ΔΕΕ της 4.10.2024, C-21/23, ND κατά DR

Πρόεδρος: K. Lenaerts
Εισηγήτρια: I. Ziemele
Γενικός Εισαγγελέας: M. Szpunar

Προστασία των δεδομένων προσωπικού χαρακτήρα. Εμπορία φαρμάκων από φαρμακοποιό μέσω διαδικτυακής πλατφόρμας. Αγωγή ασκηθείσα ενώπιον των πολιτικών δικαστηρίων από ανταγωνιστή του φαρμακοποιού, επί τη βάσει της απαγορεύσεως των αθέμιτων εμπορικών πρακτικών, λόγω παράβασης από τον φαρμακοποιό των υποχρεώσεων που προβλέπει ο ΓΚΠΔ.

Οι διατάξεις του Κεφ. VIII του ΓΚΠΔ έχουν την έννοια ότι δεν αντιτίθενται σε εθνική ρύθμιση η οποία, παράλληλα με τις εξουσίες παρέμβασης των εποπτικών αρχών που είναι επιφορτισμένες με την εποπτεία και την εφαρμογή του Κανονισμού αυτού καθώς και παράλληλα με τις δυνατότητες προσφυγής των υποκειμένων των δεδομένων, παρέχει στους ανταγωνιστές του φερόμενου παραβάτη των διατάξεων περί προστασίας των δεδομένων προσωπικού χαρακτήρα ενεργητική νομιμοποίηση για την άσκηση αγωγής κατ’ αυτού ενώπιον των πολιτικών δικαστηρίων, λόγω παραβάσεων των διατάξεων του εν λόγω Κανονισμού και επί τη βάσει της απαγορεύσεως των αθέμιτων εμπορικών πρακτικών.

Απόφαση

1. Η αίτηση προδικαστικής αποφάσεως αφορά την ερμηνεία του άρ. 9 παρ. 1 και των διατάξεων του Κεφ. VIII του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της Οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (ΕΕ 2016, L 119, σ. 1) (στο εξής: ΓΚΠΔ), καθώς και του άρ. 8 παρ. 1 της Οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 24ης Οκτωβρίου 1995 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (ΕΕ 1995, L 281, σ. 31).

2. Η αίτηση αυτή υποβλήθηκε στο πλαίσιο ένδικης διαφοράς μεταξύ του ND και του DR, δύο φυσικών προσώπων έκαστο εκ των οποίων έχει την εκμετάλλευση φαρμακείου, σχετικά με την εμπορία από τον ND, μέσω διαδικτυακής πλατφόρμας, φαρμάκων τα οποία πρέπει να διατίθενται αποκλειστικώς από φαρμακεία.

Το νομικό πλαίσιο

Το δίκαιο της Ένωσης

3. Το άρ. 8 της Οδηγίας 95/46, το οποίο φέρει τον τίτλο «Επεξεργασία ειδικών κατηγοριών δεδομένων», προβλέπει τα εξής:

«1. Τα κράτη μέλη απαγορεύουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα που παρέχουν πληροφορίες για τη φυλετική ή εθνική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, τη συμμετοχή σε συνδικαλιστικές οργανώσεις και την υγεία και τη σεξουαλική ζωή.

2. Η παρ. 1 δεν ισχύει εφόσον:

α) το πρόσωπο στο οποίο αναφέρονται τα δεδομένα έχει δώσει ρητά τη συγκατάθεσή του για την επεξεργασία, εκτός αν η νομοθεσία του κράτους μέλους ορίζει ότι η συγκατάθεση δεν αίρει την απαγόρευση της παρ. 1 […]».

4. Οι αιτιολογικές σκέψεις 9 έως 11, 13, 35, 51, 53, 141 και 142 του ΓΚΠΔ έχουν ως εξής:

«(9) Ενώ οι στόχοι και οι αρχές της Οδηγίας [95/46] παραμένουν ισχυροί, η Οδηγία δεν κατόρθωσε να αποτρέψει τον κατακερματισμό της εφαρμογής της προστασίας των δεδομένων σε ολόκληρη την Ένωση, την ανασφάλεια δικαίου ή τη διαδεδομένη στο κοινό αντίληψη ότι υπάρχουν σημαντικοί κίνδυνοι για την προστασία των φυσικών προσώπων, ιδίως όσον αφορά την επιγραμμική δραστηριότητα. Διαφορές στο επίπεδο προστασίας των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων, ιδίως του δικαιώματος προστασίας των δεδομένων προσωπικού χαρακτήρα, όσον αφορά την επεξεργασία των δεδομένων προσωπικού χαρακτήρα στα κράτη μέλη, ενδέχεται να εμποδίζουν την ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση. Επομένως, οι διαφορές αυτές μπορεί να συνιστούν εμπόδιο για την άσκηση οικονομικών δραστηριοτήτων στο επίπεδο της Ένωσης, να στρεβλώνουν τον ανταγωνισμό και να εμποδίζουν τις αρχές στην εκτέλεση των αρμοδιοτήτων τους, όπως αυτές απορρέουν από το δίκαιο της Ένωσης. Αυτή η διαφορά ως προς τα επίπεδα προστασίας οφείλεται στην ύπαρξη αποκλίσεων κατά την εκτέλεση και εφαρμογή της Οδηγίας 95/46/ΕΚ. Αυτή η διαφορά ως προς τα επίπεδα προστασίας οφείλεται στην ύπαρξη αποκλίσεων κατά την εκτέλεση και εφαρμογή της Οδηγίας [95/46].

(10) Για τη διασφάλιση συνεκτικής και υψηλού επιπέδου προστασίας των φυσικών προσώπων και την άρση των εμποδίων στις ροές δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης, το επίπεδο προστασίας των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων σε σχέση με την επεξεργασία των εν λόγω δεδομένων θα πρέπει να είναι ισοδύναμο σε όλα τα κράτη μέλη. Θα πρέπει να διασφαλίζεται συνεκτική και ομοιόμορφη εφαρμογή των κανόνων για την προστασία των θεμελιωδών δικαιωμάτων και των ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση. […] Ο παρών Κανονισμός παρέχει επίσης περιθώρια χειρισμού στα κράτη μέλη, ώστε να εξειδικεύσουν τους κανόνες του, συμπεριλαμβανομένων αυτών που αφορούν την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα («ευαίσθητα δεδομένα»). […]

(11) Η αποτελεσματική προστασία των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση απαιτεί την ενίσχυση και τον λεπτομερή καθορισμό των δικαιωμάτων των υποκειμένων των δεδομένων, καθώς και των υποχρεώσεων όσων επεξεργάζονται και καθορίζουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και των αντίστοιχων εξουσιών παρακολούθησης και διασφάλισης της συμμόρφωσης προς τους κανόνες προστασίας των δεδομένων προσωπικού χαρακτήρα και των αντίστοιχων κυρώσεων για τις παραβιάσεις στα κράτη μέλη. […]

(13) Για να διασφαλιστεί συνεκτικό επίπεδο προστασίας των φυσικών προσώπων σε ολόκληρη την Ένωση και προς αποφυγή αποκλίσεων που εμποδίζουν την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα στην εσωτερική αγορά, απαιτείται Κανονισμός ο οποίος θα κατοχυρώνει την ασφάλεια δικαίου και τη διαφάνεια για τους οικονομικούς παράγοντες, περιλαμβανομένων των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων, και θα προβλέπει για τα φυσικά πρόσωπα σε όλα τα κράτη μέλη το ίδιο επίπεδο νομικά εκτελεστών δικαιωμάτων και υποχρεώσεων, καθώς και ευθυνών για τους υπευθύνους επεξεργασίας και τους εκτελούντες την επεξεργασία, ώστε να διασφαλιστεί η συνεκτική παρακολούθηση της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, καθώς και οι ισοδύναμες κυρώσεις σε όλα τα κράτη μέλη και η αποτελεσματική συνεργασία μεταξύ των εποπτικών αρχών των διάφορων κρατών μελών. […]

(35) Τα δεδομένα προσωπικού χαρακτήρα σχετικά με την υγεία θα πρέπει να περιλαμβάνουν όλα τα δεδομένα που αφορούν την κατάσταση της υγείας του υποκειμένου των δεδομένων και τα οποία αποκαλύπτουν πληροφορίες για την παρελθούσα, τρέχουσα ή μελλοντική κατάσταση της σωματικής ή ψυχικής υγείας του υποκειμένου των δεδομένων. […]

(51) Δεδομένα προσωπικού χαρακτήρα τα οποία είναι εκ φύσεως ιδιαίτερα ευαίσθητα σε σχέση με θεμελιώδη δικαιώματα και ελευθερίες χρήζουν ειδικής προστασίας, καθότι το πλαίσιο της επεξεργασίας τους θα μπορούσε να δημιουργήσει σημαντικούς κινδύνους για τα θεμελιώδη δικαιώματα και τις ελευθερίες. […] Τέτοια δεδομένα προσωπικού χαρακτήρα δεν θα πρέπει να υποβάλλονται σε επεξεργασία, εκτός εάν η επεξεργασία επιτρέπεται σε ειδικές περιπτώσεις που προβλέπονται στον παρόντα κανονισμό, λαμβάνοντας υπόψη ότι το δίκαιο των κρατών μελών μπορεί να προβλέπει ειδικές διατάξεις για την προστασία των δεδομένων, προκειμένου να προσαρμόζεται η εφαρμογή των κανόνων του παρόντος κανονισμού λόγω συμμόρφωσης προς νομική υποχρέωση ή λόγω εκπλήρωσης καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας. Εκτός από τις ειδικές απαιτήσεις στις οποίες υπάγεται η εν λόγω επεξεργασία, θα πρέπει να εφαρμόζονται οι γενικές αρχές και οι λοιποί κανόνες του παρόντος κανονισμού, ιδίως σε ό,τι αφορά τους όρους νόμιμης επεξεργασίας. Παρεκκλίσεις από τη γενική απαγόρευση επεξεργασίας δεδομένων προσωπικού χαρακτήρα που υπάγονται στις εν λόγω ειδικές κατηγορίες θα πρέπει να προβλέπονται ρητώς, μεταξύ άλλων, σε περίπτωση ρητής συγκατάθεσης του υποκειμένου των δεδομένων ή όταν πρόκειται για ειδικές ανάγκες, ιδίως όταν η επεξεργασία διενεργείται στο πλαίσιο θεμιτών δραστηριοτήτων ορισμένων ενώσεων ή ιδρυμάτων, σκοπός των οποίων είναι να επιτρέπουν την άσκηση των θεμελιωδών ελευθεριών. […]

(53) Η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα που χρήζουν υψηλότερης προστασίας θα πρέπει να γίνεται μόνο για σκοπούς που σχετίζονται με την υγεία, εφόσον αυτό είναι απαραίτητο για την επίτευξη των εν λόγω στόχων, προς όφελος των φυσικών προσώπων και της κοινωνίας στο σύνολό της, ιδίως στο πλαίσιο της διαχείρισης των υπηρεσιών και συστημάτων υγειονομικής περίθαλψης […] Συνεπώς, ο παρών Κανονισμός θα πρέπει να προβλέπει εναρμονισμένες προϋποθέσεις για την επεξεργασία των ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα που αφορούν την υγεία, σε σχέση με ειδικές ανάγκες, ιδίως όταν η επεξεργασία των εν λόγω δεδομένων πραγματοποιείται για ορισμένους σκοπούς που αφορούν την υγεία από πρόσωπα που υπέχουν νομική υποχρέωση τήρησης επαγγελματικού απορρήτου. Το δίκαιο της Ένωσης ή των κρατών μελών θα πρέπει να προβλέπει ειδικά και κατάλληλα μέτρα για την προστασία των θεμελιωδών δικαιωμάτων και των δεδομένων προσωπικού χαρακτήρα των φυσικών προσώπων. Τα κράτη μέλη θα πρέπει να μπορούν να διατηρούν ή να θεσπίζουν περαιτέρω όρους, μεταξύ άλλων και περιορισμούς, όσον αφορά την επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων ή δεδομένων που αφορούν την υγεία. […]

(141) Κάθε υποκείμενο των δεδομένων θα πρέπει να έχει το δικαίωμα να υποβάλει καταγγελία σε μία μόνη εποπτική αρχή, ιδίως στο κράτος μέλος της συνήθους διαμονής του, και το δικαίωμα πραγματικής δικαστικής προσφυγής σύμφωνα με το άρ. 47 του [Χάρτη των θεμελιωδών δικαιωμάτων της Ευρωπαϊκής Ένωσης, στο εξής: Χάρτης], εφόσον θεωρεί ότι παραβιάζονται τα δικαιώματά του βάσει του παρόντος κανονισμού ή όταν η εποπτική αρχή δεν δίνει συνέχεια σε μια καταγγελία, απορρίπτει εν όλω ή εν μέρει ή κρίνει απαράδεκτη μια καταγγελία ή δεν ενεργεί ενώ οφείλει να ενεργήσει για να προστατεύσει τα δικαιώματα του υποκειμένου των δεδομένων. […]

(142) Όταν το υποκείμενο των δεδομένων θεωρεί ότι παραβιάζονται τα δικαιώματά του βάσει του παρόντος κανονισμού, θα πρέπει να έχει το δικαίωμα να αναθέσει σε μη κερδοσκοπικό φορέα, οργανισμό ή οργάνωση που έχει συσταθεί σύμφωνα με το δίκαιο κράτους μέλος, διαθέτει καταστατικούς σκοπούς που είναι προς το δημόσιο συμφέρον και δραστηριοποιείται στον τομέα της προστασίας των δεδομένων προσωπικού χαρακτήρα, να υποβάλει καταγγελία εξ ονόματός του σε εποπτική αρχή, να ασκήσει το δικαίωμα δικαστικής προσφυγής για λογαριασμό των υποκειμένων των δεδομένων ή, εφόσον προβλέπεται από το δίκαιο κράτους μέλους, το δικαίωμα να λάβει αποζημίωση για λογαριασμό των υποκειμένων των δεδομένων. Κράτος μέλος μπορεί να προβλέπει ότι αυτός ο φορέας, οργανισμός ή οργάνωση να έχει το δικαίωμα να υποβάλει σε αυτό το κράτος μέλος καταγγελία, ανεξάρτητα από τυχόν ανάθεση του υποκειμένου των δεδομένων, και δικαίωμα πραγματικής δικαστικής προσφυγής, όταν έχει λόγους να θεωρεί ότι τα δικαιώματα του υποκειμένου των δεδομένων παραβιάστηκαν ως αποτέλεσμα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα κατά παράβαση του παρόντος κανονισμού. Ο εν λόγω φορέας, οργανισμός ή οργάνωση ενδέχεται να μην έχει το δικαίωμα να απαιτεί αποζημίωση για λογαριασμό του υποκειμένου των δεδομένων, ανεξάρτητα από τυχόν ανάθεση του υποκειμένου των δεδομένων».

