Mení sa zodpovednosť online platforiem za zverejnený obsah v rozsahu Nariadenia GDPR – Rozsudok Súdneho dvora Európskej únie v prípade Russmedia (C-492/23)
Úvod: Prelomový rozsudok mení zodpovednosť online platforiem vo vzťahu k GDPR
Rozsudok Súdneho dvora Európskej únie (SDEÚ) vo veci C-492/23, známy ako Russmedia, zásadne mení pohľad na zodpovednosť prevádzkovateľov online platforiem, najmä online trhovísk, za obsah zverejnený používateľmi. Netýka sa to však nelegálneho obsahu, ale obsahu, ktorý zahŕňa osobné údaje.
Európska digitálna regulácia predstavuje dynamicky sa meniaci komplex a tento judikát mení tradičné chápanie právneho postavenia online platforiem vo vzťahu k osobných údajom.
Podstatou tohto rozhodnutia je dlhodobý konflikt medzi (i) oslobodením online platforiem od zodpovednosti podľa Smernice o elektronickom obchode a jej nástupcu Aktu o digitálnych službách (DSA) a (ii) povinnosťami podľa Nariadenia GDPR, ktoré toto nariadenie ukladá prevádzkovateľom osobných údajov.
SDEÚ pritom rozhodol, že v oblasti spracúvania osobných údajov majú požiadavky Nariadenia GDPR prednosť pred ustanoveniami Aktu o digitálnych službách. Tým sa online platformy, ako sú online trhoviská, stávajú zodpovednými za obsah, ktorý obsahuje osobné údaje.
Skutkový stav a priebeh konania
Spor vznikol medzi navrhovateľkou, v konaní označenou ako X, a spoločnosťou Russmedia Digital SRL, ktorá prevádzkovala rumunský inzertný portál www.publi24.ro. Dňa 1. augusta 2018 neidentifikovaná tretia osoba zverejnila na tejto platforme nepravdivý a škodlivý inzerát. Tento inzerát prezentoval navrhovateľku ako osobu ponúkajúcu sexuálne služby, pričom obsahoval jej fotografie a osobné telefónne číslo. Všetky tieto osobné údaje boli použité a zverejnené bez jej súhlasu.
Po tom, čo navrhovateľka kontaktovala spoločnosť Russmedia, tá zareagovala promptne a predmetný inzerát odstránila zo svojej webovej stránky menej ako hodinu po doručení žiadosti. Napriek tejto rýchlej reakcii však došlo k tomu, že inzerát bol medzitým automatizovane skopírovaný a zverejnený na mnohých iných webových stránkach. Tým spôsobili navrhovateľke trvalú a prakticky nekontrolovateľnú nemajetkovú ujmu.
Prípad sa dostal až na Curtea de Apel Cluj, ktorý sa rozhodol prerušiť konanie a obrátil sa na SDEÚ s prejudiciálnymi otázkami. Rumunský súd si totiž nebol istý, ako vyložiť vzťah medzi oslobodením od zodpovednosti podľa Smernice o elektronickom obchode a Aktu o digitálnych službách a povinnosťami vyplývajúcimi z Nariadenia GDPR.
Kľúčovou otázkou teda bolo, či platforma, ktorá umožňuje anonymné zverejňovanie obsahu a vo svojich podmienkach si vyhradzuje právo komerčne využívať obsah nahraný používateľmi, môže byť stále považovaná za pasívneho sprostredkovateľa, alebo či jej naopak Nariadenie GDPR ukladá povinnosti na ochranu osobných údajov. Najmä ak ide o zjavne nezákonný a škodlivý obsah.
Kľúčové právne závery SDEÚ
Súdny dvor vo svojom odôvodnení prijal niekoľko zásadných právnych záverov.
