Het Hof van Justitie van de Europese Unie (HvJ) heeft beslist [*] dat een onderneming die de AVG aan zijn laars lapt door concurrenten kan worden aangepakt.
Lees het Nederlandstalige persbericht: ‘AVG: de lidstaten mogen concurrenten van de vermeende dader van een inbreuk op de bescherming van persoonsgegevens toestaan om die inbreuk voor de rechter aan te vechten als een verboden oneerlijke handelspraktijk‘.

Aanleiding was een verzoek van de Duitse rechter naar aanleiding van een geschil tussen twee Duitse apothekers. Een van beiden (Lindenapotheke) hield zich niet aan de AVG en werd door de andere apotheker aangesproken, aldus het persbericht:

Met een beroep op de Duitse regelgeving inzake oneerlijke handelspraktijken vroeg een concurrerende apotheker de Duitse rechtbanken om de eigenaar van Lindenapotheke te bevelen deze activiteit te staken zolang niet gewaarborgd was dat klanten vooraf toestemming konden geven voor de verwerking van gezondheidsgegevens. De rechtbanken van eerste en tweede aanleg oordeelden dat deze verhandeling inderdaad een oneerlijke en onrechtmatige praktijk vormde, aangezien zij in strijd was met de algemene verordening gegevensbescherming (AVG).

Het antwoord van het HvJ wordt in het persbericht als volgt samengevat:

Het Hof antwoordt in de eerste plaats dat de AVG zich niet verzet tegen een nationale regeling die het – naast de rechten en bevoegdheden die de AVG toekent aan de nationale toezichthoudende autoriteiten, de betrokkenen en de verenigingen die deze betrokkenen vertegenwoordigen – concurrenten van de vermeende dader van een inbreuk op de bescherming van persoonsgegevens toestaat om tegen hem een rechtsvordering in te stellen wegens schending van deze verordening, op basis van het verbod van oneerlijke handelspraktijken. Integendeel, dit helpt ongetwijfeld om de rechten van betrokkenen te versterken en ervoor te zorgen dat ze een hoog niveau van bescherming genieten. Bovendien kan dit bijzonder doeltreffend zijn als daarmee een groot aantal schendingen van de AVG kan worden voorkomen.

In de tweede plaats is het Hof van oordeel dat de informatie die klanten invoeren (zoals hun naam, hun leveringsadres en de informatie die nodig is voor de individualisering van geneesmiddelen) wanneer zij aan apotheken voorbehouden geneesmiddelen online bestellen, gegevens betreffende de gezondheid vormen in de zin van de AVG, zelfs wanneer voor de verkoop van deze geneesmiddelen geen medisch recept vereist is.

Deze gegevens kunnen immers door intellectuele vergelijking of deductie informatie onthullen over de gezondheidstoestand van een geïdentificeerde of identificeerbare natuurlijke persoon, omdat er een verband wordt gelegd tussen hem en een geneesmiddel, de therapeutische indicaties of het gebruik ervan, ongeacht of deze informatie betrekking heeft op de klant of een andere persoon voor wie de klant de bestelling plaatst. Het is dus irrelevant dat, wanneer er geen medisch voorschrift is, deze geneesmiddelen slechts met een zekere waarschijnlijkheid, en niet met absolute zekerheid, bestemd zijn voor de klanten die ze besteld hebben. Een onderscheid maken naargelang het soort geneesmiddel en de vraag of de verkoop ervan al dan niet aan een medisch recept onderworpen is, zou indruisen tegen de doelstelling van de AVG om een hoog beschermingsniveau te bieden. Bijgevolg moet de verkoper deze klanten op een nauwkeurige, volledige en gemakkelijk te begrijpen manier informeren over de specifieke kenmerken en doeleinden van de verwerking van deze gegevens en hun om hun uitdrukkelijke toestemming voor deze verwerking vragen.

Het is een interessante mogelijkheid om de naleving van de AVG meer ‘tanden’ de geven.

[*] Uitspraak van 4 oktober 2024 inzake de Lindenapotheke, ECLI:EU:C:2024:846, persbericht in het Nederlands, tekst in het Engels (er is geen Nederlandstalige versie), overzichtspagina HvJ, overzichtspagina EUR-Lex.

Aanvulling 17 december 2024
Op European Law Blog verscheen het artikel Case C-21/23 Lindenapotheke – Competitors can enforce GDPR-based unfair commercial practices, and a broadening concept of health and sensitive data