CJEU: Odgovornost spletnih tržnic za osebne podatke
Sodišče EU je razsodilo, da morajo ponudniki že pred objavo preveriti, ali oglasi vsebujejo občutljive osebne podatke ter objavo zavrniti, če ni izkazane ustrezne pravne podlage.
Odločitev sodišča je bila sprejeta 2. 12. 2025.
Na spletnem oglasniku www.publi24.ro, ki ga upravlja družba Russmedia Digital, je bila 1. avgusta 2018 objavljena lažna vsebina, ki je žensko neupravičeno prikazovala kot osebo, ki nudi spolne storitve. Oglas je vključeval njene fotografije in telefonsko številko, objavljene brez njenega soglasja. Po zahtevi oškodovanke je platforma oglas odstranila v eni uri, vendar je bila vsebina v tem času že kopirana in objavljena na drugih spletnih mestih, kjer je ostala dostopna.
Posameznica je sprožila sodni postopek zaradi posega v pravico do zasebnosti, osebne podobe, časti in ugleda ter zaradi kršitve zakonodaje o varstvu osebnih podatkov. Prvostopenjsko sodišče ji je prisodilo 7.000 EUR nepremoženjske škode, pritožbeno sodišče pa je odločitev spremenilo, pri čemer je zavzelo stališče, da Russmedia Digital nastopa le kot ponudnik gostovanja in ni odgovoren za vsebino, ki jo objavljajo uporabniki.
Višje sodišče je zadevo predložilo Sodišču EU zaradi razjasnitve razmerja med obveznostmi upravljavcev platform po GDPR in omejitvijo odgovornosti, kot jo določa Direktiva 2000/31/ES o elektronskem poslovanju.
Odločitev Sodišča Evropske unije
Sodišče EU je v sodbi nedvoumno razsodilo, da je upravljavec spletne tržnice upravljavec osebnih podatkov v smislu GDPR v zvezi z osebnimi podatki, ki se pojavljajo v oglasih, objavljenih na njegovi platformi. Dejstvo, da oglas objavi uporabnik, ne izključuje odgovornosti upravljavca, ker so osebni podatki dostopni javnosti prav prek njegovih storitev.
Upravljavec mora zato pred objavo oglasov z ustreznimi tehničnimi in organizacijskimi ukrepi preveriti, ali ti vsebujejo občutljive osebne podatke. Če oglas vsebuje takšne podatke, mora upravljavec ugotoviti, ali je oglaševalec oseba, na katero se podatki nanašajo, ali pa je od nje pridobil izrecno soglasje. Če ti pogoji niso izpolnjeni in ni mogoče uporabiti ene od izjem za obdelavo posebnih vrst osebnih podatkov iz 9(2) člena GDPR, mora upravljavec zavrniti objavo oglasa.
Poleg tega mora sprejeti varnostne ukrepe, s katerimi zmanjša tveganje, da se občutljivi podatki iz objavljenih oglasov kopirajo in ponovno objavijo na drugih spletnih mestih. Upravljavec se ne more razbremeniti teh obveznosti s sklicevanjem na omejitev odgovornosti iz Direktive 2000/31/ES; ureditev o odgovornosti ponudnikov storitev informacijske družbe ne posega v obveznosti, ki izhajajo iz GDPR.
Odločitev sodišča (v francoščini) je dostopna tukaj.
Vir: CJEU
Naslovna fotografija: Pexels
