Valstybinė duomenų apsaugos inspekcija (VDAI) 2024 m. liepos 2 d. sprendimu skyrė 2 385 276 eurų administracinę baudą internetinę dėvėtų drabužių prekybos ir mainų platformą „Vinted“ valdančiai Vinted, UAB (bendrovė). Bauda skirta VDAI išnagrinėjus Prancūzijos ir Lenkijos priežiūros institucijų persiųstus pareiškėjų skundus ir nustačius Bendrojo duomenų apsaugos reglamento (BDAR) 5 straipsnio 1 dalies a punkto (teisėtumo, sąžiningumo ir skaidrumo principų), 5 straipsnio 2 dalies (atskaitomybės principo) bei 12 straipsnio 1 ir 4 dalių (skaidraus informavimo, pranešimo ir duomenų subjekto naudojimosi savo teisėmis sąlygų) pažeidimus.
VDAI atliko tyrimą pagal 2021 ir 2022 m. Prancūzijos ir Lenkijos priežiūros institucijų persiųstus pareiškėjų skundus dėl to, kad bendrovė galimai netinkamai įgyvendino jų prašymus dėl teisės reikalauti ištrinti duomenis („teisės būti pamirštam“) ir teisės susipažinti su duomenimis.
Skundų nagrinėjimo metu nustatyta, kad bendrovė, atsakydama į pareiškėjų prašymus, nurodė, jog nesiims veiksmų dėl konkretaus prašymo ištrinti duomenis, nes atitinkamas pareiškėjas savo prašyme neįvardijo „konkrečių pagrindų“, įtvirtintų BDAR 17 straipsnyje – neįvardijo konkrečios priežasties, atitinkančios BDAR 17 straipsnio 1 dalį, taip pat bendrovė nenurodė visų neveikimo priežasčių, t. y. tikslų, dėl kurių ir toliau po prašymo pateikimo bus tvarkomi konkrečios apimties pareiškėjų duomenys.
Taip pat skundų nagrinėjimo metu nustatyta, kad bendrovė, siekdama užtikrinti platformos ir jos naudotojų saugumą, dalies pareiškėjų atžvilgiu neteisėtai, pažeisdama sąžiningumo ir skaidrumo principus, taikė „šešėlinį blokavimą“ (asmens duomenų tvarkymą, atliekamą turint tikslą, jog asmuo, galimai pažeidžiantis „Vinted“ platformos veiklos principus, paliktų platformą, nežinodamas apie tokį jo asmens duomenų tvarkymą). Pastebėtina, kad netinkamas minėtų principų įgyvendinimas neigiamai įtakojo platformos vartotojų galimybes pasinaudoti kitomis BDAR įtvirtintomis teisėmis ir jų gynimo priemonėmis.
Be to, bendrovė nesiėmė pakankamų techninių ir organizacinių priemonių, kad užtikrintų atskaitomybės principo įgyvendinimą ir galėtų įrodyti, jog ėmėsi (arba pagrįstai atsisakė imtis) veiksmų dėl teisės susipažinti su duomenimis.
Spręsdama dėl baudos dydžio VDAI rėmėsi Europos duomenų apsaugos valdybos 2023-05-24 gairėmis Nr. 04/2022 dėl administracinių baudų apskaičiavimo pagal BDAR, atsižvelgė į tai, kad, pavyzdžiui, bendrovės atliekamo duomenų tvarkymo aprėptis yra tarpvalstybinė; pažeidimai paveikė didelį duomenų subjektų skaičių ir truko ilgą laikotarpį.
VDAI bylą dėl administracinės baudos skyrimo išnagrinėjo žodinės procedūros tvarka uždarame posėdyje, dalyvaujant VDAI ir bendrovės atstovams. Atsižvelgiant į tai, kad skundai buvo susiję ir su kitų Europos Sąjungos valstybių narių piliečių asmens duomenimis, vadovaujantis BDAR, priimtas sprendimas suderintas ir su tų valstybių asmens duomenų apsaugos priežiūros institucijomis, taikant „vieno langelio“ principą. Susijusiomis priežiūros institucijomis save laikė Vokietijos, Prancūzijos, Lenkijos, Olandijos ir Ispanijos priežiūros institucijos.
VDAI sprendimas Lietuvos Respublikos administracinių bylų teisenos įstatymo nustatyta tvarka per vieną mėnesį nuo jo įteikimo dienos gali būti skundžiamas Regionų administraciniam teismui.
Atnaujinimo data: 2024-07-03
Asmens duomenų saugumo pažeidimai Lietuvoje 2024 m. I pusm.
Parengta Rekomendacija dėl darbdavio atliekamo teistumo duomenų tvarkymo