Απόφαση του Δικαστηρίου στην υπόθεση C-492/23 | Russmedia Digital και Inform Media Press
Προστασία δεδομένων: ο φορέας εκμετάλλευσης ιστοτόπου διαδικτυακής αγοράς είναι υπεύθυνος για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που περιλαμβάνονται στις διαφημιστικές αγγελίες οι οποίες δημοσιεύονται στην πλατφόρμα του
Στο πλαίσιο αυτό, υποχρεούται να εντοπίζει, πριν από τη δημοσίευσή τους, τις αγγελίες που περιλαμβάνουν ευαίσθητα δεδομένα και να εξακριβώνει ότι το πρόσωπο που πραγματοποιεί την ανάρτηση είναι πράγματι το υποκείμενο των δεδομένων που περιλαμβάνονται στην ανάρτηση ή ότι έχει λάβει τη ρητή συγκατάθεση του υποκειμένου των δεδομένων
Κατά το δίκαιο της Ένωσης, ο φορέας εκμετάλλευσης ιστοτόπου διαδικτυακής αγοράς φέρει υποχρεωτικώς την ευθύνη των δεδομένων προσωπικού χαρακτήρα που περιλαμβάνονται στις αγγελίες οι οποίες δημοσιεύονται στην πλατφόρμα του σύμφωνα με τον ΓΚΠΔ 1. Ο φορέας αυτός υποχρεούται, μεταξύ άλλων, να εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα ώστε να εντοπίζει, πριν δημοσιευθούν, τις αγγελίες που περιλαμβάνουν ευαίσθητα δεδομένα και να εξακριβώνει ότι το πρόσωπο που πραγματοποιεί την ανάρτηση είναι πράγματι το υποκείμενο των δεδομένων που περιλαμβάνονται σε αυτήν. Αν τούτο δεν συμβαίνει, ο εν λόγω φορέας υποχρεούται να αρνηθεί τη δημοσίευση της αγγελίας, εκτός αν ο χρήστης που πραγματοποιεί την ανάρτηση είναι σε θέση να αποδείξει ότι το υποκείμενο των δεδομένων συγκατατίθεται ρητώς στη δημοσίευση των συγκεκριμένων δεδομένων ή ότι η εν λόγω δημοσίευση εμπίπτει σε μια από τις λοιπές εξαιρέσεις που προβλέπει ο ΓΚΠΔ 2. Επιπλέον, ο φορέας εκμετάλλευσης του ιστοτόπου υποχρεούται να λαμβάνει μέτρα προς αποτροπή του ενδεχομένου αντιγραφής και παράνομης δημοσίευσης τέτοιων αγγελιών σε άλλους ιστοτόπους. Ένας τέτοιος φορέας αυτός δεν μπορεί να απαλλαγεί από τις εν λόγω υποχρεώσεις επικαλούμενος την οδηγία 2000/31/ΕΚ 3, η οποία περιλαμβάνει διατάξεις 4 σχετικά με τις περιπτώσεις στις οποίες οι πάροχοι υπηρεσιών της κοινωνίας της πληροφορίας δεν φέρουν ευθύνη.
Η Russmedia Digital, εταιρία ρουμανικού δικαίου, είναι ιδιοκτήτρια του ιστοτόπου www.publi24.ro. Ο ιστότοπος αυτός συνιστά διαδικτυακή αγορά όπου δημοσιεύονται, δωρεάν ή έναντι αμοιβής, διαφημιστικές αγγελίες. Οι εν λόγω αγγελίες έχουν ως αντικείμενο, μεταξύ άλλων, την πώληση αγαθών ή την παροχή υπηρεσιών στη Ρουμανία. Την 1η Αυγούστου 2018, ένα μη ταυτοποιημένο πρόσωπο δημοσίευσε στον συγκεκριμένο ιστότοπο αγγελία σχετικά με παροχή σεξουαλικών υπηρεσιών από μία γυναίκα. Η αγγελία περιλάμβανε φωτογραφίες της γυναίκας, οι οποίες είχαν χρησιμοποιηθεί χωρίς τη συγκατάθεσή της, καθώς και τον αριθμό τηλεφώνου της. Η γυναίκα, ισχυριζόμενη ότι η αγγελία ήταν ψευδής και βλαπτική για την ίδια, ζήτησε από τον ιδιοκτήτη του ιστοτόπου να την αφαιρέσει. Εντός μίας ώρας από την υποβολή του αιτήματος, η Russmedia Digital διέγραψε τη δημοσίευση.
Ωστόσο η αγγελία είχε ήδη αναπαραχθεί σε άλλους ιστοτόπους, στους οποίους παρέμενε προσβάσιμη.
Υπό τις περιστάσεις αυτές, η γυναίκα, εκτιμώντας ότι η αγγελία συνιστούσε προσβολή των δικαιωμάτων της στην εικόνα, την τιμή, την υπόληψη και την ιδιωτική ζωή, καθώς και παράβαση των κανόνων σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα, προσέφυγε ενώπιον της ρουμανικής δικαιοσύνης. Το πρωτοδικείο Cluj-Napoca έκανε δεκτή την αγωγή της και υποχρέωσε τη Russmedia Digital να καταβάλει ποσό 7 000 ευρώ ως χρηματική ικανοποίηση λόγω ηθικής βλάβης. Κατ’ έφεση, το ειδικό δικαστήριο Cluj απάλλαξε την εταιρία από την υποχρέωση αυτή, με το σκεπτικό ότι παρείχε απλώς υπηρεσία φιλοξενίας χωρίς να φέρει ευθύνη για το περιεχόμενο που δημοσίευαν οι χρήστες της.
Η θιγόμενη άσκησε αναίρεση ενώπιον του εφετείου Cluj. To εν λόγω δικαστήριο αποφάσισε να αποστείλει προδικαστικά ερωτήματα στο Δικαστήριο προκειμένου να λάβει διευκρινίσεις σχετικά με την ορθή ερμηνεία του δικαίου της Ένωσης, μεταξύ άλλων όσον αφορά τις υποχρεώσεις τις οποίες υπέχει ο φορέας εκμετάλλευσης διαδικτυακής αγοράς βάσει του ΓΚΠΔ καθώς και σχετικά με τη δυνατότητα απαλλαγής του προσώπου αυτού από την ευθύνη του βάσει της οδηγίας 2000/31 που αφορά τους παρόχους υπηρεσιών της κοινωνίας της πληροφορίας 5.
Με τη σημερινή απόφασή του, το Δικαστήριο κρίνει ότι ο φορέας εκμετάλλευσης διαδικτυακής αγοράς, όπως η Russmedia Digital, είναι υπεύθυνος, κατά την έννοια του ΓΚΠΔ 6, της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που περιλαμβάνονται στις αγγελίες οι οποίες δημοσιεύονται στην διαδικτυακή αγορά του. Ειδικότερα, μολονότι η αγγελία αναρτήθηκε από χρήστη της πλατφόρμας, εντούτοις δημοσιεύθηκε στο διαδίκτυο και κατέστη προσβάσιμη στους χρήστες του διαδικτύου αποκλειστικά χάρη στη συγκεκριμένη διαδικτυακή αγορά.
Συνεπώς, ο φορέας εκμετάλλευσης διαδικτυακής αγοράς οφείλει, πριν από τη δημοσίευση τέτοιων αγγελιών και με χρήση κατάλληλων τεχνικών και οργανωτικών μέτρων, να εντοπίζει τις αγγελίες που περιλαμβάνουν ευαίσθητα δεδομένα, όπως τα επίμαχα στην προκείμενη περίπτωση, και να εξακριβώνει ότι ο χρήστης που επιθυμεί να αναρτήσει την αγγελία είναι το υποκείμενο των ευαίσθητων δεδομένων που περιλαμβάνονται σε αυτήν.
Σε αντίθετη περίπτωση, υποχρεούται να ελέγξει αν το υποκείμενο των οικείων δεδομένων συγκατατίθεται ρητώς στη δημοσίευση. Ελλείψει τέτοιας συγκατάθεσης, ο φορέας εκμετάλλευσης διαδικτυακής αγοράς οφείλει να αρνηθεί να δημοσιεύσει την αγγελία, εκτός αν η εν λόγω δημοσίευση εμπίπτει σε μια από τις λοιπές εξαιρέσεις που προβλέπει ο ΓΚΠΔ. Επιπλέον, ο φορέας εκμετάλλευσης διαδικτυακής αγοράς πρέπει να μεριμνά για την αποτροπή της αντιγραφής και της παράνομης δημοσίευσης σε άλλους ιστοτόπους των αγγελιών που δημοσιεύονται στη διαδικτυακή αγορά του και περιλαμβάνουν ευαίσθητα δεδομένα. Προς τον σκοπό αυτό, λαμβάνει κατάλληλα τεχνικά και οργανωτικά μέτρα ασφάλειας.
Τέλος, το Δικαστήριο διευκρινίζει ότι ο φορέας εκμετάλλευσης διαδικτυακής αγοράς δεν μπορεί να απαλλαγεί από τις υποχρεώσεις τις οποίες υπέχει από τον ΓΚΠΔ επικαλούμενος την έλλειψη ευθύνης δυνάμει της οδηγίας 2000/31.
ΥΠΟΜΝΗΣΗ: Με την προδικαστική παραπομπή τα δικαστήρια των κρατών μελών μπορούν, στο πλαίσιο της ένδικης διαφοράς της οποίας έχουν επιληφθεί, να υποβάλουν στο Δικαστήριο ερώτημα σχετικό με την ερμηνεία του δικαίου της Ένωσης ή με το κύρος πράξεως οργάνου της Ένωσης. Το Δικαστήριο δεν αποφαίνεται επί της διαφοράς που εκκρεμεί ενώπιον του εθνικού δικαστηρίου. Στο εθνικό δικαστήριο εναπόκειται να επιλύσει τη διαφορά, λαμβάνοντας υπόψη την απόφαση του Δικαστηρίου. Η απόφαση αυτή δεσμεύει κάθε άλλο εθνικό δικαστήριο ενώπιον του οποίου ανακύπτει παρόμοιο ζήτημα.
1 Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων). 2 Βλ. άρθρο 9 του ΓΚΠΔ το οποίο προβλέπει ειδικό καθεστώς προστασίας για ευαίσθητα δεδομένα, μεταξύ των οποίων καταλέγονται τα δεδομένα που αφορούν τη σεξουαλική ζωή ή τον σεξουαλικό προσανατολισμό ενός φυσικού προσώπου. Σύμφωνα με το άρθρο αυτό, η επεξεργασία τέτοιων δεδομένων απαγορεύεται κατ’ αρχήν, εκτός αν πρόκειται για μία από τις εκεί προβλεπόμενες εξαιρέσεις. 3 Οδηγία 2000/31/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 8ης Ιουνίου 2000, για ορισμένες νομικές πτυχές των υπηρεσιών της κοινωνίας της πληροφορίας, ιδίως του ηλεκτρονικού εμπορίου, στην εσωτερική αγορά («οδηγία για το ηλεκτρονικό εμπόριο»). 4 Βλ. άρθρα 12 έως 15 της οδηγίας 2000/31.
5 Βλ. άρθρο 14, παράγραφος 1, της οδηγίας 2000/31. 6 Βλ. άρθρο 4, σημείο 7, του ΓΚΠΔ.
ΑΚΟΛΟΥΘΕΙ ΟΛΟΚΛΗΡΗ Η ΑΠΟΦΑΣΗ
ΑΠΟΦΑΣΗ ΤΟΥ ΔΙΚΑΣΤΗΡΙΟΥ (τμήμα μείζονος συνθέσεως)
της 2ας Δεκεμβρίου 2025 (*)
« Προδικαστική παραπομπή – Προστασία των δεδομένων προσωπικού χαρακτήρα – Κανονισμός (ΕΚ) 2016/679 – Άρθρο 4, σημείο 7 – Έννοια του “υπεύθυνου επεξεργασίας” – Ευθύνη του φορέα εκμετάλλευσης διαδικτυακής αγοράς για τη δημοσίευση δεδομένων προσωπικού χαρακτήρα στις διαφημιστικές αγγελίες που αναρτώνται στη διαδικτυακή αγορά του από χρήστες του οικείου ιστοτόπου – Άρθρο 5, παράγραφος 2 – Αρχή της ευθύνης – Άρθρο 26 – Ευθύνη από κοινού με τους χρήστες που προβαίνουν σε ανάρτηση – Άρθρο 9, παράγραφος 1, και παράγραφος 2, στοιχείο αʹ – Διαφημιστικές αγγελίες που περιλαμβάνουν ευαίσθητα δεδομένα – Νομιμότητα της επεξεργασίας – Συγκατάθεση – Άρθρα 24, 25, 32 – Υποχρεώσεις του υπεύθυνου επεξεργασίας – Εκ των προτέρων εντοπισμός των διαφημιστικών αγγελιών που περιλαμβάνουν τέτοια δεδομένα – Προηγούμενη εξακρίβωση της ταυτότητας του χρήστη που πραγματοποιεί την ανάρτηση – Άρνηση δημοσίευσης παράνομων διαφημιστικών αγγελιών – Μέτρα ασφάλειας για την αποτροπή του ενδεχομένου αντιγραφής των διαφημιστικών αγγελιών και δημοσίευσής τους σε άλλους ιστοτόπους – Ηλεκτρονικό εμπόριο – Οδηγία 2000/31/ΕΚ – Άρθρα 12 έως 15 – Δυνατότητα του οικείου φορέα εκμετάλλευσης να επικαλεστεί την απαλλαγή των μεσαζόντων παροχής υπηρεσιών της κοινωνίας της πληροφορίας από την ευθύνη σχετικά με παράβαση των υποχρεώσεων αυτών »
Στην υπόθεση C-492/23,
με αντικείμενο αίτηση προδικαστικής αποφάσεως δυνάμει του άρθρου 267 ΣΛΕΕ, που υπέβαλε το Curtea de Apel Cluj (εφετείο Cluj, Ρουμανία) με απόφαση της 15ης Ιουνίου 2023, η οποία περιήλθε στο Δικαστήριο στις 3 Αυγούστου 2023, στο πλαίσιο της δίκης
X
κατά
Russmedia Digital SRL,
Inform Media Press SRL,
ΤΟ ΔΙΚΑΣΤΗΡΙΟ (τμήμα μείζονος συνθέσεως),
συγκείμενο από τους K. Lenaerts, Πρόεδρο, T. von Danwitz, Αντιπρόεδρο, F. Biltgen, K. Jürimäe (εισηγήτρια), Κ. Λυκούργο, I. Jarukaitis, M. L. Arastey Sahún, I. Ziemele, J. Passer, προέδρους τμήματος, S. Rodin, E. Regan, N. Jääskinen και Δ. Γρατσία, δικαστές,
γενικός εισαγγελέας: M. Szpunar
γραμματέας: R. Şereş, διοικητική υπάλληλος,
έχοντας υπόψη την έγγραφη διαδικασία και κατόπιν της επ’ ακροατηρίου συζητήσεως της 2ας Ιουλίου 2024,
λαμβάνοντας υπόψη τις παρατηρήσεις που υπέβαλαν:
– η X, εκπροσωπούμενη από την I. Kis, avocată,
– η Ρουμανική Κυβέρνηση, εκπροσωπούμενη από την E. Gane, την L. Ghiţă και την R. I. Haţieganu,
– η Ευρωπαϊκή Επιτροπή, εκπροσωπούμενη από την L. Armati, τον H. Kranenborg, τον P.-J. Loewenthal και την L. Nicolae,
αφού άκουσε τον γενικό εισαγγελέα που ανέπτυξε τις προτάσεις του κατά τη συνεδρίαση της 6ης Φεβρουαρίου 2025,
εκδίδει την ακόλουθη
Απόφαση
1 Η αίτηση προδικαστικής αποφάσεως αφορά την ερμηνεία των άρθρων 12 έως 15 της οδηγίας 2000/31/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 8ης Ιουνίου 2000, για ορισμένες νομικές πτυχές των υπηρεσιών της κοινωνίας της πληροφορίας, ιδίως του ηλεκτρονικού εμπορίου, στην εσωτερική αγορά («οδηγία για το ηλεκτρονικό εμπόριο») (ΕΕ 2000, L 178, σ. 1), καθώς και του άρθρου 2, παράγραφος 4, του άρθρου 4, σημεία 7 και 11, του άρθρου 5, παράγραφος 1, στοιχεία βʹ και στʹ, του άρθρου 6, παράγραφος 1, στοιχείο αʹ, και των άρθρων 7, 24 και 25 του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (ΕΕ 2016, L 119, σ. 1, στο εξής: ΓΚΠΔ).
2 Η αίτηση αυτή υποβλήθηκε στο πλαίσιο ένδικης διαφοράς μεταξύ, αφενός, του φυσικού προσώπου X και, αφετέρου, των Russmedia Digital SRL και Inform Media Press SRL (στο εξής, από κοινού: Russmedia), με αντικείμενο την αγωγή που άσκησε η αναιρεσείουσα της κύριας δίκης προς ικανοποίηση της ηθικής βλάβης την οποία υπέστη λόγω παράνομης επεξεργασίας δεδομένων προσωπικού χαρακτήρα και προσβολής του δικαιώματός της στην εικόνα, την τιμή και την ιδιωτική ζωή.
Το νομικό πλαίσιο
Το δίκαιο της Ένωσης
Η οδηγία 2000/31
3 Οι αιτιολογικές σκέψεις 14, 42, 46 και 52 της οδηγίας 2000/31 διαλαμβάνουν τα εξής:
«(14) Η προστασία προσώπων σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα ρυθμίζεται αποκλειστικά από την οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών [(ΕΕ 1995, L 281, σ. 31)] και από την οδηγία 97/66/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 15ης Δεκεμβρίου 1997, περί επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και προστασίας της ιδιωτικής ζωής στον τηλεπικοινωνιακό τομέα [(ΕΕ 1998, L 24, σ. 1)], που ισχύουν εξ ολοκλήρου για τις υπηρεσίες της κοινωνίας της πληροφορίας. […] Η εκτέλεση και εφαρμογή της παρούσας οδηγίας θα πρέπει να γίνεται τηρουμένων πλήρως των αρχών περί προστασίας δεδομένων προσωπικού χαρακτήρα, ιδίως όσον αφορά τη μη ζητηθείσα εμπορική επικοινωνία και την ευθύνη μεσαζόντων. Η παρούσα οδηγία δεν μπορεί να εμποδίζει την ανώνυμη χρήση ανοικτών δικτύων, όπως είναι το Internet.
[…]
(42) Οι εξαιρέσεις από την ευθύνη που προβλέπονται στην παρούσα οδηγία καλύπτουν μόνο τις περιπτώσεις στις οποίες οι δραστηριότητες του φορέα παροχής υπηρεσιών της κοινωνίας της πληροφορίας περιορίζονται στην τεχνική διαδικασία χειρισμού και παροχής πρόσβασης σε δίκτυο επικοινωνίας διά του οποίου μεταδίδονται ή στο οποίο τίθενται σε προσωρινή αποθήκευση πληροφορίες που έχουν δοθεί από τρίτους, με αποκλειστικό σκοπό να καταστεί πιο αποτελεσματική η μετάδοση. Οι δραστηριότητες αυτές έχουν εντελώς τεχνικό, αυτόματο και παθητικό χαρακτήρα, πράγμα που συνεπάγεται ότι ο φορέας παροχής υπηρεσιών της κοινωνίας της πληροφορίας ούτε γνωρίζει ούτε ελέγχει τις πληροφορίες που μεταδίδει ή αποθηκεύει.
[…]
(46) Προκειμένου να απολαύει του περιορισμού της ευθύνης, ο φορέας παροχής υπηρεσίας της κοινωνίας της πληροφορίας, η οποία συνίσταται σε αποθήκευση πληροφοριών, μόλις πληροφορηθεί αποδεδειγμένως ή αντιληφθεί ότι πρόκειται για παράνομες δραστηριότητες, οφείλει ταχέως να τις αποσύρει ή να τις καταστήσει απρόσιτες. Η απόσυρση των πληροφοριών ή η απενεργοποίηση της πρόσβασης σε αυτές οφείλει να επιχειρείται τηρουμένης της αρχής της ελευθερίας της έκφρασης και των οικείων εθνικών διαδικασιών. Η παρούσα οδηγία δεν θίγει τη δυνατότητα των κρατών μελών να θεσπίζουν ειδικές προϋποθέσεις οι οποίες πρέπει να πληρούνται άμεσα, πριν από την απόσυρση των πληροφοριών ή την παρεμπόδιση της πρόσβασης σε αυτές.
[…]
(52) […] Οι ζημίες που ενδέχεται να προκύψουν σε σχέση με τις υπηρεσίες της κοινωνίας της πληροφορίας χαρακτηρίζονται ταυτόχρονα από την ταχύτητα και τη γεωγραφική τους έκταση. Λόγω της ιδιαιτερότητας αυτής και της ανάγκης να εξασφαλιστεί ότι οι εθνικές αρχές δεν διακυβεύουν την αμοιβαία εμπιστοσύνη που πρέπει να υπάρχει μεταξύ τους, η παρούσα οδηγία απαιτεί από τα κράτη μέλη να διαθέσουν τα κατάλληλα μέσα έννομης προστασίας. […]»
4 Το άρθρο 1 της οδηγίας 2000/31, το οποίο φέρει τον τίτλο «Στόχος και πεδίο εφαρμογής», ορίζει τα ακόλουθα:
«1. Η παρούσα οδηγία έχει ως στόχο την ομαλή λειτουργία της εσωτερικής αγοράς, εξασφαλίζοντας την ελεύθερη κυκλοφορία των υπηρεσιών της κοινωνίας της πληροφορίας μεταξύ των κρατών μελών.
[…]
5. Η παρούσα οδηγία δεν εφαρμόζεται:
[…]
β) σε θέματα σχετικά με τις υπηρεσίες της κοινωνίας της πληροφορίας που καλύπτονται ήδη από τις οδηγίες [95/46] και [97/66]·
[…]».
5 Το τμήμα 4 του κεφαλαίου II της οδηγίας 2000/31 της οδηγίας 2000/31, το οποίο φέρει τον τίτλο «Ευθύνη των μεσαζόντων παροχής υπηρεσιών», περιλάμβανε, όπως ίσχυε κατά τον χρόνο των πραγματικών περιστατικών της κύριας δίκης, τα άρθρα 12 έως 15 της οδηγίας αυτής. Τα άρθρα 12 και 13 της οδηγίας αφορούσαν, σύμφωνα με τους αντίστοιχους τίτλους τους, την «[α]πλή μετάδοση» και την «[α]ποθήκευση σε κρυφή μνήμη (Caching)».
6 Το άρθρο 14 της εν λόγω οδηγίας, το οποίο φέρει τον τίτλο «Φιλοξενία», προέβλεπε τα εξής:
«1. Τα κράτη μέλη διασφαλίζουν ότι σε περίπτωση παροχής μιας υπηρεσίας της κοινωνίας της πληροφορίας η οποία συνίσταται στην αποθήκευση πληροφοριών παρεχομένων από έναν αποδέκτη υπηρεσίας, δεν υφίσταται ευθύνη του φορέα παροχής της υπηρεσίας για τις πληροφορίες που αποθηκεύονται μετά από αίτηση αποδέκτη της υπηρεσίας, υπό τον όρο ότι:
α) ο φορέας παροχής της υπηρεσίας δεν γνωρίζει πραγματικά ότι πρόκειται για παράνομη δραστηριότητα ή πληροφορία και ότι, σε ό,τι αφορά αξιώσεις αποζημιώσεως, δεν γνωρίζει τα γεγονότα ή τις περιστάσεις από τις οποίες προκύπτει η παράνομη δραστηριότητα ή πληροφορία,
ή
β) ο φορέας παροχής της υπηρεσίας, μόλις αντιληφθεί τα προαναφερθέντα, αποσύρει ταχέως τις πληροφορίες ή καθιστά την πρόσβαση σε αυτές αδύνατη.
2. Η παράγραφος 1 δεν εφαρμόζεται όταν ο αποδέκτης της υπηρεσίας ενεργεί υπό την εξουσία ή υπό τον έλεγχο του φορέα παροχής της υπηρεσίας.
3. Το παρόν άρθρο δεν θίγει τη δυνατότητα δικαστικής ή διοικητικής αρχής, σύμφωνα με τα νομικά συστήματα των κρατών μελών, να απαιτούν από τον φορέα παροχής υπηρεσιών να προβεί στην παύση ή στην πρόληψη παράβασης, ούτε θίγει τη δυνατότητα των κρατών μελών να θεσπίζουν διαδικασίες για την απόσυρση των πληροφοριών ή την απενεργοποίηση της πρόσβασης σε αυτές».
7 Το άρθρο 15 της ίδιας οδηγίας, το οποίο φέρει τον τίτλο «Απουσία γενικής υποχρέωσης ελέγχου», όριζε στις παραγράφους 1 και 2 τα ακόλουθα:
«1. Τα κράτη μέλη δεν επιβάλλουν στους φορείς παροχής υπηρεσιών, για την παροχή των υπηρεσιών που αναφέρονται στα άρθρα 12, 13 και 14, γενική υποχρέωση ελέγχου των πληροφοριών που μεταδίδουν ή αποθηκεύουν ούτε γενική υποχρέωση δραστήριας αναζήτησης γεγονότων ή περιστάσεων που δείχνουν ότι πρόκειται για παράνομες δραστηριότητες.
2. Τα κράτη μέλη δύνανται να υποχρεώσουν τους φορείς παροχής υπηρεσιών της κοινωνίας της πληροφορίας να ενημερώνουν πάραυτα τις αρμόδιες κρατικές αρχές για τυχόν υπόνοιες περί χορηγουμένων παρανόμων πληροφοριών ή δραστηριοτήτων που επιχειρούν αποδέκτες των υπηρεσιών τους ή να ανακοινώνουν στις αρμόδιες αρχές, κατ’ αίτησή τους, πληροφορίες που διευκολύνουν την εντόπιση αποδεκτών των υπηρεσιών τους με τους οποίους έχουν συμφωνίες αποθήκευσης».
Ο ΓΚΠΔ
8 Οι αιτιολογικές σκέψεις 4, 10, 39, 51, 74, 75, 78 και 85 του ΓΚΠΔ έχουν ως εξής:
«(4) Η επεξεργασία των δεδομένων προσωπικού χαρακτήρα θα πρέπει να προορίζεται να εξυπηρετεί τον άνθρωπο. Το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα δεν είναι απόλυτο δικαίωμα· πρέπει να εκτιμάται σε σχέση με τη λειτουργία του στην κοινωνία και να σταθμίζεται με άλλα θεμελιώδη δικαιώματα, σύμφωνα με την αρχή της αναλογικότητας. Ο παρών κανονισμός σέβεται όλα τα θεμελιώδη δικαιώματα και τηρεί τις ελευθερίες και αρχές που αναγνωρίζονται στον [Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης (στο εξής: Χάρτης)], όπως κατοχυρώνονται στις Συνθήκες, ιδίως τον σεβασμό της ιδιωτικής και οικογενειακής ζωής, της κατοικίας και των επικοινωνιών, την προστασία των δεδομένων προσωπικού χαρακτήρα, την ελευθερία σκέψης, συνείδησης και θρησκείας, την ελευθερία έκφρασης και πληροφόρησης, την επιχειρηματική ελευθερία, το δικαίωμα πραγματικής προσφυγής και αμερόληπτου δικαστηρίου και την πολιτιστική, θρησκευτική και γλωσσική πολυμορφία.
[…]
(10) Για τη διασφάλιση συνεκτικής και υψηλού επιπέδου προστασίας των φυσικών προσώπων και την άρση των εμποδίων στις ροές δεδομένων προσωπικού χαρακτήρα εντός της [Ευρωπαϊκής] Ένωσης, το επίπεδο προστασίας των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων σε σχέση με την επεξεργασία των εν λόγω δεδομένων θα πρέπει να είναι ισοδύναμο σε όλα τα κράτη μέλη. Θα πρέπει να διασφαλίζεται συνεκτική και ομοιόμορφη εφαρμογή των κανόνων για την προστασία των θεμελιωδών δικαιωμάτων και των ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση. […]
[…]
(39) Κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα θα πρέπει να είναι σύννομη και δίκαιη. Θα πρέπει να είναι σαφές για τα φυσικά πρόσωπα ότι δεδομένα προσωπικού χαρακτήρα που τα αφορούν συλλέγονται, χρησιμοποιούνται, λαμβάνονται υπόψη ή υποβάλλονται κατ’ άλλο τρόπο σε επεξεργασία, καθώς και σε ποιο βαθμό τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται ή θα υποβληθούν σε επεξεργασία. Η αρχή αυτή απαιτεί κάθε πληροφορία και ανακοίνωση σχετικά με την επεξεργασία των εν λόγω δεδομένων προσωπικού χαρακτήρα να είναι εύκολα προσβάσιμη και κατανοητή και να χρησιμοποιεί σαφή και απλή γλώσσα. Αυτή η αρχή αφορά ιδίως την ενημέρωση των υποκειμένων των δεδομένων σχετικά με την ταυτότητα του υπευθύνου επεξεργασίας και τους σκοπούς της επεξεργασίας και την περαιτέρω ενημέρωση ώστε να διασφαλιστεί δίκαιη και διαφανής επεξεργασία σε σχέση με τα εν λόγω φυσικά πρόσωπα και το δικαίωμά τους να λαμβάνουν επιβεβαίωση και να επιτυγχάνουν ανακοίνωση των σχετικών με αυτά δεδομένων προσωπικού χαρακτήρα που υπόκεινται σε επεξεργασία. […]
[…]
(51) Δεδομένα προσωπικού χαρακτήρα τα οποία είναι εκ φύσεως ιδιαίτερα ευαίσθητα σε σχέση με θεμελιώδη δικαιώματα και ελευθερίες χρήζουν ειδικής προστασίας, καθότι το πλαίσιο της επεξεργασίας τους θα μπορούσε να δημιουργήσει σημαντικούς κινδύνους για τα θεμελιώδη δικαιώματα και τις ελευθερίες. […] Τέτοια δεδομένα προσωπικού χαρακτήρα δεν θα πρέπει να υποβάλλονται σε επεξεργασία, εκτός εάν η επεξεργασία επιτρέπεται σε ειδικές περιπτώσεις που προβλέπονται στον παρόντα κανονισμό […] Εκτός από τις ειδικές απαιτήσεις στις οποίες υπάγεται η εν λόγω επεξεργασία, θα πρέπει να εφαρμόζονται οι γενικές αρχές και οι λοιποί κανόνες του παρόντος κανονισμού, ιδίως σε ό,τι αφορά τους όρους νόμιμης επεξεργασίας. Παρεκκλίσεις από τη γενική απαγόρευση επεξεργασίας δεδομένων προσωπικού χαρακτήρα που υπάγονται στις εν λόγω ειδικές κατηγορίες θα πρέπει να προβλέπονται ρητώς, μεταξύ άλλων, σε περίπτωση ρητής συγκατάθεσης του υποκειμένου των δεδομένων ή όταν πρόκειται για ειδικές ανάγκες, ιδίως όταν η επεξεργασία διενεργείται στο πλαίσιο θεμιτών δραστηριοτήτων ορισμένων ενώσεων ή ιδρυμάτων, σκοπός των οποίων είναι να επιτρέπουν την άσκηση των θεμελιωδών ελευθεριών.
[…]
(74) Θα πρέπει να θεσπιστεί ευθύνη και υποχρέωση αποζημίωσης του υπευθύνου επεξεργασίας για οποιαδήποτε επεξεργασία δεδομένων προσωπικού χαρακτήρα που γίνεται από τον υπεύθυνο επεξεργασίας ή για λογαριασμό του υπευθύνου επεξεργασίας. Ειδικότερα, ο υπεύθυνος επεξεργασίας θα πρέπει να υποχρεούται να υλοποιεί κατάλληλα και αποτελεσματικά μέτρα και να είναι σε θέση να αποδεικνύει τη συμμόρφωση των δραστηριοτήτων επεξεργασίας με τον παρόντα κανονισμό, συμπεριλαμβανομένης της αποτελεσματικότητας των μέτρων. Τα εν λόγω μέτρα θα πρέπει να λαμβάνουν υπόψη τη φύση, το πλαίσιο, το πεδίο εφαρμογής και τους σκοπούς της επεξεργασίας και τον κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων.
(75) Οι κίνδυνοι για τα δικαιώματα και τις ελευθερίες φυσικών προσώπων, ποικίλης πιθανότητας και σοβαρότητας, είναι δυνατόν να προκύπτουν από την επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία θα μπορούσε να οδηγήσει σε σωματική, υλική ή μη υλική βλάβη, ιδίως όταν η επεξεργασία μπορεί να οδηγήσει σε […] κατάχρηση ή υποκλοπή ταυτότητας, […] βλάβη φήμης, […] όταν τα υποκείμενα των δεδομένων θα μπορούσαν να στερηθούν των δικαιωμάτων και ελευθεριών τους ή να εμποδίζονται από την άσκηση ελέγχου επί των δεδομένων τους προσωπικού χαρακτήρα· […]
[…]
(78) Η προστασία των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα απαιτεί τη λήψη κατάλληλων τεχνικών και οργανωτικών μέτρων ώστε να διασφαλίζεται ότι τηρούνται οι απαιτήσεις του παρόντος κανονισμού. Προκειμένου να μπορεί να αποδείξει συμμόρφωση προς τον παρόντα κανονισμό, ο υπεύθυνος επεξεργασίας θα πρέπει να θεσπίζει εσωτερικές πολιτικές και να εφαρμόζει μέτρα τα οποία ανταποκρίνονται ειδικότερα στις αρχές της προστασίας των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού. […]
[…]
(85) Η παραβίαση δεδομένων προσωπικού χαρακτήρα μπορεί, εάν δεν αντιμετωπιστεί κατάλληλα και έγκαιρα, να έχει ως αποτέλεσμα σωματική, υλική ή μη υλική βλάβη για φυσικά πρόσωπα, όπως απώλεια του ελέγχου επί των δεδομένων τους προσωπικού χαρακτήρα ή ο περιορισμός των δικαιωμάτων τους, διακρίσεις, κατάχρηση ή υποκλοπή ταυτότητας, […] βλάβη της φήμης […]».
9 Το άρθρο 1 του ΓΚΠΔ, το οποίο φέρει τον τίτλο «Αντικείμενο και στόχοι», ορίζει στην παράγραφο 2 τα εξής:
«Ο παρών κανονισμός προστατεύει θεμελιώδη δικαιώματα και ελευθερίες των φυσικών προσώπων και ειδικότερα το δικαίωμά τους στην προστασία των δεδομένων προσωπικού χαρακτήρα.»
10 Το άρθρο 2 του ΓΚΠΔ, το οποίο φέρει τον τίτλο «Ουσιαστικό πεδίο εφαρμογής», προβλέπει στην παράγραφο 4 τα ακόλουθα:
«Ο παρών κανονισμός δεν θίγει την εφαρμογή της οδηγίας [2000/31], ιδίως των κανόνων για την ευθύνη των μεσαζόντων παροχής υπηρεσιών που προβλέπονται στα άρθρα 12 έως 15 της εν λόγω οδηγίας.»
11 Το άρθρο 4 του ΓΚΠΔ, το οποίο φέρει τον τίτλο «Ορισμοί», έχει ως εξής:
«Για τους σκοπούς του παρόντος κανονισμού νοούνται ως:
1) “δεδομένα προσωπικού χαρακτήρα”: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου,
2) “επεξεργασία”: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή,
[…]
7) “υπεύθυνος επεξεργασίας”: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους,
[…]
11) “συγκατάθεση” του υποκειμένου των δεδομένων: κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, εν πλήρει επιγνώσει και αδιαμφισβήτητη, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν,
[…]».
12 Το κεφάλαιο II του ΓΚΠΔ, το οποίο φέρει τον τίτλο «Αρχές», περιλαμβάνει μεταξύ άλλων τα άρθρα 5 έως 9.
13 Το άρθρο 5 του ΓΚΠΔ, το οποίο φέρει τον τίτλο «Αρχές που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα», προβλέπει τα ακόλουθα:
«1. Τα δεδομένα προσωπικού χαρακτήρα:
α) υποβάλλονται σε σύννομη και θεμιτή επεξεργασία με διαφανή τρόπο σε σχέση με το υποκείμενο των δεδομένων (“νομιμότητα, αντικειμενικότητα και διαφάνεια”),
β) συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς […] (“περιορισμός του σκοπού”),
[…]
δ) είναι ακριβή και, όταν είναι αναγκαίο, επικαιροποιούνται· πρέπει να λαμβάνονται όλα τα εύλογα μέτρα για την άμεση διαγραφή ή διόρθωση δεδομένων προσωπικού χαρακτήρα τα οποία είναι ανακριβή, σε σχέση με τους σκοπούς της επεξεργασίας (“ακρίβεια”),
[…]
στ) υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ενδεδειγμένη ασφάλεια των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά, με τη χρησιμοποίηση κατάλληλων τεχνικών ή οργανωτικών μέτρων (“ακεραιότητα και εμπιστευτικότητα”).
2. Ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με την παράγραφο 1 (“λογοδοσία”).»
14 Το άρθρο 6 του ΓΚΠΔ, το οποίο φέρει τον τίτλο «Νομιμότητα της επεξεργασίας», ορίζει στην παράγραφο 1, πρώτο εδάφιο, τα εξής:
«Η επεξεργασία είναι σύννομη μόνο εάν και εφόσον ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις:
α) το υποκείμενο των δεδομένων έχει παράσχει συγκατάθεση για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα του για έναν ή περισσότερους συγκεκριμένους σκοπούς,
β) η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης της οποίας το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατ’ αίτηση του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης,
γ) η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας,
δ) η επεξεργασία είναι απαραίτητη για τη διαφύλαξη ζωτικού συμφέροντος του υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου,
ε) η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας,
στ) η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα, ιδίως εάν το υποκείμενο των δεδομένων είναι παιδί.»
15 Το άρθρο 7 του ΓΚΠΔ, το οποίο φέρει τον τίτλο «Προϋποθέσεις για συγκατάθεση», προβλέπει στην παράγραφο 1 τα ακόλουθα:
«Όταν η επεξεργασία βασίζεται σε συγκατάθεση, ο υπεύθυνος επεξεργασίας είναι σε θέση να αποδείξει ότι το υποκείμενο των δεδομένων συγκατατέθηκε για την επεξεργασία των δεδομένων του προσωπικού χαρακτήρα.»
16 Το άρθρο 9 του ΓΚΠΔ, το οποίο φέρει τον τίτλο «Επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα», έχει ως εξής:
«1. Απαγορεύεται η επεξεργασία δεδομένων προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, καθώς και η επεξεργασία γενετικών δεδομένων, βιομετρικών δεδομένων με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου, δεδομένων που αφορούν την υγεία ή δεδομένων που αφορούν τη σεξουαλική ζωή φυσικού προσώπου ή τον γενετήσιο προσανατολισμό.
2. Η παράγραφος 1 δεν εφαρμόζεται στις ακόλουθες περιπτώσεις:
α) το υποκείμενο των δεδομένων έχει παράσχει ρητή συγκατάθεση για την επεξεργασία αυτών των δεδομένων προσωπικού χαρακτήρα για έναν ή περισσότερους συγκεκριμένους σκοπούς, εκτός εάν το δίκαιο της Ένωσης ή κράτους μέλους προβλέπει ότι η απαγόρευση που αναφέρεται στην παράγραφο 1 δεν μπορεί να αρθεί από το υποκείμενο των δεδομένων,
[…]».
17 Το άρθρο 13 του ΓΚΠΔ, το οποίο φέρει τον τίτλο «Πληροφορίες που παρέχονται εάν τα δεδομένα προσωπικού χαρακτήρα συλλέγονται από το υποκείμενο των δεδομένων», προβλέπει στην παράγραφο 1, στοιχείο αʹ, τα ακόλουθα:
«Όταν δεδομένα προσωπικού χαρακτήρα που αφορούν υποκείμενο των δεδομένων συλλέγονται από το υποκείμενο των δεδομένων, ο υπεύθυνος επεξεργασίας, κατά τη λήψη των δεδομένων προσωπικού χαρακτήρα, παρέχει στο υποκείμενο των δεδομένων όλες τις ακόλουθες πληροφορίες:
α) την ταυτότητα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας και, κατά περίπτωση, του εκπροσώπου του υπευθύνου επεξεργασίας».
18 Το άρθρο 14 του ΓΚΠΔ, το οποίο φέρει τον τίτλο «Πληροφορίες που παρέχονται εάν τα δεδομένα προσωπικού χαρακτήρα δεν έχουν συλλεγεί από το υποκείμενο των δεδομένων», ορίζει στην παράγραφο 1, στοιχείο αʹ, τα εξής:
«Όταν τα δεδομένα προσωπικού χαρακτήρα δεν έχουν συλλεγεί από το υποκείμενο των δεδομένων, ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων τις ακόλουθες πληροφορίες:
α) την ταυτότητα και τα στοιχεία επικοινωνίας του υπευθύνου επεξεργασίας και, κατά περίπτωση, του εκπροσώπου του υπευθύνου επεξεργασίας».
19 Στο κεφάλαιο III του ΓΚΠΔ, το οποίο φέρει τον τίτλο «Δικαιώματα του υποκειμένου των δεδομένων», το άρθρο 17 με τίτλο «Δικαίωμα διαγραφής (“δικαίωμα στη λήθη”)», προβλέπει στις παραγράφους 1 και 2 τα ακόλουθα:
«1. Το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει από τον υπεύθυνο επεξεργασίας τη διαγραφή δεδομένων προσωπικού χαρακτήρα που το αφορούν χωρίς αδικαιολόγητη καθυστέρηση και ο υπεύθυνος επεξεργασίας υποχρεούται να διαγράψει δεδομένα προσωπικού χαρακτήρα χωρίς αδικαιολόγητη καθυστέρηση, εάν ισχύει ένας από τους ακόλουθους λόγους:
[…]
δ) τα δεδομένα προσωπικού χαρακτήρα υποβλήθηκαν σε επεξεργασία παράνομα,
[…]
2. Όταν ο υπεύθυνος επεξεργασίας έχει δημοσιοποιήσει τα δεδομένα προσωπικού χαρακτήρα και υποχρεούται σύμφωνα με την παράγραφο 1 να διαγράψει τα δεδομένα προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας, λαμβάνοντας υπόψη τη διαθέσιμη τεχνολογία και το κόστος εφαρμογής, λαμβάνει εύλογα μέτρα, συμπεριλαμβανομένων των τεχνικών μέτρων, για να ενημερώσει τους υπευθύνους επεξεργασίας που επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα, ότι το υποκείμενο των δεδομένων ζήτησε τη διαγραφή από αυτούς τους υπευθύνους επεξεργασίας τυχόν συνδέσμων με τα δεδομένα αυτά ή αντιγράφων ή αναπαραγωγών των εν λόγω δεδομένων προσωπικού χαρακτήρα.»
20 Το κεφάλαιο IV του ΓΚΠΔ, το οποίο φέρει τον τίτλο «Υπεύθυνος επεξεργασίας και εκτελών την επεξεργασία», περιλαμβάνει, στο τμήμα 1 με τίτλο «Γενικές υποχρεώσεις», τα άρθρα 24 έως 26.
21 Το άρθρο 24 του ΓΚΠΔ, το οποίο φέρει τον τίτλο «Ευθύνη του υπευθύνου επεξεργασίας», ορίζει στην παράγραφο 1 τα εξής:
«Λαμβάνοντας υπόψη τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον παρόντα κανονισμό. Τα εν λόγω μέτρα επανεξετάζονται και επικαιροποιούνται όταν κρίνεται απαραίτητο.»
22 Το άρθρο 25 του ΓΚΠΔ, το οποίο φέρει τον τίτλο «Προστασία των δεδομένων ήδη από τον σχεδιασμό και προστασία των δεδομένων εξ ορισμού», προβλέπει στις παραγράφους 1 και 2 τα ακόλουθα:
«1. Λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων από την επεξεργασία, ο υπεύθυνος επεξεργασίας εφαρμόζει αποτελεσματικά, τόσο κατά τη στιγμή του καθορισμού των μέσων επεξεργασίας όσο και κατά τη στιγμή της επεξεργασίας, κατάλληλα τεχνικά και οργανωτικά μέτρα, όπως η ψευδωνυμοποίηση, σχεδιασμένα για την εφαρμογή αρχών προστασίας των δεδομένων, όπως η ελαχιστοποίηση των δεδομένων, και την ενσωμάτωση των απαραίτητων εγγυήσεων στην επεξεργασία κατά τρόπο ώστε να πληρούνται οι απαιτήσεις του παρόντος κανονισμού και να προστατεύονται τα δικαιώματα των υποκειμένων των δεδομένων.
2. Ο υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα για να διασφαλίζει ότι, εξ ορισμού, υφίστανται επεξεργασία μόνο τα δεδομένα προσωπικού χαρακτήρα που είναι απαραίτητα για τον εκάστοτε σκοπό της επεξεργασίας. Αυτή η υποχρέωση ισχύει για το εύρος των δεδομένων προσωπικού χαρακτήρα που συλλέγονται, τον βαθμό της επεξεργασίας τους, την περίοδο αποθήκευσης και την προσβασιμότητά τους. Ειδικότερα, τα εν λόγω μέτρα διασφαλίζουν ότι, εξ ορισμού, τα δεδομένα προσωπικού χαρακτήρα δεν καθίστανται προσβάσιμα χωρίς την παρέμβαση του φυσικού προσώπου σε αόριστο αριθμό φυσικών προσώπων.»
23 Το άρθρο 26 του ΓΚΠΔ, το οποίο φέρει τον τίτλο «Από κοινού υπεύθυνοι επεξεργασίας», ορίζει στην παράγραφο 1 τα εξής:
«Σε περίπτωση που δύο ή περισσότεροι υπεύθυνοι επεξεργασίας καθορίζουν από κοινού τους σκοπούς και τα μέσα της επεξεργασίας, αποτελούν από κοινού υπευθύνους επεξεργασίας. Αυτοί καθορίζουν με διαφανή τρόπο τις αντίστοιχες ευθύνες τους για συμμόρφωση προς τις υποχρεώσεις που απορρέουν από τον παρόντα κανονισμό, ιδίως όσον αφορά την άσκηση των δικαιωμάτων του υποκειμένου των δεδομένων και τα αντίστοιχα καθήκοντά τους για να παρέχουν τις πληροφορίες που αναφέρονται στα άρθρα 13 και 14, μέσω συμφωνίας μεταξύ τους, εκτός εάν και στον βαθμό που οι αντίστοιχες αρμοδιότητες των υπευθύνων επεξεργασίας καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο του κράτους μέλους στο οποίο υπόκεινται οι υπεύθυνοι επεξεργασίας. Στη συμφωνία μπορεί να αναφέρεται ένα σημείο επικοινωνίας για τα υποκείμενα των δεδομένων.»
24 Κατά το άρθρο 32 του ΓΚΠΔ, το οποίο φέρει τον τίτλο «Ασφάλεια επεξεργασίας»:
«1. Λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων, περιλαμβανομένων, μεταξύ άλλων, κατά περίπτωση:
α) της ψευδωνυμοποίησης και της κρυπτογράφησης δεδομένων προσωπικού χαρακτήρα,
β) της δυνατότητας διασφάλισης της εμπιστευτικότητας, της ακεραιότητας, της διαθεσιμότητας και της αξιοπιστίας των συστημάτων και των υπηρεσιών επεξεργασίας σε συνεχή βάση,
γ) της δυνατότητας αποκατάστασης της διαθεσιμότητας και της πρόσβασης σε δεδομένα προσωπικού χαρακτήρα σε εύθετο χρόνο σε περίπτωση φυσικού ή τεχνικού συμβάντος,
δ) διαδικασίας για την τακτική δοκιμή, εκτίμηση και αξιολόγηση της αποτελεσματικότητας των τεχνικών και των οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας της επεξεργασίας.
2. Κατά την εκτίμηση του ενδεδειγμένου επιπέδου ασφάλειας λαμβάνονται ιδίως υπόψη οι κίνδυνοι που απορρέουν από την επεξεργασία, ιδίως από τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, άνευ αδείας κοινολόγηση ή προσπέλαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία.
3. Η τήρηση εγκεκριμένου κώδικα δεοντολογίας όπως αναφέρεται στο άρθρο 40 ή εγκεκριμένου μηχανισμού πιστοποίησης όπως αναφέρεται στο άρθρο 42 δύναται να χρησιμοποιηθεί ως στοιχείο για την απόδειξη της συμμόρφωσης με τις απαιτήσεις της παραγράφου 1 του παρόντος άρθρου.
4. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία λαμβάνουν μέτρα ώστε να διασφαλίζεται ότι κάθε φυσικό πρόσωπο που ενεργεί υπό την εποπτεία του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία το οποίο έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα τα επεξεργάζεται μόνο κατ’ εντολή του υπευθύνου επεξεργασίας, εκτός εάν υποχρεούται προς τούτο από το δίκαιο της Ένωσης ή του κράτους μέλους.»
25 Το άρθρο 82 του ΓΚΠΔ, το οποίο φέρει τον τίτλο «Δικαίωμα αποζημίωσης και ευθύνη», προβλέπει στις παραγράφους 1 έως 3 τα ακόλουθα:
«1. Κάθε πρόσωπο το οποίο υπέστη υλική ή μη υλική ζημία ως αποτέλεσμα παραβίασης του παρόντος κανονισμού δικαιούται αποζημίωση από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για τη ζημία που υπέστη.
2. Κάθε υπεύθυνος επεξεργασίας που συμμετέχει στην επεξεργασία είναι υπεύθυνος για τη ζημία που προκάλεσε η εκ μέρους του επεξεργασία που παραβαίνει τον παρόντα κανονισμό. Ο εκτελών την επεξεργασία ευθύνεται για τη ζημία που προκάλεσε η επεξεργασία μόνο εφόσον δεν ανταποκρίθηκε στις υποχρεώσεις του παρόντος κανονισμού που αφορούν ειδικότερα τους εκτελούντες την επεξεργασία ή υπερέβη ή ενήργησε αντίθετα προς τις νόμιμες εντολές του υπευθύνου επεξεργασίας.
3. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία απαλλάσσεται από την ευθύνη που έχουν δυνάμει της παραγράφου 2, εάν αποδεικνύει ότι δεν φέρει καμία ευθύνη για το γενεσιουργό γεγονός της ζημίας.»
26 Κατά το άρθρο 94 του ΓΚΠΔ:
«1. Η οδηγία [95/46] καταργείται από τις 25 Μαΐου 2018.
2. Οι παραπομπές στην καταργούμενη οδηγία θεωρούνται παραπομπές στον παρόντα κανονισμό. […]»
Το ρουμανικό δίκαιο
27 Το άρθρο 11 του Legea nr. 365/2002 privind comerțul electronic (νόμου 365/2002 περί ηλεκτρονικού εμπορίου), της 7ης Ιουνίου 2002 (Monitorul Oficial al României, μέρος I, αριθ. 483 της 5ης Ιουλίου 2002), όπως τροποποιήθηκε με τον Legea nr. 121/2006 pentru modificarea și completarea Legii nr. 365/2002 privind comerțul electronic (νόμο 121/2006 περί τροποποίησης και συμπλήρωσης του νόμου 365/2002 περί ηλεκτρονικού εμπορίου), της 4ης Μαΐου 2006 (στο εξής: νόμος 365/2002), ορίζει τα ακόλουθα:
«1. Οι πάροχοι υπηρεσιών υπόκεινται στις νομικές διατάξεις περί αστικής, ποινικής και διοικητικής ευθύνης, εκτός αν ορίζεται διαφορετικά στον παρόντα νόμο.
2. Οι πάροχοι υπηρεσιών ευθύνονται για τις πληροφορίες που παρέχονται από τους ίδιους ή για λογαριασμό τους.
3. Οι πάροχοι υπηρεσιών δεν ευθύνονται για τις πληροφορίες που μεταδίδουν, αποθηκεύουν ή καθιστούν προσβάσιμες υπό τις προϋποθέσεις που προβλέπονται στα άρθρα 12 έως 15.»
28 Το άρθρο 14 του νόμου 365/2002, το οποίο φέρει τον τίτλο «Μόνιμη αποθήκευση των πληροφοριών, φιλοξενία», προβλέπει τα εξής:
«1. Όταν υπηρεσία της κοινωνίας της πληροφορίας συνίσταται στην αποθήκευση των πληροφοριών που παρέχει αποδέκτης της εν λόγω υπηρεσίας, ο πάροχος της υπηρεσίας δεν ευθύνεται για τις πληροφορίες που αποθηκεύονται μετά από αίτηση αποδέκτη, εφόσον πληρούται οποιαδήποτε από τις ακόλουθες προϋποθέσεις:
a) ο πάροχος υπηρεσιών δεν γνωρίζει ότι η αποθηκευμένη δραστηριότητα ή πληροφορία είναι παράνομη και, όσον αφορά αξιώσεις αποζημίωσης, δεν γνωρίζει γεγονότα ή περιστάσεις από τα οποία προκύπτει ότι η επίμαχη δραστηριότητα ή πληροφορία μπορεί να προσβάλλει τα δικαιώματα τρίτου·
b) εάν γνωρίζει ότι η επίμαχη δραστηριότητα ή πληροφορία είναι παράνομη ή γεγονότα ή περιστάσεις από τα οποία προκύπτει ότι η επίμαχη δραστηριότητα ή πληροφορία μπορεί να προσβάλλει τα δικαιώματα τρίτου, ο πάροχος υπηρεσιών ενεργεί ταχέως για να τη διαγράψει ή να αποκλείσει την πρόσβαση σε αυτήν.
2. Η παράγραφος 1 δεν εφαρμόζεται όταν ο αποδέκτης της υπηρεσίας ενεργεί υπό την εξουσία ή τον έλεγχο του φορέα παροχής της υπηρεσίας.
3. Οι διατάξεις του παρόντος άρθρου δεν θίγουν τη δυνατότητα δικαστικής ή διοικητικής αρχής να απαιτήσει από τον πάροχο υπηρεσιών να παύσει την παραβίαση των δεδομένων ή να αποτρέψει την παραβίαση αυτή, ούτε τη δυνατότητα θέσπισης κρατικών διαδικασιών που αποσκοπούν στον περιορισμό ή στη διακοπή της πρόσβασης στις πληροφορίες.»
29 Οι Normele metodologice pentru aplicarea Legii nr. 365/2002 privind comerţul electronic (κανόνες εφαρμογής του νόμου 365/2002 περί ηλεκτρονικού εμπορίου), που εγκρίθηκαν με την Hotărârea Guvernului nr. 1.308 privind aprobarea Normelor metodologice pentru aplicarea Legii nr. 365/2002 privind comerţul electronic (κυβερνητική απόφαση 1.308 για την έγκριση των κανόνων εφαρμογής του νόμου 365/2002 περί ηλεκτρονικού εμπορίου), της 20ής Νοεμβρίου 2002 (Monitorul Oficial al României, μέρος I, αριθ. 877 της 5ης Δεκεμβρίου 2002), ορίζουν στο άρθρο 11, παράγραφος 1:
«Οι πάροχοι υπηρεσιών της κοινωνίας της πληροφορίας οι οποίοι παρέχουν τις υπηρεσίες που προβλέπονται στα άρθρα 12 έως 15 του [νόμου 365/2002] δεν υποχρεούνται να ελέγχουν τις πληροφορίες που διαβιβάζουν ή αποθηκεύουν ούτε υποχρεούνται να αναζητούν ενεργώς δεδομένα σχετικά με δραστηριότητες ή πληροφορίες που φαίνονται μη σύννομες στον τομέα των υπηρεσιών της κοινωνίας της πληροφορίας τις οποίες αυτοί παρέχουν.»
Η διαφορά της κύριας δίκης και τα προδικαστικά ερωτήματα
30 Η Russmedia Digital, εταιρία ρουμανικού δικαίου, είναι ιδιοκτήτρια του ιστοτόπου www.publi24.ro, διαδικτυακής αγοράς όπου δημοσιεύονται, δωρεάν ή έναντι αμοιβής, διαφημιστικές αγγελίες, μεταξύ άλλων, για την πώληση αγαθών ή την παροχή υπηρεσιών στη Ρουμανία.
31 Η αναιρείουσα της κύριας δίκης υποστηρίζει ότι την 1η Αυγούστου 2018 τρίτο πρόσωπο, το οποίο δεν έχει ταυτοποιηθεί, δημοσίευσε στον ιστότοπο αυτό ψευδή και βλαπτική για την ίδια διαφημιστική αγγελία, παρουσιάζοντάς την ως πρόσωπο που παρέχει σεξουαλικές υπηρεσίες. Η αγγελία περιλάμβανε, μεταξύ άλλων, φωτογραφίες της αναιρεσείουσας της κύριας δίκης, οι οποίες είχαν χρησιμοποιηθεί χωρίς συγκατάθεση της, καθώς και τον αριθμό του τηλεφώνου της. Εν συνεχεία, η αγγελία επαναδημοσιεύτηκε αυτολεξεί σε άλλους ιστοτόπους με διαφημιστικό περιεχόμενο, κάνοντας αναφορά στην αρχική πηγή. Κατόπιν επικοινωνίας της αναιρεσείουσας της κύριας δίκης με τη Russmedia Digital, η τελευταία αφαίρεσε την αγγελία από τον ιστότοπό της εντός χρονικού διαστήματος συντομότερου της μίας ώρας από την παραλαβή του αιτήματος. Πλην όμως, η αγγελία παρέμενε διαθέσιμη στους άλλους ιστοτόπους όπου είχε επαναδημοσιευτεί πανομοιότυπη.
32 Εκτιμώντας ότι η επίμαχη στην κύρια δίκη αγγελία συνιστούσε προσβολή των δικαιωμάτων της στην εικόνα, την τιμή, την υπόληψη και την ιδιωτική ζωή, καθώς και παράβαση των κανόνων σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα, η αναιρεσείουσα της κύριας δίκης άσκησε αγωγή κατά της Russmedia ενώπιον του Judecătoria Cluj-Napoca (πρωτοδικείου Cluj-Napoca, Ρουμανία). Το δικαστήριο αυτό υποχρέωσε τη Russmedia να καταβάλει στην αναιρεσείουσα το ποσό των 7 000 ευρώ ως χρηματική ικανοποίηση για την ηθική βλάβη την οποία υπέστη η αναιρεσείουσα λόγω της προσβολής του δικαιώματός της στην εικόνα, την τιμή, την υπόληψη και την ιδιωτική ζωή, καθώς και λόγω της παράνομης επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που την αφορούσαν.
33 Η Russmedia άσκησε έφεση κατά της αποφάσεως αυτής. Το Tribunalul Specializat Cluj (ειδικό δικαστήριο Cluj, Ρουμανία) έκανε δεκτή την έφεση κρίνοντας την αγωγή της αναιρεσείουσας ως αβάσιμη, καθόσον η επίμαχη στην κύρια δίκη αγγελία δεν είχε προέλθει από τη Russmedia, η οποία παρείχε απλώς υπηρεσία φιλοξενίας της αγγελίας χωρίς να εμπλέκεται ενεργά ως προς το περιεχόμενό της. Επομένως, ενέπιπτε στην περίπτωση της προβλεπόμενης στο άρθρο 14, παράγραφος 1, στοιχείο βʹ, του νόμου 365/2002 απαλλαγής από την ευθύνη. Σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα, το εν λόγω δικαστήριο έκρινε ότι ο πάροχος υπηρεσιών της κοινωνίας της πληροφορίας δεν υποχρεούται να ελέγχει τις πληροφορίες που διαβιβάζει ούτε να αναζητεί ενεργώς δεδομένα σχετικά με δραστηριότητες ή πληροφορίες που φαίνονται μη σύννομες. Συναφώς, έκρινε ότι δεν μπορούσε να προσαφθεί στη Russmedia ότι δεν έλαβε μέτρα ώστε να εμποδίσει τη διαδικτυακή προβολή της επίμαχης στην κύρια δίκη δυσφημιστικής αγγελίας, δεδομένου ότι αφαίρεσε ταχέως την αγγελία αυτή μετά το αίτημα αναιρεσείουσας της κύριας δίκης.
