Vinted z wysoką karą za naruszenie ochrony danych
Ponad 2,3 mln euro – tyle wyniosła kara wymierzona przez litewski organ nadzorczy dla Vinted UAB – operatora popularnej platformy sprzedażowej. Kara związana jest z brakiem realizacji praw podmiotów danych a mianowicie prawa do bycia zapomnianym oraz prawa dostępu do danych. Sprawa trafiła do litewskiego organu nadzorczego w wyniku skarg przekazanych przez Prezesa Urzędu Ochrony Danych Osobowych w 2021 i 2022 r.
Sprawa Vinted – czego dotyczy
Vinted UAB to spółka oferująca platformę i aplikację umożliwiającą sprzedaż i zakup używanej odzieży. O praktykach stosowanych na platformie zrobiło się głośno już w 2021 r. Jak wynikało ze skarg polskich użytkowników trafiających do polskiego Prezesa Urzędu Ochrony Danych Osobowych, spółka nie realizowała praw podmiotów danych takich, a mianowicie prawa do bycia zapomnianym (art. 17 RODO) oraz prawa dostępu do danych (art. 15 RODO).
Skargi te zostały przekazane do litewskiego Państwowego Inspektoratu Ochrony Danych. Z uwagi na ich dużą liczbę nie tylko w Polsce, a także we Francji, Holandii i Hiszpanii, przy wsparciu EROD została utworzona specjalna grupa robocza.
Spółka żądała nadmiarowych danych osobowych
Zgodnie z treścią skarg uzyskanie dostępu do środków pieniężnych za sprzedaną odzież wymagało podania licznych danych osobowych w związku z żądaniem przesłania skanu dowodu osobistego. Jeśli zaś użytkownik nie przekazał tych danych osobowych, wówczas środki zgromadzone przez niego ze sprzedaży ubrań podlegały blokadzie a ich wypłata stawała się niemożliwa.
Vinted UAB odmawiała realizacji prawa do bycia zapomnianym
Poza tym spółka nie realizowała żądań usunięcia danych osobowych (prawa do bycia zapomnianym), zasłaniając się brakiem wskazania „konkretnych podstaw” żądania. W odpowiedzi nie wskazywała też wszystkich celów, dla których dane objęte żądaniem usunięcia miały być nadal przetwarzane. Do tego zasadność odmowy nie została wykazana przez spółkę mimo obowiązywania zasady rozliczalności z art. 5 ust. 2 RODO.
Praktyka „shadow blocking” niezgodna z RODO
Kolejny zarzut dotyczył procederu „shadow blocking” polegającego na nieinformowaniu użytkownika, który rzekomo naruszył zasady działania platformy, o dalszym przetwarzaniu jego danych osobowych, mimo zamiaru usunięcia go z tej platformy. W tym zakresie spółce zarzucono naruszenie zasady rzetelności i przejrzystości przetwarzania danych.
Decyzja litewskiego organu nadzorczego jest nieprawomocna.
-
Uodo.gov.pl
- Przetwarzanie danych osobowych w grupie przedsiębiorstw według RODO
- Jak zabezpieczyć infrastrukturę informatyczną w związku z powodzią – rekomendacje Pełnomocnika Rządu ds. Cyberbezpieczeństwa
- Referencje w procesie zamówień publicznych - jaka jest podstawa przetwarzania danych osobowych wg RODO
- 1,5% podatku na OPP – co z danymi osobowymi darczyńców w zeznaniach podatkowych
- Czy inspektor ochrony danych może obsługiwać zgłoszenia naruszenia prawa od sygnalistów
- Jak przygotować procedury cyberbezpieczeństwa w placówce medycznej
Bezpieczne przechowywanie danych w chmurze
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
