Teşebbüsler, Rakiplerinin GDPR’a Aykırı Davrandığı Gerekçesiyle Hukuk Mahkemelerinde Dava Açabilir mi?

Davaya Konu Olay ve ABAD’a Yöneltilen Sorular

ND, “Lindenapotheke” ticari unvanı ile eczane işleten bir teşebbüstür ve Amazon Marketplace platformu üzerinden yalnızca eczaneden temin edilebilen tıbbi ürünlerinin satışını gerçekleştirmektedir. Bu tıbbi ürünlerin çevrimiçi siparişleri kapsamında ND’nin müşterileri; isimleri, teslimat adresleri ve ürünlerin kişiselleştirilmesi için gerekli bazı kişisel verilerini ND’ye sağlamak zorundadır. Başka bir eczane işletmekte olan DR, yalnızca eczaneden temin edilebilen tıbbi ürünlerin ND tarafından Amazon Marketplace üzerinden satılmasının, kişisel verilerin korunmasına ilişkin mevzuat uyarınca müşterilerden açık rıza alınması gerekliliğine aykırı şekilde gerçekleştirildiğini ve haksız bir ticari uygulama teşkil ettiğini ileri sürerek dava açar.

Dessau-Roßlau Bölge Mahkemesi, 28.03.2018 tarihli kararıyla davayı kabul eder. ND, bu karara karşı Naumburg Yüksek Bölge Mahkemesi nezdinde itirazda bulunur ve ilgili mahkeme 07.11.2019 tarihli kararıyla ND’nin itirazını reddeder. Naumburg Yüksek Bölge Mahkemesi, kararının gerekçesinde müşterilerin açık rızası olmaksızın sağlık verilerinin işlenmesinin, GDPR’ın 9. maddesi uyarınca yasak olduğunu belirtir. Bununla birlikte mahkeme, ilgili GDPR düzenlemesinin, Alman Haksız Rekabet Yasası anlamında piyasa davranışlarını düzenlemeye yönelik yasal hükümler niteliğinde olduğunu belirtir. Son olarak mahkeme, Alman Haksız Rekabet Yasası uyarınca DR’nin rakip olarak, ND’nin bu düzenlemeleri ihlal ettiğini ileri sürerek hukuk mahkemelerinde dava açma hakkına sahip olduğunu değerlendirir.

ND, söz konusu karara karşı Başvuran Mahkeme nezdinde itirazda bulunur. Başvuran Mahkeme, söz konusu uyuşmazlığın çözümüne yönelik olarak ABAD’a iki soru yöneltir. Bu makale kapsamında, Başvuran Mahkeme’nin yalnızca ilk sorusu ele alınır.

Başvuran Mahkeme, birinci sorusu kapsamında bir teşebbüsün rakiplerinin, haksız ticari uygulamalara ilişkin ulusal düzenlemelere dayanarak bu teşebbüs tarafından GDPR hükümlerinin ihlal edildiği gerekçesiyle hukuk mahkemelerinde dava açma hakkının ulusal hukukla tanınmasının GDPR’ın 8. bölümü uyarınca mümkün olup olmadığını sorar.

Başvuran Mahkeme, GDPR’ın 8. bölümünün rakip teşebbüslerin, kişisel verilerin korunması mevzuatının ihlali durumunda haksız ticari uygulamalar çerçevesinde dava açabileceklerini doğrudan öngörmediğini, ancak bu ihtimali açıkça dışlamadığını da belirtir. Keza, GDPR’ın 77, 78 ve 79. maddelerinde yer alan “diğer … halel getirmeksizin” ifadelerinin, hukuki koruma yollarının yalnızca bu düzenlemelerde öngörülenler ile sınırlı olmadığı şeklinde yorumlanması da mümkündür. Öte yandan, Başvuran Mahkeme, böyle bir yorumun, GDPR’ın ulusal mevzuatların uyumlaştırılması ve özellikle Avrupa Birliği üye devletleri arasında denetim uygulamalarının yeknesaklığının sağlanması hedefleriyle çelişebileceği endişesini dile getirir.

Ancak, Başvuran Mahkeme’nin görüşü uyarınca, GDPR ihlaline ilişkin rakiplerin dava açma hakkı, GDPR’ın uygulanmasının denetlenmesine yönelik ek bir yöntem olarak da değerlendirilebilir. Bu yaklaşım, GDPR’ın 10. maddesiyle uyumlu şekilde kişisel verilerin azami ölçüde korunmasını sağlamayı amaçlayan etkinlik ilkesi (effet utile) ile paralellik gösterir.

ABAD’ın Değerlendirmeleri

Yukarıda da belirtildiği üzere GDPR’ın 8. bölümü, ilgili kişilerin haklarının korunmasına yönelik hukuki çözüm yollarını öngörür. Bu çözüm yollarına kural olarak, GDPR’ın 77-79. maddeleri uyarınca doğrudan ilgili kişiler tarafından ya da 80. madde kapsamında belirli koşullara tabi olarak kâr amacı gütmeyen bir kuruluş, örgüt veya dernek tarafından başvurulabilir. Somut olayda ise, GDPR’ın 4. maddesi anlamında ilgili kişi olmayan ve 80. madde kapsamında yetkili bir kurum ya da kuruluş olmayan DR, rakibi ND’nin GDPR hükümlerini ihlal etmek suretiyle haksız ticari uygulamalarda bulunduğu gerekçesiyle bir hukuk mahkemesi önünde dava açmıştır. 

