2025-12-17
EU-domstolen har i ett aktuellt avgörande klargjort att operatörer av e-handelsplattformar kan vara personuppgiftsansvariga enligt dataskyddsförordningen (GDPR) för personuppgifter som publiceras av användare i annonser, även när innehållet läggs upp anonymt och utan plattformens direkta medverkan. Domen innebär ett skärpt ansvar för plattformsoperatörer, särskilt vid hantering av känsliga personuppgifter.
Målet rörde det rumänska bolaget Russmedia, som driver en webbplats där användare kan publicera annonser om varor och tjänster. En anonym annons innehöll bilder på en kvinna samt hennes telefonnummer, utan hennes samtycke, och antydde felaktigt att hon erbjöd sexuella tjänster. Annonsen spreds vidare till andra webbplatser. Kvinnan begärde skadestånd för ideell skada och intrång i hennes privatliv. Efter bifall i nationell domstol överklagade Russmedia och gjorde gällande att bolaget endast tillhandahöll en teknisk plattform samt att ansvarsundantaget i e-handelsdirektivet var tillämpligt.
EU-domstolen konstaterade att bilder och telefonnummer utgör personuppgifter och att uppgifter som – även indirekt – rör en persons sexualliv omfattas av skyddet för känsliga personuppgifter enligt artikel 9 GDPR, även när uppgifterna är falska. Syftet är att ge ett förstärkt skydd mot sådant som kan innebära ett allvarligt intrång i den registrerades grundläggande rättigheter.
När det gäller frågan om personuppgiftsansvar slog domstolen fast att en e-handelsplattform, genom att bestämma hur annonser presenteras, kategoriseras, riktas och hur länge de publiceras, deltar i fastställandet av de väsentliga medlen för behandlingen. Plattformen utövar därmed ett avgörande inflytande över spridningen av personuppgifter och kan inte undgå ansvar enbart med hänvisning till att den inte kontrollerar annonsens innehåll.
Domstolen framhöll vidare att publicering av personuppgifter på internet medför särskilda risker, eftersom uppgifterna kan kopieras och spridas vidare utan kontroll. Mot denna bakgrund preciserade EU-domstolen vilka skyldigheter e-handelsplattformar har enligt GDPR.
Domen innebär i korthet:
-
E-handelsplattformar kan vara personuppgiftsansvariga för personuppgifter i de annonser användare publicerar
-
Känsliga personuppgifter omfattas av skyddet i artikel 9 GDPR även när uppgifterna är falska
-
Plattformen måste, före publicering, identifiera annonser som innehåller känsliga personuppgifter
-
Publicering ska vägras om annonsören inte är den registrerade eller kan visa giltigt samtycke
-
Plattformen är skyldig att vidta säkerhetsåtgärder för att förhindra vidare spridning av sådant innehåll
-
Ansvarsundantaget i e-handelsdirektivet inte inskränker de skyldigheter som följer av GDPR
Avgörandet tydliggör att e-handelsdirektivets regler om begränsat ansvar inte kan användas för att kringgå dataskyddsförordningens krav. Domen får därför stor praktisk betydelse för plattformsoperatörer som tillhandahåller användargenererat innehåll och ställer ökade krav på förebyggande kontroll och skyddsåtgärder.
Vill du fördjupa dig inom GDPR?
För den som arbetar med kommunala bolag, upphandling, offentliga ersättningar eller ekonomiska åtaganden kan avgörandet få praktiska konsekvenser. BG Institute erbjuder två kurser som ger en trygg grund och praktiskt användbar vägledning i statsstödsreglernas tillämpning:
- Nyhetsdag i GDPR 🔗
Ger dig koll på ny lagstiftning, praxis och trender inom GDPR
Fler kurser inom GDPR hittar du här🔗
Vill du gå en e-kurs i GDPR så har vi ett stort utbud som du hittar här 🔗
