Δημοσιεύτηκε στο περιοδικό Δίκαιο Τεχνολογίας και Επικοινωνιών (ΔΙΤΕ) (τεύχος 4/2025) σχολιασμός της πρόσφατης απόφασης του Δικαστηρίου της Ευρωπαϊκής Ένωσης στην υπόθεση C-492/23 (Russmedia), η οποία επηρεάζει ουσιωδώς το κανονιστικό πλαίσιο ευθύνης των διαδικτυακών πλατφορμών υπό τον Γενικό Κανονισμό για την Προστασία Δεδομένων (ΓΚΠΔ).
Το αντικείμενο της απόφασης
Η υπόθεση αφορούσε τη δημοσίευση ψευδούς αγγελίας με χρήση προσωπικών δεδομένων χωρίς συγκατάθεση. Το ΔΕΕ κλήθηκε να διευκρινίσει κατά πόσον ο διαχειριστής πλατφόρμας μπορεί να θεωρηθεί υπεύθυνος επεξεργασίας και ποιες υποχρεώσεις υπέχει σε τέτοιες περιπτώσεις.
Βασικά σημεία
Η απόφαση:
- διευρύνει την έννοια του υπευθύνου επεξεργασίας, αναγνωρίζοντας ότι οι πλατφόρμες μπορούν να θεωρηθούν από κοινού υπεύθυνοι επεξεργασίας με τους χρήστες τους,
- εξειδικεύει το περιεχόμενο των υποχρεώσεων των άρθρων 24, 25 και 32 ΓΚΠΔ,
- εισάγει ενισχυμένες προληπτικές (ex ante) υποχρεώσεις συμμόρφωσης,
- και αποκλείει την επίκληση των απαλλαγών ευθύνης των ενδιάμεσων παρόχων (hosting safe harbour) στο πεδίο εφαρμογής του ΓΚΠΔ.
Πρακτικές επιπτώσεις
Η απόφαση σηματοδοτεί μια ουσιαστική μετατόπιση από το παραδοσιακό μοντέλο notice-and-takedown προς ένα πλαίσιο ενεργητικής συμμόρφωσης.
Στην πράξη, οι πάροχοι ψηφιακών υπηρεσιών καλούνται να:
- ενσωματώνουν μηχανισμούς privacy by design ήδη από το στάδιο σχεδιασμού των υπηρεσιών τους,
- εφαρμόζουν συστήματα εντοπισμού και διαχείρισης περιεχομένου που ενδέχεται να περιλαμβάνει προσωπικά δεδομένα,
- ενισχύουν τις διαδικασίες ταυτοποίησης χρηστών και διαχείρισης κινδύνου,
- επανεξετάσουν τη συνολική τους στρατηγική συμμόρφωσης με τον ΓΚΠΔ.
Η εξέλιξη αυτή αναμένεται να επηρεάσει ιδίως marketplaces, πλατφόρμες περιεχομένου και παρόχους ψηφιακών υπηρεσιών ευρύτερα.