Právne postavenie prevádzkovateľa online trhoviska ako spoločného prevádzkovateľa podľa Nariadenia GDPR
Určenie právneho postavenia online trhoviska podľa Nariadenia GDPR bolo východiskom celého rozhodnutia. SDEÚ dospel k jednoznačnému záveru, že Russmedia nie je len pasívnym technickým sprostredkovateľom, ale aktívnym prevádzkovateľom.
Spoločnosť Russmedia je prevádzkovateľom osobných údajov pretože:
- má vplyv na účely a prostriedky spracúvania: SDEÚ zdôraznil, že Russmedia spracúvala údaje nielen na účely poskytnutia služby inzerentovi, ale aj na svoje vlastné obchodné účely. Toto presahuje rámec bežného hostingu. Skutočnosť, že platforma zhodnocuje uverejnené údaje na svoje reklamné a komerčné ciele, znamená, že sa podieľa na určovaní účelu spracúvania.
- môže používať zverejnený obsah podľa obchodných podmienok: kľúčovým dôkazom boli zmluvné podmienky online platformy. SDEÚ poukázal na ustanovenia, podľa ktorých si Russmedia vyhradzovala právo „používať zverejnený obsah, vrátane jeho kopírovania, distribúcie, prenosu, uverejňovania, jeho reprodukovania, úpravy, prekladu, prevodu na partnerov a vymazania tohto obsahu v akomkoľvek okamihu, a to aj bez toho, aby mala na tento účel platný dôvod.“ V tomto SDEÚ videl jasný dôkaz o tom, že platforma si nárokuje práva, ktoré jej umožňujú určovať účel spracúvania nad rámec vôle pôvodného inzerenta.
- určuje prostriedky šírenia obsahu: SDEÚ konštatoval, že online trhovisko svojím samotným dizajnom a fungovaním rozhodujúcim spôsobom ovplyvňuje, ako sú osobné údaje šírené. Tým, že umožňuje anonymitu, štrukturuje inzeráty do rubrík a určuje spôsob ich zobrazenia a dĺžku uverejnenia, aktívne určuje prostriedky spracúvania.
Na základe týchto skutočností SDEÚ rozhodol, že anonymný inzerent (ktorý údaje vložil) a platforma Russmedia (ktorá umožnila ich globálne šírenie a vyhradila si právo na ich využitie) sú spoločnými prevádzkovateľmi. Súd zároveň zdôraznil, že ich zodpovednosť nemusí byť rovnaká, ale posudzuje sa vzhľadom na všetky relevantné okolnosti prípadu.
Rozhodnutie o tom, že online trhovisko je spoločný prevádzkovateľ, mení právne povinnosti online platformy z pasívneho sprostredkovateľa na aktívneho účastníka s priamou zodpovednosťou podľa Nariadenia GDPR.
Online trhovisko ako spoločný prevádzkovateľ má všetky povinnosti prevádzkovateľa podľa Nariadenia GDPR
SDEÚ tak posunul zodpovednosť online trhovísk a iných platforiem od reaktívneho odstraňovania nelegálneho obsahu na základe oznámenia (povinnosť uložená podľa Aktu o digitálnych službách) k proaktívnym preventívnym povinnostiam podľa Nariadenia GDPR.
Tieto povinnosti podľa SDEÚ vyvodil priamo zo zásady zodpovednosti (čl. 5 ods. 2 Nariadenia GDPR) a z požiadaviek na špecificky navrhnutú a štandardnú ochranu údajov (čl. 24 a 25 Nariadenia GDPR), ktoré zaväzujú prevádzkovateľov prijímať opatrenia už vo fáze návrhu služby.
SDEÚ uložil prevádzkovateľom online trhovísk tri proaktívne povinnosti, ktoré musia splniť pred zverejnením inzerátu obsahujúceho citlivé údaje (v zmysle článku 9 Nariadenia GDPR, ako napr. údaje o sexuálnom živote):
- povinnosť identifikovať citlivé údaje: prevádzkovateľ musí prijať primerané technické a organizačné opatrenia, aby ešte pred zverejnením identifikoval inzeráty, ktoré s vysokou pravdepodobnosťou obsahujú citlivé údaje. Tento krok si vyžaduje zavedenie systémov na analýzu obsahu, napríklad na základe kľúčových slov alebo kontextu.
