Amendă administrativă în valoare de 2 385 276 euro aplicată de către Autoritatea Lituaniană pentru Protecția Datelor companiei Vinted, UAB pentru prelucrarea ilegală a datelor cu caracter personal

Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), cu titlu informativ și aplicativ, comunică despre amenda administrativă în valoare de 2 385 276 euro aplicată de către Autoritatea Lituaniană pentru Protecția Datelor (SA) operatorului platformei online de comercializare și schimb de haine second-hand – Vinted, UAB pentru încălcarea articolului 5 – Principii referitoare la prelucrarea datelor cu caracter personal, articolului 6 – Legalitatea prelucrării, articoluuil 12 – Transparența informațiilor, a comunicărilor și a modalităților de exercitare a drepturilor persoanei vizate și articolului 83  – Condiții generale pentru impunerea amenzilor administrative, din GDPR.

SA Lituaniană a inițiat o investigație în urma plângerilor reclamanților (utilizatori ai platformei Vinted) transmise de SA Franceză și SA Poloneză în 2021 și, respectiv, 2022, susținând că compania nu a pus în aplicare în mod corespunzător cererile acestora cu privire la dreptul de ștergere („dreptul de a fi uitat”) și dreptul de acces.

În urma investigațiilor, SA Lituaniană a constatat că, compania în răspunsurile sale la solicitările de ștergere a datelor cu caracter personal, a declarat că nu va acționa în baza unei cereri specifice, deoarece solicitantul în cauză nu a identificat un motiv specific în temeiul articolului 17 alineatul (1) din GDPR și nu a identificat toate scopurile pentru care datele cu caracter personal specifice ale solicitanților ar continua să fie prelucrate după depunerea cererii.

Totodată, compania pentru a asigura securitatea platformei și a utilizatorilor săi, a aplicat în mod ilegal „shadow blocking” (prelucrarea datelor cu caracter personal cu intenția ca o persoană care se presupune că încalcă principiile de funcționare ale platformei Vinted să părăsească platforma fără a fi conștientă de această prelucrare a datelor sale cu caracter personal) în ceea ce privește unii dintre solicitanți, cu încălcarea principiilor echității și transparenței, iar punerea în aplicare necorespunzătoare a acestor principii au afectat negativ capacitatea utilizatorilor platformei de a-și exercita alte drepturi și de a solicita despăgubiri în temeiul GDPR.

În plus, compania nu a asigurat suficiente măsuri tehnice și organizatorice pentru punerea în aplicare a principiului responsabilității și pentru a putea demonstra că a luat (sau a refuzat în mod rezonabil să ia) măsuri cu privire la dreptul de acces.

În acest context, SA Lituaniană a decis să impună o amendă administrativă în valoare de 2 385 276 euro companiei Vinted, UAB. Atunci când a decis cuantumul amenzii, SA Lituaniană s-a bazat pe Orientările 04/2022 din 24 mai 2023 ale Comitetului European pentru Protecția Datelor privind calcularea amenzilor administrative în temeiul GDPR și a luat în considerare domeniul de aplicare transfrontalier al prelucrării efectuate de companie, faptul că încălcările au afectat un număr mare de persoane vizate și au durat o perioadă lungă de timp. 

CNPDCP, în calitate de autoritate națională de supraveghere a prelucrării datelor cu caracter personal, accentuează asupra responsabilității operatorilor de date cu caracter personal de a respecta prevederile cadrului legislativ în materie de protecție a datelor cu caracter personal și de a se asigura că operațiunile de prelucrare a datelor cu caracter personal sunt conforme legislației în vigoare.