34 Η τελευταία άσκησε αναίρεση κατά της ως άνω αποφάσεως ενώπιον του Curtea de Apel Cluj (εφετείου Cluj, Ρουμανία), υποστηρίζοντας ότι το Tribunalul Specializat Cluj (ειδικό δικαστήριο Cluj) στηρίχθηκε σε εσφαλμένη ερμηνεία του νόμου 365/2002. Η αναιρεσείουσα της κύριας δίκης ισχυρίζεται, μεταξύ άλλων, ότι, δεδομένου ότι ο εν λόγω νόμος δεν αποτελεί ειδικό νόμο σε σχέση με τον ΓΚΠΔ, το δικαστήριο αυτό όφειλε να εξετάσει αν ο συγκεκριμένος κανονισμός μπορεί να εφαρμοστεί εν προκειμένω. Επιπλέον, κατά την αναιρεσείουσα της κύριας δίκης, ο ρόλος της Russmedia δεν περιοριζόταν στην παροχή στους πελάτες συγκεκριμένης τεχνολογικής υποδομής για την πρόσβαση στον διακομιστή φιλοξενίας. Σύμφωνα με την ίδια, η εταιρία είχε επίσης ρόλο διαχειριστή, καθόσον παρενέβαινε σε επίπεδο περιεχομένου των αγγελιών προς τον σκοπό της ορθής διαχείρισης των πληροφοριών. Η εταιρία αυτή, ως φορέας εκμετάλλευσης του επίμαχου στην κύρια δίκη ιστοτόπου, αποθήκευε και επεξεργαζόταν το περιεχόμενο των πληροφοριών. Η αποθήκευση των δεδομένων και η δημοσιοποίησή τους υπό ορισμένη μορφή προϋποθέτουν ανάλυση των δεδομένων και των πληροφοριών που περιλαμβάνονται στις αγγελίες. Τα στοιχεία αυτά καταδεικνύουν την άμεση εμπλοκή της Russmedia στη διαχείριση και την προβολή του περιεχομένου των αγγελιών. Συνεπώς, οι διατάξεις του άρθρου 14 του νόμου 365/2002 δεν έχουν εφαρμογή.
35 Επιπλέον, η αναιρεσείουσα της κύριας δίκης υποστηρίζει ότι η απαλλαγή ενός τέτοιου παρόχου από την ευθύνη δεν τυγχάνει εφαρμογής όταν η ευθύνη θεμελιώνεται σε άλλες ρυθμίσεις, όπως ο ΓΚΠΔ. Η Russmedia δημοσίευσε τα δεδομένα προσωπικού χαρακτήρα τα οποία αφορούσαν την αναιρεσείουσα της κύριας δίκης χωρίς να έχει λάβει συγκατάθεσή της, παρέχει δε, μέσω της λειτουργίας του ιστοτόπου της, τη δυνατότητα σε οποιονδήποτε να αναρτά οποιαδήποτε αγγελία, περιλαμβανομένων αγγελιών που δεν εγγυώνται την ασφάλεια των δεδομένων προσωπικού χαρακτήρα, και καθιστά αδύνατη την οριστική διαγραφή των δεδομένων που έχουν δημοσιευθεί στο διαδίκτυο.
36 Η Russmedia υποστηρίζει, από πλευράς της, ότι η λύση στην οποία κατέληξε το Tribunalul Specializat Cluj (ειδικό δικαστήριο Cluj) είναι η ορθή. Η αναιρεσείουσα της κύριας δίκης δεν απέδειξε τον ισχυρισμό της ότι ο ΓΚΠΔ συνιστά ειδικό κανόνα που αποκλείει την εφαρμογή των σχετικών διατάξεων του νόμου 365/2002.
37 Το Curtea de Apel Cluj (εφετείο Cluj) που είναι το αιτούν δικαστήριο, αποφαινόμενο επί της υπόθεσης ως αναιρετικό δικαστήριο το οποίο πρόκειται να εκδώσει απόφαση μη υποκείμενη σε ένδικα μέσα, κρίνει αναγκαίο να προσδιοριστούν, μεταξύ άλλων, τα όρια της απαλλαγής από την ευθύνη ενός παρόχου υπηρεσιών της κοινωνίας της πληροφορίας, όπως η Russmedia, βάσει της οδηγίας 2000/31.
38 Παραπέμποντας στη σχετική νομολογία του Δικαστηρίου, το αιτούν δικαστήριο διαπιστώνει ότι, μολονότι, σύμφωνα με τη νομολογία αυτή, οι φορείς εκμετάλλευσης διαδικτυακών αγορών δεν υποχρεούνται να προβαίνουν σε προηγούμενο έλεγχο των πληροφοριών ή των αγγελιών τις οποίες αναρτούν οι χρήστες των οικείων ιστοτόπων, γεγονός παραμένει εντούτοις ότι η απαλλαγή των εν λόγω φορέων εκμετάλλευσης από τη ευθύνη υπόκειται σε προϋποθέσεις. Συγκεκριμένα, σύμφωνα με την απόφαση της 12ης Ιουλίου 2011, L’Oréal κ.λπ. (C-324/09, EU:C:2011:474), ο φορέας παροχής διαδικτυακών υπηρεσιών δεν μπορεί να επικαλεστεί την προβλεπόμενη στο άρθρο 14, παράγραφος 1, της οδηγίας 2000/31 απαλλαγή από την ευθύνη αν είχε λάβει γνώση γεγονότων ή περιστάσεων βάσει των οποίων ένας συνετός επιχειρηματίας θα όφειλε να διαπιστώσει τον παράνομο χαρακτήρα των οικείων προσφορών προς πώληση και, εφόσον είχε γνώση, αν δεν ενήργησε ταχέως σύμφωνα με το άρθρο 14, παράγραφος 1, στοιχείο βʹ, της ίδιας οδηγίας. Ομοίως, από την απόφαση της 11ης Σεπτεμβρίου 2014, Παπασάββας (C-291/13, EU:C:2014:2209), προκύπτει ότι οι περιορισμοί της αστικής ευθύνης που προβλέπονται στα άρθρα 12 έως 14 της οδηγίας 2000/31 δεν αφορούν την περίπτωση εταιρίας που διαθέτει ιστότοπο στον οποίο αναρτά την ηλεκτρονική έκδοση έντυπης εφημερίδας, εφόσον η εταιρία αυτή, η οποία αμείβεται από τις εμπορικές διαφημίσεις που δημοσιεύει στον εν λόγω ιστότοπο, έχει γνώση των πληροφοριών που δημοσιεύει και ασκεί έλεγχο επ’ αυτών.
39 Πλην όμως, κατά το αιτούν δικαστήριο, η συγκεκριμένη νομολογία του Δικαστηρίου αφορά αποκλειστικώς προσφορές προς πώληση στο διαδίκτυο των οποίων ο παράνομος χαρακτήρας προκύπτει κατόπιν ανάλυσης γεγονότων και περιστάσεων τα οποία γνωστοποιούνται ρητώς στον υπεύθυνο επεξεργασίας μετά τη δημοσίευση της οικείας αγγελίας. Εξ αυτού συνάγει ότι το Δικαστήριο δεν έχει εξετάσει μια κατάσταση, όπως η υπό κρίση στην κύρια δίκη, όπου το περιεχόμενο της δημοσιευθείσας αγγελίας είναι προδήλως παράνομο και ιδιαιτέρως βλαπτικό για το θιγόμενο πρόσωπο.
40 Συναφώς, το αιτούν δικαστήριο διερωτάται αν επιβάλλεται να έχει λάβει ενημέρωση μια πλατφόρμα ώστε να υποχρεωθεί να διαγράψει περιεχόμενο προδήλως παράνομο και ιδιαιτέρως βλαπτικό. Εν προκειμένω, η επίμαχη στην κύρια δίκη αγγελία δημοσιεύθηκε χωρίς να έχει εξακριβωθεί η ταυτότητα του χρήστη που πραγματοποίησε την ανάρτηση και, προδήλως, χωρίς να έχει ληφθεί η συγκατάθεση της αναιρεσείουσας της κύριας δίκης.
41 Κατά τα λοιπά, μολονότι η επίμαχη στην κύρια δίκη αγγελία διαγράφηκε από τον αρχικό ιστότοπο κατόπιν της ειδοποίησης από την αναιρεσείουσα της κύριας δίκης, εντούτοις το περιεχόμενο της αγγελίας αυτής, περιλαμβανομένων των στοιχείων επικοινωνίας και των φωτογραφιών της, αναπαρήχθη αυτούσιο σε διάφορους άλλους ιστοτόπους με αναφορά στην αρχική πηγή. Επομένως, η ζημία την οποία υπέστη η αναιρεσείουσα της κύριας δίκης κατέστη διαρκής και εξακολουθεί να υφίσταται. Το αιτούν δικαστήριο τονίζει συναφώς ότι οι σεξουαλικές υπηρεσίες τις οποίες αφορά η αγγελία μπορούν να συνδεθούν με σοβαρά αδικήματα, τα οποία τιμωρούνται από τον Codul penal (ποινικό κώδικα), όπως η μαστροπεία και η εμπορία ανθρώπων.
42 Περαιτέρω, το αιτούν δικαστήριο διευκρινίζει ότι, σύμφωνα με τους γενικούς όρους χρήσης της διαδικτυακής αγοράς της Russmedia, η εταιρία αυτή, χωρίς να διεκδικεί δικαίωμα κυριότητας επί του περιεχομένου των δημοσιευόμενων αγγελιών, διατηρεί το δικαίωμα χρησιμοποίησης του περιεχομένου αυτού, περιλαμβανομένων της αντιγραφής, διανομής, διαβίβασης, δημοσίευσης, αναπαραγωγής, τροποποίησης, μετάφρασης, παραχώρησης σε συνεργάτες και διαγραφής του ανά πάσα στιγμή, ακόμη και χωρίς αιτιολογία.
43 Υπό τις συνθήκες αυτές, το Curtea de Apel Cluj (εφετείο Cluj) αποφάσισε να αναστείλει την ενώπιόν του διαδικασία και να υποβάλει στο Δικαστήριο τα ακόλουθα προδικαστικά ερωτήματα:
«1) Εφαρμόζονται τα άρθρα 12 έως 14 της οδηγίας [2000/31] και σε πάροχο υπηρεσιών [της κοινωνίας της πληροφορίας] τύπου «αποθήκευσης-φιλοξενίας» ο οποίος θέτει στη διάθεση των χρηστών διαδικτυακό τόπο στον οποίο μπορούν να δημοσιεύονται αγγελίες, δωρεάν ή επί πληρωμή, και ο οποίος υποστηρίζει ότι ο ρόλος του στη δημοσίευση των αγγελιών των χρηστών έχει αμιγώς τεχνικό χαρακτήρα (διάθεση της πλατφόρμας), πλην όμως, στους γενικούς όρους χρήσης του διαδικτυακού τόπου, αναφέρει ότι δεν διεκδικεί δικαίωμα κυριότητας επί του υλικού που παρέχεται ή δημοσιεύεται, μεταφορτώνεται ή αποστέλλεται, διατηρεί ωστόσο το δικαίωμα χρήσης του υλικού, περιλαμβανομένων της αντιγραφής, διανομής, διαβίβασης, δημοσίευσης, αναπαραγωγής, τροποποίησης, μετάφρασης, παραχώρησης σε συνεργάτες και διαγραφής του ανά πάσα στιγμή, ακόμη και χωρίς να χρειάζεται να παράσχει αιτιολογία προς τούτο;
2) [Έχουν] τ[ο] άρθρ[ο] 2, παράγραφος 4, τ[ο] άρθρ[ο] 4, σημεία 7 και 11, τ[ο] άρθρ[ο] 5, παράγραφος 1, στοιχείο στʹ, τ[ο] άρθρ[ο] 6, παράγραφος 1, στοιχείο αʹ, και τ[α] άρθρ[α] 7, 24 και 25 του [ΓΚΠΔ], καθώς και τ[ο] άρθρ[ο] 15 της οδηγίας [2000/31], [την έννοια ότι] υποχρεούται ο πάροχος υπηρεσιών [της κοινωνίας της πληροφορίας] τύπου «αποθήκευσης-φιλοξενίας», ο οποίος είναι υπεύθυνος επεξεργασίας δεδομένων προσωπικού χαρακτήρα, να εξακριβώσει, πριν από τη δημοσίευση μιας αγγελίας, ότι το πρόσωπο που δημοσιεύει την αγγελία και το υποκείμενο των δεδομένων προσωπικού χαρακτήρα που αφορά η αγγελία ταυτίζονται;
3) [Έχουν] τ[ο] άρθρ[ο] 2, παράγραφος 4, τ[ο] άρθρ[ο] 4, σημεία 7 και 11, τ[ο] άρθρου 5, παράγραφος 1, στοιχείο στʹ, τ[ο] άρθρ[ο] 6, παράγραφος 1, στοιχείο αʹ, και τ[α] άρθρ[α] 7, 24 και 25 του [ΓΚΠΔ], καθώς και τ[ο] άρθρ[ο] 15 της οδηγίας [2000/31], [την έννοια ότι] υποχρεούται ο πάροχος υπηρεσιών [της κοινωνίας της πληροφορίας] τύπου «αποθήκευσης-φιλοξενίας», ο οποίος είναι υπεύθυνος επεξεργασίας δεδομένων προσωπικού χαρακτήρα, να εξακριβώσει εκ των προτέρων το περιεχόμενο των αγγελιών που αποστέλλουν οι χρήστες, με σκοπό τη διαγραφή των αγγελιών που έχουν δυνητικώς μη σύννομο χαρακτήρα ή που μπορεί να θίγουν την προσωπική και οικογενειακή ζωή ενός προσώπου;
4) [Έχουν] τ[ο] άρθρ[ο] 5, παράγραφος 1, στοιχεία βʹ και στʹ, τ[α] άρθρ[α] 24 και 25 του [ΓΚΠΔ] και τ[ο] άρθρ[ο] 15 της οδηγίας [2000/31] [την έννοια ότι] υποχρεούται ο πάροχος υπηρεσιών [της κοινωνίας της πληροφορίας] τύπου «αποθήκευσης-φιλοξενίας», ο οποίος είναι υπεύθυνος επεξεργασίας δεδομένων προσωπικού χαρακτήρα, να εφαρμόζει μέτρα ασφάλειας ικανά να εμποδίζουν ή να περιορίζουν την αντιγραφή και την αναδιανομή του περιεχομένου των αγγελιών που δημοσιεύονται μέσω αυτού;»
Επί των προδικαστικών ερωτημάτων
44 Κατά πάγια νομολογία, στο πλαίσιο της κατά το άρθρο 267 ΣΛΕΕ διαδικασίας συνεργασίας μεταξύ των εθνικών δικαστηρίων και του Δικαστηρίου, στο Δικαστήριο εναπόκειται να δώσει στο εθνικό δικαστήριο χρήσιμη απάντηση που να του παρέχει τη δυνατότητα να επιλύσει τη διαφορά της οποίας έχει επιληφθεί. Υπό το πρίσμα αυτό, το Δικαστήριο μπορεί, εφόσον είναι αναγκαίο, να αναδιατυπώσει τα ερωτήματα που του υποβάλλονται. Συναφώς, σε αυτό εναπόκειται να συναγάγει, από το σύνολο των στοιχείων που του παρέχει το εθνικό δικαστήριο και ιδίως από το σκεπτικό της αποφάσεως περί παραπομπής, εκείνα τα στοιχεία του δικαίου της Ένωσης τα οποία χρήζουν ερμηνείας λαμβανομένου υπόψη του αντικειμένου της διαφοράς [πρβλ. αποφάσεις της 29ης Νοεμβρίου 1978, Redmond, 83/78, EU:C:1978:214, σκέψη 26, της 28ης Νοεμβρίου 2000, Roquette Frères, C-88/99, EU:C:2000:652, σκέψη 18, και της 30ής Απριλίου 2024, M. N. (EncroChat), C-670/22, EU:C:2024:372, σκέψη 78].
45 Με τα προδικαστικά ερωτήματα του αιτούντος δικαστηρίου ζητείται, από κοινού, να διευκρινιστεί, αφενός, αν ένας φορέας εκμετάλλευσης διαδικτυακής αγοράς, όπως η Russmedia, που παρέχει στους χρήστες της τη δυνατότητα να αναρτούν ανώνυμα διαφημιστικές αγγελίες στην εν λόγω διαδικτυακή αγορά δωρεάν ή έναντι αμοιβής, έχει παραβεί τις υποχρεώσεις που υπέχει από τον ΓΚΠΔ, στην περίπτωση που μια αγγελία η οποία έχει δημοσιευθεί στη διαδικτυακή αγορά περιλαμβάνει δεδομένα προσωπικού χαρακτήρα, ομοίως δε ιδιαιτέρως ευαίσθητα δεδομένα, κατά παράβαση του ΓΚΠΔ, και, αφετέρου, αν τα άρθρα 12 έως 15 της οδηγίας 2000/31 σχετικά με την ευθύνη των μεσαζόντων παροχής υπηρεσιών έχουν εφαρμογή σε έναν τέτοιον φορέα εκμετάλλευσης.
46 Προκειμένου να δοθεί χρήσιμη απάντηση στα ως άνω ζητήματα, πρέπει να εξεταστούν, σε πρώτο στάδιο, το δεύτερο, το τρίτο και το τέταρτο προδικαστικό ερώτημα, με τα οποία ζητείται να διευκρινιστούν οι υποχρεώσεις που υπέχει ένας φορέας εκμετάλλευσης διαδικτυακής αγοράς βάσει του ΓΚΠΔ σε περίπτωση όπως η επίμαχη στην υπόθεση της κύριας δίκης, αφού προηγουμένως αναδιατυπωθούν τα ερωτήματα αυτά ώστε να αφορούν αποκλειστικώς την ερμηνεία του εν λόγω κανονισμού. Στη συνέχεια, πρέπει να εξεταστεί το ζήτημα αν ο συγκεκριμένος φορέας έχει τη δυνατότητα να επικαλεστεί τα άρθρα 12 έως 15 της οδηγίας 2000/31, το οποίο αποτελεί, κατ’ ουσίαν, το αντικείμενο του πρώτου προδικαστικού ερωτήματος.
Επί του δεύτερου, του τρίτου και του τέταρτου προδικαστικού ερωτήματος, τα οποία αφορούν την ερμηνεία του ΓΚΠΔ
Προκαταρκτικές παρατηρήσεις
47 Προκαταρκτικώς, επισημαίνεται, κατά πρώτον, ότι από την αίτηση προδικαστικής αποφάσεως προκύπτει ότι η επίμαχη αγγελία παρουσίαζε την αναιρεσείουσα της κύριας δίκης ως παρέχουσα σεξουαλικές υπηρεσίες και ότι η αγγελία αυτή περιείχε, μεταξύ άλλων, φωτογραφίες της που χρησιμοποιήθηκαν χωρίς τη συγκατάθεσή της καθώς και τον αριθμό του τηλεφώνου της.
48 Πλην όμως, δεν αμφισβητείται ότι τέτοιες πληροφορίες συνιστούν δεδομένα προσωπικού χαρακτήρα κατά την έννοια του άρθρου 4, σημείο 1, του ΓΚΠΔ, το οποίο ορίζει ως τέτοια «κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο» διευκρινίζοντας ότι «το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου».
49 Ειδικότερα, κατά πάγια νομολογία, η χρήση της φράσης «κάθε πληροφορία» στον ορισμό της έννοιας των «δεδομένων προσωπικού χαρακτήρα», που περιλαμβάνεται στο άρθρο 4, σημείο 1, του ΓΚΠΔ, αντικατοπτρίζει τον σκοπό του ενωσιακού νομοθέτη να προσδώσει ευρύ νόημα στην έννοια αυτή, η οποία καλύπτει δυνητικά κάθε είδος πληροφοριών, τόσο αντικειμενικών όσο και υποκειμενικών, με τη μορφή γνώμης ή εκτίμησης, υπό την προϋπόθεση ότι οι πληροφορίες «αφορούν» το συγκεκριμένο πρόσωπο. Μια πληροφορία αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο όταν, λόγω του περιεχομένου της, του σκοπού της ή του αποτελέσματός της, συνδέεται με ταυτοποιήσιμο πρόσωπο [απόφαση της 3ης Απριλίου 2025, Ministerstvo zdravotnictví (Δεδομένα που αφορούν τον εκπρόσωπο νομικού προσώπου), C-710/23, EU:C:2025:231, σκέψη 21 και μνημονευόμενη νομολογία].
50 Επιπλέον, μεταξύ των εν λόγω δεδομένων προσωπικού χαρακτήρα, το άρθρο 9, παράγραφος 1, του ΓΚΠΔ προβλέπει ιδιαίτερο καθεστώς προστασίας όσον αφορά ειδικές κατηγορίες δεδομένων, όπως τα δεδομένα που σχετίζονται με τη σεξουαλική ζωή ή τον γενετήσιο προσανατολισμό φυσικού προσώπου.