- povinnosť overiť identitu inzerenta: po identifikácii potenciálne rizikového inzerátu je platforma povinná overiť, či je osoba zverejňujúca inzerát totožná s osobou, ktorej sa citlivé údaje týkajú. SDEÚ týmto krokom fakticky vylúčil možnosť anonymného zverejnenia citlivých osobných údajov tretích osôb.
- povinnosť odmietnuť zverejnenie bez súhlasu: ak sa overením zistí, že inzerent nie je dotknutou osobou, online platforma musí odmietnuť zverejnenie inzerátu, pokiaľ inzerent nepreukáže, že získal výslovný súhlas dotknutej osoby v súlade s článkom 9 ods. 2 písm. a) Nariadenia GDPR. Dôkazné bremeno je teda na inzerentovi, pričom online platforma musí mať mechanizmus na overenie tohto súhlasu.
Tieto povinnosti v praxi znamenajú, že online platformy musia implementovať systémy predbežnej kontroly obsahu (ex-ante moderovanie), aspoň vo vzťahu k citlivým údajom podľa Nariadenia GDPR.
Povinnosť zabezpečiť údaje proti ďalšiemu šíreniu
Podľa SDEÚ však zodpovednosť prevádzkovateľa nekončí samotným zverejnením inzerátu. Naopak, SDEÚ na základe článku 32 Nariadenia GDPR rozšíril povinnosti prevádzkovateľa aj na ochranu pred nekontrolovaným kopírovaním a ďalším šírením obsahu tretími stranami.
SDEÚ analyzoval povinnosti podľa článku 32 Nariadenia GDPR v kontexte vysokého rizika, ktoré so sebou prináša zverejnenie osobných údajov na internete. Poukázal na to, že po online zverejnení dochádza k strate kontroly nad údajmi, čo predstavuje mimoriadne vysoké riziko pre práva a slobody jednotlivcov.
Na základe tejto analýzy SDEÚ dospel ku záveru, že prevádzkovateľ online trhoviska je povinný prijať primerané technické, organizačné a bezpečnostné opatrenia s cieľom zabrániť kopírovaniu a nezákonnému zverejňovaniu inzerátov s citlivými údajmi na iných webových stránkach. Hoci SDEÚ nešpecifikoval konkrétne technológie, tento záver jednoznačne naznačuje potrebu implementácie opatrení proti automatizovanému sťahovaniu obsahu (tzv. „scraping“), ktoré viedlo k rozšíreniu škodlivého inzerátu v tomto prípade.
Vzťah Nariadenia GDPR, Smernice o elektronickom obchode a jej nástupcu Aktu o digitálnych službách
Toto rozhodnutie SDEÚ predstavuje zásadnú zmenu v tradičnom chápaní zodpovednosti online platforiem. Podľa Aktu o digitálnych službách totiž prevádzkovateľ online platformy alebo online trhoviska v zásade nezodpovedá za obsah zverejnený tretími osobami. SDEÚ však toto pravidlo zmenil v tom zmysle, že prevádzkovateľ online trhoviska zodpovedá za obsah zverejnený tretími osobami, a to v rozsahu zodpovednosti spoločného prevádzkovateľa podľa Nariadenia GDPR.
SDEÚ analýzou Smernice o elektronickom obchode (ktorá je aktuálne nahradená Aktom o digitálnych službách) a článku 2 ods. 4 Nariadenia GDPR dospel k záveru, že tieto dva právne režimy existujú popri sebe a jeden nevylučuje druhý. Režim zodpovednosti podľa Aktu o digitálnych službách sa týka všeobecnej zodpovednosti za nezákonný obsah, zatiaľ čo Nariadenie GDPR upravuje špecifickú zodpovednosť za spracúvanie osobných údajov.
