X tegen Russmedia Digital SRL en Inform Media Press SRL

• 1.

  Het verzoek om een prejudiciële beslissing betreft de uitlegging van de artikelen 12 tot en met 15 van richtlijn 2000/31/EG van het Europees Parlement en de Raad van 8 juni 2000 betreffende bepaalde juridische aspecten van de diensten van de informatiemaatschappij, met name de elektronische handel, in de interne markt („richtlijn inzake elektronische handel”) (PB 2000, L 178, blz. 1), alsmede artikel 2, lid 4, artikel 4, punten 7 en 11, artikel 5, lid 1, onder b) en f), artikel 6, lid 1, onder a), en de artikelen 7, 24 en 25 van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB 2016, L 119, blz. 1, met rectificaties in PB 2018, L 127, blz. 2, en PB 2021, L 74, blz. 35) (hierna: „AVG”).

• 2.

  Dit verzoek is ingediend in het kader van een geding tussen een natuurlijke persoon, X, enerzijds, en Russmedia Digital SRL en Inform Media Press SRL (hierna samen: „Russmedia”) anderzijds, betreffende een vordering tot vergoeding van de immateriële schade die verzoekster in het hoofdgeding heeft geleden als gevolg van de onrechtmatige verwerking van haar persoonsgegevens en de schending van haar portretrecht, haar recht op eer en haar recht op privéleven.

   Richtlijn 2000/31

 Unierecht

• 3.

  In de overwegingen 14, 42, 46 en 52 van richtlijn 2000/31 staat te lezen:

  „(14)      De bescherming van individuen met betrekking tot de verwerking van persoonsgegevens is alleen geregeld bij richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens [(PB 1995, L 281, blz. 31)] en bij richtlijn 97/66/EG van het Europees Parlement en de Raad van 15 december 1997 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de telecommunicatiesector [(PB 1998, L 24, blz. 1)], die volledig van toepassing zijn op diensten van de informatiemaatschappij. [...] Deze richtlijn moet worden uitgevoerd en toegepast met volledige inachtneming van de beginselen inzake de bescherming van persoonsgegevens, met name wat ongevraagde commerciële communicatie en de aansprakelijkheid van tussenpersonen betreft. Deze richtlijn kan het anonieme gebruik van open netwerken zoals Internet niet voorkomen.

  [...]

  (42)      De in deze richtlijn vastgestelde vrijstellingen van de aansprakelijkheid gelden uitsluitend voor gevallen waarin de activiteit van de aanbieder van diensten van de informatiemaatschappij beperkt is tot het technische proces van werking en het verschaffen van toegang tot een communicatienetwerk waarop door derden verstrekte informatie wordt doorgegeven of tijdelijk wordt opgeslagen, met als enig doel de doorgifte efficiënter te maken. Die activiteit heeft een louter technisch, automatisch en passief karakter, hetgeen inhoudt dat de aanbieder van diensten van de informatiemaatschappij noch kennis noch controle heeft over de informatie die wordt doorgegeven of opgeslagen.

  [...]

  (46)      Wil de verlener van een dienst van de informatiemaatschappij die uit de opslag van informatie bestaat, in aanmerking komen voor een beperkte aansprakelijkheid, dan moet hij, zodra hij daadwerkelijk kennis heeft van onwettige activiteiten of dergelijke activiteiten gewaarwordt, prompt handelen om de informatie te verwijderen of de toegang daartoe onmogelijk te maken. De verwijdering of het ontoegankelijk maken dient te geschieden met inachtneming van het beginsel van de vrijheid van meningsuiting en van daarvoor vastgestelde procedures op nationaal niveau. Deze richtlijn mag geen afbreuk doen aan de mogelijkheid voor de lidstaten om specifieke eisen te stellen waaraan onverwijld dient te worden voldaan eer er informatie wordt verwijderd of ontoegankelijk wordt gemaakt.

  [...]

  (52) [...] De schade die in het kader van de diensten van de informatiemaatschappij kan ontstaan, loopt snel op en bestrijkt een groot geografisch gebied. In de onderhavige richtlijn wordt met het oog op deze specifieke kenmerken en om ervoor te zorgen dat de nationale autoriteiten het wederzijdse vertrouwen dat zij elkaar moeten schenken, niet in gevaar brengen, aan de lidstaten gevraagd ervoor te zorgen dat passende gerechtelijke stappen mogelijk zijn. [...]”

• 4.

  Artikel 1 („Doel en toepassingsgebied”) van richtlijn 2000/31 bepaalt:

  „1.      Deze richtlijn heeft tot doel bij te dragen aan de goede werking van de interne markt door het vrije verkeer van de diensten van de informatiemaatschappij tussen lidstaten te waarborgen.

  [...]

  5.      Deze richtlijn is niet van toepassing op:

  [...]

  b)      kwesties in verband met diensten van de informatiemaatschappij die onder [richtlijn 95/46] en [richtlijn 97/66] vallen;

  [...]”

• 5.

  Afdeling 4 („Aansprakelijkheid van dienstverleners die als tussenpersoon optreden”) in hoofdstuk II van richtlijn 2000/31 bevatte in de versie die van toepassing is op het hoofdgeding de artikelen 12 tot en met 15. De artikelen 12 en 13 hadden volgens het opschrift ervan betrekking op het „‚[m]ere conduit’ (doorgeefluik)” en de „‚[c]aching’ (wijze van opslag)”.

• 6.

  In artikel 14, met als opschrift „‚Hosting’ (‚host’-diensten)”, van die richtlijn is bepaalde:

  „1.      De lidstaten zorgen ervoor dat, wanneer een dienst van de informatiemaatschappij bestaat in de opslag van de door een afnemer van de dienst verstrekte informatie, de dienstverlener niet aansprakelijk is voor de op verzoek van de afnemer van de dienst opgeslagen informatie, op voorwaarde dat:

  a)      de dienstverlener niet daadwerkelijk kennis heeft van de onwettige activiteit of informatie en, wanneer het een schadevergoedingsvordering betreft, geen kennis heeft van feiten of omstandigheden waaruit het onwettige karakter van de activiteiten of informatie duidelijk blijkt, of

  b)      de dienstverlener, zodra hij van het bovenbedoelde daadwerkelijk kennis heeft of besef krijgt, prompt handelt om de informatie te verwijderen of de toegang daartoe onmogelijk te maken.

  2.      Lid 1 is niet van toepassing wanneer de afnemer van de dienst op gezag of onder toezicht van de dienstverlener handelt.

  3.      Dit artikel doet geen afbreuk aan de mogelijkheid voor een rechtbank of een administratieve autoriteit om in overeenstemming met het rechtsstelsel van de lidstaat te eisen dat de dienstverlener een inbreuk beëindigt of voorkomt. Het doet evenmin afbreuk aan de mogelijkheid voor lidstaten om procedures vast te stellen om informatie te verwijderen of de toegang daartoe onmogelijk te maken.”

• 7.

  Artikel 15 („Geen algemene toezichtverplichting”) van deze richtlijn bepaalde in de leden 1 en 2:

  „1.      Met betrekking tot de levering van de in de artikelen 12, 13 en 14 bedoelde diensten leggen de lidstaten de dienstverleners geen algemene verplichting op om toe te zien op de informatie die zij doorgeven of opslaan, noch om actief te zoeken naar feiten of omstandigheden die op onwettige activiteiten duiden.

  2.      De lidstaten kunnen voorschrijven dat dienstverleners de bevoegde autoriteiten onverwijld in kennis dienen te stellen van vermeende onwettige activiteiten of informatie door afnemers van hun dienst, alsook dat zij de bevoegde autoriteiten op hun verzoek informatie dienen te verstrekken waarmee de afnemers van hun dienst met wie zij opslagovereenkomsten hebben gesloten, kunnen worden geïdentificeerd.”

   AVG

• 8.

  De overwegingen 4, 10, 39, 51, 74, 75, 78 en 85 AVG luiden:

  „(4)      De verwerking van persoonsgegevens moet ten dienste van de mens staan. Het recht op bescherming van persoonsgegevens heeft geen absolute gelding, maar moet worden beschouwd in relatie tot de functie ervan in de samenleving en moet conform het evenredigheidsbeginsel tegen andere grondrechten worden afgewogen. Deze verordening eerbiedigt alle grondrechten alsook de vrijheden en beginselen die zijn erkend in het Handvest [van de grondrechten van de Europese Unie (hierna: ‚Handvest’)] zoals dat in de Verdragen is verankerd, met name de eerbiediging van het privéleven en het familie‑ en gezinsleven, woning en communicatie, de bescherming van persoonsgegevens, de vrijheid van gedachte, geweten en godsdienst, de vrijheid van meningsuiting en van informatie, de vrijheid van ondernemerschap, het recht op een doeltreffende voorziening in rechte en op een onpartijdig gerecht, en het recht op culturele, godsdienstige en taalkundige verscheidenheid.

  [...]

  (10)      Teneinde natuurlijke personen een consistent en hoog beschermingsniveau te bieden en de belemmeringen voor het verkeer van persoonsgegevens binnen de [Europese] Unie op te heffen, dient het niveau van bescherming van de rechten en vrijheden van natuurlijke personen op het vlak van verwerking van deze gegevens in alle lidstaten gelijkwaardig te zijn. Er moet gezorgd worden voor een in de gehele Unie coherente en homogene toepassing van de regels inzake bescherming van de grondrechten en de fundamentele vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens. [...]

  [...]

  (39)      Elke verwerking van persoonsgegevens dient behoorlijk en rechtmatig te geschieden. Voor natuurlijke personen dient het transparant te zijn dat hen betreffende persoonsgegevens worden verzameld, gebruikt, geraadpleegd of anderszins verwerkt en in hoeverre de persoonsgegevens worden verwerkt of zullen worden verwerkt. Overeenkomstig het transparantiebeginsel moeten informatie en communicatie in verband met de verwerking van die persoonsgegevens eenvoudig toegankelijk en begrijpelijk zijn, en moet duidelijke en eenvoudige taal worden gebruikt. Dat beginsel betreft met name het informeren van de betrokkenen over de identiteit van de verwerkingsverantwoordelijke en de doeleinden van de verwerking, alsook verdere informatie om te zorgen voor behoorlijke en transparante verwerking met betrekking tot de natuurlijke personen in kwestie en hun recht om bevestiging en mededeling te krijgen van hun persoonsgegevens die worden verwerkt. [...]

  [...]

  (51)      Persoonsgegevens die door hun aard bijzonder gevoelig zijn wat betreft de grondrechten en fundamentele vrijheden, verdienen specifieke bescherming aangezien de context van de verwerking ervan significante risico’s kan meebrengen voor de grondrechten en de fundamentele vrijheden. [...] Dergelijke persoonsgegevens mogen niet worden verwerkt, tenzij de verwerking is toegestaan in [de] in deze verordening vermelde specifieke gevallen, [...]. Naast de specifieke voorschriften voor die verwerking dienen de algemene beginselen en andere regels van deze verordening te worden toegepast, met name wat betreft de voorwaarden voor rechtmatige verwerking. Er moet onder meer uitdrukkelijk in afwijkingen van het algemene verbod op de verwerking van die bijzondere categorieën persoonsgegevens worden voorzien ingeval de betrokkene zijn uitdrukkelijke toestemming geeft of in geval van specifieke behoeften, met name wanneer de verwerking wordt verricht in het kader van gerechtvaardigde activiteiten door bepaalde verenigingen of stichtingen die ernaar streven de uitoefening van de fundamentele vrijheden mogelijk te maken.

  [...]

  (74)      De verantwoordelijkheid en aansprakelijkheid van de verwerkingsverantwoordelijke moeten worden vastgesteld voor elke verwerking van persoonsgegevens die door of namens hem wordt uitgevoerd. Meer bepaald dient de verwerkingsverantwoordelijke te worden verplicht passende en effectieve maatregelen uit te voeren en te kunnen aantonen dat elke verwerkingsactiviteit overeenkomstig deze verordening geschiedt, ook wat betreft de doeltreffendheid van de maatregelen. Bij die maatregelen moet rekening worden gehouden met de aard, de omvang, de context en het doel van de verwerking en het risico voor de rechten en vrijheden van natuurlijke personen.