5. Το άρ. 1 του εν λόγω Κανονισμού, το οποίο φέρει τον τίτλο «Αντικείμενο και στόχοι», ορίζει τα εξής:

«1. Ο παρών Κανονισμός θεσπίζει κανόνες που αφορούν την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και κανόνες που αφορούν την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα.

2. Ο παρών Κανονισμός προστατεύει θεμελιώδη δικαιώματα και ελευθερίες των φυσικών προσώπων και ειδικότερα το δικαίωμά τους στην προστασία των δεδομένων προσωπικού χαρακτήρα.

3. Η ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης δεν περιορίζεται ούτε απαγορεύεται για λόγους που σχετίζονται με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα».

6. Το άρ. 4 του εν λόγω Κανονισμού προβλέπει τα εξής:

«Για τους σκοπούς του παρόντος Κανονισμού νοούνται ως:

1) «δεδομένα προσωπικού χαρακτήρα»: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου,

2) «επεξεργασία»: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή, […]

7) «υπεύθυνος επεξεργασίας»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, […]

15) «δεδομένα που αφορούν την υγεία»: δεδομένα προσωπικού χαρακτήρα τα οποία σχετίζονται με τη σωματική ή ψυχική υγεία ενός φυσικού προσώπου, περιλαμβανομένης της παροχής υπηρεσιών υγειονομικής φροντίδας, και τα οποία αποκαλύπτουν πληροφορίες σχετικά με την κατάσταση της υγείας του, […]

21) «εποπτική αρχή»: ανεξάρτητη δημόσια αρχή που συγκροτείται από κράτος μέλος σύμφωνα με το άρ. 51, […]».

7. Το Κεφ. II του ΓΚΠΔ, το οποίο τιτλοφορείται «Αρχές», περιλαμβάνει τα άρ. 5 έως 11.

8. Στο άρ. 5 του Κανονισμού αυτού διατυπώνονται οι αρχές που διέπουν την επεξεργασία των δεδομένων προσωπικού χαρακτήρα, ενώ στο άρθρο 6 καθορίζονται οι προϋποθέσεις νομιμότητας της επεξεργασίας αυτής.

9. Κατά το άρ. 9 του εν λόγω Κανονισμού, το οποίο φέρει τον τίτλο «Επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα»:

«1. Απαγορεύεται η επεξεργασία δεδομένων προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και η επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένων που αφορούν την υγεία ή δεδομένων που αφορούν τη σεξουαλική ζωή φυσικού προσώπου ή τον γενετήσιο προσανατολισμό.

2. Η παρ. 1 δεν εφαρμόζεται στις ακόλουθες περιπτώσεις:

α) το υποκείμενο των δεδομένων έχει παράσχει ρητή συγκατάθεση για την επεξεργασία αυτών των δεδομένων προσωπικού χαρακτήρα για έναν ή περισσότερους συγκεκριμένους σκοπούς, εκτός εάν το δίκαιο της Ένωσης ή κράτους μέλους προβλέπει ότι η απαγόρευση που αναφέρεται στην παρ. 1 δεν μπορεί να αρθεί από το υποκείμενο των δεδομένων, […]

η) η επεξεργασία είναι απαραίτητη για σκοπούς προληπτικής ή επαγγελματικής ιατρικής, εκτίμησης της ικανότητας προς εργασία του εργαζομένου, ιατρικής διάγνωσης, παροχής υγειονομικής ή κοινωνικής περίθαλψης ή θεραπείας ή διαχείρισης υγειονομικών και κοινωνικών συστημάτων και υπηρεσιών βάσει του ενωσιακού δικαίου ή του δικαίου κράτους μέλους ή δυνάμει σύμβασης με επαγγελματία του τομέα της υγείας και με την επιφύλαξη των προϋποθέσεων και των εγγυήσεων που αναφέρονται στην παρ. 3, […]».

10. Το άρ. 51 του ΓΚΠΔ, το οποίο φέρει τον τίτλο «Εποπτική αρχή», ορίζει στην παρ. 1 τα εξής:

«Κάθε κράτος μέλος διασφαλίζει ότι μία ή περισσότερες ανεξάρτητες δημόσιες αρχές επιφορτίζονται με την παρακολούθηση της εφαρμογής του παρόντος κανονισμού, με σκοπό την προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων έναντι της [επεξεργασίας] και τη διευκόλυνση της ελεύθερης κυκλοφορίας δεδομένων προσωπικού χαρακτήρα στην Ένωση («εποπτική αρχή»)».

11. Το Κεφ. VIII του ΓΚΠΔ, το οποίο επιγράφεται «Προσφυγές, ευθύνη και κυρώσεις», περιλαμβάνει τα άρ. 77 έως 84 του Κανονισμού.

12. Το άρ. 77 του Κανονισμού, το οποίο φέρει τον τίτλο «Δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή», ορίζει στην παρ. 1 τα εξής:

«Με την επιφύλαξη τυχόν άλλων διοικητικών ή δικαστικών προσφυγών, κάθε υποκείμενο των δεδομένων έχει το δικαίωμα να υποβάλει καταγγελία σε εποπτική αρχή, ιδίως στο κράτος μέλος στο οποίο έχει τη συνήθη διαμονή του ή τον τόπο εργασίας του ή τον τόπο της εικαζόμενης παράβασης, εάν το υποκείμενο των δεδομένων θεωρεί ότι η επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορά παραβαίνει τον παρόντα Κανονισμό».

13. Το άρ. 78 του εν λόγω Κανονισμού, το οποίο φέρει τον τίτλο «Δικαίωμα πραγματικής δικαστικής προσφυγής κατά αρχής ελέγχου», ορίζει στην παρ. 1 τα εξής:

«Με την επιφύλαξη κάθε άλλης διοικητικής ή μη δικαστικής προσφυγής, κάθε φυσικό ή νομικό πρόσωπο έχει το δικαίωμα πραγματικής δικαστικής προσφυγής κατά νομικά δεσμευτικής απόφασης εποπτικής αρχής που το αφορά».

14. Το άρ. 79 του ίδιου Κανονισμού, το οποίο φέρει τον τίτλο «Δικαίωμα πραγματικής δικαστικής προσφυγής κατά υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία», προβλέπει στην παρ. 1 τα εξής:

«Με την επιφύλαξη κάθε διαθέσιμης διοικητικής ή μη δικαστικής προσφυγής, συμπεριλαμβανομένου του δικαιώματος υποβολής καταγγελίας σε εποπτική αρχή δυνάμει του άρ. 77, έκαστο υποκείμενο των δεδομένων έχει δικαίωμα πραγματικής δικαστικής προσφυγής εάν θεωρεί ότι τα δικαιώματά του που απορρέουν από τον παρόντα κανονισμό παραβιάστηκαν ως αποτέλεσμα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα του που το αφορούν κατά παράβαση του παρόντος Κανονισμού».

15. Το άρ. 80 του ΓΚΠΔ, το οποίο φέρει τον τίτλο «Εκπροσώπηση υποκειμένων των δεδομένων», ορίζει τα εξής:

«1. Το υποκείμενο των δεδομένων έχει το δικαίωμα να αναθέσει σε μη κερδοσκοπικό φορέα, οργάνωση ή ένωση που έχει συσταθεί δεόντως σύμφωνα με το δίκαιο κράτους μέλους, διαθέτει καταστατικούς σκοπούς που είναι γενικού συμφέροντος και δραστηριοποιείται στον τομέα της προστασίας των δικαιωμάτων και των ελευθεριών των υποκειμένων των δεδομένων σε σχέση με την προστασία των δεδομένων τους προσωπικού χαρακτήρα να υποβάλει την καταγγελία για λογαριασμό του και να ασκήσει τα δικαιώματα που αναφέρονται στα άρ. 77, 78 και 79 για λογαριασμό του και να ασκήσει το δικαίωμα αποζημίωσης που αναφέρεται στο άρ. 82 εξ ονόματός του, εφόσον προβλέπεται από το δίκαιο του κράτους μέλους.

2. Τα κράτη μέλη μπορούν να προβλέπουν ότι κάθε φορέας, οργάνωση ή ένωση που αναφέρεται στην παρ. 1 του παρόντος άρθρου έχει το δικαίωμα, ανεξάρτητα από τυχόν ανάθεση του υποκειμένου των δεδομένων, να υποβάλει στο εν λόγω κράτος μέλος καταγγελία στην εποπτική αρχή που είναι αρμόδια δυνάμει του άρ. 77 και να ασκήσει τα δικαιώματα που αναφέρονται στα άρ. 78 και 79, εφόσον θεωρεί ότι τα δικαιώματα του υποκειμένου των δεδομένων δυνάμει του παρόντος Κανονισμού παραβιάστηκαν ως αποτέλεσμα της επεξεργασίας».

16. Το άρ. 82 του ως άνω Κανονισμού, το οποίο φέρει τον τίτλο «Δικαίωμα αποζημίωσης και ευθύνη», ορίζει στην παρ. 1 τα εξής:

«Κάθε πρόσωπο το οποίο υπέστη υλική ή μη υλική ζημία ως αποτέλεσμα παραβίασης του παρόντος Κανονισμού δικαιούται αποζημίωση από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για τη ζημία που υπέστη».

17. Το άρ. 83 του ΓΚΠΔ, το οποίο φέρει τον τίτλο «Γενικοί όροι επιβολής διοικητικών προστίμων», προβλέπει στην παρ. 1 τα εξής:

«Κάθε εποπτική αρχή μεριμνά ώστε η επιβολή διοικητικών προστίμων σύμφωνα με το παρόν άρθρο έναντι παραβάσεων του παρόντος Κανονισμού που αναφέρονται στις παρ. 4, 5 και 6 να είναι για κάθε μεμονωμένη περίπτωση αποτελεσματική, αναλογική και αποτρεπτική».

18. Το άρ. 84 του ίδιου Κανονισμού, το οποίο επιγράφεται «Κυρώσεις», προβλέπει στην παρ. 1 τα εξής:

«Τα κράτη μέλη θεσπίζουν τους κανόνες σχετικά με τις άλλες κυρώσεις που επιβάλλονται για παραβάσεις του παρόντος Κανονισμού, ιδίως για τις παραβάσεις που δεν αποτελούν αντικείμενο διοικητικών προστίμων δυνάμει του άρ. 83, και λαμβάνουν όλα τα αναγκαία μέτρα για να διασφαλιστεί ότι εφαρμόζονται. Οι εν λόγω κυρώσεις είναι αποτελεσματικές, αναλογικές και αποτρεπτικές».

19. Το άρ. 94 του ΓΚΠΔ προβλέπει στην παρ. 1 τα εξής:

«Η Οδηγία [95/46] καταργείται από τις 25 Μαΐου 2018».

20. Κατά το άρ. 99 του Κανονισμού αυτού:

«1. Ο παρών Κανονισμός αρχίζει να ισχύει την εικοστή ημέρα από τη δημοσίευσή του στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.

2. Τίθεται σε εφαρμογή από τις 25 Μαΐου 2018».

Το γερμανικό δίκαιο

Ο νόμος περί αθέμιτου ανταγωνισμού

21. Το άρ. 3 του Gesetz gegen den unlauteren Wettbewerb (νόμου περί αθέμιτου ανταγωνισμού) της 3ης Ιουλίου 2004 (BGBl. 2004 I, σ. 1414), όπως ίσχυε κατά τον χρόνο των πραγματικών περιστατικών της διαφοράς της κύριας δίκης (στο εξής: UWG), το οποίο επιγράφεται «Απαγόρευση αθέμιτων εμπορικών συμπεριφορών», προβλέπει στην παρ. 1 τα εξής:

«Απαγορεύονται οι αθέμιτες εμπορικές πρακτικές».

22. Το άρ. 3a του UWG, το οποίο φέρει τον τίτλο «Παραβίαση της νομοθεσίας», έχει ως εξής:

«Αθέμιτα ενεργεί όποιος παραβαίνει διάταξη του νόμου η οποία έχει ως σκοπό, μεταξύ άλλων, να ρυθμίσει τη συναλλακτική συμπεριφορά προς το συμφέρον των συναλλασσομένων στη σχετική αγορά και η παράβαση είναι ικανή να βλάψει σημαντικά τα συμφέροντα των καταναλωτών, άλλων φορέων της αγοράς ή των ανταγωνιστών».

23. Το άρ. 8 του UWG, το οποίο φέρει τον τίτλο «Άρση και παράλειψη», ορίζει τα εξής:

«(1) Στις περιπτώσεις αθέμιτων εμπορικών πρακτικών κατά την έννοια των άρ. 3 ή 7, μπορεί να διαταχθεί η άρση και, σε περίπτωση κινδύνου υποτροπής, η παράλειψή τους στο μέλλον. […]

(3) Την αξίωση της παρ. 1 μπορούν να ασκήσουν:

1. κάθε ανταγωνιστής ο οποίος εμπορεύεται ή ζητεί αγαθά ή υπηρεσίες σε σημαντικό βαθμό και όχι μόνο περιστασιακά, […]».

Ο νόμος περί φαρμάκων

24. Η κυκλοφορία των φαρμάκων διέπεται από τον Gesetz über den Verkehr mit Arzneimitteln (νόμο περί εμπορίας φαρμάκων) της 24ης Αυγούστου 1976 (BGBl. 1976 I, σ. 2444), όπως δημοσιεύθηκε στις 12 Δεκεμβρίου 2005 (BGBl. 2005 I, σ. 3394) και ίσχυε κατά τον χρόνο των πραγματικών περιστατικών της διαφοράς της κύριας δίκης, ο οποίος διακρίνει μεταξύ των διατιθέμενων από τα φαρμακεία φαρμάκων και των διατιθέμενων με ιατρική συνταγή φαρμάκων, τα οποία ρυθμίζονται στο άρθρο 48 με τίτλο «Υποχρέωση συνταγογράφησης».

Η διαφορά της κύριας δίκης και τα προδικαστικά ερωτήματα

25. Ο ND, ο οποίος εκμεταλλεύεται φαρμακείο υπό την εμπορική ονομασία «Lindenapotheke», εμπορεύεται, από το 2017, μέσω της διαδικτυακής πλατφόρμας «Amazon-Marketplace» (στο εξής: Amazon), φάρμακα τα οποία πρέπει να διατίθενται αποκλειστικά από φαρμακεία. Κατά τη διαδικτυακή παραγγελία των φαρμάκων, οι πελάτες του ND οφείλουν να παρέχουν πληροφορίες, όπως το όνομά τους, τη διεύθυνση παράδοσης και τα στοιχεία που είναι αναγκαία για την εξατομίκευση των φαρμάκων.

