–

w imieniu X – I. Kis, adwokată,

–

w imieniu rządu rumuńskiego – E. Gane, L. Ghiţă i R.I. Haţieganu, w charakterze pełnomocników,

–

w imieniu Komisji Europejskiej – L. Armati, H. Kranenborg, P.‑J. Loewenthal i L. Nicolae, w charakterze pełnomocników,

1

Wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczy wykładni art. 12–15 dyrektywy 2000/31/WE Parlamentu Europejskiego i Rady z dnia 8 czerwca 2000 r. w sprawie niektórych aspektów prawnych usług społeczeństwa informacyjnego, w szczególności handlu elektronicznego w ramach rynku wewnętrznego (dyrektywa o handlu elektronicznym) (Dz.U. 2000, L 178, s. 1), a także art. 2 ust. 4, art. 4 pkt 7 i 11, art. 5 ust. 1 lit. b) i f), art. 6 ust. 1 lit. a) oraz art. 7, 24 i 25 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. 2016, L 119, s. 1, zwanego dalej „RODO”).

2

Wniosek ten został złożony w ramach sporu pomiędzy osobą fizyczną, X, a spółkami Russmedia Digital SRL i Inform Media Press SRL (zwanymi dalej łącznie „Russmedią”) w przedmiocie powództwa o zadośćuczynienie za krzywdę doznaną przez powódkę w postępowaniu głównym z powodu niezgodnego z prawem przetwarzania jej danych osobowych oraz naruszenia jej prawa do wizerunku, czci i życia prywatnego.

3

Motywy 14, 42, 46 i 52 dyrektywy 2000/31 mają następujące brzmienie:

[…]

[…]

[…]

4

Artykuł 1 dyrektywy 2000/31, zatytułowany „Cel i zakres”, stanowi:

„1.   Niniejsza dyrektywa dąży do przyczynienia się do właściwego funkcjonowania rynku wewnętrznego przez zapewnienie swobodnego przepływu usług społeczeństwa informacyjnego między państwami członkowskimi.

[…]

5.   Niniejsza dyrektywa nie ma zastosowania do:

[…]

b) zagadnień odnoszących się do usług społeczeństwa informacyjnego objętych dyrektywami [95/46] oraz [97/66];

[…]”.

5

Sekcja 4 rozdziału II dyrektywy 2000/31, zatytułowana „Odpowiedzialność usługodawców będących pośrednikami”, obejmowała, w brzmieniu mającym zastosowanie w postępowaniu głównym, art. 12–15 tej dyrektywy. Przedmiot art. 12 i 13 owej dyrektywy stanowiły, zgodnie z ich odpowiednimi tytułami, zwykły przekaz i caching.

6

Artykuł 14 wspomnianej dyrektywy, zatytułowany „Hosting”, przewidywał:

„1.   Państwa członkowskie zapewniają, żeby w przypadku świadczenia usługi społeczeństwa informacyjnego polegającej na przechowywaniu informacji przekazanych przez usługobiorcę usługodawca nie był odpowiedzialny za informacje przechowywane na żądanie usługobiorcy, pod warunkiem że:

2.   Ustęp 1 nie ma zastosowania, jeżeli usługobiorca działa z upoważnienia albo pod kontrolą usługodawcy.

3.   Niniejszy artykuł nie ma wpływu na możliwość wymagania od usługodawcy przez sądy lub organy administracyjne, zgodnie z systemem prawnym państw członkowskich, żeby przerwał on naruszenia prawa lub im zapobiegł oraz nie ma wpływu na możliwość ustanowienia procedur regulujących usuwanie lub uniemożliwianie dostępu do tych informacji przez państwa członkowskie”.

7

Artykuł 15 tej dyrektywy, zatytułowany „Brak ogólnego obowiązku w zakresie nadzoru”, przewidywał w ust. 1 i 2:

„1.   Państwa członkowskie nie nakładają na usługodawców świadczących usługi określone w art. 12, 13 i 14 ogólnego obowiązku nadzorowania informacji, które przekazują lub przechowują, ani ogólnego obowiązku aktywnego poszukiwania faktów i okoliczności wskazujących na bezprawną działalność.

2.   Państwa członkowskie mogą ustanowić w stosunku do usługodawców świadczących usługi społeczeństwa informacyjnego obowiązek niezwłocznego powiadamiania właściwych władz publicznych o rzekomych bezprawnych działaniach podjętych przez ich usługobiorców lub przez nich przekazanych informacjach lub obowiązek przekazywania właściwym władzom, na ich żądanie, informacji pozwalających na ustalenie tożsamości ich usługobiorców, z którymi mają umowy o przechowywanie”.

8

Motywy 4, 10, 39, 51, 74, 75, 78 i 85 RODO brzmią, jak następuje:

[…]

[…]

[…]

[…]

[…]

[…]

9

Artykuł 1 tego rozporządzenia, zatytułowany „Przedmiot i cele”, stanowi w ust. 2:

„Niniejsze rozporządzenie chroni podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych”.

10

Artykuł 2 wspomnianego rozporządzenia, zatytułowany „Materialny zakres stosowania”, stanowi w ust. 4:

„Niniejsze rozporządzenie pozostaje bez uszczerbku dla stosowania dyrektywy [2000/31], w szczególności dla zasad odpowiedzialności usługodawców będących pośrednikami, o których to zasadach mowa w art. 12–15 tej dyrektywy”.

11

Artykuł 4 tego rozporządzenia, zatytułowany „Definicje”, brzmi następująco:

„Na użytek niniejszego rozporządzenia:

[…]

[…]

[…]”.

12

Rozdział II RODO, zatytułowany „Zasady”, obejmuje w szczególności art. 5–9 tego rozporządzenia.

13

Artykuł 5 owego rozporządzenia, zatytułowany „Zasady dotyczące przetwarzania danych osobowych”, stanowi:

„1.   Dane osobowe muszą być:

[…]

[…]

2.   Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie (»rozliczalność«)”.

14

Artykuł 6 wspomnianego rozporządzenia, zatytułowany „Zgodność przetwarzania z prawem”, stanowi w ust. 1 akapit pierwszy:

„Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

15

Artykuł 7 tego rozporządzenia, zatytułowany „Warunki wyrażenia zgody”, stanowi w ust. 1:

„Jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych”.

16

Artykuł 9 RODO, zatytułowany „Przetwarzanie szczególnych kategorii danych osobowych”, stanowi:

„1.   Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.

2.   Ustęp 1 nie ma zastosowania, jeżeli spełniony jest jeden z poniższych warunków:

[…]”.

17

Artykuł 13 tego rozporządzenia, zatytułowany „Informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą”, przewiduje w ust. 1 lit. a):

„Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje:

18

Artykuł 14 tego rozporządzenia, zatytułowany „Informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą”, przewiduje w ust. 1 lit. a):

„Jeżeli danych osobowych nie pozyskano od osoby, której dane dotyczą, administrator podaje osobie, której dane dotyczą, następujące informacje:

19

Zawarty w rozdziale III tego rozporządzenia, zatytułowanym „Prawa osoby, której dane dotyczą”, art. 17, zatytułowany „Prawo do usunięcia danych (»prawo do bycia zapomnianym«)”, stanowi w ust. 1 i 2:

„1.   Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:

[…]

d) dane osobowe były przetwarzane niezgodnie z prawem;

[…]

2.   Jeżeli administrator upublicznił dane osobowe, a na mocy ust. 1 ma obowiązek usunąć te dane osobowe, to – biorąc pod uwagę dostępną technologię i koszt realizacji – podejmuje rozsądne działania, w tym środki techniczne, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje”.

20

Rozdział IV RODO, zatytułowany „Administrator i podmiot przetwarzający”, zawiera w sekcji 1 „Obowiązki ogólne” w szczególności art. 24–26.

21

Artykuł 24 tego rozporządzenia, zatytułowany „Obowiązki administratora”, przewiduje w ust. 1:

„Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane”.

22

Artykuł 25 wspomnianego rozporządzenia, zatytułowany „Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych”, stanowi w ust. 1 i 2:

„1.   Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.

2.   Administrator wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. W szczególności środki te zapewniają, by domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych”.

23

Artykuł 26 tego rozporządzenia, zatytułowany „Współadministratorzy”, stanowi w ust. 1:

„Jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami. W drodze wspólnych uzgodnień współadministratorzy w przejrzysty sposób określają odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z niniejszego rozporządzenia, w szczególności w odniesieniu do wykonywania przez osobę, której dane dotyczą, przysługujących jej praw, oraz ich obowiązków w odniesieniu do podawania informacji, o których mowa w art. 13 i 14, chyba że przypadające im obowiązki i ich zakres określa prawo Unii lub prawo państwa członkowskiego, któremu administratorzy ci podlegają. W uzgodnieniach można wskazać punkt kontaktowy dla osób, których dane dotyczą”.

24

Zgodnie z art. 32 RODO, zatytułowanym „Zgodność przetwarzania z prawem”:

„1.   Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:

2.   Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

3.   Wywiązywanie się z obowiązków, o których mowa w ust. 1 niniejszego artykułu, można wykazać między innymi poprzez stosowanie zatwierdzonego kodeksu postępowania, o którym mowa w art. 40 lub zatwierdzonego mechanizmu certyfikacji, o którym mowa w art. 42.

4.   Administrator oraz podmiot przetwarzający podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego”.

25

Artykuł 82 tego rozporządzenia, zatytułowany „Prawo do odszkodowania i odpowiedzialność”, przewiduje w ust. 1–3:

„1.   Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.

2.   Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym niniejsze rozporządzenie. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem, wyłącznie gdy nie dopełnił obowiązków, które niniejsze rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom.

3.   Administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności wynikającej z ust. 2, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody”.

26

Artykuł 94 tego rozporządzenia stanowi:

„1.   Dyrektywa [95/46] zostaje uchylona ze skutkiem od dnia 25 maja 2018 r.

