lagen.
EU-domstolen

Domstolens dom (stora avdelningen) den 2 december 2025

CELEX
62023CJ0492
Typ
EU-domstolen
Datum
20230615
ECLI
ECLI:EU:C:2025:935

Källa

Hänvisat till av

Begäran om förhandsavgörandeSkydd av personuppgifterFörordning (EU) 2016/679Artikel 4 led 7Begreppet personuppgiftsansvarigEn e-handelsplatsoperatörs ansvar för publicering av personuppgifter som ingår i annonser som läggs upp på handelsplatsen av användarannonsörerArtikel 5.2Principen om ansvarsskyldighetArtikel 26Gemensamt ansvar med användarannonsörernaArtikel 9.1 och 9.2 aAnnonser som innehåller känsliga uppgifterLagligheten av behandlingen av personuppgifterSamtyckeArtiklarna 24, 25 och 32Den personuppgiftsansvariges skyldigheterFastställande på förhand av vilka annonser som innehåller sådana uppgifterFörhandskontroll av användarannonsörens identitetVägran att publicera olagliga annonserSäkerhetsåtgärder ägnade att hindra att annonser kopieras och publiceras på andra webbplatserElektronisk handelDirektiv 2000/31/EGArtiklarna 12–15Möjlighet för en e-handelsplatsoperatör att, med anledning av ett åsidosättande av dessa skyldigheter, kunna åberopa det undantag från ansvar som gäller för tjänstelevererande mellanhänder av informationssamhällets tjänster

I mål C‑492/23, angående en begäran om förhandsavgörande enligt artikel 267 FEUF, framställd av Curtea de Apel Cluj (Appellationsdomstolen i Cluj, Rumänien) genom beslut av den 15 juni 2023, som inkom till domstolen den 3 augusti 2023, i målet

DOMSTOLEN (stora avdelningen) sammansatt av ordföranden K. Lenaerts, vice ordföranden T. von Danwitz, avdelningsordförandena F. Biltgen, K. Jürimäe (referent), C. Lycourgos, I. Jarukaitis, M.L. Arastey Sahún, I. Ziemele, J. Passer samt domarna S. Rodin, E. Regan, N. Jääskinen och D. Gratsias, generaladvokat: M. Szpunar, justitiesekreterare: handläggaren R. Şereş,

efter det skriftliga förfarandet och förhandlingen den 2 juli 2024,

med beaktande av de yttranden som avgetts av: X, genom I. Kis, avocată, Rumäniens regering, genom E. Gane, L. Ghiţă och R.I. Haţieganu, samtliga i egenskap av ombud, Europeiska kommissionen, genom, L. Armati, H. Kranenborg, P.-J. Loewenthal och L. Nicolae, samtliga i egenskap av ombud,

och efter att den 6 februari 2025 ha hört generaladvokatens förslag till avgörande,

följande

Dom

Tillämpliga bestämmelser

Unionsrätt

Direktiv 2000/31

Dataskyddsförordningen

Rumänsk rätt

Målet vid den nationella domstolen och tolkningsfrågorna

Prövning av tolkningsfrågorna

Frågorna 2–4: Tolkning av dataskyddsförordningen

Inledande synpunkter

Frågorna 2 och 3

Fråga 4

Fråga 1: Tolkningen av direktiv 2000/31

Rättegångskostnader

1 Begäran om förhandsavgörande avser tolkningen av artiklarna 12–15 i Europaparlamentets och rådets direktiv 2000/31/EG av den 8 juni 2000 om vissa rättsliga aspekter på informationssamhällets tjänster, särskilt elektronisk handel, på den inre marknaden (Direktiv om elektronisk handel) (EGT L 178, 2000, s. 1), och av artikel 2.4, artikel 4 leden 7 och 11, artikel 5.1 b och f samt artikel 6.1 a samt artiklarna 7, 24 och 25 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1 och rättelser i EUT L 127, 2018, s. 2 och EUT L 74, 2021, s. 35) (nedan kallad dataskyddsförordningen).

2 Begäran har framställts i ett mål mellan en fysisk person, X, och Russmedia Digital SRL och Inform Media Press SRL (nedan gemensamt kallade Russmedia). Målet rör en skadeståndstalan där X har yrkat ersättning för den ideella skada som hon lidit till följd av den olagliga behandlingen av hennes personuppgifter samt en kränkning av hennes bildrätt samt hennes rätt till skydd av anseende och privatliv.

3 I skälen 14, 42, 46 och 52 i direktiv 2000/31 anges följande:

4 I artikel 1 i direktiv 2000/31, med rubriken Mål och tillämpningsområde, föreskrivs följande:

5 Avsnitt 4 i direktiv 2000/31 ingår i kapitel II i det direktivet. Detta avsnitt har rubriken Tjänstelevererande mellanhänders ansvar och innefattade, i den lydelse som var tillämplig vid tidpunkten för omständigheterna i det nationella målet, artiklarna 12–15. Det framgår av rubrikerna till artiklarna 12 respektive 13 i direktivet att dessa artiklar avsåg Enbart vidarefordran (mere conduit) samt Cachning

6 Artikel 14 i direktivet har rubriken Värdtjänster. I den artikeln föreskrevs följande:

7 Artikel 15 i direktivet har rubriken Avsaknad av allmän övervakningsskyldighet. I artikel 15.1 och 15.2 föreskrevs följande:

8 Skälen 4, 10, 39, 51, 74, 75, 78 och 85 i dataskyddsförordningen har följande lydelse:

9 Artikel 1 i förordningen har rubriken Syfte. I artikel 1.2 föreskrivs följande:

10 Artikel 2 i förordningen har rubriken Materiellt tillämpningsområde. I artikel 2.4 föreskrivs följande:

11 Artikel 4 i förordningen har rubriken Definitioner. Den artikeln har följande lydelse:

12 Kapitel II i dataskyddsförordningen har rubriken Principer. Det kapitlet innehåller artiklarna 5–9.

13 I artikel 5 i dataskyddsförordningen, med rubriken Principer för behandling av personuppgifter, föreskrivs följande:

14 I artikel 6 i förordningen har rubriken Laglig behandling av personuppgifter. I artikel 6.1 föreskrivs följande:

15 Artikel 7 i dataskyddsförordningen har rubriken Villkor för samtycke. I artikel 7.1 föreskrivs följande:

16 Artikel 9 i dataskyddsförordningen har rubriken Behandling av särskilda kategorier av personuppgifter. I den artikeln föreskrivs följande:

17 Artikel 13 i förordningen har rubriken Information som ska tillhandahållas om personuppgifterna samlas in från den registrerade. I artikel 13.1 a föreskrivs följande:

18 Artikel 14 i förordningen har rubriken Information som ska tillhandahållas om personuppgifterna samlas in från den registrerade. I artikel 14.1 a föreskrivs följande:

19 Kapitel III i dataskyddsförordningen har rubriken Den registrerades rättigheter. Det kapitlet innehåller artikel 17, som har rubriken Rätt till radering (rätten att bli bortglömd). I artikel 17.1 och 17.2 föreskrivs följande:

20 Kapitel IV i dataskyddsförordningen har rubriken Personuppgiftsansvarig och personuppgiftsbiträde. Avsnitt 1 i det kapitlet har rubriken Allmänna skyldigheter. I det avsnittet ingår bland annat artiklarna 24–26.