  (75)      Het qua waarschijnlijkheid en ernst uiteenlopende risico voor de rechten en vrijheden van natuurlijke personen kan voortvloeien uit persoonsgegevensverwerking die kan resulteren in lichamelijke, materiële of immateriële schade, met name: waar de verwerking kan leiden tot [...] identiteitsdiefstal of -fraude, [...] [of] reputatieschade [...] wanneer de betrokkenen hun rechten en vrijheden niet kunnen uitoefenen of worden verhinderd controle over hun persoonsgegevens uit te oefenen; [...].

  [...]

  (78)      Ter bescherming van de rechten en vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens zijn passende technische en organisatorische maatregelen nodig om te waarborgen dat aan de voorschriften van deze verordening wordt voldaan. Om de naleving van deze verordening aan te kunnen tonen, moet de verwerkingsverantwoordelijke interne beleidsmaatregelen nemen en maatregelen toepassen die voldoen aan met name de beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen. [...]

  [...]

  (85)      Een inbreuk in verband met persoonsgegevens kan, wanneer dit probleem niet tijdig en op passende wijze wordt aangepakt, resulteren in lichamelijke, materiële of immateriële schade voor natuurlijke personen, zoals verlies van controle over hun persoonsgegevens of de beperking van hun rechten, discriminatie, identiteitsdiefstal of -fraude, [...] reputatieschade, [...].”

• 9.

  Artikel 1 („Onderwerp en doelstellingen”) van deze verordening bepaalt in lid 2:

  „Bij deze verordening worden regels vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van persoonsgegevens.”

• 10.

  Artikel 2 AVG („Materieel toepassingsgebied”) bepaalt in lid 4:

  „Deze verordening laat de toepassing van [richtlijn 2000/31], en met name van de regels in de artikelen 12 tot en met 15 van die richtlijn betreffende de aansprakelijkheid van als tussenpersoon optredende dienstverleners onverlet.”

• 11.

  Artikel 4 AVG („Definities”) luidt als volgt:

  „Voor de toepassing van deze verordening wordt verstaan onder:

  1)      ‚persoonsgegevens’: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (‚de betrokkene’); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;

  2)      ‚verwerking’: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;

  [...]

  7)      ‚verwerkingsverantwoordelijke’: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen;

  [...]

  11)      ‚toestemming’ van de betrokkene: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling een hem betreffende verwerking van persoonsgegevens aanvaardt;

  [...]”

• 12.

  Hoofdstuk II AVG („Beginselen”) bevat onder meer de artikelen 5 tot en met 9.

• 13.

  Artikel 5 („Beginselen inzake verwerking van persoonsgegevens”) van deze verordening bepaalt:

  „1.      Persoonsgegevens moeten:

  a)      worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is (‚rechtmatigheid, behoorlijkheid en transparantie’);

  b)      voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt [...] (‚doelbinding’);

  [...]

  d)      juist zijn en zo nodig worden geactualiseerd; alle redelijke maatregelen moeten worden genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren (‚juistheid’);

  [...]

  f)      door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging (‚integriteit en vertrouwelijkheid’).

  2.      De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen (‚verantwoordingsplicht’).”

• 14.

  Artikel 6 AVG („Rechtmatigheid van de verwerking”) bepaalt in lid 1:

  „De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:

  a)      de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;

  b)      de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;

  c)      de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;

  d)      de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;

  e)      de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;

  f)      de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.”

• 15.

  In artikel 7 AVG („Voorwaarden voor toestemming”) staat in lid 1 te lezen:

  „Wanneer de verwerking berust op toestemming, moet de verwerkingsverantwoordelijke kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens.”

• 16.

  In artikel 9 AVG („Verwerking van bijzondere categorieën van persoonsgegevens”) is bepaald:

  „1.      Verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid zijn verboden.

  2.      Lid 1 is niet van toepassing wanneer aan een van de onderstaande voorwaarden is voldaan:

  a)      de betrokkene heeft uitdrukkelijke toestemming gegeven voor de verwerking van die persoonsgegevens voor een of meer welbepaalde doeleinden, behalve indien in Unierecht of lidstatelijk recht is bepaald dat het in lid 1 genoemde verbod niet door de betrokkene kan worden opgeheven;

  [...]”

• 17.

  Artikel 13 AVG („Te verstrekken informatie wanneer persoonsgegevens bij de betrokkene worden verzameld”) bepaalt in lid 1, onder a):

  „Wanneer persoonsgegevens betreffende een betrokkene bij die persoon worden verzameld, verstrekt de verwerkingsverantwoordelijke de betrokkene al bij de verkrijging van de persoonsgegevens de volgende informatie:

  a)      de identiteit en de contactgegevens van de verwerkingsverantwoordelijke en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke”.

• 18.

  In artikel 14 („Te verstrekken informatie wanneer de persoonsgegevens niet van de betrokkene zijn verkregen”) van die verordening staat in lid 1, onder a), het volgende te lezen:

  „Wanneer persoonsgegevens niet van de betrokkene zijn verkregen, verstrekt de verwerkingsverantwoordelijke de betrokkene de volgende informatie:

  a)      de identiteit en de contactgegevens van de verwerkingsverantwoordelijke en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke”.

• 19.

  Artikel 17 AVG, met als opschrift „Recht op gegevenswissing (‚recht op vergetelheid’)”, is opgenomen in hoofdstuk III („Rechten van de betrokkene”) en bepaalt in de leden 1 en 2:

  „1.      De betrokkene heeft het recht van de verwerkingsverantwoordelijke zonder onredelijke vertraging wissing van hem betreffende persoonsgegevens te verkrijgen en de verwerkingsverantwoordelijke is verplicht persoonsgegevens zonder onredelijke vertraging te wissen wanneer een van de volgende gevallen van toepassing is:

  [...]

  d)      de persoonsgegevens zijn onrechtmatig verwerkt;

  [...]

  2.      Wanneer de verwerkingsverantwoordelijke de persoonsgegevens openbaar heeft gemaakt en overeenkomstig lid 1 verplicht is de persoonsgegevens te wissen, neemt hij, rekening houdend met de beschikbare technologie en de uitvoeringskosten, redelijke maatregelen, waaronder technische maatregelen, om verwerkingsverantwoordelijken die de persoonsgegevens verwerken, ervan op de hoogte te stellen dat de betrokkene de verwerkingsverantwoordelijken heeft verzocht om iedere koppeling naar, of kopie of reproductie van die persoonsgegevens te wissen.”

• 20.

  Hoofdstuk IV („Verwerkingsverantwoordelijke en verwerker”) van die verordening bevat onder afdeling 1 („Algemene verplichtingen”) met name de artikelen 24 tot en met 26.

• 21.

  In artikel 24 („Verantwoordelijkheid van de verwerkingsverantwoordelijke”) van die verordening is in lid 1 bepaald:

  „Rekening houdend met de aard, de omvang, de context en het doel van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen, treft de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd.”

• 22.

  Artikel 25 AVG („Gegevensbescherming door ontwerp en door standaardinstellingen”) bepaalt in de leden 1 en 2:

  „1.      Rekening houdend met de stand van de techniek, de uitvoeringskosten, en de aard, de omvang, de context en het doel van de verwerking alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen welke aan de verwerking zijn verbonden, treft de verwerkingsverantwoordelijke, zowel bij de bepaling van de verwerkingsmiddelen als bij de verwerking zelf, passende technische en organisatorische maatregelen, zoals pseudonimisering, die zijn opgesteld met als doel de gegevensbeschermingsbeginselen, zoals minimale gegevensverwerking, op een doeltreffende manier uit te voeren en de nodige waarborgen in de verwerking in te bouwen ter naleving van de voorschriften van deze verordening en ter bescherming van de rechten van de betrokkenen.

  2.      De verwerkingsverantwoordelijke treft passende technische en organisatorische maatregelen om ervoor te zorgen dat in beginsel alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking. Die verplichting geldt voor de hoeveelheid verzamelde persoonsgegevens, de mate waarin zij worden verwerkt, de termijn waarvoor zij worden opgeslagen en de toegankelijkheid daarvan. Deze maatregelen zorgen met name ervoor dat persoonsgegevens in beginsel niet zonder menselijke tussenkomst voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt.”

• 23.

  Artikel 26 AVG („Gezamenlijke verwerkingsverantwoordelijken”) bepaalt in lid 1:

  „Wanneer twee of meer verwerkingsverantwoordelijken gezamenlijk de doeleinden en middelen van de verwerking bepalen, zijn zij gezamenlijke verwerkingsverantwoordelijken. Zij stellen op transparante wijze hun respectieve verantwoordelijkheden voor de nakoming van de verplichtingen uit hoofde van deze verordening vast, met name met betrekking tot de uitoefening van de rechten van de betrokkene en hun respectieve verplichtingen om de in de artikelen 13 en 14 bedoelde informatie te verstrekken, door middel van een onderlinge regeling, tenzij en voor zover de respectieve verantwoordelijkheden van de verwerkingsverantwoordelijken zijn vastgesteld bij een Unierechtelijke of lidstaatrechtelijke bepaling die op de verwerkingsverantwoordelijken van toepassing is. In de regeling kan een contactpunt voor betrokkenen worden aangewezen.”

• 24.

  Artikel 32 AVG („Beveiliging van de verwerking”) luidt als volgt:

  „1.      Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvatten:

  a)      de pseudonimisering en versleuteling van persoonsgegevens;

  b)      het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;

  c)      het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;

  d)      een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.

  2.      Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met de verwerkingsrisico’s, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig.

  3.      Het aansluiten bij een goedgekeurde gedragscode als bedoeld in artikel 40 of een goedgekeurd certificeringsmechanisme als bedoeld in artikel 42 kan worden gebruikt als element om aan te tonen dat dat de in lid 1 van dit artikel bedoelde vereisten worden nageleefd.

  4.      De verwerkingsverantwoordelijke en de verwerker treffen maatregelen om ervoor te zorgen dat iedere natuurlijke persoon die handelt onder het gezag van de verwerkingsverantwoordelijke of van de verwerker en toegang heeft tot persoonsgegevens, deze slechts in opdracht van de verwerkingsverantwoordelijke verwerkt, tenzij hij daartoe Unierechtelijk of lidstaatrechtelijk is gehouden.”

• 25.

  Artikel 82 („Recht op schadevergoeding en aansprakelijkheid”) van die verordening bepaalt in de leden 1 tot en met 3:

  „1.      Eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, heeft het recht om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade.

  2.      Elke verwerkingsverantwoordelijke die bij verwerking is betrokken, is aansprakelijk voor de schade die wordt veroorzaakt door verwerking die inbreuk maakt op deze verordening. Een verwerker is slechts aansprakelijk voor de schade die door verwerking is veroorzaakt wanneer bij de verwerking niet is voldaan aan de specifiek tot verwerkers gerichte verplichtingen van deze verordening of buiten dan wel in strijd met de rechtmatige instructies van de verwerkingsverantwoordelijke is gehandeld.

  3.      Een verwerkingsverantwoordelijke of verwerker wordt van aansprakelijkheid op grond van lid 2 vrijgesteld indien hij bewijst dat hij op geen enkele wijze verantwoordelijk is voor het schadeveroorzakende feit.”

• 26.

  Artikel 94 AVG luidt als volgt:

  „1.      [Richtlijn 95/46] wordt met ingang van 25 mei 2018 ingetrokken.

  2.      Verwijzingen naar de ingetrokken richtlijn gelden als verwijzingen naar deze verordening. [...]”

 Roemeens recht

• 27.

  Artikel 11 van Lege nr. 365/2002 privind comerțul electronic (wet nr. 365/2002 betreffende onlinehandel) van 7 juni 2002 (Monitorul Oficial al României, deel I, nr. 483 van 5 juli 2002), zoals gewijzigd bij Lege nr. 121/2006 pentru modificarea și completarea Legii nr. 365/2002 privind comerțul electronic (wet nr. 121/2006 tot wijziging en aanvulling van wet nr. 365/2002 betreffende onlinehandel) van 4 mei 2006 (Monitorul Oficial al României, deel I, nr. 403 van 10 mei 2006) (hierna „wet nr. 365/2002”) bepaalt:

  „1.      Dienstverleners zijn onderworpen aan de wettelijke bepalingen inzake civiele en strafrechtelijke aansprakelijkheid en aansprakelijkheid voor administratieve overtredingen, tenzij in deze wet anders is bepaald.

  2.      Dienstverleners zijn aansprakelijk voor informatie die door henzelf of namens hen wordt verstrekt.

  3.      Dienstverleners zijn niet aansprakelijk voor informatie die wordt doorgegeven, opgeslagen of waartoe zij toegang verschaffen onder de voorwaarden van de artikelen 12 tot en met 15.”

