„Nematome jokio teisinio pagrindo šiam VDAI sprendimui ir manome, kad jis sukuria naują precedentą, kuris peržengia teisinio reguliavimo ir geriausių šios srities praktikų ribas. Su sprendimu visiškai nesutinkame ir jį skųsime teismui“, – pranešė bendrovė.

Inspekcija baudą „Vinted“ skyrė už vartotojų duomenų apsaugos pažeidimus, nustatytus išnagrinėjus Prancūzijos ir Lenkijos priežiūros institucijų pagal 2021 ir 2022 metais persiųstus pareiškėjų skundus ir nustačius Bendrojo duomenų apsaugos reglamento (BDAR) pažeidimus.

Bendrovė tikina, kad VDAI tyrimas nėra susijęs su platformos vartotojų duomenų saugumu, o įmonė laikosi BDAR nuostatų.

„Norime užtikrinti savo narius, kad šis Valstybinės duomenų apsaugos inspekcijos tyrimas yra niekaip nesusijęs su jų paskyrų saugumu ar netinkamu jų asmens duomenų naudojimu. Labai rimtai žiūrime į BDAR ir privatumo sritį, daug investuojame į atitiktį teisės aktų reikalavimams ir mūsų narių saugumą. Viso proceso metu bendradarbiavome su VDAI“, – teigė „Vinted“.

Inspekcija trečiadienį paskelbė atlikusi tyrimą dėl to, kad „Vinted“ galimai netinkamai įgyvendino Prancūzijos ir Lenkijos klientų prašymus dėl teisės ištrinti jų duomenis („teisės būti pamirštam“) ir susipažinti su jais.

Pasak Lietuvos inspekcijos, nagrinėjant skundus nustatyta, kad „Vinted“ atsisakė ištrinti duomenis, nes pareiškėjai neįvardijo „konkrečių pagrindų“, įtvirtintų BDAR, taip pat bendrovė nenurodė tikslų, dėl kurių ir toliau būtų tvarkomi konkrečios apimties pareiškėjų duomenys.

Taip pat nustatyta, kad „Vinted“, siekdama užtikrinti platformos ir jos naudotojų saugumą, daliai vartotojų neteisėtai taikė vadinamąjį „šešėlinį blokavimą“ – asmens duomenų tvarkymą, atliekamą siekiant, jog asmuo, galimai pažeidžiantis „Vinted“ platformos principus, paliktų platformą, nežinodamas apie tokį jo duomenų tvarkymą.

Advokatų kontoros „Motieka ir Audzevičius“ duomenų apsaugos teisininkės Ramintos Girtavičiūtės teigimu, beveik 2,4 mln. eurų yra didžiausia bauda, skirta už duomenų apsaugos pažeidimus Lietuvoje.

Pasak jos, iki šiol labiausiai už tokius pažeidimus buvo nubausta automobilių dalijimosi platforma „CityBee“, gavusi 110 tūkst. eurų baudą po to, kai 2021 metais apie 110 tūkst. jos klientų duomenys buvo nutekinti internete.

„Ganėtinai neįprasta, kad tokio dydžio bauda skirta ne dėl duomenų nutekėjimo, o sulaukus duomenų subjektų skundų dėl netinkamo duomenų subjekto teisių įgyvendinimo, konkrečiai – dėl teisės būti pamirštam ir teisės susipažinti“, – pranešime teigė R. Girtavičiūtė.

Teisininkės teigimu, sprendimą skirti tokią didelę  baudą lėmė, jog sprendimas dėl netinkamo duomenų tvarkymo buvo derinamas tarp šešių valstybių priežiūros institucijų.

„Vinted“ veikia Lietuvoje ir dar 18-oje užsienio rinkų.