26. Ο DR, ο οποίος εκμεταλλεύεται και αυτός φαρμακείο, άσκησε ενώπιον του Landgericht Dessau-Roßlau (πρωτοδικείου Dessau-Roßlau, Γερμανία) αγωγή με αίτημα να διαταχθεί ο ND να παύσει, επ’ απειλή χρηματικής ποινής, την εμπορία, μέσω της Amazon, φαρμάκων τα οποία πρέπει να διατίθενται αποκλειστικώς από φαρμακεία, διότι δεν διασφαλίζεται η δυνατότητα του πελάτη να παράσχει την προηγούμενη συγκατάθεσή του για την επεξεργασία δεδομένων που αφορούν την υγεία.

27. Προς στήριξη της αγωγής του, ο DR ισχυρίστηκε ότι η εμπορία μέσω της Amazon φαρμάκων τα οποία πρέπει να διατίθενται αποκλειστικώς από φαρμακεία ήταν αθέμιτη λόγω της μη τήρησης νομικών απαιτήσεων σχετικών με τη λήψη της συγκατάθεσης του πελάτη την οποία απαιτεί η νομοθεσία για την προστασία των δεδομένων προσωπικού χαρακτήρα.

28. Με απόφαση της 28ης Μαρτίου 2018, το Landgericht Dessau-Roßlau (πρωτοδικείο Dessau-Roßlau) δέχθηκε την αγωγή.

29. Ο ND άσκησε έφεση κατά της πρωτοβάθμιας απόφασης ενώπιον του Oberlandesgericht Naumburg (εφετείου Naumburg, Γερμανία), το οποίο την απέρριψε με απόφαση της 7ης Νοεμβρίου 2019.

30. Το εφετείο έκρινε ότι η εμπορία μέσω της Amazon φαρμάκων τα οποία πρέπει να διατίθενται αποκλειστικώς από φαρμακεία συνιστά πρακτική αθέμιτη και, ως εκ τούτου, παράνομη, δυνάμει του άρ. 3 παρ. 1 του UWG. Συγκεκριμένα, αποφάνθηκε ότι μια τέτοια εμπορία φαρμάκων συνεπάγεται επεξεργασία δεδομένων που αφορούν την υγεία, η οποία απαγορεύεται δυνάμει του άρ. 9 παρ. 1 του ΓΚΠΔ, ελλείψει ρητής συγκατάθεσης των πελατών που αγοράζουν τα φάρμακα, σύμφωνα με το άρ. 9 παρ. 2 στ. αʹ του Κανονισμού αυτού. Οι κανόνες που προβλέπει ο εν λόγω κανονισμός αποτελούν νομικές διατάξεις οι οποίες αποσκοπούν στη ρύθμιση της συμπεριφοράς στην αγορά, κατά την έννοια του άρ. 3a του UWG. Επιπλέον, κατ’ εφαρμογήν του άρ. 8 παρ. 3 σημ. 1 του UWG, ο DR νομιμοποιείται, ως ανταγωνιστής, να επικαλεστεί παράβαση των κανόνων αυτών από τον ND, ασκώντας αγωγή παραλείψεως ενώπιον των πολιτικών δικαστηρίων.

31. Ο ND άσκησε αναίρεση (Revision) ενώπιον του Bundesgerichtshof (Ανωτάτου Ομοσπονδιακού Δικαστηρίου, Γερμανία), ήτοι του αιτούντος δικαστηρίου.

32. Το αιτούν δικαστήριο επισημαίνει ότι η έκβαση της διαφοράς εξαρτάται από την ερμηνεία των διατάξεων του Κεφ. VIII του ΓΚΠΔ και του άρ. 9 παρ. 1 του Κανονισμού αυτού, καθώς και του άρ. 8 παρ. 1 της Οδηγίας 95/46.

33. Κατά πρώτον, το αιτούν δικαστήριο διερωτάται αν, μετά την κατάργηση της Οδηγίας 95/46 από τις 25 Μαΐου 2018, ημερομηνία από την οποία τέθηκε σε εφαρμογή ο ΓΚΠΔ, τα κράτη μέλη εξακολουθούν να έχουν τη δυνατότητα να προβλέπουν στο εθνικό τους δίκαιο ότι οι ανταγωνιστές μιας επιχείρησης, όπως οι αναφερόμενοι στο άρ. 8 παρ. 3 σημ. 1 του UWG νομιμοποιούνται να ασκήσουν αγωγή ενώπιον πολιτικού δικαστηρίου, επί τη βάσει της απαγορεύσεως των αθέμιτων εμπορικών πρακτικών, αξιώνοντας την παύση των παραβάσεων των διατάξεων του ΓΚΠΔ τις οποίες διαπράττει η επιχείρηση αυτή.

34. Το αιτούν δικαστήριο παρατηρεί ότι στο ερώτημα αυτό έχουν δοθεί αποκλίνουσες απαντήσεις σε εθνικό επίπεδο. Συγκεκριμένα, δεν μπορεί να συναχθεί σαφής απάντηση ούτε από το γράμμα των διατάξεων του Κεφ. VIII του ΓΚΠΔ, ούτε από τη γενική οικονομία των διατάξεων αυτών, ούτε καν από τον σκοπό που επιδιώκει ο εν λόγω Κανονισμός.

35. Ειδικότερα, καταρχάς, όσον αφορά το γράμμα των διατάξεων του Κεφ. VIII του ΓΚΠΔ, το αιτούν δικαστήριο υπογραμμίζει ότι, πράγματι, οι διατάξεις αυτές ουδόλως μνημονεύουν τη δυνατότητα των ανταγωνιστών μιας επιχείρησης να ασκήσουν αγωγή κατ’ αυτής, ειδικώς όταν η παραβίαση της νομοθεσίας για την προστασία των δεδομένων συνιστά αθέμιτη εμπορική πρακτική. Ταυτοχρόνως, όμως, οι εν λόγω διατάξεις δεν αποκλείουν ρητώς μια τέτοια δυνατότητα.

36. Εν συνεχεία, όσον αφορά την όλη οικονομία των διατάξεων του Κεφ. VIII του ΓΚΠΔ, το αιτούν δικαστήριο υπογραμμίζει, αφενός, ότι, όπως έκρινε το Δικαστήριο με την απόφαση της 28ης Απριλίου 2022, Meta Platforms Ireland (C-319/20, EU:C:2022:322, σκ. 57), ο Κανονισμός αυτός σκοπεί να διασφαλίσει την καταρχήν πλήρη εναρμόνιση των εθνικών νομοθεσιών περί προστασίας των δεδομένων προσωπικού χαρακτήρα. Ωστόσο, αφετέρου, το γεγονός ότι το άρ. 77 παρ. 1, το άρ. 78 παρ. 1 και 2 και το άρ. 79 παρ. 1 του ΓΚΠΔ περιέχουν τη φράση «με την επιφύλαξη κάθε άλλης […] προσφυγής» θα μπορούσε να σημαίνει ότι δεν επιτρέπεται να συναχθεί το συμπέρασμα ότι ο έλεγχος της εφαρμογής του δικαίου έχει ρυθμιστεί εξαντλητικά.

37. Τέλος, όσον αφορά τον σκοπό της εναρμόνισης και, ειδικότερα, της ομοιογενοποίησης του επιπέδου ελέγχου της εφαρμογής του δικαίου εντός της Ένωσης, τον οποίο επιδιώκει ο ΓΚΠΔ, το αιτούν δικαστήριο υπογραμμίζει, αφενός, ότι το γεγονός ότι είναι δυνατόν οι ανταγωνιστές να νομιμοποιούνται ενεργητικώς βάσει του δικαίου του ανταγωνισμού και, ως εκ τούτου, να επιτυγχάνουν την εφαρμογή των διατάξεων του δικαίου περί προστασίας των δεδομένων χρησιμοποιώντας μέσα πέραν εκείνων που προβλέπει ο ΓΚΠΔ ενδέχεται να αντιβαίνει στον προαναφερθέντα σκοπό. Επιπλέον, δεν είναι βέβαιο ότι το σύστημα ελέγχου της εφαρμογής του προβλεπόμενου από τον εν λόγω Κανονισμό δικαίου παρουσιάζει κενό το οποίο θα πρέπει να καλυφθεί με τη δυνατότητα που αναγνωρίζεται στους ανταγωνιστές να νομιμοποιούνται ενεργητικώς βάσει του δικαίου του ανταγωνισμού. Ομοίως, η παράλληλη αρμοδιότητα των εποπτικών αρχών και των πολιτικών δικαστηρίων στον τομέα της εφαρμογής του δικαίου περί προστασίας των δεδομένων ενέχει τον κίνδυνο να θιγούν οι εξουσίες των εποπτικών αρχών και να δημιουργηθούν αποκλίσεις, εντός της Ένωσης, όσον αφορά τον έλεγχο της εφαρμογής του δικαίου περί προστασίας των δεδομένων.

38. Αφετέρου, κατά το αιτούν δικαστήριο, η αναγνώριση στους ανταγωνιστές του δικαιώματος άσκησης αγωγής βάσει του δικαίου του ανταγωνισμού μπορεί να αποτελέσει πρόσθετη δυνατότητα ελέγχου της εφαρμογής του δικαίου, η οποία είναι ευκταία σύμφωνα με την αρχή της αποτελεσματικότητας («πρακτική αποτελεσματικότητα»), προκειμένου να διασφαλιστεί όσο το δυνατόν υψηλότερο επίπεδο προστασίας στον τομέα των δεδομένων προσωπικού χαρακτήρα, σύμφωνα με την αιτιολογική σκ. 10 του ΓΚΠΔ.

39. Το αιτούν δικαστήριο επισημαίνει ότι το ζήτημα αυτό δεν έχει αποσαφηνιστεί από τη νομολογία του Δικαστηρίου και ότι, ειδικότερα, με την απόφαση της 28ης Απριλίου 2022, Meta Platforms Ireland (C-319/20, EU:C:2022:322), το Δικαστήριο επιφυλάχθηκε ρητώς ως προς το ζήτημα της ενεργητικής νομιμοποίησης ανταγωνιστή.

40. Κατά δεύτερον, το αιτούν δικαστήριο διερωτάται αν τα δεδομένα τα οποία οι πελάτες πρέπει να εισαγάγουν στη διαδικτυακή πλατφόρμα πωλήσεων κατά την παραγγελία φαρμάκων, όπως το όνομά τους, η διεύθυνση παράδοσης και τα στοιχεία που είναι αναγκαία για την εξατομίκευση των φαρμάκων που παραγγέλλονται, συνιστούν «δεδομένα που αφορούν την υγεία» κατά την έννοια του άρ. 8 παρ. 1 της Οδηγίας 95/46 και του άρ. 9 παρ. 1 του ΓΚΠΔ.

41. Κατά το αιτούν δικαστήριο, η απάντηση στο ερώτημα αυτό δεν είναι προφανής στην περίπτωση κατά την οποία δεν απαιτείται ιατρική συνταγή για τα φάρμακα που παραγγέλλονται. Συγκεκριμένα, σε μια τέτοια περίπτωση, δεν αποκλείεται τα φάρμακα να μην προορίζονται για τους ίδιους τους πελάτες, αλλά για τρίτους, των οποίων η ταυτότητα δεν μπορεί να εξακριβωθεί.

42. Το αιτούν δικαστήριο υπογραμμίζει ότι το γράμμα των διατάξεων αυτών και το γράμμα του άρ. 4 σημ. 15 του ΓΚΠΔ, σε συνδυασμό με την αιτιολογική σκ. 35 του Kανονισμού αυτού, δεν καθιστούν, αφ’ εαυτών, δυνατό να δοθεί απάντηση στο συγκεκριμένο ερώτημα.

43. Πάντως, στη σκ. 125 της απόφασης της 1ης Αυγούστου 2022, Vyriausioji tarnybinės etikos komisija (C-184/20, EU:C:2022:601), το Δικαστήριο έκρινε ότι η έννοια των «ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα» κατά το άρ. 8 παρ. 1 της Οδηγίας 95/46 και κατά το άρ. 9 παρ. 1 του ΓΚΠΔ, πρέπει να ερμηνεύεται ευρέως, λαμβανομένου υπόψη του σκοπού του Κανονισμού αυτού, ο οποίος συνίσταται στη διασφάλιση υψηλού επιπέδου προστασίας των θεμελιωδών ελευθεριών και δικαιωμάτων των φυσικών προσώπων, ιδίως της ιδιωτικής τους ζωής, έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που τα αφορούν. Αν γίνει δεκτή μια τέτοια ευρεία ερμηνεία της ως άνω έννοιας, μπορεί να συναχθεί το συμπέρασμα ότι οι πληροφορίες αυτές συνιστούν δεδομένα που αφορούν την υγεία όταν δεν είναι βέβαιο, αλλά μόνον πιθανό, ότι τα φάρμακα αυτά προορίζονται για τον πελάτη που τα παραγγέλνει.

44. Το αιτούν δικαστήριο διευκρινίζει ότι η αξίωση προς παράλειψη, την οποία επικαλείται ο DR, προϋποθέτει ότι η επίμαχη συμπεριφορά του ND ήταν παράνομη τόσο κατά το χρονικό σημείο κατά το οποίο αυτή η συμπεριφορά έλαβε χώρα όσο και κατά το χρονικό σημείο της επ’ ακροατηρίου συζητήσεως στο πλαίσιο της αναιρετικής δίκης (Revision) και ότι κατά το πρώτο από τα χρονικά αυτά σημεία εξακολουθούσε να έχει εφαρμογή το άρ. 8 παρ. 1 της Οδηγίας 95/46, ενώ ως προς το δεύτερο έχει πλέον εφαρμογή το άρ. 9 παρ. 1 του ΓΚΠΔ.

45. Υπό τις συνθήκες αυτές, το Bundesgerichtshof (Ανώτατο Ομοσπονδιακό Δικαστήριο) αποφάσισε να αναστείλει την ενώπιόν του διαδικασία και να υποβάλει στο Δικαστήριο τα ακόλουθα προδικαστικά ερωτήματα:

«1) Αντιτίθενται οι ρυθμίσεις του Κεφ. VIIΙ του [ΓΚΠΔ] προς εθνικές ρυθμίσεις οι οποίες – πέραν των εξουσιών παρεμβάσεως των αρμοδίων για την παρακολούθηση και τη διασφάλιση της εφαρμογής του Κανονισμού εποπτικών αρχών και πέραν των δυνατοτήτων έννομης προστασίας των υποκειμένων των δεδομένων – αναγνωρίζουν σε ανταγωνιστές, στην περίπτωση παραβάσεων του εν λόγω Κανονισμού, ενεργητική νομιμοποίηση προς άσκηση αγωγής κατά του παραβάτη ενώπιον των πολιτικών δικαστηρίων επί τη βάσει της απαγορεύσεως των αθεμίτων εμπορικών πρακτικών;

2) Αποτελούν τα δεδομένα τα οποία οι πελάτες φαρμακοποιού, ο οποίος εμφανίζεται ως πωλητής σε διαδικτυακή πλατφόρμα πωλήσεων, εισάγουν στην πλατφόρμα αυτή, κατά την παραγγελία φαρμάκων που διατίθενται μεν αποκλειστικά από φαρμακεία, πλην όμως δεν απαιτούν ιατρική συνταγή (όνομα του πελάτη, διεύθυνση παραδόσεως και πληροφορίες αναγκαίες για την εξατομίκευση του παραγγελθέντος φαρμάκου που διατίθεται αποκλειστικά από φαρμακεία), δεδομένα που αφορούν την υγεία κατά την έννοια του άρ. 9 παρ. 1 του [ΓΚΠΔ], καθώς και δεδομένα προσωπικού χαρακτήρα που παρέχουν πληροφορίες για την υγεία κατά την έννοια του άρ. 8 παρ. 1 της Οδηγίας 95/46;»

Επί των προδικαστικών ερωτημάτων

Επί του πρώτου προδικαστικού ερωτήματος

46. Με το πρώτο προδικαστικό ερώτημα, το αιτούν δικαστήριο ζητεί να διευκρινιστεί αν οι διατάξεις του Κεφ. VIII του ΓΚΠΔ έχουν την έννοια ότι αντιτίθενται σε εθνική ρύθμιση η οποία, παράλληλα με τις εξουσίες παρέμβασης των εποπτικών αρχών που είναι επιφορτισμένες με την εποπτεία και την εφαρμογή του Κανονισμού αυτού καθώς και παράλληλα με τις δυνατότητες προσφυγής των υποκειμένων των δεδομένων, παρέχει στους ανταγωνιστές του φερόμενου ως παραβάτη των διατάξεων περί προστασίας των δεδομένων προσωπικού χαρακτήρα ενεργητική νομιμοποίηση για την άσκηση αγωγής κατ’ αυτού ενώπιον των πολιτικών δικαστηρίων, λόγω παραβάσεων των διατάξεων του εν λόγω Κανονισμού και επί τη βάσει της απαγόρευσης των αθέμιτων εμπορικών πρακτικών.

47. Υπενθυμίζεται, προκαταρκτικώς, ότι το Κεφ. VIII του ΓΚΠΔ ρυθμίζει, μεταξύ άλλων, τα μέσα έννομης προστασίας που καθιστούν δυνατή την προστασία των δικαιωμάτων του υποκειμένου των δεδομένων όταν τα δεδομένα προσωπικού χαρακτήρα που το αφορούν έχουν υποστεί επεξεργασία η οποία φέρεται ότι αντιβαίνει στις διατάξεις του κανονισμού αυτού. Επομένως, την προστασία των δικαιωμάτων αυτών μπορεί να ζητήσει είτε απευθείας το υποκείμενο των δεδομένων, κατ’ εφαρμογήν των άρ. 77 έως 79 του Κανονισμού αυτού, είτε από νομιμοποιούμενο φορέα, ανεξαρτήτως του αν έχει δοθεί σχετική εντολή, βάσει του άρ. 80 του εν λόγω Κανονισμού (πρβλ. απόφαση της 28ης Απριλίου 2022, Meta Platforms Ireland, C-319/20, EU:C:2022:322, σκ. 53).

48. Πράγματι, αφενός, το άρ. 77 παρ. 1 του ΓΚΠΔ προβλέπει ότι, με την επιφύλαξη τυχόν άλλων διοικητικών ή δικαστικών προσφυγών, κάθε υποκείμενο των δεδομένων έχει το δικαίωμα να υποβάλει καταγγελία σε εποπτική αρχή. Κατά το άρ. 78 παρ. 1 του εν λόγω Κανονισμού, κάθε φυσικό ή νομικό πρόσωπο έχει το δικαίωμα πραγματικής δικαστικής προσφυγής κατά νομικά δεσμευτικής απόφασης εποπτικής αρχής που το αφορά, με την επιφύλαξη κάθε άλλης διοικητικής ή μη δικαστικής προσφυγής. Το άρ. 79 παρ. 1 του ίδιου Κανονισμού εξασφαλίζει σε έκαστο υποκείμενο των δεδομένων το δικαίωμα πραγματικής δικαστικής προσφυγής, με την επιφύλαξη κάθε διαθέσιμης διοικητικής ή μη δικαστικής προσφυγής, συμπεριλαμβανομένου του δικαιώματος υποβολής καταγγελίας σε εποπτική αρχή δυνάμει του άρ. 77 του ίδιου Κανονισμού.

49. Αφετέρου, σύμφωνα με το άρ. 80 παρ. 1 του ΓΚΠΔ, το υποκείμενο των δεδομένων έχει το δικαίωμα να αναθέσει σε μη κερδοσκοπικό φορέα, οργάνωση ή ένωση, υπό ορισμένες προϋποθέσεις, να υποβάλει καταγγελία ή να ασκήσει για λογαριασμό του τα αναφερόμενα στα άρ. 77 έως 79 του ΓΚΠΔ δικαιώματα. Επιπλέον, κατά το άρ. 80 παρ. 2 του εν λόγω Κανονισμού, τα κράτη μέλη μπορούν να προβλέπουν ότι κάθε φορέας, οργάνωση ή ένωση έχει το δικαίωμα, ανεξάρτητα από τυχόν ανάθεση εντολής από το υποκείμενο των δεδομένων, να υποβάλει, εντός του οικείου κράτους μέλους, καταγγελία στην εποπτική αρχή και να ασκήσει τα δικαιώματα αυτά, εφόσον θεωρεί ότι τα απορρέοντα από τον κανονισμό δικαιώματα του υποκειμένου των δεδομένων παραβιάστηκαν ως αποτέλεσμα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που το αφορούν.

50. Εν προκειμένω, από τη δικογραφία που έχει στη διάθεσή του το Δικαστήριο προκύπτει ότι ο ND, ο οποίος εκμεταλλεύεται φαρμακείο, εμπορεύεται μέσω της Amazon φάρμακα τα οποία πρέπει να διατίθενται αποκλειστικώς από φαρμακεία, και ότι, κατά τη διαδικτυακή παραγγελία των φαρμάκων αυτών, οι πελάτες οφείλουν να παρέχουν δεδομένα, όπως το όνομά τους, η διεύθυνση παράδοσης και τα στοιχεία που είναι αναγκαία για την εξατομίκευση των εν λόγω φαρμάκων. Εντούτοις, η αγωγή ενώπιον πολιτικού δικαστηρίου στην υπόθεση της κύριας δίκης δεν ασκήθηκε από τους πελάτες αυτούς, οι οποίοι είναι υποκείμενα των δεδομένων κατά την έννοια του άρ. 4 παρ. 1 του ΓΚΠΔ, βάσει του άρ. 79 του Κανονισμού αυτού, ούτε από εξουσιοδοτημένο φορέα, οργάνωση ή ένωση, ανεξάρτητα από τυχόν ανάθεση εντολής προς τούτο εκ μέρους υποκειμένου των δεδομένων, βάσει του άρ. 80 του εν λόγω Κανονισμού, αλλά από ανταγωνιστή του φαρμακοποιού επί τη βάσει της απαγορεύσεως των αθέμιτων εμπορικών πρακτικών, λόγω παράβασης των διατάξεων του ΓΚΠΔ την οποία φέρεται ότι διέπραξε ο εν λόγω φαρμακοποιός.

51. Επομένως, η υπόθεση της κύριας δίκης εγείρει το ζήτημα αν αντιβαίνει στον ΓΚΠΔ η ύπαρξη νομιμοποίησης ανταγωνιστή όπως ο DR, ο οποίος δεν είναι υποκείμενο δεδομένων κατά την έννοια του άρ. 4 σημ. 1 του Κανονισμού αυτού, προς άσκηση τέτοιας αγωγής ενώπιον των εθνικών πολιτικών δικαστηρίων.

52. Συναφώς, υπενθυμίζεται ότι, για την ερμηνεία διάταξης του δικαίου της Ένωσης, πρέπει να λαμβάνεται υπόψη όχι μόνον το γράμμα της, αλλά και το πλαίσιο στο οποίο εντάσσεται και οι σκοποί που επιδιώκονται με τη ρύθμιση της οποίας αποτελεί μέρος (απόφαση της 12ης Ιανουαρίου 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C-132/21, EU:C:2023:2, σκ. 32).

53. Όσον αφορά το γράμμα των διατάξεων του Κεφ. VIII του ΓΚΠΔ, διαπιστώνεται ότι καμία από αυτές δεν αποκλείει ρητώς τη δυνατότητα του ανταγωνιστή επιχείρησης να ασκήσει αγωγή κατά της επιχείρησης αυτής ενώπιον των πολιτικών δικαστηρίων επί τη βάσει της απαγορεύσεως των αθέμιτων εμπορικών πρακτικών, λόγω της προβαλλόμενης παράβασης εκ μέρους της επιχείρησης αυτής των υποχρεώσεων που προβλέπει ο ΓΚΠΔ. Αντιθέτως, από το γράμμα του άρ. 77 παρ. 1 του άρ. 78 παρ. 1 και του άρ. 79 παρ. 1 του Κανονισμού αυτού, τα οποία υπομνήσθηκαν στη σκ. 48 της παρούσας απόφασης, προκύπτει ότι τα δικαιώματα τα οποία προβλέπονται στις διατάξεις αυτές, ήτοι το δικαίωμα υποβολής καταγγελίας σε εποπτική αρχή και το δικαίωμα πραγματικής δικαστικής προσφυγής κατά μιας τέτοιας αρχής και κατά υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία, νοούνται «με την επιφύλαξη» κάθε άλλης διοικητικής, δικαστικής ή εξωδικαστικής προσφυγής.

54. Όσον αφορά το πλαίσιο στο οποίο εντάσσεται το Κεφ. VIII του ΓΚΠΔ, επισημαίνεται ότι ο Κανονισμός αυτός περιέχει, στο Κεφ. II, ένα σύνολο ουσιαστικών διατάξεων που αφορούν, μεταξύ άλλων, τις διαλαμβανόμενες στο άρ. του 5 αρχές σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και τις διαλαμβανόμενες στο άρ. του 6 προϋποθέσεις νομιμότητας της επεξεργασίας, οι οποίες αποσκοπούν στη διασφάλιση του πλήρους σεβασμού, μεταξύ άλλων, του θεμελιώδους δικαιώματος στην προστασία των δεδομένων προσωπικού χαρακτήρα των υποκειμένων των δεδομένων, το οποίο κατοχυρώνεται στο άρ. 16 παρ. 1 ΣΛΕΕ και στο άρ. 8 του Χάρτη. Η απουσία διατάξεων στο Κεφ. VIII του ΓΚΠΔ οι οποίες να προβλέπουν ότι οι ανταγωνιστές μιας επιχείρησης, η οποία φέρεται ότι παρέβη τις εν λόγω ουσιαστικές διατάξεις, μπορούν να ασκήσουν αγωγή με αίτημα την παύση της παράβασης αυτής εξηγείται από το γεγονός ότι μόνον τα υποκείμενα των δεδομένων, και όχι οι ανταγωνιστές της επιχείρησης, είναι, όπως επισήμανε ο Γενικός Εισαγγελέας στο σημ. 80 των προτάσεών του, αποδέκτες της προστασίας των δεδομένων προσωπικού χαρακτήρα την οποία εγγυάται ο κανονισμός αυτός.

55. Τούτου λεχθέντος, μολονότι η παράβαση των εν λόγω ουσιαστικών διατάξεων είναι ικανή να επηρεάσει πρωτίστως τα πρόσωπα τα οποία αφορούν τα επίμαχα δεδομένα, μπορεί επίσης να θίξει τρίτους, όπερ καταδεικνύεται από το γεγονός ότι το άρ. 82 παρ. 1 του ΓΚΠΔ προβλέπει δικαίωμα αποζημίωσης για «κάθε πρόσωπο το οποίο υπέστη υλική ή μη υλική ζημία ως αποτέλεσμα παραβίασης του [Κανονισμού αυτού]». Το Δικαστήριο έχει επίσης διαπιστώσει ότι η παράβαση κανόνα σχετικού με την προστασία των δεδομένων προσωπικού χαρακτήρα μπορεί να συνεπάγεται ταυτόχρονα την παράβαση κανόνων σχετικών με την προστασία των καταναλωτών ή με τις αθέμιτες εμπορικές πρακτικές (απόφαση της 28ης Απριλίου 2022, Meta Platforms Ireland, C-319/20, EU:C:2022:322, σκ. 78) και να συνιστά σημαντική ένδειξη προκειμένου να εκτιμηθεί αν υφίσταται κατάχρηση δεσπόζουσας θέσης κατά την έννοια του άρ. 102 ΣΛΕΕ [πρβλ. απόφαση της 4ης Ιουλίου 2023, Meta Platforms κ.λπ. (Γενικοί όροι χρήσης κοινωνικού δικτύου), C-252/21, EU:C:2023:537, σκ. 47 και 62].

56. Στο πλαίσιο αυτό, υπενθυμίζεται ότι η πρόσβαση στα δεδομένα προσωπικού χαρακτήρα και η εκμετάλλευσή τους έχουν μείζονα σημασία στο πλαίσιο της ψηφιακής οικονομίας. Πράγματι, η πρόσβαση στα δεδομένα προσωπικού χαρακτήρα και η δυνατότητα επεξεργασίας τους έχουν καταστεί σημαντική παράμετρος του ανταγωνισμού μεταξύ επιχειρήσεων της ψηφιακής οικονομίας. Ως εκ τούτου, προκειμένου να ληφθεί υπόψη αυτή η πραγματική εξέλιξη της οικονομίας και να διασφαλιστεί ο θεμιτός ανταγωνισμός, μπορεί να αποδειχθεί αναγκαίο να ληφθούν υπόψη οι κανόνες οι οποίοι διέπουν την προστασία των δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της εφαρμογής του δικαίου του ανταγωνισμού και των κανόνων για τις αθέμιτες εμπορικές πρακτικές [πρβλ. απόφαση της 4ης Ιουλίου 2023, Meta Platforms κ.λπ. (Γενικοί όροι χρήσης κοινωνικού δικτύου), C-252/21, EU:C:2023:537, σκ. 50 και 51].

