Czy serwis internetowy publikujący reklamy i ogłoszenia na zlecenie swych klientów może odpowiadać za przetwarzanie danych osobowych w treści publikowanych materiałów? Jeśli ogłoszenie było obraźliwą fałszywką nastawioną na pokrzywdzenie i ośmieszenie rzekomego ogłoszeniodawcy? Czy jednak odpowiedzialność platformy ogłoszeniowej za wrażliwe dane osobowe może opierać się na tym, że przyjmujący zlecenie nie sprawdził tożsamości zlecającego publikację?
Wyrok Trybunału Sprawiedliwości UE z 6 lutego 2025 r. w/s Russmedia Digital SRL, Inform Media Press SRL (C-492/23)
1) [Zgodnie z art. 5 ust. 2 RODO i art. 24-26 RODO] operator internetowej platformy handlowej, jako administrator danych osobowych zawartych w ogłoszeniach publikowanych na jego internetowej platformie handlowej, ma obowiązek przed opublikowaniem ogłoszeń, za pomocą odpowiednich środków technicznych i organizacyjnych
– zidentyfikować ogłoszenia zawierające dane wrażliwe w rozumieniu art. 9 ust. 1 RODO,
– dokonać weryfikacji, czy użytkownik będący reklamodawcą zamierzający zamieścić takie ogłoszenie jest osobą, której dane wrażliwe znajdują się w tym ogłoszeniu, a jeśli tak nie jest,
– odmówić opublikowania tego ogłoszenia, chyba że ów użytkownik będący reklamodawcą może wykazać, iż osoba, której dane dotyczą, wyraziła wyraźną zgodę na opublikowanie rozpatrywanych danych na tej internetowej platformie handlowej, zgodnie z art. 9 ust. 2 lit. a), lub że zachodzi jeden z pozostałych wyjątków przewidzianych we wspomnianym art. 9 ust. 2 lit. b)–j).
2) [Zgodnie z art. 32 RODO] operator internetowej platformy handlowej, jako administrator danych osobowych zawartych w ogłoszeniach publikowanych na jego internetowej platformie handlowej, ma obowiązek stosować odpowiednie zabezpieczenia techniczne i organizacyjne, aby uniemożliwić kopiowanie i niezgodne z prawem publikowanie w innych witrynach internetowych opublikowanych na tej platformie ogłoszeń zawierających dane wrażliwe w rozumieniu art. 9 ust. 1 wspomnianego rozporządzenia.
3) [Zgodnie z art. 5 ust. 1 lit b RODO] operator internetowej platformy handlowej, jako administrator danych osobowych zawartych w ogłoszeniach publikowanych na jego internetowej platformie handlowej, nie może powoływać się w odniesieniu do naruszenia obowiązków wynikających z art. 5 ust. 2 RODO oraz art. 24–26 i 32 RODO na art. 12–15 dyrektywy 2000/31, dotyczące odpowiedzialności usługodawców będących pośrednikami.
opis stanu faktycznego:
- wszystko zaczęło się od zamieszczenia w portalu Publi24.ro (internetowej platformie zajmującej się publikacją ogłoszeń użytkowników) obraźliwego ogłoszenia;
- obraźliwego, ponieważ niezidentyfikowany zleceniodawca (wydawca portalu w żaden sposób nie zweryfikował tożsamości zlecającego) sugerował w nim, iż pewna kobieta oferuje usługi seksualne; zdjęcie zostało okraszone ściągniętą z internetów fotografią kobiety, w anonsie pojawił się także jej numer telefonu;
- po zgłoszeniu kobiety wydawca serwisu błyskawicznie usunął ogłoszenie, jednak dane zostały zaciągnięte przez inne serwisy internetowe (i bujają się w sieci do dziś);
- zdaniem kobiety odpowiedzialność platformy ogłoszeniowej za jej dane osobowe w publikacji uzasadniała pozew o zadośćuczynienie za naruszenie jej godności, praw do wizerunku, prywatności oraz niezgodnego z prawem przetwarzania danych osobowych;
- sąd I instancji uwzględnił roszczenia i zasądził 700 euro, natomiast sąd odwoławczy uznał, iż odpowiedzialność platformy ogłoszeniowej będącej tylko nośnikiem informacji nie dotyczy publikacji zawierającej dane osobowe;
art. 6 ust. 1 DSA
W przypadku świadczenia usługi społeczeństwa informacyjnego polegającej na przechowywaniu informacji przekazanych przez odbiorcę usługi dostawca usług nie ponosi odpowiedzialności za informacje przechowywane na wniosek odbiorcy usługi, pod warunkiem że dostawca:
a) nie ma faktycznej wiedzy o nielegalnej działalności lub nielegalnych treściach, a w odniesieniu do roszczeń odszkodowawczych – nie wie o stanie faktycznym lub okolicznościach, które w sposób oczywisty świadczą o nielegalnej działalności lub nielegalnych treściach; lub
b) podejmuje bezzwłocznie odpowiednie działania w celu usunięcia lub uniemożliwienia dostępu do nielegalnych treści, gdy uzyska taką wiedzę lub wiadomość.
art. 25 ust. 1 RODO
Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.
