Szexuális szolgáltatásokat kínáló hirdetésben találta meg saját adatait egy nő: a GDPR alapján az oldalt üzemeltető felelősségre vonható

Megosztás Tetszik

Az online piactér üzemeltetője a platformján közzétett hirdetésekben szereplő személyes adatok adatkezelőjének minősül, ezzel összefüggésben köteles a különleges adatokat tartalmazó hirdetéseket közzététel előtt azonosítani, és ellenőrizni, hogy a hirdető valóban az a személy, akinek adatai szerepelnek az ilyen hirdetésben, vagy hogy megkapta az érintett személy kifejezett hozzájárulását a közzétételhez, írja az Európai Unió Bírósága a C-492/23. számú ügyben hozott ítéletében.

Az uniós jog arra kötelezi az online piactér üzemeltetőjét, hogy a GDPR-ral összhangban vállalja a felelősséget a platformján közzétett hirdetésekben szereplő személyes adatok kezeléséért. Többek között megfelelő technikai és szervezési intézkedéseket kell végrehajtania annak érdekében, hogy a közzétételt megelőzően azonosítsa a különleges adatokat tartalmazó hirdetéseket, és ellenőrizze, hogy a hirdető valóban az a személy, akinek az adatait az ilyen hirdetés tartalmazza. Ha nem, akkor az üzemeltetőnek meg kell tagadnia a hirdetés közzétételét, kivéve ha a hirdető bizonyítani tudja, hogy ez a személy kifejezett hozzájárulását adta a közzétételhez, vagy hogy a közzététel a GDPR-ban meghatározott egyéb kivételek valamelyikének hatálya alá tartozik. Ezenkívül az üzemeltetőnek intézkedéseket kell hoznia annak megakadályozása érdekében, hogy az ilyen hirdetéseket, amennyiben azokat a platformján közzéteszik, lemásolják és jogellenesen közzétegyék más weboldalakon. Nem mentesülhet továbbá e kötelezettségek alól a 2000/31/EK irányelvre hivatkozással, amely többek között olyan helyzetekre vonatkozó cikkeket tartalmaz, amelyekben az információs társadalommal összefüggő szolgáltatásokat nyújtók nem vonhatók felelősségre.

A Russmedia Digital román társaság a www.publi24.ro weboldal tulajdonosa. Ez az oldal olyan online piactér, ahol ingyenesen vagy díjazás ellenében hirdetéseket lehet közzétenni. Ezek a hirdetések elsősorban Romániában történő árueladásra vagy szolgáltatásnyújtásra vonatkoznak. 2018. augusztus 1-jén egy azonosítatlan személy olyan üzenetet tett közzé ezen a weboldalon, amelyben azt állították, hogy egy nő szexuális szolgáltatásokat kínál. Az üzenet a nő hozzájárulása nélkül felhasznált fényképeit és telefonszámát is tartalmazta. A nő úgy vélte, hogy a hirdetés hamis tartalmú és sértő, ezért a weboldal tulajdonosától kérte annak eltávolítását. A kérés után egy órával a Russmedia Digital levette a hirdetést. A szóban forgó hirdetés azonban közben már más weboldalakon is megjelent, és ott továbbra is elérhető maradt.

E körülmények között a nő, mivel úgy ítélte meg, hogy a hirdetés sérti a képmáshoz, a becsülethez, a jóhírnévhez és a magánélethez való jogát, valamint a személyes adatok kezelésére vonatkozó szabályokat, a román bírósághoz fordult. A kolozsvári helyi bíróság helyt adott a keresetnek, és a Russmedia Digitalt nem vagyoni kár címén 7000 euró fizetésére kötelezte. Fellebbezést követően azonban a kolozsvári különös hatáskörű törvényszék felmentette a társaságot, és csupán tárhelyszolgáltatónak minősítette, amely nem felelős a felhasználói által közzétett tartalomért.

Az Európai Unió Bírósága ítéletében megállapítja, hogy a Russmedia Digitalhoz hasonló onlinepiactér-üzemeltető az online piacterén közzétett hirdetésekben szereplő személyes adatoknak a GDPR értelmében vett adatkezelője. Ugyanis, még ha a hirdetést egy felhasználó teszi is közzé, az csak az online piactérnek köszönhetően kerül fel az internetre, és válik ezáltal az internethasználók számára hozzáférhetővé.

Következésképpen az online piactér üzemeltetőjének a hirdetések közzététele előtt megfelelő technikai és szervezési intézkedések révén azonosítania kell azokat a hirdetéseket, amelyek – mint például a jelen ügyben – különleges adatokat tartalmaznak, és köteles megvizsgálni, hogy az ilyen hirdetést elhelyezni kívánó hirdető megegyezik-e azzal a személlyel, akinek különleges adatai szerepelnek a hirdetésben.

Ha nem ez a helyzet, akkor ellenőriznie kell, hogy az a személy, akinek az adatait közzéteszik, kifejezett hozzájárulását adta-e a közzétételhez. Ilyen hozzájárulás hiányában az online piactér üzemeltetőjének meg kell tagadnia a szóban forgó hirdetés közzétételét, kivéve, ha az a GDPR-ben meghatározott egyéb kivételek valamelyike alá tartozik. Ezen túlmenően az online piactér üzemeltetőjének törekednie kell annak megakadályozására, hogy a weboldalán közzétett, különleges adatokat tartalmazó hirdetéseket lemásolják és jogellenesen közzétegyék más weboldalakon. E célból megfelelő technikai és szervezési biztonsági intézkedéseket kell végrehajtania.

Végül az EUB pontosítja, hogy az online piactér üzemeltetője nem hivatkozhat a 2000/31 irányelvben előírt felelősség alóli mentesülésre annak érdekében, hogy elkerülje a GDPR alapján rá háruló kötelezettségeket.