Διαδικτυακές Πλατφόρμες και ΓΚΠΔ: Η Καμπή της Απόφασης C-492/23 για την Ευθύνη των Marketplaces

1. Εισαγωγή

Στις 2 Δεκεμβρίου 2025, το Δικαστήριο της Ευρωπαϊκής Ένωσης εξέδωσε (εφεξής «ΔΕΕ») απόφαση-ορόσημο στην υπόθεση C-492/23 (Russmedia Digital)[1], η οποία επαναπροσδιορίζει ριζικά το πλαίσιο ευθύνης των διαχειριστών διαδικτυακών πλατφορμών αγορών (marketplaces) στο πεδίο του δικαίου της προστασίας προσωπικών δεδομένων. Η απόφαση αφορά την ερμηνεία του Κανονισμού (ΕΕ) 2016/679 (Γενικού Κανονισμού Προστασίας Δεδομένων – εφεξής «ΓΚΠΔ»), της Οδηγίας (ΕΕ) 2000/31 (Οδηγία για το Ηλεκτρονικό Εμπόριο) καθώς και του Κανονισμού (ΕΕ) 2022/2065 (Πράξη για τις Ψηφιακές Υπηρεσίες), σε μια υπόθεση όπου ψευδής και δυσφημιστική αγγελία δημοσιεύθηκε ανώνυμα σε διαδικτυακή πλατφόρμα, παρουσιάζοντας την προσφεύγουσα ως πρόσωπο που προσφέρει σεξουαλικές υπηρεσίες, χρησιμοποιώντας τις φωτογραφίες και τον αριθμό τηλεφώνου της χωρίς τη συγκατάθεσή της[2].

Η απόφαση αποκτά ιδιαίτερη σημασία καθώς θέτει αυστηρές προληπτικές υποχρεώσεις στους διαχειριστές πλατφορμών, ανατρέποντας την παραδοσιακή αντίληψη του «παθητικού ενδιάμεσου» και διαμορφώνει νέα πρότυπα συμμόρφωσης για όλες τις επιχειρήσεις που διαχειρίζονται user-generated content.

2. Ιστορικό

Η Russmedia Digital διαχειρίζεται το publi24.ro, μια διαδικτυακή αγορά στην οποία διαφημιστικές αγγελίες σχετικά με την πώληση αγαθών ή την παροχή υπηρεσιών στη Ρουμανία μπορούν να δημοσιευθούν δωρεάν ή έναντι αμοιβής[3]. Στην εν λόγω πλατφόρμα, η δημοσίευση αγγελιών επιτρεπόταν χωρίς ταυτοποίηση του χρήστη.

Την 1η Αυγούστου 2018, ένα μη ταυτοποιημένο τρίτο πρόσωπο δημοσίευσε στην πλατφόρμα ψευδή και δυσφημιστική αγγελία που παρουσίαζε την προσφεύγουσα ως πρόσωπο που προσφέρει σεξουαλικές υπηρεσίες, περιλαμβάνοντας φωτογραφίες της χρησιμοποιημένες χωρίς τη συγκατάθεσή της, καθώς και τον αριθμό τηλεφώνου της[4]. Αν και η αγγελία αφαιρέθηκε από την πλατφόρμα εντός μίας ώρας μετά την ενημέρωση της Russmedia από την προσφεύγουσα, το περιεχόμενο είχε ήδη αντιγραφεί και δημοσιευτεί σε άλλες ιστοσελίδες, με αναφορά της αρχικής πηγής, καθιστώντας τη βλάβη μόνιμη[5].

3. Η Έννοια του «Υπευθύνου Επεξεργασίας» και η Από Κοινού Ευθύνη

3.1. Ευρεία Ερμηνεία της Έννοιας

Το ΔΕΕ υιοθέτησε ευρεία ερμηνεία της έννοιας του «υπευθύνου επεξεργασίας». Σύμφωνα με το άρθρο 4, σημείο 7, του ΓΚΠΔ, ο υπεύθυνος επεξεργασίας ορίζεται ως το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος οργανισμός που, μόνος ή από κοινού με άλλους, καθορίζει τους σκοπούς και τα μέσα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα.