• 28.

  In artikel 14 („Permanente opslag van informatie en opslag voor hosting”) van wet nr. 365/2002 is bepaald:

  „1.      Wanneer een dienst van de informatiemaatschappij bestaat in de opslag van de door een afnemer van de dienst verstrekte informatie, is de dienstverlener niet aansprakelijk voor de op verzoek van de afnemer van de dienst opgeslagen informatie, op voorwaarde dat:

  a)      de dienstverlener geen kennis heeft van de onrechtmatige activiteit of informatie en, wanneer het een schadevergoedingsvordering betreft, geen kennis heeft van feiten of omstandigheden waaruit blijkt dat de activiteiten of informatie de rechten van derden kunnen schaden, of

  b)      de dienstverlener, indien hij kennis krijgt van de onrechtmatige activiteit of informatie of van feiten of omstandigheden waaruit blijkt dat de activiteiten of informatie de rechten van derden kunnen schaden, prompt handelt om de informatie te verwijderen of de toegang daartoe onmogelijk te maken.

  2.      Lid 1 is niet van toepassing wanneer de ontvanger op gezag of onder toezicht van de dienstverlener handelt.

  3.      De bepalingen van dit artikel doen geen afbreuk aan de mogelijkheid voor een gerechtelijke of administratieve instantie om van de dienstverlener te eisen dat hij de inbreuk in verband met gegevens beëindigt of voorkomt, of om overheidsprocedures vast te stellen om de toegang tot informatie te beperken of te onderbreken.”

• 29.

  De Norme metodologice pentru aplicare Legii nr. 365/2002 privind comerţul electronic (uitvoeringsbepalingen van wet nr. 365/2002 betreffende onlinehandel) zijn goedgekeurd bij de Hotărâre Guvernului nr. 1.308 privind aprobarea Normelor metodologice pentru aplicarea Legii nr. 365/2002 privind comerţul electronic (regeringsbesluit nr. 1.308 inzake goedkeuring van de uitvoeringsbepalingen van wet nr. 365/2002 betreffende onlinehandel) van 20 november 2002 (Monitorul Oficial al României, deel I, nr. 877 van 5 december 2002) bepalen in artikel 11, lid 1:

  „Verleners van diensten van de informatiemaatschappij die de in de artikelen 12 tot en met 15 van wet [nr. 365/2002] bedoelde diensten aanbieden, zijn niet verplicht om toe te zien op de informatie die zij doorgeven of opslaan, noch om actief te zoeken naar gegevens betreffende onrechtmatig lijkende activiteiten of informatie op het gebied van de diensten van de informatiemaatschappij die zij verlenen”.

 Hoofdgeding en prejudiciële vragen

• 30.

  Russmedia Digital, een vennootschap naar Roemeens recht, is eigenaar van de website www.publi24.ro, een onlinemarktplaats waarop kosteloos of tegen vergoeding advertenties kunnen worden gepubliceerd betreffende met name de verkoop van goederen of het verlenen van diensten in Roemenië.

• 31.

  Verzoekster in het hoofdgeding voert aan dat een niet-geïdentificeerde derde op 1 augustus 2018 op die website een misleidende en schadelijke advertentie heeft geplaatst waarin werd beweerd dat zij seksuele diensten aanbood. De advertentie bevatte met name foto’s van verzoekster in het hoofdgeding, die zonder haar toestemming werden gebruikt, alsmede haar telefoonnummer. Deze advertentie is vervolgens letterlijk overgenomen op andere reclamewebsites, waar zij met vermelding van de oorspronkelijke bron online is geplaatst. Minder dan een uur nadat verzoekster in het hoofdgeding Russmedia Digital had benaderd, heeft laatstgenoemde die advertentie van haar website verwijderd. De advertentie bleef echter wel beschikbaar op die andere websites.

• 32.

  Aangezien verzoekster in het hoofdgeding van mening was dat de in het hoofdgeding aan de orde zijnde advertentie inbreuk maakte op haar portretrecht, haar recht op eer en goede naam, alsmede haar recht op privéleven en op de regels inzake de verwerking van persoonsgegevens, heeft zij een vordering ingesteld tegen Russmedia bij de Judecătorie Cluj-Napoca (rechter in eerste aanleg Cluj-Napoca, Roemenië). Die rechter heeft Russmedia veroordeeld tot betaling aan verzoekster van een schadevergoeding van 7 000 EUR voor de immateriële schade die zij heeft geleden wegens de schending van haar portretrecht en haar recht op eer en goede naam alsmede wegens de schending van de eerbiediging van haar privéleven en de onrechtmatige verwerking van haar persoonsgegevens.

• 33.

  Russmedia heeft tegen die uitspraak hoger beroep ingesteld. De Tribunal Specializat Cluj (bijzondere rechter Cluj, Roemenië) heeft dit hoger beroep toegewezen en geoordeeld dat de vordering van verzoekster in het hoofdgeding ongegrond was, aangezien de in het hoofdgeding aan de orde zijnde advertentie niet afkomstig was van Russmedia, die slechts een hostingdienst voor deze advertentie aanbood en niet actief betrokken was bij de inhoud ervan. Bijgevolg is de vrijstelling van aansprakelijkheid waarin artikel 14, lid 1, onder b), van wet nr. 365/2002 voorziet op haar van toepassing. Wat de verwerking van persoonsgegevens betreft, was deze rechter van oordeel dat een aanbieder van diensten van de informatiemaatschappij niet verplicht is om toe te zien op de door hem doorgegeven informatie, noch om actief te zoeken naar gegevens betreffende onrechtmatig lijkende activiteiten of informatie. In dit verband heeft hij geoordeeld dat Russmedia niet kon worden verweten dat zij geen maatregelen had genomen om de onlineverspreiding van de in het hoofdgeding aan de orde zijnde lasterlijke advertentie te verhinderen, aangezien zij deze advertentie op verzoek van verzoekster in het hoofdgeding snel had verwijderd.

• 34.

  Laatstgenoemde heeft tegen die beslissing cassatieberoep ingesteld bij de Curte de Apel Cluj (rechter in tweede aanleg Cluj, Roemenië), op grond dat de Tribunal Specializat Cluj zich had gebaseerd op een onjuiste uitlegging van wet nr. 365/2002. Verzoekster in het hoofdgeding voert met name aan dat deze rechter had moeten onderzoeken of de AVG in casu van toepassing was, aangezien die wet geen bijzondere wet is ten opzichte van die verordening. Bovendien beperkt Russmedia zich niet tot het verstrekken van specifieke technische faciliteiten voor toegang tot de hostingserver aan haar klanten. Zij speelt ook een beheersrol door in te grijpen in de inhoud om een goed beheer van de informatie te verzekeren. Als exploitant van de in het hoofdgeding aan de orde zijnde website heeft die vennootschap de inhoud van de informatie opgeslagen en verwerkt. De opslag van de gegevens en de beschikbaarstelling ervan aan het publiek in een bepaalde vorm houdt in dat de gegevens en informatie in de advertenties moeten worden geanalyseerd. Deze elementen tonen aan dat Russmedia rechtstreeks betrokken was bij het beheer en de verspreiding van de inhoud van advertenties. Bijgevolg zijn de bepalingen van artikel 14 van wet nr. 365/2002 niet van toepassing.

• 35.

  Voorts voert verzoekster in het hoofdgeding aan dat de vrijstelling van aansprakelijkheid van een dergelijke aanbieder niet geldt indien de aansprakelijkheid wordt vastgesteld op grond van andere regelgevingshandelingen, zoals de AVG. Russmedia heeft de persoonsgegevens van verzoekster in het hoofdgeding zonder haar toestemming gepubliceerd en stelt, door de werking van haar website, eenieder in staat om om het even welk soort advertenties te plaatsen, met name advertenties die de veiligheid van de persoonsgegevens niet waarborgen, waardoor het onmogelijk is om online gepubliceerde gegevens definitief te verwijderen.

• 36.

  Russmedia betoogt dat de door de Tribunal Specializat Cluj gekozen oplossing juist is. Verzoekster in het hoofdgeding heeft niet aangetoond waarom de AVG een bijzondere regel vormt die in de weg staat aan de toepassing van de relevante bepalingen van wet nr. 365/2002.

• 37.

  De Curte de Apel Cluj, de verwijzende rechter, die in de onderhavige zaak uitspraak doet als cassatierechter wiens beslissing kracht van gewijsde heeft, acht het noodzakelijk om met name vast te stellen welke grenzen richtlijn 2000/31 stelt aan de vrijstelling van aansprakelijkheid van een aanbieder van diensten van de informatiemaatschappij, zoals Russmedia.

• 38.

  De verwijzende rechter heeft onder verwijzing naar de relevante rechtspraak van het Hof vastgesteld dat, hoewel exploitanten van onlinemarktplaatsen volgens die rechtspraak niet verplicht zijn om de door de gebruikers geplaatste informatie of advertenties vooraf te controleren, dit niet wegneemt dat de vrijstelling van die exploitanten van aansprakelijkheid voorwaardelijk is. Overeenkomstig het arrest van 12 juli 2011, L’Oréal e.a. (C‑324/09, EU:C:2011:474), kan een exploitant van onlinediensten zich dus niet beroepen op de in artikel 14, lid 1, van richtlijn 2000/31 bedoelde vrijstelling van aansprakelijkheid indien hij kennis heeft gekregen van feiten of omstandigheden op grond waarvan een zorgvuldige marktdeelnemer de onrechtmatigheid van de betrokken verkoopaanbiedingen had moeten vaststellen en hij, ingeval hij deze kennis had, niet prompt heeft gehandeld overeenkomstig artikel 14, lid 1, onder b), van deze richtlijn. Uit het arrest van 11 september 2014, Papasavvas (C‑291/13, EU:C:2014:2209), blijkt ook dat de in de artikelen 12 tot en met 14 van richtlijn 2000/31 vastgestelde beperkingen van civiele aansprakelijkheid niet zien op het geval van een vennootschap die een website heeft waarop de elektronische versie van een krant wordt gepubliceerd, wanneer deze vennootschap, die wordt vergoed door de op deze website geplaatste commerciële advertenties, kennis heeft van en controle uitoefent over de gepubliceerde informatie.

• 39.

  De verwijzende rechter benadrukt echter dat die rechtspraak enkel verwijst naar op een website geplaatste aanbiedingen waarvan de onrechtmatigheid voortvloeit uit een analyse van feiten en omstandigheden die na de publicatie van de betrokken advertentie uitdrukkelijk aan de verwerkingsverantwoordelijke zijn meegedeeld. Het Hof heeft dus nog niet de gelegenheid gehad om een situatie zoals die in het hoofdgeding te onderzoeken waarin de inhoud van de gepubliceerde advertentie kennelijk onrechtmatig en uiterst schadelijk voor de betrokkene was.

• 40.

  In dit verband vraagt de verwijzende rechter vraagt zich af of een platform alleen dan verplicht is om inhoud die kennelijk onrechtmatig en ernstig schadelijk is te verwijderen indien het een kennisgeving heeft ontvangen. In casu is de in het hoofdgeding aan de orde zijnde advertentie gepubliceerd zonder dat de identiteit van de adverteerder is geverifieerd en kennelijk zonder dat verzoekster in het hoofdgeding toestemming heeft gegeven.

• 41.

  Hoewel de in het hoofdgeding aan de orde zijnde advertentie na een kennisgeving van verzoekster in het hoofdgeding van de oorspronkelijke website is verwijderd, is de inhoud van deze advertentie, met inbegrip van haar contactgegevens en haar foto’s, bovendien volledig overgenomen op tal van andere websites, met vermelding van de oorspronkelijke bron. De door verzoekster in het hoofdgeding geleden schade is dus blijvend geworden en duurt nog steeds voort. De verwijzende rechter benadrukt in dit verband dat de seksuele diensten die verzoekster zou aanbieden in verband kunnen worden gebracht met ernstige inbreuken die worden bestraft door de Cod penal (wetboek van strafrecht), zoals het optreden als souteneur en mensenhandel.

• 42.

  De verwijzende rechter benadrukt dat Russmedia zich overeenkomstig de algemene voorwaarden voor het gebruik van de door haar geëxploiteerde onlinemarktplaats – zonder aanspraak te maken op enig eigendomsrecht op de inhoud van de gepubliceerde advertenties – echter het recht voorbehoudt om die inhoud te gebruiken, onder meer door deze te kopiëren, verspreiden, verzenden, publiceren, reproduceren, wijzigen en vertalen, alsmede aan partners over te dragen of op enigerlei moment te wissen, zelfs zonder daarvoor een geldige reden te hebben.

• 43.

  Tegen deze achtergrond heeft de Curte de Apel Cluj de behandeling van de zaak geschorst en het Hof verzocht om een prejudiciële beslissing over de volgende vragen:

  „1)      Zijn de artikelen 12 tot en met 14 van [richtlijn 2000/31] ook van toepassing op een hostingaanbieder [van diensten van de informatiemaatschappij] die gebruikers een website ter beschikking stelt waarop gratis of tegen vergoeding advertenties kunnen worden gepubliceerd en die stelt dat hij een louter technische rol speelt bij de weergave van de advertenties van gebruikers (het beschikbaar stellen van het platform), welke hostingaanbieder echter in de gebruiksvoorwaarden van de website aangeeft dat hij weliswaar geen aanspraak maakt op een eigendomsrecht op geleverd, gepost, geüpload of ingezonden materiaal maar zich wel het recht voorbehoudt om dat materiaal te gebruiken, onder meer door het te kopiëren, verspreiden, verzenden, publiceren, reproduceren, wijzigen, vertalen, aan partners over te dragen of op enigerlei moment te wissen, zonder dat daar een reden voor nodig is?

  2)      Moet een dergelijke verwerkingsverantwoordelijke hostingaanbieder [van diensten van de informatiemaatschappij] krachtens artikel 2, lid 4, artikel 4, punten 7 en 11, artikel 5, lid 1, onder f), artikel 6, lid 1, onder a), en de artikelen 7, 24 en 25 [AVG] en artikel 15 van [richtlijn 2000/31] vóór de plaatsing van een advertentie nagaan of de persoon die de advertentie plaatst tevens de eigenaar is van de persoonsgegevens op wie de advertentie betrekking heeft?

  3)      Moet een dergelijke verwerkingsverantwoordelijke hostingaanbieder [van diensten van de informatiemaatschappij] krachtens artikel 2, lid 4, artikel 4, punten 7 en 11, artikel 5, lid 1, onder f), artikel 6, lid 1, onder a), en de artikelen 7, 24 en 25 [AVG] en artikel 15 van [richtlijn 2000/31] vooraf de inhoud van door de gebruikers verzonden advertenties nagaan om advertenties uit te sluiten die mogelijk onwettig zijn of die inbreuk kunnen maken op iemands privéleven, familie en gezinsleven?

  4)      Moet een dergelijke verwerkingsverantwoordelijke hostingaanbieder [van diensten van de informatiemaatschappij] krachtens artikel 5, lid 1, onder b) en f), en de artikelen 24 en 25 [AVG] en artikel 15 van [richtlijn 2000/31] zodanige beveiligingsmaatregelen treffen dat de inhoud van de via zijn diensten geplaatste advertenties niet of slechts beperkt kan worden gekopieerd en herverspreid?”

 Beantwoording van de prejudiciële vragen

• 44.

  Volgens vaste rechtspraak is het, in het kader van de bij artikel 267 VWEU ingestelde procedure van samenwerking tussen de nationale rechterlijke instanties en het Hof, de taak van het Hof om de nationale rechter een nuttig antwoord te geven aan de hand waarvan hij het bij hem aanhangige geschil kan oplossen. Daartoe dient het Hof in voorkomend geval de voorgelegde vragen te herformuleren. Het staat in dit verband aan het Hof om uit alle door de nationale rechter verschafte gegevens, met name uit de motivering van de verwijzingsbeslissing, de elementen van het Unierecht te putten die, gelet op het voorwerp van het geschil, uitlegging behoeven [zie in die zin arresten van 29 november 1978, Redmond, 83/78, EU:C:1978:214, punt 26; 28 november 2000, Roquette Frères, C‑88/99, EU:C:2000:652, punt 18, en 30 april 2024, M. N. (EncroChat), C‑670/22, EU:C:2024:372, punt 78].

• 45.

  Met zijn vragen tezamen beschouwd wenst de verwijzende rechter te vernemen, ten eerste, of de exploitant van een onlinemarktplaats, zoals Russmedia, die zijn gebruikers de mogelijkheid biedt om kosteloos of tegen vergoeding advertenties op anonieme wijze op zijn onlinemarktplaats te plaatsen, de krachtens de AVG op hem rustende verplichtingen niet is nagekomen wanneer een advertentie op zijn onlinemarktplaats, in strijd met deze verordening, persoonsgegevens – met name gevoelige persoonsgegevens – bevat en, ten tweede, of de artikelen 12 tot en met 15 van richtlijn 2000/31 betreffende de aansprakelijkheid van dienstverleners die als tussenpersoon optreden van toepassing zijn op een dergelijke exploitant.

• 46.

  Om op deze vragen een nuttig antwoord te kunnen geven, moeten om te beginnen de tweede tot en met de vierde vraag worden onderzocht, die ertoe strekken vast te stellen welke verplichtingen krachtens de AVG op de exploitant van een onlinemarktplaats rusten in een situatie als die in het hoofdgeding. Daarbij moeten deze vragen aldus worden geherformuleerd dat zij uitsluitend betrekking hebben op de uitlegging van die verordening. Vervolgens zal worden onderzocht of een dergelijke exploitant zich kan beroepen op de artikelen 12 tot en met 15 van richtlijn 2000/31, waarop de eerste vraag in essentie betrekking heeft.

   Opmerkingen vooraf

 Tweede tot en met vierde vraag: uitlegging van de AVG

• 47.

  Om te beginnen moet in de eerste plaats worden opgemerkt dat uit het verzoek om een prejudiciële beslissing blijkt dat verzoekster in het hoofdgeding in de advertentie in kwestie werd voorgesteld als een aanbieder van seksuele diensten en dat deze advertentie met name foto’s van verzoekster bevatte die zonder haar toestemming werden gebruikt, alsook haar telefoonnummer.

• 48.

  Het staat vast dat dergelijke informatie persoonsgegevens in de zin van artikel 4, punt 1, AVG zijn, die worden gedefinieerd als „alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon”, waarbij verder wordt gepreciseerd dat „als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon”.

• 49.

  Volgens vaste rechtspraak wijst het gebruik van de woorden „alle informatie” in de definitie van het begrip „persoonsgegevens” in artikel 4, lid 1, AVG namelijk op de wil van de Uniewetgever om een ruime betekenis te geven aan dit begrip, dat zich potentieel uitstrekt tot elk soort informatie, zowel objectieve informatie als subjectieve informatie, in de vorm van meningen of beoordelingen, op voorwaarde dat deze informatie de betrokkene „betreft”. Informatie heeft betrekking op een geïdentificeerde of identificeerbare persoon wanneer die informatie wegens de inhoud, het doel of het gevolg ervan gelieerd is aan een identificeerbare persoon [arrest van 3 april 2025, Ministerstvo zdravotnictví (Gegevens betreffende de vertegenwoordiger van een rechtspersoon), C‑710/23, EU:C:2025:231, punt 21 en aldaar aangehaalde rechtspraak].

• 50.

  Bovendien voorziet artikel 9, lid 1, AVG in een speciale beschermingsregeling voor bijzondere categorieën van gegevens, waaronder die met betrekking tot iemands seksueel gedrag of seksuele gerichtheid.

• 51.

  Het Hof heeft verduidelijkt dat artikel 9, lid 1, AVG beoogt een verhoogde bescherming te bieden tegen verwerkingen die, wegens de bijzondere gevoeligheid van de gegevens die er het voorwerp van zijn, op bijzonder ernstige wijze inbreuk kunnen maken op de door de artikelen 7 en 8 van het Handvest gewaarborgde grondrechten op eerbiediging van het privéleven en bescherming van persoonsgegevens (arrest van 21 december 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punt 41 en aldaar aangehaalde rechtspraak).

• 52.

  Een dergelijke verhoogde bescherming vereist noodzakelijkerwijs een ruime definitie van dergelijke „gevoelige gegevens”. Het Hof heeft geoordeeld dat artikel 9, lid 1, AVG niet alleen geldt voor verwerkingen die zien op de intrinsiek gevoelige gegevens waarop die bepaling betrekking heeft, maar dus ook op verwerkingen die zien op gegevens waaruit dergelijke informatie indirect, door beredeneerde deductie of vergelijking kan worden afgeleid [arrest van 5 juni 2023, Commissie/Polen (Onafhankelijkheid en privéleven van rechters), C‑204/21, EU:C:2023:442, punt 344 en aldaar aangehaalde rechtspraak].

• 53.

  In het kader van deze ruime definitie kan het bedrieglijke en schadelijke karakter van gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid niet tot gevolg hebben dat die gegevens niet als „gevoelige gegevens” in de zin van artikel 9, lid 1, AVG kunnen worden gekwalificeerd.

• 54.

  In de tweede plaats moet worden opgemerkt dat de verwerking in het hoofdgeding bestaat uit de publicatie van die advertentie en dus van die gegevens op de onlinemarktplaats van Russmedia. De verrichting die erin bestaat persoonsgegevens weer te geven op een website, is immers een verwerking in de zin van artikel 4, punt 2, AVG (arrest van 1 augustus 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, punt 65 en aldaar aangehaalde rechtspraak).

• 55.

  In de derde plaats moet worden opgemerkt dat de tweede tot en met de vierde vraag verwijzen naar het feit dat de exploitant van de in het hoofdgeding aan de orde zijnde onlinemarktplaats verantwoordelijk is voor de verwerking van persoonsgegevens. De persoonsgegevens waarvan de publicatie aan de orde is in het hoofdgeding, blijken in de advertentie in kwestie te zijn ingevoegd door een anonieme adverterende gebruiker, zonder dat die exploitant concrete invloed heeft uitgeoefend op de inhoud van die advertentie en zonder dat deze zich bewust was van de misleidende en schadelijke aard ervan. In die omstandigheden moeten de begrippen „verwerkingsverantwoordelijke” en „gezamenlijke verantwoordelijken” in de zin van respectievelijk artikel 4, punt 7, en artikel 26 AVG worden verduidelijkt.

• 56.

  Artikel 4, punt 7, AVG geeft een ruime uitlegging aan het begrip „verwerkingsverantwoordelijke”, waarmee wordt gedoeld op een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

• 57.

  Het doel van deze ruime uitlegging, in overeenstemming met dat van de AVG, bestaat erin een doeltreffende bescherming van de fundamentele rechten en vrijheden van natuurlijke personen te waarborgen en een hoog niveau van bescherming van het recht van eenieder op bescherming van zijn persoonsgegevens (arrest van 5 december 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, punt 29 en aldaar aangehaalde rechtspraak).

• 58.

  Een natuurlijke of rechtspersoon die voor eigen doeleinden invloed uitoefent op de verwerking van dergelijke gegevens en daardoor deelneemt aan de vaststelling van het doel van en de middelen voor de verwerking, kan dus worden geacht voor die verwerking verantwoordelijk te zijn (arrest van 5 december 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, punt 30 en aldaar aangehaalde rechtspraak).

• 59.

  Bovendien ziet het begrip „verwerkingsverantwoordelijke” – zoals uitdrukkelijk is bepaald in artikel 4, punt 7, AVG – op een orgaan dat „alleen of samen met anderen” het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt, zodat dit begrip niet noodzakelijkerwijs verwijst naar één enkel orgaan en betrekking kan hebben op meerdere deelnemers aan deze verwerking, die dan alle onder de bepalingen inzake gegevensbescherming vallen (zie in die zin arrest van 29 juli 2019, Fashion ID, C‑40/17, EU:C:2019:629, punt 67 en aldaar aangehaalde rechtspraak).

• 60.

  Artikel 26 AVG, dat deel uitmaakt van de definitie van „verwerkingsverantwoordelijke” in artikel 4, punt 7, van deze verordening, bepaalt in essentie dat wanneer twee of meer verwerkingsverantwoordelijken gezamenlijk de doeleinden en de middelen van de verwerking bepalen, zij als „gezamenlijke verwerkingsverantwoordelijken” moeten worden aangemerkt.

• 61.

  Voor een dergelijke gezamenlijke verantwoordelijkheid is niet noodzakelijkerwijs vereist dat er gezamenlijke besluiten worden genomen over de vaststelling van de doeleinden en de middelen van de verwerking van de betrokken persoonsgegevens. Het Hof heeft namelijk geoordeeld dat de deelname aan de vaststelling van dat doel van en die middelen voor de verwerking verschillende vormen kan aannemen; zij kan zowel het resultaat zijn van een gezamenlijk besluit van twee of meer entiteiten als resulteren uit convergerende besluiten van die entiteiten, zodat elk ervan een concreet effect heeft op de vaststelling van dat doel van en die middelen voor de verwerking (zie in die zin arrest van 5 december 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, punt 43 en aldaar aangehaalde rechtspraak).

• 62.

  In dit verband vooronderstelt de omstandigheid dat meerdere deelnemers op grond van artikel 4, punt 7, AVG verantwoordelijk zijn voor dezelfde verwerking niet dat ieder van hen toegang heeft tot de betrokken persoonsgegevens (arresten van 29 juli 2019, Fashion ID, C‑40/17, EU:C:2019:629, punt 69 en aldaar aangehaalde rechtspraak, en 5 december 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, punt 42).

• 63.

  Tegen dezelfde achtergrond heeft het Hof geoordeeld dat het bestaan van een gezamenlijke verantwoordelijkheid niet noodzakelijkerwijs leidt tot een gelijkwaardige verantwoordelijkheid van de verschillende deelnemers aan de verwerking van persoonsgegevens. Integendeel, deze deelnemers kunnen in verschillende stadia en in verschillende mate bij deze verwerking betrokken zijn, zodat bij de beoordeling van het niveau van verantwoordelijkheid van ieder van hen rekening moet worden gehouden met alle relevante omstandigheden van het concrete geval (zie in die zin arresten van 10 juli 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, punt 66 en aldaar aangehaalde rechtspraak, en 5 december 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, punt 42).

• 64.

  In casu staat vast dat de adverterende gebruiker, die de misleidende en schadelijke advertentie met persoonsgegevens van verzoekster in het hoofdgeding op de door Russmedia geëxploiteerde onlinemarktplaats heeft geplaatst, moet worden geacht primair de doelstellingen en de middelen voor de verwerking van die gegevens te hebben vastgesteld en dus onder het begrip „verwerkingsverantwoordelijke” in de zin van artikel 4, punt 7, AVG valt.

• 65.

  Niettemin staat vast dat deze advertentie alleen op internet is gepubliceerd en dus voor internetgebruikers toegankelijk is gemaakt dankzij de door Russmedia geëxploiteerde onlinemarktplaats.

• 66.

  Hoewel uit de in punt 58 van het onderhavige arrest aangehaalde rechtspraak blijkt dat een persoon slechts als „verwerkingsverantwoordelijke” van persoonsgegevens kan worden gekwalificeerd indien hij voor eigen doeleinden invloed uitoefent op de verwerking, moet echter worden vastgesteld dat dit met name het geval kan zijn wanneer de exploitant van een onlinemarktplaats de betrokken persoonsgegevens voor commerciële of reclamedoeleinden publiceert die verder gaan dan de loutere verrichting van de dienst die hij ten behoeve van de adverterende gebruiker verricht.

• 67.

  In casu blijkt uit de verwijzingsbeslissing dat Russmedia advertenties op haar onlinemarktplaats plaatst voor haar eigen commerciële doeleinden. In dit verband bieden de algemene voorwaarden voor het gebruik van deze marktplaats Russmedia een grote vrijheid om de op die marktplaats gepubliceerde informatie te gebruiken. Volgens de aanwijzingen van de verwijzende rechter behoudt Russmedia zich met name het recht voor om de gepubliceerde inhoud te gebruiken, verspreiden, verzenden, reproduceren, wijzigen, vertalen, aan partners over te dragen of op enigerlei moment te wissen, zonder daarvoor een „geldige reden” te hebben. Russmedia publiceert de in de advertenties opgenomen persoonsgegevens dus niet of niet alleen voor rekening van de adverterende gebruikers, maar verwerkt die gegevens en kan die voor eigen reclame‑ en commerciële doeleinden exploiteren.

• 68.

  Derhalve moet worden geoordeeld dat Russmedia voor eigen doeleinden invloed heeft uitgeoefend op de online publicatie van de persoonsgegevens van verzoekster in het hoofdgeding en daardoor heeft deelgenomen aan de vaststelling van de doeleinden van die publicatie en dus van de betrokken verwerking.

• 69.

  Aan deze vaststelling wordt niet afgedaan door het feit dat Russmedia kennelijk niet heeft deelgenomen aan de vaststelling van de misleidende en schadelijke doelstelling die de adverterende gebruiker met de publicatie van de in het hoofdgeding aan de orde zijnde advertentie heeft nagestreefd. Russmedia heeft namelijk bijgedragen aan de vaststelling van de doelstelling van de verwerking, te weten de persoonsgegevens in de betrokken advertentie toegankelijk te maken voor internetgebruikers, om zo profijt uit deze publicaties te halen. Bovendien heeft Russmedia, door toe te staan dat advertenties anoniem op haar onlinemarktplaats werden geplaatst, de publicatie van dergelijke gegevens zonder toestemming van de betrokkene vergemakkelijkt.

• 70.

  Voorts heeft Russmedia, door haar onlinemarktplaats die voor de publicatie van de in het hoofdgeding aan de orde zijnde advertentie heeft gediend ter beschikking van de adverterende gebruiker te stellen, deelgenomen aan de vaststelling van de middelen van die publicatie.

• 71.

  Het Hof heeft in essentie reeds geoordeeld dat aan de vaststelling van de middelen van een verwerking immers wordt deelgenomen wanneer de natuurlijke of rechtspersoon op beslissende wijze invloed uitoefent op het verzamelen en doorzenden van persoonsgegevens, of wanneer degene die door het vastleggen van instellingen naargelang van zijn doelstellingen voor het beheer of de promotie van zijn activiteiten invloed uitoefent op de verwerking van dergelijke gegevens (zie in die zin arresten van 5 juni 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, punt 36, en 29 juli 2019, Fashion ID, C‑40/17, EU:C:2019:629, punt 78). Hetzelfde geldt voor een zoekmachine wanneer haar activiteit van doorslaggevend belang is bij de wereldwijde verspreiding van de persoonsgegevens, doordat deze activiteit die gegevens georganiseerd en samengevoegd online toegankelijk maakt voor het publiek [zie in die zin arrest van 8 december 2022, Google (Verwijdering van links naar beweerdelijk onjuiste inhoud), C‑460/20, EU:C:2022:962, punt 50 en aldaar aangehaalde rechtspraak].

• 72.

  Derhalve moet worden vastgesteld dat wanneer de exploitant van een onlinemarktplaats zoals Russmedia de parameters voor de verspreiding van advertenties die persoonsgegevens kunnen bevatten op basis van het doelpubliek vaststelt, de weergave, de duur van deze verspreiding of de rubrieken waarin de gepubliceerde informatie wordt gestructureerd vaststelt, of de rangschikking organiseert die zal bepalen op welke wijze de advertenties worden verspreid, hij deelneemt aan de vaststelling van de essentiële middelen voor de publicatie van de betrokken persoonsgegevens, waardoor hij de algemene verspreiding van die gegevens op beslissende wijze beïnvloedt.

• 73.

  In dit verband kan de inhoud van de algemene gebruiksvoorwaarden van de betrokken onlinemarktplaats aanwijzingen opleveren dat de exploitant van die marktplaats een beslissende invloed uitoefent op de betrokken verwerking van persoonsgegevens en aldus de middelen voor die verwerking vaststelt. Dit lijkt het geval te zijn met de algemene gebruiksvoorwaarden van de onlinemarktplaats van Russmedia, waarin deze vennootschap zich met name het recht voorbehoudt om de informatie in de advertenties, met inbegrip van de daarin opgenomen persoonsgegevens, te verspreiden, verzenden, publiceren, wissen of reproduceren.

• 74.

  Hoe dan ook kan de exploitant van een onlinemarktplaats niet aan zijn aansprakelijkheid als verwerkingsverantwoordelijke van persoonsgegevens ontsnappen op grond dat hij niet zelf de inhoud van de op die marktplaats gepubliceerde advertentie heeft bepaald. Het zou namelijk niet alleen in strijd zijn met de duidelijke bewoordingen, maar ook met het doel van artikel 4, punt 7, AVG – dat erin bestaat om door middel van een ruime definitie van het begrip „verwerkingsverantwoordelijke” een doeltreffende en volledige bescherming van de betrokkenen te waarborgen – om een dergelijke exploitant louter op die grond van die definitie uit te sluiten.

• 75.

  Bijgevolg moet worden vastgesteld dat de verwijzende rechter zijn tweede tot en met vierde vraag terecht heeft gebaseerd op de veronderstelling dat de exploitant van de onlinemarktplaats in een situatie als aan de orde in het hoofdgeding, in de zin van artikel 4, punt 7, AVG verantwoordelijk is voor de verwerking van de persoonsgegevens die zijn opgenomen in een op die onlinemarktplaats gepubliceerde advertentie.

• 76.

  Het is in het licht van alle voorgaande inleidende opmerkingen dat deze vragen moeten worden beantwoord.

   Tweede en derde vraag

• 77.

  Met zijn tweede en derde vraag, die samen moeten worden onderzocht, wenst de verwijzende rechter in essentie te vernemen of artikel 5, lid 2, en de artikelen 24 tot en met 26 AVG aldus moeten worden uitgelegd dat de exploitant van een onlinemarktplaats, als verwerkingsverantwoordelijke in de zin van artikel 4, punt 7, AVG van persoonsgegevens die zijn opgenomen in advertenties die op zijn onlinemarktplaats worden gepubliceerd, vóór de publicatie ervan moet nagaan welke advertenties gevoelige gegevens bevatten in de zin van artikel 9, lid 1, AVG, of de adverterende gebruiker die een dergelijke advertentie wil plaatsen de persoon is wiens gevoelige gegevens daarin staan en, indien dit niet het geval is, bij gebrek aan uitdrukkelijke toestemming van de betrokkene de publicatie ervan moet weigeren, voor zover die publicatie zou kunnen leiden tot een ernstige schending van de door de artikelen 7 en 8 van het Handvest gewaarborgde rechten van die betrokkene op eerbiediging van het privéleven en op bescherming van zijn persoonsgegevens.

• 78.

  Overeenkomstig artikel 1, lid 2, AVG, gelezen in het licht van de overwegingen 4 en 10 ervan, heeft deze verordening met name tot doel een hoog niveau van bescherming van de fundamentele vrijheden en de grondrechten van natuurlijke personen te waarborgen in verband met de verwerking van persoonsgegevens, welk recht tevens is erkend in artikel 8 van het Handvest en nauw samenhangt met het in artikel 7 van het Handvest neergelegde recht op eerbiediging van het privéleven (zie in die zin arrest van 1 augustus 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, punt 61 en aldaar aangehaalde rechtspraak).

• 79.

  Daartoe zijn, in de eerste plaats, in hoofdstuk II AVG de beginselen geformuleerd die van toepassing zijn op de verwerking van persoonsgegevens die de verwerkingsverantwoordelijke moet eerbiedigen. Met name moet elke verwerking van persoonsgegevens in overeenstemming zijn met de in de artikelen 5 en 6 van deze verordening neergelegde beginselen inzake gegevensverwerking en met de voorwaarden voor rechtmatigheid van de verwerking (zie in die zin arrest van 1 augustus 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, punt 62 en aldaar aangehaalde rechtspraak).

• 80.

  Overeenkomstig artikel 5, lid 1, onder a), AVG moeten persoonsgegevens worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is. Artikel 5, lid 1, onder d), AVG voegt hieraan toe dat persoonsgegevens juist moeten zijn en zo nodig moeten worden geactualiseerd. Daartoe moeten alle redelijke maatregelen worden genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren. Artikel 5, lid 1, onder f), van die verordening bepaalt dat persoonsgegevens op een dusdanige manier moeten worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking.

• 81.

  Wat de rechtmatigheidsvoorwaarden van de verwerking betreft, heeft het Hof geoordeeld dat artikel 6, lid 1, eerste alinea, AVG een uitputtende en limitatieve lijst bevat van de gevallen waarin de verwerking van persoonsgegevens als rechtmatig kan worden aangemerkt. Een verwerking moet dus vallen onder een van de in deze bepaling bedoelde gevallen (zie in die zin arrest van 9 januari 2025, Mousse, C‑394/23, EU:C:2025:2, punt 25 en aldaar aangehaalde rechtspraak).

• 82.

  In het bijzonder is volgens artikel 6, lid 1, eerste alinea, onder a), AVG de verwerking van persoonsgegevens alleen rechtmatig indien en voor zover de betrokkene daarvoor toestemming heeft gegeven voor een of meer specifieke doeleinden. Artikel 7, lid 1, AVG preciseert dat, in dat geval, de verwerkingsverantwoordelijke moet kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens. Bij gebreke van een dergelijke toestemming of wanneer die toestemming niet vrij, specifiek, geïnformeerd en ondubbelzinnig is gegeven in de zin van artikel 4, punt 11, van deze verordening, kan de verwerking niettemin gerechtvaardigd zijn wanneer is voldaan aan een van de in artikel 6, lid 1, eerste alinea, onder b) tot en met f), van die verordening genoemde voorwaarden met betrekking tot de noodzakelijkheid van de verwerking (arrest van 9 januari 2025, Mousse, C‑394/23, EU:C:2025:2, punt 26 en aldaar aangehaalde rechtspraak).

• 83.

  Naast deze beginselen en voorwaarden zijn er nog specifieke vereisten voor gevoelige gegevens zoals omschreven in artikel 9, lid 1, AVG, waarvan de verwerking in beginsel verboden is (zie in die zin arrest van 21 december 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punt 73).

• 84.

  Van dit verbod kan slechts worden afgeweken indien is voldaan aan een van de uitzonderingen van artikel 9, lid 2, onder a) tot en met j), van die verordening. Wat deze uitzonderingen betreft, die strikt moeten worden uitgelegd, bepaalt artikel 9, lid 2, onder a), dat het verbod op de verwerking van gevoelige gegevens niet van toepassing is indien de betrokkene uitdrukkelijk toestemming heeft gegeven voor de verwerking daarvan voor een of meer welbepaalde doeleinden, behalve indien het Unierecht of het lidstatelijke recht bepaalt dat dit verbod niet door de betrokkene kan worden opgeheven.

• 85.

  In de tweede plaats verduidelijkt hoofdstuk IV AVG de omvang van de verplichtingen die krachtens de in artikel 5, lid 2, AVG neergelegde verantwoordingsplicht op de verwerkingsverantwoordelijke rusten.

• 86.

  Volgens deze bepaling is de verwerkingsverantwoordelijke verantwoordelijk voor de naleving van lid 1 van dit artikel en moet hij kunnen aantonen dat hij aan elk van de in lid 1 vervatte beginselen voldoet, zodat de bewijslast ter zake bij hem rust [arrest van 4 mei 2023, Bundesrepublik Deutschland (Gerechtelijke elektronische postbus), C‑60/22, EU:C:2023:373, punt 53 en aldaar aangehaalde rechtspraak].

• 87.

  Die verantwoordingsplicht is met name uitgewerkt in artikel 24 AVG (zie in die zin arrest van 25 januari 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, punt 43 en aldaar aangehaalde rechtspraak). Die plicht vereist dat, rekening houdend met de aard, de omvang, de context en het doel van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen, de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen treft om te waarborgen en te kunnen aantonen dat die verwerking in overeenstemming met deze verordening is uitgevoerd.

• 88.

  Artikel 5, lid 2, en artikel 24 AVG leggen dus algemene verantwoordingsplichten en nalevingsvereisten op aan de verantwoordelijke voor de verwerking van persoonsgegevens. Zij vereisen van die verwerkingsverantwoordelijke dat hij passende maatregelen neemt om eventuele schendingen van de regels van de AVG te voorkomen om het recht op gegevensbescherming te waarborgen [zie in die zin arrest van 27 oktober 2022, Proximus (Openbare elektronische abonneelijsten), C‑129/21, EU:C:2022:833, punt 81].

• 89.

  In dat verband legt artikel 25, lid 1, AVG de verwerkingsverantwoordelijke de verplichting op om, zowel bij de bepaling van de verwerkingsmiddelen als bij de verwerking zelf, passende technische en organisatorische maatregelen te treffen die zijn opgesteld met als doel de gegevensbeschermingsbeginselen op een doeltreffende manier uit te voeren en de nodige waarborgen in de verwerking in te bouwen ter naleving van de voorschriften van deze verordening en ter bescherming van de rechten van de betrokkenen. Bovendien bepaalt artikel 25, lid 2, betreffende de gegevensbescherming door standaardinstellingen met name dat de passende technische en organisatorische maatregelen die de verwerkingsverantwoordelijke daartoe moet treffen ervoor zorgen dat persoonsgegevens in beginsel niet zonder menselijke tussenkomst voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt.

• 90.

  Wanneer de persoonsgegevens die worden verwerkt gevoelige gegevens zijn in de zin van artikel 9, lid 1, AVG, moet de verwerkingsverantwoordelijke, teneinde te bepalen welke passende maatregelen in de zin van de artikelen 24 en 25 van deze verordening worden genomen, met name rekening houden met het feit dat een inbreuk op de in hoofdstuk II van die verordening neergelegde beginselen met betrekking tot de verwerking van dergelijke gegevens een bijzonder ernstige inmenging kan vormen in de door de artikelen 7 en 8 van het Handvest gewaarborgde grondrechten op eerbiediging van het privéleven en op bescherming van persoonsgegevens.

• 91.

  De tweede en de derde vraag, zoals geherformuleerd in punt 77 van het onderhavige arrest, moeten in het licht van al deze preciseringen worden onderzocht.

• 92.

  Wat in de eerste plaats de vraag betreft of de exploitant van een onlinemarktplaats de advertenties die gevoelige gegevens bevatten in de zin van artikel 9, lid 1, AVG moet identificeren alvorens deze te publiceren, zij eraan herinnerd dat, zoals blijkt uit de punten 64 en 75 van het onderhavige arrest, deze exploitant en de adverterende gebruiker die een dergelijke advertentie op die onlinemarktplaats heeft geplaatst, moeten worden beschouwd als gezamenlijke verantwoordelijken in de zin van artikel 26 van deze verordening wanneer de betrokken advertentie daar op wordt gepubliceerd.

• 93.

  Hieruit volgt dat zowel die exploitant als die adverterende gebruiker erop moet toezien dat de uit artikel 5, lid 2, en de artikelen 24 en 25 AVG voortvloeiende verplichtingen worden nageleefd. In het bijzonder moeten zij kunnen aantonen dat de persoonsgegevens in de betrokken advertentie rechtmatig zijn gepubliceerd, dat wil zeggen dat de betrokkene met die publicatie heeft ingestemd, tenzij zij zich kunnen beroepen op een andere voorwaarde van artikel 6, lid 1, AVG. Wanneer de betrokken persoonsgegevens gevoelige gegevens zijn in de zin van artikel 9, lid 1, AVG, moet de toestemming voor publicatie uitdrukkelijk zijn, zoals blijkt uit punt 84 van het onderhavige arrest. Evenzo moeten verwerkingsverantwoordelijken volgens het in artikel 5, lid 1, onder d), AVG opgenomen beginsel van juistheid kunnen aantonen dat de betrokken persoonsgegevens juist zijn.

• 94.

  Om te bepalen welke passende technische en organisatorische maatregelen de exploitant van een onlinemarktplaats, als een van de gezamenlijke verwerkingsverantwoordelijken van persoonsgegevens, op grond van de artikelen 24 en 25 AVG moet nemen om zich ervan te vergewissen dat de publicatie van gevoelige gegevens in een advertentie in overeenstemming met deze verordening zal plaatsvinden en dit te kunnen aantonen, moet worden opgemerkt dat uit deze bepalingen volgt dat de vraag of dergelijke maatregelen passend zijn concreet moet worden beoordeeld, rekening houdend met de aard, de omvang, de context en de doeleinden van de betrokken verwerking en de mate van waarschijnlijkheid alsmede de ernst van de risico’s voor de rechten en vrijheden van de betrokkene die hem eigen zijn (zie in die zin arrest van 21 december 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punt 96).

• 95.

  In dit verband moet worden opgemerkt dat de publicatie van persoonsgegevens op een onlinemarktplaats aanzienlijke risico’s inhoudt voor de rechten en vrijheden van de betrokkene, aangezien hij deze gegevens in beginsel toegankelijk maakt voor elke internetgebruiker. Bovendien kunnen deze gegevens, zodra zij op een onlinemarktplaats zijn gepubliceerd, op andere websites worden gekopieerd en gereproduceerd, zodat het voor de betrokkene moeilijk, zo niet onmogelijk, kan zijn om deze gegevens daadwerkelijk van het internet te laten verwijderen.

• 96.

  De risico’s die verbonden zijn aan een dergelijke publicatie zijn des te ernstiger wanneer het gaat om gevoelige gegevens in de zin van artikel 9, lid 1, AVG. Zoals overweging 51 AVG uitdrukkelijk vermeldt, verdienen persoonsgegevens die door hun aard bijzonder gevoelig zijn wat betreft de grondrechten en fundamentele vrijheden, specifieke bescherming aangezien de context van de verwerking ervan significante risico’s kan meebrengen voor die grondrechten en fundamentele vrijheden (zie in die zin arrest van 4 oktober 2024, Lindenapotheke, C‑21/23, EU:C:2024:846, punt 75). Zoals in punt 90 van het onderhavige arrest is opgemerkt, kan de verwerking van die gegevens een bijzonder ernstige inmenging vormen in de door de artikelen 7 en 8 van het Handvest gewaarborgde grondrechten op eerbiediging van het privéleven en op bescherming van persoonsgegevens. Bovendien is het zeer waarschijnlijk dat deze rechten worden geschonden door de publicatie van een advertentie die gevoelige gegevens bevat wanneer de adverterende gebruiker zelf niet de betrokkene is en de onlinemarktplaats het mogelijk maakt dergelijke advertenties anoniem te plaatsen.

• 97.

  Voor zover de exploitant van een onlinemarktplaats zoals aan de orde in het hoofdgeding weet of behoort te weten dat in het algemeen advertenties die gevoelige gegevens in de zin van artikel 9, lid 1, AVG bevatten door adverterende gebruikers op zijn onlinemarktplaats kunnen worden gepubliceerd, is deze exploitant, als verwerkingsverantwoordelijke, dus verplicht om, zodra zijn dienst is uitgerold, de passende technische en organisatorische maatregelen te treffen om dergelijke advertenties vóór de publicatie ervan te identificeren en aldus te kunnen nagaan of de erin vervatte gevoelige gegevens met inachtneming van de in hoofdstuk II van die verordening neergelegde beginselen worden gepubliceerd. Zoals met name blijkt uit artikel 25, lid 1, van die verordening is hij immers niet alleen verplicht om deze maatregelen op het tijdstip van de verwerking uit te voeren, maar reeds op het tijdstip waarop de verwerkingsmiddelen worden vastgesteld en dus nog voordat gevoelige gegevens in strijd met deze beginselen op zijn onlinemarktplaats worden gepubliceerd, aangezien deze verplichting juist bedoeld is om dergelijke inbreuken te voorkomen.

• 98.

  Wat in de tweede plaats de vraag betreft of de exploitant van een onlinemarktplaats, als degene die samen met de adverterende gebruiker verantwoordelijk is voor de verwerking van gevoelige gegevens in de advertenties die op zijn website worden gepubliceerd, vóór de publicatie de identiteit van die adverterende gebruiker moet nagaan, zij eraan herinnerd dat uit artikel 9, lid 1, juncto artikel 9, lid 2, onder a), AVG volgt dat de publicatie van dergelijke gegevens verboden is, tenzij de betrokkene uitdrukkelijk toestemming heeft gegeven voor de publicatie van de betrokken gegevens op die onlinemarktplaats of dat een van de andere uitzonderingen van artikel 9, lid 2, onder b) tot en met j), van toepassing is, hetgeen in casu echter niet het geval lijkt te zijn.

• 99.

  Het feit dat een betrokkene een advertentie met zijn gevoelige gegevens op een onlinemarktplaats plaatst, kan in dit verband weliswaar een uitdrukkelijke toestemming zijn in de zin van artikel 9, lid 2, onder a), AVG, maar van een dergelijke toestemming is geen sprake wanneer die advertentie door een derde wordt geplaatst, tenzij die derde kan aantonen dat de betrokkene zijn uitdrukkelijke toestemming heeft gegeven voor de publicatie van die advertentie op de onlinemarktplaats in kwestie. Om zich ervan te vergewissen dat is voldaan aan de vereisten van artikel 9, lid 2, onder a), AVG en dit te kunnen aantonen, moet de exploitant van de onlinemarktplaats dus vóór de publicatie van een dergelijke advertentie nagaan of de adverterende gebruiker die deze advertentie wil plaatsen de persoon is wiens gevoelige gegevens daarin staan, hetgeen veronderstelt dat de identiteit van die adverterende gebruiker wordt achterhaald.

• 100.

  Bovendien blijkt uit artikel 13, lid 1, onder a), en artikel 14, lid 1, onder a), AVG dat verwerkingsverantwoordelijken in elk geval hun identiteit en hun contactgegevens aan de betrokkene moeten verstrekken.

• 101.

  Ten slotte moet worden opgemerkt dat artikel 26 AVG de gezamenlijke verantwoordelijken voor dezelfde verwerking van persoonsgegevens verplicht om hun respectieve verplichtingen op transparante wijze vast te stellen om ervoor te zorgen dat aan de vereisten van deze verordening wordt voldaan. Een dergelijke verplichting zou echter onmogelijk zijn indien een van de voor die verwerking verantwoordelijken anoniem zou kunnen blijven ten opzichte van de andere.

• 102.

  Uit het voorgaande volgt dus dat de exploitant van een onlinemarktplaats, als degene die samen met de adverterende gebruiker verantwoordelijk is voor de verwerking van gevoelige gegevens in een advertentie die op zijn onlinemarktplaats wordt gepubliceerd, verplicht is om de identiteit van die adverterende gebruiker te achterhalen en na te gaan of deze gebruiker de persoon is wiens gevoelige gegevens in die advertentie zijn opgenomen.

• 103.

  In dit verband blijkt, zoals de advocaat-generaal in punt 132 van zijn conclusie in essentie heeft opgemerkt, uit overweging 75 AVG dat de verwerking van persoonsgegevens, met name in geval van identiteitsdiefstal, risico’s kan inhouden voor de rechten en vrijheden van de betrokkenen, die daardoor worden verhinderd controle over hun persoonsgegevens uit te oefenen. Over het algemeen wordt een identiteit namelijk misbruikt om frauduleuze handelingen te verrichten, ten nadele van de betrokkene of derden.

• 104.

  In die omstandigheden, en mede gelet op de overwegingen in de punten 95 en 96 van het onderhavige arrest, moet de exploitant van een onlinemarktplaats, om zich ervan te vergewissen dat de gevoelige gegevens in advertenties overeenkomstig de vereisten van de AVG worden verwerkt, overeenkomstig de artikelen 24 en 25 van deze verordening voorzien in passende technische en organisatorische maatregelen om hem niet alleen in staat te stellen om vóór de publicatie van die advertenties de identiteit van de adverterende gebruiker te achterhalen, maar ook om de identiteit van die gebruiker te verifiëren, met name om te kunnen bepalen of die gebruiker de persoon is wiens gevoelige gegevens in die advertenties zijn opgenomen. Dergelijke maatregelen moeten het met name mogelijk maken om, zoals de advocaat-generaal in punt 134 van zijn conclusie heeft opgemerkt, het risico van een onrechtmatige verwerking van de persoonsgegevens van de betrokkenen te beperken en het oneerlijke gebruik van een dergelijke onlinemarktplaats tegen te gaan, door het gevoel van straffeloosheid te beperken en aldus de adverterende gebruikers ertoe aan te zetten aan de vereisten van de AVG te voldoen wanneer zij advertenties met persoonsgegevens publiceren.

• 105.

  Wat ten slotte en in de derde plaats de vraag betreft of de exploitant van een onlinemarktplaats de publicatie van een advertentie met gevoelige gegevens moet weigeren wanneer – na controle van de identiteit van de adverterende gebruiker die deze advertentie wil plaatsen – blijkt dat hij niet de persoon is wiens gevoelige gegevens in die advertentie zijn opgenomen, moet worden vastgesteld dat uit de punten 98 en 99 van het onderhavige arrest volgt dat in een dergelijk geval niet kan worden uitgesloten dat die publicatie in strijd is met het in artikel 9, lid 1, AVG neergelegde verbod op de verwerking van dergelijke gegevens. Tenzij die adverterende gebruiker rechtens genoegzaam kan aantonen dat de betrokkene uitdrukkelijk toestemming heeft gegeven in de zin van dat artikel 9, lid 2, onder a), om de gegevens in kwestie op die onlinemarktplaats te publiceren of dat een van de andere uitzonderingen van artikel 9, lid 2, onder b) tot en met j), van toepassing is, moet de exploitant van die onlinemarktplaats de publicatie van de advertentie in kwestie dus weigeren. Dit moet hij garanderen door passende technische en organisatorische maatregelen te treffen.

• 106.

  Gelet op een en ander moet op de tweede en de derde vraag worden geantwoord dat artikel 5, lid 2, en de artikelen 24 tot en met 26 AVG aldus moeten worden uitgelegd dat de exploitant van een onlinemarktplaats, als verwerkingsverantwoordelijke in de zin van artikel 4, punt 7, AVG van persoonsgegevens die zijn opgenomen in advertenties die op zijn onlinemarktplaats worden gepubliceerd, gehouden is om, voorafgaand aan de publicatie van de advertenties en door middel van passende technische en organisatorische maatregelen,

  –        na te gaan welke advertenties gevoelige gegevens bevatten in de zin van artikel 9, lid 1, AVG,

  –        na te gaan of de adverterende gebruiker die een dergelijke advertentie wil plaatsen de persoon is wiens gevoelige gegevens in die advertentie zijn opgenomen en, indien dit niet het geval is,

  –        de publicatie ervan te weigeren, tenzij die adverterende gebruiker kan aantonen dat de betrokkene uitdrukkelijk toestemming heeft gegeven in de zin van dat artikel 9, lid 2, onder a), om de gegevens in kwestie op die onlinemarktplaats te publiceren of dat een van de andere uitzonderingen van artikel 9, lid 2, onder b) tot en met j), van toepassing is.

   Vierde vraag

• 107.

  Met zijn vierde vraag wenst de verwijzende rechter in essentie te vernemen of een exploitant van een onlinemarktplaats, als verwerkingsverantwoordelijke, verplicht is om zodanige beveiligingsmaatregelen te treffen dat advertenties met gevoelige gegevens die op zijn onlinemarktplaats worden gepubliceerd niet of slechts beperkt kunnen worden gekopieerd en herverspreid.

• 108.

  In casu blijkt uit het verzoek om een prejudiciële beslissing dat, ten eerste, de in het hoofdgeding aan de orde zijnde misleidende en schadelijke advertentie is overgenomen op andere websites met reclame-inhoud, waar deze advertentie op is gepubliceerd met vermelding van de oorspronkelijke bron, en, ten tweede, Russmedia zich in de algemene gebruiksvoorwaarden van haar onlinemarktplaats met name het recht voorbehoudt om de inhoud van de gepubliceerde advertenties te verzenden en deze aan partners over te dragen. In dit verband preciseert de verwijzende rechter niet of Russmedia deze advertentie vrijwillig aan die andere websites heeft verzonden of deze publicaties op zijn minst via overeenkomsten heeft toegestaan, dan wel of die publicaties integendeel het resultaat zijn van de omstandigheid dat de oorspronkelijke advertentie is gekopieerd, zonder dat Russmedia hier toestemming voor heeft gegeven.

• 109.

  Indien het eerste onderdeel van dit alternatief wordt aangetoond, zou deze verzending een nieuwe verwerking van persoonsgegevens vormen waarvoor Russmedia verantwoordelijk is in de zin van artikel 4, punt 7, AVG. Deze verwerking moet worden onderscheiden van de publicatie door de adverterende gebruiker van de in het hoofdgeding aan de orde zijnde misleidende en schadelijke advertentie op zijn onlinemarktplaats.

• 110.

  Om rekening te houden met de noodzaak om voor elke persoon die als verwerkingsverantwoordelijke van persoonsgegevens kan worden gekwalificeerd individueel te beoordelen welk niveau van verantwoordelijkheid hem kan worden toegerekend, moet namelijk een onderscheid worden gemaakt tussen de verschillende verwerkingen van persoonsgegevens die tot eenzelfde bewerkingsketen behoren. Dat is het gevolg van het feit dat een natuurlijke of rechtspersoon dus slechts als een van de gezamenlijke verwerkingsverantwoordelijken kan worden beschouwd indien hij zelfstandig voldoet aan de definitie van „verwerkingsverantwoordelijke” in artikel 4, punt 7, AVG (arrest van 5 december 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, punt 41 en aldaar aangehaalde rechtspraak).

• 111.

  Hieruit volgt dat wanneer persoonsgegevens verder worden verzonden in het kader van overeenkomsten betreffende verspreiding die zijn gesloten tussen de exploitant van de onlinemarktplaats, waarop de betrokken persoonsgegevens aanvankelijk zijn gepubliceerd, en de exploitanten van andere websites, eerstgenoemde exploitant in beginsel de enige verwerkingsverantwoordelijke voor die verzending is. In elk geval moet elke verwerkingsverantwoordelijke, alleen of gezamenlijk, voldoen aan alle uit de AVG voortvloeiende verplichtingen.

• 112.

  Na deze verduidelijkingen moet de vierde vraag aldus worden opgevat dat zij betrekking heeft op een geval waarin Russmedia de in het hoofdgeding aan de orde zijnde misleidende en schadelijke advertentie niet naar andere websites met reclame-inhoud heeft verzonden en dus geen toestemming heeft gegeven voor die latere publicaties.

• 113.

  Verder moet ook worden opgemerkt dat deze vraag in essentie betrekking heeft op de omvang van de beveiligingsverplichting die een verwerkingsverantwoordelijke van persoonsgegevens moet nakomen. De specifieke doelstelling van artikel 32 AVG is de beveiliging van de verwerking. Dat artikel geeft concreet vorm aan en verduidelijkt een specifiek aspect van de vereisten van artikel 24 van die verordening, dat samen met artikel 5, lid 2, van die verordening in algemene termen de verantwoordelijkheid van de verwerkingsverantwoordelijke bepaalt.

• 114.

  In die omstandigheden moet worden geoordeeld dat de verwijzende rechter met zijn vierde vraag in essentie wenst te vernemen of artikel 32 AVG aldus moet worden uitgelegd dat de exploitant van een onlinemarktplaats, als verwerkingsverantwoordelijke in de zin van artikel 4, punt 7, van deze verordening van persoonsgegevens die zijn opgenomen in advertenties die op zijn onlinemarktplaats worden gepubliceerd, verplicht is om beveiligingsmaatregelen te treffen die voorkomen dat gepubliceerde advertenties die gevoelige gegevens in de zin van artikel 9, lid 1, van die verordening bevatten, worden gekopieerd en onrechtmatig op andere websites worden gepubliceerd.

• 115.

  Artikel 32, lid 1, AVG bepaalt dat rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen, de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen treffen om een op het risico afgestemd beveiligingsniveau te waarborgen.

• 116.

  In artikel 32, lid 2, van die verordening is bepaald dat bij de beoordeling van het passende beveiligingsniveau met name rekening moet worden gehouden met de verwerkingsrisico’s, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot persoonsgegevens, hetzij per ongeluk hetzij onrechtmatig.

• 117.

  Het Hof heeft geoordeeld dat uit de verwijzing in artikel 32, leden 1 en 2, AVG naar „een op het risico afgestemd beveiligingsniveau” en een „passend veiligheidsniveau” blijkt dat deze verordening een risicobeheersysteem instelt en op geen enkele wijze beoogt de risico’s van inbreuken in verband met persoonsgegevens weg te nemen (arrest van 14 december 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punt 29).

• 118.

  Uit de bewoordingen van artikel 32 AVG, gelezen in samenhang met artikel 24 van die verordening, blijkt dus dat dit artikel 32 de verwerkingsverantwoordelijke enkel verplicht om technische en organisatorische maatregelen vast te stellen om elke inbreuk in verband met persoonsgegevens zo veel mogelijk te voorkomen. De vraag of dergelijke maatregelen passend zijn, moet concreet worden beoordeeld door te onderzoeken of deze verantwoordelijke bij de uitvoering van die maatregelen rekening heeft gehouden met de verschillende in die artikelen genoemde criteria en de behoeften van gegevensbescherming die specifiek inherent zijn aan de betrokken verwerking en de risico’s daarvan (zie in die zin arrest van 14 december 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punt 30).

• 119.