21 Artikel 24 i dataskyddsförordningen har rubriken Den personuppgiftsansvariges ansvar. I artikel 24.1 föreskrivs följande:

22 Artikel 25 i förordningen har rubriken Inbyggt dataskydd och dataskydd som standard. I artikel 25.1 och 25.2 föreskrivs följande:

23 Artikel 26 i dataskyddsförordningen har rubriken Gemensamt personuppgiftsansvariga. I artikel 26.1 föreskrivs följande:

24 Artikel 32 i dataskyddsförordningen, med rubriken Säkerhet i samband med behandlingen, har följande lydelse:

25 Artikel 82 i dataskyddsförordningen har rubriken Ansvar och rätt till ersättning. I artikel 82.1–82.3 föreskrivs följande:

26 I artikel 94 i samma förordning föreskrivs följande:

27 I artikel 11 i Legea nr. 365/2002 privind comerțul electronic (lag nr 365/2002 om elektronisk handel) av den 7 juni 2002 (Monitorul Oficial României, del I, nr 483 av den 5 juli 2002), i dess lydelse enligt Legea nr. 121/2006 pentru modificarea și completarea Legii nr. 365/2002 privind comerțul electronic (lag nr 121/2006 om ändring och komplettering av lag nr 365/2002 om elektronisk handel) av den 4 maj 2006 (Monitorul Oficial al României, del I, nr 403 av den 10 maj 2006) (nedan kallad lag nr 365/2002), föreskrivs följande:

28 Artikel 14 i lag nr 365/2002 har rubriken Permanent lagring av uppgifter, värdtjänster. I den artikeln föreskrivs följande:

29 I artikel 11.1 i Normele metodologice pentru aplicarea Legii nr. 365/2002 privind comerţul electronic (tillämpningsföreskrifter för lag nr 365/2002 om elektronisk handel), godkänd genom Hotărârea Guvernului nr. 1.308 privind aprobarea Normelor metodologice pentru aplicarea Legii nr. 365/2002 privind comerţul electronic (regeringsbeslut nr 1.308 om godkännande av tillämpningsföreskrifterna för lag nr 365/2002 om elektronisk handel) av den 20 november 2002 (Monitorul Oficial al României, del I, nr 877 av den 5 december 2002), anges följande:

30 Russmedia Digital är ett rumänskt bolag som äger webbplatsen www.publi24.ro. Denna webbplats är en e-handelsplats på vilken annonser avseende bland annat försäljning av varor eller tillhandahållande av tjänster i Rumänien kan publiceras kostnadsfritt eller mot betalning.

31 Klaganden i det nationella målet, X, har gjort gällande att en icke-identifierad utomstående person den 1 augusti 2018 publicerade en annons på denna webbplats som var falsk och som orsakade henne skada, genom att det i annonsen angavs att hon erbjöd sexuella tjänster. Annonsen innehöll bland annat bilder av klaganden, vilka hade använts utan hennes samtycke, samt hennes telefonnummer. Denna annons blev sedan identiskt reproducerad på andra webbplatser med reklaminnehåll, där den lades ut på nätet med angivande ursprungskällan. Klaganden kontaktade Russmedia Digital och krävde att bolaget skulle ta bort annonsen från sin webbplats. Russmedia Digital gjorde detta mindre än en timme efter det att bolaget hade mottagit klagandens begäran. Samma annons finns emellertid fortfarande tillgänglig på andra webbplatser som har reproducerat den.

32 X ansåg att den aktuella annonsen kränkte hennes bildrätt, hennes rätt till skydd av anseende och privatliv samt åsidosatte reglerna om behandling av personuppgifter. Hon väckte därför talan mot Russmedia vid Judecătoria Cluj-Napoca (Förstainstansdomstolen i Cluj-Napoca, Rumänien). Den domstolen förpliktade Russmedia att utge skadestånd till X med 7000 euro som ersättning för den ideella skada som hon hade orsakats till följd av kränkningen av bildrätten, av rätten till skydd av anseende och privatliv samt den olagliga behandlingen av hennes personuppgifter.

33 Russmedia överklagade den domen. Tribunalul Specializat Cluj (Specialdomstolen i Cluj, Rumänien) biföll överklagandet och slog fast att det saknades fog för X:s överklagande, eftersom den aktuella annonsen inte kom från Russmedia, som endast tillhandahöll en värdtjänst för annonsen i fråga utan att vara aktivt delaktig i utformningen av dess innehåll. Det undantag från ansvar som föreskrivs i artikel 14.1 b i lag nr 365/2002 var således tillämpligt på Russmedia. Beträffande behandlingen av personuppgifter fann den domstolen att en leverantör av informationssamhällets tjänster inte var skyldig att kontrollera den information som denne överför eller att aktivt söka efter uppgifter om verksamheter eller information som förefaller vara olagliga. Den domstolen fann att Russmedia inte kunde klandras för att inte ha vidtagit några åtgärder för att hindra att den aktuella ärekränkande annonsen spreds på nätet, eftersom bolaget snabbt hade avlägsnat annonsen efter det att X hade begärt detta.

34 X överklagade till Curtea de Apel Cluj (Appellationsdomstolen i Cluj, Rumänien) och gjorde gällande att Tribunalul Specializat Cluj (Specialdomstolen i Cluj) hade grundat sig på en felaktig tolkning av lag nr 365/2002. X har bland annat gjort gällande att den lagen inte utgör lex specialis i förhållande till dataskyddsförordningen, varför Tribunalul Specializat Cluj (Specialdomstolen i Cluj) borde ha prövat huruvida den förordningen var tillämplig. Russmedia begränsar sig inte till att tillhandahålla sina kunder en specifik teknisk anordning för att få åtkomst till värdservern. Bolaget spelar även en roll i driften av webbplatsen och ingriper i dess innehåll för att uppnå en ändamålsenlig informationshantering. Russmedia, i egenskap av webbplatsoperatör, lagrar information och behandlar innehållet i denna information. Lagring av uppgifter samt deras tillgängliggörande för allmänheten i en viss form innebär att det görs en analys av uppgifterna och av den information som finns i annonserna. Dessa omständigheter visar att Russmedia var direkt inblandat i hanteringen och spridningen av innehållet i annonserna. Artikel 14 i lag nr 365/2002 är följaktligen inte tillämplig.

35 X har dessutom gjort gällande att undantaget från ansvar för en sådan leverantör inte gäller om det är styrkt att ansvar föreligger enligt annan lagstiftning, såsom dataskyddsförordningen. Russmedia har publicerat X:s personuppgifter utan hennes samtycke och det sätt som bolagets webbplats fungerar på gör det möjligt för vem som helst att lägga upp vilka annonser som helst, bland annat annonser som inte garanterar att personuppgifter hanteras på ett säkert sätt och gör det omöjligt att slutgiltigt radera uppgifter som publicerats online.

36 Russmedia har för sin del gjort gällande att den lösning som valts av Tribunalul Specializat Cluj (Specialdomstolen i Cluj) är riktig. X har inte visat på vilket sätt som dataskyddsförordningen utgör lex specialis, som skulle hindra att relevanta bestämmelser i lag nr 365/2002 tillämpades.

37 Curtea de Apel Cluj (Appellationsdomstolen i Cluj) är hänskjutande domstol och avgör förevarande mål i egenskap av appellationsdomstol vars avgörande inte kan överklagas. Enligt den domstolen behöver det bland annat fastställas hur undantaget från ansvar enligt direktiv 2000/31 för en leverantör av informationssamhällets tjänster, såsom Russmedia, ska avgränsas.

38 Den hänskjutande domstolen har, med hänvisning till relevant rättspraxis från EU-domstolen, konstaterat att även om det enligt denna praxis inte finns någon skyldighet för operatörer av e-handelsplatser att på förhand kontrollera information eller annonser som läggs ut av användarannonsörer, är undantaget från ansvar underkastat vissa villkor. Enligt domen av den 12 juli 2011, L’Oréal m.fl. ( C‑324/09, EU:C:2011:474), kan en näringsidkare som tillhandahåller onlinetjänster således inte åberopa det undantag från ansvar som föreskrivs i artikel 14.1 i direktiv 2000/31 om denne var medveten om fakta eller omständigheter som borde ha föranlett en försiktig näringsidkare att inse att de aktuella försäljningserbjudandena var olagliga och, för det fall denne var medveten om sådana fakta eller omständigheter, inte hade handlat utan dröjsmål i enlighet med artikel 14.1 b i samma direktiv. På samma sätt framgår det av domen av den 11 september 2014, Papasavvas ( C‑291/13, EU:C:2014:2209), att de begränsningar av skadeståndsansvar som föreskrivs i artiklarna 12–14 i direktiv 2000/31 inte avser ett bolag som har en webbplats på vilken den elektroniska utgåvan av en tidning publiceras, eftersom detta bolag, som får betalt genom den reklam som sprids på webbplatsen, är medveten om den information som publiceras och har kontroll över denna.

39 Den hänskjutande domstolen har emellertid understrukit att det i nämnda rättspraxis endast hänvisas till erbjudanden som lagts upp på en webbplats och där erbjudandets olaglighet endast konstaterats efter en analys av fakta och omständigheter som uttryckligen meddelats den som är ansvarig för hanteringen av information efter det att den aktuella annonsen publicerats. EU-domstolen har ännu inte haft tillfälle att ta ställning till ett sådant fall, som det som är aktuellt i det nationella målet, där innehållet i den publicerade annonsen är uppenbart olagligt och allvarligt skadegörande för den berörda personen.

40 Den hänskjutande domstolen vill i detta sammanhang få klarhet i huruvida det är nödvändigt att en plattform underrättas för att den ska vara skyldig att ta bort innehåll som är uppenbart olagligt och allvarligt skadegörande. I förevarande fall har den aktuella annonsen publicerats utan att annonsörens identitet har kontrollerats och det är uppenbart att det inte inhämtats samtycke från klaganden i det nationella målet.

41 Även om den aktuella annonsen har tagits bort från den ursprungliga webbplatsen efter klagandens anmälan har dess innehåll, inbegripet bilder på klaganden och hennes kontaktuppgifter, reproducerats i sin helhet på andra webbplatser med angivande av den ursprungliga källan. Den skada som klaganden har lidit har således blivit bestående och pågående. Den hänskjutande domstolen har i detta avseende understrukit att de sexuella tjänster som påstås erbjudas kan vara hänförliga till grova brott, såsom koppleri och människohandel, vilka är straffbelagda i Codul penal (strafflagen).

42 Den hänskjutande domstolen har preciserat att enligt de allmänna användarvillkoren för den e-handelsplats som Russmedia driver, förbehåller sig det bolaget – utan att göra något anspråk på äganderätt till innehållet i publicerade annonser – rätten att använda innehållet, inbegripet att kopiera, sprida, överföra, publicera, reproducera, ändra, översätta, överlåta innehållet till samarbetspartners samt att när som helst radera det, även om det inte finns något berättigat skäl till detta.

43 Mot denna bakgrund beslutade Curtea de Apel Cluj (Appellationsdomstolen i Cluj) att vilandeförklara målet och ställa följande frågor till EU-domstolen:

44 Det följer av fast rättspraxis att det enligt det förfarande för samarbete mellan nationella domstolar och EU-domstolen som införts genom artikel 267 FEUF ankommer det på EU-domstolen att ge den nationella domstolen ett användbart svar, som gör det möjligt för den domstolen att avgöra det mål som den ska pröva. I detta syfte kan EU-domstolen behöva omformulera de frågor som hänskjutits. I detta hänseende ankommer det på EU-domstolen att utifrån samtliga uppgifter som den nationella domstolen har lämnat, och i synnerhet utifrån skälen i beslutet om hänskjutande, avgöra vilka delar av unionsrätten som behöver tolkas med hänsyn till saken i målet (se, för ett liknande resonemang, dom av den 29 november 1978, Redmond, 83/78, EU:C:1978:214, punkt 26, dom av den 28 november 2000, Roquette Frères, C‑88/99, EU:C:2000:652, punkt 18, och dom av den 30 april 2024, M.N. (EncroChat), C‑670/22, EU:C:2024:372, punkt 78).

45 Sammantagna syftar den hänskjutande domstolens frågor till att, för det första, avgöra huruvida en e-handelsplatsoperatör, såsom Russmedia, som möjliggör för användarna att – antingen gratis eller mot betalning – anonymt lägga upp annonser på e-handelsplatsen, har åsidosatt sina skyldigheter enligt dataskyddsförordningen, när en annons som publiceras på nämnda handelsplats innehåller personuppgifter, bland annat känsliga personuppgifter, i strid med nämnda förordning, och, för det andra, avgöra huruvida artiklarna 12–15 i direktiv 2000/31 angående tjänstelevererande mellanhänders ansvar är tillämpliga på en sådan operatör.

46 För att kunna lämna ett användbart svar på dessa frågeställningar kommer EU-domstolen, i ett första skede, att pröva frågorna 2–4. Dessa frågor syftar till att avgöra vilka skyldigheter som en e-handelsplatsoperatör har enligt dataskyddsförordningen i en sådan situation som den som är aktuell i det nationella målet. EU-domstolen kommer därför att omformulera dessa frågor, så att de endast avser tolkningen av den förordningen. EU-domstolen kommer därefter, i ett andra skede, pröva frågan huruvida en sådan e-handelsplatsoperatör kan åberopa artiklarna 12–15 i direktiv 2000/31, vilka i princip utgör föremålet för fråga 1.

47 För det första konstaterar EU-domstolen att det framgår av begäran om förhandsavgörande att klaganden i det nationella målet i den aktuella annonsen presenterades som om hon erbjöd sexuella tjänster och att annonsen innehöll bilder av henne, vilka hade använts utan hennes samtycke, samt hennes telefonnummer.

48 Det är utrett att sådana uppgifter utgör personuppgifter, i den mening som avses i artikel 4 led 1 i förordning 2016/679. I den bestämmelsen definieras personuppgifter som varje upplysning som avser en identifierad eller identifierbar fysisk person och det anges att en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.

49 Enligt fast rättspraxis avspeglar användningen av uttrycket varje upplysning i definitionen av begreppet personuppgifter i artikel 4 led 1 i dataskyddsförordningen unionslagstiftarens avsikt att ge detta begrepp en vid innebörd, vilken potentiellt innefattar alla typer av upplysningar, såväl objektiva som subjektiva, i form av åsikter eller bedömningar, under förutsättning att uppgifterna avser den berörda personen. En upplysning avser en identifierad eller identifierbar fysisk person när den på grund av sitt innehåll, syfte eller verkan är knuten till en identifierbar person (dom av den 3 april 2025, Ministerstvo zdravotnictví (Uppgifter om en juridisk persons företrädare), C‑710/23, EU:C:2025:231, punkt 21 och där angiven rättspraxis).

50 I artikel 9.1 i dataskyddsförordningen föreskrivs särskilda regler beträffande skydd av vissa särskilda kategorier av personuppgifter, däribland personuppgifter som avser en fysisk persons sexualliv eller sexuella läggning.

51 Domstolen har preciserat att syftet med artikel 9.1 i dataskyddsförordningen är att säkerställa ett utökat skydd mot behandling som, på grund av att de uppgifter som behandlas är särskilt känsliga, kan utgöra ett synnerligen allvarligt ingrepp i de grundläggande rättigheter avseende respekt för privatlivet och skydd för personuppgifter som garanteras genom artiklarna 7 och 8 i stadgan (dom av den 21 december 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punkt 41 och där angiven rättspraxis).

52 Ett sådant utökat skydd kräver med nödvändighet att känsliga uppgifter ges en vid definition. Domstolen har således slagit fast att artikel 9.1 i dataskyddsförordningen är tillämplig på behandling som inte enbart avser uppgifter som i sig är känsliga, utan även uppgifter som indirekt efter en intellektuell slutledning eller avstämning avslöjar information av detta slag (dom av den 5 juni 2023, kommissionen/Polen (Domars oavhängighet och privatliv), C‑204/21, EU:C:2023:442, punkt 344 och där angiven rättspraxis).

53 Inom ramen för denna vida definition innebär inte den omständigheten att uppgifterna om en fysisk persons sexualliv eller sexuella läggning är falska och skadegörande att sådana uppgifter ska fråntas kvalificeringen som känsliga uppgifter, i den mening som avses i artikel 9.1 i dataskyddsförordningen.

54 För det andra konstaterar domstolen att den aktuella behandlingen består i publiceringen av annonsen och följaktligen av dessa uppgifter på Russmedias e-handelsplats. En åtgärd som innebär att personuppgifter läggs ut på en webbsida utgör behandling i den mening som avses i artikel 4.2 i dataskyddsförordningen (dom av den 1 augusti 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, punkt 65 och där angiven rättspraxis).

55 För det tredje ska det påpekas att det i frågorna 2–4 hänvisas till det faktum att den e-handelsplatsoperatör som är aktuell i det nationella målet är personuppgiftsansvarig för behandlingen av uppgifterna. Det framgår dock att de personuppgifter vilkas publicering är föremål för tvist i det nationella målet, har förts in i den aktuella annonsen av en anonym användarannonsör, utan att e-handelsplatsoperatören haft något konkret inflytande på annonsens innehåll och utan att operatören var medveten om att annonsen var falsk och skadegörande. Under dessa omständigheter finns det anledning att klargöra begreppen personuppgiftsansvarig och gemensamt personuppgiftsansvariga, i den mening som avses i artikel 4 led 7 respektive artikel 26 i dataskyddsförordningen.

56 I artikel 4 led 7 i dataskyddsförordningen ges en vid definition av begreppet personuppgiftsansvarig. Med begreppet avses fysiska eller juridiska personer, offentliga myndigheter, institutioner eller andra organ som ensamma eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter.

57 Syftet med denna vida definition är att i överensstämmelse med dataskyddsförordningens syfte säkerställa ett effektivt skydd för fysiska personers grundläggande fri- och rättigheter och, i synnerhet, en hög skyddsnivå för envars rätt till skydd av de personuppgifter som rör honom eller henne (dom av den 5 december 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, punkt 29 och där angiven rättspraxis).

58 En fysisk eller juridisk person som för egna syften utövar inflytande över behandlingen av personuppgifter, och därigenom deltar i bestämmandet av ändamål och medel för behandlingen, kan anses vara personuppgiftsansvarig vid behandling av de aktuella personuppgifterna (dom av den 5 december 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, punkt 30 och där angiven rättspraxis).

59 Eftersom begreppet personuppgiftsansvarig, såsom uttryckligen framgår av artikel 4 led 7 i dataskyddsförordningen, avser det organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter, avser detta begrepp således inte nödvändigtvis en enda enhet och det kan avse flera aktörer som är delaktiga i behandlingen, där respektive aktör är skyldig att följa bestämmelserna om skydd av personuppgifter (se, för ett liknande resonemang, dom av den 29 juli 2019, Fashion ID, C‑40/17, EU:C:2019:629, punkt 67 och där angiven rättspraxis).

60 I artikel 26 i dataskyddsförordningen, som ingår som en del av definitionen av personuppgiftsansvarig i artikel 4 led 7 i förordningen, föreskrivs i huvudsak att om två eller flera personuppgiftsansvariga gemensamt fastställer ändamålen och medlen för behandlingen, ska de anses vara gemensamt personuppgiftsansvariga för denna behandling.

61 Ett sådant gemensamt ansvar kräver inte nödvändigtvis att det föreligger gemensamma beslut om fastställande av ändamålen och medlen för behandlingen av de aktuella personuppgifterna. Domstolen har nämligen slagit fast att ett deltagande i att bestämma ändamål och medel för en behandling av personuppgifter tar sig olika former, eftersom deltagandet kan följa såväl av ett gemensamt beslut fattat av två eller flera organ som av sådana organs samstämmiga beslut, som kompletterar varandra så, att respektive beslut har en påtaglig inverkan på bestämmandet av nämnda ändamål och medel (se, för ett liknande resonemang, dom av den 5 december 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, punkt 43).

62 För att flera aktörer ska anses ha ett gemensamt ansvar för en och samma behandling krävs, enligt artikel 4.7 i dataskyddsförordningen, inte heller att var och en av dem har åtkomst till de aktuella personuppgifterna (dom av den 29 juli 2019, Fashion ID, C‑40/17, EU:C:2019:629, punkt 69 och där angiven rättspraxis, och dom av den 5 december 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, punkt 42).

63 Ur samma perspektiv har domstolen preciserat att den omständigheten att det finns ett gemensamt ansvar inte nödvändigtvis behöver innebära att de olika aktörer som medverkar vid en behandling av personuppgifter har ett likvärdigt ansvar. Tvärtom kan dessa aktörer vara involverade i olika skeden av behandlingen och i olika utsträckning, så att graden av ansvar för var och en av dem ska bedömas med beaktande av alla relevanta omständigheter i det enskilda fallet (se, för ett liknande resonemang, dom av den 10 juli 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, punkt 66 och där angiven rättspraxis, och dom av den 5 december 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, punkt 42).

64 I förevarande fall är det utrett att den annonsör som lagt upp den falska och skadegörande annonsen, innehållande klaganden i det nationella målets personuppgifter, på den e-handelsplats som drivs av Russmedia ska anses vara den som i första hand bestämt ändamålen och medlen för behandlingen av dessa personuppgifter och som därför omfattas av begreppet personuppgiftsansvarig, i den mening som avses i artikel 4 led 7 i dataskyddsförordningen.

65 Det är emellertid även utrett att det endast är tack vare den e-handelsplats som drivs av Russmedia som annonsen kunnat publiceras på internet och således gjorts tillgänglig för internetanvändare.

66 Det framgår visserligen av den rättspraxis som det hänvisats till i punkt 58 ovan att en person endast kan kvalificeras som personuppgiftsansvarig om vederbörande för egna syften utövar inflytande över behandlingen av personuppgifter. Domstolen konstaterar emellertid att detta bland annat kan vara fallet, när e-handelsplatsoperatören publicerar personuppgifter av affärsmässiga skäl eller av marknadsföringsskäl som går utöver det rena tillhandahållande av tjänster som operatören utför åt användarannonsören.

67 I förevarande fall framgår det av beslutet om hänskjutande att Russmedia, i egna affärsmässiga syften, publicerar annonser på sin e-handelsplats. E-handelsplatsens allmänna villkor ger Russmedia stor frihet att utnyttja den information som publiceras på marknadsplatsen. Enligt vad den hänskjutande domstolen har uppgett förbehåller sig Russmedia bland annat rätten att använda publicerat innehåll, att distribuera, översända, mångfaldiga, ändra och översätta det samt överlåta publicerat innehåll till samarbetspartners och att när som helst radera det, utan att bolaget behöver ha något berättigat skäl för detta. Russmedia publicerar således inte de personuppgifter som finns i annonserna enbart, eller inte endast enbart, för användarannonsörernas räkning, utan behandlar och kan exploatera dem för sina egna marknadsförings- och affärsändamål.

68 Domstolen finner således att Russmedia för egna syften har utövat inflytande över publiceringen på internet av klagandens personuppgifter och därmed deltagit i bestämmandet av ändamålen för publiceringen och således ändamålen för den aktuella behandlingen av personuppgifter.

69 Detta konstaterande påverkas inte av den omständigheten att det är uppenbart att Russmedia inte har deltagit i bestämmandet av det falska och skadegörande ändamål som den användarannonsör som publicerat den aktuella annonsen har eftersträvat. Russmedia har nämligen deltagit i bestämmandet av det ändamål för behandlingen som består i att göra de personuppgifter som ingick i den aktuella annonsen tillgängliga för internetanvändare i syfte att exploatera denna publicering kommersiellt. Dessutom har Russmedia underlättat publiceringen av personuppgifter utan den registrerades samtycke genom att göra det möjligt att lägga upp annonser anonymt på bolagets e-handelsplats.

70 Russmedia har dessutom deltagit i bestämmandet av medlen för denna publicering genom att ställa sin e-handelsplats, som använts för att publicera den aktuella annonsen, till användarannonsörens förfogande.

71 Domstolen har redan funnit att en fysisk eller juridisk person som utövar ett avgörande inflytande på insamlingen och överföringen av personuppgifter eller som, genom konfigurationsåtgärder, utövar inflytande över behandlingen av personuppgifter utifrån sina mål för driften och marknadsföringen av sin verksamhet (se, för ett liknande resonemang, dom av den 5 juni 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, punkt 36, och dom av den 29 juli 2019, Fashion ID, C‑40/17, EU:C:2019:629, punkt 78). Det förhåller sig på samma sätt beträffande en sökmotorleverantör, när dennes verksamhet spelar en avgörande roll för den totala spridningen av personuppgifter genom att dessa uppgifter blir allmänt tillgängliga på internet på ett organiserat och aggregerat sätt (se, för ett liknande resonemang, dom av den 8 december 2022, Google (Borttagande av påstått felaktig innehåll), C‑460/20, EU:C:2022:962, punkt 50 och där angiven rättspraxis).

72 Domstolen konstaterar således att när en e-handelsplatsoperatör, såsom Russmedia, konfigurerar spridningen av annonser som kan innehålla personuppgifter med hänsyn till vilken målgrupp som bolaget vill nå, bestämmer presentationen, hur länge spridningen ska pågå, de rubriker som ger struktur åt publiceringen eller ordnar den klassificering som avgör hur spridningen går till, deltar operatören i att bestämma de väsentliga medlen för publiceringen av de aktuella personuppgifterna och utövar sålunda avgörande inflytande över spridningen överlag av dessa uppgifter.

73 Innehållet i e-handelsplatsens allmänna villkor kan ge indikationer på att operatören av handelsplatsen utövar bestämmande inflytande över den aktuella behandlingen av personuppgifter och sålunda bestämmer medlen för denna behandling. Detta förefaller vara fallet med de allmänna användarvillkoren för Russmedias e-handelsplats, i vilka det bolaget bland annat förbehåller sig rätten att sprida, överföra, publicera, radera eller reproducera den information som finns i annonserna, inbegripet de personuppgifter som finns i dem.

74 En e-handelsplatsoperatör kan, under alla omständigheter, inte undgå sitt ansvar i egenskap av personuppgiftsansvarig av det skälet att operatören inte själv har bestämt innehållet i den aktuella annons som publicerats på handelsplatsen. Det skulle nämligen strida inte bara mot den klara ordalydelsen i artikel 4 led 7 i dataskyddsförordningen, utan även mot syftet med den bestämmelsen, vilket är att genom en vid definition av begreppet personuppgiftsansvarig säkerställa ett effektivt och fullständigt skydd för registrerade, om en sådan operatör uteslöts från denna definition enbart av detta skäl.

75 Domstolen konstaterar följaktligen att den hänskjutande domstolen gjorde en riktig bedömning när den i frågorna 2–4 utgick från premissen att en e-handelsplatsoperatör, i en sådan situation som den som är aktuell i det nationella målet, är ansvarig för behandlingen av personuppgifter i en annons som publicerats på e-handelsplatsen, i den mening som avses i artikel 4 led 7 i dataskyddsförordningen.

76 Det är mot bakgrund av de överväganden som anges ovan som de hänskjutna frågorna ska besvaras.

77 Den hänskjutande domstolen har ställt frågorna 2 och 3, vilka ska prövas tillsammans, för att få klarhet i huruvida artikel 5.2 samt artiklarna 24–26 i dataskyddsförordningen ska tolkas så, att en e-handelsoperatör i egenskap av personuppgiftsansvarig, i den mening som avses i artikel 4 led 7 i dataskyddsförordningen, för de personuppgifter som finns i de annonser som publicerats på handelsplatsen är skyldig att, före publiceringen av annonserna, fastställa vilka annonser som innehåller känsliga uppgifter i den mening som avses i artikel 9.1 i dataskyddsförordningen, kontrollera att den användarannonsör som står i begrepp att lägga upp en sådan annons är den person vars känsliga uppgifter förekommer i annonsen och, om detta inte är fallet, vägra att publicera annonsen om det saknas uttryckligt samtycke från den registrerade, såvitt publiceringen skulle kunna medföra en allvarlig kränkning av den registrerades rätt till skydd för privatlivet och skydd av sina personuppgifter enligt artiklarna 7 och 8 i stadgan.

78 Enligt artikel 1.2 i dataskyddsförordningen, jämförd med skälen 4 och 10 i samma förordning, syftar förordningen bland annat till att säkerställa en hög skyddsnivå för fysiska personers grundläggande fri- och rättigheter med avseende på behandling av personuppgifter. Denna rättighet erkänns även i artikel 8 i stadgan och är nära knuten till rätten till respekt för privatlivet, vilken är stadfäst i artikel 7 i stadgan (se, för ett liknande resonemang, dom av den 1 augusti 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, punkt 61 och där angiven rättspraxis).

79 För detta ändamål anges i kapitel II i dataskyddsförordningen de principer som reglerar behandlingen av personuppgifter och som den personuppgiftsansvarige är skyldig att följa. I synnerhet ska all behandling av personuppgifter vara förenlig med principerna för behandling av sådana uppgifter och villkoren för laglig behandling av personuppgifter, vilka anges i artiklarna 5 och 6 i nämnda förordning (dom av den 1 augusti 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, punkt 62 och där angiven rättspraxis).

80 Enligt artikel 5.1 a i dataskyddsförordningen ska personuppgifter behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. I artikel 5.1 d i förordningen tilläggs att de personuppgifter som behandlas ska vara korrekta och uppdaterade, om detta är nödvändigt. Alla rimliga åtgärder måste således vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål. I artikel 5.1 f i förordningen föreskrivs att personuppgifter ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling.

81 Beträffande villkoren för laglig behandling av personuppgifter har EU-domstolen redan uttalat att artikel 6.1 första stycket i dataskyddsförordningen innehåller en uttömmande och fullständig förteckning över de fall där behandling av personuppgifter kan anses laglig. En behandling måste således omfattas av något av de fall som föreskrivs i den bestämmelsen (se, för ett liknande resonemang, dom av den 9 januari 2025, Mousse, C‑394/23, EU:C:2025:2, punkt 25 och där angiven rättspraxis).

82 Enligt artikel 6.1 första stycket a i dataskyddsförordningen är behandling av personuppgifter laglig om och i den utsträckning som den registrerade har lämnat sitt samtycke till detta för ett eller flera särskilda ändamål. I artikel 7.1 i förordningen preciseras att den personuppgiftsansvarige i ett sådant fall ska kunna visa att den registrerade har lämnat sitt samtycke till behandling av personuppgifter som rör honom eller henne. Har något sådant samtycke inte lämnats eller har samtycket inte lämnats på ett frivilligt, specifikt, informerat och otvetydigt sätt, i den mening som avses i artikel 4 led 11 i dataskyddsförordningen, kan behandlingen trots detta vara berättigad om den uppfyller något av de krav på nödvändighet som anges i artikel 6.1 första stycket b–f i förordningen (dom av den 9 januari 2025, Mousse, C‑394/23, EU:C:2025:2, punkt 26 och där angiven rättspraxis).

83 Utöver dessa principer och villkor gäller särskilda krav för känsliga uppgifter enligt artikel 9.1 i dataskyddsförordningen, vilka innebär att behandling av sådana uppgifter i princip är förbjuden (se, för ett liknande resonemang, dom av den 21 december 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punkt 73).

84 Det är endast tillåtet att frångå detta förbud om något av undantagen i artikel 9.2 a–j i förordningen är uppfyllt. Dessa undantag ska tolkas restriktivt. Bland undantagen återfinns artikel 9.2 a, i vilken det föreskrivs att förbudet mot behandling av känsliga uppgifter inte är tillämpligt om den registrerade uttryckligen har lämnat sitt samtycke till att vederbörandes känsliga uppgifter behandlas för ett eller flera specifika ändamål, utom då unionsrätten eller medlemsstaternas nationella rätt föreskriver att förbudet i punkt 1 inte kan upphävas av den registrerade.

85 I kapitel IV i dataskyddsförordningen föreskrivs omfattningen av de skyldigheter som åligger den personuppgiftsansvarige, i enlighet med den princip om ansvarighet som anges i artikel 5.2 i dataskyddsförordningen.

86 Enligt artikel 5.2 i dataskyddsförordningen är det den personuppgiftsansvarige som, i kraft av principen om ansvarighet som anges i samma bestämmelse, är ansvarig för att punkt 1 i samma artikel efterlevs och som ska kunna visa att den punkten efterlevs (dom av den 4 maj 2023, Bundesrepublik Deutschland (Digital domstolsbrevlåda), C‑60/22, EU:C:2023:373, punkt 53 och där angiven rättspraxis).

87 Principen om ansvarighet kommer till konkret uttryck i bland annat artikel 24 i dataskyddsförordningen (se, för ett liknande resonemang, dom av den 25 januari 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, punkt 43 och där angiven rättspraxis). Denna princip kräver att den personuppgiftsansvarige genomför lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med dataskyddsförordningen. Dessa åtgärder ska genomföras med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter.

88 Personuppgiftsansvariga åläggs således enligt artiklarna 5.2 och 24 i dataskyddsförordningen generella skyldigheter i fråga om ansvarsskyldighet och efterlevnad. Dessa skyldigheter innebär att den personuppgiftsansvarige måste vidta lämpliga åtgärder för att förebygga eventuella överträdelser av dataskyddsförordningen för att upprätthålla rätten till skydd av personuppgifter (se, ett för ett liknande resonemang, dom av den 27 oktober 2022, Proximus (Allmänna elektroniska abonnentförteckningar), C‑129/21, EU:C:2022:833, punkt 81).

89 Enligt artikel 25.1 i nämnda förordning ska den personuppgiftsansvarige, både vid bestämmandet av vilka medel behandlingen utförs med och vid själva behandlingen, genomföra lämpliga tekniska och organisatoriska åtgärder som är utformade för ett effektivt genomförande av dataskyddsprinciper och för integrering av de nödvändiga skyddsåtgärderna i behandlingen, så att kraven i den förordningen uppfylls och den registrerades rättigheter skyddas. I artikel 25.2, som rör dataskydd som standard, föreskrivs dessutom bland annat att lämpliga tekniska och organisatoriska åtgärder som den personuppgiftsansvarige ska genomföra för detta ändamål ska säkerställa att personuppgifter som standard inte görs tillgängliga för ett obestämt antal fysiska personer utan den berörda fysiska personens medverkan.

90 När de personuppgifter som behandlas är känsliga uppgifter, i den mening som avses i artikel 9.1 i dataskyddsförordningen, ska den personuppgiftsansvarige, vid avgörandet av vilka åtgärder som är lämpliga, i den mening som avses i artiklarna 24 och 25 i förordningen, bland annat beakta att ett åsidosättande av de principer som anges i kapitel II i förordningen vad gäller behandling av sådana uppgifter kan utgöra ett särskilt allvarligt ingrepp i de grundläggande rättigheterna avseende respekt för privatlivet och skydd av personuppgifter som garanteras i artiklarna 7 och 8 i stadgan.

91 Det är mot bakgrund av dessa preciseringar som frågorna 2 och 3, såsom de omformulerats i punkt 77 ovan, ska prövas.

92 För det första, beträffande frågan huruvida en e-handelsplatsoperatör, före publicering, måste fastställa vilka annonser som innehåller känsliga uppgifter, i den mening som avses i artikel 9.1 i dataskyddsförordningen, erinrar domstolen om att, såsom framgår av punkterna 64 och 75 ovan, ska denna operatör och den användarannonsör som lagt upp annonsen på e-handelsplatsen anses vara gemensamt personuppgiftsansvariga, i den mening som avses i artikel 26 i samma förordning, när den aktuella annonsen publiceras där.

93 Av detta följer att både e-handelsplatsoperatören och annonsören är skyldiga att se till att de skyldigheter som följer av artikel 5.2 samt artiklarna 24 och 25 i dataskyddsförordningen iakttas. De måste i synnerhet kunna visa att publiceringen av de personuppgifter som den aktuella annonsen innehåller är laglig, det vill säga att den registrerade har samtyckt till publiceringen, såvida de inte kan åberopa något annat villkor i artikel 6.1 i dataskyddsförordningen. När de aktuella personuppgifterna är känsliga uppgifter, i den mening som avses i artikel 9.1 i dataskyddsförordningen, måste samtycket till en sådan publicering, såsom framgår av punkt 84 ovan, vara uttryckligt. På samma sätt måste de personuppgiftsansvariga enligt den i artikel 5.1 d i dataskyddsförordningen angivna riktighetsprincipen, kunna visa att de berörda personuppgifterna är riktiga.

94 För att avgöra vilka specifika tekniska och organisatoriska åtgärder som en e-handelsplatsoperatör, i egenskap av gemensam personuppgiftsansvarig, är skyldig att genomföra enligt artiklarna 24 och 25 i dataskyddsförordningen, för att försäkra sig om och kunna visa att publiceringen av känsliga uppgifter i en annons sker i enlighet med denna förordning, konstaterar domstolen att det framgår av dessa bestämmelser att det ska göras en konkret bedömning av huruvida sådana åtgärder är lämpliga, med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt sannolikhetsgraden för och allvaret i riskerna för fysiska personers rättigheter och friheter (se, för ett liknande resonemang, dom av den 21 december 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punkt 96).

95 Det ska i detta hänseende påpekas att publiceringen av personuppgifter på en e-handelsplats medför betydande risker för den registrerades fri- och rättigheter, eftersom publiceringen innebär att dessa uppgifter i princip blir tillgängliga för alla internetanvändare. När uppgifterna väl har publicerats på en e-handelsplats kan de dessutom kopieras och reproduceras på andra webbplatser, vilket innebär att det kan visa sig vara svårt, eller till och med omöjligt, för den registrerade att få dem raderade från internet.

96 De risker som är förknippade med en sådan publicering är särskilt allvarliga när det är fråga om känsliga uppgifter i den mening som avses i artikel 9.1 i dataskyddsförordningen. Av skäl 51 i dataskyddsförordningen framgår därför uttryckligen att personuppgifter som till sin natur är särskilt känsliga med hänsyn till grundläggande fri- och rättigheter bör åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för dessa fri- och rättigheter (se, för ett liknande resonemang, dom av den 4 oktober 2024, Lindenapotheke, C‑21/23, EU:C:2024:846, punkt 75). Behandling av sådana uppgifter kan, såsom det konstaterats i punkt 90 ovan, utgöra ett synnerligen allvarligt ingrepp i de grundläggande rättigheterna avseende respekt för privatlivet och skydd av personuppgifter som garanteras i artiklarna 7 och 8 i stadgan. Sannolikhetsgraden för en kränkning av dessa rättigheter genom publiceringen av en annons som innehåller personuppgifter är mycket hög, när användarannonsören inte själv är den registrerade eller när e-handelsplatsen tillåter att sådana annonser läggs upp anonymt.

97 Följaktligen är en e-handelsplatsoperatör såsom den som är aktuell i det nationella målet, såvitt denne har kännedom i allmänhet om eller borde ha haft sådan kännedom, att annonser som innehåller känsliga uppgifter, i den mening som avses i artikel 9.1 dataskyddsförordningen, kan komma att publiceras av användarannonsören på e-handelsplatsen, skyldig, i egenskap av personuppgiftsansvarig för denna behandling, att – redan vid utformningen av sin tjänst – genomföra lämpliga tekniska och organisatoriska åtgärder för att kunna urskilja sådana annonser före publiceringen och således ha möjlighet att kontrollera huruvida de känsliga uppgifter som de innehåller publiceras med iakttagande av de principer som anges i kapitel II i förordningen. Såsom bland annat följer av artikel 25.1 i dataskyddsförordningen åvilar skyldigheten att genomföra sådana åtgärder e-handelsoperatören inte endast i samband med behandlingen, utan redan i samband med bestämmandet av medlen för behandlingen och således före det att de känsliga uppgifterna, i strid med dessa principer, publiceras på e-handelsplatsen. Denna skyldighet syftar nämligen just till att förhindra sådana åsidosättanden.

98 För det andra, beträffande frågan huruvida e-handelsplatsoperatören, i egenskap av gemensamt personuppgiftsansvarig – tillsammans med användarannonsören – för behandlingen av känsliga uppgifter som finns i annonser som publiceras på dennes webbplats, måste kontrollera användarannonsörens identitet före publicering erinrar domstolen om följande. Det framgår av artikel 9.1 i dataskyddsförordningen, jämförd med artikel 9.2 a i samma förordning, att publiceringen av sådana uppgifter är förbjuden, såvida den registrerade inte har gett sitt uttryckliga samtycke till att de aktuella uppgifterna publiceras på e-handelsplatsen eller något av de andra undantagen i artikel 9.2 b–j är uppfyllt, vilket inte förefaller vara fallet här.

99 Även om det faktum att en registrerad har lagt upp en annons innehållande känsliga uppgifter rörande vederbörande på en e-handelsplats kan utgöra ett uttryckligt samtycke, i den mening som avses i artikel 9.2 a i dataskyddsförordningen, föreligger det inte något sådant samtycke när annonsen har lagts upp av en utomstående, såvida denne inte kan visa att den registrerade har lämnat sitt uttryckliga samtycke till att annonsen publiceras på den aktuella e-handelsplatsen. För att kunna försäkra sig om, och kunna visa att kraven i artikel 9.2 a i dataskyddsförordningen är uppfyllda, är e-handelsplatsoperatören skyldig att före publiceringen av en sådan annons kontrollera huruvida den användarannonsör som står i begrepp att lägga upp annonsen är den person vars känsliga uppgifter finns i annonsen. Detta förutsätter att e-handelsoperatören har uppgift om användarannonsörens identitet.

100 Det framgår dessutom av artikel 13.1 a och artikel 14.1 a i dataskyddsförordningen att personuppgiftsansvariga under alla omständigheter ska lämna information om sin identitet och sina kontaktuppgifter till den registrerade.

101 Slutligen ska det påpekas att enligt artikel 26 i dataskyddsförordningen är gemensamt personuppgiftsansvariga skyldiga att under öppna former fastställa sitt respektive ansvar för att fullgöra skyldigheterna enligt denna förordning för att kunna iaktta kraven i förordningen. Det skulle emellertid vara omöjligt att fullgöra en sådan skyldighet om den ena av de båda personuppgiftsansvariga för behandlingen kunde förbli anonym i förhållande till den andre.

102 Av det anförda följer således att en e-handelsplatsoperatör, i egenskap av ansvarig för publiceringen av känsliga uppgifter i en annons som publiceras på operatörens e-handelsplats, är – tillsammans med användarannonsören – skyldig att samla in information om användarannonsörens identitet och kontrollera huruvida denne är den person vars känsliga uppgifter ingår i annonsen.

103 Såsom generaladvokaten har påpekat i punkt 132 i sitt förslag till avgörande, framgår det av skäl 75 i dataskyddsförordningen att behandling av personuppgifter, bland annat vid identitetsstöld, kan medföra risker för de registrerades fri- och rättigheter, vilket skulle kunna hindra dem från att utöva kontroll över sina personuppgifter. En identitet stjäls nämligen i allmänhet för att begå bedrägliga handlingar, till skada för den registrerade eller för tredje part.

104 Under dessa omständigheter och med beaktande av övervägandena i punkterna 95 och 96 ovan ska en e-handelsplatsoperatör enligt artiklarna 24 och 25 i dataskyddsförordningen, för att kunna försäkra sig om och kunna visa att känsliga uppgifter i annonser behandlas i enlighet med kraven i dataskyddsförordningen, genomföra lämpliga tekniska och organisatoriska åtgärder som gör det möjligt för denne att inte bara samla in information om, utan även kontrollera, annonsanvändarens identitet före publiceringen av sådana annonser, och detta bland annat för att kunna avgöra huruvida denne är den person vars känsliga uppgifter finns i annonsen. Sådana åtgärder ska, såsom generaladvokaten har påpekat i punkt 134 i sitt förslag till avgörande, bland annat göra det möjligt att begränsa risken för olaglig behandling av registrerades personuppgifter och att bekämpa illojal användning av en sådan e-handelsplats, genom att inskränka känslan av straffrihet och sålunda uppmuntra användarannonsörer att uppfylla kraven i dataskyddsförordningen när de publicerar annonser som innehåller personuppgifter.

105 För det tredje, beträffande frågan huruvida en e-handelsplatsoperatör är skyldig att vägra att publicera en annons som innehåller känsliga uppgifter när det visar sig – efter en identitetskontroll av den användarannonsör som står i begrepp att lägga upp annonsen – att denne inte är den person vars känsliga uppgifter ingår i annonsen, konstaterar domstolen att det följer av punkterna 98 och 99 ovan att i ett sådant fall kan det inte uteslutas att en sådan publicering sker i strid med förbudet i artikel 9.1 i dataskyddsförordningen mot att behandla sådana uppgifter. E-handelsplatsoperatören måste följaktligen vägra att publicera den aktuella annonsen och se till att detta inte sker genom att genomföra lämpliga tekniska och organisatoriska åtgärder, såvida användarannonsören inte kan visa att den registrerade lämnat sitt uttryckliga samtycke, i den mening som avses i artikel 9.2 a, till att de aktuella uppgifterna publiceras på e-handelsplatsen eller att något av de andra undantagen i artikel 9.2 b–j är uppfyllda.

106 Mot bakgrund av det anförda ska frågorna 2 och 3 besvaras enligt följande. Artikel 5.2 samt artiklarna 24–26 i dataskyddsförordningen ska tolkas så, att en e-handelsplatsoperatör, i egenskap av personuppgiftsansvarig i den mening som avses i artikel 4 led 7 i dataskyddsförordningen, för behandlingen av personuppgifter som ingår i annonser som publiceras på operatörens e-handelsplats är skyldig att, före publicering och med hjälp av lämpliga tekniska och organisatoriska åtgärder,

107 Fråga 4 avser i huvudsak spörsmålet huruvida en e-handelsplatsoperatör, i egenskap av personuppgiftsansvarig, är skyldig att vidta säkerhetsåtgärder för att förhindra eller motverka att annonser som innehåller känsliga uppgifter, vilka publicerats på operatörens e-handelsplats, reproduceras eller sprids på nytt.

108 I förevarande fall framgår det av begäran om förhandsavgörande, för det första, att den falska och skadegörande annons som är aktuell i det nationella målet har spridits på andra webbplatser med reklaminnehåll, vilka har publicerat annonsen med angivande av ursprungskällan, och, för det andra, att Russmedia, i de allmänna användarvillkoren för e-handelsplatsen förbehåller sig rätten att överföra innehållet i annonser som publiceras där och att överlåta detta innehåll till samarbetspartners. Den hänskjutande domstolen har i detta avseende inte preciserat huruvida Russmedia frivilligt har överfört annonsen till dessa andra webbplatser eller huruvida Russmedia genom avtal, åtminstone har lämnat sitt tillstånd till detta eller om det tvärtom förhåller sig så, att publiceringarna är följden av kopior av ursprungsannonsen, som Russmedia inte har lämnat sitt tillstånd till.

109 Om det visar sig att det är det första ledet i detta alternativ som är riktigt, skulle denna överföring utgöra en ny behandling av personuppgifter för vilken Russmedia är ansvarigt, i den mening som avses i artikel 4 led 7 i dataskyddsförordningen. Denna behandling ska skiljas från användarannonsörens publicering av den falska och skadegörande artikeln på Russmedias e-handelsplats.

110 Det ska nämligen, inom en och samma kedja av åtgärder, göras åtskillnad mellan olika behandlingar av personuppgifter i syfte att – för respektive person som kan kvalificeras som personuppgiftsansvarig – kunna göra en individuell bedömning av vilken grad av ansvar som ska tillskrivas vederbörande. Detta följer av att det faktum att för att en fysisk eller juridisk person ska kunna betraktas som gemensamt personuppgiftsansvarig måste denna person självständigt uppfylla definitionen av begreppet personuppgiftsansvarig i artikel 4 led 7 i dataskyddsförordningen (dom av den 5 december 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, punkt 41 och där angiven rättspraxis).

111 Av detta följer att även om en senare överföring av personuppgifter sker inom ramen för avtal om spridning mellan operatören av den e-handelsplats, på vilken de aktuella personuppgifterna ursprungligen publicerades, och operatörerna av andra webbplatser, är det i princip e-handelsplatsoperatören som är ensamt ansvarig för den behandling som överföringen utgör. Under alla omständigheter är varje personuppgiftsansvarig, antingen ensamt eller tillsammans med andra, skyldig att fullgöra samtliga skyldigheter som följer av dataskyddsförordningen.

112 Efter dessa preciseringar ska fråga 4 förstås så, att den avser en situation där Russmedia inte har överfört den falska och skadegörande annons som är aktuell i det nationella målet till andra webbplatser med reklaminnehåll och således inte har gett tillåtelse till de efterföljande publiceringarna.

113 Det ska dessutom påpekas att denna fråga i huvudsak avser omfattningen av den säkerhetsskyldighet som den personuppgiftsansvarige måste uppfylla. Artikel 32 i dataskyddsförordningen avser emellertid specifikt säkerhet i samband med behandling. Den artikeln konkretiserar och preciserar en specifik aspekt av de krav som anges i artikel 24 i dataskyddsförordningen, jämförd med artikel 5.2 i samma förordning, i vilka den personuppgiftsansvariges ansvar, definieras generellt.

114 Under dessa omständigheter ska den hänskjutande domstolen anses ha ställt fråga 4 för att få klarhet i huruvida artikel 32 i dataskyddsförordningen ska tolkas så, att en e-handelsplatsoperatör, i egenskap av ansvarig i den mening som avses i artikel 4 led 7 i den förordningen, för behandlingen av personuppgifter som ingår i annonser som publiceras på operatörens e-handelsplats, är skyldig att vidta säkerhetsåtgärder för att förhindra att annonser som publiceras där och som innehåller känsliga uppgifter, i den mening som avses i artikel 9.1 i samma förordning, reproduceras och utan tillstånd publiceras på andra webbplatser.

115 I artikel 32.1 i dataskyddsförordningen föreskrivs att den personuppgiftsansvarige och personuppgiftsbiträdet ska, med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter, genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet, när det är lämpligt.

116 I artikel 32.2 i den förordningen föreskrivs det att vid bedömningen av vilken säkerhetsnivå som är lämplig ska det särskilt tas hänsyn till de risker som personuppgiftsbehandlingen medför, bland annat risken för att uppgifter förstörs, förloras eller ändras samt risken för obehörigt röjande av eller obehörig åtkomst till personuppgifter som skett på ett oavsiktligt eller olagligt sätt.

117 Domstolen har slagit fast att hänvisningen i artikel 32.1 och 32.2 i dataskyddsförordningen till en säkerhetsnivå som är lämplig i förhållande till risken och till en lämplig säkerhetsnivå visar att det genom förordningen inrättas ett riskhanteringssystem och att ambitionen med förordningen inte på något sätt är att eliminera riskerna för personuppgiftsincidenter (dom av den 14 december 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punkt 29).

118 Det framgår således av ordalydelsen i artikel 32 i dataskyddsförordningen, jämförd med artikel 24 i den förordningen, att dessa bestämmelser endast innebär en skyldighet för den personuppgiftsansvarige att genomföra tekniska och organisatoriska åtgärder för att i möjligaste mån undvika personuppgiftsincidenter. Bedömningen av om sådana åtgärder är lämpliga ska ske utifrån de konkreta omständigheterna i det enskilda fallet. I bedömningen ingår att ta ställning till om den personuppgiftsansvarige vid genomförandet av åtgärderna har beaktat de olika faktorer som avses i nämnda artiklar och de skyddsbehov som särskilt gör sig gällande i samband med den aktuella personuppgiftsbehandlingen samt därmed förenade risker (se, för ett liknande resonemang, dom av den 14 december 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punkt 30).

119 Vid bedömningen av den konkreta risk som den aktuella behandlingen medför ska det tas hänsyn till huruvida de behandlade personuppgifterna är känsliga. Såsom det har erinrats om i punkterna 51 och 90 ovan grundar sig det utökade skydd för vissa kategorier av särskilt känsliga personuppgifter som föreskrivs i artikel 9.1 i dataskyddsförordningen, på att behandlingen av sådana uppgifter kan utgöra ett synnerligen allvarligt ingrepp i de grundläggande rättigheterna avseende respekt för privatlivet och skydd av personuppgifter, vilka garanteras i artiklarna 7 och 8 i stadgan (se, för ett liknande resonemang, dom av den 21 december 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punkt 41 och där angiven rättspraxis).

120 När en annons som innehåller personuppgifter finns på internet och den således är allmänt tillgänglig, medför spridningen av dessa uppgifter dock en risk för att kontrollen över de aktuella personuppgifterna går förlorad. När detta inträffar fråntas samtliga rättigheter och garantier som den registrerade har enligt dataskyddsförordningen sin ändamålsenliga verkan, varav den mest framträdande är rätten till radering i artikel 17 i förordningen.

121 När känsliga uppgifter publiceras online är den personuppgiftsansvarige enligt artikel 32 i dataskyddsförordningen skyldig att genomföra alla tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som effektivt kan förebygga att kontrollen över uppgifterna går förlorad.

122 I detta avseende ska den personuppgiftsansvarige bland annat överväga alla tillgängliga tekniska åtgärder som, med beaktande av den senaste tekniska utvecklingen, kan blockera kopieringen och reproduktion av innehållet online.

123 Det ska emellertid även preciseras att artiklarna 24 och 32 i dataskyddsförordningen inte kan anses ha den innebörden att den omständigheten att det skett en otillåten spridning av personuppgifter som ursprungligen publicerats online räcker för att anse att de åtgärder som genomförts av den personuppgiftsansvarige inte var lämpliga, i den mening som avses i dessa bestämmelser, utan att den personuppgiftsansvarige ens ges möjlighet att bevisa motsatsen (dom av den 14 december 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punkt 31).

124 I förevarande fall framgår det av beslutet om hänskjutande att den falska och skadegörande annons som är aktuell i det nationella målet alltjämt är tillgänglig på andra webbplatser utan att det förefaller som om klaganden kan få den raderad, trots att annonsen raderats från Russmedias e-handelsplats.

125 Det framgår emellertid att ursprunget till denna förlust av kontroll är den inledande, olagliga publiceringen av den falska och skadegörande annons som är aktuell i det nationella målet, vilken skett med åsidosättande av de krav som föreskrivs i dataskyddsförordningen. Russmedia var under alla omständigheter skyldigt enligt artikel 32 i dataskyddsförordningen att genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken och att, så långt det är möjligt, blockera alla kopior av denna annons. Det ankommer på den hänskjutande domstolen att kontrollera om så är fallet.

126 Mot bakgrund av det anförda ska fråga 4 besvaras enligt följande. Artikel 32 i dataskyddsförordningen ska tolkas så, att en e-handelsplatsoperatör, i egenskap av personuppgiftsansvarig i den mening som avses i artikel 4 led 7 i den förordningen, för behandlingen av personuppgifter som ingår i annonser som publiceras på operatörens e-handelsplats, är skyldig att genomföra lämpliga tekniska och organisatoriska säkerhetsåtgärder för att förhindra att annonser som publiceras där och som innehåller känsliga uppgifter, i den mening som avses i artikel 9.1 i samma förordning, reproduceras och utan tillstånd publiceras på andra webbplatser.

127 Såsom EU-domstolen har konstaterat i punkterna 45 och 46 ovan söker den hänskjutande domstolen dessutom klarhet i huruvida en e-handelsplatsoperatör, i egenskap av ansvarig, i den mening som avses i artikel 4 led 7 i dataskyddsförordningen, för behandlingen av personuppgifter som ingår i annonser som publiceras på operatörens e-handelsplats, kan åberopa artiklarna 12–15 i direktiv 2000/31 om tjänsteleverande mellanhänders ansvar, med avseende på ett åsidosättande av de ovan i artiklarna 106 och 126 angivna skyldigheterna enligt artikel 5.2 samt artiklarna 24–26 och 32 i dataskyddsförordningen.

128 Det uppkommer således en fråga om hur dessa båda unionsförfattningar förhåller sig till varandra. Det ska särskilt avgöras huruvida artiklarna 12–15 i direktiv 2000/31 kan ingripa i det system för ansvarighet som föreskrivs i dataskyddsförordningen.

129 Det ska i detta hänseende påpekas att det i artikel 1.5 b i direktiv 2000/31 preciseras att direktivet inte är tillämpligt på frågor beträffande informationssamhällets tjänster som omfattas av direktiv 95/46 och direktiv 97/66.

130 Domstolen har tolkat denna bestämmelse så, att frågor med anknytning till skyddet för konfidentialitet vid kommunikation och skyddet för personuppgifter ska bedömas mot bakgrund av dataskyddsförordningen och Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 2002, s. 37), vilka har ersatt direktiv 97/66 respektive direktiv 95/46. Domstolen har preciserat att det skydd som direktiv 2000/31 är avsett att säkerställa under inga omständigheter får undergräva de krav som följer av direktiv 2002/58 och förordning 2016/679 (dom av den 6 oktober 2020, La Quadrature du Net m.fl., C‑511/18, C‑512/18 och C‑520/18, EU:C:2020:791, punkt 200 och där angiven rättspraxis).

131 Av detta följer i synnerhet att det undantag i artikel 14.1 i direktiv 2000/31 som en e-handelsplatsoperatör skulle kunna åberopa med avseende på information på dennes webbplats som operatören agerar värdtjänst för, inte får ingripa i den reglering i dataskyddsförordningen som är tillämplig på e-handelsplatsoperatören och andra operatörer som omfattas av den förordningens tillämpningsområde.

132 Detsamma gäller artikel 15 i direktiv 2000/31, enligt vilken medlemsstaterna inte får ålägga tjänsteleverantörerna en allmän övervakningsskyldighet i samband med tillhandahållande av sådana tjänster som bland annat avses i artikel 14 i direktivet. För övrigt skulle, under alla omständigheter, en skyldighet för en e-handelsplatsoperatör att följa kraven i dataskyddsförordningen inte kunna kvalificeras som en sådan allmän övervakningsskyldighet.

133 I artikel 2.4 i dataskyddsförordningen förskrivs att den förordningen inte ska påverka tillämpningen av direktiv 2000/31, i synnerhet inte bestämmelserna om tjänstelevererande mellanhänders ansvar enligt artiklarna 12 och 15 i det direktivet.

134 Artikel 2.4 i dataskyddsförordningen ska förstås så, att den omständigheten att en operatör har skyldigheter enligt den förordningen inte med automatik innebär att det är uteslutet nämnda operatör kan åberopa artiklarna 12–15 i direktiv 2000/31 avseende andra frågor än frågor rörande skydd av personuppgifter.

135 Det följer således av artikel 1.5 b i direktiv 2000/31, jämförd med artikel 2.4 i dataskyddsförordningen, att bestämmelserna i detta direktiv, särskilt artiklarna 12–15, inte får ingripa i regleringen i den förordningen.

136 Mot bakgrund av det anförda ska fråga 1 besvaras enligt följande. Artikel 1.5 b i direktiv 2000/31 och artikel 2.4 i dataskyddsförordningen ska tolkas så, att en operatör av en e-handelsplats, i egenskap av personuppgiftsansvarig, i den mening som avses i artikel 4 led 7 i dataskyddsförordningen, för behandlingen av personuppgifter som ingår i annonser som publiceras på operatörens e-handelsplats, inte kan åberopa artiklarna 12–15 i direktivet om tjänstelevererande mellanhänders ansvar, med avseende på ett åsidosättande av de skyldigheter som följer av artikel 5.2 och artiklarna 24–26 och 32 i förordningen.

137 Eftersom förfarandet i förhållande till parterna i det nationella målet utgör ett led i beredningen av samma mål, ankommer det på den hänskjutande domstolen att besluta om rättegångskostnaderna. De kostnader för att avge yttrande till domstolen som andra än nämnda parter har haft är inte ersättningsgilla.

1 Rättegångsspråk: rumänska.