Jak poinformował Urząd Ochrony Danych Osobowych w obwieszczeniu zamieszczonym na swojej stronie internetowej, 2 lipca 2024 r. litewski organ ochrony danych nałożył administracyjną karę pieniężną w wysokości ponad 2,3 mln euro na spółkę Vinted UAB, operatora platformy sprzedażowej oraz powiązanej z nią aplikacji umożliwiającej użytkownikom sprzedaż i zakup używanych ubrań.
Niniejsza sprawa związana była bezpośrednio z udziałem Urzędu Ochrony Danych Osobowych (UODO), którego to udział polegał na przekazaniu do litewskiego organu nadzorczego skarg polskich użytkowników platformy Vinted w zakresie nie realizowania przez nią żądań związanych z prawem do bycia zapomnianym z art. 17 RODO oraz prawem dostępu do danych ujętym w art. 15 RODO.
Jak wskazywali polscy użytkownicy platformy Vinted, w przypadku chęci wypłacanie środków pieniężnych za sprzedane rzeczy wymagała ona od nich szeregu danych osobowych, z których część wydawała się nadmiarowymi, naruszającymi zasadę minimalizacji danych, o której mowa w art. 5 RODO. Mowa tu choćby o konieczności przesłania skanu dowodu osobistego, co jak wiadomo w polskim porządku prawnym jest ściśle określone i co do zasady, możliwość zbierania tego typu danych jest raczej wyjątkiem niż standardem. Z informacji przekazanych przez UODO wynika, że w przypadku nie przekazania tego typu skanu, środki zgromadzone przez użytkownika platformy były blokowane, a ich wypłata wykluczona.
Jednocześnie Vinted informował osoby, które wnioskowały, aby usunąć ich dane osobowe z platformy, że nie uczyni tego, gdyż jak tłumaczył brak było wskazania przez użytkowników „konkretnych podstaw”, o których mowa w art. 17 RODO. Ponadto jak ustalił litewski organ nadzorczy – Państwowy Inspektorat Ochrony Danych spółka Vinted nie informowała w odpowiedzi na wnioski użytkowników o wszystkich celach dla których dane wnioskujących miały być przetwarzane: „Badając sprawę, litewski organ ustalił również, że spółka, w celu zapewnienia bezpieczeństwa platformy i jej użytkowników, bezprawnie stosowała praktykę tzw. „shadow blocking”, tj. nie informowała użytkownika, który rzekomo naruszył zasady działania platformy, o dalszym przetwarzaniu jego danych osobowych, pomimo zamiaru usunięcia go z platformy.” Takie postępowanie spotkało się z reakcja organu nadzorczego, który wyraźnie stwierdził, że narusza ono zasady ujęte w RODO, a mianowicie szczególnie jeżeli chodzi o zasadę rzetelnego i przejrzystego przetwarzania danych osobowych, co w konsekwencji negatywnie wpływało na inne prawa użytkowników platformy Vinted, a w koniec końców także na możliwość ich dochodzenia.
Co więcej w toku czynności nadzorczy litewski organ stwierdził, że spółka Vinted nie wdrożyła odpowiednich technicznych i organizacyjnych środków pozwalających spełnić zasadę rozliczalności, o której mowa w art. 5 RODO, tak aby móc wykazać, czy podjęła lub uzasadnienie odmówiła podjęcia działań w zakresie żądania podmiotu danych prawa dostępu do swoich danych osobowych.
Mając na uwadze wielkość podmiotu i skalę przetwarzania danych osobowych przez platformę Vinted, wypada wyrazić zdziwienie co do sposobu w jaki postępowała odnośnie do ochrony danych osobowych swoich użytkowników. Kto jak kto, ale podmiot o takich zasobach i zakresie swojej działalności powinien przestrzegać zasad prawnych dotyczących ochrony danych osobowych. Przedstawione przez UODO szczegóły dotyczące kary finansowej nałożonej przez litewski organ nadzorczy świadczą o ewidentnym braku zachowania przez platformę Vinted należytej staranności w zakresie przestrzegania zasad ujętych w RODO. Prawa podmiotów danych ujętych w rozdziale III RODO muszą być respektowane. Bez możliwości kontroli nad swoimi danymi każdy z nas, nie tylko użytkownik platformy Vinted, pozostaje bezradny, a szczególnie wobec tzw. „wielkich graczy”, którzy jak pokazuje praktyka często czują się bezkarni. Zatem w mojej opinii dobrze się stało, że litewski organ nadzorczy w porozumieniu z polskim UODO oraz innymi organami nadzorczymi (z Francji, Holandii i Hiszpanii) zareagował i wymierzył stosowną karę finansową. Być może tego typu postepowanie się nie powtórzy. Przynajmniej miejmy taka nadzieję.
Warto wspomnieć, że RODO w art. 83 definiuje kwestię administracyjnych kar pieniężnych w zakresie złamania praw osób, których dane dotyczą, a o których mowa w art. 12- 22. Zatem należy pamiętać, że naruszenia przepisów dotyczących powyższych kwestii podlegają administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. W omawianym przypadku platforma Vinted został ukarana kwota 2,3 mln EUR. Czy ta kwota jest adekwatna, jeżeli chodzi o spółkę Vinted? Z pewnością każda kara jest bolesna, a środki w ten sposób utracone spółka mogła spożytkować w inny, bardziej efektywny sposób. Zatem warto jest stosować zasady ochrony danych osobowych zapisane w rozporządzeniu i innych aktach prawnych.
Autor: Radosław Aniszczyk