57. Επιπλέον, μολονότι από το άρ. 1 παρ. 1 του ΓΚΠΔ, ερμηνευόμενο υπό το πρίσμα, μεταξύ άλλων, των αιτιολογικών του σκ. 9 και 13, προκύπτει ότι ο Κανονισμός αυτός σκοπεί να διασφαλίσει την καταρχήν πλήρη εναρμόνιση των εθνικών νομοθεσιών περί προστασίας των δεδομένων προσωπικού χαρακτήρα, εντούτοις πολλές διατάξεις του εν λόγω Κανονισμού παρέχουν ρητώς στα κράτη μέλη τη δυνατότητα να θεσπίζουν πρόσθετους εθνικούς κανόνες, αυστηρότερους ή εισάγοντες παρεκκλίσεις, οι οποίοι καταλείπουν στα κράτη μέλη περιθώριο εκτιμήσεως ως προς τον τρόπο με τον οποίο οι εν λόγω διατάξεις μπορούν να τίθενται σε εφαρμογή («ρήτρες ανοίγματος») (απόφαση της 28ης Απριλίου 2022, Meta Platforms Ireland, C-319/20, EU:C:2022:322, σκ. 57).

58. Το Δικαστήριο έχει κρίνει ότι τούτο ισχύει για το άρ. 80 παρ. 2 του ΓΚΠΔ, το οποίο καταλείπει στα κράτη μέλη περιθώριο εκτιμήσεως όσον αφορά την εφαρμογή του και δεν αντιτίθεται σε εθνική ρύθμιση η οποία επιτρέπει σε ένωση για την προστασία των καταναλωτών να κινηθεί δικαστικώς, χωρίς να της έχει ανατεθεί εντολή προς τούτο και ανεξαρτήτως της ύπαρξης προσβολής συγκεκριμένων δικαιωμάτων των υποκειμένων των δεδομένων, κατά του φερόμενου ως παραβάτη των διατάξεων περί προστασίας των δεδομένων προσωπικού χαρακτήρα, προβάλλοντας, μεταξύ άλλων, την παραβίαση της απαγόρευσης των αθέμιτων εμπορικών πρακτικών, εφόσον η επίμαχη επεξεργασία δεδομένων είναι ικανή να θίξει τα δικαιώματα που αντλούν από τον εν λόγω κανονισμό ταυτοποιημένα ή ταυτοποιήσιμα φυσικά πρόσωπα (απόφαση της 28ης Απριλίου 2022, Meta Platforms Ireland, C-319/20, EU:C:2022:322, σκ. 59 και 83).

59. Βεβαίως, οι διατάξεις του Κεφ. VIII του ΓΚΠΔ δεν προβλέπουν ειδικώς τέτοια ρήτρα ανοίγματος η οποία να παρέχει ρητώς στα κράτη μέλη τη δυνατότητα να προβλέπουν ότι ο ανταγωνιστής επιχείρησης η οποία φέρεται ότι παρέβη τις ουσιαστικές διατάξεις του Κανονισμού μπορεί να ασκήσει αγωγή με αίτημα την παύση της εν λόγω παράβασης.

60. Παρά ταύτα, από το γράμμα και το πλαίσιο στο οποίο εντάσσονται οι διατάξεις του Κεφ. VIII οι οποίες υπομνήσθηκαν στις σκ. 53 έως 58 της παρούσας απόφασης προκύπτει ότι ο νομοθέτης της Ένωσης δεν θέλησε, με τη θέσπιση του εν λόγω Κανονισμού, να προβεί σε εξαντλητική εναρμόνιση των μέσων έννομης προστασίας που παρέχονται σε περίπτωση παράβασης των διατάξεων του ΓΚΠΔ ούτε, ιδίως, θέλησε να αποκλείσει μια τέτοια δυνατότητα άσκησης αγωγής από τους ανταγωνιστές του φερόμενου ως παραβάτη των διατάξεων περί προστασίας των δεδομένων προσωπικού χαρακτήρα, βάσει του εθνικού δικαίου για την απαγόρευση των αθέμιτων εμπορικών πρακτικών.

61. Η ερμηνεία αυτή επιβεβαιώνεται από τους σκοπούς τους οποίους επιδιώκει ο ΓΚΠΔ, οι οποίοι, όπως προκύπτει ιδίως από την αιτιολογική του σκ. 10, συνίστανται στη διασφάλιση συνεκτικού και υψηλού επιπέδου προστασίας των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και στην άρση των εμποδίων στη ροή των δεδομένων αυτών εντός της Ένωσης. Η αιτιολογική σκ. 11 του Κανονισμού αναφέρει, επιπλέον, ότι η αποτελεσματική προστασία των δεδομένων αυτών απαιτεί την ενίσχυση των δικαιωμάτων των υποκειμένων των δεδομένων και των υποχρεώσεων όσων επεξεργάζονται δεδομένα και καθορίζουν την επεξεργασία τους, καθώς και τον καθορισμό, στα κράτη μέλη, αντίστοιχων εξουσιών παρακολούθησης και διασφάλισης της συμμόρφωσης προς τους κανόνες προστασίας των δεδομένων προσωπικού χαρακτήρα και αντίστοιχων κυρώσεων για τις παραβιάσεις. Η αιτιολογική σκ. 13 του Κανονισμού διευκρινίζει ότι, για να διασφαλιστεί συνεκτικό επίπεδο προστασίας των φυσικών προσώπων σε ολόκληρη την Ένωση και προς αποφυγή αποκλίσεων που εμποδίζουν την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα στην εσωτερική αγορά, απαιτείται κανονισμός ο οποίος θα κατοχυρώνει την ασφάλεια δικαίου και τη διαφάνεια για τους οικονομικούς παράγοντες και θα προβλέπει για τα φυσικά πρόσωπα σε όλα τα κράτη μέλη το ίδιο επίπεδο νομικά εκτελεστών δικαιωμάτων και υποχρεώσεων, καθώς και ευθυνών για τους υπευθύνους επεξεργασίας και τους εκτελούντες την επεξεργασία, ώστε να διασφαλιστεί η συνεκτική παρακολούθηση της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, καθώς και ισοδύναμες κυρώσεις σε όλα τα κράτη μέλη.

62. Η δυνατότητα του ανταγωνιστή επιχείρησης να ασκήσει αγωγή ενώπιον των πολιτικών δικαστηρίων επί τη βάσει της απαγορεύσεως των αθέμιτων εμπορικών πρακτικών προκειμένου να παύσει παράβαση των ουσιαστικών διατάξεων του ΓΚΠΔ την οποία φέρεται ότι διέπραξε η επιχείρηση αυτή, όχι μόνο δεν θίγει τους ως άνω σκοπούς, αλλά, αντιθέτως, μπορεί να ενισχύσει την πρακτική αποτελεσματικότητα των συγκεκριμένων διατάξεων και, κατ’ επέκταση, το επιδιωκόμενο με τον εν λόγω Κανονισμό υψηλό επίπεδο προστασίας των υποκειμένων των δεδομένων έναντι της επεξεργασίας των προσωπικών τους δεδομένων.

63. Πράγματι, αφενός, αγωγή παραλείψεως ασκούμενη από ανταγωνιστή κατά επιχείρησης επί τη βάσει της απαγορεύσεως των αθέμιτων εμπορικών πρακτικών, λόγω φερόμενης παράβασης των ουσιαστικών διατάξεων του ΓΚΠΔ, ουδόλως θίγει το σύστημα μέσων έννομης προστασίας που προβλέπεται στο Κεφ. VIII του Κανονισμού αυτού ούτε τον σκοπό της διασφάλισης συνεκτικού επιπέδου προστασίας των φυσικών προσώπων σε ολόκληρη την Ένωση και της αποτροπής αποκλίσεων που εμποδίζουν την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα εντός της εσωτερικής αγοράς.

64. Βεβαίως, μια τέτοια αγωγή μπορεί να στηριχθεί, έστω και παρεμπιπτόντως, σε παράβαση των ίδιων διατάξεων του ΓΚΠΔ με εκείνες επί των οποίων θα μπορούσε να στηριχθεί καταγγελία ή προσφυγή ασκούμενη, κατ’ εφαρμογήν των άρ. 77 έως 79 του ίδιου Κανονισμού, από τα υποκείμενα των δεδομένων ή από φορέα, οργάνωση ή ένωση, κατά την έννοια του άρ. 80 του Κανονισμού αυτού.

65. Ωστόσο, πρώτον, σε αντίθεση με τα άρ. 77 έως 80 του ΓΚΠΔ, η αγωγή παραλείψεως την οποία ασκεί ανταγωνιστής δεν αποσκοπεί, αυτή καθεαυτήν, στην προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών των υποκειμένων των δεδομένων έναντι της επεξεργασίας των δεδομένων τους προσωπικού χαρακτήρα, αλλά στη διασφάλιση θεμιτού ανταγωνισμού, και δη προς το συμφέρον του εν λόγω ανταγωνιστή.

66. Δεύτερον, η δυνατότητα ανταγωνιστή να ασκήσει τέτοια αγωγή ενώπιον των πολιτικών δικαστηρίων επί τη βάσει της απαγορεύσεως των αθέμιτων εμπορικών πρακτικών προστίθεται στα μέσα έννομης προστασίας που προβλέπονται στα άρ. 77 έως 79 του ΓΚΠΔ, τα οποία ουδόλως θίγονται και μπορούν πάντοτε να ασκηθούν από τα υποκείμενα των δεδομένων καθώς και, κατά περίπτωση, από τους φορείς, τις οργανώσεις ή τις ενώσεις, κατά την έννοια του άρ. 80 του Κανονισμού αυτού.

67. Ειδικότερα, όπως επισήμανε η Γερμανική Κυβέρνηση, η συνύπαρξη μέσων έννομης προστασίας τα οποία εμπίπτουν στο δίκαιο της προστασίας των δεδομένων και στο δίκαιο του ανταγωνισμού δεν δημιουργεί κίνδυνο για την ομοιόμορφη εφαρμογή του ΓΚΠΔ. Στο πλαίσιο αυτό, επισημαίνεται ότι από τα άρ. 77 έως 80 του ΓΚΠΔ προκύπτει ότι ο Κανονισμός αυτός δεν προβλέπει κατά προτεραιότητα ή αποκλειστική αρμοδιότητα ούτε οποιονδήποτε κανόνα σύμφωνα με τον οποίο υπερισχύει η κρίση της αρχής ή των δικαστηρίων που μνημονεύονται στα άρθρα αυτά, ως προς την ύπαρξη προσβολής των δικαιωμάτων που παρέχει ο Κανονισμός (πρβλ. απόφαση της 12ης Ιανουαρίου 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C-132/21, EU:C:2023:2, σκέψη 35). Ως εκ τούτου, το γεγονός ότι η αγωγή παραλείψεως ασκείται ενώπιον των πολιτικών δικαστηρίων από ανταγωνιστή του φερόμενου ως παραβάτη των διατάξεων περί προστασίας των δεδομένων προσωπικού χαρακτήρα δεν θίγει το σύστημα μέσων έννομης προστασίας, όπως αυτό προβλέπεται στο Κεφ. VIII του ΓΚΠΔ. Επιπλέον, όπως παρατήρησε η κυβέρνηση αυτή, η ομοιόμορφη ερμηνεία των ουσιαστικών διατάξεων του κανονισμού αυτού, οι οποίες μπορούν να εφαρμοστούν στην ίδια παράβαση, αφενός, από την εποπτική αρχή και τα επιλαμβανόμενα δικαστήρια δυνάμει των άρ. 77 έως 80 του εν λόγω Κανονισμού, και, αφετέρου, από τα δικαστήρια ενώπιον των οποίων ο ανταγωνιστής αυτός έχει ασκήσει αγωγή επί τη βάσει της απαγορεύσεως των αθέμιτων εμπορικών πρακτικών, διασφαλίζεται μέσω της διαδικασίας προδικαστικής παραπομπής του άρ. 267 ΣΛΕΕ.

68. Τρίτον, όπως επισήμανε κατ’ ουσίαν ο Γενικός Εισαγγελέας στο σημ. 104 των προτάσεών του, η διευρυμένη δυνατότητα επίκλησης των ουσιαστικών διατάξεων του ΓΚΠΔ και από άλλα πρόσωπα, και όχι μόνο από τα υποκείμενα των δεδομένων και τους φορείς, τις οργανώσεις και τις ενώσεις, κατά την έννοια του άρ. 80 του Κανονισμού αυτού, δεν θίγει την επίτευξη του σκοπού της διασφάλισης συνεκτικού επιπέδου προστασίας των υποκειμένων των δεδομένων σε ολόκληρη την Ένωση και της αποφυγής αποκλίσεων που εμποδίζουν την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα εντός της εσωτερικής αγοράς. Πράγματι, ακόμη και αν κάποια κράτη μέλη δεν προβλέπουν τέτοια δυνατότητα, τούτο δεν συνεπάγεται κατακερματισμό της εφαρμογής της προστασίας δεδομένων εντός της Ένωσης, δεδομένου ότι οι ουσιαστικές διατάξεις του ΓΚΠΔ επιβάλλονται κατά τον ίδιο τρόπο σε όλους τους υπευθύνους επεξεργασίας, κατά την έννοια του άρ. 4 σημ. 7 του Κανονισμού αυτού, η δε τήρησή τους διασφαλίζεται με τα μέσα έννομης προστασίας που προβλέπει ο εν λόγω κανονισμός.

69. Αφετέρου, όσον αφορά τον σκοπό της διασφάλισης αποτελεσματικής προστασίας των υποκειμένων των δεδομένων έναντι της επεξεργασίας των προσωπικών τους δεδομένων και την πρακτική αποτελεσματικότητα των ουσιαστικών διατάξεων του ΓΚΠΔ, διαπιστώνεται ότι, μολονότι αγωγή παραλείψεως ασκούμενη από ανταγωνιστή του φερόμενου ως παραβάτη των διατάξεων περί προστασίας των δεδομένων προσωπικού χαρακτήρα δεν επιδιώκει, όπως επισημάνθηκε στη σκ. 65 της παρούσας απόφασης, τον προαναφερθέντα σκοπό, αλλά τον σκοπό της διασφάλισης θεμιτού ανταγωνισμού, εντούτοις συμβάλλει αναμφισβήτητα στην τήρηση των διατάξεων αυτών και, επομένως, στην ενίσχυση των δικαιωμάτων των υποκειμένων των δεδομένων και στη διασφάλιση υψηλού επιπέδου προστασίας τους (πρβλ. απόφαση της 28ης Απριλίου 2022, Meta Platforms Ireland, C-319/20, EU:C:2022:322, σκ. 74).