Prevádzkovateľ online trhoviska, ktorý je zároveň prevádzkovateľom osobných údajov podľa Nariadenia GDPR, sa v súvislosti s porušením svojich povinností podľa Nariadenia GDPR nemôže odvolávať výnimky zo zodpovednosti stanovenej v Akte o digitálnych službách.
Analýza dôsledkov pre prax
Právne závery SDEŮ vo veci Russmedia zásadne menia pravidlá zodpovednosti pre prevádzkovateľov online platforiem. Ich ignorovanie pritom predstavuje významné právne a finančné riziko.
Posun od reaktívneho k proaktívnemu modelu zodpovednosti
Rozsudok Russmedia v kontexte spracúvania osobných údajov (najmä citlivých osobných údajov) definitívne ukončil éru pasívnej neutrality, kde online platforme stačilo reagovať až na základe ohlásenia nezákonného obsahu (model „notice-and-takedown“). Tento model, dlhodobo spojený so Smernicou o elektronickom obchode a po novom v Akte o digitálnych službách, sa ukázal ako nedostatočný na ochranu základných práv v digitálnom veku.
SDEÚ teraz jasne rozhodol, že prevádzkovateľ online platformy, ak je súčasne prevádzkovateľom osobných údajov podľa Nariadenia GDPR, musí vykonať proaktívne a preventívne opatrenia na splnenie jeho povinností v oblasti ochrany osobných údajov.
V zásade preto možno zhrnúť, že zatiaľ čo online platformy nie sú podľa Aktu o digitálnych službách zodpovedné za nezákonný obsah a musia na neho reagovať až po jeho nahlásení, v oblasti ochrany osobných údajov platí opačný prístup.
Online platformy, ktoré sú zároveň aj prevádzkovateľmi osobných údajov podľa Nariadenia GDPR sú povinní vykonať všetky opatrenia na ochranu osobných údajov a proti ich nezákonnému šíreniu. Platí to najmä v prípade citlivých osobných údajov podľa článku 9 Nariadenia GDPR.
Čo to znamená pre prax online platforiem: úzka vs. široká interpretácia rozsudku
Jednou z kľúčových otázok po vynesení rozsudku je, na aké platformy sa tieto nové povinnosti vzťahujú a v ktorých prípadoch. Odborná verejnosť naznačuje dve hlavné línie interpretácie:
| Úzka interpretácia | Široká interpretácia |
| Opis: Rozsudok sa vzťahuje len na špecifické prípady, ktoré spĺňajú kombináciu viacerých faktorov: prevádzkovateľ je online trhovisko, obsah zahŕňa citlivé údaje (čl. 9 GDPR) a zmluvné podmienky dávajú platforme rozsiahle práva na komerčné využitie obsahu. | Opis: Odôvodnenie SDEÚ možno aplikovať na akúkoľvek hostingovú platformu, kde môžu používatelia zverejňovať obsah obsahujúci osobné údaje tretích osôb. Akýkoľvek zásah do osobnostných práv (napr. ohováranie) možno preformulovať ako porušenie Nariadenia GDPR, za ktoré platforma zodpovedá. |
| Dôsledky: Povinnosti sa týkajú najmä inzertných portálov, zoznamiek alebo špecializovaných fór. Ostatné platformy môžu mať menej prísne povinnosti. |
Dôsledky: Všetky sociálne siete, blogovacie platformy a fóra musia zaviesť formy predbežnej kontroly. Zvyšuje sa riziko prehnanej cenzúry („chilling effect“) a právna neistota. |
Rozdielnosť týchto interpretácií pramení z odôvodnenia rozsudku SDEÚ. Úzka interpretácia sa opiera o silný dôraz, ktorý SDEÚ kládol na špecifické zmluvné podmienky spoločnosti Russmedia, ktoré jej dávali rozsiahle práva na využitie obsahu. Naopak, široká interpretácia vychádza zo všeobecne formulovaných záverov o nadradenosti Nariadenia GDPR nad výnimkou zo zodpovednosti podľa Aktu o digitálnych službách, čo naznačuje princíp uplatniteľný na všetky platformy spracúvajúce osobné údaje.