ABAD olaya ilişkin değerlendirmelerinde öncelikle, GDPR’ın bir hükmünü yorumlarken sadece metnin lafzının değil aynı zamanda hükmün bağlamının ve GDPR’ın amacının da dikkate alınması gerektiğini belirtir. Bununla birlikte GDPR’ın 8. bölümündeki hükümlerin lafzının, bir teşebbüsün rakibinin, söz konusu teşebbüsün GDPR hükümlerini ihlal etmek suretiyle haksız ticari uygulamalarda bulunduğu gerekçesiyle bir hukuk mahkemesi önünde dava açma olasılığını açıkça dışlamadığını vurgular. 

Ayrıca ABAD, GDPR hükümlerinin ihlalinin başta ilgili kişileri etkilemekle birlikte, üçüncü kişileri de olumsuz etkileyebileceğini belirtir. Bununla birlikte, kişisel verilerin korunmasına ilişkin bir düzenlemenin ihlalinin aynı zamanda tüketicinin korunması veya haksız ticari uygulamalara ilişkin kuralların ihlaline yol açabileceğini de vurgular. 

Bu bağlamda ABAD, kişisel verilere erişimin ve kişisel verilerin kullanımının dijital ekonomi bağlamında büyük önem taşıdığını hatırlatır. Gerçekten de kişisel verilere erişim ve bu verileri işleme kabiliyeti, dijital ekonomide teşebbüsler arasındaki rekabetin önemli bir parametresi haline gelmiştir. Bu nedenle ABAD, adil rekabet koşullarının sağlanabilmesi için kişisel verilerin korunmasına ve haksız ticari uygulamalara ilişkin kuralların da dikkate alınması gerekebileceğinin altını çizer.

Bununla birlikte ABAD, GDPR m. 80 de dahil olmak üzere, GDPR’ın bazı hükümlerinin üye devletlere bu hükümlerin nasıl uygulanacağına ilişkin bir takdir yetkisi tanıyarak üye devletlerin ek, daha katı veya istisnai ulusal kurallar koymalarını açıkça mümkün kıldığını belirtir. Ek olarak ABAD, GDPR’ın kişisel verilerin işlenmesine ilişkin yüksek ve tutarlı bir koruma düzeyi sağlama ve üye devletlerin mevzuatlarını uyumlaştırma amacının üye devletlerdeki hukuki başvuru yollarını sınırlamaya yönelik olmadığını da vurgular. Ayrıca ABAD, haksız ticari uygulamalara ilişkin ulusal düzenlemeler çerçevesinde, bir teşebbüsün rakibinin GDPR ihlallerine dayanarak dava açabilmesinin, GDPR’ın ilgili kişileri mümkün olan en yüksek seviyede koruma amacına hizmet ettiğini belirtir. Bir başka deyişle, ABAD’a göre bu davalara imkân tanımak GDPR sistematiğini zayıflatmak yerine güçlendirecek niteliktedir. Nitekim, rakiplere tanınan bu imkân, çok sayıda ihlalin önlenmesine katkı sağlayabilir.

Bütün bu değerlendirmeler ışığında ABAD, GDPR’ın 8. bölümünde yer alan hükümlerin, GDPR’ı ihlal ettiği ileri sürülen kişilere karşı, rakipleri tarafından hukuk mahkemeleri nezdinde dava açma hakkı tanıyan ulusal mevzuatı dışlamayacak şekilde yorumlanması gerektiğine karar verir.

Sonuç

Lindenapotheke kararında ABAD, GDPR’ın 8. bölümünün, kişisel verilerin korunmasına ilişkin düzenlemeleri ihlal ettiği iddia edilen teşebbüslere karşı, bu ihlallerin haksız ticari uygulama teşkil ettiği gerekçesiyle rakiplerin hukuk mahkemelerinde dava açmasına imkân tanıyan ulusal mevzuatları dışlayacak şekilde yorumlanıp yorumlanmaması gerektiğini ele alır. ABAD, değerlendirmesinde ilgili hükümlerin hem lafzını hem de amacını birlikte dikkate alır. Bu kapsamda ABAD, 8. bölümdeki hükümlerin lafzının, bir teşebbüsün rakibinin, söz konusu teşebbüsün GDPR hükümlerini ihlal etmek suretiyle haksız ticari uygulamalarda bulunduğu gerekçesiyle hukuk mahkemesi önünde dava açma olasılığını açıkça ortadan kaldırmadığını belirtir. Bununla birlikte ABAD, rekabet hukuku veya haksız ticari uygulamalara ilişkin ulusal düzenlemeler çerçevesinde, bir teşebbüsün rakibinin GDPR ihlallerine dayanarak ulusal mahkemelerde dava açabilmesinin GDPR’ın ilgili kişileri koruma amacına hizmet ettiğini de vurgular. Bu kapsamda ABAD, bir teşebbüsün, ulusal hukukta buna imkân tanıyan düzenlemeler mevcut olduğu takdirde, rakip bir teşebbüse karşı GDPR hükümlerine aykırı davrandığı gerekçesiyle ve haksız ticari uygulamalar çerçevesinde dava açabilmesinin mümkün olduğunu değerlendirir.