70. Άλλωστε, μια τέτοια αγωγή παραλείψεως ασκούμενη από ανταγωνιστή μπορεί να αποδειχθεί, όπως και η αγωγή των ενώσεων για την προστασία των συμφερόντων των καταναλωτών, ιδιαιτέρως αποτελεσματική για τη διασφάλιση της προστασίας αυτής, στο μέτρο που είναι ικανή να αποτρέψει μεγάλο αριθμό προσβολών των δικαιωμάτων των υποκειμένων των δεδομένων οι οποίες οφείλονται στην επεξεργασία των δεδομένων τους προσωπικού χαρακτήρα (πρβλ. απόφαση της 28ης Απριλίου 2022, Meta Platforms Ireland, C-319/20, EU:C:2022:322, σκ. 75).

71. Επομένως, η ερμηνεία που έγινε δεκτή στη σκ. 60 της παρούσας απόφασης είναι σύμφωνη με τις απαιτήσεις που απορρέουν από το άρ. 16 παρ. 1 ΣΛΕΕ και το άρ. 8 του Χάρτη και, ως εκ τούτου, με τον σκοπό που επιδιώκει ο ΓΚΠΔ, ο οποίος συνίσταται στη διασφάλιση αποτελεσματικής προστασίας των θεμελιωδών ελευθεριών και δικαιωμάτων των φυσικών προσώπων καθώς και, μεταξύ άλλων, στη διασφάλιση υψηλού επιπέδου προστασίας του δικαιώματος κάθε προσώπου στην προστασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν (πρβλ. απόφαση της 28ης Απριλίου 2022, Meta Platforms Ireland, C-319/20, EU:C:2022:322, σκ. 73).

72. Εν προκειμένω, εναπόκειται στο αιτούν δικαστήριο να εξακριβώσει αν η φερόμενη παράβαση των επίμαχων στην υπόθεση της κύριας δίκης ουσιαστικών διατάξεων του ΓΚΠΔ, εφόσον αποδειχθεί, συνιστά επίσης παράβαση της απαγόρευσης των αθέμιτων εμπορικών πρακτικών, όπως αυτή προβλέπεται από τη σχετική εθνική νομοθεσία.

73. Κατόπιν των ανωτέρω σκέψεων, στο πρώτο προδικαστικό ερώτημα πρέπει να δοθεί η απάντηση ότι οι διατάξεις του Κεφ. VIII του ΓΚΠΔ έχουν την έννοια ότι δεν αντιτίθενται σε εθνική ρύθμιση η οποία, παράλληλα με τις εξουσίες παρέμβασης των εποπτικών αρχών που είναι επιφορτισμένες με την εποπτεία και την εφαρμογή του Κανονισμού αυτού καθώς και παράλληλα με τις δυνατότητες προσφυγής των υποκειμένων των δεδομένων, παρέχει στους ανταγωνιστές του φερόμενου ως παραβάτη των διατάξεων περί προστασίας των δεδομένων προσωπικού χαρακτήρα ενεργητική νομιμοποίηση για την άσκηση αγωγής κατ’ αυτού ενώπιον των πολιτικών δικαστηρίων, λόγω παραβάσεων των διατάξεων του εν λόγω Κανονισμού και επί τη βάσει της απαγορεύσεως των αθέμιτων εμπορικών πρακτικών.

Επί του δευτέρου προδικαστικού ερωτήματος

74. Με το δεύτερο προδικαστικό ερώτημα, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, να διευκρινιστεί αν το άρ. 8 παρ. 1 της Οδηγίας 95/46 και το άρ. 9 παρ. 1 του ΓΚΠΔ έχουν την έννοια ότι, στην περίπτωση κατά την οποία ο έχων την εκμετάλλευση φαρμακείου εμπορεύεται, μέσω διαδικτυακής πλατφόρμας, φάρμακα τα οποία πρέπει να διατίθενται αποκλειστικώς από φαρμακεία, οι πληροφορίες τις οποίες οι πελάτες του εν λόγω προσώπου παρέχουν κατά τη διαδικτυακή παραγγελία φαρμάκων, όπως το όνομά τους, η διεύθυνση παράδοσης και τα στοιχεία που είναι αναγκαία για την εξατομίκευση των φαρμάκων, συνιστούν δεδομένα που αφορούν την υγεία κατά την έννοια των διατάξεων αυτών, ακόμη και όταν για την πώληση των φαρμάκων δεν απαιτείται ιατρική συνταγή. […]

78. Επομένως, όταν τα στοιχεία σχετικά με τις αγορές φαρμάκων καθιστούν δυνατή τη συναγωγή συμπερασμάτων σχετικά με την κατάσταση της υγείας ενός ταυτοποιημένου ή ταυτοποιήσιμου προσώπου, τότε τα στοιχεία αυτά πρέπει να θεωρούνται ως δεδομένα που αφορούν την υγεία, κατά την έννοια του άρ. 4 σημ. 15 του ΓΚΠΔ. […]

83. Ως εκ τούτου, για τον χαρακτηρισμό δεδομένων προσωπικού χαρακτήρα ως δεδομένων που αφορούν την υγεία κατά την έννοια του άρ. 8 παρ. 1 της Οδηγίας 95/46 και του άρ. 9 παρ. 1 του ΓΚΠΔ, αρκεί τα δεδομένα αυτά να είναι ικανά να αποκαλύψουν, μέσω νοητικής διεργασίας συσχετισμού ή επαγωγής, πληροφορίες σχετικά με την κατάσταση της υγείας του υποκειμένου των δεδομένων (πρβλ. απόφαση της 1ης Αυγούστου 2022, Vyriausioji tarnybinės etikos komisija, C-184/20, EU:C:2022:601, σκ. 123).

84. Τα δεδομένα τα οποία ο πελάτης εισάγει σε διαδικτυακή πλατφόρμα κατά την παραγγελία φαρμάκων, τα οποία πρέπει να διατίθενται αποκλειστικώς από φαρμακεία, είναι ικανά να αποκαλύψουν, μέσω νοητικής διεργασίας συσχετισμού ή επαγωγής, πληροφορίες σχετικά με την κατάσταση της υγείας του υποκειμένου των δεδομένων, κατά την έννοια του άρ. 4 σημ. 1 του ΓΚΠΔ, στο μέτρο που η παραγγελία αυτή συνεπάγεται τη σύνδεση ενός φαρμάκου, των θεραπευτικών του ενδείξεων ή των χρήσεων του με ένα φυσικό πρόσωπο, ταυτοποιημένο ή ταυτοποιήσιμο βάσει στοιχείων όπως το όνομα του προσώπου αυτού και η διεύθυνση παράδοσης. […]

88. Επομένως, στην περίπτωση κατά την οποία χρήστης διαδικτυακής πλατφόρμας γνωστοποιεί δεδομένα προσωπικού χαρακτήρα κατά την παραγγελία φαρμάκων τα οποία πρέπει να διατίθενται αποκλειστικώς από φαρμακεία, χωρίς να απαιτείται ιατρική συνταγή, η επεξεργασία των δεδομένων αυτών από τον έχοντα την εκμετάλλευση φαρμακείου που πωλεί τα εν λόγω φάρμακα μέσω της διαδικτυακής αυτής πλατφόρμας πρέπει να θεωρηθεί ως επεξεργασία δεδομένων που αφορούν την υγεία, κατά την έννοια του άρ. 8 παρ. 1 της Οδηγίας 95/46 και του άρ. 9 παρ. 1 του ΓΚΠΔ, διότι η εν λόγω επεξεργασία δεδομένων είναι ικανή να αποκαλύψει πληροφορίες σχετικά με την κατάσταση της υγείας φυσικού προσώπου, ανεξαρτήτως του αν οι πληροφορίες αυτές αφορούν τον συγκεκριμένο χρήστη ή οποιοδήποτε άλλο πρόσωπο για λογαριασμό του οποίου ο χρήστης πραγματοποιεί την παραγγελία [πρβλ. απόφαση της 4ης Ιουλίου 2023, Meta Platforms κ.λπ. (Γενικοί όροι χρήσης κοινωνικού δικτύου), C-252/21, EU:C:2023:537, σκ. 73].

89. Πράγματι, ερμηνεία των διατάξεων αυτών η οποία θα κατέληγε σε διάκριση αναλόγως του είδους των οικείων φαρμάκων και του αν για την πώλησή τους απαιτείται ή όχι ιατρική συνταγή δεν θα ήταν σύμφωνη με τον σκοπό που συνίσταται στην επίτευξη υψηλού επιπέδου προστασίας, ο οποίος υπομνήσθηκε στη σκ. 81 της παρούσας απόφασης. Μια τέτοια ερμηνεία θα αντέβαινε άλλωστε στον σκοπό του άρ. 8 παρ. 1 της Οδηγίας 95/46 και του άρ. 9 παρ. 1 του ΓΚΠΔ, ο οποίος συνίσταται στη διασφάλιση αυξημένης προστασίας έναντι επεξεργασίας η οποία, λόγω του ιδιαίτερα ευαίσθητου χαρακτήρα των δεδομένων, μπορεί να συνιστά, όπως προκύπτει από την αιτιολογική σκ. 51 του ΓΚΠΔ, ιδιαιτέρως σοβαρή επέμβαση στα θεμελιώδη δικαιώματα του σεβασμού της ιδιωτικής ζωής και της προστασίας των δεδομένων προσωπικού χαρακτήρα, τα οποία κατοχυρώνονται στα άρ. 7 και 8 του Χάρτη (απόφαση της 1ης Αυγούστου 2022, Vyriausioji tarnybinės etikos komisija, C-184/20, EU:C:2022:601, σκ. 126 και εκεί μνημονευόμενη νομολογία). […]

94. Κατόπιν των προεκτεθέντων, στο δεύτερο προδικαστικό ερώτημα πρέπει να δοθεί η απάντηση ότι το άρ. 8 παρ. 1 της Οδηγίας 95/46 και το άρ. 9 παρ. 1 του ΓΚΠΔ έχουν την έννοια ότι, στην περίπτωση κατά την οποία ο έχων την εκμετάλλευση φαρμακείου εμπορεύεται, μέσω διαδικτυακής πλατφόρμας φάρμακα τα οποία πρέπει να διατίθενται αποκλειστικώς από φαρμακεία οι πληροφορίες τις οποίες οι πελάτες του εν λόγω προσώπου παρέχουν κατά τη διαδικτυακή παραγγελία φαρμάκων, όπως το όνομά τους, η διεύθυνση παράδοσης και τα στοιχεία που είναι αναγκαία για την εξατομίκευση των φαρμάκων, συνιστούν δεδομένα που αφορούν την υγεία, κατά την έννοια των διατάξεων αυτών, ακόμη και όταν για την πώληση των φαρμάκων δεν απαιτείται ιατρική συνταγή. […]

Παρατηρήσεις

Η παραβίαση των διατάξεων του Γενικού Κανονισμού Προστασίας Δεδομένων συνιστά «αθέμιτη ανταγωνιστική συμπεριφορά» κατά το άρθρο 1 του Ν. 146/1914.

1. Πολύ ενδιαφέρουσα η υπό σχολιασμό απόφαση, καθώς δίνει απάντηση σε ένα ερώτημα το οποίο έχει απασχολήσει τη γερμανική θεωρία και ήδη έχει τύχει σχετικού σχολιασμού στην εθνική νομική βιβλιογραφία[1]. Πολλοί αναρωτιούνται αν η παραβίαση των κανόνων προστασίας δεδομένων μπορεί να δώσει σε μια επιχείρηση ανταγωνιστικό πλεονέκτημα, αυξάνοντας την πελατεία και τον τζίρο της, σε σύγκριση με τις επιχειρήσεις που τηρούν τις επιταγές του ΓΚΠΔ, της Οδηγίας ePrivacy και της εθνικής νομοθεσίας (Ν. 4624/2019 και Ν. 3471/2006). Επί παραδείγματι, μια επιχείρηση που δεν τηρεί τους κανόνες για αποστολή προωθητικών μηνυμάτων emails μπορεί να αποκτήσει περισσότερους πελάτες έναντι αυτής που επιλέγει να αποστέλλει προωθητικά emails μόνο σε υποκείμενα δεδομένων που έχουν δώσει τη ρητή συγκατάθεσή τους κατά το άρθρο 11 παρ. 1 του Ν. 3471/2006.

2. Το ερώτημα είναι αν οι διατάξεις περί προστασίας δεδομένων (ΓΚΠΔ και ePrivacy) μπορούν να εφαρμοστούν στο πλαίσιο των Β2Β σχέσεων, επιτρέποντας σε έναν ανταγωνιστή να κινηθεί δικαστικά απευθείας κατά του παραβάτη – επιχείρησης σε περίπτωση παραβίασης εκ μέρους του τελευταίου του ΓΚΠΔ, ζητώντας άρση και παράλειψη αυτής της «παράνομης αντι-ανταγωνιστικής συμπεριφοράς».

3. Το άρθρο 1 του ν. 146/1914 ορίζει ότι (παρ. 1) απαγορεύεται κατά τις εμπορικές, βιομηχανικές ή γεωργικές συναλλαγές κάθε πράξη που γίνεται με σκοπό ανταγωνισμού και αντίκειται στα χρηστά ήθη και ότι (παρ. 2) ο παραβάτης μπορεί να εναχθεί για παράλειψη και ανόρθωση της προσγενομένης ζημίας. Με τη διάταξη αυτή ο νομοθέτης θεσπίζει μία «μεγάλη γενική ρήτρα» ως γενικό νόμιμο λόγο ευθύνης επί αθέμιτων ανταγωνιστικών πράξεων.

Πρόκειται για μία διάταξη η οποία καθιερώνει ένα «ειδικό αστικό αδίκημα» στο πλαίσιο σχέσεων ανταγωνιστών και απαγορεύει τις πράξεις τις οποίες τελεί ένας εμπορευόμενος στον οικείο κύκλο συναλλαγών με σκοπό να αποκτήσει αθέμιτο ανταγωνιστικό προβάδισμα. Προϋποθέσεις εφαρμογής της διάταξης αυτής είναι σύμφωνα με τη νομολογία που έχει διαμορφωθεί παγίως στη χώρα μας:

α) τέλεση πράξης ανταγωνισμού με σκοπό ανταγωνισμού [2]

β) στο πλαίσιο σχέσης ανταγωνισμού[3],

γ) αντίθεση της ανταγωνιστικής πράξης στα χρηστά ήθη[4] και

δ) πράξη σε ορισμένο κύκλο συναλλαγών, τις εμπορικές, βιομηχανικές και γεωργικές συναλλαγές[5]. Έννομη συνέπεια είναι η αξίωση του θιγέντος να ζητήσει την άρση και παράλειψη της αθέμιτης συμπεριφοράς, και επί υπαιτιότητας του παραβάτη, και την αποκατάσταση της επελθούσας ζημίας του θιγέντος. Η αξίωση προς άρση και παράλειψη θεμελιώνεται σε αντικειμενική ευθύνη του παραβάτη[6], ανεξαρτήτως δηλαδή πταίσματός του, ενώ για την αξίωση αποζημίωσης απαιτείται πταίσμα του τελευταίου.

