Platformy internetowe odpowiadają za wpisy swych użytkowników. TSUE restrykcyjnie o naruszaniu przepisów RODO

Unijne przepisy, a konkretnie dyrektywa 2000/31 w sprawie niektórych aspektów prawnych usług społeczeństwa informacyjnego wyłącza odpowiedzialność dostawcy usług hostingowych do momentu, gdy nie wie on o bezprawnym charakterze treści zamieszczonych przez użytkowników platformy. Zgodnie z zasadą „notice and takedown” dopiero, gdy otrzyma wiarygodną informację o naruszeniu powinien zablokować wpis, a jeśli tego nie zrobi, to zaczyna ponosić odpowiedzialność za złamanie prawa. Dotychczas wydawało się, że ta generalna zasada obejmuje również dane osobowe i związane z nimi naruszenia. Trybunał Sprawiedliwości Unii Europejskiej w precedensowym orzeczeniu uznał jednak, że tak nie jest.

– Wyrok TSUE wydaje się rewolucyjny, a jego skutki zbyt daleko idące. Odwraca on bowiem dotychczasowe powszechne przekonanie o tym, kto odpowiada za treść ogłoszeń, anonsów czy wpisów w mediach społecznościowych – uważa adwokat Paweł Litwiński, partner w kancelarii Barta Litwiński.

Dotąd uważano, że to użytkownicy platform działają jako administratorzy danych osobowych albo są zwolnieni spod przepisów o ochronie danych osobowych, gdy przetwarzają dane w celu osobistym lub domowym. Platformy zaś pełnią jedynie rolę podmiotów przetwarzających dane.

– W efekcie, platformy miały wyłącznie obowiązek odpowiedniego zabezpieczenia danych, a za legalność ich przetwarzania odpowiadali użytkownicy. Orzeczenie TSUE zmienia to podejście, całkowicie ignorując przy tym przepisy o hostingu, które wyłączają przecież odpowiedzialność dostawcy usługi hostingowej, czyli platformy – tłumaczy adwokat.

Jaki będzie to miało skutek? Zdaniem mec. Litwińskiego, każdy portal musi się liczyć z ewentualną odpowiedzialnością za naruszenia użytkowników, nawet gdy nie ma o nich wiedzy. Zgodnie z wyrokiem TSUE obowiązkiem usługodawcy internetowego jest wprowadzenie mechanizmów skutecznie zabezpieczających dane osobowe. Problem w tym, że może to okazać się niemożliwe. Zwłaszcza w przypadku największych platform, które nie są w stanie moderować wszystkich zamieszczanych na nich treści.

TSUE: operator platformy przed opublikowaniem ogłoszenia zawierającego wrażliwe dane powinien sprawdzić, kto je zamieszcza

Orzeczenie, o którym mowa, zapadło niedawno w sprawie rumuńskiej (sygn. akt C-492/23).

Sprawa dotyczyła kobiety, której zdjęcia i numer telefonu – z informacją, że świadczy ona usługi seksualne – bez jej zgody zostały zamieszczone na platformie z ofertami sprzedaży towarów i usług Publi24.ro. Jej wydawca, czyli spółka Russmedia Digital, usunęła treść od razu po tym, jak kobieta zgłosiła naruszenie swoich praw, jednak ogłoszenie zdążyło już okazać się na innych stronach internetowych.

Poszkodowana rozpoczęła sądową batalię, domagając się od spółki zadośćuczynienia za naruszenie jej prawa do wizerunku, czci, dobrego imienia i prawa do życia prywatnego, a także naruszenia przepisów o ochronie danych osobowych. Ostatecznie sąd apelacyjny w Klużu zwrócił się do TSUE z prośbą o wyjaśnienie, jakie obowiązki i jaka odpowiedzialność w takim przypadku ciążą na operatorze platformy internetowej. A trybunał uznał, że platforma taka jak Russmedia Digital jest administratorem danych osobowych – w rozumieniu RODO – zawartych w ogłoszeniach publikowanych na jego internetowej platformie handlowej. Bo choć ogłoszenie jest zamieszczane przez użytkownika, zostaje ono opublikowane w sieci i – tym samym – udostępnione jej użytkownikom jedynie dzięki internetowej platformie handlowej.

– W konsekwencji operator platformy powinien przed opublikowaniem ogłoszeń, za pomocą odpowiednich środków technicznych i organizacyjnych, zidentyfikować ogłoszenia, które zawierają dane wrażliwe, takie jak te, których dotyczy niniejsza sprawa, i zweryfikować, czy użytkownik zamierzający zamieścić takie ogłoszenie, jest osobą, której dane wrażliwe się w nim znajdują – wyjaśnił TSUE. – Jeżeli tak nie jest, powinien on zweryfikować, czy osoba, której dane są publikowane, udzieliła wyraźnej zgody na opublikowanie. W braku takiej zgody operator internetowej platformy handlowej powinien odmówić opublikowania ogłoszenia, chyba że jest ono objęte jednym z pozostałych wyjątków przewidzianych w RODO – sprecyzował TSUE.

