Många webbplatser och digitala plattformar gör det möjligt för användare att publicera innehåll och sprida det till en bred publik. Sådant innehåll innehåller ofta personuppgifter, ibland även känsliga uppgifter. En otillåten publicering av känsliga personuppgifter kan få allvarliga konsekvenser för den berörda personen och orsaka betydande skada.
Detta väcker frågan om operatörer av digitala plattformar enligt dataskyddsförordningen (GDPR) kan vara skyldiga att kontrollera om användarinnehåll innehåller känsliga personuppgifter och vilka skyldigheter som i så fall följer.
Bakgrund
Frågan behandlades av EU-domstolen i mål C-492/23, dom den 2 december 2025. Målet rörde en webbplats där användare kunde publicera annonser om bland annat försäljning av varor och tillhandahållande av tjänster. En anonym användare publicerade en annons med falska och skadliga uppgifter om en kvinna. I annonsen angavs att kvinnan erbjöd sexuella tjänster, vilket inte stämde. Annonsen innehöll även bilder av kvinnan samt hennes telefonnummer.
Rättslig analys
EU-domstolen konstaterade inledningsvis att uppgiften om att kvinnan tillhandahöll sexuella tjänster utgjorde känsliga personuppgifter i GDPR:s mening. Domstolen ansåg vidare att operatören av webbplatsen och den anonyma annonsören var gemensamt personuppgiftsansvariga för behandlingen av personuppgifterna i annonsen.
Domstolen slog även fast att en e-handelsoperatör – ett begrepp som omfattar operatören av den aktuella webbplatsen – i egenskap av personuppgiftsansvarig kan vara skyldig att, före publicering och med hjälp av lämpliga tekniska och organisatoriska åtgärder, fastställa vilka annonser som innehåller känsliga personuppgifter.
Vidare konstaterade domstolen att operatören kan vara skyldig att kontrollera om användaren som publicerar annonsen är den person vars uppgifter förekommer i annonsen. Om så inte är fallet ska publicering vägras, såvida inte användaren kan visa att den registrerade har lämnat sitt uttryckliga samtycke eller att något undantag för behandling av känsliga personuppgifter är tillämpligt. Enligt EU-domstolen följer dessa skyldigheter av artikel 5.2 GDPR samt artiklarna 24–26 GDPR.
Domstolen konstaterade dessutom att e-handelsdirektivets ansvarsfrihetsregler för tjänstelevererande mellanhänder inte var tillämpliga i det aktuella fallet.
Praktiska konsekvenser
Domen tydliggör att operatörer av webbplatser och digitala plattformar i vissa situationer kan vara skyldiga att kontrollera om innehåll som användare avser att publicera innehåller känsliga personuppgifter. I sådana situationer kan operatören även behöva vidta ytterligare åtgärder, exempelvis att kontrollera användarens identitet eller vägra publicering av innehåll som inte uppfyller kraven i GDPR.
För plattformar och andra digitala tjänster aktualiserar domen frågor om tekniska kontrollmekanismer, ansvarsfördelning och interna processer för hantering av användargenererat innehåll.
Relaterad expertis
TechLaw bistår verksamheter med juridisk rådgivning i frågor som rör dataskydd, digitala plattformar och regulatorisk regelefterlevnad i teknikdrivna miljöer. Läs mer om vår expertis inom dataskydd och integritet.
Har ni frågor om hur dataskyddsreglerna påverkar er verksamhet är ni välkomna att kontakta oss.
Källa: EU-domstolen, mål C-492/23.