Teisininkė: „Vinted“ gauta bauda – didžiausia, skirta už duomenų apsaugos pažeidimus

Taip pat, anot jos, neįprasta, kad toks sprendimas priimtas reaguojant į bendrovės pasirinkimą nesiimti veiksmų dėl konkretaus prašymo ištrinti duomenis.  

„Beveik 2,4 mln. eurų bauda neabejotinai Lietuvoje yra didžiausia bauda, skirta už duomenų apsaugos pažeidimus. Vertinant šios baudos dydį, net „Citybee“ 110 tūkst. eurų bauda nebeatrodo tokia didelė. Ganėtinai neįprasta, kad tokio dydžio bauda skirta ne dėl duomenų nutekėjimo, o sulaukus duomenų subjektų skundų dėl netinkamo duomenų subjekto teisių įgyvendinimo, konkrečiai – dėl teisės būti pamirštam ir teisės susipažinti“, – žiniasklaidai pateiktame komentare teigia R. Girtavičiūtė.

Teisininkė neabejoja, kad tokia bausmė paskatins verslus susimastyti, ar jie turi veikiančius mechanizmus, kurie leidžia įgyvendinti Bendrojo duomenų apsaugos reglamento (BDAR) reikalavimus.

„Vertinant „Vinted“ skirtą baudą net nėra abejonių, kad didelę įtaką turėjo tai, jog duomenų tvarkymas yra tarpvalstybinis ir sprendimas buvo derinamas tarp 6 valstybių priežiūros institucijų. Vis dėlto nėra paslaptis, kad „Vinted“ itin daug dėmesio skiria privatumo sričiai, tad ši bauda turėtų paskatinti visus verslus susimąstyti, ar jie turi duomenų subjekto teisių įgyvendinimo mechanizmus, ir ar žino, kaip atsakyti į gautus prašymus“, – komentuoja ji.

Nors BDAR galioja jau 6 metus, daugeliui duomenų valdytojų duomenų subjektų teisių įgyvendinimas vis dar kelia galvos skausmą

R. Girtavičiūtė priduria, kad BDAR įgyvendinimas iki dabar kelia verslui problemų, kadangi gautuose laiškuose gali būti nedetalizuojama, kad asmuo nori įgyvendinti BDAR įtvirtintą teisę.

Visgi, ji pažymi, kad Europos duomenų valdybos sprendimu, pareiškėjai gali būti nesusipažinę su reglamento aspektais.

„Nors BDAR galioja jau 6 metus, daugeliui duomenų valdytojų duomenų subjektų teisių įgyvendinimas vis dar kelia galvos skausmą. Neretai gavę klientų laiškus, verslai suka galvą, bandydami suprasti, ar asmuo nori įgyvendinti savo, kaip duomenų subjekto teises, ar ne“, – aiškina R. Girtavičiūtė.

„Pareiškėjai gali būti nesusipažinę su painiais BDAR aspektais ir patartina būti atlaidiems asmenims, kurie naudojasi savo teise susipažinti su duomenimis, visų pirma, tais atvejais, kai tai daro nepilnamečiai“, – Europos duomenų apsaugos valdybą cituoja ji.

Trečiadienį Valstybinė duomenų apsaugos inspekcija (VDAI) skyrė beveik 2,4 mln. eurų administracinę baudą internetinę dėvėtų drabužių prekybos ir mainų platformą „Vinted“ valdančiai UAB Vinted.

Bauda skirta VDAI išnagrinėjus Prancūzijos ir Lenkijos priežiūros institucijų persiųstus pareiškėjų skundus ir nustačius Bendrojo duomenų apsaugos reglamento (BDAR) pažeidimus.

Skundų nagrinėjimo metu nustatyta, kad bendrovė, siekdama užtikrinti platformos ir jos naudotojų saugumą, dalies pareiškėjų atžvilgiu neteisėtai, pažeisdama sąžiningumo ir skaidrumo principus, taikė „šešėlinį blokavimą“ (asmens duomenų tvarkymą, atliekamą turint tikslą, jog asmuo, galimai pažeidžiantis „Vinted“ platformos veiklos principus, paliktų platformą, nežinodamas apie tokį jo asmens duomenų tvarkymą).

Be to, bendrovė nesiėmė pakankamų techninių ir organizacinių priemonių, kad užtikrintų atskaitomybės principo įgyvendinimą ir galėtų įrodyti, jog ėmėsi veiksmų dėl teisės susipažinti su duomenimis.