Postępowanie w sprawie Vinted zostało zainicjowane przez Państwowy Inspektorat Ochrony Danych (litewski organ nadzorczy) na skutek skarg przekazanych mu przez UODO w 2021 i 2022 r. Użytkownicy platformy sprzedażowej w skargach zarzucali, że spółka nie realizuje ich żądań związanych z prawem do bycia zapomnianym (art. 17 RODO) oraz prawem dostępu do danych (art. 15 RODO).

Szybka rejestracja, ale trudno wypłacić pieniądze za sprzedane rzeczy

Polscy użytkownicy serwisu wskazywali, że chociaż rejestracja w serwisie jest prosta, to już wypłacenie środków zgromadzonych za sprzedane tam rzeczy jest skomplikowane i wymaga podania wielu danych osobowych. Firma wymaga m. in. przesłania skanu dowodu osobistego. Jeżeli użytkownik nie przekazał tych danych, to środki zgromadzone przez niego ze sprzedaży ubrań były blokowane i ich wypłata była niemożliwa.

Czytaj też w LEX: Obowiązki dokumentacyjne w przetwarzaniu danych osobowych >

Spółka Vinted informowała osoby, które wnioskowały o usunięcie ich danych, że nie podejmie w ich sprawie żadnych działań, gdyż we wniesionych przez nich żądaniach brak było wskazania „konkretnych podstaw” zgodnie z treścią art. 17 RODO. Państwowy Inspektorat Ochrony Danych ustalił również, że spółka w odpowiedzi na wnioski skarżących nie podawała wszystkich celów, dla których dane skarżącego w określonym zakresie nadal miały być przetwarzane.

Zobacz procedurę: Nakładanie administracyjnych kar pieniężnych >

Badając sprawę, litewski organ ustalił również, że spółka, w celu zapewnienia bezpieczeństwa platformy i jej użytkowników, bezprawnie stosowała praktykę tzw. „shadow blocking”, tj. nie informowała użytkownika, który rzekomo naruszył zasady działania platformy, o dalszym przetwarzaniu jego danych osobowych, pomimo zamiaru usunięcia go z platformy. Zdaniem organu nadzorczego tego rodzaju praktyka stanowiła naruszenie zasad rzetelnego i przejrzystego przetwarzania danych, co negatywnie wpłynęło na inne prawa użytkowników platformy i możliwość ich dochodzenia.

Spółka nie wdrożyła też odpowiednich środków technicznych i organizacyjnych, aby spełnić wymogi związane z realizacją zasady rozliczalności, by móc wykazać, że podjęła lub zasadnie odmówiła podjęcia działań w oparciu o żądanie prawa dostępu do danych.

Czytaj też w LEX: Administracyjne kary pieniężne w świetle ochrony danych osobowych >

Biorąc pod uwagę, że sprawa dotyczyła również obywateli innych państw członkowskich, w wydanie decyzji były również zaangażowane organy ochrony danych z Polski, Francji, Holandii i Hiszpanii.

Czytaj też: Związki AI Act i RODO już wkrótce przysporzą firmom problemów >