Операторы платформ теперь несут ответственность за размещаемую пользователями рекламу в соответствии с GDPR: эра анонимных рекламодателей подошла к концу
Решение Суда Европейского союза от декабря 2025 года [по делу Russmedia Digital](https://curia.europa.eu/juris/document/document.jsf;jsessionid=8E8A425EA3E0DFBA53BD0C0147C7A2D4?text=&docid=306764&pageIndex=0&doclang=EN&mode=req&dir=&occ=first&part=1&cid=15411117) коренным образом меняет подход онлайн-платформ к обработке пользовательского контента, содержащего персональные данные. Если ваша компания управляет торговой площадкой, социальной сетью, платформой знакомств или любым другим сервисом, где пользователи могут размещать контент, это решение создает немедленные обязательства по соблюдению законодательства, которые нельзя игнорировать.
Что произошло на самом деле
Румынская платформа объявлений publi24.ro столкнулась с судебным иском после того, как анонимный пользователь разместил фейковое объявление, ложно утверждающее, что женщина предлагает сексуальные услуги. В объявлении были указаны её реальные фотографии и номер телефона. Компания Russmedia удалила контент в течение часа после уведомления, но к тому времени он уже был скопирован на другие веб-сайты.
Суд первой инстанции присудил компенсацию в размере 7000 евро. Апелляционный суд отменил это решение, постановив, что Russmedia являлась лишь хостинг-провайдером в соответствии с Директивой об электронной коммерции и не несла никакой ответственности. Дело дошло до Суда ЕС с простым вопросом: может ли оператор платформы прикрываться исключениями из ответственности посредников при нарушениях GDPR?
Ответ Суда был однозначным. Нет.
Ключевой вывод, который меняет всё
Суд ЕС установил, что операторы платформ являются контролерами данных в отношении персональной информации в пользовательском контенте, даже если они сами этот контент не создают. Речь идёт не о том, что вы пишете, а о том, что вы позволяете другим публиковать через вашу инфраструктуру.
Что сделало Russmedia контролером? Условия предоставления услуг платформы предоставляли ей обширные права на использование, копирование, распространение, передачу, публикацию, изменение и передачу контента партнёрам без каких-либо оснований. Суд определил, что эти полномочия представляют собой участие в определении целей и средств обработки данных в коммерческих целях, а не просто техническую нейтральность.
Это важно, потому что изменение условий предоставления услуг, вероятно, вас не спасёт. Суд ЕС ясно дал понять, что даже без таких широких договорных прав оператор платформы, который знает или должен знать, что пользователи могут публиковать особые категории данных, имеет обязательства, возникающие на этапе проектирования услуги в соответствии со статьей 25(1) GDPR — защита данных на этапе проектирования.
Три важнейших обязательства перед публикацией
Для рекламы, содержащей особые категории персональных данных в соответствии со статьей 9(1) GDPR — информацию о сексуальной жизни, здоровье, религиозных убеждениях, политических взглядах, расовом происхождении — платформы теперь обязаны соблюдать три обязательных требования.
Во-первых, внедрить технические и организационные меры для идентификации такого контента до его публикации. Это обязательство существует с момента разработки вашего сервиса. Автоматизированные системы обнаружения должны отмечать потенциальные особые категории данных на основе текста, изображений и контекста. Для конфиденциальных данных устарел принцип «сначала опубликовать, потом модерировать после жалоб».
Во-вторых, проверить личность рекламодателя и убедиться, что он соответствует лицу, чьи данные публикуются. Анонимная публикация становится невозможной, когда речь идет об особых категориях данных. Необходимо собрать информацию об идентификации и установить, является ли лицо, публикующее контент, субъектом данных или имеет явное согласие в соответствии со статьей 9(2)(a) GDPR.
В-третьих, отказать в публикации, если рекламодатель не является субъектом данных и не может продемонстрировать явное согласие или другое правовое основание в соответствии со статьей 9(2). Публикация невозможна, если существует риск нарушения запрета на обработку особых категорий данных.
Эти требования применяются до появления контента на вашей платформе, а не после того, как пользователи пожалуются на него.
Ключевой вывод, который меняет всё
Суд ЕС установил, что операторы платформ являются контролерами данных в отношении персональной информации в пользовательском контенте, даже если они сами этот контент не создают. Речь идёт не о том, что вы пишете, а о том, что вы позволяете другим публиковать через вашу инфраструктуру.
Что сделало Russmedia контролером? Условия предоставления услуг платформы предоставляли ей обширные права на использование, копирование, распространение, передачу, публикацию, изменение и передачу контента партнёрам без каких-либо оснований. Суд определил, что эти полномочия представляют собой участие в определении целей и средств обработки данных в коммерческих целях, а не просто техническую нейтральность.
Это важно, потому что изменение условий предоставления услуг, вероятно, вас не спасёт. Суд ЕС ясно дал понять, что даже без таких широких договорных прав оператор платформы, который знает или должен знать, что пользователи могут публиковать особые категории данных, имеет обязательства, возникающие на этапе проектирования услуги в соответствии со статьей 25(1) GDPR — защита данных на этапе проектирования.
Три важнейших обязательства перед публикацией
Для рекламы, содержащей особые категории персональных данных в соответствии со статьей 9(1) GDPR — информацию о сексуальной жизни, здоровье, религиозных убеждениях, политических взглядах, расовом происхождении — платформы теперь обязаны соблюдать три обязательных требования.
Во-первых, внедрить технические и организационные меры для идентификации такого контента до его публикации. Это обязательство существует с момента разработки вашего сервиса. Автоматизированные системы обнаружения должны отмечать потенциальные особые категории данных на основе текста, изображений и контекста. Для конфиденциальных данных устарел принцип «сначала опубликовать, потом модерировать после жалоб».
Во-вторых, проверить личность рекламодателя и убедиться, что он соответствует лицу, чьи данные публикуются. Анонимная публикация становится невозможной, когда речь идет об особых категориях данных. Необходимо собрать информацию об идентификации и установить, является ли лицо, публикующее контент, субъектом данных или имеет явное согласие в соответствии со статьей 9(2)(a) GDPR.
В-третьих, отказать в публикации, если рекламодатель не является субъектом данных и не может продемонстрировать явное согласие или другое правовое основание в соответствии со статьей 9(2). Публикация невозможна, если существует риск нарушения запрета на обработку особых категорий данных.
Эти требования применяются до появления контента на вашей платформе, а не после того, как пользователи пожалуются на него.