Vinted zapłaci karę za naruszenie ochrony danych

2 385 276 euro – tyle wynosi kara pieniężna nałożona przez litewski organ nadzorczy (tj. Państwowy Inspektorat Ochrony Danych) na spółkę Vinted UAB w związku z naruszeniem przez nią przepisów dotyczących ochrony danych osobowych. W wydanie decyzji były zaangażowane także organy ochrony danych z Polski, Niemiec, Francji, Holandii i Hiszpanii.

Kara została nałożona po analizie skarg przekazanych w 2021 i 2022 roku przez francuskie oraz polskie organy nadzorcze. Dotyczyły one nierespektowania przez Vinted UAB – operatora platformy sprzedażowej umożliwiającej handel używanymi ubraniami – praw użytkowników tej platformy, w tym prawa do usunięcia danych (art. 17 RODO) oraz prawa dostępu do danych (art. 15 RODO).

W toku postępowania wykazano, że osoby zwracające do spółki o usunięcie danych, były informowane o odmowie podjęcia jakichkolwiek działań w żądanym przez nich zakresie, a to z uwagi na brak podania we wniosku „konkretnej podstawy” uzasadniającej usunięcie danych osobowych, która mieściłaby się w katalogu wskazanym w art. 17 ust. 1 RODO. Równocześnie spółka nie informowała o celach, dla których byłoby konieczne (lub możliwe) przetwarzanie tych danych osobowych już po zgłoszeniu przez skarżących żądania ich usunięcia.

Litewski organ nadzoru ustalił także, że Vinted UAB stosowało praktyki tzw. „shadow blocking”. Oznacza to, że w stosunku do użytkowników rzekomo naruszających zasady funkcjonowania platformy korzystano z mechanizmów mających ograniczyć ich aktywność, a finalnie zmusić do opuszczenia serwisu. Równocześnie jednak nadal przetwarzano ich dane osobowe, o czym użytkownicy nie byli informowani. Takie zachowanie miało stanowić przykład naruszenia wymogu rzetelnego i przejrzystego przetwarzania danych, o którym mowa w art. 5 ust. 1 lit. a RODO. W ocenie organu naruszenie powyższych zasad negatywnie wpłynęło na możliwość wyegzekwowania przez użytkowników platformy pozostałych praw wynikających z rozporządzenia.

Dodatkową nieprawidłowością, jakiej po stronie Vinted UAB dopatrzył się litewski Państwowy Inspektorat Ochrony Danych, było niewprowadzenie wystarczających środków technicznych i organizacyjnych, zapewniających wdrożenie zasady rozliczalności, a w konsekwencji umożliwiających wykazanie, że spółka podjęła działania w związku ze złożonymi żądaniami prawa dostępu do danych (lub zasadnie odmówiła ich podjęcia).

Decyzja nie jest ostateczna, co oznacza, że spółka może się od niej odwołać.

Komunikat dotyczący wydania decyzji: A company operating an online second-hand clothing trading and exchange platform is fined under the GDPR