Vinted gavo rekordinę beveik 2,4 mln eur siekiančią baudą. Kodėl baudos skyrimas yra įdomus?
Tokių BDAR baudų Lietuvoje dar nebuvo. Bet, mano manymu, šiuo atveju įdomiausia yra ne įspūdingos baudos dydis, bet kiti teisiniai niuansai.
Visų pirma, už ką Vinted gavo baudą?
BDAR pažeidimų bauda buvo paskirta už tai, kad Vinted, trumpai kalbant, galimai netinkamai įgyvendino duomenų subjektų prašymus dėl teisės reikalauti ištrinti duomenis („teisės būti pamirštam”) ir teisės susipažinti su duomenimis, kurios įtvirtintos BDAR 15 ir 17 straipsniuose. Buvo nustatyta, kad įmonė, atsakydama į vartotojų prašymus, nurodė, kad nesiėmė veiksmų dėl konkretaus prašymo ištrinti duomenis, nes atitinkamas pareiškėjas savo prašyme neįvardijo „konkrečių pagrindų”, neįvardijo priežasčių. Taip pat įmonė ir toliau po pateiktų prašymų tvarkė vartotojų duomenis.
Taip pat nustatyta, kad įmonė, siekdama užtikrinti platformos saugumą, neteisėtai taikė „šešėlinį blokavimą” (t. y. asmens duomenų tvarkymą, atliekamą turint tikslą, jog asmuo, pažeidžiantis Vinted platformos veiklos principus, paliktų platformą, nežinodamas apie tokį jo asmens duomenų tvarkymą). Tai turėjo įtakos vartotojų galimybėmis pasinaudoti kitomis BDAR įtvirtintomis teisėmis.
Na ir buvo nustatyta, kad Vinted nesiėmė pakankamai techninių ir organizacinių priemonių, kad užtikrintų atskaitomybės principo įgyvendinimą ir galėtų įrodyti, kad ėmėsi veiksmų dėl teisės susipažinti su duomenimis.
Beje, esu rašiusi apie rekordinę BDAR baudą, kurią gavo Meta.
Kodėl šis atvejis ypatingai įdomus?
Taigi, trumpai tariant, Vinted neįgyvendino vartotojų prašymų, susijusių su jų teisėmis pagal BDAR. Bet šioje istorijoje įdomiausia dalis yra tai, kad bauda paskirta ne už kažkokį duomenų nutekėjimą, neteisėtą atskleidimą, paviešinimą ir kt., bet už tai, kad Vinted nesiėmė veiksmų, kai į juos kreipėsi duomenų subjektai dėl savo teisių įgyvendinimo.
Bauda buvo paskirta, nes buvo gauti vartotojų (duomenų subjektų) skundai įvairiose valstybėse.
Kokie tolimesni veiksmai? Vinted jau pareiškė, kad skųs VDAI sprendimą teismui, bet, manau, kad baudą vis tiek teks galiausiai susimokėti (gal tik keisis jos dydis).
Šioje situacije, susidaro įspūdis, kad Vinted tiesiog abejingai žiūrėjo į tokius gautus prašymus ir buvo už tai nubausta (beje, savo praktikoje jau esame turėję atvejų, kai įmonės/įstaigos baudžiamos už tai, kad neįgyvendina arba aplaidžiai įgyvendina klientų/darbuotojų/vartotojų teises, tik tos baudos nebuvo tokios didelės).
Ko galime pasimokyti iš šios baudos?
Tad pasimokant iš šios Vinted pamokos, patarimas, kaip visada:
- susitvarkyti dokumentus ir nusimatyti duomenų subjektų teisių įgyvendinimo tvarką,
- neignoruoti jų prašymų,
- apmokyti darbuotojus, kad jie žinotų, kaip elgtis, gavus tokius prašymus.
Kas liečia BDAR, visada geriau susitvarkyti viską iš anksto, nei vėliau mokėti baudas. Aš ir mano komanda galime padėti duomenų apsaugos klausimais.
Kviečiu susisiekti ir aptarsime, kaip galėtume Jums padėti
Taip pat kviečiu susipažinti su kitu mano straipsniu apie BDAR baudas ir kaip jų išvengti.