Bauda skirta VDAI išnagrinėjus Prancūzijos ir Lenkijos priežiūros institucijų persiųstus pareiškėjų skundus ir nustačius Bendrojo duomenų apsaugos reglamento (BDAR) pažeidimus.
VDAI atliko tyrimą pagal 2021 ir 2022 m. Prancūzijos ir Lenkijos priežiūros institucijų persiųstus pareiškėjų skundus dėl to, kad bendrovė galimai netinkamai įgyvendino jų prašymus dėl teisės reikalauti ištrinti duomenis („teisės būti pamirštam“) ir teisės susipažinti su duomenimis.
Skundų nagrinėjimo metu nustatyta, kad bendrovė, atsakydama į pareiškėjų prašymus, nurodė, jog nesiims veiksmų dėl konkretaus prašymo ištrinti duomenis, nes atitinkamas pareiškėjas savo prašyme neįvardijo „konkrečių pagrindų“, įtvirtintų BDAR 17.
Taip pat bendrovė nenurodė visų neveikimo priežasčių, t. y. tikslų, dėl kurių ir toliau po prašymo pateikimo bus tvarkomi konkrečios apimties pareiškėjų duomenys.
Skundų nagrinėjimo metu nustatyta, kad bendrovė, siekdama užtikrinti platformos ir jos naudotojų saugumą, dalies pareiškėjų atžvilgiu neteisėtai, pažeisdama sąžiningumo ir skaidrumo principus, taikė „šešėlinį blokavimą“ (asmens duomenų tvarkymą, atliekamą turint tikslą, jog asmuo, galimai pažeidžiantis „Vinted“ platformos veiklos principus, paliktų platformą, nežinodamas apie tokį jo asmens duomenų tvarkymą).
Be to, bendrovė nesiėmė pakankamų techninių ir organizacinių priemonių, kad užtikrintų atskaitomybės principo įgyvendinimą ir galėtų įrodyti, jog ėmėsi veiksmų dėl teisės susipažinti su duomenimis.
VDAI sprendimas Lietuvos Respublikos administracinių bylų teisenos įstatymo nustatyta tvarka per vieną mėnesį nuo jo įteikimo dienos gali būti skundžiamas Regionų administraciniam teismui.
Tai – didžiausia, skirta už duomenų apsaugos pažeidimus
Advokatų kontoros „Motieka ir Audzevičius“ duomenų apsaugos teisininkė Raminta Girtavičiūtė pabrėžia, kad tokia bauda – neįprastai didelė. Taip pat, anot jos, neįprasta, kad toks sprendimas priimtas reaguojant į bendrovės pasirinkimą nesiimti veiksmų dėl konkretaus prašymo ištrinti duomenis.
„Beveik 2,4 mln. eurų bauda neabejotinai Lietuvoje yra didžiausia bauda, skirta už duomenų apsaugos pažeidimus. Vertinant šios baudos dydį, net „Citybee“ 110 tūkst. eurų bauda nebeatrodo tokia didelė. Ganėtinai neįprasta, kad tokio dydžio bauda skirta ne dėl duomenų nutekėjimo, o sulaukus duomenų subjektų skundų dėl netinkamo duomenų subjekto teisių įgyvendinimo, konkrečiai – dėl teisės būti pamirštam ir teisės susipažinti“, – žiniasklaidai pateiktame komentare teigia R.Girtavičiūtė.
Teisininkė neabejoja, kad tokia bausmė paskatins verslus susimastyti, ar jie turi veikiančius mechanizmus, kurie leidžia įgyvendinti Bendrojo duomenų apsaugos reglamento (BDAR) reikalavimus.
„Vertinant „Vinted“ skirtą baudą net nėra abejonių, kad didelę įtaką turėjo tai, jog duomenų tvarkymas yra tarpvalstybinis ir sprendimas buvo derinamas tarp 6 valstybių priežiūros institucijų. Vis dėlto nėra paslaptis, kad „Vinted“ itin daug dėmesio skiria privatumo sričiai, tad ši bauda turėtų paskatinti visus verslus susimąstyti, ar jie turi duomenų subjekto teisių įgyvendinimo mechanizmus, ir ar žino, kaip atsakyti į gautus prašymus“, – komentuoja ji.
R.Girtavičiūtė priduria, kad BDAR įgyvendinimas iki dabar kelia verslui problemų, kadangi gautuose laiškuose gali būti nedetalizuojama, kad asmuo nori įgyvendinti BDAR įtvirtintą teisę. Visgi, ji pažymi, kad Europos duomenų valdybos sprendimu, pareiškėjai gali būti nesusipažinę su reglamento aspektais.
„Nors BDAR galioja jau 6 metus, daugeliui duomenų valdytojų duomenų subjektų teisių įgyvendinimas vis dar kelia galvos skausmą. Neretai gavę klientų laiškus, verslai suka galvą, bandydami suprasti, ar asmuo nori įgyvendinti savo, kaip duomenų subjekto teises, ar ne“, – aiškina R.Girtavičiūtė.
„Pareiškėjai gali būti nesusipažinę su painiais BDAR aspektais ir patartina būti atlaidiems asmenims, kurie naudojasi savo teise susipažinti su duomenimis, visų pirma, tais atvejais, kai tai daro nepilnamečiai“, – Europos duomenų apsaugos valdybą cituoja ji.
