2026-01-08

ევროკავშირის მართლმსაჯულების სასამართლოს გადაწყვეტილება მონაცემთა დაცვის სფეროში ონლაინ პლატფორმების პასუხისმგებლობის შესახებ

2025 წლის 2 დეკემბერს ევროკავშირის მართლმსაჯულების სასამართლომ (“CJEU”) გამოაქვეყნა გადაწყვეტილება საქმეზე C-492/23,[1] რომელმაც შესაძლოა ფუნდამენტურად შეცვალოს ონლაინ პლატფორმების პასუხისმგებლობის ფარგლები მონაცემთა დაცვის სფეროში.[2]

სასამართლომ ზემოაღნიშნულ საქმეზე დაადგინა, რომ ონლაინ სავაჭრო პლატფორმის მომსახურების მიმწოდებელი („პლატფორმა“) წარმოადგენს მონაცემთა დამუშავებისთვის პასუხისმგებელ პირს იმ მონაცემებთან მიმართებით, რომლებიც ასახულია მომხმარებელთა მიერ შექმნილ რეკლამებსა თუ სხვა განცხადებებში, მიუხედავად იმისა, რომ იგი თავად არ ქმნის და არ განსაზღვრავს მათ შინაარსს. სასამართლომ ასევე დაადასტურა, რომ ევროკავშირის „ელექტრონული კომერციის დირექტივით“ (“E-commerce Directive”) გათვალისწინებული პასუხისმგებლობის შეზღუდვის მექანიზმებს ვერ ექნება უპირატესი ძალა „მონაცემთა დაცვის ძირითადი რეგულაციით“ (“GDPR”) დაკისრებულ ვალდებულებებთან მიმართებით.[3]

საქმის ფაქტობრივი გარემოებები

საქმე ეხებოდა რუმინეთში მოქმედ ონლაინ პლატფორმას, რომელიც მომხმარებლებს საშუალებას აძლევდა, განეთავსებინათ რეკლამები და სხვა ტიპის განცხადებები უფასოდ ან საფასურის სანაცვლოდ.

2018 წელს პლატფორმაზე გამოქვეყნდა ცრუ განცხადება, რომელიც მოიცავდა მონაცემთა სუბიექტის — “X”-ის — ფოტოსურათებსა და ტელეფონის ნომერს. განცხადების თანახმად, ფოტოზე გამოსახული ქალბატონი (“X”) სთავაზობდა მესამე პირებს სექსუალურ მომსახურებას. აღნიშნული განცხადება განთავსებული იყო მონაცემთა სუბიექტის თანხმობის გარეშე და შეიცავდა, მათ შორის, “GDPR”-ის მე-9 მუხლით გათვალისწინებულ განსაკუთრებული კატეგორიის მონაცემებს.

მიუხედავად იმისა, რომ პლატფორმამ “X”-ის შეტყობინების მიღებისთანავე წაშალა განცხადება, მისი ასლები უკვე გავრცელებული იყო სხვა ვებგვერდებზე, რის შედეგადაც საკუთარი პერსონალური მონაცემების შემდგომი გავრცელება აღმოჩნდა მონაცემთა სუბიექტის კონტროლის მიღმა.

მონაცემთა სუბიექტმა არაქონებრივი ზიანის ანაზღაურების მოთხოვნით მიმართა რუმინეთის ეროვნულ სასამართლოებს. პირველი ინსტანციის სასამართლომ დააკმაყოფილა “X”-ის მოთხოვნა და ონლაინ პლატფორმას დააკისრა არაქონებრივი ზიანის ანაზღაურება. თუმცა, სააპელაციო პალატამ მიიჩნია, რომ პლატფორმა მოქმედებდა (მხოლოდ) როგორც შუამავალი — ე.წ. „ჰოსტინგ-პროვაიდერი“ — და შესაბამისად სარგებლობდა ევროკავშირის „ელექტრონული კომერციის შესახებ“ დირექტივით გათვალისწინებული პასუხისმგებლობისგან გათავისუფლების მექანიზმით. აღნიშნული გადაწყვეტილება მონაცემთა სუბიექტმა გაასაჩივრა.

რუმინეთის უზენაესმა სასამართლომ დაასკვნა, რომ დავის გადაწყვეტა საჭიროებდა ევროკავშირის სამართლის ნორმების განმარტებას, კერძოდ “GDPR”-ისა და „ელექტრონული კომერციის შესახებ“ დირექტივის ურთიერთმიმართების განსაზღვრას. შესაბამისად, ეროვნულმა სასამართლომ „ევროკავშირის ფუნქციონირების შესახებ ხელშეკრულების“ (“TFEU”) 267-ე მუხლის საფუძველზე მიმართა ევროკავშირის მართლმსაჯულების სასამართლოს (“CJEU”) წინასწარი გადაწყვეტილების მოთხოვნით.

სასამართლოს შეფასება

სასამართლომ განიხილა რამდენიმე ძირითადი სამართლებრივი საკითხი:

ონლაინ პლატფორმების სტატუსი “GDPR”-ის ფარგლებში

სასამართლომ განმარტა, რომ მონაცემთა დამუშავებისთვის პასუხისმგებელი პირის ცნება “GDPR”-ის მე-4(7) მუხლის მნიშვნელობით უნდა განიმარტოს ფართოდ, მისი მთავარი მიზნის — მონაცემთა სუბიექტების ეფექტიანი დაცვის — გათვალისწინებით. აღნიშნული სტატუსი არ არის დამოკიდებული იმაზე, უშუალოდ პლატფორმა ქმნიდა თუ არა განცხადების შინაარსს; გადამწყვეტია ის, ახდენდა თუ არა იგი გავლენას მონაცემთა დამუშავების მიზნებსა და საშუალებებზე.

ამ კონტექსტში სასამართლომ აღნიშნა, რომ ონლაინ პლატფორმა:

უზრუნველყოფდა განცხადებების გამოქვეყნებას ტექნიკური თვალსაზრისით;
განსაზღვრავდა განცხადებების განთავსების პირობებს, ფორმასა და ხანგრძლივობას;
მოქმედებდა საკუთარი კომერციული ინტერესებიდან გამომდინარე, როგორიც არის მონეტიზაცია თუ რეკლამა.

ზემოაღნიშნული გარემოებების ერთობლიობა მიუთითებს, რომ პლატფორმა არ წარმოადგენდა ნეიტრალურ ტექნიკურ შუამავალს — პლატფორმა და მომხმარებელი, რომელმაც გამოაქვეყნა განცხადება, წარმოადგენდნენ თანადამუშავებისთვის პასუხისმგებელ პირებს “GDPR”-ის 26-ე მუხლის მნიშვნელობით. ამასთან, თანადამუშავებისთვის პასუხისმგებელ პირის სტატუსის მინიჭება არ მოითხოვს პასუხისმგებლობის თანაბარ განაწილებას — პასუხისმგებლობის მოცულობა განისაზღვრება რეალური ჩართულობის ხარისხით.

“GDPR”-ისა და „ელექტრონული კომერციის შესახებ“ დირექტივის ურთიერთმიმართება

სასამართლომ გამოიყენა ფუნქციური დიფერენციაციის მიდგომა და განმარტა, რომ პლატფორმა შეიძლება ერთდროულად ასრულებდეს სხვადასხვა სამართლებრივ როლს. კერძოდ, იგი შეიძლება იყოს მომსახურების მიმწოდებელი „ელექტრონული კომერციის შესახებ“ დირექტივის მიზნებისთვის და ამავე დროს, მონაცემთა დამუშავებისთვის პასუხისმგებელი პირი — “GDPR”-ის მიზნებისთვის.

ამ კონტექსტში სასამართლომ დაადგინა, რომ ელექტრონული კომერციის დირექტივით გათვალისწინებული პასუხისმგებლობის შეზღუდვის მექანიზმი (ე.წ. “Safe Harbor”) ექსკლუზიურად ეხება მესამე პირთა მიერ განთავსებულ უკანონო განცხადებებზე რეაგირების ვალდებულებას და არ ვრცელდება თავად პლატფორმის მიერ ამ მონაცემების დამუშავების პროცესზე. შესაბამისად, იმ შემთხვევაშიც კი, თუ პლატფორმა თავისუფლდება პასუხისმგებლობისგან მომხმარებლის მიერ განთავსებული ფოტოს შინაარსთან მიმართებით, იგი რჩება ანგარიშვალდებული, რომ ამ ფოტოს ნებისმიერი დამუშავება — იქნება ეს ალგორითმული ანალიზი თუ შემდგომი გავრცელება — შეესაბამებოდეს “GDPR”-ის სტანდარტებს.

ონლაინ პლატფორმების პროაქტიული ვალდებულებები

სასამართლომ ყურადღება გაამახვილა “GDPR”-ის მე-5(2) მუხლით განმტკიცებულ ანგარიშვალდებულების პრინციპზე და დაასკვნა, რომ პლატფორმების პასუხისმგებლობა მომხმარებლების მიერ განთავსებულ განცხადებებთან მიმართებით ვერ შეიზღუდება მხოლოდ უკანონო შინაარსზე “post factum” რეაგირებით (ე.წ. “notice and take-down” მექანიზმით).

სასამართლოს შეფასებით, ონლაინ პლატფორმებს ეკისრება შემდეგი პროაქტიული ვალდებულებები:

მონაცემთა დამუშავების კანონიერების უზრუნველყოფა: პერსონალური მონაცემების დამუშავება უნდა შეესაბამებოდეს “GDPR”-ის მე-5 და მე-6 მუხლებს;

გამოქვეყნებაზე უარის თქმა: თუ ვერ დგინდება მონაცემთა დამუშავების შესაბამისი სამართლებრივი საფუძველი, პლატფორმა ვალდებულია, უარი თქვას განცხადების გამოქვეყნებაზე;
განსაკუთრებული კატეგორიის მონაცემების წინასწარი იდენტიფიკაცია: უნდა დაინერგოს ტექნიკური და ორგანიზაციული ზომები, რომლებიც შესაძლებელს გახდის “GDPR”-ის მე-9 მუხლით გათვალისწინებული მონაცემების ავტომატურ ამოცნობას მათ გამოქვეყნებამდე;
მონაცემთა სუბიექტის იდენტობის ან თანხმობის გადამოწმება: განსაკუთრებული კატეგორიის მონაცემების შემთხვევაში პლატფორმამ უნდა გადაამოწმოს, წარმოადგენს თუ არა განმცხადებელი მონაცემთა სუბიექტს ან აქვს თუ არა მას მონაცემთა სუბიექტის მკაფიო თანხმობა;
მონაცემთა შემდგომი გავრცელების რისკების მინიმიზაცია: “GDPR”-ის 24-ე, 25-ე და 32-ე მუხლების შესაბამისად, უნდა დაინერგოს შესაბამისი ტექნიკური და ორგანიზაციული ზომები, რათა მაქსიმალურად შეიზღუდოს პერსონალური მონაცემების უკანონო რეპროდუქცია და გავრცელება.

გადაწყვეტილება

ევროკავშირის მართლმსაჯულების სასამართლოს განხილული გადაწყვეტილება ონლაინ პლატფორმებს აკისრებს მომხმარებლის მიერ შექმნილ განცხადებებსა და რეკლამებში პერსონალური მონაცემების მიზნობრივი იდენტიფიკაციისა და შეფასების პროაქტიულ ვალდებულებას, განსაკუთრებით მაშინ, როდესაც საქმე ეხება განსაკუთრებული კატეგორიის მონაცემებს.

პრაქტიკაში ეს ნიშნავს პლატფორმების ფუნქციონირების პასიური მოდელიდან გაზრდილ ანგარიშვალდებულებაზე დაფუძნებულ მოდელზე გადასვლას. გადაწყვეტილება ასახავს ევროკავშირის ფართო პოლიტიკას, რომელიც ციფრულ გარემოში ინდივიდუალურ უფლებებსა და ანგარიშვალდებულებას ანიჭებს უპირატესობას.

[1] X v. Russmedia Digital SRL and Inform Media Press SRL, Case C‑492/23, Judgment of the Court (Grand Chamber) of 2 December 2025, Court of Justice of the EU (CJEU), ხელმისაწვდომია: https://infocuria.curia.europa.eu/tabs/affair?sort=AFF_NUM-DESC&searchTerm=%22C-492%2F23%22

[2] Hogan Lovells, CJEU clarifies GDPR duties for online platforms hosting user ads, 9 December 2025, ხელმისაწვდომია: https://www.hoganlovells.com/en/publications/cjeu-clarifies-gdpr-duties-for-online-platforms-hosting-user-ads

[3] European Commission, Judgment of the Court of Justice of the European Union in the case Russmedia Digital and Inform Media Press (C-492/23), 2 December 2025, ხელმისაწვდომია: https://audiovisual.ec.europa.eu/en/media/video/I-281537