Ki minősül az online piactereken közzétett hirdetésekben szereplő személyes adatok adatkezelőjének? - Az EuB ítéletében a platformüzemeltetők felelősségével kapcsolatos kérdéseket tisztáz!

Az online piactér üzemeltetője a platformján közzétett hirdetésekben szereplő személyes adatok adatkezelőjének minősül – szögezi le az Európai Unió Bírósága C-492/23. számú Russmedia Digital és Inform Media Press ügyben hozott ítéletében. Ezzel összefüggésben köteles a különleges adatokat tartalmazó hirdetéseket közzététel előtt azonosítani, és ellenőrizni, hogy a hirdető valóban az a személy, akinek adatai szerepelnek az ilyen hirdetésben, vagy hogy megkapta e személy kifejezett hozzájárulását.

Az uniós jog arra kötelezi az online piactér üzemeltetőjét, hogy a GDPR-ral ⌈1⌉ összhangban vállalja a felelősséget a platformján közzétett hirdetésekben szereplő személyes adatok kezeléséért.

Többek között megfelelő technikai és szervezési intézkedéseket kell végrehajtania annak érdekében, hogy a közzétételt megelőzően azonosítsa a különleges adatokat tartalmazó hirdetéseket, és ellenőrizze, hogy a hirdető valóban az a személy, akinek az adatait az ilyen hirdetés tartalmazza. Ha nem, akkor az üzemeltetőnek meg kell tagadnia a hirdetés közzétételét, kivéve ha a hirdető bizonyítani tudja, hogy ez a személy kifejezett hozzájárulását adta a közzétételhez, vagy hogy a közzététel a GDPR-ban meghatározott egyéb kivételek valamelyikének hatálya alá tartozik.⌈2⌉ Ezenkívül az üzemeltetőnek intézkedéseket kell hoznia annak megakadályozása érdekében, hogy az ilyen hirdetéseket, amennyiben azokat a platformján közzéteszik, lemásolják és jogellenesen közzétegyék más weboldalakon. Nem mentesülhet továbbá e kötelezettségek alól a 2000/31/EK irányelvre⌈3⌉ hivatkozással, amely többek között olyan helyzetekre vonatkozó cikkeket tartalmaz (lásd a 2000/31 irányelv 12–15. cikkét), amelyekben az információs társadalommal összefüggő szolgáltatásokat nyújtók nem vonhatók felelősségre.

Az ügyről

A Russmedia Digital román társaság a www.publi24.ro weboldal tulajdonosa. Ez az oldal olyan online piactér, ahol ingyenesen vagy díjazás ellenében hirdetéseket lehet közzétenni. Ezek a hirdetések elsősorban Romániában történő árueladásra vagy szolgáltatásnyújtásra vonatkoznak. 2018. augusztus 1-jén egy azonosítatlan személy olyan üzenetet tett közzé ezen a weboldalon, amelyben azt állították, hogy egy nő szexuális szolgáltatásokat kínál. Az üzenet a nő hozzájárulása nélkül felhasznált fényképeit és telefonszámát is tartalmazta. A nő úgy vélte, hogy a hirdetés hamis tartalmú és sértő, ezért a weboldal tulajdonosától kérte annak eltávolítását. A kérés után egy órával a Russmedia Digital levette a hirdetést. A szóban forgó hirdetés azonban közben már más weboldalakon is megjelent, és ott továbbra is elérhető maradt.

E körülmények között a nő, mivel úgy ítélte meg, hogy a hirdetés sérti a képmáshoz, a becsülethez, a jóhírnévhez és a magánélethez való jogát, valamint a személyes adatok kezelésére vonatkozó szabályokat, a román bírósághoz fordult. A kolozsvári helyi bíróság helyt adott a keresetnek, és a Russmedia Digitalt nem vagyoni kár címén 7000 euró fizetésére kötelezte. Fellebbezést követően azonban a kolozsvári különös hatáskörű törvényszékfelmentette a társaságot, és csupán tárhelyszolgáltatónak minősítette, amely nem felelős a felhasználói által közzétett tartalomért.

A sértett ezután felülvizsgálati kérelmet nyújtott be a kolozsvári ítélőtáblához. Ez a bíróság úgy döntött, hogy az Európai Unió Bíróságához fordul, hogy tisztázza az uniós jog értelmezését, különös tekintettel az online piactér üzemeltetőjének a GDPR alapján fennálló kötelezettségeire, valamint arra, hogy az üzemeltető mentesülhet-e ezen kötelezettségek alól a 2000/31 irányelvben az információs társadalommal összefüggő szolgáltatásokat nyújtó szolgáltatók tekintetében előírt felelősség alóli mentesülés alapján.