2.   Odesłania do uchylonej dyrektywy należy traktować jako odesłania do niniejszego rozporządzenia […]”.

27

Artykuł 11 Legea nr. 365/2002 privind comerțul electronic (ustawy nr 365/2002 o handlu elektronicznym) z dnia 7 czerwca 2002 r. (Monitorul Oficial al României, część I, nr 483 z dnia 5 lipca 2002 r.), zmienionej Legea nr. 121/2006 pentru modificarea și completarea Legii nr. 365/2002 privind comerțul electronic (ustawą nr 121/2006 o zmianie i uzupełnieniu ustawy nr 365/2002 o handlu elektronicznym) z dnia 4 maja 2006 r. (Monitorul Oficial al României, część I, nr 403 z dnia 10 maja 2006 r.) (zwanej dalej „ustawą nr 365/2002”), przewiduje:

„1.   Usługodawcy podlegają przepisom ustawowym dotyczącym odpowiedzialności cywilnej i karnej oraz odpowiedzialności za przestępstwo administracyjne, chyba że niniejsza ustawa stanowi inaczej.

2.   Usługodawcy są odpowiedzialni za informacje dostarczane przez siebie lub w ich imieniu.

3.   Usługodawcy nie ponoszą odpowiedzialności za informacje przekazywane, przechowywane lub udostępniane na warunkach określonych w art. 12–15”.

28

Artykuł 14 ustawy nr 365/2002, zatytułowany „Stałe przechowywanie informacji, hosting”, stanowi:

„1.   W przypadku gdy usługa społeczeństwa informacyjnego polega na przechowywaniu informacji przekazanych przez usługobiorcę usługi, o której mowa, usługodawca nie jest odpowiedzialny za informacje przechowywane na żądanie usługobiorcy, jeżeli spełniony jest jeden z następujących warunków:

2.   Ustęp 1 nie ma zastosowania, jeżeli usługobiorca działa z upoważnienia albo pod kontrolą usługodawcy.

3.   Przepisy niniejszego artykułu nie mają wpływu na uprawnienie organu sądowego lub administracyjnego do nakazania usługodawcy, aby zaprzestał naruszania danych lub zapobiegł takiemu naruszeniu, ani na możliwość ustanowienia procedur rządowych w celu ograniczenia lub przerwania dostępu do informacji”.

29

Normele metodologice pentru aplicarea Legii nr. 365/2002 privind comerţul electronic (przepisy wykonawcze do ustawy nr 365/2002 o handlu elektronicznym), zatwierdzone przez Hotărârea Guvernului nr. 1.308 privind aprobarea Normelor metodologice pentru aplicarea Legii nr. 365/2002 privind comerţul electronic (dekret rządu nr 1.308 zatwierdzający przepisy wykonawcze do ustawy nr 365/2002 o handlu elektronicznym) z dnia 20 listopada 2002 r. (Monitorul Oficial al României, część I, nr 877 z dnia 5 grudnia 2002 r.), przewidują w art. 11 ust. 1:

„Dostawcy usług społeczeństwa informacyjnego oferujący usługi, o których mowa w art. 12–15 [ustawy nr 365/2002], nie są zobowiązani do kontrolowania informacji, które przekazują lub przechowują, ani nie są zobowiązani do aktywnego poszukiwania danych dotyczących działalności lub informacji, które wydają się bezprawne, w dziedzinie świadczonych przez nich usług społeczeństwa informacyjnego”.

30

Russmedia Digital, spółka prawa rumuńskiego, jest właścicielem witryny internetowej www.publi24.ro stanowiącej internetową platformą handlową, na której ogłoszenia reklamowe dotyczące w szczególności sprzedaży towarów lub świadczenia usług w Rumunii mogą być publikowane nieodpłatnie lub za wynagrodzeniem.

31

Powódka w postępowaniu głównym podnosi, że w dniu 1 sierpnia 2018 r. niezidentyfikowana osoba trzecia opublikowała w tej witrynie internetowej kłamliwe i krzywdzące ogłoszenie przedstawiające ją jako osobę oferującą usługi seksualne. Ogłoszenie zawierało w szczególności zdjęcia powódki w postępowaniu głównym, wykorzystane bez jej zgody, oraz jej numer telefonu. Ogłoszenie to zostało następnie powielone w identycznej formie w innych witrynach internetowych zawierających treści reklamowe, gdzie zostało zamieszczone online, ze wskazaniem źródła pochodzenia. Russmedia Digital, do której zwróciła się powódka w postępowaniu głównym, usunęła wspomniane ogłoszenie ze swojej witryny internetowej mniej niż godzinę po otrzymaniu żądania. To samo ogłoszenie pozostaje jednak dostępne w innych witrynach internetowych, które je powieliły.

32

Uznawszy, że ogłoszenie rozpatrywane w postępowaniu głównym narusza jej prawa do wizerunku, czci i dobrego imienia oraz prawo do życia prywatnego, a także przepisy dotyczące przetwarzania danych osobowych, powódka w postępowaniu głównym wniosła powództwo przeciwko Russmedii do Judecătoria Cluj‑Napoca (sądu pierwszej instancji w Klużu‑Napoce, Rumunia). Sąd ten zasądził od Russmedii zapłatę na rzecz powódki zadośćuczynienia w wysokości 7000 EUR za krzywdę wyrządzoną wskutek naruszenia prawa do wizerunku, czci i dobrego imienia, a także naruszenia prawa do poszanowania życia prywatnego i wskutek niezgodnego z prawem przetwarzania danych osobowych powódki.

33

Russmedia wniosła apelację od tego wyroku. Tribunalul Specializat Cluj (sąd wyspecjalizowany w Klużu, Rumunia) uwzględnił tę apelację, orzekając, że powództwo powódki w postępowaniu głównym było bezzasadne, ponieważ ogłoszenie rozpatrywane w postępowaniu głównym nie pochodziło od Russmedii, która świadczyła jedynie usługę hostingu tego ogłoszenia, bez aktywnego zaangażowania Russmedii w jego treść. W związku z tym ma do niej zastosowanie zwolnienie z odpowiedzialności przewidziane w art. 14 ust. 1 lit. b) ustawy nr 365/2002. Co się tyczy przetwarzania danych osobowych, sąd ten uznał, że dostawca usług społeczeństwa informacyjnego nie jest zobowiązany do kontrolowania przekazywanych przez siebie informacji ani do aktywnego poszukiwania danych dotyczących działalności lub informacji, które wydają się niezgodne z prawem. W tym względzie orzekł on, że nie można zarzucać Russmedii, iż nie podjęła środków mających na celu zapobieżenie rozpowszechnianiu online zniesławiającego ogłoszenia rozpatrywanego w postępowaniu głównym, ponieważ na żądanie powódki w postępowaniu głównym szybko usunęła to ogłoszenie.

34

Ta ostatnia zaskarżyła ten wyrok do Curtea de Apel Cluj (sądu apelacyjnego w Klużu, Rumunia), uznając, że Tribunalul Specializat Cluj (sąd wyspecjalizowany w Klużu) oparł się na błędnej wykładni ustawy nr 365/2002. Powódka w postępowaniu głównym podnosi w szczególności, że ponieważ ustawa ta nie jest ustawą szczególną w stosunku do RODO, sąd ten powinien był zbadać możliwość zastosowania tego rozporządzenia w niniejszym przypadku. Ponadto jej zdaniem rola Russmedii nie ograniczała się do dostarczania swoim klientom konkretnego rozwiązania technicznego umożliwiającego dostęp do serwera hostingowego. Według niej Russmedia odgrywała również rolę administratora, podejmując działania dotyczące treści w celu właściwego zarządzania informacjami. Uważa ona, że spółka ta, jako administrator odnośnej witryny internetowej, przechowuje i przetwarza treść informacji. Przechowywanie danych oraz ich publiczne udostępnienie w określonej formie wymaga jej zdaniem analizy danych i informacji zawartych w ogłoszeniach. Zdaniem powódki w postępowaniu głównym okoliczności te świadczą o bezpośrednim zaangażowaniu Russmedii w zarządzanie treścią ogłoszeń i jej rozpowszechnianie. W konsekwencji art. 14 ustawy nr 365/2002 nie znajduje według niej zastosowania.

35

Ponadto powódka w postępowaniu głównym podnosi, że zwolnienie takiego usługodawcy z odpowiedzialności nie ma zastosowania, jeżeli odpowiedzialność została ustalona na podstawie innych aktów regulacyjnych, takich jak RODO. Według powódki w postępowaniu głównym Russmedia opublikowała jej dane osobowe bez jej zgody i poprzez funkcjonowanie swojej witryny internetowej umożliwia każdemu zamieszczenie wszelkiego rodzaju ogłoszeń, w szczególności ogłoszeń niegwarantujących bezpieczeństwa danych osobowych, uniemożliwiając definitywne usunięcie danych opublikowanych online.

36

Russmedia twierdzi ze swej strony, że rozstrzygnięcie przyjęte przez Tribunalul Specializat Cluj (sąd wyspecjalizowany w Klużu) jest prawidłowe. Według niej powódka w postępowaniu głównym nie wykazała, z jakiego względu RODO stanowi uregulowania szczególne, które uniemożliwiałyby stosowanie właściwych przepisów ustawy nr 365/2002.

37

Curtea de Apel Cluj (sąd apelacyjny w Klużu), będący sądem odsyłającym i orzekający w niniejszej sprawie jako sąd odwoławczy, którego orzeczenie jest ostateczne, uważa za konieczne ustalenie w szczególności granic zwolnienia z odpowiedzialności podmiotu świadczącego usługi społeczeństwa informacyjnego, takiego jak Russmedia, na mocy dyrektywy 2000/31.