Odborne sa prikláňame skôr k extenzívnemu výkladu tohto rozsudku SDEÚ, čo znamená, že ak je akákoľvek online platforma podľa Aktu o digitálnych službách zároveň aj prevádzkovateľom osobných údajov, spadá pod režim Nariadenia GDPR, a preto sa vo vzťahu k osobných údajov nemôže spoliehať na výnimku zo zodpovednosti podľa Aktu o digitálnych službách.
Konkrétne odporúčania pre prevádzkovateľov online platforiem
Na základe analýzy rozsudku je možné sformulovať niekoľko konkrétnych odporúčaní pre prevádzkovateľov online platforiem a zodpovedné osoby pre ochranu údajov (DPO):
Revízia zmluvných podmienok a zásad ochrany osobných údajov: Prehodnoťte podmienky používania, najmä klauzuly udeľujúce online platforme práva na používanie, modifikáciu a distribúciu obsahu nahraného používateľmi. Cieľom by malo byť obmedzenie týchto práv na nevyhnutné minimum potrebné na poskytovanie služby, aby sa znížilo riziko kvalifikácie ako (spoločného) prevádzkovateľa pre každý zverejnený obsah.
Implementácia technických a organizačných opatrení: Je nevyhnutné zaviesť systémy schopné automatizovane detegovať obsah, ktorý pravdepodobne obsahuje citlivé osobné údaje (napr. pomocou analýzy kľúčových slov, kategórií alebo umelej inteligencie). Pre takýto vysoko rizikový obsah zaveďte mechanizmy na overenie identity používateľov.
Posilnenie procesov moderovania obsahu: Prejdite od čisto reaktívneho modelu k zavedeniu prvkov predbežnej (ex-ante) kontroly, minimálne pre rizikové kategórie obsahu (napr. inzeráty v kategórii „zoznamka“ alebo ponuky služieb osobného charakteru). To môže zahŕňať manuálne alebo automatizované schvaľovanie pred zverejnením.
Zavedenie mechanizmov na obmedzenie kopírovania: Preskúmajte a implementujte technické riešenia na ochranu obsahu pred automatizovaným sťahovaním („scraping“), najmä v prípade obsahu obsahujúceho osobné alebo citlivé údaje. Môže ísť o technológie ako CAPTCHA, obmedzenie prístupu pre botov alebo vodoznaky na obrázkoch.
Audit a dokumentácia GDPR: Vykonajte dôkladný audit spracovateľských operácií s ohľadom na nové povinnosti. Aktualizujte záznamy o spracovateľských operáciách a v prípade potreby vykonajte alebo prehodnoťte existujúce posúdenie vplyvu na ochranu údajov (DPIA), ktoré zohľadní riziká spojené so zverejňovaním citlivých údajov používateľmi.
Záver
Rozsudok vo veci Russmedia predstavuje zásadný posun v chápaní zodpovednosti online platforiem v Európskej únii. Definitívne potvrdzuje, že povinnosti vyplývajúce z Nariadenia GDPR stoja nad tradičnou výnimkou zo zodpovednosti pre hostingových poskytovateľov, pokiaľ online platforma aktívne ovplyvňuje spracúvanie osobných údajov. Týmto rozhodnutím SDEÚ vyslal jasný signál, že ochrana základných práv na súkromie a ochranu osobných údajov musí byť prioritou v oblasti fungovania digitálnych služieb.
V prípade akýchkoľvek otázok alebo požiadaviek Vám zostávame k dispozícii. Neváhajte nás kontaktovať.