4. Το ζήτημα της επίκλησης παραβιάσεων του ΓΚΠΔ και της Οδηγίας ePrivacy στο B2B περιβάλλον συνδέεται με το αν οι κανόνες προστασίας δεδομένων συμβάλλουν και στην εύρυθμη λειτουργία της αγοράς, πέρα από την προστασία της ιδιωτικότητας των ατόμων. Ή, με άλλα λόγια, η μη τήρηση του GDPR εκ μέρους μιας επιχείρησης μπορεί να θεωρηθεί ως «αντίθετη στα χρηστά ήθη» συμπεριφορά κατά την έννοια του άρθρου 1 του Ν. 146/1914;

5. Το ερώτημα αυτό δεν το απαντά ευθέως η υπό σχολιασμό προδικαστική απόφαση του ΔΕΕ, εκδοθείσα κατόπιν προδικαστικού ερωτήματος από το Bundesgerichtshof (Ανώτατο Ομοσπονδιακό Δικαστήριο της Γερμανίας), το οποίο αποφάσισε να αναστείλει την ενώπιόν του διαδικασία και να υποβάλει στο Δικαστήριο δύο προδικαστικά ερωτήματα, εκ των οποίων το πρώτο είχε ως εξής:

«1) Αντιτίθενται οι ρυθμίσεις του κεφαλαίου VIIΙ του [ΓΚΠΔ] προς εθνικές ρυθμίσεις οι οποίες –πέραν των εξουσιών παρεμβάσεως των αρμοδίων για την παρακολούθηση και τη διασφάλιση της εφαρμογής του κανονισμού εποπτικών αρχών και πέραν των δυνατοτήτων έννομης προστασίας των υποκειμένων των δεδομένων– αναγνωρίζουν σε ανταγωνιστές, στην περίπτωση παραβάσεων του εν λόγω κανονισμού, ενεργητική νομιμοποίηση προς άσκηση αγωγής κατά του παραβάτη ενώπιον των πολιτικών δικαστηρίων επί τη βάσει της απαγορεύσεως των αθεμίτων εμπορικών πρακτικών;

6. Το ζήτημα της φύσεως των κανόνων προστασίας δεδομένων ως κανόνων που έχουν σημασία και στο πλαίσιο του δικαίου του ανταγωνισμού, αποτελεί ένα από τα πιο φλέγοντα ζητήματα στη γερμανική θεωρία και νομολογία.

7. Διαχρονικώς, έχουν εκδοθεί πλείονες αντιφατικές αποφάσεις σχετικά με την αξιολόγηση του δικαίου προστασίας δεδομένων ως κανόνων η παραβίαση των οποίων μπορεί να θεμελιώσει μια αθέμιτη ανταγωνιστική πράξη· έχουν εκδοθεί αποφάσεις που δέχονται ότι σε επίπεδο ανταγωνιστών είναι δυνατή η άσκηση αγωγών άρσης και παράλειψης συμπεριφορών που παραβιάζουν το δίκαιο της προστασίας δεδομένων[7]· υπάρχει και αντίθετη νομολογία, η οποία δεν υιοθετεί τη νομική βασιμότητα των σχετικών αγωγών με την ερμηνευτική παραδοχή ότι οι οικείες διατάξεις δεν είναι κανόνες που επιδρούν σε σχέσεις μεταξύ ανταγωνιστών[8].

8. Το άρθρο 3a UWG (γερμανικού νόμου κατά του αθέμιτου ανταγωνισμού) ορίζει ότι κάποιος δρα αθέμιτα αν παραβιάζει νομοθεσία που προστατεύει τα συμφέροντα των συμμετεχόντων στην αγορά, εφόσον η παραβίαση αυτή μπορεί να επηρεάσει σημαντικά τα συμφέροντα των καταναλωτών και των ανταγωνιστών[9]. Η συζήτηση επικεντρώνεται στο εάν οι κανόνες προστασίας δεδομένων σκοπεύουν να προστατεύσουν τα συμφέροντα των ανταγωνιστών και άλλων υποκειμένων μιας αγοράς ως καταναλωτών (Marktverhaltensregelung) ή αν αυτοί οι κανόνες έχουν μια «αυστηρά προσωπική» λειτουργία, με αποτέλεσμα η παραβίασή τους να μην αφορά το δίκαιο του ανταγωνισμού. Υπό το πρίσμα της ερμηνείας αυτής, μεγάλη μερίδα της γερμανικής θεωρίας[10] απορρίπτει τη δυνατότητα επίκλησης παραβιάσεων του δικαίου προστασίας δεδομένων απευθείας μεταξύ επιχειρήσεων, με το βασικό επιχείρημα ότι το σύστημα κυρώσεων που προβλέπεται υπό τον ΓΚΠΔ στα άρθρα 77, 78, 79, 80, 82 και 83 επ. έχει αποκλειστικό χαρακτήρα. Υποστηρίζεται δηλαδή η άποψη ότι μόνο οι προβλεπόμενες περιπτώσεις ατομικών ενδίκων βοηθημάτων (άρθρα 79 και 82) και διοικητικών κυρώσεων (άρθρα 77 και 78) μπορούν να τύχουν εφαρμογής σε περίπτωση παραβίασης του ΓΚΠΔ. Συνεπώς, αφού οι εν λόγω ρυθμίσεις αναφέρονται στο «υποκείμενο» των δεδομένων ως το μόνο που, έχοντας υποστεί ζημία από την παράνομη επεξεργασία δεδομένων, μπορεί να ζητήσει δικαστικά την προστασία των δικαιωμάτων του, αποκλείεται κάθε τρίτος[11]. Μάλιστα, υπάρχουν και αποφάσεις γερμανικών δικαστηρίων που απορρίπτουν ασκηθείσες αγωγές με νομική βάση το άρθρο 3a UWG και αντικείμενο διάγνωση παραβιάσεων του ΓΚΠΔ σε σχέσεις Β2Β[12].

9. Όμως, φαίνεται να τείνει να κρατήσει δικαστικά και να γίνει πάγια νομολογιακή θέση ότι οι διατάξεις του ΓΚΠΔ μπορούν να αποτελέσουν αντικείμενο αγωγής και στο πλαίσιο σχέσεων ανταγωνιστών μεταξύ τους. Παραδόξως, η μερίδα των θεωρητικών που τάσσονται υπέρ αυτής της δογματικής θέσης είναι αισθητά μικρότερη από όσους την επικρίνουν[13]. Όμως, η συντριπτική πλειονότητα των αποφάσεων στο πεδίο αυτό, όσο πριν την εισαγωγή του ΓΚΠΔ, όσο και μετά, φαίνεται να δικαιώνει όσους τολμούν να υποστηρίξουν αυτή τη θέση.

10. Ο ίδιος προβληματισμός απασχόλησε και το ΔΕΕ στην υπό σχολιασμό απόφαση. Εκεί, το ΔΕΕ «κινήθηκε ένα βήμα παραπέρα» από την πρόσφατη απόφαση της 28ης Απριλίου 2022, Meta Platforms Ireland (C-319/20, EU:C:2022:322), όπου επιφυλάχθηκε ρητώς ως προς το ζήτημα της ενεργητικής νομιμοποίησης ανταγωνιστή.

11. Καταφατικά απαντά το ΔΕΕ. Οι ανταγωνιστές νομιμοποιούνται ενεργητικά. Η δυνατότητα ενός ανταγωνιστή να κινηθεί νομικά για παραβίαση του ΓΚΠΔ μπορεί να ενισχύσει την αποτελεσματικότητα των διατάξεων και την προστασία των δεδομένων. Αγωγή παραλείψεως που ασκεί ανταγωνιστής κατά επιχείρησης βάσει της απαγόρευσης αθέμιτων εμπορικών πρακτικών, λόγω φερόμενης παραβίασης του ΓΚΠΔ, δεν επηρεάζει το σύστημα έννομης προστασίας του κεφαλαίου VIII του ΓΚΠΔ ούτε τον στόχο για συνεκτική προστασία φυσικών προσώπων και διασφάλιση ελεύθερης κυκλοφορίας προσωπικών δεδομένων στην ΕΕ.

12. Κατά το ΔΕΕ, το σύστημα επιβολής του ΓΚΠΔ δεν είναι περιοριστικό. Δηλαδή, και άλλες εποπτικές αρχές μπορούν να επέμβουν στην εφαρμογή του – όπως κρίθηκε στην απόφαση Meta Platforms κ.λπ. (Γενικοί όροι χρήσης κοινωνικού δικτύου), C-252/21, EU:C:2023:537, σκέψεις 36-63, ότι υπό την επιφύλαξη της τήρησης της υποχρέωσης καλόπιστης συνεργασίας της με τις εποπτικές αρχές, η αρχή ανταγωνισμού κράτους μέλους μπορεί να διαπιστώσει, στο πλαίσιο της εξέτασης τυχόν ύπαρξης κατάχρησης δεσπόζουσας θέσης κατά την έννοια του άρθρου 102 ΣΛΕΕ από μια επιχείρηση, ότι οι γενικοί όροι τους οποίους θέτει η επιχείρηση όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα καθώς και η εφαρμογή των γενικών αυτών όρων δεν συμβιβάζονται με τον ΓΚΠΔ, εφόσον η ως άνω διαπίστωση είναι αναγκαία προκειμένου να αποδειχθεί η ύπαρξη τέτοιας κατάχρησης.

13. Κατά το ΔΕΕ, δυνατότητα ανταγωνιστή να ασκήσει τέτοια αγωγή ενώπιον των πολιτικών δικαστηρίων επί τη βάσει της απαγορεύσεως των αθέμιτων εμπορικών πρακτικών προστίθεται στα μέσα έννομης προστασίας που προβλέπονται στα άρθρα 77 έως 79 ΓΚΠΔ, τα οποία ουδόλως θίγονται και μπορούν πάντοτε να ασκηθούν από τα υποκείμενα των δεδομένων καθώς και, κατά περίπτωση, από τους φορείς, τις οργανώσεις ή τις ενώσεις, κατά την έννοια του άρθρου 80 του κανονισμού αυτού.

14. Μάλιστα, το ΔΕΕ εμμέσως επιβεβαιώνει την φύση των κανόνων του ΓΚΠΔ ως «κανόνων για την προστασία της αγοράς». Στη σκέψη 56 της υπό σχολιασμό απόφασης, αναφέρει ότι «… η πρόσβαση στα δεδομένα προσωπικού χαρακτήρα και η δυνατότητα επεξεργασίας τους έχουν καταστεί σημαντική παράμετρος του ανταγωνισμού μεταξύ επιχειρήσεων της ψηφιακής οικονομίας. Ως εκ τούτου, προκειμένου να ληφθεί υπόψη αυτή η πραγματική εξέλιξη της οικονομίας και να διασφαλιστεί ο θεμιτός ανταγωνισμός, μπορεί να αποδειχθεί αναγκαίο να ληφθούν υπόψη οι κανόνες οι οποίοι διέπουν την προστασία των δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της εφαρμογής του δικαίου του ανταγωνισμού και των κανόνων για τις αθέμιτες εμπορικές πρακτικές ….».

15. Καταληκτικά, η υπό σχολιασμό απόφαση του ΔΕΕ έχει μεγάλη σημασία. Η νομοθεσία προστασίας δεδομένων δεν πρέπει να αντιμετωπίζεται αποκλειστικά ως ένα πλαίσιο για την προστασία της ιδιωτικότητας, παρόλο που αυτός είναι ο βασικός της στόχος. Στόχος του ευρωπαϊκού νομοθέτη είναι η ελεύθερη κυκλοφορία των δεδομένων, όπως ορίζεται στο άρθρο 1 του ΓΚΠΔ. Αυτό απαιτούσε τη δημιουργία ενιαίων κανόνων προστασίας σε ολόκληρη την ευρωπαϊκή αγορά. Στην αιτιολογική σκέψη 9 του προοιμίου του ΓΚΠΔ αναφέρεται ότι οι διαφορές στην προστασία των προσωπικών δεδομένων στα κράτη μέλη μπορεί να εμποδίζουν την ελεύθερη κυκλοφορία δεδομένων και να αποτελούν εμπόδιο για οικονομικές δραστηριότητες και ανταγωνισμό στην Ένωση. Συνεπώς, οι κανόνες προστασίας δεδομένων υπερβαίνουν την ατομική διάσταση και αποκτούν μια υπερατομική διάσταση, όπως επιβεβαιώθηκε και από το ΔΕΕ με την απόφαση της 29.7.2019 – C - 40/17, όπου αναγνωρίστηκε ότι και συλλογικές οντότητες μπορούν να επιδιώξουν την εφαρμογή του δικαίου προστασίας δεδομένων.

16. Η παραβίαση του δικαίου προστασίας δεδομένων μπορεί να οδηγήσει σε απόκτηση αθέμιτου ανταγωνιστικού προβαδίσματος των επιχειρήσεων που αδιαφορούν με τις επιταγές του ΓΚΠΔ (free riders) έναντι των φορέων της αγοράς που συμμορφώνονται. Η τήρηση του δικαίου προστασίας δεδομένων δεν γίνεται αντικείμενο της προβληματικής των δικαιωμάτων μόνο ενός υποκειμένου, αλλά πολύ περισσότερο οδηγεί στην κατάφαση της υπερατομικότητας του ΓΚΠΔ, κάποιοι κανόνες του οποίου οπωσδήποτε αντανακλούν και σε οριζόντιο επίπεδο χαράζοντας πρότυπα επιχειρηματικά θεμιτής συμπεριφοράς (fair trading). Έτσι, τυγχάνει εφαρμογής το δίκαιο προστασίας δεδομένων, εμμέσως διά του δικαίου του ανταγωνισμού, σε περίπτωση παραβίασης αυτού από έναν ανταγωνιστή που αποκτά έτσι προβάδισμα και ισχυρότερη οικονομική θέση.

Ευάγγελος Ι. Μαργαρίτης

Δικηγόρος, Δ.Ν., Μεταδιδάκτωρ Νομικής Αθηνών

[1] Βλ. Μαργαρίτη, Προσωπικά Δεδομένα και Προστασία Καταναλωτή, § 11, Επαναπροσδιορίζοντας το άρθρο 1 του Ν. 146/1914 υπό το πρίσμα του ΓΚΠΔ, σελ. 231 επ.

