Odpowiedzialność hosting providerów na gruncie Aktu o Usługach Cyfrowych i RODO – wyrok TSUE w sprawie C-492/23

2 grudnia 2025 r. Trybunał Sprawiedliwości Unii Europejskiej wydał przełomowy wyrok w sprawie C-492/23 TSUE. Sprawa dotyczyła powództwa osoby fizycznej przeciwko spółkom Russmedia Digital SRL i Inform Media Press SRL o zadośćuczynienie za krzywdę związaną z niezgodnym z prawem przetwarzaniem danych osobowych oraz naruszeniem prawa do wizerunku, czci i życia prywatnego pozwanej. Wyrok rozszerza odpowiedzialność internetowych platform oraz nakłada na nich obowiązek weryfikacji publikowanej treści.

Pozwane spółki były właścicielem internetowej platformy handlowej umożliwiającej zamieszczanie ogłoszeń, w szczególności sprzedaży towarów lub świadczenia usług w Rumunii. Niezidentyfikowana osoba trzecia opublikowała na wskazanej platformie nieprawdziwą i szykanującą informację, jakoby powódka świadczyła usługi seksualne. Ogłoszenie zawierało zdjęcia powódki oraz jej numer telefonu. Te dane zostały wykorzystane bez jej zgody. Ogłoszenie było też powielone na innych stronach internetowych. Dostawca platformy internetowej usunął ogłoszenie niezwłocznie po otrzymaniu żądania powódki, jednak jego treść pozostała dalej dostępna na innych stronach internetowych. W wyniku zadanych pytań prejudycjalnych TSUE dokonał analizy zakresu odpowiedzialności dostawcy platformy ogłoszeniowej za informacje przekazywane przez jej użytkowników.

Platforma ogłoszeniowa jako administrator/współadministrator danych osobowych publikowanych przez użytkowników

Dane osobowe umieszczone w ogłoszeniu należały do szczególnej kategorii, o której mowa w art. 9 ust 1 RODO. Dotyczyły bowiem życia seksualnego lub orientacji seksualnej osoby fizycznej, a takie informacje powinny podlegać zwiększonej ochronie administratora danych osobowych.

Nie ulegało wątpliwościom, że anonimowy użytkownik, który zamieścił ogłoszenie, określił sposoby i cele przetwarzania, wobec czego należy uznać go za administratora. W tym kontekście trzeba pamiętać, że TSUE zaznaczył, iż „każda osoba fizyczna lub prawna, która wpływa dla własnych interesów na przetwarzanie takich danych i uczestniczy z tego powodu w określaniu celów i sposobów tego przetwarzania, może być uznana za administratora danych” (zob. wyrok z dnia 5 grudnia 2023 r., Nacionalinis visuomenės sveikatos centras, C-683/21). W wyroku podkreślono, że publikacja w Internecie stała się możliwa wyłącznie dzięki internetowej platformie ogłoszeniowej, która opublikowała dane osobowe do celów handlowych lub reklamowych, wykraczających poza zwykłe świadczenie usług na rzecz użytkownika będącego reklamodawcą.[1] Z tych też względów TSUE uznał, że operatora platformy oraz osobę zamieszczającą ogłoszenie należy uznać za współadministratorów danych osobowych. Za uznaniem platformy ogłoszeniowej za administratora danych przemawiał również fakt, iż zapewniała ona dalsze rozpowszechnianie ogłoszenia na innych stronach internetowych, czym określiła cele i zasady przetwarzania.

Publikacja danych osobowych na internetowej platformie handlowej we własnych celach handlowych (tj. dalsze rozpowszechnianie, zwielokrotnianie czy modyfikowanie) została uznana przez TSUE za określenie własnych celów przetwarzania. Wykorzystanie danych osobowych do własnych celów reklamowych i handlowych może prowadzić do uznania platformy za administratora danych osobowych. W omawianym kontekście nie jest istotne to, że platforma ogłoszeniowa nie brała udziału w określeniu kłamliwej treści ogłoszenia. Za określenie celów przetwarzania uznano samo udostępnienie użytkownikowi platformy umożliwiającej opublikowanie ogłoszenia – przyjęto bowiem, że takie udostępnienie stanowi wywarcie decydującego wpływu na sposób gromadzenia i przekazywania danych osobowych poprzez ustalenie przez platformę parametrów rozpowszechniania.[2]