Το ΔΕΕ διευκρίνισε ότι οποιοδήποτε φυσικό ή νομικό πρόσωπο επηρεάζει, για σκοπούς που του είναι ιδίοι, την επεξεργασία τέτοιων δεδομένων και συμμετέχει έτσι στον καθορισμό των σκοπών και των μέσων αυτής της επεξεργασίας, μπορεί να θεωρηθεί ως υπεύθυνος της εν λόγω επεξεργασίας[6].

3.2. Εφαρμογή στους Διαχειριστές Πλατφορμών

Στην υπό κρίση υπόθεση, το ΔΕΕ έκρινε ότι η Russmedia δεν λειτουργούσε ως απλός «παθητικός ενδιάμεσος». Η εταιρεία δημοσιεύει αγγελίες στην πλατφόρμα της για εμπορικούς σκοπούς που της είναι ιδίοι, καθώς οι γενικοί όροι χρήσης της πλατφόρμας της παρέχουν μεγάλη ελευθερία να εκμεταλλεύεται τις πληροφορίες που δημοσιεύονται. Κατά τη σκέψη 108, σύμφωνα με το δικαστήριο παραπομπής, οι γενικοί όροι χρήσης παρέχουν στη Russmedia, διατηρεί το δικαίωμα να χρησιμοποιεί τα δημοσιευμένα περιεχόμενα, να τα διανέμει, να τα μεταδίδει, να τα αναπαράγει, να τα τροποποιεί, να τα μεταφράζει, να τα μεταβιβάζει σε συνεργάτες και να τα διαγράφει οποιαδήποτε στιγμή χωρίς να χρειάζεται «βάσιμος λόγος» για να το κάνει. Συνεπώς, η Russmedia δεν δημοσιεύει τα δεδομένα προσωπικού χαρακτήρα που περιέχονται στις αγγελίες αποκλειστικά για λογαριασμό των χρηστών-διαφημιζόντων, αλλά επεξεργάζεται και μπορεί να αξιοποιήσει αυτά τα δεδομένα για διαφημιστικούς και εμπορικούς σκοπούς που της είναι ιδίοι[7].

3.3. Από Κοινού Ευθύνη με τους Χρήστες

Το άρθρο 26, παράγραφος 1, του ΓΚΠΔ προβλέπει ότι όταν δύο ή περισσότεροι υπεύθυνοι επεξεργασίας καθορίζουν από κοινού τους σκοπούς και τους τρόπους της επεξεργασίας, είναι κοινοί υπεύθυνοι αυτής της επεξεργασίας.

Το ΔΕΕ διευκρίνισε ότι η κοινή ευθύνη δεν προϋποθέτει απαραίτητα την ύπαρξη κοινών αποφάσεων σχετικά με τον καθορισμό των σκοπών και των μέσων της επεξεργασίας των σχετικών δεδομένων προσωπικού χαρακτήρα, αλλά η συμμετοχή στον καθορισμό αυτών των σκοπών και μέσων μπορεί να λάβει διάφορες μορφές[8].

Η απόφαση αυτή ήρθε σε συνέχεια των Κατευθυντηρίων Γραμμών 08/2020 που του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (εφεξής «ΕΣΠΔ») για τη Κατευθυντήριες γραμμές 8/2020 σχετικά με τη στόχευση χρηστών μέσων κοινωνικής δικτύωσης[9], οι οποίες αναλύουν λεπτομερώς τη συμμετοχή πλατφορμών ως από κοινού υπευθύνων επεξεργασίας. Ειδικότερα, οι ως άνω κατευθυντήριες γραμμές:

