās, un ģenētisko datu, biometrisko datu, lai veiktu fiziskas personas unikālu identifikāciju, veselības datu vai datu par fiziskas personas dzimumdzīvi vai seksuālo orientāciju apstrāde.
2. Šā panta 1. punktu nepiemēro, ja ir piemērojams kāds no šādiem pamatojumiem:
a) datu subjekts ir devis nepārprotamu piekrišanu šo personas datu apstrādei vienam vai vairākiem konkrētiem nolūkiem, izņemot, ja Savienības vai dalībvalsts tiesību akti paredz, ka 1. punktā minēto aizliegumu datu subjekts nevar atcelt;
[..]
h) apstrāde ir vajadzīga profilaktiskās vai arodmedicīnas nolūkos, darbinieka darbspējas novērtēšanai, medicīniskas diagnozes, veselības vai sociālās aprūpes vai ārstēšanas vai veselības vai sociālās aprūpes sistēmu un pakalpojumu pārvaldības nodrošināšanas nolūkos, pamatojoties uz Savienības vai dalībvalsts tiesību aktiem vai saskaņā ar līgumu ar veselības darba profesionāli un ievērojot 3. punktā minētos nosacījumus un garantijas;
[..].”
10. Regulas 77.–84. pants ir ietverts VDAR VIII nodaļā “Tiesību aizsardzības līdzekļi, atbildība un sankcijas”.
11. Šīs regulas 77. panta “Tiesības iesniegt sūdzību uzraudzības iestādē” 1. punktā ir paredzēts:
“Neskarot jebkādus citus administratīvos tiesību aizsardzības līdzekļus vai tiesību aizsardzību tiesā, katram datu subjektam ir tiesības iesniegt sūdzību uzraudzības iestādē, jo īpaši tajā dalībvalstī, kurā ir viņa pastāvīgā dzīvesvieta, darbavieta vai iespējamā pārkāpuma izdarīšanas vieta, ja datu subjekts uzskata, ka viņa personas datu apstrāde pārkāpj šo regulu.”
12. Minētās regulas 78. panta “Tiesības uz efektīvu tiesību aizsardzību tiesā pret uzraudzības iestādi” 1. punktā ir noteikts:
“Neskarot jebkādus citus administratīvos vai ārpustiesas tiesību aizsardzības līdzekļus, katrai fiziskai vai juridiskai personai ir tiesības uz efektīvu tiesību aizsardzību tiesā pret uzraudzības iestādes pieņemtu juridiski saistošu lēmumu, kas skar minētās personas.”
13. Šīs pašas regulas 79. panta “Tiesības uz efektīvu tiesību aizsardzību tiesā pret pārzini vai apstrādātāju” 1. punktā ir paredzēts:
“Neskarot pieejamos administratīvos vai ārpustiesas tiesību aizsardzības līdzekļus, tai skaitā tiesības iesniegt sūdzību uzraudzības iestādē, ievērojot 77. pantu, ikvienam datu subjektam ir tiesības uz efektīvu tiesību aizsardzību tiesā, ja viņš uzskata, ka viņa tiesības saskaņā ar šo regulu ir pārkāptas, tādas viņa personas datu apstrādes rezultātā, kura neatbilst šai regulai.”
14. VDAR 80. pantā “Datu subjektu pārstāvība” ir noteikts:
“1. Datu subjektam ir tiesības pilnvarot bezpeļņas struktūru, organizāciju vai apvienību, kura ir pienācīgi izveidota saskaņā ar dalībvalsts tiesību aktiem, kuras statūtos noteiktie mērķi atbilst sabiedrības interesēm un kura darbojas datu subjekta tiesību un brīvību aizsardzības jomā, lai attiecībā uz viņu personas datu aizsardzību viņa vārdā iesniegtu sūdzību, viņa vārdā īstenotu 77., 78. un 79. pantā minētās tiesības un viņa vārdā īstenotu 82. pantā minētās tiesības saņemt kompensāciju, ja to paredz dalībvalsts tiesību akti.
2. Dalībvalstis var paredzēt, ka jebkurai šā panta 1. punktā minētajai struktūrai, organizācijai vai apvienībai neatkarīgi no datu subjekta dotā pilnvarojuma ir tiesības minētajā dalībvalstī iesniegt sūdzību uzraudzības iestādei, kura ir kompetenta, ievērojot 77. pantu, un īstenot tiesības, kas minētas 78. un 79. pantā, ja tā uzskata, ka apstrādes rezultātā pārkāptas datu subjekta tiesības saskaņā ar šo regulu.”
15. Šīs regulas 82. panta “Tiesības uz kompensāciju un atbildība” 1. punktā ir noteikts:
“Jebkurai personai, kurai šīs regulas pārkāpuma rezultātā ir nodarīts materiāls vai nemateriāls kaitējums, ir tiesības no pārziņa vai apstrādātāja saņemt kompensāciju par tai nodarīto kaitējumu.”
16. Tās pašas regulas 84. panta “Sankcijas” 1. punktā ir paredzēts:
“Dalībvalstis paredz noteikumus par citām sankcijām, ko piemēro par šīs regulas pārkāpumiem, jo īpaši pārkāpumiem, par kuriem nav paredzēti administratīvi naudas sodi saskaņā ar 83. pantu, un veic visus nepieciešamos pasākumus, lai nodrošinātu, ka šos noteikumus īsteno. Šādas sankcijas ir iedarbīgas, samērīgas un atturošas.”
B. Vācijas tiesības
1. Likums par negodīgas konkurences novēršanu
17. 2004. gada 3. jūlija Gesetz gegen den unlauteren Wettbewerb (Likums par negodīgas konkurences novēršanu) (5), redakcijā, kas piemērojama pamatlietā (turpmāk tekstā – “Likums par negodīgas konkurences novēršanu”), 3. panta “Negodīgas komerciālās rīcības aizliegums” 1. punktā ir paredzēts, ka “negodīga komercprakse ir prettiesiska”.
18. Šī likuma 3.a pants “Tiesību pārkāpums” ir formulēts šādi:
“Negodīgi rīkojas persona, kas pārkāpj likuma normu, ar kuru īpaši ir paredzēts regulēt uzvedību tirgū tirgus dalībnieku interesēs, ja pārkāpums var jūtami kaitēt patērētāju un citu tirgus dalībnieku vai konkurentu interesēm.”
19. Minētā likuma 8. pantā “Novēršana un atturēšanās no rīcības” ir noteikts:
“(1) Pret ikvienu personu, kas piekopj nelikumīgu komercpraksi saskaņā ar 3. vai 7. pantu, var izdot rīkojumu par prettiesiskas rīcības tūlītēju izbeigšanu un recidīva draudu gadījumā – rīkojumu par turpmāku tās aizliegumu. [..]
[..]
(3) Šā panta 1. punktā minētos rīkojumus var lūgt izdot:
1. visi konkurenti, kas pārdod vai pieprasa preces vai pakalpojumus ievērojamā un sistemātiskā veidā,
[..].”
2. Zāļu likums
20. Zāļu apriti reglamentē 1976. gada 24. augusta Arzneimittelgesetz (Zāļu likums), tā 2005. gada 12. decembrī publicētajā redakcijā (6), kurā jaunākie grozījumi izdarīti ar 2022. gada 20. decembra likuma 8.c pantu (7). Šajā likumā ir nošķirtas zāles, kuras tiek pārdotas aptiekā un kuras minētas no tā 43. panta (“Izplatīšanas pienākums aptiekās”) līdz 47. pantam, un zāles, kuru iegādei vajadzīga recepte un kuras minētas šī likuma 48. pantā (“Prasība par ārsta recepti”).
