Vinted z wysoką karą za naruszenie ochrony danych

Vinted UAB to spółka oferująca platformę i aplikację umożliwiającą sprzedaż i zakup używanej odzieży. O praktykach stosowanych na platformie zrobiło się głośno już w 2021 r. Jak wynikało ze skarg polskich użytkowników trafiających do polskiego Prezesa Urzędu Ochrony Danych Osobowych, spółka nie realizowała praw podmiotów danych takich, a mianowicie prawa do bycia zapomnianym (art. 17 RODO) oraz prawa dostępu do danych (art. 15 RODO).

Zgodnie z treścią skarg uzyskanie dostępu do środków pieniężnych za sprzedaną odzież wymagało podania licznych danych osobowych w związku z żądaniem przesłania skanu dowodu osobistego. Jeśli zaś użytkownik nie przekazał tych danych osobowych, wówczas środki zgromadzone przez niego ze sprzedaży ubrań podlegały blokadzie a ich wypłata stawała się niemożliwa.

Poza tym spółka nie realizowała żądań usunięcia danych osobowych (prawa do bycia zapomnianym), zasłaniając się brakiem wskazania „konkretnych podstaw” żądania. W odpowiedzi nie wskazywała też wszystkich celów, dla których dane objęte żądaniem usunięcia miały być nadal przetwarzane. Do tego zasadność odmowy nie została wykazana przez spółkę mimo obowiązywania zasady rozliczalności z art. 5 ust. 2 RODO.

Praktyka „shadow blocking” niezgodna z RODO

Kolejny zarzut dotyczył procederu „shadow blocking” polegającego na nieinformowaniu użytkownika, który rzekomo naruszył zasady działania platformy, o dalszym przetwarzaniu jego danych osobowych, mimo zamiaru usunięcia go z tej platformy. W tym zakresie spółce zarzucono naruszenie zasady rzetelności i przejrzystości przetwarzania danych.