HvJ EU, 06-02-2025, nr. C-492/23

In de overwegingen 14, 42, 46 en 52 van richtlijn 2000/31 staat te lezen:

Artikel 1 (‘Doel en toepassingsgebied’) van richtlijn 2000/31 bepaalt:

Afdeling 4 (‘Aansprakelijkheid van dienstverleners die als tussenpersoon optreden’) in hoofdstuk II van richtlijn 2000/31 bevatte in de versie die van toepassing is op het hoofdgeding de artikelen 12 tot en met 15. De artikelen 12 en 13 hadden volgens het opschrift ervan betrekking op het ‘‘[m]ere conduit’ (doorgeefluik)’ en de ‘‘[c]aching’ (wijze van opslag)’.

In artikel 14, met als opschrift ‘‘Hosting’ (‘host’-diensten)’, van die richtlijn is bepaalde:

Artikel 15 (‘Geen algemene toezichtverplichting’) van deze richtlijn bepaalde in de leden 1 en 2:

De overwegingen 4, 10, 39, 51, 74, 75, 78 en 85 AVG luiden:

Artikel 1 (‘Onderwerp en doelstellingen’) van deze verordening bepaalt in lid 2:

Artikel 2 AVG (‘Materieel toepassingsgebied’) bepaalt in lid 4:

Artikel 4 AVG (‘Definities’) luidt als volgt:

Hoofdstuk II AVG (‘Beginselen’) bevat onder meer de artikelen 5 tot en met 9.

Artikel 5 (‘Beginselen inzake verwerking van persoonsgegevens’) van deze verordening bepaalt:

Artikel 6 AVG (‘Rechtmatigheid van de verwerking’) bepaalt in lid 1:

In artikel 7 AVG (‘Voorwaarden voor toestemming’) staat in lid 1 te lezen:

In artikel 9 AVG (‘Verwerking van bijzondere categorieën van persoonsgegevens’) is bepaald:

Artikel 13 AVG (‘Te verstrekken informatie wanneer persoonsgegevens bij de betrokkene worden verzameld’) bepaalt in lid 1, onder a):

In artikel 14 (‘Te verstrekken informatie wanneer de persoonsgegevens niet van de betrokkene zijn verkregen’) van die verordening staat in lid 1, onder a), het volgende te lezen:

Artikel 17 AVG, met als opschrift ‘Recht op gegevenswissing (‘recht op vergetelheid’)’, is opgenomen in hoofdstuk III (‘Rechten van de betrokkene’) en bepaalt in de leden 1 en 2:

Hoofdstuk IV (‘Verwerkingsverantwoordelijke en verwerker’) van die verordening bevat onder afdeling 1 (‘Algemene verplichtingen’) met name de artikelen 24 tot en met 26.

In artikel 24 (‘Verantwoordelijkheid van de verwerkingsverantwoordelijke’) van die verordening is in lid 1 bepaald:

Artikel 25 AVG (‘Gegevensbescherming door ontwerp en door standaardinstellingen’) bepaalt in de leden 1 en 2:

Artikel 26 AVG (‘Gezamenlijke verwerkingsverantwoordelijken’) bepaalt in lid 1:

Artikel 32 AVG (‘Beveiliging van de verwerking’) luidt als volgt:

Artikel 82 (‘Recht op schadevergoeding en aansprakelijkheid’) van die verordening bepaalt in de leden 1 tot en met 3:

Artikel 94 AVG luidt als volgt:

Om te beginnen moet in de eerste plaats worden opgemerkt dat uit het verzoek om een prejudiciële beslissing blijkt dat verzoekster in het hoofdgeding in de advertentie in kwestie werd voorgesteld als een aanbieder van seksuele diensten en dat deze advertentie met name foto's van verzoekster bevatte die zonder haar toestemming werden gebruikt, alsook haar telefoonnummer.

Het staat vast dat dergelijke informatie persoonsgegevens in de zin van artikel 4, punt 1, AVG zijn, die worden gedefinieerd als ‘alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon’, waarbij verder wordt gepreciseerd dat ‘als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon’.

Volgens vaste rechtspraak wijst het gebruik van de woorden ‘alle informatie’ in de definitie van het begrip ‘persoonsgegevens’ in artikel 4, lid 1, AVG namelijk op de wil van de Uniewetgever om een ruime betekenis te geven aan dit begrip, dat zich potentieel uitstrekt tot elk soort informatie, zowel objectieve informatie als subjectieve informatie, in de vorm van meningen of beoordelingen, op voorwaarde dat deze informatie de betrokkene ‘betreft’. Informatie heeft betrekking op een geïdentificeerde of identificeerbare persoon wanneer die informatie wegens de inhoud, het doel of het gevolg ervan gelieerd is aan een identificeerbare persoon [arrest van 3 april 2025, Ministerstvo zdravotnictví (Gegevens betreffende de vertegenwoordiger van een rechtspersoon), C-710/23, EU:C:2025:231, punt 21 en aldaar aangehaalde rechtspraak].

Bovendien voorziet artikel 9, lid 1, AVG in een speciale beschermingsregeling voor bijzondere categorieën van gegevens, waaronder die met betrekking tot iemands seksueel gedrag of seksuele gerichtheid.

Het Hof heeft verduidelijkt dat artikel 9, lid 1, AVG beoogt een verhoogde bescherming te bieden tegen verwerkingen die, wegens de bijzondere gevoeligheid van de gegevens die er het voorwerp van zijn, op bijzonder ernstige wijze inbreuk kunnen maken op de door de artikelen 7 en 8 van het Handvest gewaarborgde grondrechten op eerbiediging van het privéleven en bescherming van persoonsgegevens (arrest van 21 december 2023, Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, punt 41 en aldaar aangehaalde rechtspraak).

Een dergelijke verhoogde bescherming vereist noodzakelijkerwijs een ruime definitie van dergelijke ‘gevoelige gegevens’. Het Hof heeft geoordeeld dat artikel 9, lid 1, AVG niet alleen geldt voor verwerkingen die zien op de intrinsiek gevoelige gegevens waarop die bepaling betrekking heeft, maar dus ook op verwerkingen die zien op gegevens waaruit dergelijke informatie indirect, door beredeneerde deductie of vergelijking kan worden afgeleid [arrest van 5 juni 2023, Commissie/Polen (Onafhankelijkheid en privéleven van rechters), C-204/21, EU:C:2023:442, punt 344 en aldaar aangehaalde rechtspraak].

In het kader van deze ruime definitie kan het bedrieglijke en schadelijke karakter van gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid niet tot gevolg hebben dat die gegevens niet als ‘gevoelige gegevens’ in de zin van artikel 9, lid 1, AVG kunnen worden gekwalificeerd.

In de tweede plaats moet worden opgemerkt dat de verwerking in het hoofdgeding bestaat uit de publicatie van die advertentie en dus van die gegevens op de onlinemarktplaats van Russmedia. De verrichting die erin bestaat persoonsgegevens weer te geven op een website, is immers een verwerking in de zin van artikel 4, punt 2, AVG (arrest van 1 augustus 2022, Vyriausioji tarnybinės etikos komisija, C-184/20, EU:C:2022:601, punt 65 en aldaar aangehaalde rechtspraak).

In de derde plaats moet worden opgemerkt dat de tweede tot en met de vierde vraag verwijzen naar het feit dat de exploitant van de in het hoofdgeding aan de orde zijnde onlinemarktplaats verantwoordelijk is voor de verwerking van persoonsgegevens. De persoonsgegevens waarvan de publicatie aan de orde is in het hoofdgeding, blijken in de advertentie in kwestie te zijn ingevoegd door een anonieme adverterende gebruiker, zonder dat die exploitant concrete invloed heeft uitgeoefend op de inhoud van die advertentie en zonder dat deze zich bewust was van de misleidende en schadelijke aard ervan. In die omstandigheden moeten de begrippen ‘verwerkingsverantwoordelijke’ en ‘gezamenlijke verantwoordelijken’ in de zin van respectievelijk artikel 4, punt 7, en artikel 26 AVG worden verduidelijkt.

Artikel 4, punt 7, AVG geeft een ruime uitlegging aan het begrip ‘verwerkingsverantwoordelijke’, waarmee wordt gedoeld op een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

Het doel van deze ruime uitlegging, in overeenstemming met dat van de AVG, bestaat erin een doeltreffende bescherming van de fundamentele rechten en vrijheden van natuurlijke personen te waarborgen en een hoog niveau van bescherming van het recht van eenieder op bescherming van zijn persoonsgegevens (arrest van 5 december 2023, Nacionalinis visuomenės sveikatos centras, C-683/21, EU:C:2023:949, punt 29 en aldaar aangehaalde rechtspraak).

Een natuurlijke of rechtspersoon die voor eigen doeleinden invloed uitoefent op de verwerking van dergelijke gegevens en daardoor deelneemt aan de vaststelling van het doel van en de middelen voor de verwerking, kan dus worden geacht voor die verwerking verantwoordelijk te zijn (arrest van 5 december 2023, Nacionalinis visuomenės sveikatos centras, C-683/21, EU:C:2023:949, punt 30 en aldaar aangehaalde rechtspraak).

Bovendien ziet het begrip ‘verwerkingsverantwoordelijke’ — zoals uitdrukkelijk is bepaald in artikel 4, punt 7, AVG — op een orgaan dat ‘alleen of samen met anderen’ het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt, zodat dit begrip niet noodzakelijkerwijs verwijst naar één enkel orgaan en betrekking kan hebben op meerdere deelnemers aan deze verwerking, die dan alle onder de bepalingen inzake gegevensbescherming vallen (zie in die zin arrest van 29 juli 2019, Fashion ID, C-40/17, EU:C:2019:629, punt 67 en aldaar aangehaalde rechtspraak).

Artikel 26 AVG, dat deel uitmaakt van de definitie van ‘verwerkingsverantwoordelijke’ in artikel 4, punt 7, van deze verordening, bepaalt in essentie dat wanneer twee of meer verwerkingsverantwoordelijken gezamenlijk de doeleinden en de middelen van de verwerking bepalen, zij als ‘gezamenlijke verwerkingsverantwoordelijken’ moeten worden aangemerkt.

Voor een dergelijke gezamenlijke verantwoordelijkheid is niet noodzakelijkerwijs vereist dat er gezamenlijke besluiten worden genomen over de vaststelling van de doeleinden en de middelen van de verwerking van de betrokken persoonsgegevens. Het Hof heeft namelijk geoordeeld dat de deelname aan de vaststelling van dat doel van en die middelen voor de verwerking verschillende vormen kan aannemen; zij kan zowel het resultaat zijn van een gezamenlijk besluit van twee of meer entiteiten als resulteren uit convergerende besluiten van die entiteiten, zodat elk ervan een concreet effect heeft op de vaststelling van dat doel van en die middelen voor de verwerking (zie in die zin arrest van 5 december 2023, Nacionalinis visuomenės sveikatos centras, C-683/21, EU:C:2023:949, punt 43 en aldaar aangehaalde rechtspraak).

In dit verband vooronderstelt de omstandigheid dat meerdere deelnemers op grond van artikel 4, punt 7, AVG verantwoordelijk zijn voor dezelfde verwerking niet dat ieder van hen toegang heeft tot de betrokken persoonsgegevens (arresten van 29 juli 2019, Fashion ID, C-40/17, EU:C:2019:629, punt 69 en aldaar aangehaalde rechtspraak, en 5 december 2023, Nacionalinis visuomenės sveikatos centras, C-683/21, EU:C:2023:949, punt 42).

Tegen dezelfde achtergrond heeft het Hof geoordeeld dat het bestaan van een gezamenlijke verantwoordelijkheid niet noodzakelijkerwijs leidt tot een gelijkwaardige verantwoordelijkheid van de verschillende deelnemers aan de verwerking van persoonsgegevens. Integendeel, deze deelnemers kunnen in verschillende stadia en in verschillende mate bij deze verwerking betrokken zijn, zodat bij de beoordeling van het niveau van verantwoordelijkheid van ieder van hen rekening moet worden gehouden met alle relevante omstandigheden van het concrete geval (zie in die zin arresten van 10 juli 2018, Jehovan todistajat, C-25/17, EU:C:2018:551, punt 66 en aldaar aangehaalde rechtspraak, en 5 december 2023, Nacionalinis visuomenės sveikatos centras, C-683/21, EU:C:2023:949, punt 42).

In casu staat vast dat de adverterende gebruiker, die de misleidende en schadelijke advertentie met persoonsgegevens van verzoekster in het hoofdgeding op de door Russmedia geëxploiteerde onlinemarktplaats heeft geplaatst, moet worden geacht primair de doelstellingen en de middelen voor de verwerking van die gegevens te hebben vastgesteld en dus onder het begrip ‘verwerkingsverantwoordelijke’ in de zin van artikel 4, punt 7, AVG valt.

Niettemin staat vast dat deze advertentie alleen op internet is gepubliceerd en dus voor internetgebruikers toegankelijk is gemaakt dankzij de door Russmedia geëxploiteerde onlinemarktplaats.

Hoewel uit de in punt 58 van het onderhavige arrest aangehaalde rechtspraak blijkt dat een persoon slechts als ‘verwerkingsverantwoordelijke’ van persoonsgegevens kan worden gekwalificeerd indien hij voor eigen doeleinden invloed uitoefent op de verwerking, moet echter worden vastgesteld dat dit met name het geval kan zijn wanneer de exploitant van een onlinemarktplaats de betrokken persoonsgegevens voor commerciële of reclamedoeleinden publiceert die verder gaan dan de loutere verrichting van de dienst die hij ten behoeve van de adverterende gebruiker verricht.

In casu blijkt uit de verwijzingsbeslissing dat Russmedia advertenties op haar onlinemarktplaats plaatst voor haar eigen commerciële doeleinden. In dit verband bieden de algemene voorwaarden voor het gebruik van deze marktplaats Russmedia een grote vrijheid om de op die marktplaats gepubliceerde informatie te gebruiken. Volgens de aanwijzingen van de verwijzende rechter behoudt Russmedia zich met name het recht voor om de gepubliceerde inhoud te gebruiken, verspreiden, verzenden, reproduceren, wijzigen, vertalen, aan partners over te dragen of op enigerlei moment te wissen, zonder daarvoor een ‘geldige reden’ te hebben. Russmedia publiceert de in de advertenties opgenomen persoonsgegevens dus niet of niet alleen voor rekening van de adverterende gebruikers, maar verwerkt die gegevens en kan die voor eigen reclame- en commerciële doeleinden exploiteren.

Derhalve moet worden geoordeeld dat Russmedia voor eigen doeleinden invloed heeft uitgeoefend op de online publicatie van de persoonsgegevens van verzoekster in het hoofdgeding en daardoor heeft deelgenomen aan de vaststelling van de doeleinden van die publicatie en dus van de betrokken verwerking.

Aan deze vaststelling wordt niet afgedaan door het feit dat Russmedia kennelijk niet heeft deelgenomen aan de vaststelling van de misleidende en schadelijke doelstelling die de adverterende gebruiker met de publicatie van de in het hoofdgeding aan de orde zijnde advertentie heeft nagestreefd. Russmedia heeft namelijk bijgedragen aan de vaststelling van de doelstelling van de verwerking, te weten de persoonsgegevens in de betrokken advertentie toegankelijk te maken voor internetgebruikers, om zo profijt uit deze publicaties te halen. Bovendien heeft Russmedia, door toe te staan dat advertenties anoniem op haar onlinemarktplaats werden geplaatst, de publicatie van dergelijke gegevens zonder toestemming van de betrokkene vergemakkelijkt.

Voorts heeft Russmedia, door haar onlinemarktplaats die voor de publicatie van de in het hoofdgeding aan de orde zijnde advertentie heeft gediend ter beschikking van de adverterende gebruiker te stellen, deelgenomen aan de vaststelling van de middelen van die publicatie.

Het Hof heeft in essentie reeds geoordeeld dat aan de vaststelling van de middelen van een verwerking immers wordt deelgenomen wanneer de natuurlijke of rechtspersoon op beslissende wijze invloed uitoefent op het verzamelen en doorzenden van persoonsgegevens, of wanneer degene die door het vastleggen van instellingen naargelang van zijn doelstellingen voor het beheer of de promotie van zijn activiteiten invloed uitoefent op de verwerking van dergelijke gegevens (zie in die zin arresten van 5 juni 2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388, punt 36, en 29 juli 2019, Fashion ID, C-40/17, EU:C:2019:629, punt 78). Hetzelfde geldt voor een zoekmachine wanneer haar activiteit van doorslaggevend belang is bij de wereldwijde verspreiding van de persoonsgegevens, doordat deze activiteit die gegevens georganiseerd en samengevoegd online toegankelijk maakt voor het publiek [zie in die zin arrest van 8 december 2022, Google (Verwijdering van links naar beweerdelijk onjuiste inhoud), C-460/20, EU:C:2022:962, punt 50 en aldaar aangehaalde rechtspraak].

Derhalve moet worden vastgesteld dat wanneer de exploitant van een onlinemarktplaats zoals Russmedia de parameters voor de verspreiding van advertenties die persoonsgegevens kunnen bevatten op basis van het doelpubliek vaststelt, de weergave, de duur van deze verspreiding of de rubrieken waarin de gepubliceerde informatie wordt gestructureerd vaststelt, of de rangschikking organiseert die zal bepalen op welke wijze de advertenties worden verspreid, hij deelneemt aan de vaststelling van de essentiële middelen voor de publicatie van de betrokken persoonsgegevens, waardoor hij de algemene verspreiding van die gegevens op beslissende wijze beïnvloedt.

In dit verband kan de inhoud van de algemene gebruiksvoorwaarden van de betrokken onlinemarktplaats aanwijzingen opleveren dat de exploitant van die marktplaats een beslissende invloed uitoefent op de betrokken verwerking van persoonsgegevens en aldus de middelen voor die verwerking vaststelt. Dit lijkt het geval te zijn met de algemene gebruiksvoorwaarden van de onlinemarktplaats van Russmedia, waarin deze vennootschap zich met name het recht voorbehoudt om de informatie in de advertenties, met inbegrip van de daarin opgenomen persoonsgegevens, te verspreiden, verzenden, publiceren, wissen of reproduceren.

Hoe dan ook kan de exploitant van een onlinemarktplaats niet aan zijn aansprakelijkheid als verwerkingsverantwoordelijke van persoonsgegevens ontsnappen op grond dat hij niet zelf de inhoud van de op die marktplaats gepubliceerde advertentie heeft bepaald. Het zou namelijk niet alleen in strijd zijn met de duidelijke bewoordingen, maar ook met het doel van artikel 4, punt 7, AVG — dat erin bestaat om door middel van een ruime definitie van het begrip ‘verwerkingsverantwoordelijke’ een doeltreffende en volledige bescherming van de betrokkenen te waarborgen — om een dergelijke exploitant louter op die grond van die definitie uit te sluiten.

Bijgevolg moet worden vastgesteld dat de verwijzende rechter zijn tweede tot en met vierde vraag terecht heeft gebaseerd op de veronderstelling dat de exploitant van de onlinemarktplaats in een situatie als aan de orde in het hoofdgeding, in de zin van artikel 4, punt 7, AVG verantwoordelijk is voor de verwerking van de persoonsgegevens die zijn opgenomen in een op die onlinemarktplaats gepubliceerde advertentie.

Het is in het licht van alle voorgaande inleidende opmerkingen dat deze vragen moeten worden beantwoord.

Met zijn tweede en derde vraag, die samen moeten worden onderzocht, wenst de verwijzende rechter in essentie te vernemen of artikel 5, lid 2, en de artikelen 24 tot en met 26 AVG aldus moeten worden uitgelegd dat de exploitant van een onlinemarktplaats, als verwerkingsverantwoordelijke in de zin van artikel 4, punt 7, AVG van persoonsgegevens die zijn opgenomen in advertenties die op zijn onlinemarktplaats worden gepubliceerd, vóór de publicatie ervan moet nagaan welke advertenties gevoelige gegevens bevatten in de zin van artikel 9, lid 1, AVG, of de adverterende gebruiker die een dergelijke advertentie wil plaatsen de persoon is wiens gevoelige gegevens daarin staan en, indien dit niet het geval is, bij gebrek aan uitdrukkelijke toestemming van de betrokkene de publicatie ervan moet weigeren, voor zover die publicatie zou kunnen leiden tot een ernstige schending van de door de artikelen 7 en 8 van het Handvest gewaarborgde rechten van die betrokkene op eerbiediging van het privéleven en op bescherming van zijn persoonsgegevens.

Overeenkomstig artikel 1, lid 2, AVG, gelezen in het licht van de overwegingen 4 en 10 ervan, heeft deze verordening met name tot doel een hoog niveau van bescherming van de fundamentele vrijheden en de grondrechten van natuurlijke personen te waarborgen in verband met de verwerking van persoonsgegevens, welk recht tevens is erkend in artikel 8 van het Handvest en nauw samenhangt met het in artikel 7 van het Handvest neergelegde recht op eerbiediging van het privéleven (zie in die zin arrest van 1 augustus 2022, Vyriausioji tarnybinės etikos komisija, C-184/20, EU:C:2022:601, punt 61 en aldaar aangehaalde rechtspraak).

Daartoe zijn, in de eerste plaats, in hoofdstuk II AVG de beginselen geformuleerd die van toepassing zijn op de verwerking van persoonsgegevens die de verwerkingsverantwoordelijke moet eerbiedigen. Met name moet elke verwerking van persoonsgegevens in overeenstemming zijn met de in de artikelen 5 en 6 van deze verordening neergelegde beginselen inzake gegevensverwerking en met de voorwaarden voor rechtmatigheid van de verwerking (zie in die zin arrest van 1 augustus 2022, Vyriausioji tarnybinės etikos komisija, C-184/20, EU:C:2022:601, punt 62 en aldaar aangehaalde rechtspraak).

Overeenkomstig artikel 5, lid 1, onder a), AVG moeten persoonsgegevens worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is. Artikel 5, lid 1, onder d), AVG voegt hieraan toe dat persoonsgegevens juist moeten zijn en zo nodig moeten worden geactualiseerd. Daartoe moeten alle redelijke maatregelen worden genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren. Artikel 5, lid 1, onder f), van die verordening bepaalt dat persoonsgegevens op een dusdanige manier moeten worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking.

Wat de rechtmatigheidsvoorwaarden van de verwerking betreft, heeft het Hof geoordeeld dat artikel 6, lid 1, eerste alinea, AVG een uitputtende en limitatieve lijst bevat van de gevallen waarin de verwerking van persoonsgegevens als rechtmatig kan worden aangemerkt. Een verwerking moet dus vallen onder een van de in deze bepaling bedoelde gevallen (zie in die zin arrest van 9 januari 2025, Mousse, C-394/23, EU:C:2025:2, punt 25 en aldaar aangehaalde rechtspraak).

In het bijzonder is volgens artikel 6, lid 1, eerste alinea, onder a), AVG de verwerking van persoonsgegevens alleen rechtmatig indien en voor zover de betrokkene daarvoor toestemming heeft gegeven voor een of meer specifieke doeleinden. Artikel 7, lid 1, AVG preciseert dat, in dat geval, de verwerkingsverantwoordelijke moet kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens. Bij gebreke van een dergelijke toestemming of wanneer die toestemming niet vrij, specifiek, geïnformeerd en ondubbelzinnig is gegeven in de zin van artikel 4, punt 11, van deze verordening, kan de verwerking niettemin gerechtvaardigd zijn wanneer is voldaan aan een van de in artikel 6, lid 1, eerste alinea, onder b) tot en met f), van die verordening genoemde voorwaarden met betrekking tot de noodzakelijkheid van de verwerking (arrest van 9 januari 2025, Mousse, C-394/23, EU:C:2025:2, punt 26 en aldaar aangehaalde rechtspraak).

Naast deze beginselen en voorwaarden zijn er nog specifieke vereisten voor gevoelige gegevens zoals omschreven in artikel 9, lid 1, AVG, waarvan de verwerking in beginsel verboden is (zie in die zin arrest van 21 december 2023, Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, punt 73).

Van dit verbod kan slechts worden afgeweken indien is voldaan aan een van de uitzonderingen van artikel 9, lid 2, onder a) tot en met j), van die verordening. Wat deze uitzonderingen betreft, die strikt moeten worden uitgelegd, bepaalt artikel 9, lid 2, onder a), dat het verbod op de verwerking van gevoelige gegevens niet van toepassing is indien de betrokkene uitdrukkelijk toestemming heeft gegeven voor de verwerking daarvan voor een of meer welbepaalde doeleinden, behalve indien het Unierecht of het lidstatelijke recht bepaalt dat dit verbod niet door de betrokkene kan worden opgeheven.

In de tweede plaats verduidelijkt hoofdstuk IV AVG de omvang van de verplichtingen die krachtens de in artikel 5, lid 2, AVG neergelegde verantwoordingsplicht op de verwerkingsverantwoordelijke rusten.

Volgens deze bepaling is de verwerkingsverantwoordelijke verantwoordelijk voor de naleving van lid 1 van dit artikel en moet hij kunnen aantonen dat hij aan elk van de in lid 1 vervatte beginselen voldoet, zodat de bewijslast ter zake bij hem rust [arrest van 4 mei 2023, Bundesrepublik Deutschland (Gerechtelijke elektronische postbus), C-60/22, EU:C:2023:373, punt 53 en aldaar aangehaalde rechtspraak].

Die verantwoordingsplicht is met name uitgewerkt in artikel 24 AVG (zie in die zin arrest van 25 januari 2024, MediaMarktSaturn, C-687/21, EU:C:2024:72, punt 43 en aldaar aangehaalde rechtspraak). Die plicht vereist dat, rekening houdend met de aard, de omvang, de context en het doel van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen, de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen treft om te waarborgen en te kunnen aantonen dat die verwerking in overeenstemming met deze verordening is uitgevoerd.

Artikel 5, lid 2, en artikel 24 AVG leggen dus algemene verantwoordingsplichten en nalevingsvereisten op aan de verantwoordelijke voor de verwerking van persoonsgegevens. Zij vereisen van die verwerkingsverantwoordelijke dat hij passende maatregelen neemt om eventuele schendingen van de regels van de AVG te voorkomen om het recht op gegevensbescherming te waarborgen [zie in die zin arrest van 27 oktober 2022, Proximus (Openbare elektronische abonneelijsten), C-129/21, EU:C:2022:833, punt 81].

In dat verband legt artikel 25, lid 1, AVG de verwerkingsverantwoordelijke de verplichting op om, zowel bij de bepaling van de verwerkingsmiddelen als bij de verwerking zelf, passende technische en organisatorische maatregelen te treffen die zijn opgesteld met als doel de gegevensbeschermingsbeginselen op een doeltreffende manier uit te voeren en de nodige waarborgen in de verwerking in te bouwen ter naleving van de voorschriften van deze verordening en ter bescherming van de rechten van de betrokkenen. Bovendien bepaalt artikel 25, lid 2, betreffende de gegevensbescherming door standaardinstellingen met name dat de passende technische en organisatorische maatregelen die de verwerkingsverantwoordelijke daartoe moet treffen ervoor zorgen dat persoonsgegevens in beginsel niet zonder menselijke tussenkomst voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt.

Wanneer de persoonsgegevens die worden verwerkt gevoelige gegevens zijn in de zin van artikel 9, lid 1, AVG, moet de verwerkingsverantwoordelijke, teneinde te bepalen welke passende maatregelen in de zin van de artikelen 24 en 25 van deze verordening worden genomen, met name rekening houden met het feit dat een inbreuk op de in hoofdstuk II van die verordening neergelegde beginselen met betrekking tot de verwerking van dergelijke gegevens een bijzonder ernstige inmenging kan vormen in de door de artikelen 7 en 8 van het Handvest gewaarborgde grondrechten op eerbiediging van het privéleven en op bescherming van persoonsgegevens.

De tweede en de derde vraag, zoals geherformuleerd in punt 77 van het onderhavige arrest, moeten in het licht van al deze preciseringen worden onderzocht.

Wat in de eerste plaats de vraag betreft of de exploitant van een onlinemarktplaats de advertenties die gevoelige gegevens bevatten in de zin van artikel 9, lid 1, AVG moet identificeren alvorens deze te publiceren, zij eraan herinnerd dat, zoals blijkt uit de punten 64 en 75 van het onderhavige arrest, deze exploitant en de adverterende gebruiker die een dergelijke advertentie op die onlinemarktplaats heeft geplaatst, moeten worden beschouwd als gezamenlijke verantwoordelijken in de zin van artikel 26 van deze verordening wanneer de betrokken advertentie daar op wordt gepubliceerd.

Hieruit volgt dat zowel die exploitant als die adverterende gebruiker erop moet toezien dat de uit artikel 5, lid 2, en de artikelen 24 en 25 AVG voortvloeiende verplichtingen worden nageleefd. In het bijzonder moeten zij kunnen aantonen dat de persoonsgegevens in de betrokken advertentie rechtmatig zijn gepubliceerd, dat wil zeggen dat de betrokkene met die publicatie heeft ingestemd, tenzij zij zich kunnen beroepen op een andere voorwaarde van artikel 6, lid 1, AVG. Wanneer de betrokken persoonsgegevens gevoelige gegevens zijn in de zin van artikel 9, lid 1, AVG, moet de toestemming voor publicatie uitdrukkelijk zijn, zoals blijkt uit punt 84 van het onderhavige arrest. Evenzo moeten verwerkingsverantwoordelijken volgens het in artikel 5, lid 1, onder d), AVG opgenomen beginsel van juistheid kunnen aantonen dat de betrokken persoonsgegevens juist zijn.

Om te bepalen welke passende technische en organisatorische maatregelen de exploitant van een onlinemarktplaats, als een van de gezamenlijke verwerkingsverantwoordelijken van persoonsgegevens, op grond van de artikelen 24 en 25 AVG moet nemen om zich ervan te vergewissen dat de publicatie van gevoelige gegevens in een advertentie in overeenstemming met deze verordening zal plaatsvinden en dit te kunnen aantonen, moet worden opgemerkt dat uit deze bepalingen volgt dat de vraag of dergelijke maatregelen passend zijn concreet moet worden beoordeeld, rekening houdend met de aard, de omvang, de context en de doeleinden van de betrokken verwerking en de mate van waarschijnlijkheid alsmede de ernst van de risico's voor de rechten en vrijheden van de betrokkene die hem eigen zijn (zie in die zin arrest van 21 december 2023, Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, punt 96).

In dit verband moet worden opgemerkt dat de publicatie van persoonsgegevens op een onlinemarktplaats aanzienlijke risico's inhoudt voor de rechten en vrijheden van de betrokkene, aangezien hij deze gegevens in beginsel toegankelijk maakt voor elke internetgebruiker. Bovendien kunnen deze gegevens, zodra zij op een onlinemarktplaats zijn gepubliceerd, op andere websites worden gekopieerd en gereproduceerd, zodat het voor de betrokkene moeilijk, zo niet onmogelijk, kan zijn om deze gegevens daadwerkelijk van het internet te laten verwijderen.

De risico's die verbonden zijn aan een dergelijke publicatie zijn des te ernstiger wanneer het gaat om gevoelige gegevens in de zin van artikel 9, lid 1, AVG. Zoals overweging 51 AVG uitdrukkelijk vermeldt, verdienen persoonsgegevens die door hun aard bijzonder gevoelig zijn wat betreft de grondrechten en fundamentele vrijheden, specifieke bescherming aangezien de context van de verwerking ervan significante risico's kan meebrengen voor die grondrechten en fundamentele vrijheden (zie in die zin arrest van 4 oktober 2024, Lindenapotheke, C-21/23, EU:C:2024:846, punt 75). Zoals in punt 90 van het onderhavige arrest is opgemerkt, kan de verwerking van die gegevens een bijzonder ernstige inmenging vormen in de door de artikelen 7 en 8 van het Handvest gewaarborgde grondrechten op eerbiediging van het privéleven en op bescherming van persoonsgegevens. Bovendien is het zeer waarschijnlijk dat deze rechten worden geschonden door de publicatie van een advertentie die gevoelige gegevens bevat wanneer de adverterende gebruiker zelf niet de betrokkene is en de onlinemarktplaats het mogelijk maakt dergelijke advertenties anoniem te plaatsen.

Voor zover de exploitant van een onlinemarktplaats zoals aan de orde in het hoofdgeding weet of behoort te weten dat in het algemeen advertenties die gevoelige gegevens in de zin van artikel 9, lid 1, AVG bevatten door adverterende gebruikers op zijn onlinemarktplaats kunnen worden gepubliceerd, is deze exploitant, als verwerkingsverantwoordelijke, dus verplicht om, zodra zijn dienst is uitgerold, de passende technische en organisatorische maatregelen te treffen om dergelijke advertenties vóór de publicatie ervan te identificeren en aldus te kunnen nagaan of de erin vervatte gevoelige gegevens met inachtneming van de in hoofdstuk II van die verordening neergelegde beginselen worden gepubliceerd. Zoals met name blijkt uit artikel 25, lid 1, van die verordening is hij immers niet alleen verplicht om deze maatregelen op het tijdstip van de verwerking uit te voeren, maar reeds op het tijdstip waarop de verwerkingsmiddelen worden vastgesteld en dus nog voordat gevoelige gegevens in strijd met deze beginselen op zijn onlinemarktplaats worden gepubliceerd, aangezien deze verplichting juist bedoeld is om dergelijke inbreuken te voorkomen.

Wat in de tweede plaats de vraag betreft of de exploitant van een onlinemarktplaats, als degene die samen met de adverterende gebruiker verantwoordelijk is voor de verwerking van gevoelige gegevens in de advertenties die op zijn website worden gepubliceerd, vóór de publicatie de identiteit van die adverterende gebruiker moet nagaan, zij eraan herinnerd dat uit artikel 9, lid 1, juncto artikel 9, lid 2, onder a), AVG volgt dat de publicatie van dergelijke gegevens verboden is, tenzij de betrokkene uitdrukkelijk toestemming heeft gegeven voor de publicatie van de betrokken gegevens op die onlinemarktplaats of dat een van de andere uitzonderingen van artikel 9, lid 2, onder b) tot en met j), van toepassing is, hetgeen in casu echter niet het geval lijkt te zijn.

Het feit dat een betrokkene een advertentie met zijn gevoelige gegevens op een onlinemarktplaats plaatst, kan in dit verband weliswaar een uitdrukkelijke toestemming zijn in de zin van artikel 9, lid 2, onder a), AVG, maar van een dergelijke toestemming is geen sprake wanneer die advertentie door een derde wordt geplaatst, tenzij die derde kan aantonen dat de betrokkene zijn uitdrukkelijke toestemming heeft gegeven voor de publicatie van die advertentie op de onlinemarktplaats in kwestie. Om zich ervan te vergewissen dat is voldaan aan de vereisten van artikel 9, lid 2, onder a), AVG en dit te kunnen aantonen, moet de exploitant van de onlinemarktplaats dus vóór de publicatie van een dergelijke advertentie nagaan of de adverterende gebruiker die deze advertentie wil plaatsen de persoon is wiens gevoelige gegevens daarin staan, hetgeen veronderstelt dat de identiteit van die adverterende gebruiker wordt achterhaald.

Bovendien blijkt uit artikel 13, lid 1, onder a), en artikel 14, lid 1, onder a), AVG dat verwerkingsverantwoordelijken in elk geval hun identiteit en hun contactgegevens aan de betrokkene moeten verstrekken.

Ten slotte moet worden opgemerkt dat artikel 26 AVG de gezamenlijke verantwoordelijken voor dezelfde verwerking van persoonsgegevens verplicht om hun respectieve verplichtingen op transparante wijze vast te stellen om ervoor te zorgen dat aan de vereisten van deze verordening wordt voldaan. Een dergelijke verplichting zou echter onmogelijk zijn indien een van de voor die verwerking verantwoordelijken anoniem zou kunnen blijven ten opzichte van de andere.

Uit het voorgaande volgt dus dat de exploitant van een onlinemarktplaats, als degene die samen met de adverterende gebruiker verantwoordelijk is voor de verwerking van gevoelige gegevens in een advertentie die op zijn onlinemarktplaats wordt gepubliceerd, verplicht is om de identiteit van die adverterende gebruiker te achterhalen en na te gaan of deze gebruiker de persoon is wiens gevoelige gegevens in die advertentie zijn opgenomen.

In dit verband blijkt, zoals de advocaat-generaal in punt 132 van zijn conclusie in essentie heeft opgemerkt, uit overweging 75 AVG dat de verwerking van persoonsgegevens, met name in geval van identiteitsdiefstal, risico's kan inhouden voor de rechten en vrijheden van de betrokkenen, die daardoor worden verhinderd controle over hun persoonsgegevens uit te oefenen. Over het algemeen wordt een identiteit namelijk misbruikt om frauduleuze handelingen te verrichten, ten nadele van de betrokkene of derden.

In die omstandigheden, en mede gelet op de overwegingen in de punten 95 en 96 van het onderhavige arrest, moet de exploitant van een onlinemarktplaats, om zich ervan te vergewissen dat de gevoelige gegevens in advertenties overeenkomstig de vereisten van de AVG worden verwerkt, overeenkomstig de artikelen 24 en 25 van deze verordening voorzien in passende technische en organisatorische maatregelen om hem niet alleen in staat te stellen om vóór de publicatie van die advertenties de identiteit van de adverterende gebruiker te achterhalen, maar ook om de identiteit van die gebruiker te verifiëren, met name om te kunnen bepalen of die gebruiker de persoon is wiens gevoelige gegevens in die advertenties zijn opgenomen. Dergelijke maatregelen moeten het met name mogelijk maken om, zoals de advocaat-generaal in punt 134 van zijn conclusie heeft opgemerkt, het risico van een onrechtmatige verwerking van de persoonsgegevens van de betrokkenen te beperken en het oneerlijke gebruik van een dergelijke onlinemarktplaats tegen te gaan, door het gevoel van straffeloosheid te beperken en aldus de adverterende gebruikers ertoe aan te zetten aan de vereisten van de AVG te voldoen wanneer zij advertenties met persoonsgegevens publiceren.

Wat ten slotte en in de derde plaats de vraag betreft of de exploitant van een onlinemarktplaats de publicatie van een advertentie met gevoelige gegevens moet weigeren wanneer — na controle van de identiteit van de adverterende gebruiker die deze advertentie wil plaatsen — blijkt dat hij niet de persoon is wiens gevoelige gegevens in die advertentie zijn opgenomen, moet worden vastgesteld dat uit de punten 98 en 99 van het onderhavige arrest volgt dat in een dergelijk geval niet kan worden uitgesloten dat die publicatie in strijd is met het in artikel 9, lid 1, AVG neergelegde verbod op de verwerking van dergelijke gegevens. Tenzij die adverterende gebruiker rechtens genoegzaam kan aantonen dat de betrokkene uitdrukkelijk toestemming heeft gegeven in de zin van dat artikel 9, lid 2, onder a), om de gegevens in kwestie op die onlinemarktplaats te publiceren of dat een van de andere uitzonderingen van artikel 9, lid 2, onder b) tot en met j), van toepassing is, moet de exploitant van die onlinemarktplaats de publicatie van de advertentie in kwestie dus weigeren. Dit moet hij garanderen door passende technische en organisatorische maatregelen te treffen.

Gelet op een en ander moet op de tweede en de derde vraag worden geantwoord dat artikel 5, lid 2, en de artikelen 24 tot en met 26 AVG aldus moeten worden uitgelegd dat de exploitant van een onlinemarktplaats, als verwerkingsverantwoordelijke in de zin van artikel 4, punt 7, AVG van persoonsgegevens die zijn opgenomen in advertenties die op zijn onlinemarktplaats worden gepubliceerd, gehouden is om, voorafgaand aan de publicatie van de advertenties en door middel van passende technische en organisatorische maatregelen,

Met zijn vierde vraag wenst de verwijzende rechter in essentie te vernemen of een exploitant van een onlinemarktplaats, als verwerkingsverantwoordelijke, verplicht is om zodanige beveiligingsmaatregelen te treffen dat advertenties met gevoelige gegevens die op zijn onlinemarktplaats worden gepubliceerd niet of slechts beperkt kunnen worden gekopieerd en herverspreid.

In casu blijkt uit het verzoek om een prejudiciële beslissing dat, ten eerste, de in het hoofdgeding aan de orde zijnde misleidende en schadelijke advertentie is overgenomen op andere websites met reclame-inhoud, waar deze advertentie op is gepubliceerd met vermelding van de oorspronkelijke bron, en, ten tweede, Russmedia zich in de algemene gebruiksvoorwaarden van haar onlinemarktplaats met name het recht voorbehoudt om de inhoud van de gepubliceerde advertenties te verzenden en deze aan partners over te dragen. In dit verband preciseert de verwijzende rechter niet of Russmedia deze advertentie vrijwillig aan die andere websites heeft verzonden of deze publicaties op zijn minst via overeenkomsten heeft toegestaan, dan wel of die publicaties integendeel het resultaat zijn van de omstandigheid dat de oorspronkelijke advertentie is gekopieerd, zonder dat Russmedia hier toestemming voor heeft gegeven.

Indien het eerste onderdeel van dit alternatief wordt aangetoond, zou deze verzending een nieuwe verwerking van persoonsgegevens vormen waarvoor Russmedia verantwoordelijk is in de zin van artikel 4, punt 7, AVG. Deze verwerking moet worden onderscheiden van de publicatie door de adverterende gebruiker van de in het hoofdgeding aan de orde zijnde misleidende en schadelijke advertentie op zijn onlinemarktplaats.

Om rekening te houden met de noodzaak om voor elke persoon die als verwerkingsverantwoordelijke van persoonsgegevens kan worden gekwalificeerd individueel te beoordelen welk niveau van verantwoordelijkheid hem kan worden toegerekend, moet namelijk een onderscheid worden gemaakt tussen de verschillende verwerkingen van persoonsgegevens die tot eenzelfde bewerkingsketen behoren. Dat is het gevolg van het feit dat een natuurlijke of rechtspersoon dus slechts als een van de gezamenlijke verwerkingsverantwoordelijken kan worden beschouwd indien hij zelfstandig voldoet aan de definitie van ‘verwerkingsverantwoordelijke’ in artikel 4, punt 7, AVG (arrest van 5 december 2023, Nacionalinis visuomenės sveikatos centras, C-683/21, EU:C:2023:949, punt 41 en aldaar aangehaalde rechtspraak).

Hieruit volgt dat wanneer persoonsgegevens verder worden verzonden in het kader van overeenkomsten betreffende verspreiding die zijn gesloten tussen de exploitant van de onlinemarktplaats, waarop de betrokken persoonsgegevens aanvankelijk zijn gepubliceerd, en de exploitanten van andere websites, eerstgenoemde exploitant in beginsel de enige verwerkingsverantwoordelijke voor die verzending is. In elk geval moet elke verwerkingsverantwoordelijke, alleen of gezamenlijk, voldoen aan alle uit de AVG voortvloeiende verplichtingen.

Na deze verduidelijkingen moet de vierde vraag aldus worden opgevat dat zij betrekking heeft op een geval waarin Russmedia de in het hoofdgeding aan de orde zijnde misleidende en schadelijke advertentie niet naar andere websites met reclame-inhoud heeft verzonden en dus geen toestemming heeft gegeven voor die latere publicaties.

Verder moet ook worden opgemerkt dat deze vraag in essentie betrekking heeft op de omvang van de beveiligingsverplichting die een verwerkingsverantwoordelijke van persoonsgegevens moet nakomen. De specifieke doelstelling van artikel 32 AVG is de beveiliging van de verwerking. Dat artikel geeft concreet vorm aan en verduidelijkt een specifiek aspect van de vereisten van artikel 24 van die verordening, dat samen met artikel 5, lid 2, van die verordening in algemene termen de verantwoordelijkheid van de verwerkingsverantwoordelijke bepaalt.

In die omstandigheden moet worden geoordeeld dat de verwijzende rechter met zijn vierde vraag in essentie wenst te vernemen of artikel 32 AVG aldus moet worden uitgelegd dat de exploitant van een onlinemarktplaats, als verwerkingsverantwoordelijke in de zin van artikel 4, punt 7, van deze verordening van persoonsgegevens die zijn opgenomen in advertenties die op zijn onlinemarktplaats worden gepubliceerd, verplicht is om beveiligingsmaatregelen te treffen die voorkomen dat gepubliceerde advertenties die gevoelige gegevens in de zin van artikel 9, lid 1, van die verordening bevatten, worden gekopieerd en onrechtmatig op andere websites worden gepubliceerd.

Artikel 32, lid 1, AVG bepaalt dat rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen treffen om een op het risico afgestemd beveiligingsniveau te waarborgen.

In artikel 32, lid 2, van die verordening is bepaald dat bij de beoordeling van het passende beveiligingsniveau met name rekening moet worden gehouden met de verwerkingsrisico's, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot persoonsgegevens, hetzij per ongeluk hetzij onrechtmatig.

Het Hof heeft geoordeeld dat uit de verwijzing in artikel 32, leden 1 en 2, AVG naar ‘een op het risico afgestemd beveiligingsniveau’ en een ‘passend veiligheidsniveau’ blijkt dat deze verordening een risicobeheersysteem instelt en op geen enkele wijze beoogt de risico's van inbreuken in verband met persoonsgegevens weg te nemen (arrest van 14 december 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, punt 29).

Uit de bewoordingen van artikel 32 AVG, gelezen in samenhang met artikel 24 van die verordening, blijkt dus dat dit artikel 32 de verwerkingsverantwoordelijke enkel verplicht om technische en organisatorische maatregelen vast te stellen om elke inbreuk in verband met persoonsgegevens zo veel mogelijk te voorkomen. De vraag of dergelijke maatregelen passend zijn, moet concreet worden beoordeeld door te onderzoeken of deze verantwoordelijke bij de uitvoering van die maatregelen rekening heeft gehouden met de verschillende in die artikelen genoemde criteria en de behoeften van gegevensbescherming die specifiek inherent zijn aan de betrokken verwerking en de risico's daarvan (zie in die zin arrest van 14 december 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, punt 30).

In dit verband moet, om het concrete risico van de betrokken verwerking te bepalen, rekening worden gehouden met het eventuele gevoelige karakter van de verwerkte persoonsgegevens. Zoals in de punten 51 en 90 van het onderhavige arrest in herinnering is gebracht, houdt de verhoogde bescherming die artikel 9, lid 1, AVG voor bepaalde categorieën gegevens biedt wegens hun bijzondere gevoeligheid namelijk verband met het feit dat de verwerking van dergelijke gegevens op bijzonder ernstige wijze inbreuk kan maken op de door de artikelen 7 en 8 van het Handvest gewaarborgde grondrechten op eerbiediging van het privéleven en bescherming van persoonsgegevens (zie in die zin arrest van 21 december 2023, Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, punt 41 en aldaar aangehaalde rechtspraak).

Zodra een advertentie met persoonsgegevens online staat en dus al algemeen toegankelijk is, brengt de verspreiding van die gegevens met name het risico met zich mee dat de controle over de betrokken persoonsgegevens verloren gaat, waardoor de rechten en waarborgen waarin de AVG ten gunste van de betrokkene voorziet — waaronder in de eerste plaats het in artikel 17 van die verordening bedoelde recht op gegevenswissing — van elk nuttig effect worden beroofd.

Wanneer gevoelige gegevens online worden gepubliceerd, is de verwerkingsverantwoordelijke krachtens artikel 32 AVG ook verplicht om alle technische en organisatorische maatregelen te treffen om een beveiligingsniveau te waarborgen dat het verlies van controle over die gegevens doeltreffend kan voorkomen.

In dit verband moet de verwerkingsverantwoordelijke met name rekening houden met alle beschikbare technische maatregelen in de huidige stand van de techniek die het kopiëren en reproduceren van online-inhoud kunnen blokkeren.

In herinnering moet echter nog worden gebracht dat de artikelen 24 en 32 AVG niet aldus kunnen worden begrepen dat het volstaat dat oorspronkelijk online gepubliceerde persoonsgegevens ongeoorloofd zijn verspreid om tot de slotsom te komen dat de door de betrokken verwerkingsverantwoordelijke getroffen maatregelen niet passend waren in de zin van deze bepalingen, zonder dat deze laatste ook maar de mogelijkheid wordt geboden om het tegenbewijs te leveren (arrest van 14 december 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, punt 31).

In casu blijkt uit de verwijzingsbeslissing dat ondanks het feit dat de in het hoofdgeding aan de orde zijnde misleidende en schadelijke advertentie op de onlinemarktplaats van Russmedia is gewist, deze advertentie nog steeds online toegankelijk is op andere websites zonder dat verzoekster in het hoofdgeding de mogelijkheid heeft om die advertentie te laten wissen.

Het lijkt er echter op dat dit controleverlies zijn oorsprong vindt in de onrechtmatige eerste publicatie van de in het hoofdgeding aan de orde zijnde misleidende en schadelijke advertentie, welke publicatie in strijd is met de voorschriften van de AVG. Russmedia was hoe dan ook verplicht om passende technische en organisatorische maatregelen te treffen om een op het risico afgestemd beveiligingsniveau te waarborgen overeenkomstig artikel 32 AVG en om kopieën van die advertentie zo veel mogelijk te blokkeren. Het staat aan de verwijzende rechter om na te gaan of dit het geval was.

Gelet op een en ander moet op de vierde vraag worden geantwoord dat artikel 32 AVG aldus moet worden uitgelegd dat de exploitant van een onlinemarktplaats, als verwerkingsverantwoordelijke in de zin van artikel 4, punt 7, van deze verordening van persoonsgegevens die zijn opgenomen in advertenties die op zijn onlinemarktplaats worden gepubliceerd, verplicht is om passende technische en organisatorische beveiligingsmaatregelen te treffen om te voorkomen dat de gepubliceerde advertenties die gevoelige gegevens in de zin van artikel 9, lid 1, van die verordening bevatten, worden gekopieerd en onrechtmatig op andere websites worden gepubliceerd.