III. Pamatlietas fakti, tiesvedība un prejudiciālie jautājumi
21. Gan ND, gan DR vada aptieku. Turklāt prasītājam pamatlietā ND ir licence tirdzniecībai pa pastu un savas preces, tostarp zāles, kuru tirdzniecība ir atļauta tikai aptiekās, viņš tirgo arī, izmantojot elektroniskās tirdzniecības platformu Amazon Marketplace (turpmāk tekstā – “Amazon”), kurā pārdevēji preces var piedāvāt pārdošanai tieši patērētājiem.
22. Atbildētājs pamatlietā DR cēla prasību par darbības izbeigšanu, lai aizliegtu ND tiešsaistes platformā Amazon pārdot zāles, kuru tirdzniecība ir atļauta tikai aptiekās. DR uzskata, ka šāda tirdzniecība ir negodīga komercprakse, jo tās rezultātā ND nav ievērojis likuma normu Likuma par negodīgas konkurences novēršanu 3.a panta izpratnē, proti, konkrēti VDAR 9. pantu saistībā ar iepriekšējas un nepārprotamas piekrišanas saņemšanu no klienta viņa personas datu attiecībā uz veselību apstrādei.
23. Landgericht Dessau-Roßlau (Desavas-Roslavas apgabaltiesa, Vācija) šo prasību apmierināja. Pēc tam Oberlandesgericht Naumburg (Federālās zemes Augstākā tiesa Naumburgā, Vācija) noraidīja ND iesniegto apelācijas sūdzību, nospriežot, ka tas, ka zāles, kuru tirdzniecība ir atļauta tikai aptiekās, ND tirgo Amazon, ir pretrunā Likumam par negodīgas konkurences novēršanu. Proti, šī tiesa uzskata, ka šī tirdzniecība ir uzskatāma par veselības datu apstrādi VDAR 9. panta 1. punkta izpratnē, kurai klienti neesot skaidri piekrituši. Tomēr VDAR tiesību normas esot jāuzskata par noteikumiem par uzvedību tirgū valsts konkurences tiesību izpratnē, un līdz ar to DR kā konkurentam esot tiesības celt prasību par darbības izbeigšanu, kas balstīta uz valsts konkurences tiesībām, atsaucoties uz to, ka ND ir pārkāpis minētās regulas normas.
24. ND iesniedza revīzijas sūdzību iesniedzējtiesā, proti, Bundesgerichtshof (Federālā augstākā tiesa, Vācija), kurā tas patur spēkā savus prasījumus noraidīt prasību par darbības izbeigšanu.
25. Iesniedzējtiesa uzskata, ka revīzijas sūdzības iznākums ir atkarīgs gan no VDAR VIII nodaļas, gan šīs regulas 9. panta, kā arī Direktīvas 95/46 8. panta 1. punkta interpretācijas.
26. Proti, pirmkārt, šī tiesa uzsver, ka ir jānosaka, vai prasītājam pamatlietā kā konkurentam ir statuss, kas nepieciešams, lai, izmantojot prasību civillietu tiesās, saistībā ar VDAR pārkāpumiem vērstos pret šo pārkāpumu izdarītāju, pamatojoties uz negodīgas komercprakses aizliegumu. Iesniedzējtiesa precizē, ka runa ir par strīdīgu jautājumu, uz kuru var atbildēt, ka VDAR ietvertie noteikumi, lai panāktu tās tiesību normu piemērošanu, ir izsmeļoši, un tādējādi ir izslēgta konkurentu locus standi atbilstoši konkurences tiesībām. Tomēr var arī apgalvot, ka VDAR normas, kas attiecas uz tiesību piemērošanas uzraudzību, nav izsmeļošas un ka konkurentiem tātad ir statuss, kas nepieciešams, lai, iesniedzot prasību, atsaucoties uz šīs regulas pārkāpumu, īstenotu tiesības uz darbības izbeigšanu.
27. Otrkārt, iesniedzējtiesa apgalvo, ka ir jānosaka, vai dati, kas klientiem ir jāievada, tiešsaistē pasūtot zāles, kuru tirdzniecība ir atļauta tikai farmaceitiem, bet kurām nav vajadzīga ārsta recepte, ir veselības dati VDAR 9. panta 1. punkta un iepriekš arī Direktīvas 95/46 8. panta 1. punkta izpratnē, ciktāl tiesības pieprasīt darbības izbeigšanu pastāv tikai tad, ja ND rīcība ir bijusi prettiesiska gan brīdī, kad tā tika veikta, gan tiesas sēdes laikā, kad tiek izskatīta revīzijas sūdzība.
28. Šādos apstākļos Bundesgerichtshof (Federālā augstākā tiesa) nolēma apturēt tiesvedību un uzdot Tiesai šādus prejudiciālus jautājumus:
“1) Vai [VDAR] VIII nodaļas tiesību normas nepieļauj valsts tiesisko regulējumu, kurā – līdztekus iejaukšanās pilnvarām, kas piemīt uzraudzības iestādēm, kuru kompetencē ir regulas piemērošanas uzraudzība un izpilde, un datu subjektu tiesību aizsardzības līdzekļiem – saistībā ar Vispārīgās datu aizsardzības regulas prasību pārkāpumiem konkurentiem ir piešķirtas tiesības vērsties pret pārkāpēju ar prasību civillietu tiesā jautājumos, kas skar negodīgas komercprakses aizliegumu?
2) Vai dati, ko tāda farmaceita klienti, kurš darbojas kā pārdevējs interneta tirdzniecības platformā, ievada šajā tirdzniecības platformā, pasūtot aptiekā pārdodamas, bet ne recepšu zāles (klienta vārds, uzvārds, piegādes adrese un informācija, kas nepieciešama, lai individualizētu pasūtītās aptiekā pārdodamās zāles), ir veselības dati [VDAR] 9. panta 1. punkta izpratnē, kā arī uz veselību attiecināmi dati Direktīvas 95/46/EK 8. panta 1. punkta izpratnē?”
29. Izskatāmais lūgums sniegt prejudiciālu nolēmumu Tiesā tika iesniegts 2023. gada 19. janvārī. Rakstveida apsvērumus iesniedza pamatlietas dalībnieki, Vācijas valdība un Eiropas Komisija. Šie paši lietas dalībnieki bija pārstāvēti tiesas sēdē, kas notika 2024. gada 9. janvārī.
IV. Juridiskā analīze
30. Izskatāmajā lietā DR apgalvo, ka ND esot pārkāpis VDAR 9. pantu, apstrādājot to klientu datus, kuri tiešsaistē ir pasūtījuši bezrecepšu zāles, neievērojot prasības saņemt nepārprotamu piekrišanu no klientiem viņu datu apstrādei.
31. Ar pirmo prejudiciālo jautājumu iesniedzējtiesa būtībā vaicā, vai VDAR VIII nodaļas tiesību normas ir jāinterpretē tādējādi, ka tās nepieļauj tādus valsts noteikumus, kuros uzņēmumiem ir atzītas tiesības, pamatojoties uz negodīgas konkurences darbību aizliegumu, atsaukties uz VDAR materiālo tiesību normu pārkāpumiem, kurus, iespējams, ir izdarījuši to konkurenti. Otrajā prejudiciālajā jautājumā šī tiesa vaicā Tiesai, vai VDAR 9. pants ir jāinterpretē tādējādi, ka attiecīgie dati ir veselības dati un tādējādi ietilpst datu īpašajās kategorijās, kuras minētas šajā tiesību normā (8).
32. Uzreiz norādīšu, kā jau esmu to uzsvēris, ka gadījumā, ja uz otro jautājumu tiktu sniegta noraidoša atbilde, uz pirmo jautājumu nebūtu jāatbild, jo Tiesas atbilde būtu pietiekama, lai iesniedzējtiesa iztiesātu tajā izskatāmo lietu. Šādos apstākļos man šķiet lietderīgi sākt prejudiciālo jautājumu analīzi ar šo otro jautājumu.