TSUE podkreślił ponadto, że operator internetowej platformy handlowej nie może zwolnić się z odpowiedzialności jako administrator danych osobowych jedynie na tej podstawie, że sam nie określił treści ogłoszenia opublikowanego na tej platformie. Ciężar wykazania zgodności przetwarzania z przepisami o ochronie danych osobowych, zgodnie z zasadą rozliczalności, spoczywa na administratorze. W tym kontekście Trybunał zwrócił uwagę na fakt, że umieszczenie ogłoszenia przez osobę, której dotyczą dane wrażliwe, mogłoby stanowić zgodę w rozumieniu art. 9 ust. 2 lit. a RODO, jednak w sytuacji, gdy ogłoszenie zostało zamieszczone przez osobę trzecią, nie można domniemywać istnienia takiej zgody. Z tego względu na operatorze platformy spoczywa również obowiązek ustalenia zasad podziału odpowiedzialności pomiędzy współadministratorów oraz podjęcia działań pozwalających na identyfikację użytkownika będącego reklamodawcą i weryfikację, czy jest on osobą, której dane wrażliwe zostały opublikowane w ogłoszeniu.

Obowiązek zastosowania odpowiednich środków technicznych i organizacyjnych przez operatora platformy ogłoszeniowej

Wyrok TSUE nakłada na platformy ogłoszeniowe (i inne platformy umożliwiające publikację danych i informacji) obowiązek wdrożenia, za pomocą odpowiednich środków technicznych i organizacyjnych, rozwiązań umożliwiających:

1. identyfikację ogłoszeń zawierających dane szczególnych kategorii w rozumieniu art. 9 ust. 1 RODO (dane ujawniające pochodzenie rasowe, etniczne, poglądy polityczne, przekonania religijne, światopogląd, przynależność do związków zawodowych czy dane dotyczące zdrowia, seksualności lub orientacji seksualnej),
2. weryfikację czy użytkownik, który zamierza zamieścić ogłoszenie jest osobą, której dotyczą dane szczególnych kategorii zawarte w tym ogłoszeniu,
3. jeżeli zaś reklamodawca nie jest osobą, której dane dotyczą, operator platformy powinien odmówić publikacji tego ogłoszenia, chyba że reklamodawca jest w stanie wykazać, że posiada zgodę na opublikowanie tych danych albo zachodzi jeden z wyjątków, o których mowa w art. 9 ust 2 lit b-j RODO,[3]
4. uniemożliwianie kopiowania i niezgodnego z prawem publikowania na innych stronach internetowych ogłoszeń zawierających dane szczególnych kategorii, które zostały opublikowane na tej platformie[4],
5. wdrożenia domyślnych rozwiązań privacy by design. Ma to szczególne znaczenie, w kontekście przetwarzania wrażliwych danych – w takim przypadku administrator powinien ustalić, jakie odpowiednie środki w rozumieniu art. 24-25 RODO należy zastosować ponieważ ewentualne naruszenie ochrony tych danych może stanowić poważną ingerencję w prawa podstawowe do poszanowania życia prywatnego i do ochrony danych osobowych zagwarantowane w art. 7 i 8 Karty Praw Podstawowych.[5] Środki te powinny umożliwić ograniczenie ryzyka niezgodnego z prawem przetwarzania danych osobowych, i zwalczanie nieuczciwego korzystania ze stron internetowych w sposób ograniczający poczucie bezkarności, a jednocześnie zachęcający do przestrzegania wymogów RODO przez reklamodawców,
6. analizę podwyższonego ryzyka publikowania danych na stronie internetowej, które to dane są dostępne dla wszystkich użytkowników Internetu oraz mogą zostać skopiowane i zwielokrotniane, co może utrudnić lub nawet uniemożliwić osobie której dane dotyczą rzeczywiste usunięcie tych informacji z Internetu (przy czym w przypadku danych szczególnych kategorii ryzyko to jest jeszcze większe).