38

Odnosząc się do właściwego orzecznictwa Trybunału, sąd odsyłający stwierdza, że o ile zgodnie z tym orzecznictwem nie istnieje obowiązek przeprowadzenia przez operatorów internetowych platform handlowych uprzedniej weryfikacji informacji lub ogłoszeń zamieszczanych przez użytkowników będących reklamodawcami, o tyle zwolnienie tych operatorów z odpowiedzialności podlega pewnym warunkom. I tak, zgodnie z wyrokiem z dnia 12 lipca 2011 r., L’Oréal i in. (C‑324/09, EU:C:2011:474), operator usług online nie może powoływać się na zwolnienie z odpowiedzialności przewidziane w art. 14 ust. 1 dyrektywy 2000/31, jeżeli wiedział o faktach lub okolicznościach, na podstawie których przedsiębiorca wykazujący należytą staranność powinien był stwierdzić bezprawność danych ofert sprzedaży, i – w przypadku posiadania takiej wiedzy – jeżeli nie podjął niezwłocznie działań stosownie do art. 14 ust. 1 lit. b) tej dyrektywy. Podobnie z wyroku z dnia 11 września 2014 r., Papasavvas (C‑291/13, EU:C:2014:2209), wynika, że ograniczenia odpowiedzialności cywilnej ustanowione w art. 12–14 dyrektywy 2000/31 nie dotyczą przypadku spółki posiadającej witrynę internetową, na której publikowana jest elektroniczna wersja dziennika, w przypadku gdy owa spółka, otrzymująca wynagrodzenie z reklam handlowych rozpowszechnianych w tej witrynie internetowej, ma wiedzę o publikowanych informacjach i sprawuje nad nimi kontrolę.

39

Sąd odsyłający podkreśla jednak, że wspomniane orzecznictwo odnosi się jedynie do zamieszczonych w witrynie internetowej ofert, których niezgodny z prawem charakter wynika z analizy faktów i okoliczności wyraźnie przekazanych administratorowi po opublikowaniu danego ogłoszenia. Tak więc Trybunał nie miał jeszcze okazji zbadać sytuacji takiej jak rozpatrywana w postępowaniu głównym, w której treść opublikowanego ogłoszenia była ewidentnie niezgodna z prawem i poważnie krzywdząca dla osoby, której dane dotyczą.

40

Sąd odsyłający zastanawia się w tym kontekście nad koniecznością otrzymania przez platformę powiadomienia, aby była ona zobowiązana usunąć treści ewidentnie niezgodne z prawem i poważnie krzywdzące. W niniejszym przypadku ogłoszenie będące przedmiotem postępowania głównego zostało opublikowane bez zweryfikowania tożsamości użytkownika będącego reklamodawcą i w sposób oczywisty bez uzyskania zgody powódki w postępowaniu głównym.

41

Ponadto, mimo że ogłoszenie będące przedmiotem postępowania głównego zostało usunięte z pierwotnej witryny internetowej w następstwie powiadomienia ze strony powódki w postępowaniu głównym, treść tego ogłoszenia, w tym dane kontaktowe powódki w postępowaniu głównym i jej zdjęcia, została w pełni powielona na licznych innych witrynach internetowych, ze wskazaniem źródła pochodzenia. Krzywda doznana przez powódkę w postępowaniu głównym stała się zatem trwała i nadal jest występuje. Sąd odsyłający podkreśla w tym względzie, że proponowane rzekomo usługi seksualne mogą być powiązane z poważnymi przestępstwami, podlegającymi karze na mocy Codul penal (kodeksu karnego), takimi jak stręczycielstwo i handel ludźmi.

42

Sąd odsyłający wyjaśnia, że zgodnie z ogólnymi warunkami korzystania z internetowej platformy handlowej prowadzonej przez Russmedię spółka ta, nie roszcząc sobie prawa własności do treści opublikowanych ogłoszeń, zastrzega sobie jednak prawo do korzystania z tych treści, w tym do ich kopiowania, rozpowszechniania, przekazywania, publikowania, zwielokrotniania, modyfikowania, tłumaczenia, cedowania na partnerów i usunięcia ich w dowolnej chwili, nawet bez uzasadnionego powodu.

43

W tych okolicznościach Curtea de Apel Cluj (sąd apelacyjny w Klużu) postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi:

44

Zgodnie z utrwalonym orzecznictwem w ramach ustanowionej w art. 267 TFUE procedury współpracy między sądami krajowymi a Trybunałem do tego ostatniego należy udzielenie sądowi krajowemu użytecznej odpowiedzi, która umożliwi mu rozstrzygnięcie zawisłego przed nim sporu. Mając to na uwadze, Trybunał powinien w razie potrzeby przeformułować przedłożone mu pytania. W tym względzie do Trybunału należy wyprowadzenie z całości informacji przedstawionych przez sąd krajowy, a w szczególności z uzasadnienia postanowienia odsyłającego, elementów prawa Unii, które wymagają wykładni w świetle przedmiotu sporu [zob. podobnie wyroki: z dnia 29 listopada 1978 r., Redmond,83/78, EU:C:1978:214, pkt 26; z dnia 28 listopada 2000 r., Roquette Frères,C‑88/99, EU:C:2000:652, pkt 18; z dnia 30 kwietnia 2024 r., M.N. (EncroChat),C‑670/22, EU:C:2024:372, pkt 78].

45

Pytania sądu odsyłającego zmierzają łącznie do ustalenia, po pierwsze, czy operator internetowej platformy handlowej, taki jak Russmedia, umożliwiający swoim użytkownikom anonimowe zamieszczanie ogłoszeń na jego internetowej platformie handlowej nieodpłatnie lub za wynagrodzeniem, naruszył obowiązki ciążące na nim na mocy RODO, jeżeli ogłoszenie opublikowane na jego internetowej platformie handlowej zawierało dane osobowe, w szczególności wrażliwe, z naruszeniem tego rozporządzenia, a po drugie, czy do takiego operatora mają zastosowanie art. 12–15 dyrektywy 2000/31, dotyczące odpowiedzialności usługodawców będących pośrednikami.

46

W celu udzielenia użytecznej odpowiedzi na te pytania należy zbadać w pierwszej kolejności pytania od drugiego do czwartego, mające na celu ustalenie, jakie obowiązki ciążą na mocy RODO na operatorze internetowej platformy handlowej w sytuacji takiej jak rozpatrywana w postępowaniu głównym, które to pytania powinny zostać przeformułowane w taki sposób, aby dotyczyły wyłącznie wykładni tego rozporządzenia. W drugiej kolejności zostanie zbadane, czy taki operator może powołać się na art. 12–15 dyrektywy 2000/31, co stanowi w istocie przedmiot pytania pierwszego.

47

Tytułem wstępu należy zauważyć w pierwszej kolejności, że z wniosku o wydanie orzeczenia w trybie prejudycjalnym wynika, iż rozpatrywane ogłoszenie przedstawiało powódkę w postępowaniu głównym jako osobę oferującą usługi seksualne oraz że ogłoszenie to zawierało w szczególności jej zdjęcia wykorzystane bez jej zgody oraz jej numer telefonu.

48

Bezsporne jest zaś, że takie informacje stanowią dane osobowe w rozumieniu art. 4 pkt 1 RODO, który określa tak „wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej”, wskazując, że „możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej”.

49

Zgodnie bowiem z utrwalonym orzecznictwem użycie w definicji „danych osobowych” zawartej w art. 4 pkt 1 RODO wyrażenia „wszelkie informacje” odzwierciedla przyświecający unijnemu prawodawcy zamiar przypisania temu pojęciu szerokiego zakresu i rozszerzenia go potencjalnie o informacje wszelkiego rodzaju, zarówno obiektywne, jak i subiektywne, w postaci opinii czy oceny, a jedynym warunkiem, jaki muszą one spełniać, jest to, aby „dotyczyły” danej osoby. Informacja dotyczy zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, jeżeli ze względu na jej treść, cel lub skutek jest ona powiązana z możliwą do zidentyfikowania osobą [wyrok z dnia 3 kwietnia 2025 r., Ministerstvo zdravotnictví (Dane dotyczące przedstawiciela osoby prawnej),C‑710/23, EU:C:2025:231, pkt 21 i przytoczone tam orzecznictwo].

50

Ponadto wśród tych danych osobowych art. 9 ust. 1 RODO przewiduje specjalny system ochrony dla szczególnych kategorii danych, wśród których znajdują się dane dotyczące życia seksualnego lub orientacji seksualnej osoby fizycznej.

51

Trybunał wyjaśnił, że celem art. 9 ust. 1 tego rozporządzenia jest zapewnienie zwiększonej ochrony przed przetwarzaniem, które ze względu na szczególną wrażliwość danych będących przedmiotem przetwarzania może stanowić szczególnie poważną ingerencję w prawa podstawowe do poszanowania życia prywatnego i ochrony danych osobowych, zagwarantowane w art. 7 i 8 Karty (wyrok z dnia 21 grudnia 2023 r., Krankenversicherung Nordrhein,C‑667/21, EU:C:2023:1022, pkt 41 i przytoczone tam orzecznictwo),

52

Taka wzmocniona ochrona bezwzględnie wymaga zaś szerokiej definicji takich „danych wrażliwych”. I tak Trybunał orzekł, że art. 9 ust. 1 RODO ma zastosowanie do przetwarzania dotyczącego nie tylko danych ze swej istoty wrażliwych, do których przepis ten się odnosi, lecz również danych ujawniających tego rodzaju informacje pośrednio, w wyniku przeprowadzenia intelektualnego procesu dedukcji lub kontroli krzyżowej [wyrok z dnia 5 czerwca 2023 r., Komisja/Polska (Niezawisłość i życie prywatne sędziów), C‑204/21, EU:C:2023:442, pkt 344 i przytoczone tam orzecznictwo].

53

W ramach tej szerokiej definicji fałszywy i krzywdzący charakter danych dotyczących życia seksualnego lub orientacji seksualnej osoby fizycznej nie może pozbawić takich danych kwalifikacji jako „danych wrażliwych” w rozumieniu art. 9 ust. 1 RODO.