A. Par otro prejudiciālo jautājumu
33. Ar otro prejudiciālo jautājumu iesniedzējtiesa būtībā vaicā, vai farmaceita klientu dati, kas tiek nosūtīti, tiešsaistes tirdzniecības platformā pasūtot zāles, kuru tirdzniecība ir atļauta tikai aptiekās, bet kurām nav vajadzīga recepte, ir “veselības dati” VDAR 9. panta 1. punkta izpratnē.
34. Vispirms jāprecizē, ka VDAR 9. panta 1. punktā ietvertais jēdziens “veselības dati” ir definēts šīs regulas 4. panta 15. punktā. Tādējādi, lai atbildētu uz otro prejudiciālo jautājumu, ir kopīgi jāinterpretē šīs abas tiesību normas.
1. Par jēdziena “veselības dati” interpretāciju, ņemot vērā esošo judikatūru
35. Saskaņā ar VDAR 4. panta 15. punktu “veselības dati” ir personas dati, kas saistīti ar fiziskas personas fizisko vai garīgo veselību, tostarp veselības aprūpes pakalpojumu sniegšanu, un kas atspoguļo informāciju par tās veselības stāvokli.
36. Šo definīciju turklāt apstiprina VDAR 35. apsvērums. Tiesa savā judikatūrā ir uzsvērusi, ka “[šajā apsvērumā teikts, ka] personas datos attiecībā uz veselību būtu jāiekļauj visi dati par datu subjekta veselības stāvokli, kuri “atspoguļo” informāciju par datu subjekta kādreizējo, tagadējo vai prognozējamo fiziskās vai garīgās veselības stāvokli” (9).
37. Tādējādi no VDAR 4. panta 15. punkta formulējuma, kas precizēts šis regulas 35. apsvērumā, izriet, ka izšķirošais elements, lai konstatētu, vai konkrēti personas dati ir veselības dati, ir fakts, ka no attiecīgajiem datiem ir iespējams izdarīt secinājumus par datu subjekta veselības stāvokli. Citiem vārdiem sakot, “veselības dati” neaprobežojas tikai ar medicīniskiem datiem vai datiem, kas tieši saistīti ar veselības problēmām, bet ietver arī jebkādus datus, kuri ļauj izdarīt secinājumus par datu subjekta veselības stāvokli, turklāt neatkarīgi no tā, vai runa ir par patoloģisku vai fizioloģisku stāvokli.
38. Tas ir apstiprināts, ņemot vērā VDAR 9. panta mērķi. Tādējādi Tiesa savā judikatūrā ir uzsvērusi, ka šīs tiesību normas mērķis ir nodrošināt stingrāku aizsardzību pret apstrādi, kas apstrādājamo datu īpašās sensitivitātes dēļ – kā tas izriet no VDAR 51. apsvēruma – var būt Eiropas Savienības Pamattiesību hartas 7. un 8. pantā garantēto pamattiesību uz privātās dzīves neaizskaramību un personas datu aizsardzību īpaši smags aizskārums (10).
39. Veselības datu īpašā sensitivitāte ir izskaidrojama ar apstākli, ka tie attiecas uz informāciju, kas ietilpst personu visintīmākajā sfērā un var atklāt viņu ievainojamību. Šī īpašā sensitivitāte un tādējādi to īpašā nepieciešamība pēc aizsardzības [turklāt] ir atzīta ne tikai Savienības tiesībās, bet arī Eiropas Cilvēktiesību tiesas judikatūrā, kurā ir uzsvērts, ka “informācijas par veselību konfidencialitātes ievērošana ir visu [1950. gada 4. novembrī Romā parakstītās Eiropas Cilvēktiesību un pamatbrīvību aizsardzības konvencijas] līgumslēdzēju pušu tiesiskās sistēmas būtisks princips” (11).
40. Tātad, ņemot vērā šo mērķi, saskaņā ar Tiesas judikatūru jēdziens “īpašu kategoriju personas dati”, kurā ietilpst veselības dati, ir jāinterpretē plaši tādējādi, ka tas attiecas ne tikai uz datiem, kuri pēc savas būtības ir sensitīvi dati, bet arī uz datiem, kas ar intelektuālu dedukcijas vai sasaistīšanas darbību palīdzību šāda veida informāciju atklāj netieši (12).
41. Šajā ziņā norādīšu, ka arī Eiropas Datu aizsardzības kolēģija, kas izveidota ar VDAR 68. un nākamajiem pantiem, arī izmanto šādu jēdziena “veselības dati” koncepciju, uzsverot, ka informācijas kvalificēšanu par “veselības datiem” nosaka ne tikai informācijas būtība, bet arī tās vākšanas un apstrādes apstākļi, un šajā ziņā tā min dažādus piemērus. Pēc šīs komitejas domām, par “veselības datiem” tātad ir uzskatāma informācija, kura ir ietverta slimības vēsturē, informācija, kas atklāj veselības stāvokli tās salīdzināšanas ar citiem datiem dēļ, vai arī dati, kuri kļūst par veselības datiem tāpēc, ka tos izmanto konkrētā kontekstā, piemēram, informācija par ceļojumiem, ko apstrādājis medicīnas speciālists, lai noteiktu diagnozi (13). Savukārt par “veselības datiem” nav uzskatāmi lietojumprogrammas savāktie dati, kas ļauj izmērīt datu subjekta veikto soļu skaitu, ja šī lietojumprogramma nevar sasaistīt šos datus ar citiem šīs personas datiem un savāktie dati netiek apstrādāti medicīniskā kontekstā (14).
42. Tātad no VDAR 4. panta 15. punkta un 9. panta, kā tie ir interpretēti judikatūrā, skaidri izriet, ka par “veselības datiem” šo tiesību normu izpratnē ir uzskatāmi dati, kas ļauj izdarīt secinājumus par datu subjekta veselības stāvokli.
43. Tādējādi norādīšu, ka pirmšķietami nevar noliegt, ka bezrecepšu zāļu pasūtījums tiešsaistē nozīmē datu apstrādi, no kuras var izsecināt noteiktu informāciju par veselību, vai vismaz tā sniedz atsevišķas norādes, kas uz to attiecas, jo šis pasūtījums ietver saikni starp zāļu, kas visaugstākajā mērā ir ar veselību saistīts produkts, iegādi un to pircēja identitāti. Tomēr, manuprāt, to iemeslu dēļ, kurus tagad izklāstīšu, no informācijas, ko Tiesai ir nosūtījusi iesniedzējtiesa, izriet, ka šī saikne ir pārāk vāja un no tās izrietošās norādes – pārāk neprecīzas vai hipotētiskas, lai aplūkojamos datus varētu kvalificēt kā “veselības datus” VDAR 4. panta 15. punkta un 9. panta izpratnē.
2. Par prasību par zināmu pārliecības pakāpi attiecībā uz secinājumiem, kurus var izdarīt par datu subjekta veselības stāvokli
44. Man ir jāsniedz daži precizējumi it īpaši attiecībā uz šo jēdziena “veselības dati” un – vispārīgi – uz jēdziena “īpaša datu kategorija” interpretāciju.
45. Pirmkārt, man šķiet, ka, pamatojoties uz šiem interpretācijas elementiem, tiešsaistē pasūtītu produktu var uzskatīt par tādu, kas var atklāt vispārīgu informāciju par personas veselības stāvokli, bet arī, kā izriet no VDAR 9. panta, par personas rasi vai etnisko piederību, politiskajiem uzskatiem, reliģisko vai filozofisko pārliecību vai arī par personas seksuālo orientāciju. Manuprāt, no tiešsaistē pasūtītajām precēm var izsecināt noteiktu informāciju par šiem dažādajiem elementiem saistībā ar datu subjektu.
