C-21/23 Lindenapotheke

EU-domstolens dom av 4. oktober 2024.

Det følgende omtaler kun de deler av dommen som er relevant for personvernforordningen (GDPR).

Sentrale artikler behandlet:
– Artikkel 4(15)
Artikkel 9(1)
Artikkel 77, 78, 79 og 80

Hovedpunkter

  • GDPR er ikke til hinder for at en konkurrent går til sak mot en virksomhets eventuelle brudd på GDPR og personvernregelverket, om det er anledning til å reise slikt søksmål etter nasjonal lovgivning.
  • Opplysninger knyttet til salg i et nettapotek, som navn, leveringsadresse og spesifisering av legemidler som kjøpes, er å anse som helseopplysninger. Dette gjelder både legemidler underlagt resept og ikke. Følgelig må ett av vilkårene under artikkel 9(2) foreligge for at opplysningene skal kunne behandles, hvor samtykke etter bokstav a er det aktuelle vilkåret.

Bakgrunn

ND driver et apotek, «Lindenapotheke», som selger legemidler på nettbutikken Amazon-Marketplace (Amazon). Ved bestilling av legemidler, må kundene oppgi navn, leveringsadresse og nødvendige detaljer for å spesifisere legemidlene som er bestilt.

En konkurrent, DR, gikk til sak for å få fastslått at ND ikke kan behandle helseopplysninger, som nødvendigvis vil behandles som følge av bestillinger i nettbutikken, uten at det foreligger samtykke.

Domstolen skulle dermed vurdere om en konkurrent kan reise sak mot en virksomhet på grunnlag av påstand om at virksomheten bryter GDPR. I tillegg måtte da domstolen vurdere om opplysninger som behandles i forbindelse med kjøp i nettapoteket er å regne som helsesopplysninger, som da vil kreve samtykke.

Kan konkurrent gå til sak med påstand om brudd på GDPR?

GDPR kapittel VIII regulerer de rettsmidler som kan benyttes etter GDPR. Disse rettsmidlene er til beskyttelse for de personopplysningene kan knyttes til (registrerte) sine rettigheter, som kan påberopes direkte av registrerte (artikkel 77 til 79) eller av et ideelt organ eller en ideell organisasjon eller sammenslutning som representerer de registrerte (artikkel 80).

I denne saken var det ikke de registrerte eller en representant som påklaget behandlingen, men en konkurrent av den behandlingsansvarlige. Spørsmålet er derfor om GDPR er til hinder for at en konkurrent, som da ikke er registrert i GDPRs forstand, kan reise søksmål om brudd på GDPR for de nasjonale domstolene.

EU-domstolen poengterte at ingen av bestemmelsene i GDPR kapittel VIII direkte utelukker at slikt søksmål kan reises. Tvert imot følger det av artikkel 77(1), artikkel 78(1) og artikkel 79(1) at retten til å inngi klage til tilsynsmyndighet og adgangen til effektive rettsmidler overfor en slik myndighet og overfor en behandlingsansvarlig eller databehandler gjelder «uten at det berører annen administrativ eller rettslig prøving».

Men bestemmelsene om beskyttelse av personvern etter GDPR, som bl.a. etter artikkel 5 og 6, er til for å sikre rettighetene til de registrerte. Allikevel kan brudd på rettighetene skade en tredjepart, som bl.a. kan kreve erstatning etter artikkel 82(1). EU-domstolen har også tidligere fastslått at tilsidesettelse av en regel om beskyttelse av personopplysninger kan samtidig føre til at reglene om beskyttelse av forbrukere eller urimelig handelspraksis mv. tilsidesettes, dvs. får mindre virkning.

Tilgangen til og utnyttelse av personopplysninger har stor betydning i den digitale økonomien, og dette kan være et vesentlig forhold for konkurransen mellom virksomheter. For å sikre den økonomiske utviklingen og rettferdig konkurranse kan det være nødvendig å ta hensyn til beskyttelse av personopplysninger i konkurranseretten og ved anvendelse av reglene om urimelig handelspraksis.

56 In that context, it is important to recall that access to and use of personal data are of great importance in the context of the digital economy. Access to personal data and the ability to process such data have become a significant parameter of competition between undertakings in the digital economy. Therefore, in order to take account of the reality of this economic development and to ensure fair competition, it may be necessary to take into account the rules on the protection of personal data in the context of the application of competition law and the rules on unfair commercial practices (…).

Flere bestemmelser i GDPR åpner for at det kan gis ytterligere nasjonale regler, som også er strengere eller gir unntak, for å utøve skjønn til hvordan bestemmelsene i GDPR gjennomføres. Dette gjelder bl.a. artikkel 80(2) som gir rett til organ eller organisasjon, uavhengig av en registrerts fullmakt, til å klage til tilsynsmyndigheten og til å benytte rettsmidler etter artikkel 78 og 79 dersom den/det anser at den registrertes rettigheter er blitt krenket.