54

W drugiej kolejności należy stwierdzić, że rozpatrywane w postępowaniu głównym przetwarzanie polega na opublikowaniu tego ogłoszenia, a zatem tych danych, na internetowej platformie handlowej Russmedii. Operacja polegająca na zamieszczaniu na stronie internetowej danych osobowych stanowi bowiem ich przetwarzanie w rozumieniu art. 4 pkt 2 RODO (wyrok z dnia 1 sierpnia 2022 r., Vyriausioji tarnybinės etikos komisija,C‑184/20, EU:C:2022:601, pkt 65 i przytoczone tam orzecznictwo).

55

W trzeciej kolejności należy zauważyć, że pytania od drugiego do czwartego odnoszą się do okoliczności, iż operator internetowej platformy handlowej jest administratorem danych osobowych. Wydaje się zaś, że dane osobowe, których opublikowanie jest przedmiotem sporu w postępowaniu głównym, zostały umieszczone w rozpatrywanym ogłoszeniu przez anonimowego użytkownika będącego reklamodawcą, przy czym ów operator nie wywierał rzeczywistego wpływu na treść tego ogłoszenia i nie był świadomy jego kłamliwego i krzywdzącego charakteru. W tych okolicznościach należy wyjaśnić pojęcia „administratora” i „współadministratora” w rozumieniu, odpowiednio, art. 4 pkt 7 i art. 26 RODO.

56

Artykuł 4 pkt 7 RODO definiuje w sposób szeroki pojęcie „administratora” jako oznaczające osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

57

Cel tej szerokiej definicji polega, zgodnie z celem RODO, na zapewnieniu skutecznej ochrony podstawowych praw i wolności osób fizycznych, a także na zapewnieniu wysokiego poziomu ochrony prawa każdej osoby do ochrony dotyczących jej danych osobowych (wyrok z dnia 5 grudnia 2023 r., Nacionalinis visuomenės sveikatos centras,C‑683/21, EU:C:2023:949, pkt 29 i przytoczone tam orzecznictwo).

58

Zatem każda osoba fizyczna lub prawna, która wpływa dla własnych interesów na przetwarzanie takich danych i uczestniczy z tego powodu w określaniu celów i sposobów tego przetwarzania, może być uznana za administratora danych (wyrok z dnia 5 grudnia 2023 r., Nacionalinis visuomenės sveikatos centras,C‑683/21, EU:C:2023:949, pkt 30 i przytoczone tam orzecznictwo).

59

Ponadto, zważywszy, że – jak wyraźnie stanowi art. 4 pkt 7 RODO – pojęcie „administratora” odnosi się do podmiotu, który „samodzielnie lub wspólnie z innymi” określa cele i sposoby przetwarzania danych osobowych, pojęcie to nie odsyła koniecznie do pojedynczego podmiotu i może dotyczyć kilku podmiotów uczestniczących w tym przetwarzaniu, przy czym każdy z nich podlega wówczas przepisom obowiązującym w dziedzinie ochrony danych (zob. podobnie wyrok z dnia 29 lipca 2019 r., Fashion ID,C‑40/17, EU:C:2019:629, pkt 67 i przytoczone tam orzecznictwo).

60

Artykuł 26 RODO, który odnosi się do definicji „administratora” zawartej w art. 4 pkt 7 tego rozporządzenia, przewiduje zasadniczo, że jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, należy uznać ich za „współadministratorów”.

61

Takie współadministrowanie niekoniecznie wymaga istnienia wspólnych decyzji co do określenia celów i sposobów przetwarzania odnośnych danych osobowych. Trybunał orzekł bowiem, że udział w określaniu tych celów i sposobów może przybierać różne formy, ponieważ udział ten może wynikać zarówno ze wspólnej decyzji podjętej łącznie przez co najmniej dwa podmioty, jak i ze zbieżnych decyzji, które uzupełniają się w taki sposób, aby każda z nich miała konkretny wpływ na określanie wspomnianych celów i sposobów (zob. wyrok z dnia 5 grudnia 2023 r., Nacionalinis visuomenės sveikatos centras,C‑683/21, EU:C:2023:949, pkt 43).

62

W tym względzie na mocy art. 4 pkt 7 RODO współadministrowanie kilku podmiotów w zakresie tego samego przetwarzania nie zakłada, że każdy z nich ma dostęp do odnośnych danych osobowych (wyroki: z dnia 29 lipca 2019 r., Fashion ID,C‑40/17, EU:C:2019:629, pkt 69 i przytoczone tam orzecznictwo; a także z dnia 5 grudnia 2023 r., Nacionalinis visuomenės sveikatos centras,C‑683/21, EU:C:2023:949, pkt 42).

63

W tym kontekście Trybunał wyjaśnił, że współadministrowanie niekoniecznie przekłada się na jednakową odpowiedzialność różnych podmiotów za to samo przetwarzanie danych osobowych. Wręcz przeciwnie, podmioty te mogą być zaangażowane na różnych etapach tego przetwarzania i w różnym stopniu, tak że poziom odpowiedzialności każdego z nich należy oceniać przy uwzględnieniu wszystkich istotnych okoliczności danej sprawy (zob. podobnie wyroki: z dnia 10 lipca 2018 r., Jehovan todistajat,C‑25/17, EU:C:2018:551, pkt 66 i przytoczone tam orzecznictwo; a także z dnia 5 grudnia 2023 r., Nacionalinis visuomenės sveikatos centras,C‑683/21, EU:C:2023:949, pkt 42).

64

W niniejszym przypadku bezsporne jest, że użytkownika będącego reklamodawcą, który na internetowej platformie handlowej prowadzonej przez Russmedię umieścił kłamliwe i krzywdzące ogłoszenie zawierające dane osobowe powódki w postępowaniu głównym, należy uznać za podmiot, który – głównie – określił cele i sposoby przetwarzania tych danych, a zatem jest objęty zakresem pojęcia „administratora” w rozumieniu art. 4 pkt 7 RODO.

65

Niemniej jednak zostało ustalone, że ogłoszenie to zostało opublikowane w Internecie i w ten sposób udostępnione użytkownikom Internetu jedynie dzięki internetowej platformie handlowej prowadzonej przez Russmedię.

66

O ile zaś z orzecznictwa przytoczonego w pkt 58 niniejszego wyroku wynika, że daną osobę można uznać za „administratora” danych osobowych tylko wtedy, gdy wpływa ona na to przetwarzanie dla własnych celów, o tyle należy jednak stwierdzić, że może tak być w szczególności w przypadku, gdy operator internetowej platformy handlowej publikuje odnośne dane osobowe do celów handlowych lub reklamowych, które wykraczają poza zwykłe świadczenie usług na rzecz użytkownika będącego reklamodawcą.

67

W niniejszym przypadku z postanowienia odsyłającego wynika, że Russmedia publikuje ogłoszenia na swojej internetowej platformie handlowej dla własnych celów handlowych. W tym względzie ogólne warunki korzystania z tej platformy handlowej zapewniają Russmedii dużą swobodę korzystania z informacji opublikowanych na tej platformie handlowej. W szczególności, zgodnie z informacjami przekazanymi przez sąd odsyłający, Russmedia zastrzega sobie prawo do korzystania z opublikowanych treści, ich rozpowszechniania, przekazywania, zwielokrotniania, modyfikowania, tłumaczenia, cedowania na partnerów i usunięcia ich w dowolnej chwili, bez konieczności wskazania „ważnego powodu”, aby to uczynić. Zatem dane osobowe zawarte w ogłoszeniach nie są przez Russmedię publikowane w imieniu użytkowników będących reklamodawcami lub nie są przez nią publikuje wyłącznie w ich imieniu, lecz są one przez nią przetwarzane i mogą być wykorzystywane do jej własnych celów reklamowych i handlowych.

68

Należy zatem uznać, że Russmedia wpływała dla własnych celów na opublikowanie w Internecie danych osobowych powódki w postępowaniu głównym i z tego względu uczestniczyła w określeniu celów tego opublikowania, a zatem rozpatrywanego przetwarzania.

69

Stwierdzenia tego nie podważa okoliczność, że Russmedia w sposób oczywisty nie uczestniczyła w określeniu kłamliwego i krzywdzącego celu zamierzonego przez użytkownika będącego reklamodawcą przy wykorzystaniu opublikowania ogłoszenia rozpatrywanego w postępowaniu głównym. Russmedia uczestniczyła bowiem w określeniu celu przetwarzania polegającego na udostępnieniu użytkownikom Internetu danych osobowych zawartych w ogłoszeniu rozpatrywanym w postępowaniu głównym, aby wykorzystać te publikacje. Ponadto, poprzez umożliwienie anonimowego zamieszczania ogłoszeń na swojej internetowej platformie handlowej, Russmedia ułatwiła opublikowanie takich danych bez zgody osoby, której dane dotyczą.

70

Ponadto udostępniając użytkownikowi będącemu reklamodawcą internetową platformę handlową, która posłużyła do opublikowania ogłoszenia rozpatrywanego w postępowaniu głównym, Russmedia uczestniczyła w określeniu sposobów tego opublikowania.

71

Trybunał orzekł już bowiem w istocie, że w określaniu sposobów przetwarzania uczestniczy osoba fizyczna lub prawna, która wpływa w sposób decydujący na gromadzenie i przekazywanie danych osobowych, a także osoba, która poprzez swoje działania polegające na ustaleniu parametrów zależnych od celów w zakresie zarządzania lub promocji swojej działalności wpływa na przetwarzanie takich danych (zob. podobnie wyroki: z dnia 5 czerwca 2018 r., Wirtschaftsakademie Schleswig-Holstein,C‑210/16, EU:C:2018:388, pkt 36; z dnia 29 lipca 2019 r., Fashion ID,C‑40/17, EU:C:2019:629, pkt 78). To samo dotyczy wyszukiwarki, jeżeli jej działanie odgrywa decydującą rolę w ogólnym rozpowszechnianiu danych osobowych, ze względu na to, iż dzięki niemu dane te są publicznie dostępne online w sposób zorganizowany i zagregowany [zob. podobnie wyrok z dnia 8 grudnia 2022 r., Google (Usunięcie linków do treści, która może okazać się nieprawdziwa), C‑460/20, EU:C:2022:962, pkt 50 i przytoczone tam orzecznictwo].