46. Vairāki piemēri man ļauj pamatot manu viedokli. Kāda politiķa grāmatas pasūtīšana potenciāli var norādīt uz atbalstu šī politiķa aizstāvētajām idejām, apģērba pasūtīšana var būt indivīda reliģiskās pārliecības pazīme vai arī erotisku materiālu pasūtīšana var būt norāde uz personas seksuālo orientāciju. Tāpēc man šķiet, ka, lielu daļu no tiešsaistes tirdzniecības datu apstrādes nepakļaujot VDAR 9. panta 2. punktā paredzētajam režīmam, vēl vairāk ir jāprecizē jēdziena “veselības dati” interpretācija tādējādi, ka secinājumiem, kurus var izdarīt no datiem saistībā ar pasūtījumu, nedrīkst būt tikai iespējamības raksturs. Citiem vārdiem sakot, manuprāt, attiecīgajos datos atklātā informācija par datu subjekta veselības stāvokli nedrīkst būt vienkārši pieņēmumi, bet tai ir jābūt zināmā mērā pārliecinošai.
47. Otrkārt, uzskatu, ka, izņemot gadījumus, kad dati pēc savas būtības ir “veselības dati”, tas, vai datus var šādi kvalificēt, ir atkarīgs no katra gadījuma apstākļiem. Precīzāk, secinājumi, kurus ir iespējams izdarīt no šiem datiem, manuprāt, ir atkarīgi no konteksta, kādā tie ir savākti, un no to apstrādes. Kā uzsver Eiropas Datu aizsardzības kolēģija, kas izveidota ar VDAR 68. un nākamajiem pantiem, datus, kuri pirmšķietami nav saistīti ar medicīnas jomu, piemēram, informāciju par ceļojumu, tomēr var uzskatīt par “veselības datiem”, ja tie tiek analizēti medicīniskā kontekstā un apvienoti ar citu informāciju, lai saistībā ar minēto piemēru konstatētu iespējamu inficēšanos ar kādu baktēriju vai vīrusu, kas sastopams konkrētajā reģionā.
48. It īpaši uzsvēršu, ka datu pārziņa identitāte šajā ziņā ir sevišķi nozīmīgs elements. Proti, ja datus apstrādā veselības jomas struktūra, man šķiet, ka tas varētu liecināt par to, ka šie dati patiešām ir “veselības dati”. Savukārt šos pašus datus varētu klasificēt citādi tādēļ, ka tos neapstrādā veselības jomas iestāde un tos nevar sasaistīt ar citiem datu subjekta datiem. Citiem vārdiem sakot, vieni un tie paši dati var atklāt vairāk informācijas par personas veselības stāvokli, ja tos apstrādā veselības jomas iestāde, kurai ir prasmes tos vai citus datus par personu interpretēt, nekā tad, ja tos apstrādā struktūra, kas nav saistīta ar šo nozari.
49. Šādos apstākļos uzskatu, ka iesniedzējtiesai ir jāpārbauda gan attiecīgo datu būtība, gan visi ar to apstrādi saistītie apstākļi, lai noteiktu, vai no tiem ar zināmu pārliecības pakāpi var izsecināt informāciju par datu subjekta veselības stāvokli.
50. Ņemot vērā iesniedzējtiesas nolēmumā ietverto informāciju, man šķiet, ka tomēr ir iespējams sniegt precizējumus, lai palīdzētu iesniedzējtiesai pieņemt nolēmumu pamatlietā (15).
3. Par elementiem, kam ir nozīme, iesniedzējtiesai pārbaudot iespēju izsecināt informāciju par datu subjekta veselības stāvokli
51. Pirmām kārtām, saistībā ar pasūtītajām precēm es vēlos uzsvērt, ka konkrētās zāles, proti, bezrecepšu zāles, principā nav paredzētas īpaša stāvokļa ārstēšanai, bet tās var lietot vispārīgāk, lai ārstētu ikdienišķas saslimšanas, ar kurām var saskarties ikviens un kurām nav konkrētas patoloģijas vai veselības stāvokļa simptomu. Turklāt šīs zāles bieži tiek iegādātas arī preventīvi, lai tās būtu pieejamas, piemēram, vajadzības gadījumā vai pirms izbraukšanas ārpus pastāvīgās dzīvesvietas. Piemēram, paracetamola pasūtījums neļauj izdarīt nekādu secinājumu par precīzu personas stāvokli, jo šī molekula ir paredzēta dažādu sāpju paveidu un paaugstinātas temperatūras stāvokļu ārstēšanai un bieži vien ir vienas no zālēm, kuras personām ir pieejams mājās ārpus jebkādas īpašas vajadzības.
52. Otrām kārtām, kā norāda ND, fakts, ka persona tiešsaistē pasūta bezrecepšu zāles, ne vienmēr nozīmē, ka šīs zāles lietos šī persona, kuras dati tiek apstrādāti, nevis kāda cita persona tās mājsaimniecībā vai lokā. Proti, bieži vien pasūtījumu tiešsaistes tirdzniecības vietnē veic persona, kurai šajā vietnē ir konts, tādas personas vārdā un labā, kurai šajā vietnē nav konta. Ja nav receptes, kurā būtu norādīta konkrēta persona, kam zāles ir paredzētas, un saskaņā ar kuru ir jāpieņem, ka zāļu lietotājs un pircējs ir viena un tā pati persona, no tiešsaistē brīvi pieejamas preces pasūtījuma nevar secināt, ka šis produkts ir paredzēts tikai un vienīgi pircēja vajadzībām. No tā izriet, ka no šiem datiem nevar pamatoti izdarīt nekādus secinājumus par tās personas veselības stāvokli, kuras dati tiek apstrādāti, lai tos varētu kvalificēt kā “veselības datus”.
53. Tas tā ir vēl jo vairāk tāpēc, ka, trešām kārtām, neskarot pārbaudes, kas ir jāveic iesniedzējtiesai, persona var veikt pasūtījumu internetā, nesniedzot precīzus datus par savu identitāti, it īpaši, ja prece tiek piegādāta nevis attiecīgās personas adresē, bet gan piegādes punktā, un rēķina izrakstīšanas vajadzībām nav nepieciešami nekādi citi personas identitātes dati.
54. Līdz ar to uzskatu, ka uz otro prejudiciālo jautājumu ir jāatbild tādējādi, ka farmaceita klientu dati, kas tiek nosūtīti, tiešsaistes tirdzniecības platformā pasūtot zāles, kuru tirdzniecība ir atļauta tikai aptiekās, bet kuru iegādei nav vajadzīga recepte, nav “veselības dati” VDAR 4. panta 15. punkta un 9. panta izpratnē, jo no tiem var izdarīt tikai hipotētiskus vai neprecīzus secinājumus par personas, kas veic tiešsaistes pasūtījumu, veselības stāvokli, bet tas ir jāpārbauda iesniedzējtiesai.
55. Turklāt vēl ir jāprecizē, ka, manuprāt, jēdziena “veselības dati” interpretēšana tādējādi, ka tas ietver datus, kas tiek nosūtīti, tiešsaistes tirdzniecības platformā pasūtot zāles, kuru tirdzniecība ir atļauta tikai aptiekās, bet kuru iegādei nav vajadzīga recepte, paradoksālā kārtā var izraisīt to, ka tiek atklāta plašāka sensitīva informācija pastiprinātā aizsardzības režīma dēļ, kas paredzēts VDAR 9. panta 2. punktā. Proti, nepārprotamas piekrišanas pieprasījums tādu datu apstrādei, kuri jau ir identificēti kā sensitīvi, galu galā varētu mudināt pircēju atklāt produkta galalietotāja identitāti. Šādā situācijā varētu izdarīt skaidrākus secinājumus par šīs personas veselības stāvokli.