A Bíróság ítéletében megállapítja, hogy a Russmedia Digitalhoz hasonló

online piactérüzemeltető az online piacterén közzétett hirdetésekben szereplő személyes adatoknak a GDPR értelmében vett (lásd a GDPR 4. cikkének 7. pontját) adatkezelője.

Ugyanis, még ha a hirdetést egy felhasználó teszi is közzé, az csak az online piactérnek köszönhetően kerül fel az internetre, és válik ezáltal az internethasználók számára hozzáférhetővé.

Következésképpen

az online piactér üzemeltetőjének a hirdetések közzététele előtt megfelelő technikai és szervezési intézkedések révén azonosítania kell azokat a hirdetéseket, amelyek – mint például a jelen ügyben – különleges adatokat tartalmaznak, és köteles megvizsgálni, hogy az ilyen hirdetést elhelyezni kívánó hirdető megegyezik-e azzal a személlyel, akinek különleges adatai szerepelnek a hirdetésben.

Amennyiben nem ez a helyzet, akkor

ellenőriznie kell, hogy az a személy, akinek az adatait közzéteszik, kifejezett hozzájárulását adta-e a közzétételhez. Ilyen hozzájárulás hiányában az online piactér üzemeltetőjének meg kell tagadnia a szóban forgó hirdetés közzétételét, kivéve, ha az a GDPR-ben meghatározott egyéb kivételek valamelyike alá tartozik.

Ezen túlmenően az online piactér üzemeltetőjének törekednie kell annak megakadályozására, hogy a weboldalán közzétett, különleges adatokat tartalmazó hirdetéseket lemásolják és jogellenesen közzétegyék más weboldalakon. E célból megfelelő technikai és szervezési biztonsági intézkedéseket kell végrehajtania.

Végül a Bíróság pontosítja, hogy az online piactér üzemeltetője nem hivatkozhat a 2000/31 irányelvben előírt felelősség alóli mentesülésre annak érdekében, hogy elkerülje a GDPR alapján rá háruló kötelezettségeket.

⌈1⌉ A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet).

⌈2⌉ Lásd a GDPR 9. cikkét, amely különleges védelmi rendszert ír elő a különleges adatokra, köztük a természetes személyek szexuális életére vagy
szexuális irányultságára vonatkozó személyes adatokra. E cikk szerint az ilyen adatok kezelése főszabály szerint tilos, kivéve, ha a felsorolt kivételek
valamelyike alá tartozik.

⌈3⌉ A belső piacon az információs társadalommal összefüggő szolgáltatások, különösen az elektronikus kereskedelem egyes jogi vonatkozásairól szóló,
2000. június 8-i 2000/31/EK európai parlamenti és tanácsi irányelv (Elektronikus kereskedelemről szóló irányelv).

5 Lásd a 2000/31 irányelv 14. cikkének (1) bekezdését.

Ki minősül az online piactereken közzétett hirdetésekben szereplő személyes adatok adatkezelőjének? – Az EuB ítéletében a platformüzemeltetők felelősségével kapcsolatos kérdéseket tisztáz!

Kapcsolódó tartalmak

Számos újítást vezet be az új pénzforgalmi szabályozás! – A PSD3 és a PSR erősíti a fogyasztóvédelmet, szigorítja a biztonságot és támogatja az innovációt

Korhatárhoz kötött közösségi médiahasználat – Szigorú szabályokra, a legártalmasabb gyakorlatok tilalmára és büntetésekre számíthatnak a digitális platformok

Köteles-e elismerni a tagállam azt a házasságot, amelyet két azonos nemű polgára másik tagállamban kötött? – Az EuB ítéletében uniós polgárok jogaival kapcsolatos kérdéseket tisztáz!

Biometrikus adatok kezelése – az ujjlenyomattal történő azonosítás adatvédelmi kérdései

Jelentősen szigorodnak az uniós játékbiztonsági szabályok – Aktualizálta a jelenleg hatályos 2009-es irányelvet az EP

Óriásplatformnak minősül-e az Amazon? – Az Európai Törvényszék ítéletében alapjogi és fogyasztóvédelmi kérdéseket tisztáz!

Ellentételezhetők-e a bírák által teljeseített túlórák pihenőidővel? – Az EuB ítéletében a bírói függetlenség követelményével kapcsolatos kérdéseket tisztáz!

Sérti-e az Európai Unió alapszerződését a minimálbérekről szóló irányelv? – Az EuB a tagállamok jogába való közvetlen beavatkozással kapcsolatos kérdéseket tisztáz!

Lehetséges, hogy a NAV részletesebb információkkal fog rendelkezni a kriptoügyleteinkről, mint mi magunk? – Januártól hatályban a kriptoeszközökkel kapcsolatos információcsere szabályozás!