72

Należy zatem stwierdzić, że gdy operator internetowej platformy handlowej taki jak Russmedia ustala parametry rozpowszechniania ogłoszeń mogących zawierać dane osobowe zależnie od zamierzonych odbiorców, określa sposób prezentacji, czas trwania tego rozpowszechniania lub rubryki strukturyzujące publikowane informacje lub też organizuje ranking, który określi zasady takiego rozpowszechniania, to uczestniczy on w określeniu istotnych sposobów opublikowania odnośnych danych osobowych, wpływając tym samym w sposób decydujący na ogólne rozpowszechnianie tych danych.

73

W tym względzie treść ogólnych warunków korzystania z danej internetowej platformy handlowej może dostarczyć wskazówek wykazujących, że operator tej platformy handlowej wpływa w sposób decydujący na rozpatrywane przetwarzanie danych osobowych i tym samym określa sposoby tego przetwarzania. Wydaje się, że tak jest w przypadku ogólnych warunków korzystania z internetowej platformy handlowej Russmedii, w których spółka ta zastrzega sobie w szczególności prawo do rozpowszechniania, przekazywania, publikowania, usunięcia lub zwielokrotniania informacji zawartych w ogłoszeniach, w tym zawartych w nich danych osobowych.

74

W każdym razie operator internetowej platformy handlowej nie może zwolnić się z odpowiedzialności, jako administrator danych osobowych, na tej podstawie, że sam nie określił treści ogłoszenia opublikowanego na tej platformie handlowej. Sprzeczne nie tylko z jasnym brzmieniem, lecz również z celem art. 4 pkt 7 RODO, polegającym na zapewnieniu, poprzez szeroką definicję pojęcia „administratora”, skutecznej i pełnej ochrony osób, których dane dotyczą, byłoby bowiem wyłączenie z tej definicji takiego operatora z tego tylko powodu.

75

Należy zatem stwierdzić, że sąd odsyłający słusznie oparł pytania od drugiego do czwartego na założeniu, że w sytuacji takiej jak rozpatrywana w postępowaniu głównym operator internetowej platformy handlowej jest administratorem danych osobowych zawartych w ogłoszeniu opublikowanym na tej internetowej platformie handlowej w rozumieniu art. 4 pkt 7 RODO.

76

Odpowiedzi na te pytania należy dokonać w świetle wszystkich powyższych uwag wstępnych.

77

Poprzez pytania drugie i trzecie, które należy rozpatrzyć łącznie, sąd odsyłający dąży w istocie do ustalenia, czy art. 5 ust. 2 oraz art. 24–26 RODO należy interpretować w ten sposób, że operator internetowej platformy handlowej, jako administrator – w rozumieniu art. 4 pkt 7 RODO – danych osobowych zawartych w ogłoszeniach publikowanych na jego internetowej platformie handlowej, ma obowiązek przed opublikowaniem ogłoszeń zidentyfikować ogłoszenia zawierające dane wrażliwe w rozumieniu art. 9 ust. 1 RODO, zweryfikować, czy użytkownik będący reklamodawcą zamierzający umieścić takie ogłoszenie jest osobą, której dane wrażliwe znajdują się w tym ogłoszeniu, a jeśli tak nie jest, odmówić opublikowania tego ogłoszenia bez wyraźnej zgody osoby, której dane dotyczą, w zakresie, w jakim takie opublikowanie mogłoby prowadzić do poważnego naruszenia zagwarantowanych w art. 7 i 8 Karty praw tej osoby do poszanowania życia prywatnego i do ochrony jej danych osobowych.

78

Zgodnie z art. 1 ust. 2 RODO w związku z motywami 4 i 10 tego rozporządzenia rozporządzenie to ma głównej mierze na celu zagwarantowanie wysokiego poziomu ochrony podstawowych praw i wolności osób fizycznych w zakresie przetwarzania danych osobowych, które to prawo zostało również uznane w art. 8 Karty i jest ściśle związane z prawem do poszanowania życia prywatnego, wyrażonym w jej art. 7 (zob. podobnie wyrok z dnia 1 sierpnia 2022 r., Vyriausioji tarnybinės etikos komisija,C‑184/20, EU:C:2022:601, pkt 61 i przytoczone tam orzecznictwo).

79

W tym celu, po pierwsze, rozdział II RODO określa zasady regulujące przetwarzanie danych osobowych, których administrator musi przestrzegać. W szczególności każde przetwarzanie danych osobowych powinno być zgodne z zasadami dotyczącymi przetwarzania danych i kryteriów zgodności przetwarzania z prawem, wskazanymi w art. 5 i 6 tego rozporządzenia (zob. podobnie wyrok z dnia 1 sierpnia 2022 r., Vyriausioji tarnybinės etikos komisija,C‑184/20, EU:C:2022:601, pkt 62 i przytoczone tam orzecznictwo).

80

Zgodnie z art. 5 ust. 1 lit. a) RODO dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą. W art. 5 ust. 1 lit. d) tego rozporządzenia dodano, że przetwarzane dane osobowe muszą być prawidłowe i w razie potrzeby uaktualniane. Wobec tego należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane. Artykuł 5 ust. 1 lit. f) wspomnianego rozporządzenia stanowi, że dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo tych danych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem.

81

Co się tyczy warunków zgodności przetwarzania z prawem, w art. 6 ust. 1 akapit pierwszy RODO zawarto, jak orzekł Trybunał, wyczerpujący i zamknięty wykaz przypadków, w których przetwarzanie danych osobowych może zostać uznane za zgodne z prawem. Przetwarzanie musi zatem wchodzić w zakres jednego z przypadków przewidzianych w tym przepisie (zob. podobnie wyrok z dnia 9 stycznia 2025 r., Mousse,C‑394/23, EU:C:2025:2, pkt 25 i przytoczone tam orzecznictwo).

82

W szczególności, zgodnie z brzmieniem art. 6 ust. 1 akapit pierwszy lit. a) RODO, przetwarzanie danych osobowych jest zgodne z prawem, gdy – i w takim zakresie, w jakim – osoba, której dane dotyczą, wyraziła na to zgodę w określonym celu lub określonych celach. W art. 7 ust. 1 tego rozporządzenia uściślono, że w takim przypadku administrator musi być w stanie wykazać, iż osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych. W braku takiej zgody lub jeżeli zgoda ta nie została udzielona w sposób dobrowolny, konkretny, świadomy i jednoznaczny w rozumieniu art. 4 pkt 11 wspomnianego rozporządzenia, takie przetwarzanie jest jednak uzasadnione, w sytuacji gdy spełnia ono jeden z wymogów dotyczących niezbędności, o których mowa w art. 6 ust. 1 akapit pierwszy lit. b)–f) tego rozporządzenia (wyrok z dnia 9 stycznia 2025 r., Mousse,C‑394/23, EU:C:2025:2, pkt 26 i przytoczone tam orzecznictwo).

83

Do tych zasad i warunków dochodzą szczególne wymogi dotyczące danych wrażliwych zdefiniowanych w art. 9 ust. 1 RODO, których przetwarzanie jest co do zasady zakazane (zob. podobnie wyrok z dnia 21 grudnia 2023 r., Krankenversicherung Nordrhein (C‑667/21, EU:C:2023:1022, pkt 73).

84

Od tego zakazu można odstąpić tylko wtedy, gdy zachodzi jeden z wyjątków przewidzianych w art. 9 ust. 2 lit. a)–j) tego rozporządzenia. Wśród tych wyjątków, które należy interpretować w sposób ścisły, art. 9 ust. 2 lit. a) wspomnianego rozporządzenia przewiduje, że zakaz przetwarzania danych wrażliwych nie ma zastosowania, jeżeli osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie jej wrażliwych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić tego zakazu.

85

Po drugie, w rozdziale IV RODO wyjaśniono zakres obowiązków spoczywających na administratorze danych osobowych zgodnie z zasadą rozliczalności ustanowioną w art. 5 ust. 2 RODO.

86

Zgodnie z rym przepisem administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 tego artykułu i musi być w stanie wykazać, że przestrzega każdej z zasad ustanowionych w owym ust. 1, przy czym ciężar takiego spoczywa na nim [wyrok z dnia 4 maja 2023 r., Bundesrepublik Deutschland (Skrzynka doręczeń elektronicznych w sprawach sądowych), C‑60/22, EU:C:2023:373, pkt 53 i przytoczone tam orzecznictwo].

87

Zasada rozliczalności została skonkretyzowana w szczególności w art. 24 RODO (zob. podobnie wyrok z dnia 25 stycznia 2024 r., MediaMarktSaturn,C‑687/21, EU:C:2024:72, pkt 43 i przytoczone tam orzecznictwo). Artykuł ten wymaga, żeby uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdrażał odpowiednie środki techniczne i organizacyjne, aby wspomniane przetwarzanie odbywało się zgodnie z tym rozporządzeniem i aby móc to wykazać.

88

I tak w art. 5 ust. 2 i art. 24 RODO nałożono na administratora danych osobowych ogólne wymogi dotyczące rozliczalności i przestrzegania przepisów. Wymagają one od tego administratora, aby wprowadził odpowiednie środki mające na celu zapobieżenie ewentualnym naruszeniom uregulowań przewidzianych w RODO w celu zapewnienia prawa do ochrony danych [zob. podobnie wyrok z dnia 27 października 2022 r., Proximus (Publiczne spisy abonentów elektronicznych), C‑129/21, EU:C:2022:833, pkt 81].