• Επιβεβαιώνουν ότι η από κοινού ευθύνη μεταξύ παρόχων πλατφορμών κοινωνικής δικτύωσης και διαφημιζόμενων θα εφαρμόζεται εκτεταμένα όταν αποτελεσματικά καθορίζουν από κοινού τα μέσα και τους τρόπους μιας δραστηριότητας επεξεργασίας[10].
• Διευκρινίζουν ότι η πρόσβαση στα προσωπικά δεδομένα δεν είναι προαπαιτούμενο για την κοινή ευθύνη[11],
• Υπογραμμίζουν την ανάγκη σύναψης συμφωνιών από κοινού ευθύνης κατά το άρθρο 26 ΓΚΠΔ[12]

Οι ως άνω αρχές επεκτείνονται πλήρως στην απόφαση C-492/23 καθώς βάσει αυτής, η πλατφόρμα marketplace δεν απλώς διαμεσολαβεί, αλλά συμμετέχει ενεργά στον καθορισμό των τρόπων της δημοσίευσης.

4. Οι Προληπτικές Υποχρεώσεις του Διαχειριστή Πλατφόρμας

Το ΔΕΕ επέβαλε τρεις κρίσιμες προληπτικές υποχρεώσεις στους διαχειριστές διαδικτυακών πλατφορμών:

4.1. Υποχρέωση Αναγνώρισης Ειδικών Κατηγοριών Προσωπικών Δεδομένων («Ευαίσθητων Δεδομένων»)

Ο διαχειριστής μιας διαδικτυακής πλατφόρμας, εφόσον γνωρίζει ή θα έπρεπε να γνωρίζει ότι, κατά γενικό κανόνα, αγγελίες που περιέχουν ευαίσθητα δεδομένα κατά την έννοια του άρθρου 9, παράγραφος 1, του ΓΚΠΔ, είναι δυνατό να δημοσιευθούν από χρήστες-διαφημιζόντες στην πλατφόρμα του, υποχρεούται, ήδη από το στάδιο του σχεδιασμού της υπηρεσίας του, να θεσπίσει κατάλληλα τεχνικά και οργανωτικά μέτρα για την αναγνώριση τέτοιων αγγελιών πριν από τη δημοσίευσή τους[13]. Αυτή η υποχρέωση απορρέει από την αρχή της «προστασίας δεδομένων εξ οικοδομής» (data protection by design) που κατοχυρώνεται στο άρθρο 25, παράγραφος 1, του ΓΚΠΔ.

4.2. Υποχρέωση Επαλήθευσης Ταυτότητας

Ο διαχειριστής μιας διαδικτυακής πλατφόρμας, ως υπεύθυνος της δημοσίευσης ευαίσθητων δεδομένων που περιέχονται σε αγγελία δημοσιευμένη στην πλατφόρμα του, από κοινού με τον χρήστη-διαφημίζοντα, έχει την υποχρέωση να συλλέγει την ταυτότητα αυτού του χρήστη-διαφημίζοντα και να επαληθεύει αν αυτός είναι το πρόσωπο του οποίου τα ευαίσθητα δεδομένα εμφανίζονται σε αυτή την αγγελία[14].

Το ΔΕΕ τόνισε ότι προκειμένου να είναι σε θέση να διασφαλίσει και να αποδείξει ότι οι απαιτήσεις του άρθρου 9, παράγραφος 2, στοιχείο α), του ΓΚΠΔ τηρούνται, ο διαχειριστής της πλατφόρμας πρέπει να προβλέπει, σύμφωνα με τα άρθρα 24 και 25 του κανονισμού, κατάλληλα τεχνικά και οργανωτικά μέτρα που του επιτρέπουν όχι μόνο να συλλέγει, αλλά και να επαληθεύει την ταυτότητα του χρήστη-διαφημίζοντα πριν από τη δημοσίευση αυτών των αγγελιών[15].

