Wyrok Trybunału Sprawiedliwości Unii Europejskiej z dnia 2 grudnia 2025 r. w sprawie C-492/23 (X przeciwko Russmedia Digital i inni) wprowadza fundamentalną zmianę w postrzeganiu odpowiedzialności podmiotów prowadzących portale ogłoszeniowe i platformy handlowe. Dla przedsiębiorców działających w sektorze e-commerce orzeczenie to oznacza konieczność drastycznego przemodelowania procesów weryfikacji treści i ochrony danych osobowych. Nowy rok przynosi więc kolejne obowiązki, nad którymi należy się pochylić.
Z tego artykułu dowiesz się:
- Czego dotyczy wyrok TSUE C-492/23?
- Jakie obowiązki zostały nałożone na operatorów platform internetowych?
Dowiedz się więcej o zależności między sztuczną inteligencją a RODO: https://mdl-kancelariaprawna.pl/porady-prawne/jaka-jest-zaleznosc-miedzy-sztuczna-inteligencja-o-ochrona-danych-osobowych-rodo-i-ai-moga-isc-w-parze-ai-w-pigulce/
Czy operator platformy internetowej jest administratorem danych osobowych?
Najważniejszym wnioskiem płynącym z lektury wyroku jest jasne uznanie, że operator platformy handlowej, na której użytkownicy zamieszczają ogłoszenia, pełni rolę administratora danych osobowych w rozumieniu art. 4 pkt 7 RODO.
Dotychczas wielu przedsiębiorców polegało na stosowaniu tzw. zasady„safe harbor” wynikającej z dyrektywy o handlu elektronicznym, uznając, że ich rola ogranicza się do technicznego przechowywania informacji (czyli hostingu). TSUE jednoznacznie stwierdził jednak, że jeśli operator platformy:
- wykorzystuje ogłoszenia do własnych celów handlowych lub reklamowych,
- ustala parametry rozpowszechniania, sposób prezentacji czy ranking ogłoszeń,
- zastrzega sobie prawo do modyfikacji, kopiowania czy usuwania treści w dowolnym momencie,
to oznacza, że uczestniczy on w określaniu celów i sposobów przetwarzania danych, stając się administratorem odpowiedzialnym za zgodność z RODO.
TikTok a RODO – dowiedz się więcej! https://mdl-kancelariaprawna.pl/porady-prawne/tiktok-a-rodo-dlaczego-spolka-musi-zaplacic-az-530-mln-euro-kary/
Obowiązki informacyjne operatora platformy jako administratora danych według RODO
Zgodnie z wyrokiem Trybunału Sprawiedliwości Unii Europejskiej w sprawie C-492/23, operator internetowej platformy handlowej, jako administrator danych osobowych w rozumieniu art. 4 pkt 7 RODO, musi realizować rygorystyczne obowiązki informacyjne względem osób, których dane są publikowane w ogłoszeniach. Każdy podmiot zarządzający portalem ogłoszeniowym ma prawny obowiązek podania swojej pełnej tożsamości oraz danych kontaktowych osobie, której dane dotyczą, niezależnie od tego, czy informacje te pozyskano bezpośrednio od niej, czy od osób trzecich. Kluczowym elementem zgodności z przepisami jest zapewnienie wysokiego poziomu przejrzystości, co wymaga, aby wszelkie informacje o celach i sposobach przetwarzania były sformułowane jasnym, prostym i zrozumiałym dla użytkownika językiem. W sytuacjach, w których dochodzi do współadministrowania danymi z reklamodawcami, administratorzy są zobowiązani do przejrzystego określenia ram zakresów swojej odpowiedzialności w drodze wspólnych uzgodnień, co technicznie uniemożliwia stronom zachowanie anonimowości. Prawidłowe wypełnianie tych obowiązków informacyjnych jest niezbędne, aby zagwarantować osobom fizycznym realną kontrolę nad ich danymi osobowymi oraz skutecznie chronić ich prawo do prywatności w Internecie.
Poniżej zacytowane są fragmenty omawianego wyroku:
“101. Wreszcie należy zauważyć, że art. 26 RODO nakłada na współadministratorów tych samych danych osobowych obowiązek określenia w przejrzysty sposób właściwych im zakresów ich odpowiedzialności dotyczącej wypełniania obowiązków wynikających z tego rozporządzenia. Spełnienie takiego obowiązku okazałoby się zaś niemożliwe, gdyby jeden z administratorów mógł pozostać anonimowy wobec drugiego.”