89

W tym kontekście art. 25 ust. 1 RODO nakłada na administratora danych obowiązek wdrożenia – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – odpowiednich środków technicznych i organizacyjnych, zaprojektowanych w celu skutecznej realizacji zasad ochrony danych oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi tego rozporządzenia oraz chronić prawa osób, których dane dotyczą. Ponadto ów art. 25 ust. 2, dotyczący domyślnej ochrony danych, przewiduje w szczególności, że odpowiednie środki techniczne i organizacyjne, które administrator musi wdrożyć w tym celu, zapewniają, by domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych.

90

Jeżeli przetwarzane dane osobowe są danymi wrażliwymi w rozumieniu art. 9 ust. 1 RODO, administrator powinien w szczególności, w celu ustalenia, jakie są odpowiednie środki w rozumieniu art. 24 i 25 tego rozporządzenia, wziąć pod uwagę okoliczność, że naruszenie zasad określonych w rozdziale II wspomnianego rozporządzenia w odniesieniu do przetwarzania takich danych może stanowić szczególnie poważną ingerencję w prawa podstawowe do poszanowania życia prywatnego i do ochrony danych osobowych zagwarantowane w art. 7 i 8 Karty.

91

To właśnie w świetle wszystkich tych wyjaśnień należy zbadać pytania drugie i trzecie, w brzmieniu przeformułowanym w pkt 77 niniejszego wyroku.

92

Co się tyczy w pierwszej kolejności kwestii, czy operator internetowej platformy handlowej powinien zidentyfikować ogłoszenia, które zawierają dane wrażliwe w rozumieniu art. 9 ust. 1 RODO, przed ich opublikowaniem, należy przypomnieć, jak wynika z pkt 64 i 75 niniejszego wyroku, że tego operatora i użytkownika będącego reklamodawcą, który zamieścił takie ogłoszenie na tej internetowej platformie handlowej, należy uznać za współadministratorów w rozumieniu art. 26 tego rozporządzenia, jeżeli dane ogłoszenie zostało tam opublikowane.

93

Wynika z tego, że zarówno ten operator, jak i ten użytkownik będący reklamodawcą są zobowiązani zapewnić przestrzeganie obowiązków wynikających z art. 5 ust. 2 oraz art. 24 i 25 RODO. W szczególności muszą oni być w stanie wykazać, że dane osobowe zawarte w danym ogłoszeniu są publikowane zgodnie z prawem, to znaczy, że osoba, której dane dotyczą, wyraziła zgodę na takie opublikowanie, chyba że mogą powołać się na inny warunek przewidziany w art. 6 ust. 1 RODO. Jeżeli odnośne dane osobowe są danymi wrażliwymi w rozumieniu art. 9 ust. 1 RODO, zgoda na takie opublikowanie powinna być, jak wynika z pkt 84 niniejszego wyroku, wyraźna. Podobnie zgodnie z zasadą dokładności określoną w art. 5 ust. 1 lit. d) RODO administratorzy powinni być w stanie wykazać, że odnośne dane osobowe są prawidłowe.

94

W celu ustalenia, jakie konkretnie są odpowiednie środki techniczne i organizacyjne, które operator internetowej platformy handlowej, jako współadministrator danych osobowych, ma obowiązek wdrożyć na podstawie art. 24 i 25 RODO, aby upewnić się i być w stanie wykazać, że opublikowanie danych wrażliwych zawartych w ogłoszeniu zostanie dokonane zgodnie z tym rozporządzeniem, należy zauważyć, że z przepisów tych wynika, iż odpowiedni charakter takich środków należy oceniać w sposób konkretny, uwzględniając charakter, zakres, kontekst i cele danego przetwarzania oraz prawdopodobieństwo i wagę ryzyka dla praw i wolności przynależnych osobie, której dane dotyczą (zob. podobnie wyrok z dnia 21 grudnia 2023 r., Krankenversicherung Nordrhein,C‑667/21, EU:C:2023:1022, pkt 96).

95

W tym względzie należy zauważyć, że opublikowanie danych osobowych na internetowej platformie handlowej wiąże się ze znacznym ryzykiem naruszenia praw i wolności osoby, której dane dotyczą, ponieważ sprawia, że dane te co do zasady są dostępne dla wszystkich użytkowników Internetu. Ponadto po opublikowaniu na internetowej platformie handlowej dane te mogą zostać skopiowane i zwielokrotnione w innych witrynach internetowych, w związku z czym uzyskanie przez osobę, której dane dotyczą, ich rzeczywistego usunięcia z Internetu może okazać się trudne, a nawet niemożliwe.

96

Ryzyko związane z takim opublikowaniem jest tym większe, gdy chodzi o dane wrażliwe w rozumieniu art. 9 ust. 1 RODO. Jak wyraźnie wskazano w motywie 51 RODO, dane osobowe, które z racji swego charakteru są szczególnie wrażliwe w świetle podstawowych praw i wolności, wymagają szczególnej ochrony, gdyż kontekst ich przetwarzania może powodować poważne ryzyko dla podstawowych praw i wolności (zob. podobnie wyrok z dnia 4 października 2024 r., Lindenapotheke,C‑21/23, EU:C:2024:846, pkt 75). Jak wskazano w pkt 90 niniejszego wyroku, przetwarzanie takich danych może stanowić szczególnie poważną ingerencję w prawa podstawowe do poszanowania życia prywatnego i do ochrony danych osobowych, zagwarantowane w art. 7 i 8 Karty. Ponadto prawdopodobieństwo naruszenia tych praw poprzez opublikowanie ogłoszenia zawierającego dane wrażliwe jest bardzo wysokie, gdy użytkownik reklamujący sam nie jest osobą, której dane dotyczą, a internetowa platforma handlowa pozwala na umieszczanie takich ogłoszeń w sposób anonimowy.

97

Zatem w zakresie, w jakim operator internetowej platformy handlowej, takiej jak rozpatrywana w postępowaniu głównym, wie lub powinien wiedzieć, że – ogólnie rzecz biorąc – na jego internetowej platformie handlowej mogą być publikowane przez użytkowników będących reklamodawcami ogłoszenia zawierające dane wrażliwe w rozumieniu art. 9 ust. 1 RODO, operator ten, jako administrator, jest zobowiązany, począwszy od fazy projektowania swojej usługi, wdrożyć odpowiednie środki techniczne i organizacyjne w celu identyfikacji takich ogłoszeń przed ich opublikowaniem i w ten sposób być w stanie zweryfikować, czy zawarte w nich dane wrażliwe są publikowane zgodnie z zasadami określonymi w rozdziale II tego rozporządzenia. Jak wynika bowiem w szczególności z art. 25 ust. 1 wspomnianego rozporządzenia, obowiązek wdrożenia takich środków ciąży na nim nie tylko w chwili przetwarzania, lecz już w chwili określenia sposobów przetwarzania, a zatem nawet zanim dane wrażliwe zostaną opublikowane na jego internetowej platformie handlowej z naruszeniem tych zasad, przy czym obowiązek ten służy właśnie zapobieżeniu takim naruszeniom.

98

Co się tyczy w drugiej kolejności kwestii, czy operator internetowej platformy handlowej, jako administrator danych wrażliwych zawartych w ogłoszeniach publikowanych w jego witrynie internetowej wspólnie z użytkownikiem będącym reklamodawcą, powinien przed opublikowaniem zweryfikować tożsamość tego użytkownika będącego reklamodawcą, należy przypomnieć, że z łącznej lektury art. 9 ust. 1 i art. 9 ust. 2 lit. a) RODO wynika, że publikowanie takich danych jest zakazane, chyba że osoba, której dane dotyczą, wyraziła wyraźną zgodę na opublikowanie odnośnych danych na tej internetowej platformie handlowej lub że zachodzi jeden z pozostałych wyjątków przewidzianych w art. 9 ust. 2 lit. b)–j), co jednak nie wydaje się mieć miejsca w niniejszym przypadku.

99

W tym względzie o ile umieszczenie przez osobę, której dane dotyczą, ogłoszenia zawierającego jej dane wrażliwe na internetowej platformie handlowej może stanowić wyraźną zgodę w rozumieniu art. 9 ust. 2 lit. a) RODO, o tyle brak jest takiej zgody, gdy ogłoszenie to zostało umieszczone przez osobę trzecią, chyba że ta osoba trzecia może wykazać, iż osoba, której dane dotyczą, wyraziła wyraźną zgodę na opublikowanie wspomnianego ogłoszenia na danej internetowej platformie handlowej. W związku z tym, aby móc upewnić się i być w stanie wykazać, że spełnione są wymogi przewidziane w art. 9 ust. 2 lit. a) RODO, operator internetowej platformy handlowej ma obowiązek przed opublikowaniem takiego ogłoszenia zweryfikować, czy zamierzający zamieścić je użytkownik będący reklamodawcą jest osobą, której dane wrażliwe znajdują się w tym ogłoszeniu, co zakłada zebranie informacji o tożsamości tego użytkownika będącego reklamodawcą.

100

Ponadto z art. 13 ust. 1 lit. a) i art. 14 ust. 1 lit. a) RODO wynika, że administratorzy danych osobowych muszą w każdym przypadku podać osobie, której dane dotyczą, swoją tożsamości i dane kontaktowe.

101

Wreszcie należy zauważyć, że art. 26 RODO nakłada na współadministratorów tych samych danych osobowych obowiązek określenia w przejrzysty sposób właściwych im zakresów ich odpowiedzialności dotyczącej wypełniania obowiązków wynikających z tego rozporządzenia. Spełnienie takiego obowiązku okazałoby się zaś niemożliwe, gdyby jeden z administratorów mógł pozostać anonimowy wobec drugiego.

102

Z powyższego wynika zatem, że operator rynku elektronicznego online, jako podmiot odpowiedzialny wspólnie z użytkownikiem będącym reklamodawcą za publikację danych wrażliwych zawartych w ogłoszeniu opublikowanym na jego internetowej platformie handlowej, ma obowiązek zebrania informacji o tożsamości tego użytkownika będącego reklamodawcą i zweryfikowania, czy użytkownik ten jest osobą, której dane wrażliwe znajdują się w tym ogłoszeniu.