B. Par pirmo prejudiciālo jautājumu
56. Ņemot vērā manis ierosināto atbildi uz otro prejudiciālo jautājumu, manuprāt, uz pirmo prejudiciālo jautājumu nav jāatbild. Pilnīguma labad un ņemot vērā vērtējumu, kas būs jāveic iesniedzējtiesai, es tomēr analizēšu šo jautājumu, ar kuru iesniedzējtiesa būtībā vaicā, vai VDAR VIII nodaļas tiesību normas ir jāinterpretē tādējādi, ka tās nepieļauj valsts noteikumus, kuros uzņēmumiem ir atzītas tiesības, pamatojoties uz negodīgas konkurences darbību aizliegumu, atsaukties uz šīs regulas materiālo tiesību normu pārkāpumiem, kurus, iespējams, ir izdarījuši to konkurenti.
57. Lietas dalībnieki uz šo jautājumu ir snieguši diametrāli pretējas atbildes. Pirmkārt, Komisija un ND uzskata, ka ar VDAR VIII nodaļas tiesību normām ieviestā tiesību aizsardzības līdzekļu sistēma, to interpretējot šīs regulas mērķu kontekstā, ir jāsaprot kā izsmeļoša sistēma, kas izslēdz jebkādu iespēju dalībvalstīm paredzēt alternatīvus tiesību aizsardzības līdzekļus valsts tiesībās.
58. Otrkārt, pēc Vācijas valdības domām, tiesību aizsardzības līdzekļu sistēma, kas ieviesta ar VDAR VIII nodaļas tiesību normām, ir jāsaprot kā minimālais tiesību aizsardzības līdzekļu kopums, ko dalībvalstis var papildināt. Šādas sistēmas neizsmeļošo raksturu pamatojot fakts, ka VDAR mērķis ir arī aizsargāt konkurences apstākļus un novērst izkropļojumus, kas varētu rasties no datu aizsardzības līmeņa atšķirībām, un ka konkurenta iespēja atsaukties uz to, ka cits konkurents ir pārkāpis šīs regulas materiālās tiesību normas, pastiprinot šīs regulas operativitāti.
59. Tātad lietas dalībnieki savus apsvērumus ir formulējuši par jautājumu, vai VDAR paredzētā tiesību aizsardzības līdzekļu sistēma būtu jāsaprot kā izsmeļoša saskaņošanas sistēma, un tas, pēc viņu domām, nosakot iespēju dalībvalstīm savās valsts tiesībās paredzēt alternatīvus tiesību aizsardzības līdzekļus tiem, kuri noteikti šajā regulā.
60. Tomēr, lai gan tiesību aizsardzības līdzekļu sistēmas izsmeļošā vai neizsmeļošā rakstura noteikšana ir atbilstīgs elements, lai sniegtu lietderīgu atbildi uz pirmo prejudiciālo jautājumu, man šķiet, ka turpinājumā izklāstīto iemeslu dēļ, lai veiktu šādu analīzi, vispirms ir jāizvērtē jautājums, kas ir pamatā to personu identificēšanai, uz kurām attiecas ar VDAR materiālajām un procesuālajām normām piešķirtā aizsardzība. Proti, gadījumā, ja par datu apstrādi atbildīgie uzņēmumi būtu jāuzskata par VDAR piešķirto tiesību subjektiem, es uzskatu, ka šī regula būtu jāinterpretē tādējādi, ka ar to ir prasīts valsts tiesībās ieviest tiesību aizsardzības līdzekļus šo tiesību izmantošanai. Tātad savu analīzi sākšu ar šo punktu un pēc tam atbildēšu uz jautājumu, vai ar VDAR ieviestā tiesību aizsardzības līdzekļu sistēma ir jāsaprot kā izsmeļoša sistēma tādā nozīmē, ka tā izslēdz valsts tiesībās piedāvāto iespēju uzņēmumam celt prasību izbeigt darbību pret konkurentu, pamatojoties uz negodīgas konkurences darbību aizliegumu un atsaucoties uz to, ka šis konkurents ir pārkāpis minētās regulas normas.
1. Ar VDAR piešķirto tiesību subjektu identificēšana
61. Vispirms mēģināšu precizēt šādas identificēšanas nepieciešamību, pēc tam to veikšu un, visbeidzot, izklāstīšu, kāda nozīme datu subjektu kā vienīgo ar VDAR piešķirto tiesību subjektu identificēšanai ir saistībā ar atbildi uz pirmo prejudiciālo jautājumu.
a) Par nepieciešamību noteikt ar VDAR aizsargāto tiesību subjektus
62. Nepieciešamība, lai atbildētu uz prejudiciālo jautājumu, vispirms identificēt ar VDAR aizsargāto tiesību subjektus un tikai pēc tam risināt jautājumu par šajā regulā paredzētās tiesību aizsardzības līdzekļu sistēmas izsmeļošo raksturu, manuprāt, ir izskaidrojama divos veidos.
1) Dalībvalstu pienākums paredzēt tiesību aizsardzības līdzekļus, lai izmantotu Savienības tiesību normās paredzētās tiesības
63. Norādīšu, ka saskaņā ar pastāvīgo judikatūru Savienības tiesības privātpersonām ne tikai uzliek pienākumus, bet to mērķis ir arī radīt tiesības, kas ir daļa no privātpersonu tiesību un pienākumu kopuma (16), un šajā ziņā Tiesa uzsver, ka šīs tiesības rodas it īpaši pienākumu dēļ, kuri noteikti gan privātpersonām, gan dalībvalstīm un arī Savienības iestādēm (17). Proti, jebkura pienākuma, kas uzlikts fiziskai vai juridiskai personai, korelatīvās sekas parasti ir tiesību piešķiršana par labu kādai citai personai.
64. Turklāt nav strīda par to, ka jebkuras tiesības, kas privātpersonai ir piešķirtas ar Savienības tiesību normām, ietver arī tāda tiesību aizsardzības līdzekļa esamību, kura mērķis tieši ir šo tiesību izmantošana, ņemot vērā, ka tad, ja nav īpašu Savienības tiesību normu šajā ziņā, dalībvalstīm ir jānodrošina attiecīgo tiesību ievērošana valsts tiesībās paredzēto prasību ietvaros (18). No judikatūras skaidri izriet, ka valsts tiesām ir jāaizsargā tiesības, kas privātpersonām ir piešķirtas ar Savienības tiesību normām (19).
65. Ja, kā apgalvo Vācijas valdība, VDAR būtu interpretējama tādējādi, ka tā aizsargā ne tikai datu subjektus, bet arī konkurences apstākļus tirgū un līdz ar to in fine – uzņēmumus, tad šī regula būtu jāuzskata par tādu, kas rada tiesības, kuras ietilpst šo uzņēmumu tiesību un pienākumu kopumā (20).
66. Šādos apstākļos, ja nav konkrētu Savienības tiesību normu šajā ziņā, to tiesību ievērošanu, kas uzņēmumiem izrietētu no VDAR, būtu jāspēj nodrošināt saskaņā ar tiesību aizsardzības līdzekļiem, kurus paredzējušas dalībvalstis.
67. No tā būtu jāsecina, ka, neizskatot ar VDAR ieviestās tiesību aizsardzības līdzekļu sistēmas izsmeļošo vai neizsmeļošo raksturu, uz pirmo prejudiciālo jautājumu būtu jāatbild tādējādi, ka šīs regulas VIII nodaļa ir jāinterpretē nevis kā tāda, kas pieļauj, ka dalībvalstis var iespēju konkurentam celt prasību pret kādu citu uzņēmumu, atsaucoties uz minētās regulas pārkāpumu, bet gan tādējādi, ka tā pieprasa, lai tās tiesību normu ievērošanu varētu nodrošināt saistībā ar prasību, ko uzņēmums ceļ pret konkurentu, atsaucoties uz to, ka tas ir pārkāpis minētās tiesību normas (21).
