C-21/23: “Lindenapotheke”

Son güncellenme 
C-21/23: “Lindenapotheke”
Photo by Christian Lue / Unsplash

Olay:

Avrupa Adalet Divanı'nın (AAD) 4 Ekim 2024 tarihli C‑21/23 sayılı kararında, Genel Veri Koruma Tüzüğü ile haksız rekabet hukuku kuralları arasındaki ilişki incelenmektedir. İhtilafın konusunu ikisi de eczacı olan ND ve DR arasındaki haksız rekabet iddiası oluşturmaktadır. Buna göre ND, Amazon Marketplace üzerinden reçeteye tabi olan ve reçetesiz ilaçlar satmaktadır. Bu bağlamda müşteriler, sipariş sırasında isim, teslimat adresi ve kişiye özel ilacın hazırlanabilmesi için bazı kişiye mahsus bilgileri vermek zorundadır. Bu bağlamda ND, kişisel sağlık verilerinin işlenmesi için hukuki sebep teşkil eden açık rıza almamaktadır. DR, söz konusu uygulamanın, müşterilerin sağlık verilerinin işlenmesi için açık rızalarının alınmaması nedeniyle veri koruma yasalarına aykırı olduğunu iddia etmiş, GDPR'a aykırılığın ise haksız ticari uygulama teşkil ettiği gerekçesiyle dava açmıştır.

Önsoru Yönelten Mahkemenin (Bundesgerichtshof - BGH) Argümanları

BGH, AAD'ye iki temel soru yöneltmiştir:

  1. GDPR Çerçevesinde Rakiplerin Haksız Rekabet Davası Açma Yetkisi: BGH'nın yönelttiği ilk soru, GDPR'nin VIII. Bölümündeki düzenlemelerden hareketle rakiplerin GDPR ihlallerine karşı haksız ticari uygulamalar perspektifinden hukuk mahkemelerinde dava açmasının mümkün olup olmadığına ilişkindir.
  • BGH, GDPR'nin ne lafzının ne de sistematik bağlamının veya amacının net bir yanıt vermediğini vurgulamaktadır.
  • Sistematik Bağlam: Bir yandan GDPR, veri koruma hukukunun tam uyumunu hedeflemektedir. Öte yandan, GDPR'nin 77 ila 79. maddelerinde "başka bir hukuk yoluna halel getirmeksizin" gibi ifadelerin kullanılması, hukukun uygulanmasına ilişkin kesin bir düzenlemenin olmadığını şeklinde yorumlanabilir.
  • GDPR'nin Amacı: Rakiplerin dava açmasına izin verilmesinin GDPR'nin uyumlaştırma düşüncesine aykırı olup olmadığı veya etkin bir hukuk uygulaması ve yüksek bir veri koruma düzeyine katkıda bulunabilecek ek bir araç olarak kabul edilip edilemeyeceği konusunda belirsizlik vardır.
  1. Müşteri Verilerinin Sağlık Verisi Olarak Nitelendirilmesi: BGH, sipariş sırasında girilen verilerin (isim, adres, ilacın özelleştirilmesi için gerekli bilgiler) GDPR Madde 9(1) ve Direktif 95/46/EC Madde 8(1) anlamında "sağlık verisi" olarak kabul edilip edilemeyeceğini sormaktadır.
  • Geniş Tanımın Kabulü: ABAD'nin önceki içtihatlarına (1 Ağustos 2022 tarihli Vyriausioji tarnybinės etikos komisija kararı) atıfta bulunarak, terimin geniş bir şekilde yorumlanabileceği ve yüksek bir veri koruma düzeyini garanti edebileceği belirtilebilir.
  • Reçetesiz İlaçlarda Belirsizlik: İlaçlar reçetesiz olduğundan, verilerin müşterinin sağlık durumu hakkında gerçekten bilgi verip vermediği şüphelidir. Kaldı ki siparişi kişinin kendisi değil, bir üçüncü kişinin de vermesi mümkündür. Dolayısıyla sağlık verisinin gerçekten de satış işlemine taraf olan kişiye ait olup olmadığı tam olarak belirlenememektedir.

ABAD'nin Argümanları ve Kararı

  1. Rakiplerin Haksız Rekabet Davası Açma Yetkisi Konusunda:

  • GDPR'de Kesin Bir Düzenleme Yok: ABAD, GDPR'nin rakiplerin dava açma yetkisini düzenlemediğini, aynı zamanda yasaklamadığını belirtmiştir.

  • GDPR'nin Lafzı: 77 ila 79. maddelerdeki ifadeler, ek hukuk yollarının dışlanmadığını göstermektedir.

  • Sistematik ve Teleolojik Yorum:

  • Etkin Hukuki Koruma: Haksız rekabet davalarının kabulü, GDPR'nin etkin bir şekilde uygulanmasına katkıda bulunabilir ve böylece yüksek bir veri koruma düzeyini destekleyebilir.

  • Uyuma Engel Değil: Böyle davaların mümkün olması, GDPR'nin birliğin veri koruma düzeyini sağlama hedefine aykırı değildir.

  • Ek Koruma: Haksız rekabet davaları, GDPR'de öngörülen hukuk yollarının yanında var olan ek bir araç olarak görülebilir.