103

W tym względzie, jak zauważył w istocie rzecznik generalny w pkt 132 opinii, w motywie 75 RODO wskazano, że w szczególności w przypadku kradzieży tożsamości z przetwarzania danych może wynikać ryzyko naruszenia praw lub wolności osób, których dane dotyczą i które z tego względu mogą zostać pozbawione możliwości sprawowania kontroli nad swoimi danymi osobowymi. Ogólnie rzecz biorąc, tożsamość kradnie się bowiem w celu przeprowadzenia oszukańczych działań na niekorzyść danej osoby lub osób trzecich.

104

W tych okolicznościach, a także biorąc pod uwagę rozważania zawarte w pkt 95 i 96 niniejszego wyroku, aby być w stanie upewnić się i wykazać, że dane wrażliwe zawarte w ogłoszeniach są przetwarzane zgodnie z wymogami RODO, operator internetowej platformy handlowej powinien przewidzieć, zgodnie z art. 24 i 25 tego rozporządzenia, odpowiednie środki techniczne i organizacyjne umożliwiające mu nie tylko uzyskanie, ale również zweryfikowanie tożsamości użytkownika będącego reklamodawcą przed opublikowaniem tych ogłoszeń, w szczególności w celu ustalenia, czy użytkownik ten jest osobą, której dane wrażliwe znajdują się we wspomnianych ogłoszeniach. Środki takie powinny w szczególności umożliwić, jak zauważył rzecznik generalny w pkt 134 opinii, ograniczenie ryzyka niezgodnego z prawem przetwarzania danych osobowych osób, których dane dotyczą, i zwalczanie nieuczciwego korzystaniem z takiej internetowej platformy handlowej, ograniczając poczucie bezkarności i zachęcając w ten sposób użytkowników będących reklamodawcami do przestrzegania wymogów RODO przy publikowaniu ogłoszeń zawierających dane osobowe.

105

Wreszcie, co się tyczy w trzeciej kolejności kwestii, czy operator internetowej platformy handlowej powinien odmówić opublikowania ogłoszenia zawierającego dane wrażliwe, jeżeli okaże się – po przeprowadzeniu takiej weryfikacji tożsamości użytkownika będącego reklamodawcą zamierzającego zamieścić to ogłoszenie – że nie jest on osobą, której dane wrażliwe znajdują się we wspomnianym ogłoszeniu, należy stwierdzić, że z pkt 98 i 99 niniejszego wyroku wynika, iż w takiej sytuacji nie można wykluczyć, że opublikowanie to następuje z naruszeniem zakazu przetwarzania takich danych przewidzianego w art. 9 ust. 1 RODO. Zatem jeśli ów użytkownik będący reklamodawcą nie może wykazać w sposób wymagany prawem, że osoba, której dane dotyczą, wyraziła wyraźną zgodę na opublikowanie rozpatrywanych danych na tej internetowej platformie handlowej, zgodnie z tym art. 9 ust. 2 lit. a), lub że zachodzi jeden z pozostałych wyjątków przewidzianych we wspomnianym art. 9 ust. 2 lit. b)–j), operator tej internetowej platformy handlowej powinien odmówić opublikowania danego ogłoszenia, co powinien zapewnić poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych.

106

W świetle całości powyższych rozważań odpowiedź na pytania drugie i trzecie brzmi: art. 5 ust. 2 oraz art. 24–26 RODO należy interpretować w ten sposób, że operator internetowej platformy handlowej, jako administrator – w rozumieniu art. 4 pkt 7 RODO – danych osobowych zawartych w ogłoszeniach publikowanych na jego internetowej platformie handlowej, ma obowiązek przed opublikowaniem ogłoszeń, za pomocą odpowiednich środków technicznych i organizacyjnych:

107

Pytanie czwarte dotyczy w istocie kwestii, czy operator internetowej platformy handlowej, jako administrator, ma obowiązek stosować zabezpieczenia mogące uniemożliwić lub ograniczyć kopiowanie i redystrybucję ogłoszeń zawierających dane wrażliwe opublikowanych na jego internetowej platformie handlowej.

108

W niniejszym przypadku z wniosku o wydanie orzeczenia w trybie prejudycjalnym wynika, że po pierwsze, kłamliwa i krzywdząca reklama będąca przedmiotem postępowania głównego została powielona w innych witrynach internetowych o treściach reklamowych, które opublikowały ją ze wskazaniem źródła, a po drugie, w ogólnych warunkach korzystania ze swojej internetowej platformy handlowej Russmedia zastrzega sobie w szczególności prawo do przekazywania treści opublikowanych tam ogłoszeń i cedowania ich na partnerów. W tym względzie sąd krajowy nie uściśla, czy Russmedia dobrowolnie przeniosła to ogłoszenie do tych innych witryn internetowych lub co najmniej zezwoliła, w drodze umów, na te publikacje, czy też przeciwnie, rzeczone publikacje są wynikiem kopiowania pierwotnego ogłoszenia, na które to kopiowanie Russmedia nie zezwoliła.

109

Gdyby pierwsza część tej alternatywy została potwierdzona, przekazanie to stanowiłoby nowe przetwarzanie danych osobowych, których Russmedia byłaby administratorem w rozumieniu art. 4 pkt 7 RODO. Przetwarzanie to należy odróżnić od opublikowania przez użytkownika będącego reklamodawcą kłamliwego i krzywdzącego ogłoszenia będącego przedmiotem postępowania głównego na jego internetowej platformie handlowej.

110

Należy bowiem dokonać rozróżnienia między różnymi operacjami przetwarzania danych osobowych w ramach tego samego łańcucha operacji, tak aby uwzględnić konieczność dokonania w odniesieniu do każdej osoby, która może zostać uznana za administratora danych osobowych, indywidualnej oceny poziomu odpowiedzialności, jaki można jej przypisać. Wynika to z faktu, że aby zostać uznaną za współadministratora, dana osoba fizyczna lub prawna musi w sposób niezależny wpisywać się w definicję „administratora” zawartą w art. 4 pkt 7 dyrektywy RODO (wyrok z dnia 5 grudnia 2023 r., Nacionalinis visuomenės sveikatos centras,C‑683/21, EU:C:2023:949, pkt 41 i przytoczone tam orzecznictwo).

111

Wynika z tego, że jeżeli późniejsze przekazanie danych osobowych następuje w ramach umów rozpowszechniania zawartych między operatorem internetowej platformy handlowej, na której pierwotnie opublikowano rozpatrywane dane osobowe, a operatorami innych witryn internetowych, ten pierwszy operator jest co do zasady jedynym administratorem odpowiedzialnym za przetwarzanie, jakim jest to przekazanie. W każdym wypadku każdy administrator ma obowiązek, samodzielnie lub wspólnie, wywiązywać się ze wszystkich obowiązków wynikających z RODO.

112

W kontekście tych wyjaśnień pytanie czwarte należy rozumieć w ten sposób, że dotyczy ono sytuacji, w której Russmedia nie przeniosła do innych witryn internetowych zawierających treści reklamowe kłamliwego i krzywdzącego ogłoszenia rozpatrywanego w postępowaniu głównym, a zatem nie zezwoliła na te późniejsze publikacje.

113

Ponadto należy również zauważyć, że pytanie to dotyczy w istocie zakresu obowiązku zapewnienia bezpieczeństwa, którego musi przestrzegać administrator danych osobowych. Przedmiotem art. 32 RODO jest zaś właśnie bezpieczeństwo przetwarzania. Przepis ten konkretyzuje i doprecyzowuje szczególny aspekt wymogów określonych w art. 24 tego rozporządzenia, który w sposób ogólny określa, wraz z art. 5 ust. 2 tego rozporządzenia, odpowiedzialność administratora.

114

W tych okolicznościach należy uznać, że poprzez pytanie czwarte sąd odsyłający dąży w istocie do ustalenia, czy art. 32 RODO należy interpretować w ten sposób, że operator internetowej platformy handlowej, jako administrator – w rozumieniu art. 4 pkt 7 tego rozporządzenia – danych osobowych zawartych w ogłoszeniach publikowanych na jego internetowej platformie handlowej, ma obowiązek stosować zabezpieczenia mogące uniemożliwić kopiowanie i niezgodne z prawem publikowanie w innych witrynach internetowych opublikowanych na tej platformie ogłoszeń zawierających dane wrażliwe w rozumieniu art. 9 ust. 1 wspomnianego rozporządzenia.

115

Artykuł 32 ust. 1 RODO przewiduje, że uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.

116

Artykuł 32 ust. 2 tego rozporządzenia przewiduje, że oceniając, czy stopień bezpieczeństwa jest odpowiedni, należy uwzględnić w szczególności ryzyko wiążące się z przetwarzaniem, zwłaszcza wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych.

117

Trybunał orzekł, że zawarte w art. 32 ust. 1 i 2 RODO odniesienia do „stop[nia] bezpieczeństwa odpowiadając[ego] ryzyku” oraz „odpowiedni[ego]”„stop[nia] bezpieczeństwa” świadczą o tym, że rozporządzenie to ustanawia system zarządzania ryzykiem i w żaden sposób nie ma na celu wyeliminowania ryzyka naruszeń danych osobowych (wyrok z dnia 14 grudnia 2023 r., Natsionalna agentsia za prihodite,C‑340/21, EU:C:2023:986, pkt 29).