Zasada „notice and takedown”

Obowiązek podjęcia odpowiednich działań platform internetowych został również nałożony w Akcie o usługach cyfrowych[6] (ang. Digital Services Act – dalej: DSA). Rozporządzenie to ma zastosowanie do usług hostingu rozumianych jako przechowywanie informacji przekazywanych przez odbiorcę usługi na jego żądanie[7]. Usługi hostingu mogą być świadczone przez platformy internetowe, do których należy też zaliczyć portale społecznościowe i platformy e-commerce. Ustawodawca unijny uznał bowiem, że podmioty te nie tylko przechowują informacje użytkowników na ich żądanie, ale również rozpowszechniają te informacje. Za dostawców usług hostingowych nie będą uznawane platformy, gdy publiczne udostępnianie treści użytkowników ma charakter marginalny, poboczny lub nieznaczny co do głównych usług np. sekcja komentarzy w gazecie internetowej będzie miała poboczny charakter w stosunku do głównej usługi, jaką jest publikacja wiadomości. Za usługi hostingu rozumie się też odpłatne usługi odsyłania, wymianę informacji lub treści online, w tym przechowywanie i udostępnianie plików.[8]

Omawiany wyrok pokrótce odnosił się do kwestii ograniczenia odpowiedzialności usługodawców za dane przetwarzane on-line w ramach usług społeczeństwa informacyjnego, w tym m.in. za weryfikację treści informacji lub ogłoszeń zamieszczanych przez użytkowników portali, określoną w art. 12-14 Dyrektywy o handlu elektronicznym[9]. Niemniej jednak, wskazane postanowienia ograniczające tę odpowiedzialność zostały uchylone w momencie wejścia w życie DSA.

Art. 16 DSA nakłada na dostawców usług hostingowych obowiązek wprowadzenia mechanizmu notice and takedown. Mechanizm ten zakłada wprowadzenie możliwości wprowadzenia łatwo dostępnych i przyjaznych dla użytkownika narzędzi umożliwiających użytkownikowi zgłoszenie nielegalnych treści. W rozumieniu rozporządzenia nielegalnymi treściami są takie informacje, które nie są zgodne z prawem Unii lub prawem krajowym, niezależnie od konkretnego przedmiotu lub charakteru tego prawa[10]. Oznacza to, że procedura ta została zawężona wyłącznie do treści bezprawnych nie obejmując np. treści szkodliwych.

Zgłoszenia nielegalnych treści powinny być precyzyjne i odpowiednio uzasadnione, wobec czego powinny zawierać następujące elementy:

1. uzasadnienie użytkownika, dlaczego w jego ocenie dane informacje stanowią nielegalne treści,
2. dokładne wskazanie informacji, np. przez podanie adresu URL lub inną identyfikację nielegalnych treści,
3. imię i nazwisko, nazwę oraz e-mail zgłaszającego,
4. oświadczenie, że zgłoszenie jest dokonane w dobrej wierze, a informacje i zarzuty w nim zawarte są prawidłowe[11].

Ponadto DSA nakłada na dostawców usług hostingu liczne obowiązki, m.in. ewidencjonowania zgłoszeń, o których mowa powyżej, informowania zgłaszającego o swojej decyzji i prawie odwołania od niej oraz złożenia zawiadomienia o podejrzeniu popełnienia przestępstwa zagrażającego życiu lub bezpieczeństwu osób. W przypadku zaś stwierdzenia, że treści zgłoszone przez użytkownika platformy stanowią nielegalne treści, dostawca usług hostingowych, uzasadniając swoją decyzję, jest uprawniony do:

1. ograniczenia widoczności określonych informacji, w tym ich usunięcia lub depozycjonowania treści,
2. zawieszenia, zakończenia lub innego ograniczenia płatności pieniężnych,
3. zawieszenia lub zakończenia świadczenia usługi w całości lub w części,
4. zawieszenia lub zamknięcia konta odbiorcy usługi[12].

Platformy będące średnimi i dużymi przedsiębiorcami, zobowiązane są do zapewnienia wewnętrznego systemu rozpatrywania skarg, zapewniających możliwość elektronicznego i bezpłatnego wnoszenia skarg na decyzję podjętą przez dostawcę platformy internetowej po otrzymaniu zgłoszenia. Dodatkowo podmioty, o których mowa w niniejszym ustępie, są zobowiązane do wprowadzenia niezbędnych środków organizacyjnych i technicznych w celu zapewnienia priorytetowego traktowania zgłoszeń dokonywanych przez zaufane podmioty sygnalizujące, oraz rozpatrywania tych zgłoszeń.[13]

Privacy by design jako obowiązek zapobiegania niewłaściwego przetwarzania danych osobowych.