68. Tādējādi atbilde uz pirmo uzdoto jautājumu, manuprāt, tiešām ir atkarīga no ar VDAR piešķirto tiesību subjektu identificēšanas.
2) Tiesību aizsardzības līdzekļu sistēmas pilnīguma divējādā dimensija
69. Pats jēdziens “tiesību aizsardzības līdzekļu sistēmas pilnīgums” var ietvert divas atsevišķas dimensijas, un tas nozīmē atšķirīgu analīzi un prasa iepriekš identificēt personas, kas ir tiesību, kuru ievērošanu šāda sistēma nodrošina, subjekti.
70. Pirmā dimensija ir saistīta ar tiesību aizsardzības līdzekļu sistēmas izsmeļošo raksturu attiecībā pret jebkuru citu tiesību aizsardzības līdzekli, kas paredzēts šo pašu tiesību aizsardzībai. Citiem vārdiem sakot, jautājums ir par Savienības tiesībās paredzēto tiesību aizsardzības līdzekļu pilnīgumu, lai aizsargātu tiesības, kuras ar tās normām ir piešķirtas privātpersonām. Savā judikatūrā Tiesa jau ir spriedusi par Savienības tiesībās paredzēto tiesību aizsardzības līdzekļu izsmeļošā rakstura ietekmi uz pašu Savienības tiesību normās paredzēto tiesību aizsardzību. Piemēram, tādējādi Tiesa pastāvīgi ir uzskatījusi, ka atbildības sistēma, kas izsmeļoši saskaņota Savienības tiesībās, tomēr var pastāvēt vienlaikus ar valsts tiesībās paredzētu alternatīvu atbildības sistēmu, kas balstīta uz tiem pašiem faktiem un pamatiem, tad, ja šāda alternatīva sistēma netraucē saskaņotajai sistēmai un neapdraud tās mērķus un lietderīgo iedarbību (22). Tātad ar Savienības tiesībās paredzētās tiesību aizsardzības līdzekļu sistēmas izsmeļošo raksturu vien nepietiek, lai izslēgtu dalībvalsts iespēju valsts tiesībās paredzēt alternatīvu tiesību aizsardzības līdzekli, kas balstīts uz tām pašām tiesībām, ja vien ir ievēroti konkrēti nosacījumi.
71. Jēdziena tādas “tiesību aizsardzības līdzekļu sistēmas pilnīgums”, kura ir paredzēta Savienības tiesībās, otrā dimensija ir plašāka un ir saistīta ar vispusīgumu attiecībā pret jebkuru citu tiesību aizsardzības līdzekli, ko izmanto personas, kuras tiešā veidā nav to tiesību subjekti, kas piešķirtas Savienības tiesībās, bet kuras uz tām tomēr atsaucas saistībā ar prasību, kas paredzēta valsts tiesībās. Tādēļ šāda Savienības tiesībās paredzētās tiesību aizsardzības līdzekļu sistēmas pilnīguma koncepcija ir jāanalizē atšķirīgi (23).
72. Tātad arī šeit, lai veiktu atbilstošu analīzi par VDAR paredzētās tiesību aizsardzības līdzekļu sistēmas iespējami izsmeļošo raksturu, vispirms ir jānosaka ar šo regulu piešķirto tiesību subjekti, un tam es pievērsīšos turpmākajos apsvērumos.
b) Par VDAR aizsargāto tiesību subjektu identificēšanu
73. Ar VDAR piešķirtās aizsardzības ratione personae, manuprāt, ir jānosaka, ņemot vērā gan šīs regulas mērķus, gan saturu.
74. Vispirms attiecībā uz VDAR mērķiem Vācijas valdība šajā ziņā norāda, ka papildus mērķim nodrošināt augstu un konsekventu aizsardzības līmeni fiziskām personām ar šo regulu ir paredzēts radīt vienlīdzīgus konkurences apstākļus.
75. VDAR 9. apsvērumā tiešām ir minēts fakts, ka tiesību uz personas datu aizsardzību atšķirības attiecībā uz to apstrādi var radīt konkurences izkropļojumus. Tomēr, manuprāt, šādu precizējumu nevar interpretēt tādējādi, ka brīvas un neizkropļotas konkurences nodrošināšana ir VDAR mērķis. Fakts, ka atšķirības dalībvalstu tiesību aktos attiecībā uz standartiem, kuri ir jāievēro uzņēmumiem, rada konkurences izkropļojumus, man šķiet, ir tikai vienkāršs konstatējums, kas nav raksturīgs tikai VDAR. Tā kā materiālās tiesību normas uzņēmumu darbību tirgū vienā dalībvalstī regulē stingrāk nekā citā dalībvalstī, no tā noteikti izriet, ka tas rada zināmu konkurences priekšrocību uzņēmumiem, kuri darbojas šajā pēdējā minētajā dalībvalstī, salīdzinājumā ar uzņēmumiem, kuri veic uzņēmējdarbību pirmajā minētajā dalībvalstī, ko var novērst ar jebkuru saskaņošanas tiesību aktu.
76. Šādu interpretāciju, manuprāt, apstiprina VDAR 9. apsvērumā ietvertā atsauce uz nepieciešamību nodrošināt “personas datu brīvu apriti visā Savienībā”, ko var apdraudēt valstu tiesisko regulējumu atšķirības.
77. Turklāt, kā tiesas sēdē norādīja Komisija, VDAR 9. apsvērums attiecas nevis uz konkurenci, kas pastāv starp visiem uzņēmumiem, bet vispirmām kārtām uz tādu konkurenci starp uzņēmumiem no divām dažādām dalībvalstīm, ko rada atšķirīgi tiesiskie regulējumi. Citiem vārdiem sakot, runa galvenokārt ir par vienlīdzīgu konkurences apstākļu nodrošināšanu dažādās dalībvalstīs, pakļaujot uzņēmumus saskaņotiem standartiem, pat ja šie standarti nejauši veicina to, ka nevienam uzņēmumam netiek piešķirta konkurences priekšrocība salīdzinājumā ar citiem uzņēmumiem vienā un tajā pašā dalībvalstī.
78. Tātad, manuprāt, ar VDAR netiek īstenots mērķis nodrošināt brīvu un neizkropļotu konkurenci iekšējā tirgū.
79. Turpinājumā norādīšu, ka neviena no VDAR materiālo tiesību normām nav vērsta uz to, lai nodrošinātu brīvu un neizkropļotu konkurenci starp uzņēmumiem un padarītu tos par šajā regulā paredzētās aizsardzības subjektiem. Gluži pretēji, to mērķis galvenokārt ir noteikt pienākumus uzņēmumiem, kas ir atbildīgi par datu apstrādi. Lai gan, kā jau tiku minējis, ir taisnība, ka jebkura pienākuma, kas uzlikts fiziskai vai juridiskai personai, korelatīvās sekas noteikti ir piešķirt tiesības kādai citai personai, tomēr vienīgie attiecīgo tiesību subjekti ir nevis uzņēmumi, bet gan personas, kuru datus tie apstrādā. Šajā ziņā zīmīgs ir VDAR nosaukums, jo tajā ir atsauce tikai uz fizisku personu aizsardzību.
80. Visbeidzot, runājot par VDAR VIII nodaļas procesuālajiem noteikumiem, uzsvēršu, kā jau esmu norādījis, ka tajos tiesību aizsardzības līdzekļi ir paredzēti tikai datu subjektiem un struktūrām, kas ir atbildīgas par to pārstāvību. Šis ierobežojums attiecībā uz personām, kuras saskaņā ar VDAR normām var celt prasību tiesā, atsaucoties uz savu personas datu aizsardzības aizskārumu, manuprāt, skaidri norāda, ka tās vienīgās ir šīs aizsardzības subjekti. Proti, manuprāt, būtu neloģiski padarīt VDAR arī par konkurentu tiesību aizsardzības instrumentu, šajā regulā neparedzot nekādu tiesību aizsardzības līdzekli, kas ļautu konkurentiem celt prasību par savu tiesību pārkāpumu, lai gan šādi tiesību aizsardzības līdzekļi ir skaidri paredzēti attiecībā uz datu subjektu tiesību aizsardzību.