  • Sonuç: GDPR, ulusal düzenlemelerin, rakiplere haksız ticari uygulamalar açısından GDPR ihlallerine karşı dava açma hakkı tanımasına engel değildir.

  1. Müşteri Verilerinin Sağlık Verisi Olarak Sınıflandırılması Konusunda:
  • Sağlık Verilerinin Geniş Tanımı: Eski içtihatları doğrultusunda ABAD, "sağlık verisi" teriminin yüksek bir koruma düzeyi sağlamak için geniş yorumlanması gerektiğini vurgulamıştır.
  • Dolaylı Çıkarımlar: Veriler doğrudan sağlık durumuna ilişkin olmasa da, diğer bilgilerle birleştirildiğinde bir kişinin sağlığı hakkında çıkarımlar yapılabilir. Verileri elde eden kişinin de (veri sorumlusu) doğrudan kişisel sağlık verisi işleme amacıyla hareket etmesi zorunlu değildir.
  • Sipariş İşleminin Önemi: Reçeteli veya reçetesiz olsun, ilaçların siparişi, müşteri ile belirli sağlık bilgileri arasında bir bağlantı kurmaya yeterli olacaktır.
  • Reçete Zorunluluğunun Bağımsızlığı: İlaçların reçeteye tabi olup olmaması veya müşterinin kendisi için mi yoksa üçüncü bir kişi için mi sipariş edildiği önemli arz etmemektedir.
  • Sonuç: Sipariş sırasında girilen veriler, GDPR ve Direktif 95/46/EC anlamında sağlık verisi olarak sınıflandırılmalıdır.

Değerlendirme

Borçlar hukukunda hukuka aykırılık bağı ya da normun koruma amacı teorisi bağlamında İsviçre Federal Mahkemesi'nin meşhur bir kararı anlatılır. İlgili kararda İsviçre'de elektronik cihazlar için belirli standartlar getirilmektedir. Söz konusu standartlara uyum sağlayan İsviçreli üreticilerin maliyeti yüksek olduğu için ürettiği cihazların fiyatı da yüksektir. Buna karşılık söz konusu standartları sağlamamasına rağmen ülkede satışa sunulan yabancı ürünler sebebiyle İsviçreli üreticiler maddi kayıplara maruz kalmış, bu sebeple devlete karşı dava açmışlardır. İsviçre Federal Mahkemesi ise ilgili kararında söz konusu hükümlerin insan sağlığını korumayı amaçladığını, normun amacından rekabetin korunması gibi bir saikin çıkartılamayacağını belirterek talebi reddetmiştir.

Somut ihtilafta ise aksine bir karar verilmiş, normun koruma amacı teorisine değinilmemiştir. Bununla birlikte ABAD'ın kararını "effet utile" ilkesi ışığında değerlendirmek gerekecektir. Nitekim Divan, her ne kadar GDPR hükümlerinin amacının doğrudan haksız rekabeti engellemek olmasa da, haksız rekabet hükümleri ile GDPR amaçlarına ulaşılabiliyorsa, GDPR'nin böyle bir sonuca engel olmayacağını dile getirmektedir. Gerçekten de "private enforcement" mantığından hareketle GDPR'nin uygulanmasına kamu otoritelerinin yaptırım uygulaması çoğu zaman yeterli olmamaktadır. Büyük şirketlere uygulanan yaptırım, ekonomik açıdan hala caydırıcı nitelikte olmamaktadır. Buradan hareketle öncelikle bireylere, ardından belirli kuruluşlara toplu dava imkanları getirilmektedir. Her ne kadar bireyin talep edeceği tazminat miktarı çok küçük olsa da, milyonlarca kişinin eşzamanlı açacağı topluluk davasının etkileri daha fazla olacak, GDPR'ye uyum noktasında daha "caydırıcı" nitelikte olacaktır. Söz konusu private enforcement mantığına uygun şekilde bir üçüncü aktör olarak bu kararla birlikte artık rakipler de konuya dahil edilmektedir. Bu sayede GDPR hükümlerine aykırı hareket eden veri sorumluları, kamu otoriteleri, bireyler, yetkili kuruluşlar ve artık rakipler tarafından da yaptırım ya da tazminat taleplerine muhatap olabilecektir. Bu amaçsal yorum dikkate alındığında her ne kadar karar isabetli gözükse de, normun koruma amacı teorisi çerçevesinde aynı sonuca varabilmek için daha detaylı bir inceleme gerekecektir.

Kişisel sağlık verisi kavramının yorumu açısından ise karar, her ne kadar ABAD'ın önceki içtihatlarını tekrar etse de, kanaatimizce çok aşırı geniş bir yoruma sebebiyet vermektedir. Bu bağlamda sadece kamera kayıtlarından kişinin gözlük takıp takmadığının tespit edilmesinin de, kişinin sağlık durumuna ilişkin bir bilgi içerdiğini ve dolayısıyla bu içtihat doğrultusunda CCTV faaliyeti gösteren herkesin kişisel sağlık verisi işlediğine dair isabetsiz bir sonuca varılması gerektiğini hatırlatmakla yetineceğiz.