[2] ΑΠ 1609/2014 ΧρΙΔ 2015, 387· ΑΠ 1125/2011 ΧρΙΔ 2012, 304· ΑΠ 571/2011 ΕΕμπΔ 2011, 715· ΕφΘεσσαλ 635/2018 ΕΕμπΔ 2019, 121· ΕφΠειρ 12/2017 ΔΕΕ 2017, 515 = ΕΕμπΔ 2017, 17· ΠΠρΠατρ 846/2018 ΝΟΜΟΣ· ΠΠρΠατρ 578/2015 ΔΕΕ 2016, 714· Ν. Ρόκας, Βιομηχανική Ιδιοκτησία, 3η εκδ. 2016, § 35, αρ. 5 επ.· Μαρίνος, Αθέμιτος Ανταγωνισμός, Γ΄ έκδ. 2015, 6.22 επ.· Κοτσίρης, Δίκαιο Ανταγωνισμού, 7η εκδ. 2015, αρ. 106 επ.

[3] Ν. Ρόκας, Βιομηχανική Ιδιοκτησία, 3η εκδ. 2016, § 35, αρ. 10· Μαρίνος, Αθέμιτος Ανταγωνισμός, Γ΄ έκδ. 2015, 6.42 επ.· Κοτσίρης, Δίκαιο Ανταγωνισμού, 7η εκδ. 2015, αρ. 106 επ.

[4] Ν. Ρόκας, Βιομηχανική Ιδιοκτησία, 3η εκδ. 2016 § 35, αρ. 12 επ.· Μαρίνος, Αθέμιτος Ανταγωνισμός, Γ΄ έκδ. 2015, 7.1 επ.· Κοτσίρης, Δίκαιο Ανταγωνισμού, 7η εκδ. 2015, αρ. 110 επ.

[5] Ν. Ρόκας, Βιομηχανική Ιδιοκτησία, 3η εκδ. 2016, § 35, αρ. 22· Μαρίνος, Αθέμιτος Ανταγωνισμός, Γ΄ έκδ. 2015, 6.6 επ.

[6] Ν. Ρόκας, Βιομηχανική Ιδιοκτησία, 3η εκδ. 2016, § 40, αρ. 1 επ.· Μαρίνος, Αθέμιτος Ανταγωνισμός, Γ΄ έκδ. 2015, 16.11 επ.· Κοτσίρης, Δίκαιο Ανταγωνισμού, 7η εκδ. 2015, αρ. 357 επ.

[7] Π.χ. Εφετείο Κολωνίας (OLG Köln), απόφαση της 14.8.2009 - 6 U 70/09, MMR 2009, 845, με παρατηρήσεις Haas/ Stallberg MMR 2009, 847· Εφετείο Καρλσρούης (OLG Karlsruhe),απόφαση της 9. 5. 2012 − 6 U 38/11, GRUR-RR 2012, 396 με σύμφωνες παρατηρήσεις Schneider NJW 2012, 3315 και Grentzenberg, Verstoß gegen Datenschutzbestimmungen zur Rückgewinnung ehemaliger Kunden ist wettbewerbswidrig, GRUR-Prax 2012, 358· Εφετείο Κολωνίας (OLG Köln), απόφαση της 17.1.2014 6 U 167/13, NJW 2014, 1820, με παρατηρήσεις Römermann, Unzulässige Datenverwendung zur Mandatsakquise GRUR-Prax 2014, 242. Πρωτοδικείο Αμβούργου (LG Hamburg) απόφαση της 02.03.2017 - 327 O 148/16, ZD 2018, 186.

[8] Εφετείο Μονάχου (OLG München), απόφαση της. 12. 1. 2012 − 29 U 3926/11, GRUR-RR 2012, 395, με παρατηρήσεις Schröder, ZD 2012· Εφετείο Στουτγάρδης (OLG Stuttgart) απόφαση της 22.2.2007 - 2 U 132/06, MMR 2007, 437.

[9] Unlauter handelt, wer einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln, und der Verstoß geeignet ist, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen.

[10] Τα πιο ισχυρά επιχειρήματα προέρχονται από τον Ομ. Καθ Köhler, στον οποίο η γερμανική νομολογία παραπέμπει αρκετές φορές. Χαρακτηριστικά ο Köhler εις Köhler/Bornkamm/Feddersen, UWG 38η εκδ. 2020, § 3a αρ. 1.74b, αναφέρει το επιχείρημα ότι και αν ακόμη ήθελε γίνει δεκτό ότι μόνο «αντανακλαστικά/ reflexartig» προστατεύεται από το δίκαιο προστασίας δεδομένων η λειτουργία της αγοράς, εντούτοις το σύστημα κυρώσεων του ΓΚΠΔ είναι περιοριστικό και δεν μπορεί υιοθετηθεί από καμία έννομη τάξη αντίθετη ρύθμιση επεκτείνοντας τις κυρώσεις από την παραβίασή του. Μόνο οι ελεγκτικές αρχές μπορούν να επιβάλουν κυρώσεις για τη συμμόρφωση με την οικεία νομοθεσία, ό.π. 1.40b., αφού, κατά την άποψή του τα σχετικά – περιοριστικά παρεχόμενα υπό τον ΓΚΠΔ ένδικα βοηθήματα – αφορούν μόνο το θιγόμενο υποκείμενο που υπέστη ζημία από την επεξεργασία των δεδομένων του, όχι όμως τρίτα πρόσωπα, ό.π.1.40 d. Υποστηρίζει επίσης, ό.π. αρ. 1.40 g., ότι ούτε από το ενωσιακό δίκαιο – στο πλαίσιο της αρχής της αποτελεσματικότητας – είναι επιβεβλημένη αλλά ούτε και αναγκαία η επέκταση των διατάξεων του ΓΚΠΔ ώστε να τύχουν επίκλησης σε οριζόντιο επίπεδο. Με το επιχείρημα αυτό άλλωστε συνδέει τη θέση του ότι η ως άνω απόφαση του ΔΕΕ της 29.7.2019 – C 40/17, δεν κάνει καμία αναφορά σε νομιμότητα τυχόν αξιώσεων ανταγωνιστών.

Την ίδια θέση διατυπώνει και σε άλλες μελέτες του, π.χ. Durchsetzung der DS-GVO mittels UWG und UKlaG?, WRP 2018, 1274, αριθμοί 23 επ. Εκεί μάλιστα, αρ. 22 έχει υποστηρίξει ότι «… die Vorschriften der DS-GVO haben nicht den zusätzlichen Zweck („auch“), den Wettbewerb auf den Märkten zu regeln und dadurch Verbraucher, sonstige Marktteilnehmer oder Mitbewerber zu schützen…»· επίσης στις μελέτες Die DS-GVO – eine neue Einnahmequelle für gewerbsmäßige Abmahner?, ZD 2018, 337· Datenschutz – eine neue Aufgabe für das Wettbewerbsrecht? ZD 2019, 285· Durchsetzung der DS-GVO – eine Aufgabe auch für Mitbewerber oder zumindest für Verbraucherverbände?, WRP 2019, 1279, αρ. 41 επ. Μάλιστα, τις θέσεις του αυτές ανέπτυξε στην τελευταία αυτή μελέτη μετά την απόφαση ΔΕΕ της 29.7.2019 – C 40/17, εμμένοντας στην αρχική του θέση περί «ακαταλληλότητας» του UWG για τη στοιχειοθέτηση τέτοιων αξιώσεων, αρ. 49:

«… Um es auf den Punkt zu bringen: Selbst wenn man mit dem RegE eine Anwendung des § 3a UWGauf Datenschutzverstöße für unionsrechtlich zulässig hielte, wäre doch das Instrumentarium des UWG für eine Durchsetzung der DS-GVO nur sehr begrenzt geeignet. Um den Anforderungen und Möglichkeiten zur Durchsetzung der DS-GVO vollständig gerecht zu werden, müsste der Gesetzgeber außerdem von der Öffnungsklausel des Art. 80 Abs. 2 DS-GVO Gebrauch machen…»

Αντίθετοι είναι και πολλοί άλλοι θεωρητικοί, π.χ. ο MüKoUWG/Schaffert, UWG 3η εκδ. 2020 § 3a αρ. 83 – 84, με το παρόμοιο επιχείρημα ότι το σύστημα κυρώσεων και έννομης προστασίας του ΓΚΠΔ είναι περιοριστικό αποκλείοντας κάθε παρεκκλίνουσα εθνική νομοθεσία· παρόμοιο επιχείρημα και οι Βaumgartner/Sitte: Abmahnungen von DS-GVO-Verstößen, ZD 2018, 557 – 558. Έτσι και Spittka, Können Wettbewerber wegen DS-GVO-Verstößen abmahnen?, GRUR-Prax 2019, 6.

Επίσης, ο Ohly/Sosnitza/Ohly, UWG 7η εκδ. 2016, § 3a αρ. 79, με το επιχείρημα ότι το δίκαιο προστασίας δεδομένων δεν προστατεύει φυσικά πρόσωπα ως μέλη της αγοράς, αλλά ως «ανθρώπους» έχοντας κατά τούτο μόνο ατομική και όχι υπερατομική διάσταση· ο ίδιος, UWG-Rechtsschutz bei Verstößen gegen die Datenschutz-Grundverordnung?, GRUR 2019, 689 επ., όπου καταλήγει στο συμπέρασμα ότι «…es lässt sich demnach kaum bezweifeln, dass es die DS-GVO den Mitgliedstaaten verwehrt, eine Aktivlegitimation für Mitbewerber vorzusehen…».

Έτσι και ο Barth, Wettbewerbsrechtliche Abmahnung von Verstößen gegen das neue Datenschutzrecht, WRP 2018, 790 επ., ιδίως σελ. 793. Επίσης, ο Schmitt, Datenschutzverletzungen als Wettbewerbsverstöße? WRP 2019, 27 αρ. 22, και ο v. Walter, Datenschutz-Rechtsbruch als unlauteres Marktverhalten? Zum Verhältnis des Lauterkeitsrechts zum Datenschutzrecht, FS Köhler, 2014, σελ. 783. Δεν παίρνουν ξεκάθαρη θέση οι Föhlisch/Löwer: DSGVO und Lauterkeitsrecht, VuR 2019, 37, ιδίως σελ. 39.

[11] Πολύ χαρακτηριστικά οι Βaumgartner/Sitte: Abmahnungen von DS-GVO-Verstößen, ZD 2018, 558: «… geschlossenes System der Sanktionierung vorsieht, das die Rechtsbehelfe der betroffenen Personen zur Durchsetzung von Datenschutzverstößen – abgesehen von Rechtsbehelfen gegen die Aufsichtsbehörden nach Art. 77 und 78 DS-GVO – abschließend in Art. 79 und 80 DS-GVO regelt und damit auch den sonstigen (nationalen oder unionsrechtlichen) Bestimmungen des Wettbewerbsrechts vorgeht…».

[12] Π.χ. Πρωτοδικείο Στουτγάρδης, απόφαση της 20.05.2019 – 35 O 68/18 KfH, GRUR-RS 2019, 9940 (σημειώνεται ότι η απόφαση αυτή εξαφανίστηκε από το Εφετείο της Στουτγάρδης με την απόφαση 27.2.2020 – 2 U 257/19, GRUR-RS 2020, 2392)· Πρωτοδικείο (LG) Wiesbaden, απόφαση της 05.11.2018 – 5 O 214/18, GRUR-RS 2018, 33343· Πρωτοδικείο (LG) Bochum απόφαση της 7.8.2018 - I-12 O 85/18, ZD 2019, 39 = ZD 2019, 39 =BB 2018, 2580 (μη διάγνωση ως αθέμιτης της συμπεριφοράς ενός ανταγωνιστή να παραλείπει τη παράθεση δήλωσης ιδιωτικότητας στην ιστοσελίδα του)· Πρωτοδικείο (LG) Magdeburg απόφαση της 18.01.2019 - 36 O 48/18 (σημειώνεται ότι η απόφαση αυτή εξαφανίστηκε από το Εφετείο (OLG) Naumburg με την απόφαση της 07.11.2019 - 9 U 6/19 ZD 2020, 154).

[13] Βασικός υποστηρικτής αυτής της θέσης είναι ο Wolff, UWG und DS-GVO: Zwei separate Kreise?, ZD 2018, 248 επ. Στις δικές του θέσεις έχει στηριχθεί η κρατούσα στη νομολογία θέση. Την ίδια θέση λαμβάνουν και οι Uebele, Datenschutzrecht vor Zivilgerichten, GRUR 2019, 694· Schreiber, Wettbewerbsrechtliche Abmahnung von Konkurrenten wegen Verstößen gegen DS-GVO, GRUR-Prax 2018, 371· αλλά και οι Laoutoumai/Hoppe, Setzt die DSGVO das UWG Schachmatt?, K&R 2018, 533 επ., ιδίως σελ. 535. Έτσι και ο Douglas, Art. 13 I und II DS-GVO sind Marktverhaltensregelunge, παρατηρήσεις στην απόφαση του Εφετείου στης Στουτγάρδης (OLG Stuttgart) της 27.2.2020 – 2 U 257/19, εις GRUR-Prax 2020, 163.

Για τους Micklitz/Schirmbacher εις Spindler/Schuster Recht der elektronischen Medien, § 3 a UWG αρ. 34, όπως αναφέρθηκε, οι κανόνες του ΓΚΠΔ είναι κανόνες για την εύρυθμη λειτουργία της αγοράς και τυχόν παραβίασή τους συνιστά αθέμιτη συμπεριφορά για το δίκαιο του ανταγωνισμού.

Δικαιοπολιτικά, οι Jacquemain/Schwartmann, UWG trifft DS-GVO – Abmahndeckel, fliegender Gerichtsstand etc., ZRP 2018, 128, τάσσονται υπέρ της θέσης ότι πρέπει να ρυθμιστεί το ζήτημα εφαρμογής του ΓΚΠΔ εν μέσω διατάξεων του UWG με νομοθετικό τρόπο, για να αποτραπεί η ασάφεια και να αποφευχθούν φαινόμενα «καταχρηστικών» αγωγών μεταξύ ανταγωνιστών. Παρόμοιοι προβληματισμοί και από τον Kaßler, Das erste Jahr mit der Datenschutzgrundverordnung: Skurrile Entwicklungen und unternehmerische Chancen, ZWE 2019, 58.

Θετικοί, υπό το προ της εισαγωγής του ΓΚΠΔ νομοθετικό καθεστώς, οι Podszun/de Toma, Die Durchsetzung des Datenschutzes durch Verbraucherrecht, Lauterkeitsrecht und Kartellrecht, NJW 2016, 2992.