Een online marktplaats is onder de AVG verwerkingsverantwoordelijke voor de inhoud van advertenties die haar gebruikers plaatsen. Dat bepaalde het Hof van Justitie in zaak C-492/23 (Russmedia). Dit doorkruist keihard de gevestigde regel dat zo’n platform in beginsel gewoon niet aansprakelijk is. Wat is hier gebeurd?
De zaak begon toen op advertentieplatform publi24.ro (zeg maar het Roemeense Marktplaats) een advertentie verscheen waarin een vrouw seksuele diensten aanbood, met foto en telefoonnummer. Dat was echter zonder toestemming van deze betrokkene gebeurd, waardoor zij via de AVG verwijdering van de advertentie eiste.
Verwijdering gebeurde ook keurig, maar ondertussen was de advertentie al elders opgedoken. En vandaar de vraag: kun je dat onder de AVG de uitgever (Russmedia) aanwrijven? Dat ging naar het Hof van Justitie en nu zitten wij met de gebakken peren.
Het Hof constateert allereerst dat het vrij duidelijk is dat het platform de verwerkingsverantwoordelijke is. Daarbij woog de brede licentie uit de voorwaarden zwaar: als Russmedia alles mag doen met advertentiecontent, dan laat dat zien dat ze zelf (in AVG-termen) het doel en de middelen van de verwerking van die persoonsgegevens vaststelt. (De plaatser speelt ook een rol, maar de vrijheid van Russmedia was belangrijker.)
Nu is dat tot daar aan toe, maar betekent dit dat Russmedia a priori aansprakelijk is voor onjuiste gegevens in advertenties? Onder de regels voor hostingpartijen (DSA) is dat antwoord normaal duidelijk: nee, pas na het niet tijdig opvolgen van een klacht (notice&action) kan aansprakelijkheid ontstaan.
Het Hof leest de DSA – en haar voorganger de ecommercerichtlijn uit 2000 – echter nog eens goed, en ziet dan in artikel 1 punt 5 een item waar ik me ook al vaker over verbaasd had:
b) kwesties in verband met diensten van de informatiemaatschappij die onder Richtlijn 95/46/EG en Richtlijn 97/66/EG vallen;Overal waar naar Richtlijn 95/46 verwezen wordt, moet je nu een verwijzing naar de AVG lezen. En de DSA heeft in artikel 2.4 iets vergelijkbaars, haar regels mogen niet regels overrulen uit onder meer
het Unierecht betreffende de bescherming van persoonsgegevens, met name Verordening (EU) 2016/679 en Richtlijn 2002/58/EG;De onvermijdelijke conclusie is dus: een platform zoals public24.ro is aansprakelijk voor onrechtmatige verwerking van persoonsgegevens. Per direct, zonder voorafgaande klacht, zoals bij iedereen die persoonsgegevens verwerkt. Want een claim wegens aansprakelijkheid (art. 82 AVG) mag dus niet worden gepareerd met de Digital Services Act.
Geldt dit nu voor álle hostingpartijen? Daar twijfel ik een beetje over. Een belangrijke overweging van het Hof was dat het marktplaatsplatform zelf best actief besliste wat er met die advertenties zou gebeuren. Een kale hoster geeft enkel door wat de gebruiker plaatst, en dat komt voor mij niet in de buurt.
De DSA kent zelf ook de categorie van handelsplatforms (afdeling 4), maar daar regelt ze niets dat relevant is voor persoonsgegevens. Ik durf het dan ook niet aan om te zeggen, deze uitspraak geldt enkel voor die specifieke categorie.
Misschien maakt het uit dat het om advertenties gaat, maar ook dat betwijfel ik. De uitspraak draait duidelijk om het eigenmachtig beslissen waar de content geplaatst wordt, niet dat het gaat om commerciële reclame of afkomstig is van bedrijven.
Het Hof verbindt de uitkomst wel aan specifieke plichten:
- Advertenties screenen op bijzondere persoonsgegevens;
- Controleren of de betrokkene van die gegevens de plaatser van de advertentie is;
- Zo niet, bewijs verlangen dat de betrokkene uitdrukkelijke toestemming (of andere AVG-uitzondering op artikel 9) heeft gegeven;
- Adequate beveiligingsmaatregelen (art. 32) nemen tegen ongeautoriseerde overname van de advertenties door derden.
Arnoud