- skoro więc ogłoszenie zostało natychmiast usunięte, Publi24.ro może skutecznie skorzystać z przysługującego pośrednikowi wyłączenia odpowiedzialności (takiego samego, jakie w naszym prawie nadal opisuje art. 14 ust. 1 uośude; por. tekst o zasadach wyłączenia odpowiedzialności dostawców wynikających z rozporządzenia DSA);
pytanie prejudycjalne:
- spór trafił do Curtea de Apel w Klużu, który zwrócił uwagę, iż w orzecznictwie przyjmuje się, iż reguła notice & takedown odnosi się tylko do takiej platformy internetowej, która jest bierna w udostępnianiu treści dostarczanych przez usługobiorców, tymczasem serwis zastrzegł sobie uprawnienie do podejmowania różnych działań w celu prezentacji i promocji ofert — a skoro tak robił, to być może powinien był zauważyć bezprawny charakter ogłoszenia;
- zaś tak czy inaczej materia dotyczyła bezprawnego przetwarzania danych osobowych, a przecież RODO nie przewiduje podobnego rozwiązania;
- zatem do TSUE wpłynął odpowiedni zestaw pytań prejudycjalnych;
wyrok TSUE:
- w wydanym orzeczeniu TSUE uznał, iż treść spornego ogłoszenia wskazuje, iż obejmowało ono informacje o seksualności kobiety, a więc dane wrażliwe, czyli takie, których ochrona jest szczególnie istotna z punktu widzenia prawa do prywatności jednostki, a charakteru danych jako wrażliwych nie pozbawia okoliczność, iż ogłoszenie było złośliwą fałszywką;
- operator platformy internetowej publikujący ogłoszenia pochodzące od jego klientów jest administratorem danych osobowych zawartych w ich treści;
- sęk w tym, że niezależnie od tego, iż pewnością nie ustalał treści ogłoszenia, to przecież decydował o handlowym charakterze publikacji i miał istotny wpływ na sposób prezentacji danych (na marginesie: może i współadministratorem, a wówczas drugim z administratorów jest ogłoszeniodawca, por. „Masz wtyczkę Facebooka w swojej witrynie — więc jesteś administratorem danych osobowych”);
art. 9 ust. 1-2 RODO
1. Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.
2. Ust. 1 nie ma zastosowania, jeżeli spełniony jest jeden z poniższych warunków:
a) osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach […]
- skoro więc informacje o seksualności człowieka stanowią dane szczególnej kategorii, to administrator musi pamiętać, iż uchylenie generalnego zakazu przetwarzania danych wrażliwych wymaga zgody zainteresowanej osoby — najprościej: poprzez weryfikację tożsamości — lub wykazania innej przesłanki przetwarzania;
- jeśli jednak wykazanie zgody na przetwarzanie danych osobowych nie będzie możliwe i nie zachodzi inna okoliczność z art. 9 ust. 2 RODO, obowiązkiem usługodawcy jest odmówić publikacji ogłoszenia zawierającego wrażliwe dane osobowe, ponieważ tylko w ten sposób będzie w stanie wykazać prawidłowość, zgodność z prawem i bezpieczeństwo przetwarzania;
Operator rynku elektronicznego online, jako podmiot odpowiedzialny wspólnie z użytkownikiem będącym reklamodawcą za publikację danych wrażliwych zawartych w ogłoszeniu opublikowanym na jego internetowej platformie handlowej, ma obowiązek zebrania informacji o tożsamości tego użytkownika będącego reklamodawcą i zweryfikowania, czy użytkownik ten jest osobą, której dane wrażliwe znajdują się w tym ogłoszeniu.
- ale to nie wszystko, bo zdaniem TSUE platforma ogłoszeniowa przyjmująca do publikacji online ogłoszenia o treści erotycznej — przewidując wszakże ryzyko, że mogą być one wykorzystywane w działalności bezprawnej (lub być efektem kradzieży tożsamości) — powinna zastosować odpowiednie rozwiązania techniczne i organizacyjne uniemożliwiające nieuprawnione kopiowanie i zwielokrotnianie danych wrażliwych;
- rozwiązania służące bezpieczeństwu gromadzonych danych osobowych należy przemyśleć zarówno w fazie projektowania systemów (privacy by design), jak i na etapie samego przetwarzania (privacy by default) — i tu jednym ze środków jest właśnie potwierdzenie tożsamości ogłoszeniodawcy;
- odpowiedzialność platformy ogłoszeniowej za ujawnione wrażliwe dane osobowe nie podlega wyłączeniu na zasadzie notice & takedown — bo przecież RODO wprowadza odrębne warunki dopuszczalności przetwarzania danych osobowych, zaś obowiązki w zakresie ochrony prywatności nie mogą być traktowane jako nakaz nadzoru nad informacjami przetwarzanymi przez hostingodawców.
Zamiast komentarza: po raz n-ty przypomina się, że prawo stosujemy systemowo, nie wybiórczo. To, że klient nie mówił, że chce opublikować dane osobowe — i że nie zapewnił, że treść ogłoszenia jest rzetelna — nie oznacza, że RODO nie ma zastosowania.
Q.E.D.