51 Το Δικαστήριο έχει διευκρινίσει ότι ο σκοπός του άρθρου 9, παράγραφος 1, του ΓΚΠΔ συνίσταται στη διασφάλιση αυξημένης προστασίας έναντι επεξεργασίας η οποία, λόγω του ιδιαίτερα ευαίσθητου χαρακτήρα των δεδομένων που αποτελούν το αντικείμενό της, μπορεί να συνιστά ιδιαιτέρως σοβαρή επέμβαση στα θεμελιώδη δικαιώματα στον σεβασμό της ιδιωτικής ζωής και στην προστασία των δεδομένων προσωπικού χαρακτήρα, τα οποία κατοχυρώνονται στα άρθρα 7 και 8 του Χάρτη (απόφαση της 21ης Δεκεμβρίου 2023, Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, σκέψη 41 και εκεί μνημονευόμενη νομολογία).
52 Πλην όμως, μια τέτοια αυξημένη προστασία απαιτεί κατ’ ανάγκην ευρύ ορισμό τέτοιων «ευαίσθητων δεδομένων». Συγκεκριμένα, το Δικαστήριο έχει κρίνει ότι το άρθρο 9, παράγραφος 1, του ΓΚΠΔ εφαρμόζεται σε επεξεργασία όχι μόνον εγγενώς ευαίσθητων δεδομένων που μνημονεύονται στην εν λόγω διάταξη, αλλά και στα δεδομένα τα οποία αποκαλύπτουν εμμέσως, μέσω νοητικής διεργασίας επαγωγής ή αντιπαραβολής, πληροφορίες τέτοιου είδους [απόφαση της 5ης Ιουνίου 2023, Επιτροπή κατά Πολωνίας (Ανεξαρτησία και ιδιωτική ζωή των δικαστών), C-204/21, EU:C:2023:442, σκέψη 344 και εκεί μνημονευόμενη νομολογία].
53 Στο πλαίσιο του ευρέος αυτού ορισμού, ο ψευδής και βλαπτικός χαρακτήρας των δεδομένων σχετικά με τη σεξουαλική ζωή ή τον γενετήσιο προσανατολισμό φυσικού προσώπου δεν αναιρεί τον χαρακτηρισμό των δεδομένων αυτών ως «ευαίσθητων δεδομένων», κατά την έννοια του άρθρου 9, παράγραφος 1, του ΓΚΠΔ.
54 Κατά δεύτερον, επιβάλλεται η διαπίστωση ότι η επίμαχη στην υπόθεση της κύριας δίκης επεξεργασία συνίσταται στη δημοσίευση της αγγελίας και, ως εκ τούτου, των εν λόγω δεδομένων στη διαδικτυακή αγορά της Russmedia. Ειδικότερα, η πράξη που συνίσταται στην ανάρτηση σε ιστότοπο δεδομένων προσωπικού χαρακτήρα συνιστά επεξεργασία κατά την έννοια του άρθρου 4, σημείο 2, του ΓΚΠΔ (απόφαση της 1ης Αυγούστου 2022, Vyriausioji tarnybinės etikos komisija, C-184/20, EU:C:2022:601, σκέψη 65 και εκεί μνημονευόμενη νομολογία).
55 Κατά τρίτον, επισημαίνεται ότι το δεύτερο, το τρίτο και το τέταρτο προδικαστικό ερώτημα αντιμετωπίζουν τον φορέα εκμετάλλευσης της διαδικτυακής αγοράς ως υπεύθυνο επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Πλην όμως, τα δεδομένα προσωπικού χαρακτήρα των οποίων η δημοσίευση αποτελεί το αντικείμενο της διαφοράς της κύριας δίκης περιελήφθησαν στην επίμαχη αγγελία από ανώνυμο χρήστη του ιστοτόπου, χωρίς ο εν λόγω φορέας εκμετάλλευσης να έχει επηρεάσει με συγκεκριμένο τρόπο το περιεχόμενο της αγγελίας και χωρίς αυτός να έχει γνώση του ψευδούς και βλαπτικού χαρακτήρα της. Υπό τις συνθήκες αυτές, κρίνεται σκόπιμο να παρασχεθούν διευκρινίσεις σχετικά με τις έννοιες του «υπεύθυνου επεξεργασίας» και των «από κοινού υπεύθυνων επεξεργασίας» σύμφωνα, αντιστοίχως, με το άρθρο 4, σημείο 7, και το άρθρο 26 του ΓΚΠΔ.
56 Το άρθρο 4, σημείο 7, του ΓΚΠΔ ορίζει κατά τρόπο ευρύ τον «υπεύθυνο επεξεργασίας» ως το φυσικό ή νομικό πρόσωπο, τη δημόσια αρχή, την υπηρεσία ή άλλο φορέα που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.
57 Ο σκοπός του ευρέος αυτού ορισμού συνίσταται, σε συμφωνία με τον σκοπό του ΓΚΠΔ, στη διασφάλιση αποτελεσματικής προστασίας των θεμελιωδών ελευθεριών και δικαιωμάτων των φυσικών προσώπων καθώς και στην εξασφάλιση υψηλού επιπέδου προστασίας του δικαιώματος κάθε προσώπου στην προστασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν (απόφαση της 5ης Δεκεμβρίου 2023, Nacionalinis visuomenės sveikatos centras, C-683/21, EU:C:2023:949, σκέψη 29 και εκεί μνημονευόμενη νομολογία).
58 Επομένως, κάθε φυσικό ή νομικό πρόσωπο το οποίο επηρεάζει, για τους δικούς του σκοπούς, την επεξεργασία δεδομένων προσωπικού χαρακτήρα και μετέχει κατ’ αυτόν τον τρόπο στον καθορισμό των στόχων και του τρόπου της επεξεργασίας μπορεί να θεωρηθεί ότι είναι υπεύθυνος επεξεργασίας (απόφαση της 5ης Δεκεμβρίου 2023, Nacionalinis visuomenės sveikatos centras, C-683/21, EU:C:2023:949, σκέψη 30 και εκεί μνημονευόμενη νομολογία).
59 Επιπλέον, δεδομένου ότι, όπως ρητώς προβλέπει το άρθρο 4, σημείο 7, του ΓΚΠΔ, ως «υπεύθυνος επεξεργασίας» νοείται ο «φορέας που, μόνος ή από κοινού με άλλους», καθορίζει τους σκοπούς και τον τρόπο της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα», η έννοια αυτή δεν αφορά κατ’ ανάγκην έναν και μόνο φορέα, αλλά μπορεί να αφορά πολλούς φορείς που μετέχουν στην οικεία επεξεργασία, με αποτέλεσμα καθένας από τους εν λόγω φορείς να υπόκειται στις διατάξεις που ισχύουν για την προστασία των δεδομένων (πρβλ. απόφαση της 29ης Ιουλίου 2019, Fashion ID, C-40/17, EU:C:2019:629, σκέψη 67 και εκεί μνημονευόμενη νομολογία).
60 Το άρθρο 26 του ΓΚΠΔ, το οποίο εντάσσεται στο πλαίσιο του ορισμού του «υπεύθυνου επεξεργασίας» του άρθρου 4, σημείο 7, του ΓΚΠΔ, προβλέπει, κατ’ ουσίαν, ότι, όταν δύο ή περισσότεροι υπεύθυνοι επεξεργασίας καθορίζουν από κοινού τους σκοπούς και τα μέσα της επεξεργασίας, πρέπει να χαρακτηρίζονται ως «από κοινού υπεύθυνοι επεξεργασίας».
61 Μια τέτοια από κοινού ευθύνη δεν απαιτεί κατ’ ανάγκην κοινές αποφάσεις όσον αφορά τον καθορισμό των σκοπών και των μέσων της επεξεργασίας των οικείων δεδομένων προσωπικού χαρακτήρα. Ειδικότερα, το Δικαστήριο έχει κρίνει ότι η συμμετοχή στον καθορισμό των σκοπών και των μέσων αυτών μπορεί να λάβει διάφορες μορφές, δεδομένου ότι μπορεί να προκύπτει τόσο από κοινή απόφαση δύο ή περισσότερων οντοτήτων όσο και από συγκλίνουσες αποφάσεις που αλληλοσυμπληρώνονται ώστε να έχουν συγκεκριμένο αντίκτυπο στον καθορισμό των σκοπών και των μέσων της επεξεργασίας (πρβλ. απόφαση της 5ης Δεκεμβρίου 2023, Nacionalinis visuomenės sveikatos centras, C-683/21, EU:C:2023:949, σκέψη 43).
62 Συναφώς, η από κοινού ευθύνη πλειόνων φορέων για μία και την αυτή επεξεργασία, βάσει του άρθρου 4, σημείο 7, του ΓΚΠΔ, δεν προϋποθέτει να έχει έκαστος των εν λόγω φορέων πρόσβαση στα οικεία δεδομένα προσωπικού χαρακτήρα (αποφάσεις της 29ης Ιουλίου 2019, Fashion ID, C-40/17, EU:C:2019:629, σκέψη 69 και εκεί μνημονευόμενη νομολογία, και της 5ης Δεκεμβρίου 2023, Nacionalinis visuomenės sveikatos centras, C-683/21, EU:C:2023:949, σκέψη 42).
63 Στο ίδιο πνεύμα, το Δικαστήριο έχει διευκρινίσει ότι η ύπαρξη από κοινού ευθύνης δεν συνεπάγεται κατ’ ανάγκην ότι η ευθύνη την οποία υπέχουν οι διάφοροι φορείς που συμμετέχουν στην ίδια επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι ισοδύναμη. Απεναντίας, οι εν λόγω φορείς ενδέχεται να εμπλέκονται σε διαφορετικά στάδια της επεξεργασίας των δεδομένων και σε διαφορετικό βαθμό, με αποτέλεσμα το επίπεδο ευθύνης καθενός από αυτούς να πρέπει να εκτιμάται λαμβανομένων υπόψη όλων των κρίσιμων περιστάσεων της συγκεκριμένης περίπτωσης (αποφάσεις της 10ης Ιουλίου 2018, Jehovan todistajat, C-25/17, EU:C:2018:551, σκέψη 66 και εκεί μνημονευόμενη νομολογία, και της 5ης Δεκεμβρίου 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, σκέψη 42).
64 Εν προκειμένω, δεν αμφισβητείται ότι ο χρήστης που ανήρτησε στη διαδικτυακή αγορά της Russmedia την ψευδή και βλαπτική αγγελία η οποία περιλάμβανε τα δεδομένα προσωπικού χαρακτήρα της αναιρεσείουσας της κύριας δίκης πρέπει να θεωρηθεί ότι καθόρισε κατά κύριο λόγο τους σκοπούς και τα μέσα της επεξεργασίας των δεδομένων αυτών και, ως εκ τούτου, εμπίπτει στην έννοια του «υπεύθυνου επεξεργασίας» του άρθρου 4, σημείο 7, του ΓΚΠΔ.
65 Περαιτέρω, αποδεικνύεται ότι η εν λόγω αγγελία δημοσιεύθηκε στο διαδίκτυο και κατέστη προσβάσιμη στους χρήστες του διαδικτύου αποκλειστικά χάρη στη διαδικτυακή αγορά της Russmedia.
66 Πλην όμως, μολονότι από τη νομολογία που μνημονεύεται στη σκέψη 58 της παρούσας αποφάσεως προκύπτει ότι ένα πρόσωπο χαρακτηρίζεται ως «υπεύθυνος επεξεργασίας» δεδομένων προσωπικού χαρακτήρα μόνον εφόσον επηρεάζει την επεξεργασία αυτή προς εξυπηρέτηση δικών του σκοπών, εντούτοις διαπιστώνεται ότι τέτοια είναι, μεταξύ άλλων, η περίπτωση του φορέα εκμετάλλευσης διαδικτυακής αγοράς που δημοσιεύει δεδομένα προσωπικού χαρακτήρα για εμπορικούς ή διαφημιστικούς σκοπούς οι οποίοι υπερβαίνουν την απλή παροχή υπηρεσιών προς τον χρήστη που πραγματοποιεί ανάρτηση.
67 Εν προκειμένω, από την απόφαση περί παραπομπής προκύπτει ότι η Russmedia δημοσιεύει αγγελίες στη διαδικτυακή αγορά της προς εξυπηρέτηση δικών της εμπορικών σκοπών. Συναφώς, οι γενικοί όροι χρήσης της εν λόγω διαδικτυακής αγοράς παρέχουν στη Russmedia μεγάλη ελευθερία προς εκμετάλλευση των πληροφοριών που δημοσιεύονται στη συγκεκριμένη διαδικτυακή αγορά. Συγκεκριμένα, σύμφωνα με τα στοιχεία που παρέσχε το αιτούν δικαστήριο, η Russmedia διατηρεί το δικαίωμα να χρησιμοποιεί το δημοσιευόμενο περιεχόμενο, να το διανέμει, να το διαβιβάζει, να το αναπαράγει, να το τροποποιεί, να το μεταφράζει, να το παραχωρεί σε συνεργάτες και να το διαγράφει ανά πάσα στιγμή και χωρίς να απαιτείται συναφώς η παροχή «βάσιμης αιτιολογίας». Επομένως, η Russmedia δεν δημοσιεύει τα δεδομένα προσωπικού χαρακτήρα που περιλαμβάνονται στις αγγελίες αποκλειστικώς για λογαριασμό των χρηστών που αναρτούν τις αγγελίες, αλλά επεξεργάζεται και δύναται να αξιοποιεί τα δεδομένα αυτά προς εξυπηρέτηση δικών της διαφημιστικών και εμπορικών σκοπών.
68 Συνεπώς, πρέπει να θεωρηθεί ότι η Russmedia επηρέασε, προς εξυπηρέτηση δικών της σκοπών, τη δημοσίευση στο διαδίκτυο των δεδομένων προσωπικού χαρακτήρα της αναιρεσείουσας της κύριας δίκης και, ως εκ τούτου, μετέσχε στον καθορισμό των σκοπών της δημοσίευσης αυτής και, συνεπώς, της επίμαχης επεξεργασίας.
69 Η διαπίστωση αυτή δεν αναιρείται από το γεγονός ότι η Russmedia προδήλως δεν μετέσχε στον καθορισμό του ψευδούς και βλαπτικού σκοπού τον οποίο επιδίωκε ο χρήστης που πραγματοποίησε την ανάρτηση με τη δημοσίευση της επίμαχης στην υπόθεση της κύριας δίκης αγγελίας. Ειδικότερα, η Russmedia μετέσχε στον καθορισμό του σκοπού της επεξεργασίας ο οποίος συνίσταται στο να καταστούν προσβάσιμα στους χρήστες του διαδικτύου τα δεδομένα προσωπικού χαρακτήρα που περιλαμβάνονταν στην επίμαχη στην υπόθεση της κύριας δίκης αγγελία ώστε να αξιοποιήσει τις δημοσιεύσεις αυτές. Επιπλέον, η Russmedia, επιτρέποντας την ανώνυμη ανάρτηση αγγελιών στη διαδικτυακή αγορά της, διευκόλυνε τη δημοσίευση τέτοιων δεδομένων για την οποία δεν είχε δοθεί η συγκατάθεση του υποκειμένου τους.
70 Περαιτέρω, η Russmedia, καθόσον παρέσχε στον χρήστη που πραγματοποίησε την ανάρτηση τη διαδικτυακή αγορά για τη δημοσίευση της επίμαχης στην υπόθεση της κύριας δίκης αγγελίας, μετέσχε στον καθορισμό των μέσων της δημοσίευσης αυτής.
71 Συγκεκριμένα, το Δικαστήριο έχει κρίνει, κατ’ ουσίαν, ότι μετέχει στον καθορισμό των μέσων επεξεργασίας το φυσικό ή νομικό πρόσωπο που ασκεί καθοριστική επιρροή στη συλλογή και τη διαβίβαση των δεδομένων προσωπικού χαρακτήρα ή, ακόμη, το πρόσωπο που ασκεί επιρροή, μέσω της επιλογής συγκεκριμένων ρυθμίσεων με γνώμονα τους σκοπούς διαχείρισης ή προώθησης των δραστηριοτήτων του, στην επεξεργασία τέτοιων δεδομένων (πρβλ. αποφάσεις της 5ης Ιουνίου 2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388, σκέψη 36, και της 29ης Ιουλίου 2019, Fashion ID, C-40/17, EU:C:2019:629, σκέψη 78). Το ίδιο ισχύει επίσης όσον αφορά μια μηχανή αναζήτησης, όταν η δραστηριότητά της διαδραματίζει καθοριστικό ρόλο στη συνολική διάδοση δεδομένων προσωπικού χαρακτήρα, λαμβανομένου υπόψη η δραστηριότητα αυτή τα καθιστά προσβάσιμα στο κοινό μέσω του διαδικτύου κατά τρόπο οργανωμένο και συγκεντρωτικό [πρβλ. απόφαση της 8ης Δεκεμβρίου 2022, Google (Διαγραφή συνδέσμων προς φερόμενο ως ανακριβές περιεχόμενο), C-460/20, EU:C:2022:962, σκέψη 50 και εκεί μνημονευόμενη νομολογία].
72 Συνεπώς, διαπιστώνεται ότι, όταν ο φορέας εκμετάλλευσης διαδικτυακής αγοράς, όπως η Russmedia, επιλέγει τις παραμέτρους προβολής των αγγελιών που περιλαμβάνουν ενδεχομένως δεδομένα προσωπικού χαρακτήρα αναλόγως των επιθυμητών αποδεκτών, καθορίζει την εμφάνιση και τη διάρκεια της προβολής αυτής, ή τον τρόπο διάρθρωσης των δημοσιευόμενων πληροφοριών, ή οργανώνει την ταξινόμηση που υπαγορεύει τις ειδικότερες λεπτομέρειες μιας τέτοιας προβολής, θεωρείται ότι μετέχει στον καθορισμό των ουσιωδών μέσων δημοσίευσης των οικείων δεδομένων προσωπικού χαρακτήρα, επηρεάζοντας επομένως αποφασιστικά τη συνολική διάδοσή τους.
73 Συναφώς, το περιεχόμενο των γενικών όρων χρήσης της διαδικτυακής αγοράς μπορεί να παράσχει στοιχεία που αποδεικνύουν ότι ο φορέας εκμετάλλευσής της επηρεάζει καθοριστικώς την οικεία επεξεργασία δεδομένων προσωπικού χαρακτήρα και, συνακόλουθα, καθορίζει τα μέσα της επεξεργασίας αυτής. Τέτοια φαίνεται να είναι η περίπτωση των γενικών όρων χρήσης της διαδικτυακής αγοράς της Russmedia, από τους οποίους προκύπτει ότι η εταιρία αυτή διατηρεί, μεταξύ άλλων, το δικαίωμα να διανέμει, να διαβιβάζει, να δημοσιεύει, να διαγράφει ή να αναπαράγει τις πληροφορίες που περιέχονται στις αγγελίες, περιλαμβανομένων των δεδομένων προσωπικού χαρακτήρα που περιέχονται σε αυτές.
74 Εν πάση περιπτώσει, ο φορέας εκμετάλλευσης διαδικτυακής αγοράς δεν μπορεί να απαλλαγεί από την ευθύνη που φέρει ως υπεύθυνος επεξεργασίας δεδομένων προσωπικού χαρακτήρα για τον λόγο ότι δεν προσδιόρισε ο ίδιος το περιεχόμενο της αγγελίας που δημοσιεύθηκε στη διαδικτυακή αγορά του. Ειδικότερα, δεν θα αντέβαινε μόνο στο σαφές γράμμα του άρθρου 4, σημείο 7, του ΓΚΠΔ, αλλά και στον σκοπό του άρθρου αυτού, ο οποίος συνίσταται στη διασφάλιση, μέσω ενός ευρέος ορισμού της έννοιας του «υπεύθυνου επεξεργασίας», αποτελεσματικής και πλήρους προστασίας των υποκειμένων των δεδομένων, το να αποκλειστεί από τον συγκεκριμένο ορισμό ο εν λόγω φορέας εκμετάλλευσης για τον λόγο αυτόν και μόνο.
75 Συνεπώς, διαπιστώνεται ότι ορθώς το αιτούν δικαστήριο στηρίχθηκε, για το δεύτερο, το τρίτο και το τέταρτο προδικαστικό ερώτημα, στην παραδοχή ότι, σε περίπτωση όπως η υπό κρίση στην κύρια δίκη, ο φορέας εκμετάλλευσης διαδικτυακής αγοράς αποτελεί τον υπεύθυνο της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που περιλαμβάνονται σε αγγελία η οποία έχει δημοσιευθεί στην εν λόγω διαδικτυακή αγορά, κατά την έννοια του άρθρου 4, σημείο 7, του ΓΚΠΔ.