“102. Z powyższego wynika zatem, że operator rynku elektronicznego online, jako podmiot odpowiedzialny wspólnie z użytkownikiem będącym reklamodawcą za publikację danych wrażliwych zawartych w ogłoszeniu opublikowanym na jego internetowej platformie handlowej, ma obowiązek zebrania informacji o tożsamości tego użytkownika będącego reklamodawcą i zweryfikowania, czy użytkownik ten jest osobą, której dane wrażliwe znajdują się w tym ogłoszeniu.”
Dowiedz się więcej o statusie prawnym suplementów diety: https://mdl-kancelariaprawna.pl/porady-prawne/status-prawny-suplementow-diety/
Podsumowanie
Dla właścicieli serwisów ogłoszeniowych wyrok C-492/23 to sygnał do natychmiastowego audytu procedur. Najważniejsze kroki to:
- Wdrożenie filtrów treści: Narzędzia automatyczne (AI, filtry słów kluczowych) muszą identyfikować ogłoszenia mogące zawierać dane wrażliwe.
- Uwierzytelnianie użytkowników: Wprowadzenie mechanizmów weryfikacji tożsamości (np. przez kody SMS, przelewy weryfikacyjne lub logowanie profilami zaufanymi), zwłaszcza w kategoriach podwyższonego ryzyka.
- Zabezpieczenia techniczne: Blokada kopiowania treści ogłoszeń przez boty i zewnętrzne skrypty.
- Aktualizacja regulaminów: Jasne określenie roli operatora jako administratora i wskazanie zakresu weryfikacji.
Podsumowując, orzeczenie to stawia ochronę dóbr osobistych i danych wrażliwych ponad wygodę użytkowników i automatyzację procesów publikacji. Przedsiębiorcy, którzy zignorują te wytyczne, narażają się na wysokie kary administracyjne oraz roszczenia cywilne ze strony osób, których prawa zostały naruszone. Zachęcamy też do zapoznania się z pełną treścią wyroku, klikając tutaj: https://curia.europa.eu/juris/liste.jsf?num=C-492/23
W czym możemy pomóc Ci pomóc?
- Wesprzemy Cię w legalnym prowadzeniu biznesu online.
- Doradzimy, jak chronić dane osobowe Twoich klientów.
- Przeprowadzimy audyt prawny Twojego biznesu.
FAQ
1. Czy obowiązek weryfikacji ogłoszeń dotyczy tylko platform pobierających opłaty od użytkowników?
Nie. Trybunał jednoznacznie wskazał, że zasady te mają zastosowanie do operatorów internetowych platform handlowych, na których ogłoszenia mogą być publikowane zarówno nieodpłatnie, jak i odpłatnie. Decydujące znaczenie ma fakt, że operator przetwarza te dane dla własnych celów handlowych lub reklamowych, np. w celu przyciągnięcia użytkowników do serwisu, co czyni go administratorem danych osobowych niezależnie od modelu płatności za samo ogłoszenie.
2. Czy procedura „notice and takedown” (usunięcie treści po zgłoszeniu) nadal chroni przed karami za naruszenie RODO?
W zakresie ochrony danych osobowych, niestety nie. TSUE orzekł, że operator platformy, jako administrator danych, nie może powoływać się na zwolnienia z odpowiedzialności przewidziane w dyrektywie o handlu elektronicznym (art. 12 -15) w odniesieniu do naruszenia obowiązków wynikających z RODO. Oznacza to, że samo szybkie usunięcie bezprawnego ogłoszenia (np. w ciągu godziny od zgłoszenia) nie zwalnia przedsiębiorcy z odpowiedzialności za brak wcześniejszego wdrożenia odpowiednich środków technicznych, które powinny były zapobiec publikacji danych wrażliwych bez weryfikacji tożsamości reklamodawcy.
3. Co muszę zrobić, jeśli użytkownik chce opublikować ogłoszenie zawierające dane wrażliwe osoby trzeciej?
Jako operator masz obowiązek wdrożenia środków, które pozwolą zidentyfikować takie dane przed ich upublicznieniem. Jeśli system wykryje dane wrażliwe, musisz:
- zweryfikować, czy reklamodawca jest osobą, której dane te dotyczą;
- jeśli dane dotyczą osoby trzeciej, to należy odmówić publikacji ogłoszenia;
- wyjątkiem jest sytuacja, w której reklamodawca jest w stanie wykazać, że osoba, której dane dotyczą, wyraziła uprzednio wyraźną zgodę na publikację jej danych na tej konkretnej platformie.
Skontaktuj się z nami za pomocą poniższego formularza kontaktowego.