Dodatkowo trybunał uznał, że operator internetowej platformy handlowej powinien starać się zapobiegać kopiowaniu i niezgodnemu z prawem publikowaniu w innych witrynach internetowych ogłoszeń zawierających dane wrażliwe, które ukazały się na jego stronie. Jak? Poprzez stosowanie odpowiednich zabezpieczeń technicznych i organizacyjnych. TSUE nie podzielił też stanowiska, że operator internetowej platformy handlowej nie może uchylić się od tych obowiązków (ciążących na nim na mocy RODO), powołując się na warunkowe zwolnienie z odpowiedzialności przewidziane w unijnej dyrektywie 2000/31. Czyli wspomnianą zasadę „notice and takedown”, zgodnie z którą dostawcy usług pośrednich nie mogą ponosić odpowiedzialności cywilnej, karnej oraz administracyjnej za nielegalne treści.

Konsekwencje wyroku TSUE ws. odpowiedzialności portali internetowych. „Skoro portal ma odpowiadać za naruszenie przepisów o ochronie danych osobowych, to pewnie i za naruszenie prawa autorskiego?”

Choć póki co, to rumuński sąd apelacyjny musi wziąć pod uwagę orzeczenie TSUE przy wydawaniu decyzji w sprawie, która legła u jego podstaw, zdaniem ekspertów może ono mieć znacznie szersze oddziaływanie.

– Dla biznesu wyrok będzie miał duże znaczenie, bo jednoznacznie wskazał, że nie można wyłączyć odpowiedzialności platform, płynącej z konieczności stosowania RODO – komentuje dr hab. Arwid Mednis z Wydziału Prawa i Administracji Uniwersytetu Warszawskiego, radca prawny z kancelarii Kobylańska Lewoszewski Mednis.

Zdaniem eksperta, platformy mogą nie mieć teraz jasności, w jaki sposób powinny podchodzić choćby do kwestii podstaw prawnych przetwarzania danych osób niebędących użytkownikami – czy można mówić o prawnie uzasadnionym interesie, który wymaga ważenia interesu platformy z prawami, wolnościami i interesami podmiotów danych; jak spełnić obowiązek informacyjny wobec takich osób i inne wymogi wynikające z RODO?

Również mec. Litwiński spodziewa się, że wyrok wywoła biznesowe reperkusje, bo rodzi się pytanie o zakres jego oddziaływania. – Trzeba się bowiem zastanowić, czy jeśli w sprawie rumuńskiej pod uwagę wzięte zostały dobra osobiste i fakt ich naruszenia, to w takim razie dlaczego w ten sam sposób nie miałyby być chronione np. znaki towarowe czy kwestie prawnoautorskie? W efekcie, skoro portal ma odpowiadać za naruszenie przepisów o ochronie danych osobowych, to pewnie i za naruszenie praw własności przemysłowej czy prawa autorskiego? – unaocznia ekspert.

Czytaj więcej

Dane osobowe

Czy platforma z ofertami musi pilnować ich treści? Stanowisko z TSUE

Czy platforma ogłoszeniowa odpowiada za treść oferty, w której ogłoszeniodawca zamieścił dane inn...

„Dla biznesu oznacza to katastrofę”, dla ofiary fałszywego ogłoszenia – szybką drogę do uzyskania rekompensaty 

Mec. Litwiński przyznaje, że dla osób, które padłyby ofiarą podobnych naruszeń, z jakimi mieliśmy do czynienia w sprawie rumuńskiej, takie rozstrzygnięcie jest korzystne, bo otwiera im prostą i krótką ścieżkę do uzyskania zadośćuczynienia lub odszkodowania od konkretnej platformy. Oznacza to, że nie będą musiały szukać anonimowego często autora wpisu czy ogłoszenia. – Dla biznesu oznacza to jednak katastrofę, bo wyobraźmy sobie sytuację, w której np. zamawiam w gazecie nekrolog. Jeśli okaże się, że to głupi żart, to idąc za tokiem rozumowania TSUE, odpowiedzialność poniesie redakcja – wskazuje adwokat.

Dr Litwiński rozważa również sytuacje, w których przyjdzie zastanowić się, co z danymi wrażliwymi, które mogą się przecież pojawiać w treściach pochodzących od użytkowników, choćby w kontekście zbiórek związanych z leczeniem. Czy trzeba będzie uzyskiwać wyraźną zgodę na publikację? – I pomijam już zupełnie fakt, że skoro dostawca treści, czyli serwis, staje się administratorem danych, to powinien spełnić również obowiązek administracyjny – dodaje Paweł Litwiński.

Czytaj więcej

Dobra osobiste

Pozew za zdjęcia z dzieciństwa możliwy, ale o odszkodowanie będzie trudno

Nadmierne dzielenie się wizerunkiem dziecka w sieci może mieć dla niego negatywne konsekwencje. P...

Ekspert przestrzega przed popadaniem w automatyzm: inne ryzyko ponosi portal z anonsami towarzyskimi, inne ten z ogłoszeniami o sprzedaży samochodów 

Dr Mednis wyjaśnia, że w sprawie rumuńskiej, na kanwie której zapadł wyrok TSUE, platforma próbowała przyjąć strategię wyłączającą jej odpowiedzialność za treść feralnego ogłoszenia, powołując się właśnie na przepisy unijnej dyrektywy 2000/31, przewidującej taką możliwość w konkretnych przypadkach oraz – jeśli chodzi o przepisy o ochronie danych osobowych – na brak wpływu na treść ogłoszeń.

– Jednak kwestię tę trzeba było rozpatrzyć w kontekście przepisów wprowadzonego później RODO i ustalić, na ile platforma jest administratorem danych. Nie jest nim bowiem każdy, kto fizycznie nimi dysponuje, bo decydujące znaczenie ma władztwo nad nimi – podkreśla dr Mednis.