Prezes UODO poprosił swojego litewskiego odpowiednika o weryfikację strony internetowej Vinted.pl i powiązanej z nią aplikacji. Powodem takiego działania są liczne wnioski osób, które korzystają z ww. platformy, spływające do UODO i wskazujące na wymóg przedstawienia dokumentu potwierdzającego tożsamość - dowodu osobistego, paszportu czy prawa jazdy. Wielu użytkowników portalu uważa, że zakres danych żądanych przez Vinted jest zbyt szeroki i zagraża bezpieczeństwu ich danych. W przypadku braku skanu/zdjęcia dokumentu potwierdzającego tożsamość użytkownicy mają zablokowaną możliwość wypłaty środków za już sprzedane ubrania.
W Polityce Prywatności zamieszczonej na stronie Vinted.pl możemy znaleźć informację o tym, jakie dane są wymagane do wypłaty środków i weryfikacja za pomocą dokumentu tożsamośći dotyczy wielu krajów Unii Europejskiej. Natomiast w zakładce „pomoc” Vinted tłumaczy, dlaczego w ten sposób działa: Wszystkie kopie dokumentów są przekazywane naszemu dostawcy płatności Adyen, który bezpiecznie je przetwarza. (…) Mówiąc wprost, możesz zostać poproszona/y o potwierdzenie, że to rzeczywiście ty dokonujesz płatności lub wypłaty środków. W ten sposób upewniamy się, że nikt inny nie ma możliwości wykonać tych czynności, podszywając się pod ciebie. Weryfikacja pozwala nam też przetwarzać twoje bieżące i nachodzące płatności”.
Operatorem (platformy oraz powiązanej z nią aplikacji) jest Vinted UAB z siedzibą na Litwie. Z tego powodu UODO – w ramach mechanizmu wzajemnej współpracy – wystąpił z wnioskiem w trybie art. 61 RODO do Państwowego Inspektoratu Ochrony Danych (litewskiego organu nadzorczego) o wszczęcie postępowania z urzędu lub przeprowadzenie kontroli w firmie Vinted UAB w celu dostosowania operacji przetwarzania do przepisów ogólnego rozporządzenia o ochronie danych (RODO).
We wniosku UODO wskazał na konieczność:
- ustalenia podstawy prawnej przetwarzania danych osobowych zawartych w dokumentach tożsamości,
- zbadania zakresu i rodzaju przetwarzanych przez Vinted danych użytkowników,
- weryfikacji środków technicznych i organizacyjnych wdrożonych przez Vinted.
Organ litewski powinien udzielić odpowiedzi na wniosek UODO bez zbędnej zwłoki i nie później niż w terminie miesiąca od otrzymania wniosku.
Nina Kowalik
Kancelaria Wyrzykowscy