Wyrok TSUE ponownie podkreślił znaczenie prawidłowego projektowania procesów przetwarzania danych osobowych, w tym przetwarzania realizowanego przez platformy internetowe. Należy pamiętać, że art. 25 RODO nakłada na administratora obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych zaprojektowanych w celu realizacji zasad ochrony danych takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi RODO oraz chronić prawa osób, których dane dotyczą. Privacy by design powinna być brana pod uwagę na każdym etapie projektowania czynności przetwarzania, w tym zakupów, rozwoju, wsparcia, testowania, przechowania i usuwania danych. Administrator powinien wziąć pod uwagę i przeanalizować różne elementy ochrony danych w fazie projektowania oraz domyślnej ochrony danych niezbędnych zabezpieczeń, aby spełnić wymogi oraz chronić prawa i wolności osób, których dane dotyczą.[14]

Akt o usługach cyfrowych nakłada natomiast na dostawców platform internetowych będących średnimi i dużymi przedsiębiorcami obowiązki w zakresie projektowania i organizacji interfejsów internetowych. Przede wszystkim zakazane jest projektowanie, organizowanie oraz obsługiwanie tych interfejsów w sposób wprowadzający w błąd odbiorców usługi, manipulujący lub w inny istotny sposób zakłócający lub ograniczający zdolność odbiorców usług do podejmowania wolnych i świadomych decyzji.[15] Wprowadzone regulacje mają na celu przeciwdziałanie stosowaniu tzw. dark patterns, czyli manipulacyjnych wzorców projektowych, które wpływają na zachowanie użytkowników i skłaniają ich do podejmowania określonych decyzji – często niezgodnych z ich rzeczywistą intencją.

Choć DSA nie został ustanowiony jako akt prawny bezpośrednio regulujący ochronę danych osobowych (rolę tę pełni RODO), niewątpliwie pełni funkcję uzupełniającą wobec tej regulacji. Art. 25 DSA, wprowadzający zakaz stosowania dark patterns, wspiera realizację art. 25 RODO dotyczącego zasady privacy by design. Przepis ten wzmacnia bowiem ramy budowania autonomii informacyjnej użytkowników korzystających z usług internetowych – nie tylko w zakresie ochrony danych osobowych, lecz także w odniesieniu do podejmowania świadomych decyzji dotyczących tego, jakie dane i w jakim celu są przekazywane platformie internetowej.

W konsekwencji na administratorów danych nakładany jest obowiązek nie tylko projektowania rozwiązań informatycznych w sposób zapewniający ochronę danych osobowych, lecz również tworzenia interfejsów i mechanizmów decyzyjnych, które nie wykorzystują manipulacyjnych technik projektowych oraz umożliwiają użytkownikom podejmowanie rzeczywiście wolnych, świadomych i przejrzystych decyzji dotyczących przetwarzania ich danych.

Europejska Rada Ochrony Danych (dalej: EROD) przyjęła wytyczne dla projektantów i użytkowników platform społecznościowych dotyczące tzw. dark patterns w interfejsach platform mediów społecznościowych.[16] W wytycznych wskazano, że rozwiązania te mają na celu wpływanie na zachowanie użytkowników często utrudniając im skuteczną ochronę danych osobowych oraz podejmowanie świadomych decyzji dotyczących ich przetwarzania.

Jako przykłady takich praktyk wskazano m.in. przeciążanie użytkowników nadmierną liczbą próśb, informacji lub opcji w celu skłonienia ich do udostępnienia większej ilości danych albo wyrażenia zgody na przetwarzanie wbrew ich rzeczywistym oczekiwaniom. Do dark patterns zaliczono również projektowanie interfejsów odwołujących się do emocji użytkowników lub wykorzystujących sugestywne elementy wizualne, które mają wpłynąć na ich decyzje. Problematyczne są także rozwiązania utrudniające użytkownikom dostęp do informacji o przetwarzaniu danych lub zarządzanie nimi np. poprzez skomplikowane procedury albo ograniczenie funkcjonalności umożliwiających realizację praw osoby, której dane dotyczą. Wśród niepożądanych praktyk wskazano ponadto tworzenie niespójnych i niejasnych interfejsów utrudniających zrozumienie celu przetwarzania danych oraz ukrywanie informacji lub narzędzi kontroli nad danymi, co prowadzi do pozostawienia użytkowników w niepewności co do sposobu przetwarzania ich danych i zakresu przysługującej im kontroli.[17]

