Wyrok Trybunału Sprawiedliwości Unii Europejskiej w sprawie C-21/23 Lindenapotheke

4 października 2024 r. Trybunał Sprawiedliwości Unii Europejskiej wydał wyrok w sprawie C-21/23 Lindenapotheke, w którym orzekł, że państwa członkowskie mogą przewidzieć możliwość kwestionowania przed sądem naruszenia ochrony danych osobowych jako zakazanej nieuczciwej praktyki handlowej przez konkurentów domniemanego sprawcy tego naruszenia.

Sprzedaż przez internet leków zastrzeżonych dla aptek wymaga wyraźnej zgody klienta na przetwarzanie jego danych, nawet jeśli leki te dostępne są bez recepty. Niemiecki federalny trybunał sprawiedliwości, który ma rozstrzygnąć spór między dwoma konkurującymi ze sobą farmaceutami, zwrócił się do Trybunału Sprawiedliwości UE o dokonanie wykładni RODO. Trybunał stwierdził, że RODO nie stoi na przeszkodzie uregulowaniu krajowemu, które pozwala konkurentom domniemanego sprawcy naruszenia ochrony danych osobowych zakwestionować je przed sądem jako zakazaną nieuczciwą praktykę handlową. Taka możliwość skorzystania ze środka prawnego przez konkurentów istnieje obok przewidzianych w RODO uprawnień interwencyjnych organów nadzorczych odpowiedzialnych za monitorowanie
i egzekwowanie stosowania RODO, a także obok przewidzianych w tym rozporządzeniu możliwości dochodzenia roszczeń przez osoby, których dane dotyczą.

Ponadto Trybunał orzekł, że informacje podane przez klientów przy zamawianiu przez internet leków zastrzeżonych dla aptek stanowią dane dotyczące zdrowia w rozumieniu RODO, nawet jeśli sprzedaż tych leków nie wymaga recepty lekarskiej. W związku z tym sprzedawca musi informować tych klientów w sposób dokładny, pełny i łatwo zrozumiały o konkretnych cechach i celach przetwarzania tych danych oraz zwracać się do nich o wyraźne wyrażenie zgody na takie przetwarzanie. Niemiecki federalny trybunał sprawiedliwości ma rozstrzygnąć spór między dwoma niemieckimi farmaceutami. Farmaceuta będący właścicielem apteki „Lindenapotheke” sprzedaje od 2017 r. na Amazonie leki, których sprzedaż jest zastrzeżona dla aptek. Klienci muszą podać szereg informacji przy zamawianiu tych leków przez internet.

Opierając się na niemieckich przepisach dotyczących nieuczciwych praktyk handlowych, farmaceuta będący konkurentem właściciela „Lindenapotheke” wniósł do sądu niemieckiego o nakazanie temu ostatniemu zaprzestania tej działalności do czasu zapewnienia klientom możliwości udzielenia uprzedniej zgody na przetwarzanie danych dotyczących zdrowia. Sądy w I i II instancji uznały, że ta sprzedaż faktycznie stanowi nieuczciwą i niedozwoloną praktykę, ponieważ jest sprzeczna z rozporządzeniem w sprawie ochrony danych osobowych (RODO). W przypadku braku wyraźnej zgody klientów kupujących produkty lecznicze sprzedaż prowadzi bowiem do przetwarzania danych dotyczących zdrowia zakazanego na podstawie tego rozporządzenia.

Niemiecki federalny trybunał sprawiedliwości zastanawia się, czy przepisy krajowe, które umożliwiają konkurentowi wystąpienie na drogę sądową przeciwko domniemanemu sprawcy naruszeń RODO na podstawie zakazu nieuczciwych praktyk handlowych, są zgodne z tym rozporządzeniem. Zgodnie z RODO, co do zasady, to do krajowych organów nadzorczych należy monitorowanie i egzekwowanie stosowania tego rozporządzenia, zaś do osób, których dane dotyczą (w tym przypadku klientów) – obrona ich praw. Sąd niemiecki chciałby również dowiedzieć się, czy informacje podane podczas kupowania leków przez internet, których sprzedaż jest zastrzeżona dla aptek, stanowią dane dotyczące zdrowia w rozumieniu RODO, nawet wtedy gdy leki te nie wymagają recepty lekarskiej. W związku z tym sąd ten zwrócił się do Trybunału Sprawiedliwości UE.

Trybunał odpowiedział w pierwszej kolejności, że RODO nie stoi na przeszkodzie uregulowaniu krajowemu, które – poza prawami i uprawnieniami przyznanymi w RODO krajowym organom nadzorczym, osobom, których dane dotyczą, i stowarzyszeniom reprezentującym te osoby – pozwala konkurentom domniemanego sprawcy naruszenia ochrony danych osobowych wystąpić przeciwko niemu na drogę sądową ze względu na naruszenia tego rozporządzenia na podstawie zakazu nieuczciwych praktyk handlowych. Wręcz przeciwnie, przyczynia się to niezaprzeczalnie do wzmocnienia praw osób, których dane dotyczą, i do zapewnienia im wysokiego poziomu ochrony. Ponadto może to okazać się szczególnie skuteczne, ponieważ w ten sposób można by zapobiec dużej liczbie naruszeń RODO. W drugiej kolejności Trybunał uznał, że informacje (takie jak ich nazwisko, adres dostawy i dane niezbędne do jednoznacznego ustalenia leków) podane przez klientów przy zamawianiu przez internet leków zastrzeżonych dla aptek stanowią dane dotyczące zdrowia w rozumieniu RODO, nawet jeśli sprzedaż tych leków nie wymaga recepty lekarskiej.

Dane te umożliwiają bowiem ujawnienie – poprzez intelektualny proces kojarzenia lub dedukcji – informacji na temat stanu zdrowia zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, ponieważ następuje ustalenie związku między tą osobą a lekiem, wskazaniami terapeutycznymi lub jego zastosowaniem, bez względu na to, czy informacje dotyczą klienta bądź dowolnej innej osoby, dla której dokonuje on zamówienia. Bez znaczenia jest zatem, że w braku recepty lekarskiej istnieje jedynie pewne prawdopodobieństwo, a nie absolutna pewność, że leki te są przeznaczone dla klientów, którzy je zamówili. Dokonywanie rozróżnienia w zależności
od rodzaju produktów leczniczych oraz tego, czy ich sprzedaż wymaga czy też nie recepty lekarskiej, byłoby sprzeczne z celem RODO polegającym na zapewnieniu wysokiego poziomu ochrony. W związku z tym sprzedawca musi informować tych klientów w sposób dokładny, pełny i łatwo zrozumiały o konkretnych cechach i celach przetwarzania owych danych oraz zwracać się do nich o wyraźne wyrażenie zgody na takie przetwarzanie.

Tekst wyroku dostępny jest na stronie TSUE