Podstawa prawna naruszenia
Art. 5 ust. 1 lit. a), art. 5 ust, 2, art. 12 ust. 1, 4 RODO.
Niedostateczna realizacja praw osób, których dane dotyczą.
Przyczyna naruszenia
Naruszenie dotyczyło nieprawidłowego przetwarzania danych osobowych przez spółkę Vinted UAB, w szczególności w kontekście realizacji prawa do bycia zapomnianym oraz prawa dostępu do danych.
Opis wydarzeń
- Skargi użytkowników: W 2021 i 2022 roku użytkownicy platformy Vinted złożyli skargi do francuskiego i polskiego organu ochrony danych, które następnie przekazano litewskiemu organowi nadzorczemu.
- Postępowanie: Litewski organ nadzorczy przeprowadził dochodzenie, które wykazało, że Vinted nie realizowało praw użytkowników do usunięcia danych oraz dostępu do danych zgodnie z RODO.
- Naruszenia: Stwierdzono, że Vinted:
- Nie podawało wszystkich celów przetwarzania danych po złożeniu wniosku o ich usunięcie.
- Stosowało praktykę “shadow blocking”, nie informując użytkowników o dalszym przetwarzaniu ich danych.
- Nie wdrożyło odpowiednich środków technicznych i organizacyjnych, aby spełnić wymogi zasady rozliczalności.
- Decyzja: Nałożono karę administracyjną w wysokości 2 385 276 EUR, uwzględniając m.in. transgraniczny charakter przetwarzania danych oraz długotrwałość naruszeń.
Źródło
Pełna treść decyzji organu nadzorczego
Aby uniknąć podobnych naruszeń, zalecamy:
- Transparentność: Zaleca się zapewnienie pełnej transparentności w zakresie celów przetwarzania danych osobowych.
- Zgodność z RODO: Konieczne jest wdrożenie procedur zgodnych z RODO, szczególnie w kontekście realizacji praw użytkowników do usunięcia danych i dostępu do danych.
- Środki techniczne i organizacyjne: Wdrożenie odpowiednich środków technicznych i organizacyjnych, aby móc wykazać zgodność z zasadą rozliczalności.
- Edukacja i szkolenia: Zaleca się przeprowadzenie szkoleń dla pracowników w zakresie ochrony danych osobowych i zgodności z RODO.
Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu