1. Pagrindinis
  2. Prekyba
2024-07-03 12:16
BNS
Liucija Zubrutė
Rūta Balčiūnienė

„Vinted“ – 2,4 mln. Eur bauda, bendrovė ją ketina skųsti

Juditos Grigelytės (VŽ) nuotr.
Juditos Grigelytės (VŽ) nuotr.
Drabužių tarpusavio prekybos platformos „Vinted“ valdytojai, pirmajam Lietuvos „vienaragiui“ skirta beveik 2,39 mln. Eur bauda už vartotojų duomenų apsaugos pažeidimus.

Papildyta „Vinted“ komentaru

Bauda skirta išnagrinėjus Prancūzijos ir Lenkijos priežiūros institucijų persiųstus vartotojų skundus ir nustačius Bendrojo duomenų apsaugos reglamento (BDAR) pažeidimus, trečiadienį pranešė Valstybinė duomenų apsaugos inspekcija (VDAI).

VDAI sprendimas nustatyta tvarka per vieną mėnesį nuo jo įteikimo dienos gali būti skundžiamas Regionų administraciniam teismui.

Pasak institucijos, vartotojai kreipėsi dėl to, kad bendrovė galimai netinkamai įgyvendino jų prašymus dėl „teisės būti pamirštam“ ir teisės susipažinti su duomenimis.

Ketina skųsti

„Vinted“ VŽ atsiųstame komentare pabrėžia, kad nori užtikrinti savo narius, kad šis Valstybinės duomenų apsaugos inspekcijos tyrimas yra niekaip nesusijęs su jų paskyrų saugumu ar netinkamu jų asmens duomenų naudojimu. 

„Labai rimtai žiūrime į BDAR ir privatumo sritį, daug investuojame į atitiktį teisės aktų reikalavimams ir mūsų narių saugumą. Viso proceso metu bendradarbiavome su VDAI. Vis dėlto, nematome jokio teisinio pagrindo šiam VDAI sprendimui ir manome, kad jis sukuria naują precedentą, kuris peržengia teisinio reguliavimo ir geriausių šios srities praktikų ribas. Su sprendimu visiškai nesutinkame ir jį skųsime teismui“, – rašoma „Vinted“ komentare. 

Tarnybos argumentai

Kaip aiškina VDAI, „Vinted“ tokiems vartotojams nurodė, kad netrins asmens duomenų, nes atitinkamas pareiškėjas savo prašyme neįvardijo „konkrečių pagrindų“, įtvirtintų BDAR 17 straipsnyje. Taip pat bendrovė nenurodė visų tikslų, dėl kurių ir toliau po prašymo pateikimo bus tvarkomi konkrečios apimties pareiškėjų duomenys.

„Nustatyta, kad bendrovė, siekdama užtikrinti platformos ir jos naudotojų saugumą, dalies pareiškėjų atžvilgiu neteisėtai, pažeisdama sąžiningumo ir skaidrumo principus, taikė „šešėlinį blokavimą“, – teigia VDAI.

„Šešėlinis blokavimas“ – asmens duomenų tvarkymas, atliekamas turint tikslą, jog asmuo, galbūt pažeidžiantis „Vinted“ platformos veiklos principus, paliktų platformą, nežinodamas apie tokį jo asmens duomenų tvarkymą. 

„Netinkamas minėtų principų įgyvendinimas darė neigiamą įtaką platformos vartotojų galimybėms pasinaudoti kitomis BDAR įtvirtintomis teisėmis ir jų gynimo priemonėmis“, – teigia institucija.

Be to, anot jos, „Vinted“ nesiėmė pakankamų techninių ir organizacinių priemonių, kad užtikrintų atskaitomybės principo įgyvendinimą ir galėtų įrodyti, jog ėmėsi (arba pagrįstai atsisakė imtis) veiksmų dėl teisės susipažinti su duomenimis.

Spręsdama dėl baudos dydžio VDAI rėmėsi Europos duomenų apsaugos valdybos gairėmis, atsižvelgė į tai, kad, pavyzdžiui, bendrovės atliekamo duomenų tvarkymo aprėptis yra tarpvalstybinė; pažeidimai paveikė didelį duomenų subjektų skaičių ir truko ilgą laikotarpį.

VDAI bylą dėl administracinės baudos skyrimo išnagrinėjo žodinės procedūros tvarka uždarame posėdyje, dalyvaujant VDAI ir bendrovės atstovams. Atsižvelgiant į tai, kad skundai buvo susiję ir su kitų Europos Sąjungos valstybių narių piliečių asmens duomenimis, vadovaujantis BDAR, priimtas sprendimas suderintas ir su tų valstybių asmens duomenų apsaugos priežiūros institucijomis, taikant „vieno langelio“ principą. Susijusiomis priežiūros institucijomis save laikė Vokietijos, Prancūzijos, Lenkijos, Olandijos ir Ispanijos priežiūros institucijos.

Didžiausia bauda

Raminta Girtavičiūtė, „Motieka ir Audzevičius“ duomenų apsaugos teisininkė, pabrėžia, kad beveik 2,4 mln. Eur bauda neabejotinai Lietuvoje yra didžiausia, skirta už duomenų apsaugos pažeidimus. 

„Vertinant šios baudos dydį, net „Citybee“ skirta 110.000 Eur bauda, kuri iki šiol buvo didžiausia bauda Lietuvoje, nebeatrodo tokia didelė. Ganėtinai neįprasta, kad tokio dydžio bauda skirta ne dėl duomenų nutekėjimo, o sulaukus duomenų subjektų skundų dėl netinkamo duomenų subjekto teisių įgyvendinimo, konkrečiai – dėl teisės būti pamirštam ir teisės susipažinti“, – vertina teisininkė.

Pasak jos, nors BDAR galioja jau 6 m., daugeliui duomenų valdytojų duomenų subjektų teisių įgyvendinimas vis dar kelia galvos skausmą. Neretai gavę klientų laiškus, verslai suka galvą, bandydami suprasti, ar asmuo nori įgyvendinti savo, kaip duomenų subjekto teises, ar ne. Pavyzdžiui, laiške gali būti net nedetalizuojama, kad asmuo nori įgyvendinti BDAR įtvirtintą teisę arba, kad jam yra reikalinga susijusi su duomenų tvarkymu informacija. 

Vis dėlto, Europos duomenų apsaugos valdyba yra pažymėjusi: „pareiškėjai gali būti nesusipažinę su painiais BDAR aspektais ir patartina būti atlaidiems asmenims, kurie naudojasi savo teise susipažinti su duomenimis, visų pirma, tais atvejais, kai tai daro nepilnamečiai“, primena teisininkė.

„Vertinat „Vinted“ skirtą baudą net nėra abejonių, kad didelę įtaką turėjo tai, kad duomenų tvarkymas yra tarpvalstybinis ir sprendimas buvo derinamas tarp 6 valstybių priežiūros institucijų. Vis dėlto, nėra paslaptis, kad „Vinted“ itin daug dėmesio skiria privatumo sričiai, tad ši bauda turėtų paraginti visus verslus susimąstyti, ar jie turi duomenų subjekto teisių įgyvendinimo mechanizmus, ir žino, kaip atsakyti į gautus prašymus“, – akcentuoja R. Girtavičiūtė.

24

REKOMENDUOJAME

52795
130817
52791