Az ügy középpontjában egy romániai online piactér (www.publi24.ro) üzemeltetőjének adatvédelmi felelőssége áll, amelyen egy ismeretlen felhasználó olyan hirdetést tett közzé, amely a felperest valótlanul szexuális szolgáltatásokat kínáló személyként ábrázolta, a képmását és telefonszámát felhasználva, hozzájárulása nélkül. A hirdetést a platformüzemeltető a bejelentést követően rövid időn belül eltávolította, azonban azonos tartalommal más weboldalakon továbbra is elérhető maradt, ami tartós nem vagyoni sérelmet okozott a felperesnek.
A felperes kártérítési pert indított a Russmedia Digital és az Inform Media Press ellen, a képmáshoz, jó hírnévhez és magánélethez fűződő jogainak megsértésére, valamint a személyes adatok – köztük különleges adatok – jogellenes kezelése miatti nem vagyoni kárra hivatkozva. Első fokon a bíróság megítélte a kért nem vagyoni kártérítést, másodfokon azonban a speciális kereskedelmi bíróság a szolgáltató felelősségét kizártnak tekintette, az elektronikus kereskedelmi irányelven alapuló „hosting” felelősségkorlátozásra hivatkozva, és arra, hogy a szolgáltató nem köteles előzetesen ellenőrizni a felhasználói tartalmakat.
A román fellebbviteli bíróság előzetes döntéshozatali kérdéseiben azt kívánta tisztázni, hogy: (i) az online piactér üzemeltetője adatkezelőnek minősül‑e a hirdetésekben szereplő személyes adatok tekintetében; (ii) a GDPR alapján köteles‑e előzetesen azonosítani a különleges adatot tartalmazó hirdetéseket, ellenőrizni a hirdető személyazonosságát és a hozzájárulást; (iii) kötelezhető‑e a hirdetések tartalmának előzetes, általános jogszerűségi szűrésére; és (iv) köteles‑e olyan technikai és szervezési intézkedéseket alkalmazni, amelyek megakadályozzák vagy korlátozzák a hirdetések más oldalakra történő jogellenes másolását.
Az Európai Unió Bírósága megállapította, hogy az online piactér üzemeltetője – mivel gazdasági és kereskedelmi céljaira felhasználja és hasznosítja a hirdetésekben szereplő személyes adatokat – adatkezelőnek minősül, és egyes vonásokban a hirdetőkkel együtt közös adatkezelő. A Bíróság kimondta, hogy ha az üzemeltető tudja vagy tudnia kell, hogy felhasználók különleges adatokat (például szexuális életre vonatkozó információkat) tartalmazó hirdetéseket tehetnek közzé, köteles már a szolgáltatás tervezésekor olyan technikai és szervezési intézkedéseket bevezetni, amelyek lehetővé teszik e hirdetések azonosítását, a hirdető személyazonosságának ellenőrzését, valamint annak vizsgálatát, hogy a hirdetésben szereplő érintett kifejezett hozzájárulást adott‑e, vagy fennáll‑e a GDPR 9. cikk (2) bekezdésében rögzített egyéb kivétel. Ennek hiányában a hirdetés közzétételét meg kell tagadni.
A Bíróság továbbá rögzítette, hogy az üzemeltetőnek a GDPR 32. cikke alapján olyan biztonsági intézkedéseket is alkalmaznia kell, amelyek érdemben csökkentik annak kockázatát, hogy a platformon közzétett, különleges adatokat tartalmazó hirdetéseket harmadik felek lemásolják és más weboldalakon jogellenesen terjesszék, különös tekintettel a „kontrollvesztés” veszélyére és a „felejtéshez való jog” gyakorlásának ellehetetlenülésére. Végül a Bíróság kimondta, hogy az ilyen adatkezelő nem hivatkozhat az elektronikus kereskedelmi irányelv szerinti közvetítő-szolgáltatói felelősségkorlátozásra a GDPR‑beli kötelezettségei megsértése esetén, mivel e két szabályozás egymáshoz képest nem „lex specialis–lex generalis” viszonyban áll, hanem a személyes adatok védelme elsőbbséget élvez az ilyen felelősségkorlátokkal szemben.
Szerző: Szalai Anikó
Forrás: C-492/23. sz. ügy, Russmedia Digital és Inform Media Press, 2025. december 2-i ítélet, ECLI:EU:C:2025:935
