Sprawa C-730/25, Vinted: Wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Lietuvos vyriausiasis administracinis teismas (Litwa) w dniu 17 listopada 2025 r. - UAB Vinted/Valstybinė duomenų apsaugos inspekcija

Język postępowania: litewski

(Dz.U.UE C z dnia 23 lutego 2026 r.)

Sąd odsyłający

Lietuvos vyriausiasis administracinis teismas

Strony w postępowaniu głównym

Strona inicjująca postępowanie przed sądem odsyłającym: UAB "Vinted"

Druga strona postępowania: Valstybine duomeny apsaugos inspekcja

Interwenienci: C.B.M., A.L., A.L.

Pytania prejudycjalne

1) Czy przepisy art. 55 ust. 1, art. 56 ust. 1, art. 57 ust. 1, art. 58 ust. 1 i 2 oraz art. 60 ogólnego rozporządzenie o ochronie danych 1  (zwanego dalej "RODO") należy interpretować w ten sposób, że stoją one na przeszkodzie praktyce państwa członkowskiego, zgodnie z którą organ nadzorczy nie może już rozpoznać skargi dotyczącej transgranicznego przetwarzania danych lub nałożyć środków naprawczych przewidzianych w art. 58 ust. 2 RODO tylko dlatego, że upłynął dwuletni termin przedawnienia przewidziany w prawie krajowym dla nałożenia administracyjnej kary pieniężnej?

2) Czy art. 57 ust. 1 lit. f) oraz art. 58 ust. 1 i 2 RODO należy interpretować w ten sposób, że kiedy organ nadzorczy prowadzi postępowanie w sprawie skargi osoby, której dane dotyczą, dotyczącą wskazanego w niej konkretnego naruszenia, może (lub powinien) wydać decyzję w sprawie innych naruszeń RODO dotyczących tego samego przetwarzania danych, wykrytych w toku rozpatrywania skargi, czy też powinien on ograniczyć się do przedmiotu skargi?

3) Czy art. 57 ust. 1 lit. f) RODO należy interpretować w ten sposób, że organ nadzorczy, kiedy otrzyma skargę od osoby, której dane dotyczą, jest zobowiązany do jasnego określenia zakresu prowadzonego postępowania i wskazania administratorowi wymaganych od niego dokładnych informacji w celu zapewnienia prawidłowego z badania skargi?

4) Czy art. 5 ust. 2 i art. 24 RODO należy interpretować w ten sposób, że zgodnie z zasadą rozliczalności administrator jest zobowiązany do zatrzymywania wszystkich dostępnych danych dotyczących wnoszącej skargę osoby, której dane dotyczą, przez cały okres prowadzenia postępowania w sprawie skargi, nawet jeżeli dane te nie są bezpośrednio związane z zakresem skargi rozpatrywanej przez organ nadzorczy, i czy takie przechowywanie jest zgodne z zasadą minimalizacji danych przewidzianą w art. 5 ust. 1 lit. c) RODO i zasadą ograniczenia przechowywania przewidzianą w lit. e) tego przepisu?

5) Czy art. 5 ust. 1 lit. a) oraz art. 12 ust. 1 i 4 RODO należy interpretować w ten sposób, że w przypadku gdy osoba, której dane dotyczą, występuje z niesprecyzowanym wnioskiem o usunięcie jej danych osobowych na podstawie art. 17 RODO, bez wskazania przyczyn usunięcia, administrator może odmówić usunięcia danych i nie jest zobowiązany do poinformowania osoby, której dane dotyczą, o tym, że z własnej inicjatywy ocenił, czy istnieje co najmniej jedna z podstaw usunięcia danych, o których mowa w art. 17 ust. 1 RODO? Ponadto, czy w przypadku

odmowy usunięcia danych osobowych zgodnie z żądaniem złożonym na podstawie art. 17 RODO zasadę przejrzystości ustanowioną w art. 5 ust. 1 lit. a) i art. 12 ust. 1 RODO w związku z art. 12 ust. 4 RODO należy interpretować w ten sposób, że nakłada ona na administratora obowiązek poinformowania osoby, której dane dotyczą, o wszystkich powodach przetwarzania danych osobowych, w tym o pozostałych celach przetwarzania, kategoriach danych, operacjach przetwarzania i podstawie prawnej?

6) Czy art. 5 ust. 1 lit. a), art. 6 ust. 1 lit. f), art. 13 ust. 1 lit. d), art. 14 ust. 3 lit. a) i art. 14 ust. 5 RODO należy interpretować w ten sposób, że spoczywający na administratorze obowiązek udzielenia osobie, której dane dotyczą, informacji dotyczących przetwarzania danych osobowych w związku z cichym zablokowaniem jest uważany za spełniony i zgodny z zasadą przejrzystości, jeżeli administrator stwierdza w swojej polityce prywatności, że zablokowanie nastąpi w przypadku naruszenia zasad platformy (bez określania możliwych rodzajów zablokowania, w tym cichego zablokowania), oraz że dane osobowe (w tym powód zablokowania, czas trwania i dane profilowe) będą przetwarzane w oparciu o prawnie uzasadniony interes ochrony i zapewnienia bezpieczeństwa platformy, jej użytkowników i członków, ale osoba, której dane dotyczą, nie zostaje indywidualnie poinformowana o przetwarzaniu danych osobowych w związku z cichym zablokowaniem ani na początku takiego przetwarzania, ani później, lecz dopiero po zakończeniu okresu cichego zablokowania (nieprzekraczającego 30 dni) i zastosowaniu całkowitego zablokowania, osoba, której dane dotyczą, otrzymuje informacje dotyczące przetwarzania danych osobowych w związku z zablokowaniem (całkowitym zablokowaniem, nie cichym zablokowaniem)? Jeżeli odpowiedź na to ostatnie pytanie jest przecząca, czy art. 14 ust. 5 lit. b) RODO należy interpretować w ten sposób, że administrator może powołać się na wyłączenie z obowiązku udzielania informacji przewidziany w tym przepisie, jeżeli przetwarzanie odbywa się do celów cichego zablokowania?

7) Czy art. 5 ust. 1 lit. a) i art. 6 ust. 1 lit. f) RODO należy interpretować w ten sposób, że działanie administratora przetwarzającego dane osobowe użytkownika do celów cichego zablokowania bez poinformowania osoby, której dane dotyczą, o takim przetwarzaniu, ale w celu ochrony platformy, jej użytkowników i członków, można uznać za zgodne z wymogami zgodności z prawem określonymi w RODO?