Det har heller ikke vært lovgivers hensikt å gi en uttømmende regulering av personvern gjennom GDPR, herunder de rettsmidler som kan benyttes for vern av de registrerte, og dermed har ikke unntatt at konkurrenter til den som formodentlig har brutt regelverket kan reise sak. Dette støttes av at GDPR har til hensikt å sikre et høyt og ensartet nivå for beskyttelse av fysiske personers personvern.

Etter artikkel 1 skal GDPR sikre fri utveksling av personopplysninger og, etter fortalepunkt 10, skal GDPR fjerne hindringene for flyten av personopplysninger. Det følger videre av fortalepunkt 13:

13. For å sikre et ensartet nivå for vern av fysiske personer i hele Unionen og hindre at forskjeller hemmer den frie utvekslingen av personopplysninger i det indre marked er det behov for en forordning for å skape rettssikkerhet og åpenhet for markedsdeltakere, (…) og som vil gi fysiske personer i alle medlemsstater det samme nivået av rettslig bindende rettigheter og plikter, og behandlingsansvarlige og databehandlere det samme ansvaret, for å sikre et ensartet tilsyn med behandlingen av personopplysninger og de samme sanksjonene i alle medlemsstater (…).

Retten for en konkurrent til å gå til sak ved eventuelt brudd på personvernet vil styrke dette formålet med forordningen. Et søksmål vil ikke skade personvernet, vil være basert på de samme overtredelser som beskyttes etter artikkel 77 til 79, er ikke til hinder for ensartet beskyttelesnivå for registrerte og hindrer ikke utveksling av personopplysninger. Dette gjelder selv om formålet til en konkurrent med søksmålet er ikke nødvendigvis å sikre lovlig behandling av personopplysninger, men av konkurransehensyn. Søksmålet kan allikevel ha som konsekvens å forhindre krenkelse av personvernet til de registrerte.

Domstolen kom derfor til at GDPR er ikke til hinder for at en konkurrent går til sak mot en virksomhets eventuelle brudd på GDPR og personvernregelverket, om det er anledning til å reise slikt søksmål etter nasjonal lovgivning.

Artikkel 9(1) – Omfatter opplysninger som et nettapotek behandler i forbindelse med leveranse av varer helseopplysninger?

Etter artikkel 9(1) er behandling av bl.a. helseopplysninger forbudt. Dette er såkalte «særlige kategorier personopplysninger» som kun kan behandles om ett av vilkårene (unntakene) i artikkel 9(2) foreligger.

Helseopplysninger er personopplysninger om en fysisk persons fysiske eller psykiske helse, herunder om ytelse av helsetjenester, som gir informasjon om vedkommendes helsetilstand (artikkel 4(15)). Helseopplysninger bør omfatte alle opplysninger om den registrertes helsetilstand som avdekker den registrertes tidligere, nåværende eller fremtidige fysiske eller psykiske helsetilstand, se fortalepunkt 35. Personopplysninger er enhver opplysning om en identifisert eller identifiserbar fysisk person som kan identifiseres direkte eller indirekte, særlig ved hjelp av en identifikator (artikkel 4(1)).

Domstolen har tidligere slått fast at begrepet «helseopplysninger» skal tolkes vidt. Dersom det er mulig å resonnere seg frem til at opplysningene sier noe om en persons helse, er dette tilstrekkelig for å konstatere at det er helseopplysninger.

83 Therefore, in order for personal data to be classified as data concerning health, within the meaning of (…) Article 9(1) of the GDPR, it is sufficient that they are capable of revealing information about the health status of the data subject by means of an intellectual operation involving collation or deduction (…).

Kontaktopplysninger om kjøper er identifiserende, og det kan gjennom opplysningene om hva som kjøpes trekkes konklusjoner om helsetilstanden til kjøperen. Domstolen er imidlertid noe i tvil om dette gjelder kjøp av legemidler som ikke er underlagt resept, siden disse kan være til andre enn kjøperen. Men domstolen kom til at også disse opplysninger knyttet til disse kjøpene er helseopplysninger siden det er ikke forenelig med GDPR å differensiere på de ulike typene medisiner når det skal sikres en streng beskyttelse av personvernet.

Domstolen kom derfor til at opplysninger knyttet til salg i et nettapotek er å anse som helseopplysninger. Følgelig må ett av vilkårene under artikkel 9(2) foreligge for at opplysningene skal kunne behandles, hvor samtykke etter bokstav a er det aktuelle vilkåret.

Nyhetsbrev