76 Υπό το πρίσμα του συνόλου των ανωτέρω προκαταρκτικών παρατηρήσεων πρέπει να δοθεί απάντηση στα υποβληθέντα προδικαστικά ερωτήματα.
Επί του δεύτερου και του τρίτου προδικαστικού ερωτήματος
77 Με το δεύτερο και το τρίτο προδικαστικό ερώτημα, τα οποία πρέπει να συνεξεταστούν, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, να διευκρινιστεί αν το άρθρο 5, παράγραφος 2, του ΓΚΠΔ καθώς και τα άρθρα 24 έως 26 του ΓΚΠΔ έχουν την έννοια ότι ο φορέας εκμετάλλευσης διαδικτυακής αγοράς, ως υπεύθυνος επεξεργασίας κατά την έννοια του άρθρου 4, σημείο 7, του ΓΚΠΔ των δεδομένων προσωπικού χαρακτήρα που περιλαμβάνονται σε αγγελίες οι οποίες δημοσιεύονται στη διαδικτυακή αγορά του, υποχρεούται, πριν από τη δημοσίευση των αγγελιών, να εντοπίσει τις αγγελίες που περιλαμβάνουν ευαίσθητα δεδομένα κατά την έννοια του άρθρου 9, παράγραφος 1, του ΓΚΠΔ, να εξακριβώσει ότι ο χρήστης που πραγματοποιεί την ανάρτηση μιας τέτοιας αγγελίας είναι το υποκείμενο των ευαίσθητων δεδομένων τα οποία περιλαμβάνονται στην εν λόγω αγγελία και, σε αντίθετη περίπτωση, να αρνηθεί τη δημοσίευση της αγγελίας λόγω έλλειψης ρητής συγκατάθεσης του υποκειμένου των δεδομένων, λαμβανομένου υπόψη ότι η οικεία δημοσίευση θα συνιστούσε ενδεχομένως σοβαρή προσβολή των δικαιωμάτων του υποκειμένου των δεδομένων σχετικά με τον σεβασμό της ιδιωτικής ζωής και την προστασία των δεδομένων προσωπικού χαρακτήρα, τα οποία κατοχυρώνονται στα άρθρα 7 και 8 του Χάρτη.
78 Σύμφωνα με το άρθρο 1, παράγραφος 2, του ΓΚΠΔ, σε συνδυασμό με τις αιτιολογικές σκέψεις 4 και 10 του ΓΚΠΔ, ο κανονισμός αυτός έχει ιδίως ως σκοπό τη διασφάλιση υψηλού επιπέδου προστασίας των θεμελιωδών δικαιωμάτων και ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, δικαίωμα το οποίο κατοχυρώνεται επίσης στο άρθρο 8 του Χάρτη και συνδέεται στενά με το δικαίωμα στον σεβασμό της ιδιωτικής ζωής που κατοχυρώνεται στο άρθρο 7 του Χάρτη (απόφαση της 1ης Αυγούστου 2022, Vyriausioji tarnybinės etikos komisija, C-184/20, EU:C:2022:601, σκέψη 61 και εκεί μνημονευόμενη νομολογία).
79 Προς τον σκοπό αυτό, πρώτον, το κεφάλαιο II του ΓΚΠΔ καθορίζει τις αρχές που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα, οι οποίες πρέπει να τηρούνται από τον υπεύθυνο επεξεργασίας. Ειδικότερα, κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα πρέπει να συνάδει προς τις αρχές που διέπουν την επεξεργασία δεδομένων και να πληροί τις προϋποθέσεις νομιμότητας της επεξεργασίας, οι οποίες περιλαμβάνονται στα άρθρα 5 και 6 του ΓΚΠΔ (απόφαση της 1ης Αυγούστου 2022, Vyriausioji tarnybinės etikos komisija, C-184/20, EU:C:2022:601, σκέψη 62 και εκεί μνημονευόμενη νομολογία).
80 Κατά το άρθρο 5, παράγραφος 1, στοιχείο αʹ, του ΓΚΠΔ, η επεξεργασία των δεδομένων προσωπικού χαρακτήρα πρέπει να είναι σύννομη, θεμιτή και διαφανής έναντι του υποκειμένου των δεδομένων. Το άρθρο 5, παράγραφος 1, στοιχείο δʹ, του ΓΚΠΔ προβλέπει επίσης ότι τα δεδομένα προσωπικού χαρακτήρα πρέπει να είναι ακριβή και, όταν είναι αναγκαίο, επικαιροποιούνται. Επομένως, πρέπει να λαμβάνονται όλα τα εύλογα μέτρα ώστε τα δεδομένα προσωπικού χαρακτήρα τα οποία είναι ανακριβή, υπό το πρίσμα των σκοπών για τους οποίους υποβάλλονται σε επεξεργασία, να διαγράφονται ή να διορθώνονται χωρίς καθυστέρηση. Το άρθρο 5, παράγραφος 1, στοιχείο στʹ, του ΓΚΠΔ ορίζει ότι τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία κατά τρόπον που να εγγυάται την ενδεδειγμένη ασφάλειά τους, συμπεριλαμβανομένης της προστασίας από μη εξουσιοδοτημένη ή παράνομη επεξεργασία.
81 Όσον αφορά τις προϋποθέσεις νομιμότητας μιας επεξεργασίας, όπως έχει αποφανθεί το Δικαστήριο, το άρθρο 6, παράγραφος 1, πρώτο εδάφιο, του ΓΚΠΔ προβλέπει εξαντλητικό και περιοριστικό κατάλογο των περιπτώσεων στις οποίες η επεξεργασία δεδομένων προσωπικού χαρακτήρα μπορεί να θεωρηθεί ως νόμιμη. Η νόμιμη επεξεργασία δεδομένων πρέπει, ως εκ τούτου, να εμπίπτει σε μία από τις περιπτώσεις που προβλέπει η διάταξη αυτή (πρβλ. απόφαση της 9ης Ιανουαρίου 2025, Mousse, C-394/23, EU:C:2025:2, σκέψη 25 και εκεί μνημονευόμενη νομολογία).
82 Ειδικότερα, σύμφωνα με το άρθρο 6, παράγραφος 1, πρώτο εδάφιο, στοιχείο αʹ, του ΓΚΠΔ, η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι νόμιμη εάν και στον βαθμό που το υποκείμενο των δεδομένων έχει παράσχει συγκατάθεση για έναν ή περισσότερους συγκεκριμένους σκοπούς. Το άρθρο 7, παράγραφος 1, του ΓΚΠΔ διευκρινίζει ότι, εφόσον συντρέχει τέτοια περίπτωση, ο υπεύθυνος επεξεργασίας πρέπει να είναι σε θέση να αποδείξει ότι το υποκείμενο των δεδομένων παρέσχε τη συγκατάθεσή του για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν. Ελλείψει τέτοιας συγκατάθεσης ή όταν δεν έχει δοθεί ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει συγκατάθεση, κατά την έννοια του άρθρου 4, σημείο 11, του ΓΚΠΔ, η επεξεργασία μπορεί να δικαιολογείται παρά ταύτα εφόσον πληροί κάποια από τις απαιτήσεις αναγκαιότητας στις οποίες αναφέρεται το άρθρο 6, παράγραφος 1, πρώτο εδάφιο, στοιχεία βʹ έως στʹ, του ΓΚΠΔ (απόφαση της 9ης Ιανουαρίου 2025, Mousse, C-394/23, EU:C:2025:2, σκέψη 26 και εκεί μνημονευόμενη νομολογία).
83 Στις εν λόγω αρχές και προϋποθέσεις προστίθενται οι ειδικές απαιτήσεις που προβλέπονται στο άρθρο 9, παράγραφος 1, του ΓΚΠΔ και αφορούν τα ευαίσθητα δεδομένα των οποίων η επεξεργασία απαγορεύεται κατ’ αρχήν (πρβλ. απόφαση της 21ης Δεκεμβρίου 2023, Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, σκέψη 73).
84 Παρέκκλιση από την απαγόρευση αυτή χωρεί μόνον εφόσον πρόκειται για τις εξαιρέσεις του άρθρου 9, παράγραφος 2, στοιχεία αʹ έως ιʹ, του ΓΚΠΔ. Μεταξύ των εξαιρέσεων αυτών, οι οποίες υπόκεινται σε στενή ερμηνεία, το άρθρο 9, παράγραφος 2, στοιχείο αʹ, του ΓΚΠΔ προβλέπει ότι η απαγόρευση της επεξεργασίας ευαίσθητων δεδομένων δεν τυγχάνει εφαρμογής όταν το υποκείμενο των δεδομένων έχει συγκατατεθεί ρητώς στην επεξεργασία, για έναν ή περισσότερους συγκεκριμένους σκοπούς, των ευαίσθητων δεδομένων προσωπικού χαρακτήρα που το αφορούν, εκτός εάν το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους προβλέπει ότι η απαγόρευση αυτή δεν μπορεί να αρθεί από το υποκείμενο των δεδομένων.
85 Δεύτερον, το κεφάλαιο IV του ΓΚΠΔ διευκρινίζει το περιεχόμενο των υποχρεώσεων τις οποίες υπέχει ο υπεύθυνος επεξεργασίας δεδομένων προσωπικού χαρακτήρα κατ’ εφαρμογήν της αρχής της λογοδοσίας που προβλέπεται στο άρθρο 5, παράγραφος 2, του ΓΚΠΔ.
86 Σύμφωνα με τη διάταξη αυτή, ο υπεύθυνος επεξεργασίας φέρει την ευθύνη της συμμόρφωσης προς την παράγραφο 1 του εν λόγω άρθρου και είναι σε θέση να αποδείξει την τήρηση καθεμιάς εκ των αρχών της ίδιας παραγράφου 1, περίσταση η οποία συνεπάγεται ότι φέρει εκείνος το βάρος αποδείξεως [απόφαση της 4ης Μαΐου 2023, Bundesrepublik Deutschland (Ηλεκτρονική ταχυδρομική θυρίδα δικαστηρίου), C-60/22, EU:C:2023:373, σκέψη 53 και εκεί μνημονευόμενη νομολογία].
87 Η ως άνω αρχή της ευθύνης καθίσταται πιο συγκεκριμένη, μεταξύ άλλων, στο πλαίσιο του άρθρου 24 του ΓΚΠΔ (πρβλ. απόφαση της 25ης Ιανουαρίου 2024, MediaMarktSaturn, C-687/21, EU:C:2024:72, σκέψη 43 και εκεί μνημονευόμενη νομολογία). Κατά το άρθρο αυτό, ο υπεύθυνος επεξεργασίας, λαμβάνοντας υπόψη το είδος, την έκταση, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον ΓΚΠΔ.
88 Συνεπώς, το άρθρο 5, παράγραφος 2, και το άρθρο 24 του ΓΚΠΔ επιβάλλουν γενικές υποχρεώσεις ευθύνης και συμμόρφωσης στους υπεύθυνους επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Τα άρθρα αυτά υποχρεώνουν τους υπεύθυνους επεξεργασίας να λαμβάνουν τα κατάλληλα μέτρα για την πρόληψη ενδεχόμενων παραβάσεων των κανόνων που προβλέπει ο ΓΚΠΔ προς διασφάλιση του δικαιώματος προστασίας των δεδομένων [πρβλ. απόφαση της 27ης Οκτωβρίου 2022, Proximus (Annuaires électroniques publics), C-129/21, EU:C:2022:833, σκέψη 81].
89 Στο ίδιο πνεύμα, το άρθρο 25, παράγραφος 1, του ΓΚΠΔ επιβάλλει στον υπεύθυνο επεξεργασίας την υποχρέωση να εφαρμόζει αποτελεσματικά, τόσο κατά τη στιγμή του καθορισμού των μέσων επεξεργασίας όσο και κατά τη στιγμή της επεξεργασίας, κατάλληλα τεχνικά και οργανωτικά μέτρα, σχεδιασμένα για την εφαρμογή των αρχών προστασίας των δεδομένων και την ενσωμάτωση των απαραίτητων εγγυήσεων στην επεξεργασία, κατά τρόπο ώστε να πληρούνται οι απαιτήσεις του ΓΚΠΔ και να προστατεύονται τα δικαιώματα των υποκειμένων των δεδομένων. Επιπλέον, το άρθρο 25, παράγραφος 2, σχετικά με την εξ ορισμού προστασία των δεδομένων, προβλέπει, μεταξύ άλλων, ότι τα κατάλληλα τεχνικά και οργανωτικά μέτρα τα οποία εφαρμόζει ο υπεύθυνος επεξεργασίας διασφαλίζουν ότι, εξ ορισμού, τα δεδομένα προσωπικού χαρακτήρα δεν καθίστανται προσβάσιμα σε αόριστο αριθμό φυσικών προσώπων χωρίς την παρέμβαση του φυσικού προσώπου.
90 Όταν τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία είναι ευαίσθητα δεδομένα, κατά την έννοια του άρθρου 9, παράγραφος 1, του ΓΚΠΔ, ο υπεύθυνος επεξεργασίας οφείλει ιδίως, προκειμένου να προσδιορίσει τα κατάλληλα μέτρα βάσει των άρθρων 24 και 25 του ΓΚΠΔ, να λάβει υπόψη το γεγονός ότι η παραβίαση των αρχών του κεφαλαίου II του ΓΚΠΔ στο πλαίσιο μιας επεξεργασίας τέτοιων δεδομένων συνιστά ενδεχομένως ιδιαιτέρως σοβαρή επέμβαση στα θεμελιώδη δικαιώματα του σεβασμού της ιδιωτικής ζωής και της προστασίας των δεδομένων προσωπικού χαρακτήρα που κατοχυρώνονται στα άρθρα 7 και 8 του Χάρτη.
91 Υπό το πρίσμα του συνόλου των ανωτέρω διευκρινίσεων πρέπει να εξεταστούν το δεύτερο και το τρίτο προδικαστικό ερώτημα, όπως αναδιατυπώθηκαν στο πλαίσιο της σκέψης 77 της παρούσας αποφάσεως.
92 Όσον αφορά, κατά πρώτον, το ζήτημα αν ο φορέας εκμετάλλευσης διαδικτυακής αγοράς οφείλει να εντοπίζει, πριν από τη δημοσίευσή τους, τις αγγελίες που περιλαμβάνουν ευαίσθητα δεδομένα κατά την έννοια του άρθρου 9, παράγραφος 1, του ΓΚΠΔ, υπενθυμίζεται ότι, όπως προκύπτει από τις σκέψεις 64 και 75 της παρούσας αποφάσεως, ο εν λόγω φορέας εκμετάλλευσης και ο χρήστης που προβαίνει σε ανάρτηση μιας τέτοιας αγγελίας στην οικεία διαδικτυακή αγορά συνιστούν από κοινού υπεύθυνους επεξεργασίας, κατά την έννοια του άρθρου 26 του ΓΚΠΔ, ως προς τη δημοσίευση της αγγελίας στη διαδικτυακή αγορά.
93 Επομένως, τόσο ο φορέας εκμετάλλευσης όσο και ο εν λόγω χρήστης του ιστοτόπου υποχρεούνται να διασφαλίζουν την τήρηση των υποχρεώσεων που απορρέουν από το άρθρο 5, παράγραφος 2, του ΓΚΠΔ καθώς και από τα άρθρα 24 και 25 του ΓΚΠΔ. Ειδικότερα, πρέπει να είναι σε θέση να αποδεικνύουν ότι τα δεδομένα προσωπικού χαρακτήρα που περιλαμβάνονται στην αγγελία δημοσιεύονται νομίμως, ήτοι ότι το υποκείμενο των δεδομένων συγκατατίθεται στην οικεία δημοσίευση, εκτός εάν αποδεικνύουν ότι συντρέχει άλλη προϋπόθεση του άρθρου 6, παράγραφος 1, του ΓΚΠΔ. Όταν τα δεδομένα προσωπικού χαρακτήρα είναι ευαίσθητα δεδομένα κατά την έννοια του άρθρου 9, παράγραφος 1, του ΓΚΠΔ, η συγκατάθεση για τη δημοσίευση πρέπει, όπως προκύπτει από τη σκέψη 84 της παρούσας αποφάσεως, να είναι ρητή. Ομοίως, σύμφωνα με την αρχή της ακρίβειας, η οποία προβλέπεται στο άρθρο 5, παράγραφος 1, στοιχείο δʹ, του ΓΚΠΔ, οι υπεύθυνοι επεξεργασίας πρέπει να είναι σε θέση να αποδεικνύουν την ακρίβεια των δεδομένων προσωπικού χαρακτήρα.
94 Προκειμένου να προσδιοριστούν ειδικώς τα κατάλληλα τεχνικά και οργανωτικά μέτρα τα οποία οφείλει να εφαρμόσει ο φορέας εκμετάλλευσης διαδικτυακής αγοράς ως από κοινού υπεύθυνος επεξεργασίας δεδομένων προσωπικού χαρακτήρα, κατ’ εφαρμογήν των άρθρων 24 και 25 του ΓΚΠΔ, ώστε να βεβαιωθεί και να είναι σε θέση να αποδείξει ότι η επικείμενη δημοσίευση ευαίσθητων δεδομένων που περιλαμβάνονται σε αγγελία πληροί τις προϋποθέσεις του ΓΚΠΔ, επιβάλλεται να επισημανθεί πως από τις διατάξεις αυτές προκύπτει ότι η καταλληλότητα των οικείων μέτρων πρέπει να αξιολογείται κατά τρόπο συγκεκριμένο, λαμβανομένων υπόψη του είδους, της έκτασης, του πλαισίου και των σκοπών της οικείας επεξεργασίας, καθώς και της πιθανότητας επέλευσης και της σοβαρότητας των κινδύνων για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων (πρβλ. απόφαση της 21ης Δεκεμβρίου 2023, Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, σκέψη 96).
95 Συναφώς, επισημαίνεται ότι η δημοσίευση δεδομένων προσωπικού χαρακτήρα σε διαδικτυακή αγορά ενέχει σημαντικούς κινδύνους για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων, καθόσον καθιστά τα δεδομένα αυτά κατ’ αρχήν προσβάσιμα σε κάθε χρήστη του διαδικτύου. Επιπλέον, μετά τη δημοσίευσή τους στη διαδικτυακή αγορά, τα εν λόγω δεδομένα μπορούν να αποτελέσουν αντικείμενο αντιγραφής και να αναρτηθούν επίσης σε άλλους ιστοτόπους, οπότε είναι πιθανό να αποδειχθεί δυσχερές, αν όχι αδύνατο, για το υποκείμενο των δεδομένων να επιτύχει την πραγματική διαγραφή των συγκεκριμένων δεδομένων από το διαδίκτυο.
96 Οι κίνδυνοι τους οποίους συνεπάγεται μια τέτοια δημοσίευση είναι ακόμη σοβαρότεροι όταν πρόκειται για τα ευαίσθητα δεδομένα του άρθρου 9, παράγραφος 1, του ΓΚΠΔ. Όπως διαλαμβάνεται ρητώς στην αιτιολογική σκέψη 51 του ΓΚΠΔ, τα δεδομένα προσωπικού χαρακτήρα τα οποία είναι εκ φύσεως ιδιαιτέρως ευαίσθητα από την άποψη θεμελιωδών δικαιωμάτων και ελευθεριών χρήζουν ειδικής προστασίας, καθότι το πλαίσιο εντός του οποίου υποβάλλονται σε επεξεργασία θα μπορούσε να δημιουργήσει σημαντικούς κινδύνους για τα εν λόγω δικαιώματα και τις εν λόγω ελευθερίες (πρβλ. απόφαση της 4ης Οκτωβρίου 2024, Lindenapotheke, C-21/23, EU:C:2024:846, σκέψη 75). Η επεξεργασία τέτοιων δεδομένων μπορεί, όπως επισημάνθηκε στη σκέψη 90 της παρούσας αποφάσεως, να συνιστά ιδιαιτέρως σοβαρή επέμβαση στα θεμελιώδη δικαιώματα του σεβασμού της ιδιωτικής ζωής και της προστασίας των δεδομένων προσωπικού χαρακτήρα που κατοχυρώνονται στα άρθρα 7 και 8 του Χάρτη. Επιπλέον, η πιθανότητα προσβολής των δικαιωμάτων αυτών ως απόρροια της δημοσίευσης μιας αγγελίας που περιλαμβάνει ευαίσθητα δεδομένα είναι πολύ υψηλή όταν ο χρήστης που πραγματοποιεί την ανάρτηση δεν είναι το υποκείμενο των δεδομένων και όταν η διαδικτυακή αγορά καθιστά δυνατό να πραγματοποιηθεί ανώνυμη ανάρτηση μιας τέτοιας αγγελίας.