4.3. Υποχρέωση Άρνησης Δημοσίευσης

Όταν αποδεικνύεται – μετά από τέτοια επαλήθευση της ταυτότητας του χρήστη-διαφημίζοντα που πρόκειται να δημοσιεύσει αγγελία – ότι αυτός δεν είναι το πρόσωπο του οποίου τα ευαίσθητα δεδομένα εμφανίζονται στην εν λόγω αγγελία, εκτός αν αυτός ο χρήστης-διαφημίζων μπορεί να αποδείξει επαρκώς ότι το ενδιαφερόμενο πρόσωπο έχει δώσει τη ρητή συγκατάθεσή του για τη δημοσίευση των εν λόγω δεδομένων στην πλατφόρμα, ο διαχειριστής της πλατφόρμας πρέπει να αρνηθεί τη δημοσίευση της αγγελίας[16].

5. Μέτρα Ασφάλειας κατά της Αντιγραφής και Διάδοσης

Το άρθρο 32 του ΓΚΠΔ πρέπει να ερμηνευθεί υπό την έννοια ότι ο διαχειριστής μιας διαδικτυακής πλατφόρμας, ως υπεύθυνος της επεξεργασίας δεδομένων που περιέχονται σε αγγελίες δημοσιευμένες στην πλατφόρμα του, υποχρεούται να θεσπίσει κατάλληλα τεχνικά και οργανωτικά μέτρα ασφάλειας προκειμένου να αποτραπεί η αντιγραφή και η παράνομη δημοσίευση σε άλλες ιστοσελίδες αγγελιών που δημοσιεύονται σε αυτή και περιέχουν ευαίσθητα δεδομένα[17].

Το ΔΕΕ επισήμανε ότι όταν ευαίσθητα δεδομένα αποτελούν αντικείμενο διαδικτυακής δημοσίευσης, ο υπεύθυνος της επεξεργασίας υποχρεούται, δυνάμει του άρθρου 32 του ΓΚΠΔ, να λαμβάνει όλα τα τεχνικά και οργανωτικά μέτρα για να διασφαλίσει επίπεδο ασφάλειας ικανό να προλάβει αποτελεσματικά την επέλευση απώλειας ελέγχου αυτών των δεδομένων[18].

6. Αδυναμία Επίκλησης της Οδηγίας για το Ηλεκτρονικό Εμπόριο/DSA

Κρίσιμης σημασίας είναι η απόφαση του ΔΕΕ ότι ο διαχειριστής μιας διαδικτυακής πλατφόρμας, ως υπεύθυνος της επεξεργασίας δεδομένων που περιέχονται σε αγγελίες δημοσιευμένες στην πλατφόρμα του, δεν μπορεί να επικαλεστεί, για παραβίαση των υποχρεώσεων που απορρέουν από τα άρθρα 5 παράγραφος 2, 24 έως 26 και 32 του ΓΚΠΔ, τα άρθρα 12 έως 15 της Οδηγίας 2000/31, σχετικά με την ευθύνη των ενδιάμεσων παρόχων[19].

Το ΔΕΕ βασίστηκε στην αρχή ότι οι διατάξεις της Οδηγίας 2000/31, ιδίως τα άρθρα 12 έως 15 αυτής, δεν μπορούν να επηρεάσουν το καθεστώς του ΓΚΠΔ, δεδομένου ότι το άρθρο 1, παράγραφος 5, στοιχείο β), της Οδηγίας 2000/31 προβλέπει ότι η οδηγία αυτή δεν εφαρμόζεται σε ζητήματα που αφορούν τις υπηρεσίες της κοινωνίας της πληροφορίας και καλύπτονται από τις οδηγίες 95/46 και 97/66 (νυν ΓΚΠΔ)[20].

