Jak informuje Urząd Ochrony Danych Osobowych, karę nałożył 2 lipca litewski organ ochrony danych - Państwowy Inspektorat Ochrony Danych.
Postępowanie w sprawie Vinted zostało wszczęte po skargach przekazanych mu przez polski organ UODO w 2021 i 2022 r. Polscy użytkownicy platformy sprzedażowej zarzucali, że spółka nie realizuje ich żądań związanych z prawem do bycia zapomnianym (art. 17 RODO) oraz prawem dostępu do danych (art. 15 RODO).
Spółka Vinted żądała za dużo danych osobowych
Polscy użytkownicy serwisu wskazywali, że chociaż rejestracja w serwisie jest prosta, to już wypłacenie środków zgromadzonych za sprzedane tam rzeczy jest skomplikowane i wymaga podania wielu danych osobowych. Firma wymaga m. in. przesłania skanu dowodu osobistego. Jeżeli użytkownik nie przekazał tych danych, to środki zgromadzone przez niego ze sprzedaży ubrań były blokowane i ich wypłata była niemożliwa.
Poza tym spółka nie realizowała żądań usunięcia danych osobowych (prawa do bycia zapomnianym), zasłaniając się brakiem wskazania „konkretnych podstaw” żądania. W odpowiedzi nie wskazywała też wszystkich celów, dla których dane objęte żądaniem usunięcia miały być nadal przetwarzane. Do tego zasadność odmowy nie została wykazana przez spółkę mimo obowiązywania zasady rozliczalności z art. 5 ust. 2 RODO.
Badając sprawę, litewski organ ustalił również, że spółka, w celu zapewnienia bezpieczeństwa platformy i jej użytkowników, bezprawnie stosowała praktykę tzw. shadow blocking, tj. nie informowała użytkownika, który rzekomo naruszył zasady działania platformy, o dalszym przetwarzaniu jego danych osobowych, pomimo zamiaru usunięcia go z platformy. Zdaniem organu nadzorczego tego rodzaju praktyka stanowiła naruszenie zasad rzetelnego i przejrzystego przetwarzania danych, co negatywnie wpłynęło na inne prawa użytkowników platformy i możliwość ich dochodzenia.