81. Līdz ar to es uzskatu, ka uzņēmumi nav VDAR paredzētās aizsardzības subjekti, jo ar šo regulu tiesības ir piešķirtas tikai datu subjektiem.
c) Par VDAR kā standarta, kas aizsargā tikai datu subjektus, interpretācijas ietekmi
82. Tāda VDAR interpretācija, ka šīs regulas normās tiesības ir piešķirtas nevis uzņēmumiem, bet tikai datu subjektiem, man liek izdarīt vairākus secinājumus.
83. Pirmām kārtām, kā esmu norādījis, šāda interpretācija, manuprāt, izslēdz iespēju uzskatīt, ka VDAR normu ievērošana ir jāspēj nodrošināt saistībā ar prasību, ko ceļ uzņēmums pret konkurentu, atsaucoties uz to, ka šis konkurents ir pārkāpis minētās normas.
84. Otrām kārtām, tā kā ar VDAR piešķirto tiesību subjektu loks aprobežojas tikai ar datu subjektiem, Tiesas judikatūra, kas attiecas uz dalībvalstu iespēju valsts tiesībās paredzēt papildu tiesību aizsardzības līdzekļus šo tiesību subjektiem ar nosacījumu, ka šie tiesību aizsardzības līdzekļi nekaitē saskaņotajai tiesību aizsardzības līdzekļu sistēmai un neapdraud tās mērķus (24), man nešķiet tieši attiecināma uz aplūkojamo situāciju. Attiecīgā judikatūra, kā to pierādīšu, tomēr var būt pamats šādas situācijas analīzei.
85. Proti, saskaņā ar šādu jēdziena “tiesību aizsardzības līdzekļu sistēmas pilnīgums” izpratni ir jānosaka, vai ar VDAR ieviestā tiesību aizsardzības līdzekļu sistēma ir jāsaprot kā izsmeļoša sistēma tādējādi, ka tā nepieļauj to, ka saskaņā ar valsts tiesībām datu subjektiem varētu būt pieejami citi tiesību aizsardzības līdzekļi, nevis tie, kas paredzēti šajā regulā.
86. Taču pamatlietā runa ir par tāda uzņēmuma celtu prasību, kas nav iekļauts ar VDAR piešķirto tiesību subjektu vidū.
87. Šādos apstākļos, ņemot vērā faktu, ka VDAR nepiešķir nekādas tiesības uzņēmumiem un to konkurentiem, nozīme ir tikai jautājumam, vai ar VDAR ieviestā tiesību aizsardzības līdzekļu sistēma ir jāsaprot kā izsmeļoša sistēma tādā nozīmē, ka šī regula izslēdz arī to, ka uzņēmumi atsaucas uz tās tiesību normu pārkāpumu saistībā ar valsts tiesībās paredzētu prasību, un to tagad centīšos noskaidrot.
2. Iespēja personām, kam VDAR nav piešķirtas tiesības, celt prasības, balstoties uz valsts tiesībām
88. Man šķiet, ka atbilde uz jautājumu, vai tiesību normas, kuras attiecas uz VDAR paredzēto tiesību aizsardzības līdzekļu sistēmu, nepieļauj to, ka uzņēmumi atsaucas uz šīs regulas normu pārkāpumu saistībā ar valsts tiesībās paredzētu prasību, ir jāsniedz divos posmos.
89. Proti, lai atbildētu uz šo jautājumu, ir jāpārbauda, pirmkārt, iespēja uzņēmumiem atsaukties uz VDAR normām, lai gan tie nav to tiesību subjekti, kuras piešķirtas ar šīm normām, un, otrkārt, šādu prasību mijiedarbības ar šajā regulā paredzēto tiesību aizsardzības līdzekļu sistēmu nosacījumi.
90. Pirmām kārtām, runājot par uzņēmumu iespēju atsaukties uz VDAR normām, norādīšu, ka saistībā ar tādām prasībām, kas balstītas uz valsts tiesībām, kā pamatlietā aplūkojamā šāda iespēja ir tikai pakārtota. Precīzāk, uzņēmums ceļ prasību, pamatojoties uz valsts tiesībām, proti, negodīgas konkurences darbību izbeigšanu. Tātad attiecīgās darbības negodīgais raksturs izrietētu no VDAR pārkāpuma. Citiem vārdiem sakot, prasība nav pamatota ar VDAR normu pārkāpumu, bet tajā šāds pārkāpums tiek ņemts vērā pakārtoti (25).
91. Tomēr šādu pakārtotu ņemšanu vērā Tiesa jau ir atzinusi pavisam citā kontekstā. Proti, spriedumā Meta Platforms u.c. (Vispārīgie sociālā tīkla lietošanas noteikumi) Tiesa nosprieda, ka “dominējošā stāvoklī esoša uzņēmuma veiktas datu apstrādes” neatbilstība [VDAR] “var tikt uzskatīta par šā stāvokļa ļaunprātīgu izmantošanu” (26) un ka vispārīgi ir jāiekļauj “noteikumi personas datu aizsardzības jomā [..] tiesiskā[jā] regulējum[ā], kas konkurences iestādēm ir jāņem vērā, izvērtējot dominējošā stāvokļa ļaunprātīgu izmantošanu” (27). Citiem vārdiem sakot, Tiesa atzīst, ka konkurences tiesību pārkāpums ir noticis VDAR normu pārkāpuma dēļ.
92. Lai gan šis konstatējums tika izdarīts nevis saistībā ar strīdu starp privātpersonām, bet saistībā ar pretkonkurences darbību pārbaudi, ko veikusi valsts konkurences iestāde, nesaskatu nevienu iemeslu, lai tikai attiecībā uz šādu gadījumu ierobežotu iespēju pakārtoti ņemt vērā VDAR normu pārkāpumu.
93. Proti, pirmkārt, attiecībā uz konkurences tiesībām, ja šāda ņemšana vērā tiek atzīta public enforcement [publiski tiesiskās izpildes] jomā, man šķiet, ka tai vajadzētu būt iespējamai arī saistībā ar private enforcement [privāttiesisko izpildi] un līdz ar to arī attiecībā uz strīdiem starp privātpersonām, kuru pamatā galvenokārt nav ar VDAR piešķirto tiesību pārkāpums, izņemot, ja tiek atzīts, ka privātpersonas nevar saņemt kompensāciju par kaitējumu, kuru radījis konkurences tiesību pārkāpums, ko tomēr ir konstatējusi konkurences iestāde.
94. Otrkārt, kā norādījis ģenerāladvokāts Ž. Rišārs Delatūrs [J. Richard de la Tour], personas datu aizsardzībai var būt “ietekm[e] uz citām ar to saistītajām jomām, konkrēti – darba tiesību, konkurences tiesību vai patērētāju tiesību jomu” (28). Šādai VDAR ietekmei uz citām jomām, manuprāt, būtu jāizraisa tas, ka tiek atzīta šīs regulas tiesību normu ņemšana vērā saistībā ar prasību, kuras pamatā galvenokārt ir tiesību normas šajā regulā neietilpst.
95. Otrām kārtām, attiecībā uz jautājumu par valsts tiesību aizsardzības līdzekļu, kas ietver VDAR normu pakārtotu ņemšanu vērā, mijiedarbību ar tiesību aizsardzības līdzekļu sistēmu, kas ieviesta ar šo regulu, es uzskatu, ka šādi tiesību aizsardzības līdzekļi būtu jāpieļauj tikai tad, ja tie netraucē minētās regulas tiesību aizsardzības līdzekļu sistēmai vai tās mērķu sasniegšanai.