Rozważania EROD dotyczące privacy by design[18] platform społecznościowych można również przenieść bezpośrednio na projektowanie stron przez hosting providerów. Projektując interfejsy takich stron należy przede wszystkim uwzględnić zasadę rzetelności, co oznacza, że informacje i opcje dotyczące przetwarzania danych powinny być przedstawiane w sposób obiektywny i neutralny, bez stosowania manipulacyjnego języka lub zwodniczych rozwiązań projektowych. Kluczowe znaczenie ma również przejrzystość – użytkownik powinien otrzymywać jasne i zrozumiałe informacje o tym, w jaki sposób jego dane są gromadzone, wykorzystywane i udostępniane. Jednocześnie projektowanie procesów przetwarzania musi zapewniać zgodność z prawem, respektować zasadę ograniczenia celu oraz minimalizacji danych, tak aby przetwarzane były wyłącznie informacje niezbędne do realizacji określonego celu. W praktyce oznacza to także konieczność okresowej weryfikacji zasadności przetwarzania, dbania o prawidłowość danych, ograniczanie zakresu ich wykorzystania, a także zapewnienie ich integralności, poufności i rozliczalności całego procesu przetwarzania.

Czy wyrok w sprawie C-492/23 to rewolucja dla hostingodawców?

Wyrok w sprawie C-492/23 stanowi istotne zaostrzenie reżimu odpowiedzialności platform, wykraczające poza klasyczny mechanizm notice and takedown uregulowany w DSA. O ile art. 16 DSA opiera się na reaktywnym modelu usuwania nielegalnych treści dopiero po otrzymaniu wiarygodnego zgłoszenia, o tyle TSUE w omawianym orzeczeniu nakłada na operatorów – jako współadministratorów danych osobowych – obowiązki o charakterze proaktywnym i prewencyjnym. Trybunał uznał, że w przypadku danych wrażliwych (art. 9 RODO) sama procedura „zgłoś i usuń” jest niewystarczająca; platformy muszą wdrażać techniczne środki weryfikacji i filtrowania treści już na etapie ich publikacji (privacy by design), aby zapobiegać bezprawnemu udostępnianiu danych szczególnej kategorii. W efekcie, w relacji do danych osobowych, wyrok ten przesuwa ciężar odpowiedzialności z pasywnego hostingu na aktywny nadzór nad legalnością przetwarzania, ograniczając możliwość powoływania się na wyłączenie odpowiedzialności za treść pochodzącą od użytkownika.

dr Joanna Worona-Vlugt

[1] Pkt 55-56 wyroku TSUE w sprawie C-492/23

[2] Pkt 67 – 71 wyroku TSUE

[3] Pkt 77 wyroku TSUE

[4] Pkt 121 -152 wyroku TSUE

[5] Pkt 88-90 wyroku TSUE

[6] Rozporządzenie Parlamentu Europejskiego i Rady 2022/2065 z dnia 19 października 2022 r. w sprawie jednolitego rynku usług cyfrowych oraz zmiany dyrektywy 2000/31/WE (akt o usługach cyfrowych)

[7] Art. 3 ust g pkt iii DSA

[8] Motyw 13 i 29 DSA

[9] Dyrektywa 2000/31/WE Parlamentu Europejskiego i Rady z dnia 9 czerwca 2000 r. w sprawie niektórych aspektów prawnych usług społeczeństwa informacyjnego, w szczególności handlu elektronicznego w ramach rynku wewnętrznego (dyrektywa o handlu elektronicznym) (2000/31/WE) (Dz.U.UE L z dnia 17 lipca 2000 r.)

[10] Art. 3 ust h DSA

[11] Art. 16 DSA

[12] Art. 17 DSA

[13] Art. 19, 20, 22 DSA

[14] Wytyczne nr 4/2019 dotyczące artykułu 25 Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych s. 15

[15] Art. 25 DSA

[16] Więcej na ten temat  [dostęp 09.03.2025]

[17] European Data Protection Board. Guidelines 3/2022 on Dark patterns in social media platform interfaces: How to recognise and avoid them

[18] Wytyczne nr 4/2019 dotyczące artykułu 25 Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych