CJEU: Privolitev pri nakupu zdravil
Sodišče EU je razsodilo, da informacije, ki jih stranke vnesejo pri naročanju medicinskih izdelkov brez recepta, predstavljajo zdravstvene podatke. GDPR tudi ni v konfliktu z nacionalno zakonodajo, ki konkurentom upravljavca omogoča, da kršitve GDPR sodno preganjajo kot nepoštene poslovne prakse.
Odločitev je bila objavljena 4.10.2024
Primer izvira iz civilnega spora med dvema konkurenčnima farmacevtoma (upravljavec in DR), ki je bil predložen nemškemu deželnemu sodišču (LG Dessau-Roßlau). Upravljavec je prek Amazona prodajal lekarniška zdravila brez recepta, pri čemer je od strank zahteval, da vnesejo svoje ime, naslov za dostavo in podatke, potrebne za individualizacijo zdravil.
Na podlagi nemške zakonodaje o nepoštenih poslovnih praksah je DR zaprosil za sodno odredbo, ki upravljavcu prepoveduje prodajo lekarniških zdravil brez recepta prek Amazona, razen če lahko stranke vnaprej podajo privolitev za obdelavo podatkov. DR je trdil, da je bila prodaja prek Amazona nezakonita po GDPR, saj ni zahtevala predhodnega soglasja stranke, kot to zahteva člen 9(2) GDPR za obdelavo posebnih vrst osebnih podatkov.
Deželno sodišče in višje deželno sodišče (OLG Naumburg) sta razsodila, da je trženje lekarniških zdravil v nasprotju s 3. odstavkom nacionalnega zakona o nelojalni konkurenci (UWG). Prav tako je obdelava brez izrecnega soglasja strank po GDPR prepovedana, saj vključuje obdelavo posebnih vrst osebnih podatkov.
Upravljavec se je na odločitev pritožil pri Zveznem sodišču (BGH), ki je Sodišču EU predložilo naslednja vprašanja:
Ali je GDPR v konfliktu z nacionalnimi določbami, ki dajejo konkurentom možnost, da ukrepajo proti kršitelju zaradi kršitev GDPR s tožbo pred civilnimi sodišči zaradi nepoštenih poslovnih praks?
Ali so podatki o strankah spletne lekarne v povezavi s spletnimi naročili zdravil brez recepta zdravstveni podatki v smislu člena 9(1) GDPR?
Generalni pravobranilec EU je pred sodbo objavil mnenje, ki je dostopno tukaj.
Odločitev sodišča
Prvo vprašanje
Sodišče EU je poudarilo, da pritožbe ni vložila prizadeta oseba v skladu s členom 79 GDPR niti organizacija, ki jo zastopa v skladu s členom 80 GDPR, temveč konkurenca upravljavcu. Sodišče se je sklicevalo na mnenje pravobranilca sodišča EU, ki navaja, da so le posamezniki zaščiteni z varstvom osebnih podatkov, kot ga določa GDPR, ne pa tudi konkurenti.
Vendar je sodišče poudarilo, da člen 80(2) GDPR ne izključuje nacionalne določbe, po kateri lahko združenje za varstvo interesov potrošnikov vloži tožbo proti domnevnemu kršitelju. Sodišče EU je spomnilo, da kršitev GPDR lahko vpliva ne le na posameznike, na katere se nanašajo osebni podatki, ampak tudi na tretje osebe. To se med drugim odraža v členu 82(1) GDPR, ki določa odškodnino za »vsako osebo, ki je utrpela materialno ali nematerialno škodo zaradi kršitve« GDPR.
Sodišče je navedlo, da z vidika prepovedi uporabe nepoštenih poslovnih praks te trditve ne vplivajo na cilje, ampak lahko celo okrepijo praktično učinkovitost GDPR in tako izboljšajo zaščito posameznikov. Poleg tega je treba določbe poglavja VIII GDPR razlagati tako, da ne nasprotujejo nacionalni zakonodaji, ki daje konkurentom pravico do civilne tožbe zaradi kršitve GDPR, da bi preprečili nepoštene poslovne prakse.
Drugo vprašanje
Sodišče je navedlo, da če je podatke v zvezi z nakupom mogoče uporabiti za sklepanje o zdravstvenem stanju določene ali določljive osebe, jih je treba šteti za zdravstvene podatke v smislu člena 4(15) GDPR. Tu je sodišče odločilo v nasprotju z mnenjem pravobranilca EU.
Sodišče EU je opozorilo, da je treba opredelitev zdravstvenih podatkov razlagati v širokem smislu in zato vključuje obdelavo podatkov, ki lahko posredno razkrijejo občutljive informacije. Sodišče EU je pojasnilo, da mora klasifikacija podatkov v zvezi z zdravjem veljati ne glede na to, ali se podatki dejansko nanašajo na drugo osebo, na točnost podatkov ter na identiteto in namen upravljavca. V zvezi s podatki, vnesenimi na spletno platformo v zvezi z nakupom medicinskih izdelkov, je mogoče sklepati o zdravstvenem stanju posameznika v smislu člena 4(1) GDPR, ne glede na njihov navedeni namen in točnost informacij.
Razlikovanje glede na vrsto zadevnega zdravila in glede na to, ali je za njegovo prodajo potreben zdravniški recept, ne bi bilo v skladu s ciljem visoke ravni varstva, ki se zahteva za posebne vrste osebnih podatkov. Sodišče je pojasnilo, da tveganja sklepanja o zdravstvenem stanju posameznika ni mogoče odpraviti, zato so podatki, ki jih vnesejo posamezniki, v tem primeru razvrščeni kot občutljivi podatki v skladu s členom 9(1) GDPR, ne glede na to, ali vnesene informacije vplivajo na posameznika ali drugo osebo.
Celotna odločitev je dostopna tukaj
Mnenje pravobranilca je dostopno tukaj
Vir: GDPRHub
Naslovna slika: RawPixel