96. Šie nosacījumi ir izstrādāti judikatūrā, kas saistīta ar saskaņotas tiesību aizsardzības līdzekļu sistēmas pilnīgumu attiecībā pret valsts tiesību aizsardzības līdzekļiem, kuri balstīti uz tām pašām tiesībām (29). Tādējādi man šķiet, ka tie a fortiori ir jāizpilda, ja runa ir par valsts noteikumiem, kuros uzņēmumiem ir atzītas tiesības celt prasību, nevis balstoties uz tām pašām tiesībām, bet gan pamatojoties uz valsts tiesībām, tomēr atsaucoties uz VDAR materiālo tiesību normu pārkāpumiem, kurus, iespējams, ir izdarījis kāds cits uzņēmums.
97. Līdz ar to ir jāpārbauda, vai šajā gadījumā šie nosacījumi ir izpildīti.
98. Vispirms attiecībā uz jautājumu, vai prasība par darbības izbeigšanu, ko uzņēmums ir cēlis pret konkurentu, atsaucoties uz to, ka pēdējais minētais ir pārkāpis VDAR normas, traucē šīs regulas VIII nodaļā paredzētajai tiesību aizsardzības līdzekļu sistēmai, es uzskatu, ka tas tā nav. Proti, šie tiesību aizsardzības līdzekļi ļauj datu subjektiem vai to pilnvarotām bezpeļņas struktūrām, organizācijām vai apvienībām iesniegt sūdzību uzraudzības iestādē (77. pants), pārsūdzēt uzraudzības iestādes lēmumu (78. pants), celt prasību pret pārzini vai apstrādātāju (79. pants) vai saņemt no pārziņa vai apstrādātāja kompensāciju par kaitējumu, kas radies regulas pārkāpuma dēļ (82. pants).
99. Citiem vārdiem sakot, kā Tiesa uzsver savā judikatūrā, VDAR VIII nodaļā “ir reglamentēti [..] tiesību aizsardzības līdzekļi, kas ļauj aizsargāt datu subjekta tiesības gadījumā, ja ir aizdomas, ka viņa personas dati ir apstrādāti pretēji minētās regulas noteikumiem”, jo šo tiesību aizsardzību “var pieprasīt vai nu tieši pats datu subjekts, vai [..] tiesīgā struktūra neatkarīgi no tā, vai tai ir pilnvarojums šādi rīkoties vai arī šāda pilnvarojuma nav” (30).
100. Šādos apstākļos prasība, ko uzņēmums varētu celt pret konkurentu, atsaucoties uz to, ka tas ir pārkāpis VDAR, protams, in fine ir balstīta uz tās pašas tiesību normas pārkāpumu, bet tai nav tāda paša mērķa, un šī prasība nav starp tiem pašiem lietas dalībniekiem. Citiem vārdiem sakot, šāda valsts tiesībās noteikta prasība nav paredzēta, lai nodrošinātu datu subjektu tiesību ievērošanu.
101. Manuprāt, no tā izriet, ka tiesību aizsardzības līdzekļi, kas ir pieejami personām, uz kurām attiecas ar VDAR ieviestā tiesību aizsardzības līdzekļu sistēma, saglabājas un tos joprojām var izmantot pat tad, ja uzņēmums ir cēlis prasību pret konkurentu.
102. Šajā ziņā ir arī jāprecizē, ka man nav skaidrs, kādā mērā, kā apgalvo Komisija, šādi tiesību aizsardzības līdzekļi varētu apdraudēt ar VDAR noteikto tiesību piemērošanas publisko uzraudzības sistēmu, jo šajā regulā līdztekus šādai publiskai sistēmai jau ir skaidri paredzēta datu subjekta iespēja tiesvedībās atsaukties uz tiesībām, kuras tam izriet no VDAR.
103. Turpinājumā, runājot par VDAR mērķiem, no tās 10. apsvēruma izriet, ka šīs regulas mērķis konkrēti ir nodrošināt gan augsta līmeņa aizsardzību fiziskām personām, gan noteikumu par fizisku personu pamattiesību un pamatbrīvību aizsardzību attiecībā uz personas datu apstrādi konsekventu un vienveidīgu piemērošanu.
104. Neviena no šiem mērķiem sasniegšanu, manuprāt, neapdraud uzņēmumam piedāvātā iespēja pret konkurentu celt prasību par darbību izbeigšanu, kas iesniegta, pamatojoties uz negodīgas konkurences darbību aizliegumu un atsaucoties uz to, ka šis konkurents ir pārkāpis VDAR normas. Pirmkārt, man šķiet, ka augsta līmeņa aizsardzība fiziskām personām attiecībā uz viņu personas datu apstrādi tiek sasniegta un pat pastiprināta ar iespēju, kas attiecināta uz uzņēmuma konkurentu, atsaukties uz VDAR materiālo tiesību normu pārkāpumu. Otrkārt, iespēja citām personām, kuras nav vienīgi datu subjekti, plašāk atsaukties uz šīm tiesību normām neapdraud konsekventas un vienveidīgas aizsardzības Savienībā mērķa sasniegšanu. Proti, pat ja dalībvalstis neparedzētu šādu iespēju, tādēļ vien datu aizsardzības īstenošana Savienībā nekļūtu sadrumstalota, jo VDAR materiālās tiesību normas ir vienlīdz saistošas visiem uzņēmumiem un to ievērošana tiek nodrošināta ar šajā regulā paredzētajiem tiesību aizsardzības līdzekļiem.
105. Visbeidzot attiecībā uz VDAR lietderīgo iedarbību, kas nebūt netiek apšaubīta saistībā ar uzņēmumam doto iespēju celt prasību par darbības izbeigšanu pret konkurentu, atsaucoties uz VDAR pārkāpumu, man šķiet, kā esmu norādījis, ka to pastiprina fakts, ka šīs regulas normu ievērošanu varētu nodrošināt arī tiesvedībās, kas atšķiras no tām, kuras paredzētas ar šo regulu ieviestajā tiesību aizsardzības līdzekļu sistēmā.
106. Šādos apstākļos es uzskatu, ka prasība par darbības izbeigšanu, ko uzņēmums ir cēlis pret konkurentu, atsaucoties uz to, ka tas ir pārkāpis VDAR normas, var pastāvēt vienlaikus ar tiesību aizsardzības līdzekļiem, kas ieviesti VDAR VIII nodaļā, jo tā nekaitē šai sistēmai un neapdraud šīs regulas mērķus un lietderīgo iedarbību.
107. Līdz ar to iesaku Tiesai nospriest, ka VDAR VIII nodaļas tiesību normas pieļauj valsts noteikumus, kuros uzņēmumiem ir atzītas tiesības, pamatojoties uz negodīgas konkurences darbību aizliegumu, atsaukties uz šīs regulas materiālo tiesību normu pārkāpumiem, kurus, iespējams, ir izdarījuši to konkurenti.
V. Secinājumi
108. Ņemot vērā visus iepriekš minētos apsvērumus, iesaku Tiesai uz Bundesgerichtshof (Federālā augstākā tiesa, Vācija) uzdotajiem prejudiciālajiem jautājumiem atbildēt šādi:
Eiropas Parlamenta un Padomes Regulas (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārējā datu aizsardzības regula), 4. panta 15. punkts un 9. panta 1. punkts
ir jāinterpretē tādējādi, ka
farmaceita klientu dati, kas tiek nosūtīti, tiešsaistes tirdzniecības platformā pasūtot zāles, kuru tirdzniecība ir atļauta tikai aptiekās, bet kurām nav vajadzīga recepte, nav uzskatāmi par “veselības datiem”.