Russmedia Digital (C-492/23): skärpt personuppgiftsansvar för onlineplattformar enligt GDPR

3 minuter läsning • Simon • DATASKYDDSFöRORDNINGEN • 2 december 2025
  1. Personuppgiftsansvar och gemensamt ansvar
  2. Känsliga personuppgifter kräver proaktiv kontroll
  3. Säkerhet och kopiering enligt artikel 32
  4. Konsekvenser för svenska plattformar

EU-domstolens dom i Russmedia-målet (C-492/23) skärper GDPR-ansvaret för den som driver digitala marknadsplatser och andra onlineplattformar, och är särskilt relevant för en GDPR-jurist. Domstolen slår fast att operatören av plattformen är personuppgiftsansvarig för personuppgifter i användarnas annonser – även när plattformen inte själv skapat eller valt innehållet.

Personuppgiftsansvar och gemensamt ansvar

Det avgörande är att annonsen blir offentlig just genom plattformen, och att operatören av plattformen kommersiellt utnyttjar personuppgifterna. Plattformen och annonsören ses då normalt som gemensamt personuppgiftsansvariga enligt GDPR.

Därmed kan plattformen inte beskriva sig som enbart en “teknisk mellanhand” eller personuppgiftsbiträde. Ansvaret omfattar bland annat ansvarsprincipen (artikel 5.2), artiklarna 24–26 samt artikel 32 om säkerhet.

Känsliga personuppgifter kräver proaktiv kontroll

För annonser som kan innehålla känsliga personuppgifter enligt artikel 9 GDPR ställer domen upp tydliga ex ante-krav. Innan en sådan annons publiceras ska plattformsoperatören:

  • bedöma om känsliga uppgifter förekommer (enligt artikel 9.1 i GDPR),
  • kontrollera om annonsören är den registrerade, och
  • om inte – säkerställa att uttryckligt samtycke eller annan grund enligt artikel 9.2 finns.

Saknas stöd för behandlingen ska plattformen vägra publicera annonsen. Domstolen tydliggör därmed att personuppgiftsansvaret innefattar proaktiva identitetskontroller och fastställandet av legal grund.

Säkerhet och kopiering enligt artikel 32

När känsliga uppgifter väl publicerats kan de snabbt kopieras och spridas utanför plattformens kontroll. Mot den bakgrunden kopplar domstolen ansvaret till artikel 32 GDPR: plattformar ska vidta lämpliga tekniska och organisatoriska åtgärder för att minska risken för kopiering, scraping och otillåten vidarepublicering.

Konsekvenser för svenska plattformar

För svenska aktörer som driver köp- och säljsajter, jobbportaler, bostadsplattformar eller liknande innebär domen att användarvillkor inte räcker för att “flytta över” ansvaret på användarna. Följande åtgärder kan övervägas:

  • kartlägga när plattformen är (gemensamt) personuppgiftsansvarig,
  • bygga in spärrar och kontroller i annonsflödet, särskilt för känsliga uppgifter,
  • uppdatera information, avtal och eventuella arrangemang om gemensamt personuppgiftsansvar, och
  • stärka säkerhetsåtgärder mot kopiering och vidare spridning.

Sammanfattningsvis markerar Russmedia-domen att onlineplattformar måste ta ett aktivt och dokumenterat ansvar för personuppgifter i användargenererat annonsinnehåll, i synnerhet när känsliga uppgifter kan förekomma.

På Morling Consulting hjälper våra GDPR-jurister företag och organisationer att tolka nya EU-domar, analysera personuppgiftsansvar och bygga in GDPR-efterlevnad i produkter, avtal och interna processer.

Senaste inlägg

Två personer skakar hand över ett avtal.

12 december 2025

Så vet du när du behöver stöd av en affärsjurist
Läs mer
tre personer står över ett bord och diskuterar något som finns på en datorskärm.

12 december 2025

När det känns som att GDPR tar all fokus – hyr in en konsult
Läs mer
Bilden visar tre personer i kostym sitter och diskuterar ett dokument.

9 december 2025

Så påverkar penningtvättslagen finansiell reglerad verksamhet
Läs mer