Kara dla platformy sprzedażowej Vinted
2 lipca 2024 r. litewski organ ochrony danych nałożył administracyjną karę pieniężną w wysokości ponad 2,3 mln euro na spółkę Vinted UAB, operatora platformy sprzedażowej oraz powiązanej z nią aplikacji umożliwiającej użytkownikom sprzedaż i zakup używanych ubrań.
Postępowanie w sprawie Vinted zostało zainicjowane przez Państwowy Inspektorat Ochrony Danych (litewski organ nadzorczy) na skutek skarg przekazanych mu przez UODO w 2021 i 2022 r. Użytkownicy platformy sprzedażowej w skargach zarzucali, że spółka nie realizuje ich żądań związanych z prawem do bycia zapomnianym (art. 17 RODO) oraz prawem dostępu do danych (art. 15 RODO).
Polscy użytkownicy serwisu wskazywali, że chociaż rejestracja w serwisie jest prosta, to już wypłacenie środków zgromadzonych za sprzedane tam rzeczy jest skomplikowane i wymaga podania wielu danych osobowych. Firma wymaga m. in. przesłania skanu dowodu osobistego. Jeżeli użytkownik nie przekazał tych danych, to środki zgromadzone przez niego ze sprzedaży ubrań były blokowane i ich wypłata była niemożliwa.
Spółka Vinted informowała osoby, które wnioskowały o usunięcie ich danych, że nie podejmie w ich sprawie żadnych działań, gdyż we wniesionych przez nich żądaniach brak było wskazania „konkretnych podstaw” zgodnie z treścią art. 17 RODO. Państwowy Inspektorat Ochrony Danych ustalił również, że spółka w odpowiedzi na wnioski skarżących nie podawała wszystkich celów, dla których dane skarżącego w określonym zakresie nadal miały być przetwarzane.
Badając sprawę, litewski organ ustalił również, że spółka, w celu zapewnienia bezpieczeństwa platformy i jej użytkowników, bezprawnie stosowała praktykę tzw. „shadow blocking”, tj. nie informowała użytkownika, który rzekomo naruszył zasady działania platformy, o dalszym przetwarzaniu jego danych osobowych, pomimo zamiaru usunięcia go z platformy. Zdaniem organu nadzorczego tego rodzaju praktyka stanowiła naruszenie zasad rzetelnego i przejrzystego przetwarzania danych, co negatywnie wpłynęło na inne prawa użytkowników platformy i możliwość ich dochodzenia.
Spółka nie wdrożyła też odpowiednich środków technicznych i organizacyjnych, aby spełnić wymogi związane z realizacją zasady rozliczalności, by móc wykazać, że podjęła lub zasadnie odmówiła podjęcia działań w oparciu o żądanie prawa dostępu do danych.
Biorąc pod uwagę, że sprawa dotyczyła również obywateli innych państw członkowskich, w wydanie decyzji były również zaangażowane organy ochrony danych z Polski, Francji, Holandii i Hiszpanii.