Wyrok Trybunału Sprawiedliwości Unii Europejskiej (TSUE) z 2 grudnia 2025 r. w sprawie C-492/23 Russmedia Digital i Inform Media Press istotnie zmienia podejście do odpowiedzialności serwisów internetowych, które umożliwiają użytkownikom publikowanie ogłoszeń, reklam lub postów. TSUE potwierdził, że operator platformy – obok osoby zamieszczającej treść – może ponosić odpowiedzialność za przetwarzanie danych osobowych znajdujących się w ogłoszeniach, ponieważ w określonych sytuacjach sam jest administratorem danych (a praktycznie często także współodpowiedzialnym za przetwarzanie).
W konsekwencji operatorzy stron powinni jeszcze przed publikacją identyfikować treści zawierające dane wrażliwe i weryfikować, czy ogłoszeniodawca jest osobą, której dane dotyczą, albo czy dysponuje wyraźną zgodą tej osoby. Jeśli nie da się spełnić tych warunków – operator powinien uniemożliwić publikację.
Tło sprawy: ujawnienie danych bez zgody i późniejsze rozpowszechnianie treści w sieci
Sprawa dotyczyła ogłoszenia opublikowanego w rumuńskim serwisie ogłoszeniowym. Anonimowa osoba zamieściła informację sugerującą, że konkretna kobieta świadczy usługi seksualne. W ogłoszeniu znalazły się m.in. jej zdjęcia oraz numer telefonu, a całość została opublikowana bez jej zgody. Kobieta uznała treść za nieprawdziwą i krzywdzącą. Serwis – po zgłoszeniu – usunął ogłoszenie, jednak informacje zdążyły zostać skopiowane i powielone na innych stronach.
Kobieta dochodziła odszkodowania. Sąd pierwszej instancji przyznał jej 7 tys. euro, jednak sąd wyższej instancji uznał, że platforma nie ponosi odpowiedzialności, ponieważ jest „jedynie” dostawcą usług hostingowych. W efekcie sprawa trafiła do sądu apelacyjnego, który zwrócił się do TSUE o wykładnię prawa Unii Europejskiej.
Najważniejsza teza TSUE: operator platformy może być administratorem danych
TSUE wskazał, że operator platformy nie jest wyłącznie biernym „dostawcą usług”, skoro:
- udostępnia narzędzia do publikacji,
- organizuje sposób prezentacji ogłoszeń,
- umożliwia ich publiczne udostępnienie w danej formie.
Nawet jeśli operator nie tworzy konkretnej treści ogłoszenia, to uczestniczy w określaniu celów i sposobów publikacji, a to może przesądzać o statusie administratora danych. W takim ujęciu zarówno operator, jak i ogłoszeniodawca muszą zapewnić zgodność z RODO i być w stanie wykazać legalność publikacji danych osobowych.
Dane wrażliwe: obowiązki „przed publikacją”
Wyrok kładzie nacisk na szczególną ostrożność przy danych szczególnych kategorii, czyli m.in. danych dotyczących zdrowia, seksualności/orientacji seksualnej, poglądów czy innych informacji objętych podwyższoną ochroną.
W praktyce TSUE wskazuje kierunek interpretacji przepisów tak, aby operatorzy wdrażali środki pozwalające:
- Zidentyfikować przed publikacją ogłoszenia, które zawierają dane wrażliwe.
- Zweryfikować tożsamość ogłoszeniodawcy – w szczególności ustalić, czy jest osobą, której dane znajdują się w ogłoszeniu. Z tego wynika postulat, że reklamodawca nie powinien pozostawać anonimowy w scenariuszach podwyższonego ryzyka.
- Jeśli dane dotyczą innej osoby – wymagać od publikującego wykazania, że ma wyraźną zgodę osoby, której dane dotyczą (albo inną podstawę legalizującą przetwarzanie danych wrażliwych).
- Jeśli warunki legalności nie są spełnione lub nie da się ich potwierdzić – operator powinien zablokować publikację.
To podejście ma zapobiegać sytuacjom, w których wrażliwe dane są ujawniane bez wiedzy i zgody osoby, której dotyczą – a szkoda powstaje zanim zadziałają mechanizmy „po fakcie”.
Koniec wygodnej wymówki: „to tylko hosting”
Jednym z praktycznych wniosków z wyroku jest ograniczenie możliwości zasłaniania się argumentem: „nie odpowiadamy, bo treści publikuje użytkownik”. Jeśli operator realnie umożliwia publikację i dostarcza narzędzia, a przez to wpływa na sposób udostępniania danych, to w obszarze RODO może mieć własne obowiązki wynikające ze statusu administratora.
Innymi słowy: w niektórych scenariuszach platforma nie jest wyłącznie „pośrednikiem”, lecz podmiotem, od którego oczekuje się aktywnych działań organizacyjnych i technicznych w celu ochrony danych.
Obowiązek przeciwdziałania kopiowaniu i dalszemu nielegalnemu rozpowszechnianiu
TSUE odniósł się również do problemu powielania treści – gdy ujawnione dane wrażliwe „wyciekają” poza platformę i są kopiowane na inne strony. Z perspektywy praktyki oznacza to konieczność wdrożenia rozwiązań, które ograniczają możliwość niezgodnego z prawem kopiowania i dalszej publikacji (w zakresie, w jakim jest to racjonalnie możliwe do osiągnięcia przy użyciu odpowiednich środków).
„Cios w celeb bait”: znaczenie dla social mediów i reklamy
Wyrok ma znaczenie nie tylko dla klasycznych portali ogłoszeniowych, ale szerzej – dla serwisów, które umożliwiają publikowanie treści i reklam przez użytkowników. W kontekście zjawiska „celeb bait” (wykorzystywania wizerunku i danych znanych osób do fałszywych reklam) rośnie oczekiwanie, że platforma będzie potrafiła:
- wyłapywać treści wysokiego ryzyka,
- wymagać potwierdzenia uprawnień do wykorzystania danych/wizerunku,
- blokować publikacje, gdy brak zgody lub innej podstawy prawnej.
Efekt ochronny dotyczy zarówno osób, których dane są bezprawnie wykorzystywane, jak i użytkowników narażanych na oszustwa (np. wyłudzenia danych, fałszywe inwestycje).
Co powinni zrobić operatorzy platform: praktyczna lista działań
W świetle wyroku warto rozważyć wdrożenie i udokumentowanie m.in.:
- mechanizmów identyfikacji ogłoszeń z danymi wrażliwymi przed publikacją (reguły, flagowanie, moderacja),
- weryfikacji ogłoszeniodawców w obszarach podwyższonego ryzyka (ograniczenie anonimowości),
- wymagania wykazania zgody osoby, której dane dotyczą, gdy publikujący nie jest tą osobą,
- domyślnego blokowania publikacji, gdy legalności nie da się potwierdzić,
- środków ograniczających masowe kopiowanie treści (rozwiązania anty-scrapingowe, monitoring nadużyć),
- zasady rozliczalności (udokumentowane procedury, ślady audytowe, przeglądy skuteczności środków).