Ωστόσο, από τις 17 Φεβρουαρίου 2024[21], έχει τεθεί σε εφαρμογή ο DSA, ο οποίος αντικαθιστά στην πράξη το καθεστώς ευθύνης των ενδιάμεσων παρόχων που περιείχαν τα άρθρα 12–15 της Οδηγίας 2000/31[22] σχετικά με την ευθύνη των ενδιάμεσων παρόχων, εισάγει κλιμακούμενες υποχρεώσεις για τις διαδικτυακές πλατφόρμες, συμπεριλαμβανομένων:

• Μηχανισμών ειδοποίησης και δράσης (notice-and-action) για την αφαίρεση παράνομου περιεχομένου,
• Συστημάτων εσωτερικής διαχείρισης παραπόνων με δικαίωμα εξώδικης επίλυσης διαφορών,
• Υποχρεώσεων διαφάνειας για αλγοριθμικές αποφάσεις και στοχευμένη διαφήμιση,
• Απαγόρευσης χρήσης ευαίσθητων δεδομένων για διαφημίσεις βάσει profiling.

Το ενδιαφέρον εν προκειμένω είναι ότι ενώ ο DSA επικεντρώνεται στην αντιμετώπιση παράνομου περιεχομένου μετά τη δημοσίευση (reactive approach), η απόφαση του ΔΕΕ επιβάλλει προληπτικές υποχρεώσεις βάσει ΓΚΠΔ (proactive approach). Τα δύο καθεστώτα είναι συμπληρωματικά και δεν αλληλοαναιρούνται. Ειδικότερα, το άρθρο 2, παράγραφος 4, του ΓΚΠΔ διασφαλίζει ότι ο Κανονισμός εφαρμόζεται χωρίς επηρεασμό από τον DSA, ενώ παράλληλα η απόφαση C-492/23 καθιστά σαφές ότι οι εξαιρέσεις ευθύνης του DSA δεν μπορούν να επικαλεστούν για παραβιάσεις του ΓΚΠΔ.

7. Πρακτική Εφαρμογή στην Ελληνική Αγορά

Για τις ελληνικές πλατφόρμες marketplaces, η απόφαση C-492/23 δημιουργεί άμεσες υποχρεώσεις:

α. Συμμόρφωση με DSA και ΓΚΠΔ Ταυτόχρονα

• Υλοποίηση των συστημάτων ειδοποίησης και δράσης του DSA (άρθρα 16-17)
• Παράλληλη εφαρμογή των προληπτικών υποχρεώσεων της απόφασης C-492/23

β. Διασυνοριακή Εφαρμογή Ο DSA έχει ρητά εξωεδαφικό αποτέλεσμα, επιβάλλοντας σε πλατφόρμες εκτός ΕΟΧ που εξυπηρετούν χρήστες εντός Ένωσης να ορίζουν νόμιμο εκπρόσωπο εντός ΕΟΧ – παρόμοια με την υποχρέωση του άρθρου 27 ΓΚΠΔ.

γ. Αυξημένος Κίνδυνος Προστίμων Πλατφόρμες που παραβιάζουν τόσο τον ΓΚΠΔ όσο και τον DSA εκτίθενται σε διπλά πρόστιμα από διαφορετικές ρυθμιστικές αρχές (ΑΠΔΠΧ για ΓΚΠΔ, Εθνικός Συντονιστής Ψηφιακών Υπηρεσιών για DSA).

8. Πρακτικές Συνέπειες και Συστάσεις Συμμόρφωσης

8.1. Για Διαχειριστές Πλατφορμών Marketplaces

8.1.1. Συστήματα Αναγνώρισης Ευαίσθητων Δεδομένων

Οι διαχειριστές πλατφορμών πρέπει άμεσα να αναπτύξουν ή να προμηθευτούν:

• Εργαλεία αυτοματοποιημένου ελέγχου περιεχομένου (content moderation tools),
• Φίλτρα που αναγνωρίζουν αναφορές σε ευαίσθητα δεδομένα (υγεία, σεξουαλική ζωή, φυλετική καταγωγή, πολιτικές πεποιθήσεις κ.λπ.),
• Διαδικασίες χειροκίνητου ελέγχου για αμφίβολες περιπτώσεις.