97 Επομένως, στον βαθμό που ο φορέας εκμετάλλευσης διαδικτυακής αγοράς, όπως η επίμαχη στην υπόθεση της κύριας δίκης, γνωρίζει ή όφειλε να γνωρίζει ότι είναι γενικώς δυνατό να δημοσιευθούν στη διαδικτυακή αγορά του αγγελίες οι οποίες περιλαμβάνουν ευαίσθητα δεδομένα κατά την έννοια του άρθρου 9, παράγραφος 1, του ΓΚΠΔ, ο φορέας αυτός, ως υπεύθυνος επεξεργασίας, υποχρεούται, αρχής γενομένης από τον σχεδιασμό της υπηρεσίας του, να εφαρμόσει τα κατάλληλα τεχνικά και οργανωτικά μέτρα ώστε να είναι σε θέση να εντοπίσει τέτοιες αγγελίες πριν δημοσιευθούν και, συνακόλουθα, να εξακριβώσει ότι τα ευαίσθητα δεδομένα που περιλαμβάνονται στις εν λόγω αγγελίες τηρούν τις αρχές του κεφαλαίου II του ΓΚΠΔ. Ειδικότερα, όπως προκύπτει μεταξύ άλλων από το άρθρο 25, παράγραφος 1, του ΓΚΠΔ, η υποχρέωση εφαρμογής τέτοιων μέτρων βαρύνει το συγκεκριμένο πρόσωπο όχι μόνον κατά τον χρόνο της επεξεργασίας, αλλά ήδη από τον χρόνο του καθορισμού των μέσων επεξεργασίας και, επομένως, πριν από την ανάρτηση ευαίσθητων δεδομένων στη διαδικτυακή αγορά κατά παραβίαση των ως άνω αρχών, η δε υποχρέωση αυτή αποσκοπεί ακριβώς στην αποτροπή τέτοιων παραβιάσεων.
98 Όσον αφορά, κατά δεύτερον, το ζήτημα αν ο φορέας εκμετάλλευσης διαδικτυακής αγοράς υποχρεούται, ως υπεύθυνος επεξεργασίας των ευαίσθητων δεδομένων που περιλαμβάνονται στις αγγελίες οι οποίες δημοσιεύονται στον ιστότοπό του, από κοινού με τον χρήστη που προβαίνει σε ανάρτηση, να επαληθεύσει την ταυτότητα του χρήστη αυτού πριν από τη δημοσίευση, υπενθυμίζεται ότι από τον συνδυασμό του άρθρου 9, παράγραφος 1, και του άρθρου 9, παράγραφος 2, στοιχείο αʹ, του ΓΚΠΔ προκύπτει ότι απαγορεύεται η δημοσίευση τέτοιων δεδομένων, εκτός αν το υποκείμενο των δεδομένων συγκατατίθεται ρητώς στη δημοσίευση των δεδομένων αυτών στην εν λόγω διαδικτυακή αγορά ή αν πρόκειται για μία από τις λοιπές εξαιρέσεις που προβλέπονται στο άρθρο 9, παράγραφος 2, στοιχεία βʹ έως ιʹ, του ΓΚΠΔ, περίσταση που δεν φαίνεται να συντρέχει εν προκειμένω.
99 Συναφώς, μολονότι η ανάρτηση σε διαδικτυακή αγορά από το υποκείμενο των δεδομένων αγγελίας που περιλαμβάνει ευαίσθητα δεδομένα συνιστά ενδεχομένως ρητή συγκατάθεση κατά την έννοια του άρθρου 9, παράγραφος 2, στοιχείο αʹ, του ΓΚΠΔ, εντούτοις τέτοια συγκατάθεση δεν υφίσταται όταν η αγγελία αναρτάται από τρίτο πρόσωπο, εκτός αν το πρόσωπο αυτό είναι σε θέση να αποδείξει ότι το υποκείμενο των δεδομένων έχει δώσει τη ρητή συγκατάθεσή του για τη δημοσίευση της αγγελίας στη διαδικτυακή αγορά. Συνεπώς, προκειμένου να είναι σε θέση να βεβαιωθεί και να αποδείξει ότι πληρούνται οι απαιτήσεις που προβλέπονται στο άρθρο 9, παράγραφος 2, στοιχείο αʹ, του ΓΚΠΔ, ο εν λόγω φορέας εκμετάλλευσης υποχρεούται να εξακριβώσει, πριν από τη δημοσίευση μιας τέτοιας αγγελίας, αν ο χρήστης που πραγματοποιεί την ανάρτηση είναι το υποκείμενο των ευαίσθητων δεδομένων που περιλαμβάνονται στην αγγελία, υποχρέωση η οποία προϋποθέτει τη συλλογή των ταυτοποιητικών στοιχείων του συγκεκριμένου χρήστη.
100 Επιπλέον, από το άρθρο 13, παράγραφος 1, στοιχείο αʹ, και το άρθρο 14, παράγραφος 1, στοιχείο αʹ, του ΓΚΠΔ προκύπτει ότι οι υπεύθυνοι επεξεργασίας δεδομένων προσωπικού χαρακτήρα πρέπει, σε κάθε περίπτωση, να ενημερώνουν το υποκείμενο των δεδομένων σχετικά με την ταυτότητα και τα στοιχεία επικοινωνίας τους.
101 Τέλος, σημειώνεται ότι το άρθρο 26 του ΓΚΠΔ υποχρεώνει τους από κοινού υπεύθυνους επεξεργασίας δεδομένων προσωπικού χαρακτήρα να καθορίζουν με τρόπο διαφανή τις αντίστοιχες υποχρεώσεις τους ώστε να διασφαλίζεται η συμμόρφωση προς τις απαιτήσεις που θέτει ο ΓΚΠΔ. Πλην όμως, η εκπλήρωση μιας τέτοιας υποχρέωσης καθίσταται αδύνατη αν ένας από τους υπεύθυνους επεξεργασίας μπορεί να παραμείνει ανώνυμος στον άλλον.
102 Επομένως, από τα προεκτεθέντα προκύπτει ότι ο φορέας εκμετάλλευσης διαδικτυακής αγοράς, ως υπεύθυνος δημοσίευσης των ευαίσθητων δεδομένων που περιλαμβάνονται σε αγγελία η οποία αναρτάται στη διαδικτυακή αγορά του, από κοινού με τον χρήστη που πραγματοποιεί την ανάρτηση, υποχρεούται να συλλέξει τα ταυτοποιητικά στοιχεία του εν λόγω χρήστη και να εξακριβώσει ότι ο χρήστης αυτός είναι το υποκείμενο των ευαίσθητων δεδομένων που περιλαμβάνονται στη συγκεκριμένη αγγελία.
103 Συναφώς, όπως σημειώνει, κατ’ ουσίαν, ο γενικός εισαγγελέας στο σημείο 132 των προτάσεών του, από την αιτιολογική σκέψη 75 του ΓΚΠΔ προκύπτει ότι, μεταξύ άλλων στην περίπτωση κατάχρησης της ταυτότητας, η επεξεργασία των δεδομένων προσωπικού χαρακτήρα μπορεί να ενέχει κινδύνους για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων τα οποία ενδέχεται, λόγω της επεξεργασίας αυτής, να μη δύνανται να ασκήσουν έλεγχο επί των δεδομένων προσωπικού χαρακτήρα που τα αφορούν. Ειδικότερα, κατά κανόνα, η κατάχρηση ταυτότητας γίνεται με σκοπό την τέλεση δόλιων πράξεων εις βάρος του υποκειμένου των δεδομένων ή τρίτων.
104 Υπό τις συνθήκες αυτές και λαμβανομένων επίσης υπόψη των εκτιμήσεων που εκτίθενται στις σκέψεις 95 και 96 της παρούσας αποφάσεως, ο φορέας εκμετάλλευσης διαδικτυακής αγοράς, προκειμένου να είναι σε θέση να βεβαιώνεται και να αποδεικνύει ότι τα ευαίσθητα δεδομένα που περιλαμβάνονται στις αγγελίες του υποβάλλονται σε επεξεργασία σύμφωνα με τις απαιτήσεις του ΓΚΠΔ, πρέπει να προβλέπει, κατ’ εφαρμογήν των άρθρων 24 και 25 του ΓΚΠΔ, κατάλληλα τεχνικά και οργανωτικά μέτρα τα οποία δεν του παρέχουν μόνο τη δυνατότητα να συλλέγει τα ταυτοποιητικά στοιχεία των χρηστών που πραγματοποιούν αναρτήσεις, αλλά επίσης να επαληθεύει την ταυτότητα τους πριν από τη δημοσίευση των εν λόγω αγγελιών, τούτο δε μεταξύ άλλων ώστε να καθίσταται δυνατό να προσδιοριστεί αν ο οικείος χρήστης είναι το υποκείμενο των ευαίσθητων δεδομένων που περιλαμβάνονται στην αγγελία. Τα μέτρα αυτά πρέπει, μεταξύ άλλων, να κατατείνουν, όπως επισήμανε ο γενικός εισαγγελέας στο σημείο 134 των προτάσεών του, στον περιορισμό του κινδύνου παράνομης επεξεργασίας των δεδομένων προσωπικού χαρακτήρα των υποκειμένων των δεδομένων και στην καταπολέμηση της αθέμιτης χρήσης μιας τέτοιας διαδικτυακής αγοράς, περιορίζοντας το αίσθημα ατιμωρησίας και ενθαρρύνοντας τους χρήστες που προβαίνουν σε αναρτήσεις να συμμορφώνονται προς τις απαιτήσεις του ΓΚΠΔ στο πλαίσιο της δημοσίευσης αγγελιών που περιλαμβάνουν δεδομένα προσωπικού χαρακτήρα.
105 Τέλος, όσον αφορά, κατά τρίτον, το ζήτημα αν ο φορέας εκμετάλλευσης διαδικτυακής αγοράς υποχρεούται να αρνηθεί να δημοσιεύσει αγγελία που περιλαμβάνει ευαίσθητα δεδομένα εφόσον αποδεικνύεται, κατόπιν τέτοιας επαλήθευσης της ταυτότητας του χρήστη ο οποίος πραγματοποιεί την ανάρτηση της αγγελίας, ότι ο χρήστης αυτός δεν είναι το υποκείμενο των ευαίσθητων δεδομένων τα οποία περιλαμβάνονται στην οικεία αγγελία, διαπιστώνεται ότι από τις σκέψεις 98 και 99 της παρούσας αποφάσεως προκύπτει ότι, σε μια τέτοια περίπτωση, δεν μπορεί να αποκλειστεί το ενδεχόμενο η δημοσίευση να πραγματοποιηθεί κατά παράβαση της προβλεπόμενης στο άρθρο 9, παράγραφος 1, του ΓΚΠΔ απαγόρευσης επεξεργασίας τέτοιων δεδομένων. Επομένως, πλην των περιπτώσεων που ο χρήστης που προβαίνει σε ανάρτηση μπορεί να αποδείξει επαρκώς κατά νόμον ότι το υποκείμενο των δεδομένων συγκατατίθεται ρητώς στη δημοσίευση των δεδομένων στην οικεία διαδικτυακή αγορά, κατά την έννοια του άρθρου 9, παράγραφος 2, στοιχείο αʹ, του ΓΚΠΔ, ή που πρόκειται για μία από τις λοιπές εξαιρέσεις του άρθρου 9, παράγραφος 2, στοιχεία βʹ έως ιʹ, ο φορέας εκμετάλλευσης διαδικτυακής αγοράς υποχρεούται να αρνηθεί τη δημοσίευση της αγγελίας, τούτο δε χάρη στην εφαρμογή από τον ίδιο κατάλληλων τεχνικών και οργανωτικών μέτρων.
106 Λαμβανομένου υπόψη των ανωτέρω σκέψεων, στο δεύτερο και στο τρίτο προδικαστικό ερώτημα πρέπει να δοθεί η απάντηση ότι το άρθρο 5, παράγραφος 2, του ΓΚΠΔ καθώς και τα άρθρα 24 έως 26 του ΓΚΠΔ έχουν την έννοια ότι ο φορέας εκμετάλλευσης διαδικτυακής αγοράς, ως υπεύθυνος επεξεργασίας κατά την έννοια του άρθρου 4, σημείο 7, του ΓΚΠΔ των δεδομένων προσωπικού χαρακτήρα που περιλαμβάνονται σε αγγελίες οι οποίες δημοσιεύονται στη διαδικτυακή αγορά του, υποχρεούται, πριν από τη δημοσίευση των αγγελιών και με χρήση κατάλληλων τεχνικών και οργανωτικών μέτρων,
– να εντοπίσει τις αγγελίες που περιλαμβάνουν ευαίσθητα δεδομένα κατά την έννοια του άρθρου 9, παράγραφος 1, του ΓΚΠΔ,
– να εξακριβώσει ότι ο χρήστης που αναρτά μια τέτοια αγγελία είναι το υποκείμενο των ευαίσθητων δεδομένων που περιλαμβάνονται στην εν λόγω αγγελία και, σε αντίθετη περίπτωση,
– να αρνηθεί τη δημοσίευση της αγγελίας, εκτός αν ο χρήστης ο οποίος πραγματοποιεί την ανάρτηση μπορεί να αποδείξει ότι το υποκείμενο των δεδομένων συγκατατίθεται ρητώς στη δημοσίευση των δεδομένων αυτών στην εν λόγω διαδικτυακή αγορά, κατά την έννοια του άρθρου 9, παράγραφος 2, στοιχείο αʹ, του ΓΚΠΔ, ή αν πρόκειται για μία από τις λοιπές εξαιρέσεις που προβλέπονται στο άρθρο 9, παράγραφος 2, στοιχεία βʹ έως ιʹ, του ΓΚΠΔ.
Επί του τέταρτου προδικαστικού ερωτήματος
107 Το τέταρτο προδικαστικό ερώτημα αφορά, κατ’ ουσίαν, το ζήτημα αν ο φορέας εκμετάλλευσης διαδικτυακής αγοράς υποχρεούται, ως υπεύθυνος επεξεργασίας, να εφαρμόσει μέτρα ασφάλειας προς αποτροπή ή περιορισμό της αντιγραφής και της αναδιανομής των αγγελιών που δημοσιεύονται στη διαδικτυακή αγορά του και περιλαμβάνουν ευαίσθητα δεδομένα.
108 Εν προκειμένω, από την αίτηση προδικαστικής αποφάσεως προκύπτει ότι, αφενός, η επίμαχη στην υπόθεση της κύριας δίκης ψευδής και βλαπτική διαφημιστική αγγελία αναπαρήχθη σε άλλους ιστοτόπους διαφημιστικού περιεχομένου, όπου η αγγελία αυτή δημοσιεύτηκε με αναφορά στην πηγή προέλευσης και, αφετέρου, στους γενικούς όρους χρήσης της διαδικτυακής αγοράς της, η Russmedia διατηρεί, μεταξύ άλλων, το δικαίωμα να διαβιβάζει το περιεχόμενο των δημοσιευόμενων στην αγορά της αγγελιών και να το παραχωρεί στους συνεργάτες της. Συναφώς, το αιτούν δικαστήριο δεν διευκρινίζει αν η Russmedia διαβίβασε αυτοβούλως τη συγκεκριμένη αγγελία στους άλλους ιστοτόπους ή αν επέτρεψε, κατ’ ελάχιστον, μέσω συμβάσεων τις δημοσιεύσεις αυτές ή αν, αντιθέτως, οι εν λόγω δημοσιεύσεις προκύπτουν από αντιγραφή της αρχικής αγγελίας για την οποία δεν παρέσχε άδεια η Russmedia.
109 Αν αποδειχθεί ότι ισχύει το πρώτο ενδεχόμενο, η διαβίβαση συνιστά νέα επεξεργασία δεδομένων προσωπικού χαρακτήρα για την οποία φέρει ευθύνη η Russmedia κατά την έννοια του άρθρου 4, σημείο 7, του ΓΚΠΔ. Η επεξεργασία αυτή πρέπει να διακριθεί από τη δημοσίευση από τον χρήστη της επίμαχης στην υπόθεση της κύριας δίκης ψευδούς και βλαπτικής αγγελίας στη διαδικτυακή αγορά της.
110 Συγκεκριμένα, χωρεί διάκριση μεταξύ των διαφορετικών επεξεργασιών δεδομένων προσωπικού χαρακτήρα που ανήκουν στην ίδια αλυσίδα πράξεων προς τον σκοπό της εξατομικευμένης εκτίμησης, για κάθε πρόσωπο που μπορεί να χαρακτηριστεί ως υπεύθυνος επεξεργασίας δεδομένων προσωπικού χαρακτήρα, της ευθύνης που μπορεί να του καταλογιστεί. Η περίσταση αυτή συνδέεται με το γεγονός ότι, προκειμένου να μπορεί να θεωρηθεί ως από κοινού υπεύθυνος επεξεργασίας, ένα φυσικό ή νομικό πρόσωπο πρέπει να εμπίπτει αυτοτελώς στην έννοια του «υπευθύνου επεξεργασίας» κατά το άρθρο 4, σημείο 7, του ΓΚΠΔ (απόφαση της 5ης Δεκεμβρίου 2023, Nacionalinis visuomenės sveikatos centras, C-683/21, EU:C:2023:949, σκέψη 41 και εκεί μνημονευόμενη νομολογία).
111 Συνεπώς, αν μια μεταγενέστερη διαβίβαση των δεδομένων προσωπικού χαρακτήρα πραγματοποιείται στο πλαίσιο συμβάσεων διαβίβασης μεταξύ του φορέα εκμετάλλευσης της διαδικτυακής αγοράς στην οποία δημοσιεύθηκαν αρχικώς τα επίμαχα δεδομένα προσωπικού χαρακτήρα και των φορέων εκμετάλλευσης άλλων ιστοτόπων, ο πρώτος φορέας εκμετάλλευσης είναι, κατ’ αρχήν, ο μόνος υπεύθυνος της επεξεργασίας την οποία συνιστά η διαβίβαση αυτή. Σε κάθε περίπτωση, κάθε υπεύθυνος επεξεργασίας υποχρεούται, μόνος ή από κοινού, να τηρεί όλες τις υποχρεώσεις που απορρέουν από τον ΓΚΠΔ.
112 Κατόπιν των διευκρινίσεων αυτών, το τέταρτο ερώτημα πρέπει να θεωρηθεί ότι αφορά την περίπτωση που η Russmedia δεν διαβίβασε σε άλλους ιστοτόπους διαφημιστικού περιεχομένου την επίμαχη στην κύρια δίκη ψευδή και βλαπτική διαφημιστική αγγελία και, ως εκ τούτου, δεν συναίνεσε στις εν λόγω μεταγενέστερες δημοσιεύσεις.
113 Επιπλέον, σημειώνεται επίσης ότι το ίδιο ερώτημα αφορά, κατ’ ουσίαν, το περιεχόμενο της υποχρέωσης ασφάλειας την οποία υπέχει ο υπεύθυνος επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Πλην όμως, το άρθρο 32 του ΓΚΠΔ έχει ειδικώς ως αντικείμενό του την ασφάλεια της επεξεργασίας. Συγκεκριμενοποιεί και διευκρινίζει μια ειδική πτυχή των απαιτήσεων του άρθρου 24 του ΓΚΠΔ, το οποίο καθορίζει κατά γενικό τρόπο, σε συνδυασμό με το άρθρο 5, παράγραφος 2, του ΓΚΠΔ, την ευθύνη του υπευθύνου επεξεργασίας.
114 Υπό τις συνθήκες αυτές, πρέπει να γίνει δεκτό ότι, με το τέταρτο προδικαστικό ερώτημα, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, να διευκρινιστεί αν το άρθρο 32 του ΓΚΠΔ έχει την έννοια ότι ο φορέας εκμετάλλευσης διαδικτυακής αγοράς, ως υπεύθυνος επεξεργασίας κατά το άρθρο 4, σημείο 7, του ΓΚΠΔ των δεδομένων προσωπικού χαρακτήρα που περιλαμβάνονται σε αγγελίες που δημοσιεύονται στη διαδικτυακή αγορά του, υποχρεούται να εφαρμόζει μέτρα ασφάλειας προς αποτροπή της αντιγραφής και της παράνομης δημοσίευσης σε άλλους ιστοτόπους των αγγελιών που δημοσιεύονται στην εν λόγω διαδικτυακή αγορά και περιλαμβάνουν ευαίσθητα δεδομένα κατά το άρθρο 9, παράγραφος 1, του ΓΚΠΔ.