118

Z brzmienia art. 32 RODO w związku z art. 24 tego rozporządzenia wynika zatem, że ów art. 32 ogranicza się do nałożenia na administratora obowiązku przyjęcia środków technicznych i organizacyjnych mających na celu uniknięcie, na ile to możliwe, wszelkiego naruszenia ochrony danych osobowych. Okoliczność, czy takie środki mają odpowiedni charakter, należy oceniać w sposób konkretny, badając, czy środki te zostały wdrożone przez tego administratora z uwzględnieniem różnych kryteriów wskazanych w tych przepisach oraz potrzeb ochrony danych konkretnie związanych z danym przetwarzaniem, a także ryzyka wynikającego z tego przetwarzania (zob. podobnie wyrok z dnia 14 grudnia 2023 r., Natsionalna agentsia za prihodite,C‑340/21, EU:C:2023:986, pkt 30).

119

W tym względzie w celu ustalenia konkretnego ryzyka, jakie stanowi dane przetwarzanie, należy uwzględnić ewentualny wrażliwy charakter przetwarzanych danych osobowych. Jak zostało bowiem przypomniane w pkt 51 i 90 niniejszego wyroku, zwiększona ochrona, która została przewidziana w art. 9 ust. 1 RODO w odniesieniu do pewnych kategorii danych ze względu na ich szczególnie wrażliwy charakter, opiera się na tym, że przetwarzanie takich danych może stanowić szczególnie poważną ingerencję w prawa podstawowe do poszanowania życia prywatnego i ochrony danych osobowych, gwarantowane przez art. 7 i 8 Karty (zob. podobnie wyrok z dnia 21 grudnia 2023 r., Krankenversicherung Nordrhein,C‑667/21, EU:C:2023:1022, pkt 41 i przytoczone tam orzecznictwo).

120

Niemniej jednak gdy ogłoszenie zawierające dane osobowe jest już online i tym samym jest ogólnie dostępne, ujawnienie tych danych wiąże się w szczególności z ryzykiem utraty kontroli nad danymi osobowymi, co w razie wystąpienia takiej sytuacji pozbawia wszelkiej skuteczności (effet utile) prawa i gwarancje przewidziane w RODO na rzecz osoby, której dane dotyczą, wśród których miejsce pierwsze zajmuje prawo do usunięcia danych przewidziane w art. 17 tego rozporządzenia.

121

W związku z tym jeżeli dane wrażliwe są publikowane online, to na mocy art. 32 RODO administrator ma obowiązek podjąć wszelkie środki techniczne i organizacyjne w celu zapewnienia poziomu bezpieczeństwa, który może skutecznie zapobiec utracie kontroli nad tymi danymi.

122

W tym celu administrator powinien wziąć pod uwagę wszelkie dostępne w obecnym stanie wiedzy technicznej środki techniczne, które są w stanie zablokować kopiowanie i powielanie treści w Internecie.

123

Niemniej należy jeszcze uściślić, że art. 24 i 32 RODO nie można rozumieć w ten sposób, że nieuprawnione ujawnienie danych osobowych pierwotnie opublikowanych w Internecie wystarczy do stwierdzenia, że środki przyjęte przez danego administratora nie były odpowiednie w rozumieniu tych przepisów, bez umożliwienia temu administratorowi choćby przedstawienia dowodu przeciwnego (wyrok z dnia 14 grudnia 2023 r., Natsionalna agentsia za prihodite,C‑340/21, EU:C:2023:986, pkt 31).

124

W niniejszym przypadku z postanowienia odsyłającego wynika, że pomimo usunięcia kłamliwego i krzywdzącego ogłoszenia będącego przedmiotem postępowania głównego z internetowej platformy handlowej Russmedii ogłoszenie to jest nadal dostępne online w innych witrynach internetowych, zaś powódka w postępowaniu głównym nie może, jak się wydaje, uzyskać jego usunięcia.

125

Okazuje się zaś, że ta utrata kontroli ma swoje źródło w pierwotnym niezgodnym z prawem opublikowaniu kłamliwego i krzywdzącego ogłoszenia rozpatrywanego w postępowaniu głównym, z naruszeniem wymogów przewidzianych w RODO. W każdym razie Russmedia była zobowiązana do wdrożenia odpowiednich środków technicznych i organizacyjnych, aby zapewnić poziom bezpieczeństwa dostosowany do ryzyka zgodnie z art. 32 RODO i aby zablokować w miarę możliwości wszelkie kopiowanie tego ogłoszenia. Do sądu krajowego należy dokonanie weryfikacji, czy stało się tak w istocie.

126

W świetle całości powyższych rozważań odpowiedź na pytanie czwarte brzmi: art. 32 RODO należy interpretować w ten sposób, że operator internetowej platformy handlowej, jako administrator – w rozumieniu art. 4 pkt 7 tego rozporządzenia – danych osobowych zawartych w ogłoszeniach publikowanych na jego internetowej platformie handlowej, ma obowiązek stosować odpowiednie zabezpieczenia techniczne i organizacyjne, aby uniemożliwić kopiowanie i niezgodne z prawem publikowanie w innych witrynach internetowych opublikowanych na tej platformie ogłoszeń zawierających dane wrażliwe w rozumieniu art. 9 ust. 1 wspomnianego rozporządzenia.

127

Jak zostało wskazane w pkt 45 i 46 niniejszego wyroku, sąd odsyłający dąży jeszcze do ustalenia, czy operator internetowej platformy handlowej, jako administrator – w rozumieniu art. 4 pkt 7 RODO – danych osobowych zawartych w ogłoszeniach publikowanych na jego internetowej platformie handlowej, może powoływać się w odniesieniu do naruszenia obowiązków wynikających z art. 5 ust. 2 oraz art. 24–26 i 32 tego rozporządzenia i stwierdzonych w pkt 106 i 126 niniejszego wyroku na art. 12–15 dyrektywy 2000/31, dotyczące odpowiedzialności usługodawców będących pośrednikami.

128

Powstaje zatem pytanie o powiązanie tych dwóch instrumentów prawa Unii. W szczególności należy ustalić, czy art. 12–15 dyrektywy 2000/31 mogą kolidować z systemem odpowiedzialności przewidzianym w RODO.

129

W tym względzie należy zauważyć, po pierwsze, że art. 1 ust. 5 lit. b) dyrektywy 2000/31 uściśla, iż dyrektywa ta nie ma zastosowania do zagadnień odnoszących się do usług społeczeństwa informacyjnego objętych dyrektywami 95/46 i 97/66.

130

Przepis ten został zinterpretowany przez Trybunał w ten sposób, że kwestie związane z ochroną poufności porozumiewania się i danych osobowych należy oceniać w świetle RODO i dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (Dz.U. 2002, L 201, s. 37), które zastąpiły, odpowiednio, dyrektywę 95/46 i dyrektywę 97/66, przy czym ochrona, jaką ma zapewnić dyrektywa 2000/31, w żadnym wypadku nie może naruszać wymogów wynikających z RODO i z dyrektywy 2002/58 (wyrok z dnia 6 października 2020 r., La Quadrature du Net i in., C‑511/18, C‑512/18 i C‑520/18, EU:C:2020:791, pkt 200 i przytoczone tam orzecznictwo).

131

Wynika z tego w szczególności, że ewentualne skorzystanie ze zwolnienia przewidzianego w art. 14 ust. 1 dyrektywy 2000/31, na które operator internetowej platformy handlowej mógłby się powołać w odniesieniu do informacji przechowywanych w jego witrynie internetowej, nie może kolidować z rygorami RODO, które mają zastosowanie do takiego operatora, jak i do każdego innego podmiotu gospodarczego objętego zakresem stosowania tego rozporządzenia.

132

To samo dotyczy art. 15 dyrektywy 2000/31, na mocy którego państwa członkowskie nie mogą nakładać na usługodawców świadczących usługi, o których mowa w szczególności w art. 14 tej dyrektywy, ogólnego obowiązku w zakresie nadzoru. Ponadto spoczywający na operatorze internetowej platformy handlowej obowiązek przestrzegania wymogów wynikających z RODO nie może w żadnym wypadku zostać uznany za taki ogólny obowiązek w zakresie nadzoru.

133

Po drugie, art. 2 ust. 4 RODO przewiduje, że rozporządzenie to pozostaje bez uszczerbku dla stosowania dyrektywy 2000/31, w szczególności jej art. 12–15, dotyczących odpowiedzialności usługodawców będących pośrednikami.

134

Ów art. 2 ust. 4 należy rozumieć w ten sposób, że okoliczność, iż podmiot gospodarczy jest podmiotem obowiązków przewidzianych w RODO, nie wyklucza automatycznie możliwości powołania się przez ten podmiot na art. 12–15 dyrektywy 2000/31 w odniesieniu do kwestii innych niż dotyczące ochrony danych osobowych.

135

Z art. 1 ust. 5 lit. b) dyrektywy 2000/31 w związku z art. 2 ust. 4 RODO wynika zatem, że przepisy tej dyrektywy, w szczególności jej art. 12–15, nie mogą kolidować z rygorami tego rozporządzenia.

136

W świetle całości powyższych rozważań odpowiedź na pytanie pierwsze brzmi: art. 1 ust. 5 lit. b) dyrektywy 2000/31 i art. 2 ust. 4 RODO należy interpretować w ten sposób, że operator internetowej platformy handlowej, jako administrator – w rozumieniu art. 4 pkt 7 RODO – danych osobowych zawartych w ogłoszeniach publikowanych na jego internetowej platformie handlowej, nie może powoływać się w odniesieniu do naruszenia obowiązków wynikających z art. 5 ust. 2 oraz art. 24–26 i 32 tego rozporządzenia na art. 12–15 tej dyrektywy, dotyczące odpowiedzialności usługodawców będących pośrednikami.

137

Dla stron w postępowaniu głównym niniejsze postępowanie ma charakter incydentalny, dotyczy bowiem kwestii podniesionej przed sądem odsyłającym, do niego zatem należy rozstrzygnięcie o kosztach. Koszty poniesione w związku z przedstawieniem uwag Trybunałowi, inne niż koszty stron w postępowaniu głównym, nie podlegają zwrotowi.

Z powyższych względów Trybunał (wielka izba) orzeka, co następuje: