Na Vinted nałożono karę ponad 2 mln euro. Zrobił to litewski organ ochrony danych osobowych w odpowiedzi na skargi użytkowników platformy sprzedażowej. Twierdzili, że nie zostaje honorowane ich prawo do bycia zapomnianym i ochrona dostępu do danych. Podobne skargi składali również klienci z Polski.
Użytkownicy z kilku krajów – również Polski – składali skargi na Vinted w związku z brakiem odpowiednich regulacji na platformie dotyczących prawa do bycia zapomnianym (art. 17 RODO) i ochrony danych osobowych (art. 15 RODO).
Użytkownicy mieli uwagi co do wypłaty wypłata zgromadzonych środków za sprzedane rzeczy. Procedura była skomplikowana i wymagała podania wielu danych osobowych, w tym skanu dowodu osobistego. Bez podania tych danych nie było możliwe uzyskanie środków ze sprzedaży.
Vinted musi zapłacić ponad 2 mln euro
Sprawą zajął się litewski organ ochrony danych osobowych. Nałożył on 2 lipca 2024 r. na platformę karę w wysokości ponad 2 mln 300 tys. euro.
Regulator uznał zasadność skarg zgłaszających. Chodziło o brak podejmowanych przez Vinted działań w przypadku wnioskowania o usunięcie danych. Platforma tłumaczyła się brakiem wskazania we wniosku konkretnych podstaw.
Kolejny uwzględnionym zarzutem był brak wdrożenia przez Vinted odpowiednich środków technicznych i organizacyjnych, aby spełnić wymogi związane z realizacją zasady rozliczalności. W tym wypadku zaangażowano organy ochrony z Polski, Francji, Holandii i Hiszpanii. Zarzuty dotyczyły klientów z wszystkich tych krajów.
Litewski organ ochrony uznał, że Vinted nie podaje wszystkich celów, dla których przetwarzane są dane klientów. Stosuje także tzw. „shadow blocking”, czyli pomimo usunięcia użytkownika z platformy nie informuje go o dalszym przetwarzaniu jego danych.
Jeśli Vinted nie uda się skutecznie odwołać od wyroku, będzie zmuszona zapłacić zasądzoną karę.
Vinted odpowiada
W odpowiedzi na artykuły dotyczące kary nałożonej na platformę sprzedażową, wysłała ona swoje stanowisko w sprawie:
Chcielibyśmy zapewnić, że przypadki, do których odwołuje się litewski organ ochrony danych (VDAI), nie są w żaden sposób związane z bezpieczeństwem kont członków naszej platformy, ani nie wiążą się z niewłaściwym wykorzystaniem lub naruszeniem ich danych osobowych. Co więcej, nałożona kara nie jest związana z praktykami weryfikacji tożsamości, stosowanymi przez naszych partnerów płatniczych, znanymi jako KYC (Know Your Customer).
Jeśli chodzi o kwestię usuwania danych, pragniemy zauważyć, że VDAI nie dopatrzyło się błędów w związku z naszymi decyzjami związanymi z samym usunięciem, ale w sposobie, w jaki to komunikowaliśmy z bardzo niewielką liczbą użytkowników.
Kwestie prywatności i RODO traktujemy z wielką wagą, inwestując wiele nakładów oraz współpracując z VDAI w tym procesie. Nie znaleźliśmy jednak żadnej podstawy prawnej dla podjętej decyzji i uważamy, że stanowi ona precedens wykraczający poza obecne brzmienie prawa i najlepsze praktyki branżowe. Nie zgadzamy się z nałożoną na nas karą i zamierzamy nadal odwoływać się, tak jak robiliśmy to dotychczas.
Źródło: businessinsider.com.pl
