Європейський суд постановив, що оператори онлайн-платформ несуть відповідальність за обробку персональних даних, зокрема й за контент, включно з фотографіями, які можуть завантажувати навіть анонімні користувачі, що суттєво розширює їхні обов’язки щодо контролю та захисту інформації.
Доволі довго робота європейського цифрового ринку базувалася на принципі обмеженої відповідальності посередників. Тобто, онлайн платформи не відповідали за контент, якщо не знали про його незаконність. Проте, коли на кону стоїть репутація та приватність людини, комерційна вигода та пасивна роль посередника платформи не може бути виправданням для невтручання. Про це пише Судово-юридична газета.
Жорсткі норми GDPR змусили європейське правосуддя змінити підхід. Тепер вимоги до контролю за даними та контентом стають значно суворішими, зокрема для маркетплейсів, дошок оголошень та соціальних мереж. Рішення Великої палати СЄС від 02.12.2025 у справі C‑492/23 (X v Russmedia Digital SRL) стало новим викликом для цифрового ринку. Суд не просто уточнив поняття контролер, він встановив нову відповідальності для операторів платформ.
Від фейкового оголошення до Суду справедливості ЄС
Історія конфлікту розпочалася в Румунії. В кожній країні існують свої відомі онлайн-маркетплейси для оголошень про продаж товарів та послуг. Румунська компанія та власник вебсайту.
У 2018 року неідентифікована третя особа опублікувала на цьому сайті неправдиве та шкідливе оголошення. Зокрема оголошення містило її фотографії, використані без згоди, та номер телефону. Коли позивачка звернулася з запитом, компанія видалила оголошення менш ніж за годину. Проте оголошення вже було скопійовано іншими сайтами із посиланням на оригінальне джерело.
Позивачка звернулася до суду, вимагаючи компенсації за порушення права на приватне життя, честь та незаконну обробку персональних даних. Суд першої інстанції задовольнив позов, але апеляція встала на бік media, визнавши їх лише «хостинг-провайдером», який не брав активної участі у створенні контенту. Тож справа дійшла до Curtea de Apel Cluj — одного із ключових судових органів у Румунії, який звернувся за роз’ясненнями до Великої Палати Суду справедливості ЄС.
Чотири запитання до Суду ЄС: чи стане модерація обов’язком, а не правом?
Велика палата мала визначити, чи несе сайт оголошень відповідальність за контент користувачів відповідно до Directive 2000/31/EC, як співвідносяться ці правила з вимогами GDPR, чи повинні платформи перед публікацією перевіряти, що автор оголошення і особа, чиї персональні дані в ньому зазначені, є однією і тією ж людиною, а також чи зобов’язані оператори сервісів попередньо перевіряти контент на незаконність.
Важливі відповіді
GDPR і чутливі данні
Суд підтвердив, що будь-яка інформація, яка дозволяє ідентифікувати особу, тобто фото, номер телефону, або ім’я, підпадає під дію статті 4(1) GDPR. При цьому поняття персональні дані трактується максимально широко: воно охоплює не лише об’єктивні факти, а й суб’єктивні оцінки чи навіть завідомо неправдиві твердження, якщо вони стосуються конкретної людини.
Ключовим моментом рішення стало тлумачення статті 9(1) GDPR, яка регулює обробку чутливих даних. Суд встановив:
- До чутливих даних належать не лише прямі свідчення, а й інформація, яку можна вивести логічно або шляхом перехресного посилання.
- Фейк — це теж дані. Те, що оголошення було неправдивим і шкідливим, не позбавляє його статусу чутливих даних. Якщо інформація стосується статевого життя, вона потребує посиленого захисту, незалежно від її правдивості.
Суд наголосив, що сам факт того, що дані з’явилися на сторінці, навіть якщо їх завантажив анонімний користувач, є процесом обробки у розумінні статті 4(2) GDPR. Це означає, що платформа не може вважати себе просто технічним посередником, який не має стосунку до контенту.
Хто такий контролер?
Найскладніше питання справи — чи є оператор сайту оголошень контролером даних, якщо він не знав про зміст фейку та не впливав на його створення? Суд ЄС уточнив, що мета GDPR — забезпечити високий рівень захисту. Тому поняття контролера (ст. 4(7)) та спільних контролерів (ст. 26) має застосовуватися так, щоб жоден випадок грубого втручання у приватне життя не залишався без відповідального суб’єкта.
Комерційний інтерес як доказ контролю
СЄС звернув увагу на умови користування сайту. Компанія залишила за собою право копіювати, поширювати, змінювати та перекладати контент, передавати його партнерам та використовувати оголошення у власних рекламних цілях. Велика Палата виснувала, що оскільки сайт використовує дані користувачів для свого просування та отримання прибутку, вона обробляє їх у власних інтересах, а отже, є контролером.
Спільна відповідальність
Суд визнав, що невстановлений користувач, який розмістив фейк, безумовно також є контролером. Проте Russmedia, яка надала технічні параметри, а саме структуру оголошення, тривалість публікації, методи просування, також є спільним контролером.
Чи зобов’язаний сайт верифікувати авторів?
Суд нагадав про принципи статті 5 GDPR, а саме про те, що дані мають бути точними, законними та захищеними. Оскільки йдеться про інформацію щодо якої, її обробка взагалі заборонена без явної згоди особи.
Велика Палата поставила перед онлайн платформам нові виклики. Суд вирішив, що платформа, яка дозволяє анонімні публікації чутливих даних, бере на себе ризик того, що згоди суб’єкта даних насправді немає.
Суд постановив, що якщо платформа знає про ризик публікації чутливих даних, вона зобов’язана:
- Виявляти оголошення з чутливими даними до їхньої публікації.
- Перевіряти, чи є автор оголошення тією самою особою, чиї дані публікуються.
- Відмовляти, якщо автор — третя особа, яка не має явної згоди на публікацію.
Доводити законність має маркетплейс
Згідно зі статтями 5(2) та 24 GDPR, тягар доведення законності лежить на контролері. Платформа має не просто видаляти дані за скаргою, а мати технічні та організаційні заходи, які демонструють, що кожне опубліковане оголошення з чутливими даними є законним.
Боротьба з цифровим слідом
Крім того, Велика Палата вказала на статтю 32 GDPR та обов’язок оператора платформи впроваджувати заходи, наприклад, технічні блоки на копіювання, щоб запобігти розповсюдженню оголошень на інші ресурси. Платформа відповідає за втрату контролю над даними, якщо не зробила все можливе для їх захисту.
GDPR vs Директива про електронну комерцію
Один з найважливіших висновків надає пріоритет GDPR. Статті 12–15 Директиви 2000/31, які звільняли провайдерів від відповідальності за чужий контент, не можуть бути використані як захист у справах про порушення персональних даних. Питання захисту даних регулюються виключно GDPR.
Звільнення від відповідальності для посередників (хостинг-провайдерів) не застосовується до порушень зобов’язань за GDPR.
Це рішення фактично перетворює платформи з пасивних спостерігачів на бізнес, що несе відповідальність за контент, навіть розміщений третьою особою. Маркетплейс несе відповідальність за обробку персональних даних, що містяться в рекламних оголошеннях, і повинен виявляти чутливий контент. Бажання онлайн сервісів заробляти на оголошеннях має консолідуватись з обов’язком убезпечити обробку персональних даних. Спільна відповідальність платформи і третьої особи означає, що потерпілий може вимагати компенсацію від платформи як від найбільш платоспроможного та доступного суб’єкта.
Читайте також:
