Postępowanie w sprawie Vinted zostało zainicjowane przez Państwowy Inspektorat Ochrony Danych (litewski organ nadzorczy) na skutek skarg przekazanych mu przez UODO w 2021 i 2022 r. Użytkownicy platformy sprzedażowej w skargach zarzucali, że spółka nie realizuje ich żądań związanych z prawem do bycia zapomnianym (art. 17 RODO) oraz prawem dostępu do danych (art. 15 RODO).
W systemie LEX znajdziesz zagadnienie powiązane z tym artykułem:
RODO
Najczęściej czytane w temacie:
- Czy spółdzielnia mieszkaniowa powinna udostępnić dane osobowe na wniosek ubezpieczyciela o wskazanie sprawcy np. zalania...
- Czy leasingodawca może udostępnić dane leasingobiorcy wierzycielowi - firmie prywatnej?
- Czy pracodawca może wykorzystywać prywatne telefony pracowników w celu zastosowania mechanizmu dwustopniowego uwierzytelniania?
Czytaj więcej w systemie informacji prawnej LEX
To zagadnienie zawiera:
Najczęściej czytane w temacie:
- Czy spółdzielnia mieszkaniowa powinna udostępnić dane osobowe na wniosek ubezpieczyciela o wskazanie sprawcy np. zalania...
- Czy leasingodawca może udostępnić dane leasingobiorcy wierzycielowi - firmie prywatnej?
- Czy pracodawca może wykorzystywać prywatne telefony pracowników w celu zastosowania mechanizmu dwustopniowego uwierzytelniania?
Czytaj więcej w systemie informacji prawnej LEX
Szybka rejestracja, ale trudno wypłacić pieniądze za sprzedane rzeczy
Polscy użytkownicy serwisu wskazywali, że chociaż rejestracja w serwisie jest prosta, to już wypłacenie środków zgromadzonych za sprzedane tam rzeczy jest skomplikowane i wymaga podania wielu danych osobowych. Firma wymaga m. in. przesłania skanu dowodu osobistego. Jeżeli użytkownik nie przekazał tych danych, to środki zgromadzone przez niego ze sprzedaży ubrań były blokowane i ich wypłata była niemożliwa.
Czytaj też w LEX: Obowiązki dokumentacyjne w przetwarzaniu danych osobowych >
Spółka Vinted informowała osoby, które wnioskowały o usunięcie ich danych, że nie podejmie w ich sprawie żadnych działań, gdyż we wniesionych przez nich żądaniach brak było wskazania „konkretnych podstaw” zgodnie z treścią art. 17 RODO. Państwowy Inspektorat Ochrony Danych ustalił również, że spółka w odpowiedzi na wnioski skarżących nie podawała wszystkich celów, dla których dane skarżącego w określonym zakresie nadal miały być przetwarzane.
Zobacz procedurę: Nakładanie administracyjnych kar pieniężnych >
Badając sprawę, litewski organ ustalił również, że spółka, w celu zapewnienia bezpieczeństwa platformy i jej użytkowników, bezprawnie stosowała praktykę tzw. „shadow blocking”, tj. nie informowała użytkownika, który rzekomo naruszył zasady działania platformy, o dalszym przetwarzaniu jego danych osobowych, pomimo zamiaru usunięcia go z platformy. Zdaniem organu nadzorczego tego rodzaju praktyka stanowiła naruszenie zasad rzetelnego i przejrzystego przetwarzania danych, co negatywnie wpłynęło na inne prawa użytkowników platformy i możliwość ich dochodzenia.
Spółka nie wdrożyła też odpowiednich środków technicznych i organizacyjnych, aby spełnić wymogi związane z realizacją zasady rozliczalności, by móc wykazać, że podjęła lub zasadnie odmówiła podjęcia działań w oparciu o żądanie prawa dostępu do danych.
Czytaj też w LEX: Administracyjne kary pieniężne w świetle ochrony danych osobowych >
Biorąc pod uwagę, że sprawa dotyczyła również obywateli innych państw członkowskich, w wydanie decyzji były również zaangażowane organy ochrony danych z Polski, Francji, Holandii i Hiszpanii.
Czytaj też: Związki AI Act i RODO już wkrótce przysporzą firmom problemów >
-------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.