115 Το άρθρο 32, παράγραφος 1, του ΓΚΠΔ προβλέπει ότι ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία, λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και το είδος, την έκταση, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα για την επίτευξη του κατάλληλου επιπέδου ασφάλειας έναντι των κινδύνων.
116 Το άρθρο 32, παράγραφος 2, του ΓΚΠΔ ορίζει ότι κατά την εκτίμηση του ενδεδειγμένου επιπέδου ασφάλειας πρέπει να λαμβάνονται ιδίως υπόψη οι κίνδυνοι που απορρέουν από την επεξεργασία, ιδίως από τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, άνευ αδείας κοινολόγηση ή προσπέλαση δεδομένων προσωπικού χαρακτήρα.
117 Το Δικαστήριο έχει κρίνει ότι η αναφορά του άρθρου 32, παράγραφοι 1 και 2, του ΓΚΠΔ σε «κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων» και σε «ενδεδειγμένο επίπεδο ασφάλειας» μαρτυρεί ότι ο ΓΚΠΔ θεσπίζει σύστημα διαχείρισης των κινδύνων και ουδόλως αποσκοπεί στην εξάλειψη των κινδύνων παραβίασης των δεδομένων προσωπικού χαρακτήρα (απόφαση της 14ης Δεκεμβρίου 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, σκέψη 29).
118 Επομένως, από το γράμμα του άρθρου 32 του ΓΚΠΔ, σε συνδυασμό με το άρθρο 24 του ΓΚΠΔ, προκύπτει ότι το εν λόγω άρθρο 32 επιβάλλει απλώς στον υπεύθυνο επεξεργασίας την υποχρέωση να λαμβάνει τεχνικά και οργανωτικά μέτρα για την αποφυγή, στο μέτρο του δυνατού, οποιασδήποτε προσβολής των δεδομένων προσωπικού χαρακτήρα. Η καταλληλότητα των μέτρων αυτών πρέπει να αξιολογείται κατά τρόπο συγκεκριμένο, με εξέταση του αν ο υπεύθυνος εφάρμοσε τα εν λόγω μέτρα λαμβάνοντας υπόψη τα διάφορα κριτήρια που προβλέπονται στα ως άνω άρθρα και τις ανάγκες προστασίας των δεδομένων που είναι ειδικώς εγγενείς στη συγκεκριμένη επεξεργασία, καθώς και τους κινδύνους που ενέχει η ίδια επεξεργασία (πρβλ. απόφαση της 14ης Δεκεμβρίου 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, σκέψη 30).
119 Συναφώς, προκειμένου να προσδιοριστεί ο συγκεκριμένος κίνδυνος τον οποίον συνιστά η οικεία επεξεργασία, πρέπει να ληφθεί υπόψη ο ενδεχόμενος ευαίσθητος χαρακτήρας των δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία. Ειδικότερα, όπως υπομνήσθηκε στις σκέψεις 51 και 90 της παρούσας αποφάσεως, η αυξημένη προστασία που προβλέπεται στο άρθρο 9, παράγραφος 1, του ΓΚΠΔ για ορισμένες κατηγορίες δεδομένων, λόγω του ιδιαίτερα ευαίσθητου χαρακτήρα τους, οφείλεται στο γεγονός ότι η επεξεργασία τέτοιων δεδομένων ενδέχεται να συνιστά ιδιαίτερα σοβαρή επέμβαση στα θεμελιώδη δικαιώματα του σεβασμού της ιδιωτικής ζωής και της προστασίας των δεδομένων προσωπικού χαρακτήρα, τα οποία κατοχυρώνονται στα άρθρα 7 και 8 του Χάρτη. (πρβλ. απόφαση της 21ης Δεκεμβρίου 2023, Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, σκέψη 41 και εκεί μνημονευόμενη νομολογία).
120 Ειδικότερα, μετά τη δημοσίευση στο διαδίκτυο μιας αγγελίας που περιλαμβάνει δεδομένα προσωπικού χαρακτήρα, η οποία καθίσταται, ως εκ τούτου, προσβάσιμη στο σύνολό της, η διάδοση των δεδομένων αυτών ενέχει, μεταξύ άλλων, τον κίνδυνο απώλειας ελέγχου επί των εν λόγω δεδομένων προσωπικού χαρακτήρα, ο οποίος, εφόσον επέλθει, στερεί κάθε πρακτική αποτελεσματικότητα από τα δικαιώματα και τις εγγυήσεις που αναγνωρίζει ο ΓΚΠΔ υπέρ του υποκειμένου των δεδομένων, όπως, πρωτίστως, το δικαίωμα διαγραφής που προβλέπεται στο άρθρο 17 του ΓΚΠΔ.
121 Επίσης, όταν ευαίσθητα δεδομένα δημοσιεύονται στο διαδίκτυο, ο υπεύθυνος επεξεργασίας υποχρεούται, βάσει του άρθρου 32 του ΓΚΠΔ, να λαμβάνει όλα τα τεχνικά και οργανωτικά μέτρα προκειμένου να εγγυάται κατάλληλο επίπεδο ασφάλειας προς αποτελεσματική αποτροπή της απώλειας ελέγχου επί των δεδομένων.
122 Στο πλαίσιο αυτό, ο υπεύθυνος επεξεργασίας πρέπει να εξετάζει, μεταξύ άλλων, όλα τα τεχνικά μέτρα της υφιστάμενης τεχνογνωσίας που θα μπορούσαν να αποτρέψουν την αντιγραφή και την αναπαραγωγή του διαδικτυακού περιεχομένου.
123 Εντούτοις, διευκρινίζεται επιπλέον ότι τα άρθρα 24 και 32 του ΓΚΠΔ δεν μπορούν να ερμηνευθούν υπό την έννοια ότι η παράνομη διάδοση δεδομένων προσωπικού χαρακτήρα που έχουν προηγουμένως δημοσιευθεί στο διαδίκτυο αρκεί ώστε να συναχθεί το συμπέρασμα ότι τα μέτρα που έλαβε ο υπεύθυνος επεξεργασίας δεν είναι κατάλληλα, κατά την έννοια των διατάξεων αυτών, χωρίς καν να του παρέχεται η δυνατότητα να προσκομίσει αποδείξεις περί του αντιθέτου (απόφαση της 14ης Δεκεμβρίου 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, σκέψη 31).
124 Εν προκειμένω, από την απόφαση περί παραπομπής προκύπτει ότι, παρά την αφαίρεση της επίμαχης στην υπόθεση της κύριας δίκης ψευδούς και βλαπτικής αγγελίας στη διαδικτυακή αγορά της Russmedia, η αγγελία αυτή εξακολουθεί να είναι προσβάσιμη στο διαδίκτυο μέσω άλλων ιστοτόπων, χωρίς η αναιρεσείουσα της κύριας δίκης να φαίνεται να δύναται να επιτύχει τη διαγραφή της.
125 Πλην όμως, η συγκεκριμένη απώλεια ελέγχου οφείλεται στην εξαρχής παράνομη δημοσίευση της επίμαχης στην υπόθεση της κύριας δίκης ψευδούς και βλαπτικής αγγελίας, κατά παράβαση των απαιτήσεων του ΓΚΠΔ. Εν πάση περιπτώσει, η Russmedia όφειλε να εφαρμόσει κατάλληλα τεχνικά και οργανωτικά μέτρα ώστε να εγγυηθεί επίπεδο ασφάλειας ανάλογο του κινδύνου βάσει του άρθρου 32 του ΓΚΠΔ και να αποτρέψει κατά το μέτρο του δυνατού οποιαδήποτε αντιγραφή της αγγελίας αυτής. Στο αιτούν δικαστήριο εναπόκειται να εξακριβώσει κατά πόσον συντρέχει τέτοια περίπτωση.
126 Λαμβανομένων υπόψη των ανωτέρω σκέψεων, στο τέταρτο προδικαστικό ερώτημα πρέπει να δοθεί η απάντηση ότι το άρθρο 32 του ΓΚΠΔ έχει την έννοια ότι ο φορέας εκμετάλλευσης διαδικτυακής αγοράς, ως υπεύθυνος επεξεργασίας κατά το άρθρο 4, σημείο 7, του ΓΚΠΔ των δεδομένων προσωπικού χαρακτήρα που περιλαμβάνονται σε αγγελίες που δημοσιεύονται στη διαδικτυακή αγορά του, υποχρεούται να εφαρμόζει μέτρα ασφάλειας προς αποτροπή της αντιγραφής και της παράνομης δημοσίευσης σε άλλους ιστοτόπους των αγγελιών που δημοσιεύονται στην εν λόγω διαδικτυακή αγορά και περιλαμβάνουν ευαίσθητα δεδομένα κατά το άρθρο 9, παράγραφος 1, του ΓΚΠΔ.
Επί του πρώτου προδικαστικού ερωτήματος, το οποίο αφορά την ερμηνεία της οδηγίας 2000/31
127 Όπως επισημάνθηκε στις σκέψεις 45 και 46 της παρούσας αποφάσεως, το αιτούν δικαστήριο ζητεί επίσης να διευκρινιστεί αν ο φορέας εκμετάλλευσης διαδικτυακής αγοράς, ως υπεύθυνος επεξεργασίας κατά το άρθρο 4, σημείο 7, του ΓΚΠΔ των δεδομένων προσωπικού χαρακτήρα που περιλαμβάνονται σε αγγελίες που δημοσιεύονται στη διαδικτυακή αγορά του, μπορεί να επικαλεστεί, σχετικά με παράβαση των υποχρεώσεων που απορρέουν από το άρθρο 5, παράγραφος 2, του ΓΚΠΔ καθώς και από τα 24 έως 26 και 32 του ΓΚΠΔ, τα άρθρα 12 έως 15 της οδηγίας 2000/32 που αφορούν την ευθύνη των μεσαζόντων παροχής υπηρεσιών.
128 Επομένως, τίθεται το ζήτημα της σχέσης μεταξύ των δύο αυτών νομικών πράξεων της Ένωσης. Συγκεκριμένα, πρέπει να προσδιοριστεί αν τα άρθρα 12 έως 15 της οδηγίας 2000/31 επιδρούν στο καθεστώς ευθύνης το οποίο προβλέπει ο ΓΚΠΔ.
129 Συναφώς, επισημαίνεται, αφενός, ότι το άρθρο 1, παράγραφος 5, στοιχείο βʹ, της οδηγίας 2000/31 διευκρινίζει ότι η οδηγία αυτή δεν έχει εφαρμογή σε θέματα σχετικά με τις υπηρεσίες της κοινωνίας της πληροφορίας που καλύπτονται από τις οδηγίες 95/46 και 97/66.
130 Η εν λόγω διάταξη έχει ερμηνευθεί από το Δικαστήριο υπό την έννοια ότι τα ζητήματα που συνδέονται με την προστασία του απορρήτου των επικοινωνιών και των δεδομένων προσωπικού χαρακτήρα πρέπει να εκτιμώνται υπό το πρίσμα του ΓΚΠΔ και της οδηγίας 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 12ης Ιουλίου 2002, σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών (οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες) (ΕΕ 2002, L 201, σ. 37), δεδομένου ότι τα νομοθετήματα αυτά αντικατέστησαν αντιστοίχως την οδηγία 95/46 και την οδηγία 97/66, διευκρινιζομένου ότι η προστασία την οποία σκοπεί να διασφαλίσει η οδηγία 2000/31 δεν μπορεί, εν πάση περιπτώσει, να θίξει τις απαιτήσεις που απορρέουν από τον ΓΚΠΔ και την οδηγία 2002/58 (απόφαση της 6ης Οκτωβρίου 2020, La Quadrature du Net κ.λπ., C-511/18, C-512/18 και C-520/18, EU:C:2020:791, σκέψη 200 και εκεί μνημονευόμενη νομολογία).
131 Από τη συγκεκριμένη ερμηνεία προκύπτει, μεταξύ άλλων, ότι η απαλλαγή που προβλέπει το άρθρο 14, παράγραφος 1, της οδηγίας 2000/31, την οποία θα μπορούσε να προβάλει ο φορέας εκμετάλλευσης διαδικτυακής αγοράς σχετικά με τις πληροφορίες που φιλοξενούνται στον ιστότοπό του, δεν μπορεί να θίξει το καθεστώς του ΓΚΠΔ στο οποίο υπόκειται ένας τέτοιος φορέας εκμετάλλευσης όπως και κάθε άλλος φορέας που εμπίπτει στο πεδίο εφαρμογής του ΓΚΠΔ.
132 Το ίδιο ισχύει επίσης όσον αφορά το άρθρο 15 της οδηγίας 2000/31, βάσει του οποίου τα κράτη μέλη δεν μπορούν να επιβάλλουν στους παρόχους υπηρεσιών, για την παροχή των υπηρεσιών που αναφέρονται, μεταξύ άλλων, στο άρθρο 14 της οδηγίας αυτής, γενική υποχρέωση εποπτείας. Περαιτέρω, η υποχρέωση του φορέα εκμετάλλευσης διαδικτυακής αγοράς να συμμορφώνεται προς τις απαιτήσεις που απορρέουν από τον ΓΚΠΔ δεν μπορεί, εν πάση περιπτώσει, να χαρακτηριστεί ως τέτοια γενική υποχρέωση εποπτείας.
133 Αφετέρου, το άρθρο 2, παράγραφος 4, του ΓΚΠΔ προβλέπει ότι ο ΓΚΠΔ δεν θίγει την εφαρμογή της οδηγίας 2000/31, ιδίως των κανόνων για την ευθύνη των μεσαζόντων παροχής υπηρεσιών που προβλέπονται στα άρθρα 12 έως 15 της οδηγίας αυτής.
134 Το άρθρο 2, παράγραφος 4, του ΓΚΠΔ έχει την έννοια ότι το γεγονός ότι ένας οικονομικός φορέας είναι ο φορέας ο οποίος υπέχει υποχρεώσεις δυνάμει του ΓΚΠΔ δεν αποκλείει αυτομάτως τη δυνατότητα του φορέα αυτού να επικαλείται τα άρθρα 12 έως 15 της οδηγίας 2000/31 για θέματα διαφορετικά από εκείνα που αφορούν την προστασία των δεδομένων προσωπικού χαρακτήρα.
135 Επομένως, από τον συνδυασμό του άρθρου 1, παράγραφος 5, στοιχείο βʹ, της οδηγίας 2000/31 και του άρθρου 2, παράγραφος 4, του ΓΚΠΔ προκύπτει ότι οι διατάξεις της οδηγίας αυτής, ιδίως τα άρθρα 12 έως 15 της εν λόγω οδηγίας, δεν επιδρούν στο καθεστώς που προβλεπει ο ΓΚΠΔ.
136 Λαμβανομένων υπόψη των ανωτέρω σκέψεων, στο πρώτο προδικαστικό ερώτημα πρέπει να δοθεί η απάντηση ότι το άρθρο 1, παράγραφος 5, στοιχείο βʹ, της οδηγίας 2000/31 και το άρθρο 2, παράγραφος 4, του ΓΚΠΔ έχουν την έννοια ότι ο φορέας εκμετάλλευσης διαδικτυακής αγοράς, ως υπεύθυνος επεξεργασίας κατά το άρθρο 4, σημείο 7, του ΓΚΠΔ των δεδομένων προσωπικού χαρακτήρα που περιλαμβάνονται σε αγγελίες που δημοσιεύονται στη διαδικτυακή αγορά του, δεν μπορεί να επικαλεστεί, σχετικά με παράβαση των υποχρεώσεων που απορρέουν από το άρθρο 5, παράγραφος 2, του ΓΚΠΔ καθώς και από τα 24 έως 26 και 32 του ΓΚΠΔ, τα άρθρα 12 έως 15 της οδηγίας 2000/32 που αφορούν την ευθύνη των μεσαζόντων παροχής υπηρεσιών.
Επί των δικαστικών εξόδων
137 Δεδομένου ότι η παρούσα διαδικασία έχει ως προς τους διαδίκους της κύριας δίκης τον χαρακτήρα παρεμπίπτοντος που ανέκυψε ενώπιον του αιτούντος δικαστηρίου, σ’ αυτό εναπόκειται να αποφανθεί επί των δικαστικών εξόδων. Τα έξοδα στα οποία υποβλήθηκαν όσοι υπέβαλαν παρατηρήσεις στο Δικαστήριο, πλην των ως άνω διαδίκων, δεν αποδίδονται.
Για τους λόγους αυτούς, το Δικαστήριο (τμήμα μείζονος συνθέσεως) αποφαίνεται:
1) Το άρθρο 5, παράγραφος 2, καθώς και τα άρθρα 24 έως 26 του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων),
έχουν την έννοια ότι:
ο φορέας εκμετάλλευσης διαδικτυακής αγοράς, ως υπεύθυνος επεξεργασίας κατά την έννοια του άρθρου 4, σημείο 7, του κανονισμού αυτού των δεδομένων προσωπικού χαρακτήρα που περιλαμβάνονται σε αγγελίες οι οποίες δημοσιεύονται στη διαδικτυακή αγορά του, υποχρεούται, πριν από τη δημοσίευση των αγγελιών και με χρήση κατάλληλων τεχνικών και οργανωτικών μέτρων,
– να εντοπίσει τις αγγελίες που περιλαμβάνουν ευαίσθητα δεδομένα κατά την έννοια του άρθρου 9, παράγραφος 1, του εν λόγω κανονισμού,
– να εξακριβώσει ότι ο χρήστης που αναρτά μια τέτοια αγγελία είναι το υποκείμενο των ευαίσθητων δεδομένων που περιλαμβάνονται στην εν λόγω αγγελία και, σε αντίθετη περίπτωση,
– να αρνηθεί τη δημοσίευση της αγγελίας, εκτός αν ο χρήστης ο οποίος πραγματοποιεί την ανάρτηση μπορεί να αποδείξει ότι το υποκείμενο των δεδομένων συγκατατίθεται ρητώς στη δημοσίευση των δεδομένων αυτών στην εν λόγω διαδικτυακή αγορά, κατά την έννοια του άρθρου 9, παράγραφος 2, στοιχείο αʹ, του ως άνω κανονισμού, ή αν πρόκειται για μία από τις λοιπές εξαιρέσεις που προβλέπονται στο άρθρο 9, παράγραφος 2, στοιχεία βʹ έως ιʹ, του ίδιου κανονισμού.
2) Το άρθρο 32 του κανονισμού 2016/679
έχει την έννοια ότι:
ο φορέας εκμετάλλευσης διαδικτυακής αγοράς, ως υπεύθυνος επεξεργασίας κατά το άρθρο 4, σημείο 7, του κανονισμού αυτού των δεδομένων προσωπικού χαρακτήρα που περιλαμβάνονται σε αγγελίες οι οποίες δημοσιεύονται στη διαδικτυακή αγορά του, υποχρεούται να εφαρμόζει μέτρα ασφάλειας προς αποτροπή της αντιγραφής και της παράνομης δημοσίευσης σε άλλους ιστοτόπους των αγγελιών που δημοσιεύονται στην εν λόγω διαδικτυακή αγορά και περιλαμβάνουν ευαίσθητα δεδομένα κατά το άρθρο 9, παράγραφος 1, του ίδιου κανονισμού.
3) Το άρθρο 1, παράγραφος 5, στοιχείο βʹ, της οδηγίας 2000/31/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 8ης Ιουνίου 2000, για ορισμένες νομικές πτυχές των υπηρεσιών της κοινωνίας της πληροφορίας, ιδίως του ηλεκτρονικού εμπορίου, στην εσωτερική αγορά («οδηγία για το ηλεκτρονικό εμπόριο»), και το άρθρο 2, παράγραφος 4, του κανονισμού 2016/679,
έχουν την έννοια ότι:
ο φορέας εκμετάλλευσης διαδικτυακής αγοράς, ως υπεύθυνος επεξεργασίας κατά το άρθρο 4, σημείο 7, του κανονισμού αυτού των δεδομένων προσωπικού χαρακτήρα που περιλαμβάνονται σε αγγελίες οι οποίες δημοσιεύονται στη διαδικτυακή αγορά του, δεν μπορεί να επικαλεστεί, σχετικά με παράβαση των υποχρεώσεων που απορρέουν από το άρθρο 5, παράγραφος 2, του εν λόγω κανονισμού καθώς και από τα 24 έως 26 και 32 του ίδιου κανονισμού, τα άρθρα 12 έως 15 της οδηγίας 2000/32 που αφορούν την ευθύνη των μεσαζόντων παροχής υπηρεσιών.
(υπογραφές)
