Co się faktycznie zmieniło

Przez lata robocze założenie w wielu niemieckich firmach było proste. Egzekwowanie ochrony danych płynęło z dwóch kierunków: od organów nadzorczych, które mogły prowadzić postępowania i nakładać kary, oraz od osób poszkodowanych, które mogły składać skargi lub dochodzić odszkodowań. Konkurenci pozostawali poza tym kręgiem. Ta granica teraz się przesunęła. Orzeczeniem zaczepienia jest wyrok EuGH w sprawie Lindenapotheke (C-21/23) z 4 października 2024 roku, który uznał, że naruszenie przepisów RODO może być również ścigane jako naruszenie prawa nieuczciwej konkurencji na gruncie niemieckiego UWG. Został on przeniesiony do niemieckiej praktyki przez orzeczenie Bundesgerichtshof z 23 stycznia 2025 roku (I ZR 222/19), a to właśnie bieżące relacje biznesowe z czerwca 2026 roku postawiły go przed szerszym Mittelstandem.

Praktyczna zmiana polega na tym, że konkurent może teraz potraktować twoje przetwarzanie danych jako kwestię zachowania rynkowego i wystawić Abmahnung, formalne wezwanie do zaniechania poparte groźbą nakazu sądowego. Pierwotna sprawa dotyczyła apteki sprzedającej przez platformę handlową leki bez recepty, ale dostępne wyłącznie w aptece, jednak uzasadnienie nie ogranicza się do aptek. Każdy podmiot, którego praktyki w zakresie danych można zakwestionować, staje teraz wobec strony, która obserwuje, jest zmotywowana i ma legitymację prawną. Zauważamy, że orzeczenie zaczepienia pochodzi z października 2024 roku oraz że zasady zwrotu kosztów i szczegóły poszczególnych spraw mogą się jeszcze zmienić, dlatego poniższy obraz to raczej to, co warto rozważyć, a nie porada prawna.

Dlaczego zwykłe dane z zamówień są ostrym punktem

Częścią, która powinna dać właścicielom do myślenia, nie jest sam kanał egzekwowania. Jest nią to, co sądy uznały za dane wrażliwe. W sprawie apteki połączenie imienia i nazwiska klienta, adresu dostawy oraz konkretnego zamówionego produktu uznano za mogące kwalifikować się jako dane o zdrowiu, mimo że produkty nie były wydawane na receptę. Dane o zdrowiu należą na gruncie RODO do surowszej kategorii, w której poprzeczka zgodnego z prawem przetwarzania rośnie, a w wielu sytuacjach oczekiwana jest wyraźna zgoda. Innymi słowy, informacje, które firma uznałaby za rutynowy zapis zamówienia, potraktowano jako należące do najbardziej chronionej klasy danych osobowych.

Skutki sięgają daleko poza apteki. Sprzedawca suplementów, sklep z zaopatrzeniem medycznym, optyk, operator fitness lub wellness, bądź każdy sprzedawca e-commerce, którego produkty mogą sugerować stan zdrowia, może przetwarzać dane, na które sądy mogą spojrzeć tak samo. Nie oznacza to, że każde zamówienie online jest daną o zdrowiu, a dokładna granica będzie sprawdzana przypadek po przypadku. Oznacza to jednak, że założenie o rutynowych danych nie utrzymuje się już automatycznie, a konkurent ma teraz zarówno legitymację, jak i motywację, aby podnieść tę kwestię.

Co przemyślany właściciel sprawdza teraz

Wyważona reakcja to nie panika, lecz krótki, uczciwy audyt, zanim ktoś inny przeprowadzi go za ciebie. Sensowne pytania do postawienia zespołowi: jakie dane zbieramy przy kasie i w naszych formularzach, na jakiej podstawie prawnej i czy ta podstawa wytrzymałaby kontrolę. Tam, gdzie podstawą jest zgoda, czy jest ona prawdziwa, konkretna i udokumentowana, czy też ukryta w domyślnie zaznaczonych polach i niejasnych warunkach. Czy nasze oferty na platformach handlowych, obsługa plików cookie, piksele śledzące i zapisy do newslettera odpowiadają temu, co faktycznie obiecuje nasza informacja o prywatności. To są szwy, które zmotywowany konkurent lub jego prawnik sprawdziłby w pierwszej kolejności.

Warto zachować właściwe proporcje w obrazie kosztów. Na gruncie UWG zwrot kosztów wezwania konkurenta jest ograniczony, gdy żądanie opiera się na naruszeniu RODO, co łagodzi jedną z dźwigni finansowych. Jednak samo wezwanie do zaniechania, ryzyko nakazu sądowego, koszty prawne po twojej stronie oraz zakłócenia pozostają bardzo realne, a odwołanie lub doprecyzowanie w subtelniejszych kwestiach może jeszcze nadejść. Rozsądnym ruchem jest traktowanie postawy w zakresie ochrony danych jako ekspozycji konkurencyjnej, a nie tylko regulacyjnej rubryki, oraz zamknięcie oczywistych luk, zanim rywal uczyni z nich twój problem.