Суд Європейського Союзу ухвалив рішення, яке фактично робить неможливим законне функціонування будь-якого вебресурсу на території ЄС, якщо він дозволяє публікувати контент користувачам. Йдеться про тлумачення, що розширює відповідальність платформ до такого рівня, що виконати ці вимоги технічно або організаційно практично неможливо.
Сучасний інтернет еволюціонував в формат Веб 2.0, який передбачає, що контент на сайтах розміщуватиметься силами користувачів, а не адміністрації сайту. Саме формат Веб 2.0 змусив майже кожен сайт в інтернеті трансформуватися в соцмережу, де користувачі активно спілкуються та діляться контентом.
Питання відповідальності сайтів за опублікований на них контент обговорюється десятиліттями. Американська модель, закріплена в розділі 230, передбачає, що відповідальність має нести той, хто створив незаконний контент, а не платформа, яка його розмістила. ЄС традиційно застосовує жорсткіші підходи, спочатку через Директиву про електронну комерцію, а нині через Регламент про цифрові послуги. Проте навіть ці підходи не наближалися до того, що було закріплено в рішенні Суду цього тижня.
Справу ініціювала позивачка, щодо якої невідома третя особа розмістила неправдиве та шкідливе оголошення сексуального характеру, використавши її фотографії та номер телефону без згоди. Платформа Russmedia Digital видалила оголошення менше ніж за годину після отримання скарги, однак копії вже були розміщені на інших сайтах.
Румунський суд першої інстанції визнав, що Russmedia не може бути відповідальною, оскільки лише надавала хостинг без участі у створенні оголошення, а також оперативно видалила контент. Проте Суд ЄС у своєму рішенні дійшов висновку, що через наявність «чутливих персональних даних» у оголошенні платформа фактично є «спільним контролером персональних даних» відповідно до GDPR. Це означає застосування повного комплексу вимог щодо контролерів даних і різке відкидання базових принципів обмеженої відповідальності посередників.
Під час тлумачення Суд ЄС заявив, що оператор платформи не може уникати статусу контролера лише тому, що сам не створював оголошення. Таким чином будь-який сайт з користувацьким контентом може бути визнаний відповідальним за будь-які персональні дані в контенті, навіть якщо сайт дізнається про це постфактум і навіть якщо контент було негайно видалено після скарги.
Платформи мають, за логікою рішення, запровадити попередню перевірку будь-якого контенту до його публікації. Це фактично накладає вимогу здійснювати загальний моніторинг усіх матеріалів, включно з визначенням наявності чутливих категорій персональних даних. Також платформи повинні збирати ідентифікаційні дані всіх користувачів, щоб переконатися, що вони публікують власні дані, а не чужі. Крім того, платформа, згідно з рішенням, повинна вживати всіх можливих технічних заходів, щоб запобігти копіюванню або поширенню контенту третіми сторонами, що технічно є недосяжною вимогою.
У самому рішенні прямо зазначено, що оператори мають створювати відповідні технічні та організаційні механізми для виявлення чутливих даних ще до публікації оголошень, а також зобов’язані верифікувати користувача, який розміщує такі дані, щоб підтвердити, що йдеться саме про суб’єкта цих даних. Анонімність у такій моделі стає неможливою.
Окремий аспект рішення вимагає, щоб платформи блокували можливість копіювання та відтворення контенту іншими сайтами, хоча інтернет технологічно функціонує саме на можливості обміну та відтворення даних.
Наслідки такого підходу створюють ситуацію, у якій жодна платформа не може повністю відповідати вимогам. Єдиними реалістичними варіантами залишаються ігнорування рішення, закриття діяльності в ЄС або повне блокування доступу з ЄС. Проте така модель призводить до стану, коли норми застосовуються вибірково, а компанії змушені працювати в умовах невизначеності та ризику штрафів.
У рішенні використовуються положення GDPR, які вимагають обробляти персональні дані законно, точно і прозоро, забезпечувати їхню актуальність, безпеку та недопущення несанкціонованої обробки. Обов’язок дотримання цих вимог покладено на контролера незалежно від того, хто створив контент і чи мав контролер можливість вплинути на його появу.
Таким чином, згідно з рішенням Суду ЄС, будь-яка платформа, що дозволяє користувачам публікувати інформацію, повинна попередньо сканувати контент, визначати наявність чутливих персональних даних, збирати та перевіряти особистість кожного автора і запобігати будь-якому подальшому копіюванню матеріалу іншими ресурсами. Функціональна робота відкритого інтернету при таких умовах стає фактично неможливою.