  In dit verband moet, om het concrete risico van de betrokken verwerking te bepalen, rekening worden gehouden met het eventuele gevoelige karakter van de verwerkte persoonsgegevens. Zoals in de punten 51 en 90 van het onderhavige arrest in herinnering is gebracht, houdt de verhoogde bescherming die artikel 9, lid 1, AVG voor bepaalde categorieën gegevens biedt wegens hun bijzondere gevoeligheid namelijk verband met het feit dat de verwerking van dergelijke gegevens op bijzonder ernstige wijze inbreuk kan maken op de door de artikelen 7 en 8 van het Handvest gewaarborgde grondrechten op eerbiediging van het privéleven en bescherming van persoonsgegevens (zie in die zin arrest van 21 december 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punt 41 en aldaar aangehaalde rechtspraak).

• 120.

  Zodra een advertentie met persoonsgegevens online staat en dus al algemeen toegankelijk is, brengt de verspreiding van die gegevens met name het risico met zich mee dat de controle over de betrokken persoonsgegevens verloren gaat, waardoor de rechten en waarborgen waarin de AVG ten gunste van de betrokkene voorziet – waaronder in de eerste plaats het in artikel 17 van die verordening bedoelde recht op gegevenswissing – van elk nuttig effect worden beroofd.

• 121.

  Wanneer gevoelige gegevens online worden gepubliceerd, is de verwerkingsverantwoordelijke krachtens artikel 32 AVG ook verplicht om alle technische en organisatorische maatregelen te treffen om een beveiligingsniveau te waarborgen dat het verlies van controle over die gegevens doeltreffend kan voorkomen.

• 122.

  In dit verband moet de verwerkingsverantwoordelijke met name rekening houden met alle beschikbare technische maatregelen in de huidige stand van de techniek die het kopiëren en reproduceren van online-inhoud kunnen blokkeren.

• 123.

  In herinnering moet echter nog worden gebracht dat de artikelen 24 en 32 AVG niet aldus kunnen worden begrepen dat het volstaat dat oorspronkelijk online gepubliceerde persoonsgegevens ongeoorloofd zijn verspreid om tot de slotsom te komen dat de door de betrokken verwerkingsverantwoordelijke getroffen maatregelen niet passend waren in de zin van deze bepalingen, zonder dat deze laatste ook maar de mogelijkheid wordt geboden om het tegenbewijs te leveren (arrest van 14 december 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punt 31).

• 124.

  In casu blijkt uit de verwijzingsbeslissing dat ondanks het feit dat de in het hoofdgeding aan de orde zijnde misleidende en schadelijke advertentie op de onlinemarktplaats van Russmedia is gewist, deze advertentie nog steeds online toegankelijk is op andere websites zonder dat verzoekster in het hoofdgeding de mogelijkheid heeft om die advertentie te laten wissen.

• 125.

  Het lijkt er echter op dat dit controleverlies zijn oorsprong vindt in de onrechtmatige eerste publicatie van de in het hoofdgeding aan de orde zijnde misleidende en schadelijke advertentie, welke publicatie in strijd is met de voorschriften van de AVG. Russmedia was hoe dan ook verplicht om passende technische en organisatorische maatregelen te treffen om een op het risico afgestemd beveiligingsniveau te waarborgen overeenkomstig artikel 32 AVG en om kopieën van die advertentie zo veel mogelijk te blokkeren. Het staat aan de verwijzende rechter om na te gaan of dit het geval was.

• 126.

  Gelet op een en ander moet op de vierde vraag worden geantwoord dat artikel 32 AVG aldus moet worden uitgelegd dat de exploitant van een onlinemarktplaats, als verwerkingsverantwoordelijke in de zin van artikel 4, punt 7, van deze verordening van persoonsgegevens die zijn opgenomen in advertenties die op zijn onlinemarktplaats worden gepubliceerd, verplicht is om passende technische en organisatorische beveiligingsmaatregelen te treffen om te voorkomen dat de gepubliceerde advertenties die gevoelige gegevens in de zin van artikel 9, lid 1, van die verordening bevatten, worden gekopieerd en onrechtmatig op andere websites worden gepubliceerd.

 Eerste vraag: uitlegging van richtlijn 2000/31

• 127.

  Zoals in de punten 45 en 46 van het onderhavige arrest is opgemerkt, wenst de verwijzende rechter nog te vernemen of de exploitant van een onlinemarktplaats, als verwerkingsverantwoordelijke in de zin van artikel 4, punt 7, AVG van persoonsgegevens die zijn opgenomen in advertenties die op zijn onlinemarktplaats worden gepubliceerd, zich ten aanzien van de niet-naleving van de verplichtingen die voortvloeien uit artikel 5, lid 2, alsmede de artikelen 24 tot en met 26 en 32 AVG en die zijn vastgesteld in de punten 106 en 126 van het onderhavige arrest, kan beroepen op de artikelen 12 tot en met 15 van richtlijn 2000/31 betreffende de aansprakelijkheid van dienstverleners die als tussenpersoon optreden.

• 128.

  Bijgevolg rijst de vraag naar de verhouding tussen deze twee instrumenten van Unierecht. In het bijzonder moet worden vastgesteld of de artikelen 12 tot en met 15 van richtlijn 2000/31 de aansprakelijkheidsregeling van de AVG nadelig kunnen beïnvloeden.

• 129.

  In dit verband zij ten eerste opgemerkt dat artikel 1, lid 5, onder b), van richtlijn 2000/31 preciseert dat deze richtlijn niet van toepassing is op kwesties in verband met diensten van de informatiemaatschappij die onder richtlijn 95/46 en richtlijn 97/66 vallen.

• 130.

  Deze bepaling is door het Hof aldus uitgelegd dat de vragen die verband houden met de bescherming van het vertrouwelijke karakter van communicatie en van persoonsgegevens moeten worden beoordeeld aan de hand van de AVG en richtlijn 2002/58/EG van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie) (PB 2002, L 201, blz. 37), die in de plaats zijn gekomen van respectievelijk richtlijn 95/46 en richtlijn 97/66, waarbij moet worden aangetekend dat de bescherming die richtlijn 2000/31 beoogt te verzekeren hoe dan ook geen afbreuk mag doen aan de vereisten die voortvloeien uit de AVG en richtlijn 2002/58 (arrest van 6 oktober 2020, La Quadrature du Net e.a., C‑511/18, C‑512/18 en C‑520/18, EU:C:2020:791, punt 200 en aldaar aangehaalde rechtspraak).

• 131.

  Hieruit volgt in het bijzonder dat het eventuele voordeel van de vrijstelling van artikel 14, lid 1, van richtlijn 2000/31 waarop de exploitant van een onlinemarktplaats zich zou kunnen beroepen met betrekking tot de op zijn website gehoste informatie, de regeling van de AVG die van toepassing is op een dergelijke exploitant en op elke andere marktdeelnemer die binnen de werkingssfeer van deze verordening valt, niet nadelig kan beïnvloeden.

• 132.

  Hetzelfde geldt voor artikel 15 van richtlijn 2000/31, op grond waarvan de lidstaten de dienstverleners met betrekking tot de levering van de in met name artikel 14 van deze richtlijn bedoelde diensten geen algemene toezichtverplichting mogen opleggen. Bovendien kan de verplichting voor de exploitant van een onlinemarktplaats om te voldoen aan de uit de AVG voortvloeiende vereisten hoe dan ook niet worden gekwalificeerd als een dergelijke algemene toezichtverplichting.

• 133.

  Ten tweede bepaalt artikel 2, lid 4, AVG dat deze verordening de toepassing van richtlijn 2000/31, en met name van de regels in de artikelen 12 tot en met 15 ervan betreffende de aansprakelijkheid van als tussenpersoon optredende dienstverleners, onverlet laat.

• 134.

  Dit artikel 2, lid 4, moet aldus worden uitgelegd dat het feit dat een exploitant de verplichtingen moet nakomen die voortvloeien uit de AVG, niet automatisch uitsluit dat deze exploitant zich kan beroepen op de artikelen 12 tot en met 15 van richtlijn 2000/31 voor kwesties die geen betrekking hebben op de bescherming van persoonsgegevens.

• 135.

  Uit een gezamenlijke lezing van artikel 1, lid 5, onder b), van richtlijn 2000/31 en artikel 2, lid 4, AVG volgt dus dat de bepalingen van deze richtlijn, met name de artikelen 12 tot en met 15, de regeling van deze verordening niet nadelig kunnen beïnvloeden.

• 136.

  Gelet op een en ander moet op de eerste vraag worden geantwoord dat artikel 1, lid 5, onder b), van richtlijn 2000/31 en artikel 2, lid 4, AVG aldus moeten worden uitgelegd dat de exploitant van een onlinemarktplaats, als verwerkingsverantwoordelijke in de zin van artikel 4, punt 7, AVG van persoonsgegevens die zijn opgenomen in advertenties die op zijn onlinemarktplaats worden gepubliceerd, zich ten aanzien van de niet-naleving van de verplichtingen die voortvloeien uit artikel 5, lid 2, alsmede de artikelen 24 tot en met 26 en 32 AVG, niet kan beroepen op de artikelen 12 tot en met 15 van die richtlijn betreffende de aansprakelijkheid van dienstverleners die als tussenpersoon optreden.

 Kosten

• 137.

  Ten aanzien van de partijen in het hoofdgeding is de procedure als een aldaar gerezen incident te beschouwen, zodat de verwijzende rechter over de kosten heeft te beslissen. De door anderen wegens indiening van hun opmerkingen bij het Hof gemaakte kosten komen niet voor vergoeding in aanmerking.

  Het Hof (Grote kamer) verklaart voor recht:

  1)      Artikel 5, lid 2, en de artikelen 24 tot en met 26, van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming)

  moeten aldus worden uitgelegd dat

  de exploitant van een onlinemarktplaats, als verwerkingsverantwoordelijke in de zin van artikel 4, punt 7, AVG van persoonsgegevens die zijn opgenomen in advertenties die op zijn onlinemarktplaats worden gepubliceerd, gehouden is om, voorafgaand aan de publicatie van de advertenties en door middel van passende technische en organisatorische maatregelen,

  –        na te gaan welke advertenties gevoelige gegevens bevatten in de zin van artikel 9, lid 1, AVG,

  –        na te gaan of de adverterende gebruiker die een dergelijke advertentie wil plaatsen de persoon is wiens gevoelige gegevens in die advertentie zijn opgenomen en, indien dit niet het geval is,

  –        de publicatie ervan te weigeren, tenzij die adverterende gebruiker kan aantonen dat de betrokkene uitdrukkelijk toestemming heeft gegeven in de zin van dat artikel 9, lid 2, onder a), om de gegevens in kwestie op die onlinemarktplaats te publiceren of een van de andere uitzonderingen van artikel 9, lid 2, onder b) tot en met j), van toepassing is.

  2)      Artikel 32 van verordening 2016/679

  moet aldus worden uitgelegd dat

  de exploitant van een onlinemarktplaats, als verwerkingsverantwoordelijke in de zin van artikel 4, punt 7, van deze verordening van persoonsgegevens die zijn opgenomen in advertenties die op zijn onlinemarktplaats worden gepubliceerd, verplicht is om passende technische en organisatorische beveiligingsmaatregelen te treffen om te voorkomen dat de gepubliceerde advertenties die gevoelige gegevens in de zin van artikel 9, lid 1, van die verordening bevatten, worden gekopieerd en onrechtmatig op andere websites worden gepubliceerd.

  3)      Artikel 1, lid 5, van richtlijn 2000/31/EG van het Europees Parlement en de Raad van 8 juni 2000 betreffende bepaalde juridische aspecten van de diensten van de informatiemaatschappij, met name de elektronische handel, in de interne markt („richtlijn inzake elektronische handel”) en artikel 2, lid 4, van verordening 2016/679

  moeten aldus worden uitgelegd dat

  de exploitant van een onlinemarktplaats, als verwerkingsverantwoordelijke in de zin van artikel 4, punt 7, van verordening 2016/679 van persoonsgegevens die zijn opgenomen in advertenties die op zijn onlinemarktplaats worden gepubliceerd, zich ten aanzien van de niet-naleving van de verplichtingen die voortvloeien uit artikel 5, lid 2, alsmede de artikelen 24 tot en met 26 en 32 van die verordening, niet kan beroepen op de artikelen 12 tot en met 15 van die richtlijn betreffende de aansprakelijkheid van dienstverleners die als tussenpersoon optreden.

  ondertekeningen

  * Procestaal: Roemeens.