Boka kurs

Analys: Kan en operatör av en webbplats eller digital plattform bli personuppgiftsansvarig för innehåll som laddas upp av användare?

Linkedin Facebook X-twitter Envelope

Många webbplatser och digitala plattformar gör det möjligt för användare att publicera innehåll och göra det tillgängligt för stora grupper människor eller hela internet. Sådant innehåll omfattar emellertid regelbundet personuppgifter, vilket innebär att reglerna i dataskyddsförordningen (GDPR) blir tillämpliga. Detta aktualiserar frågan om vem av parterna som är personuppgiftsansvarig enligt GDPR: operatören av webbplatsen eller plattformen, eller användaren som laddar upp innehållet.

Bakgrund

Denna fråga diskuteras av EU-domstolen i målet C-492/23 från den 2 december 2025. Målet handlade om en webbplats på vilken annonser avseende bland annat försäljning av varor eller tillhandahållande av tjänster kunde publiceras kostnadsfritt eller mot betalning. Klaganden i det nationella målet gjorde gällande att en icke identifierad utomstående person hade publicerat en annons på webbplatsen som var falsk och som orsakade henne skada. I annonsen angavs att hon erbjöd sexuella tjänster. Annonsen innehöll bland annat bilder av klaganden, vilka hade använts utan hennes samtycke, samt hennes telefonnummer. Annonsen reproducerades därefter identiskt på andra webbplatser med reklaminnehåll, där den lades ut på nätet med angivande av ursprungskällan.

Analys

Låg tröskel för gemensamt personuppgiftsansvar

En fråga i målet var om operatören av webbplatsen kunde anses vara personuppgiftsansvarig för behandlingen av personuppgifterna i annonsen. EU-domstolen inledde sitt resonemang med en redovisning av definitionen av begreppet personuppgiftsansvarig (artikel 4.7 GDPR) och reglerna om gemensamt personuppgiftsansvar (artikel 26 GDPR). EU-domstolen konstaterade att begreppet personuppgiftsansvarig inte nödvändigtvis avser en enda enhet utan kan omfatta flera aktörer som är delaktiga i behandlingen, där respektive aktör är skyldig att följa bestämmelserna om skydd av personuppgifter. Vidare förtydligade EU-domstolen att gemensamt personuppgiftsansvar inte nödvändigtvis kräver att det föreligger gemensamma beslut om fastställandet av ändamålen och medlen för behandlingen av de aktuella personuppgifterna, utan att det kan vara tillräckligt med samstämmiga beslut som kompletterar varandra. För att flera aktörer ska anses ha ett gemensamt ansvar för en och samma behandling krävs enligt EU-domstolen inte att var och en av dem har åtkomst till de aktuella personuppgifterna. Samtidigt har de olika aktörer som medverkar vid en behandling av personuppgifter inte nödvändigtvis ett likvärdigt ansvar.

Webbplatsoperatörens personuppgiftsansvar

När det gäller frågan om webbplatsoperatörens personuppgiftsansvar konstaterade EU-domstolen att det visserligen i utgångspunkten var annonsören som hade laddat upp de falska uppgifterna om klaganden och således i första hand hade bestämt ändamålen och medlen för behandlingen. Samtidigt var det endast tack vare webbplatsen som annonsen kunde publiceras på internet och därmed göras tillgänglig för internetanvändare.

Vidare konstaterade EU-domstolen att webbplatsoperatören inte enbart hade publicerat uppgifterna utan även kunnat behandla och exploatera dem för sina egna marknadsförings- och affärsändamål. Detta möjliggjordes genom webbplatsens villkor, som bland annat gav operatören rätt att använda publicerat innehåll, att distribuera, översända, mångfaldiga, ändra och översätta det samt att överlåta publicerat innehåll till samarbetspartners och att när som helst radera det, utan att bolaget behövde ha något berättigat skäl för detta. EU-domstolen fann att operatören, till följd av detta och för egna syften, hade utövat inflytande över publiceringen på internet av klagandens personuppgifter och därmed deltagit i fastställandet av ändamålen för publiceringen och således ändamålen för den aktuella behandlingen av personuppgifter. Denna bedömning påverkades inte av den omständigheten att det var uppenbart att operatören inte hade deltagit i fastställandet av det falska och skadegörande ändamål som annonsören hade eftersträvat.

EU-domstolen fann vidare att operatören även hade deltagit i fastställandet av medlen för publiceringen av annonsen genom att ställa sin webbplats till annonsörens förfogande och genom att konfigurera webbplatsen för spridning av annonser. Faktorer som ingick i EU-domstolens bedömning avseende konfigurationen av annonsspridningen var bland annat att operatören kunde bestämma presentationen, hur länge spridningen skulle pågå samt den klassificering som avgjorde hur spridningen skulle ske.

Avtalsvillkorens betydelse

Därutöver kom EU-domstolen fram till att även operatörens allmänna villkor gav indikationer på att operatören utövade ett bestämmande inflytande över den aktuella behandlingen av personuppgifter och således bestämde över medlen för behandlingen. Detta motiverades av att operatören i villkoren bland annat förbehöll sig rätten att sprida, överföra, publicera, radera eller reproducera den information som fanns i annonserna, inbegripet de personuppgifter som fanns i dem.

Slutligen underströk EU-domstolen att en e-handelsplatsoperatör under alla omständigheter inte kan undgå sitt ansvar i egenskap av personuppgiftsansvarig med hänvisning till att operatören inte själv har bestämt innehållet i den annons som publicerats på handelsplatsen. En sådan tolkning skulle strida mot ordalydelsen i och syftet med bestämmelsen som definierar begreppet personuppgiftsansvarig (artikel 4.7 GDPR). Mot denna bakgrund konstaterade EU-domstolen att webbplatsoperatören var personuppgiftsansvarig för behandlingen av personuppgifterna i annonsen.

Praktiska konsekvenser

Domen tydliggör att operatörer av webbplatser och andra digitala plattformar kan vara personuppgiftsansvariga för innehåll som laddas upp av användare. Tröskeln för att ett sådant ansvar ska aktualiseras framstår som relativt låg, särskilt med hänsyn till hur många plattformar är utformade och vilka rättigheter operatörer ofta förbehåller sig i sina användarvillkor. I vissa fall kan detta medföra långtgående skyldigheter, exempelvis att vidta åtgärder som förhindrar publicering av visst innehåll eller att införa mekanismer för att snabbt hantera olagligt material.

Relaterad expertis

TechLaw bistår verksamheter med juridisk rådgivning i frågor som rör dataskydd, digitala plattformar och regulatorisk regelefterlevnad i teknikdrivna miljöer. Läs mer om vår expertis inom dataskydd och integritet.

Har ni frågor om hur regelverket bör tolkas eller tillämpas i er verksamhet är ni välkomna att kontakta oss.

Källa: EU-domstolen, mål C-492/23.

Mer information

Källa: EU-domstolen (C-492/23)

Relaterade nyheter

Analys: Risker med delning av data från tillhörande tjänster enligt Data Act

Analys: Leverantörers ansvar för AI-chattbottar enligt AI-förordningen

Analys: Vad innebär AI-förordningens undantag för forskning, testning och utveckling?

Analys: Är falska uppgifter om att någon erbjuder sexuella tjänster känsliga personuppgifter i GDPR:s mening?

Analys: Omfattas europeiska molntjänstleverantörer av USA:s CLOUD Act?

Analys: Vad innebär EU-kommissionens digitala omnibus för GDPR för utveckling och drift av AI-system?

Analys: Vilka ändringar föreslås för behandling av personuppgifter för vetenskapliga ändamål i EU-kommissionens digitala omnibus för GDPR?

Analys: Vad innebär den föreslagna ändringen av begreppet personuppgift enligt EU-kommissionens digitala omnibus för GDPR?

Analys: Är pseudonymiserade uppgifter alltid personuppgifter i GDPR:s mening?

Analys: Rättslig grund för behandling av lokaliseringsuppgifter i stöldskyddsfunktion av uppkopplade bilar

Fler nyheter

Kostnadsfritt webbinarium om klassning av AI-system enligt AI-förordningen

Under webbinariet går vi igenom hur AI-system bedöms enligt AI-förordningens olika risknivåer och vad det innebär för din verksamhet.

Till webbinaret