Platformele de anunțuri online devin „operatori” GDPR cu obligații active de filtrare și securizare a datelor sensibile
Înapoi la pagina principală 09 feb. 2026Legestart

Platformele de anunțuri online devin „operatori” GDPR cu obligații active de filtrare și securizare a datelor sensibile

CJUE, cauza C 492/23 Russmedia Digital și Inform Media Press

Curtea de Justiție a Uniunii Europene (Marea Cameră) a pronunțat la 2 decembrie 2025 hotărârea în cauza C‑492/23, X/Russmedia Digital SRL, Inform Media Press SRL, ca urmare a unei trimiteri preliminare formulate de Curtea de Apel Cluj. Hotărârea, publicată în Jurnalul Oficial al Uniunii Europene la 9 februarie 2026 (JO C, C/2026/602, ELI: http://data.europa.eu/eli/C/2026/602/oj), are un impact direct asupra regimului juridic al platformelor de anunțuri online care operează pe piața românească și europeană.

Speța privește interpretarea Regulamentului (UE) 2016/679 (GDPR) și a Directivei 2000/31/CE privind comerțul electronic, în contextul publicării pe o piață online de anunțuri care conțin date cu caracter personal, inclusiv date sensibile, de către utilizatori.

Instanța de trimitere este Curtea de Apel Cluj, iar părțile din procedura principală sunt:

  • recurentă: X
  • intimate: Russmedia Digital SRL, Inform Media Press SRL.

Limba de procedură este româna.

Hotărârea clarifică trei aspecte esențiale:

1. Calificarea platformei ca „operator” și obligațiile proactive privind datele sensibile

Curtea statuează că operatorul unei piețe online este „operator” în sensul art. 4 pct. 7 GDPR pentru datele cu caracter personal din anunțurile publicate pe platforma sa și are obligații active, ex ante, în raport cu datele sensibile (art. 9 GDPR).

În dispozitiv, Curtea reține:

Articolul 5 alineatul (2), precum și articolele 24-26 din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor)

trebuie interpretate în sensul că

operatorul unei piețe online, în calitate de operator în sensul articolului 4 punctul 7 din acest regulament în ceea ce privește datele cu caracter personal cuprinse în anunțuri publicate pe piața sa online, este obligat, înainte de publicarea anunțurilor și prin intermediul unor măsuri tehnice și organizatorice adecvate,

— să identifice anunțurile care conțin date sensibile, în sensul articolului 9 alineatul (1) din regulamentul menționat,

— să verifice dacă utilizatorul care publică anunțul, care urmează să plaseze un astfel de anunț, este persoana ale cărei date sensibile figurează în acest anunț și, în caz contrar,

— să refuze publicarea anunțului, cu excepția cazului în care utilizatorul care publică anunțul poate demonstra că persoana vizată și-a dat consimțământul explicit ca datele în cauză să fie publicate pe această piață online, în sensul articolului 9 alineatul (2) litera (a), sau că se aplică una dintre celelalte excepții prevăzute la respectivul articol 9 alineatul (2) literele (b)-(j).”

Pentru practicieni, acest pasaj consacră explicit:

  • aplicarea principiului responsabilității (art. 5 alin. (2) GDPR) și a obligațiilor de conformitate și „accountability” (art. 24‑26 GDPR) direct în sarcina platformei;
  • obligația de identificare prealabilă a anunțurilor care conțin „date sensibile” în sensul art. 9 alin. (1) GDPR (de ex. date privind sănătatea, orientarea sexuală, opiniile politice, convingerile religioase etc.);
  • obligația de verificare a identității utilizatorului care publică anunțul, în măsura în care anunțul conține date sensibile ale unei persoane, pentru a stabili dacă utilizatorul este chiar persoana vizată;
  • obligația de refuz al publicării anunțului atunci când utilizatorul nu este persoana vizată și nu poate demonstra existența consimțământului explicit al acesteia sau a unei alte excepții de la interdicția de prelucrare prevăzută la art. 9 alin. (2) lit. (b)‑(j) GDPR.

Rezultă că, în arhitectura GDPR, platforma nu mai poate trata conținutul anunțurilor cu date sensibile ca pe un simplu conținut „user‑generated” neutru, ci trebuie să implementeze mecanisme de filtrare și verificare înainte de publicare.

2. Obligații de securitate pentru a împiedica copierea și republicarea ilicită a anunțurilor cu date sensibile

Curtea abordează și dimensiunea securității datelor, în temeiul art. 32 GDPR, în raport cu riscul de copiere și republicare a anunțurilor care conțin date sensibile pe alte site‑uri.

În dispozitiv se precizează:

Articolul 32 din Regulamentul 2016/679

trebuie interpretat în sensul că

operatorul unei piețe online, în calitate de operator în sensul articolului 4 punctul 7 din acest regulament în ceea ce privește datele cu caracter personal cuprinse în anunțuri publicate pe piața sa online, este obligat să implementeze măsuri de securitate tehnice și organizatorice adecvate în vederea împiedicării copierii și publicării ilicite pe alte site-uri internet a unor anunțuri publicate pe piața sa online care conțin date sensibile, în sensul articolului 9 alineatul (1) din regulamentul menționat.”

Această formulare:

  • confirmă că riscul de scraping, copiere automată sau manuală și redistribuire a anunțurilor cu date sensibile este un risc de securitate relevant în sensul art. 32 GDPR;
  • impune platformelor obligația de a adopta măsuri tehnice și organizatorice adecvate pentru a reduce sau împiedica astfel de practici (de ex. limitarea accesului automatizat, mecanisme anti‑scraping, controale de acces, monitorizare, eventual watermarking sau alte soluții tehnice, în funcție de context).

Curtea nu detaliază tipologia măsurilor, dar standardul este unul de adecvare la riscuri, în logica art. 32 GDPR, iar obligația este formulată în termeni imperativi („este obligat să implementeze”).

3. Inaplicabilitatea regimului de exonerare din Directiva comerțului electronic pentru încălcările obligațiilor GDPR

Un punct central al hotărârii privește raportul dintre GDPR și Directiva 2000/31/CE (Directiva comerțului electronic), în special regimul de limitare a răspunderii furnizorilor intermediari (art. 12‑15 din directivă).

Curtea statuează:

„Articolul 1 alineatul (5) litera (b) din Directiva 2000/31/CE a Parlamentului European și a Consiliului din 8 iunie 2000 privind anumite aspecte juridice ale serviciilor societății informaționale, în special ale comerțului electronic, pe piața internă (Directiva privind comerțul electronic) și articolul 2 alineatul (4) din Regulamentul 2016/679

trebuie interpretate în sensul că

operatorul unei piețe online, în calitate de operator în sensul articolului 4 punctul 7 din Regulamentul 2016/679 în ceea ce privește datele cu caracter personal cuprinse în anunțuri publicate pe piața sa online, nu se poate prevala, în privința unei încălcări a obligațiilor care decurg din articolul 5 alineatul (2) și din articolele 24-26 și 32 din acest regulament, de articolele 12-15 din această directivă, referitoare la răspunderea furnizorilor de servicii intermediari.”

Consecințele pentru practicieni sunt semnificative:

  • regimul de „safe harbour” pentru hosting, caching sau simple conduit prevăzut de art. 12‑15 din Directiva 2000/31/CE nu poate fi invocat pentru a eluda sau limita răspunderea pentru încălcarea obligațiilor GDPR (art. 5 alin. (2), 24‑26, 32);
  • în materia protecției datelor, platforma este tratată ca operator cu obligații proprii, autonome, iar calificarea sa ca furnizor intermediar de servicii ale societății informaționale nu o exonerează de răspunderea pentru nerespectarea acestor obligații.

Această interpretare consolidează poziția autorităților de supraveghere și a persoanelor vizate în eventuale proceduri de sancționare sau litigii civile privind încălcarea GDPR de către platformele de anunțuri.

 

Observații pentru practicieni

  1. Standard de diligență ridicat pentru platformele de anunțuri
    Hotărârea impune un standard de diligență activă: identificare ex ante a datelor sensibile, verificarea identității utilizatorului în raport cu persoana vizată, refuzul publicării în lipsa consimțământului explicit sau a unei alte baze legale din art. 9 alin. (2) GDPR, precum și măsuri de securitate împotriva copierii și republicării ilicite.
  2. Reconfigurarea modelelor de conformitate
    Operatorii de piețe online vor trebui să își revizuiască politicile și procedurile interne (inclusiv fluxurile de moderare, mecanismele de onboarding ale utilizatorilor, sistemele tehnice de filtrare și securitate) pentru a se conforma standardelor trasate de CJUE.
  3. Limitarea apărării bazate pe Directiva comerțului electronic
    În litigiile privind protecția datelor, invocarea statutului de „intermediar pasiv” în sensul Directivei 2000/31/CE nu mai poate servi ca scut față de obligațiile și răspunderea ce decurg din GDPR, în măsura în care platforma este calificată ca operator pentru datele din anunțuri.

C/2026/602

9.2.2026

Hotărârea Curții (Marea Cameră) din 2 decembrie 2025 (cerere de decizie preliminară formulată de Curtea de Apel Cluj – România) – X/Russmedia Digital SRL, Inform Media Press SRL

(Cauza C-492/23  (1, Russmedia Digital și Inform Media Press)

(Trimitere preliminară - Protecția datelor cu caracter personal - Regulamentul (UE) 2016/679 - Articolul 4 punctul 7 - Noțiunea de „operator” - Responsabilitatea operatorului unei piețe online pentru publicarea datelor cu caracter personal conținute în anunțurile plasate pe piața sa online de către utilizatori care publică anunțuri - Articolul 5 alineatul (2) - Principiul responsabilității - Articolul 26 - Responsabilitate comună cu acești utilizatori care publică anunțuri - Articolul 9 alineatul (1) și alineatul (2) litera (a) - Anunțuri care conțin date sensibile - Legalitatea prelucrării - Consimțământ - Articolele 24, 25 și 32 - Obligațiile operatorului - Identificarea prealabilă a anunțurilor care conțin astfel de date - Verificarea prealabilă a identității utilizatorului care publică anunțul - Refuzul publicării anunțurilor ilicite - Măsuri de securitate de natură să împiedice copierea anunțurilor și publicarea lor pe alte site-uri internet - Comerț electronic - Directiva 2000/31/CE - Articolele 12-15 - Posibilitatea unui astfel de operator de a se prevala, în privința unei încălcări a acestor obligații, de exonerarea de răspundere a unui furnizor intermediar de servicii ale societății informaționale)

(C/2026/602)

Limba de procedură: româna

Instanța de trimitere

Curtea de Apel Cluj

Părțile din procedura principală

Recurentă: X

Intimate: Russmedia Digital SRL, Inform Media Press SRL

Dispozitivul

1)

Articolul 5 alineatul (2), precum și articolele 24-26 din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor)

trebuie interpretate în sensul că

operatorul unei piețe online, în calitate de operator în sensul articolului 4 punctul 7 din acest regulament în ceea ce privește datele cu caracter personal cuprinse în anunțuri publicate pe piața sa online, este obligat, înainte de publicarea anunțurilor și prin intermediul unor măsuri tehnice și organizatorice adecvate,

să identifice anunțurile care conțin date sensibile, în sensul articolului 9 alineatul (1) din regulamentul menționat,

să verifice dacă utilizatorul care publică anunțul, care urmează să plaseze un astfel de anunț, este persoana ale cărei date sensibile figurează în acest anunț și, în caz contrar,

să refuze publicarea anunțului, cu excepția cazului în care utilizatorul care publică anunțul poate demonstra că persoana vizată și-a dat consimțământul explicit ca datele în cauză să fie publicate pe această piață online, în sensul articolului 9 alineatul (2) litera (a), sau că se aplică una dintre celelalte excepții prevăzute la respectivul articol 9 alineatul (2) literele (b)-(j).

2)

Articolul 32 din Regulamentul 2016/679

trebuie interpretat în sensul că

operatorul unei piețe online, în calitate de operator în sensul articolului 4 punctul 7 din acest regulament în ceea ce privește datele cu caracter personal cuprinse în anunțuri publicate pe piața sa online, este obligat să implementeze măsuri de securitate tehnice și organizatorice adecvate în vederea împiedicării copierii și publicării ilicite pe alte site-uri internet a unor anunțuri publicate pe piața sa online care conțin date sensibile, în sensul articolului 9 alineatul (1) din regulamentul menționat.

3)

Articolul 1 alineatul (5) litera (b) din Directiva 2000/31/CE a Parlamentului European și a Consiliului din 8 iunie 2000 privind anumite aspecte juridice ale serviciilor societății informaționale, în special ale comerțului electronic, pe piața internă (Directiva privind comerțul electronic) și articolul 2 alineatul (4) din Regulamentul 2016/679

trebuie interpretate în sensul că

operatorul unei piețe online, în calitate de operator în sensul articolului 4 punctul 7 din Regulamentul 2016/679 în ceea ce privește datele cu caracter personal cuprinse în anunțuri publicate pe piața sa online, nu se poate prevala, în privința unei încălcări a obligațiilor care decurg din articolul 5 alineatul (2) și din articolele 24-26 și 32 din acest regulament, de articolele 12-15 din această directivă, referitoare la răspunderea furnizorilor de servicii intermediari.

(1)  JO C, C/2023/1126.

ELI: http://data.europa.eu/eli/C/2026/602/oj

ISSN 1977-1029 (electronic edition)

© 2025 Indaco Systems. Toate drepturile rezervate.