8.1.2. Υποχρεωτική Ταυτοποίηση Χρηστών

Η ανώνυμη δημοσίευση περιεχομένου που μπορεί να περιέχει προσωπικά δεδομένα δεν είναι πλέον βιώσιμη. Απαιτείται:

• Επαλήθευση ταυτότητας μέσω επίσημων εγγράφων (e-KYC processes),
• Διπλή επαλήθευση (two-factor authentication),
• Συστήματα που διασταυρώνουν την ταυτότητα του αναρτώντος με τα δεδομένα της αγγελίας.

8.1.3. Τεχνικά Μέτρα Κατά της Αντιγραφής

• Υλοποίηση τεχνολογιών watermarking,
• Content Security Policy (CSP) headers,
• Digital Rights Management (DRM) για εικόνες,
• API rate limiting για scraping prevention,
• Forensic watermarking με blockchain timestamping,
• Παρακολούθηση του διαδικτύου για μη εξουσιοδοτημένες αναδημοσιεύσεις (web scraping detection).

8.2. Για Νομικούς Συμβούλους

8.2.1. Επανεξέταση των Όρων Χρήσης

Οι γενικοί όροι χρήσης που παρέχουν εκτεταμένα δικαιώματα στην πλατφόρμα (όπως στην υπό κρίση υπόθεση) ενισχύουν την τεκμηρίωση της ιδιότητας του υπευθύνου επεξεργασίας. Συνιστάται αναδιατύπωση για:

• Σαφή οριοθέτηση του ρόλου της πλατφόρμας,
• Ρητή μεταφορά ευθύνης στους χρήστες,
• Δημιουργία συμβάσεων από κοινού ευθύνης κατά το άρθρο 26 ΓΚΠΔ

8.3. Για Υποκείμενα Δεδομένων

Η απόφαση ενισχύει σημαντικά τα δικαιώματα των προσώπων:

• Δικαίωμα αποζημίωσης κατά του διαχειριστή της πλατφόρμας (όχι μόνο κατά του αναρτήσαντος),
• Δυνατότητα επίκλησης παραβίασης προληπτικών υποχρεώσεων,
• Ισχυροποίηση θέσης σε διαπραγματεύσεις εξώδικου διακανονισμού.

9. Νέα Εποχή για τις Διαδικτυακές Πλατφόρμες

Η απόφαση C-492/23 σηματοδοτεί τη μετάβαση από το μοντέλο του «παθητικού ενδιάμεσου» σε ένα καθεστώς προληπτικής επαγρύπνησης για τους διαχειριστές διαδικτυακών πλατφορμών. Η αδυναμία επίκλησης των εξαιρέσεων της Οδηγίας για το Ηλεκτρονικό Εμπόριο στο πεδίο προστασίας δεδομένων δημιουργεί αυτόνομο καθεστώς ευθύνης που απαιτεί ριζική αναθεώρηση των επιχειρηματικών μοντέλων.

Οι τρεις πυλώνες της συμμόρφωσης – αναγνώριση, επαλήθευση, άρνηση – θα πρέπει να ενσωματωθούν στον πυρήνα του λειτουργικού σχεδιασμού κάθε πλατφόρμας που φιλοξενεί περιεχόμενο χρηστών. Η απόφαση δημιουργεί επίσης νέες ευκαιρίες για τα υποκείμενα δεδομένων, καθώς η κοινή ευθύνη των πλατφορμών διευρύνει το φάσμα των αξιώσεων αποζημίωσης.

Για την ελληνική και ενωσιακή αγορά, η εφαρμογή της απόφασης θα απαιτήσει σημαντικές επενδύσεις σε τεχνολογία, νομική συμβουλευτική και επανασχεδιασμό διαδικασιών. Οι πλατφόρμες που δεν προσαρμοστούν αντιμετωπίζουν τον διπλό κίνδυνο διοικητικών προστίμων από τις Αρχές Προστασίας Δεδομένων και αστικής ευθύνης έναντι των θυμάτων παράνομης επεξεργασίας.