Polityka i prawo
UODO chce skontrolować firmę Vinted. Firma odpowiada na zarzuty polskiego organu
Urząd Ochrony Danych Osobowych zwrócił się do litewskiego organu nadzorczego o pomoc w sprawie Vinted. Powodem skierowania wniosku są liczne sygnały docierające do Urzędu (m.in. poprzez infolinię) odnoszące się do żądania przedstawienia kopii dowodów osobistych przez ten portal.
Jak wskazuje UODO, operatorem (platformy oraz powiązanej z nią aplikacji) jest Vinted UAB z siedzibą na Litwie. W związku z tym Urząd „wystąpił z wnioskiem w trybie art. 61 RODO do Państwowego Inspektoratu Ochrony Danych (litewskiego organu nadzorczego) o wszczęcie postępowania z urzędu lub przeprowadzenie kontroli w firmie Vinted UAB w celu dostosowania operacji przetwarzania do przepisów ogólnego rozporządzenia o ochronie danych (RODO)” - czytamy w komunikacie. Procedura odbyła się w ramach mechanizmu wzajemnej współpracy.
UODO podkreśla, że we wniosku o wzajemną pomoc z dnia 24 marca 2021 r. wskazano na m.in. konieczność:
- ustalenia podstawy prawnej przetwarzania danych osobowych przez operatora platformy Vinted.pl (w szczególności danych zawartych w polskich dowodach osobistych),
- zbadania zakresu i rodzaju przetwarzanych danych osobowych,
- sposobu oraz celu zbierania i udostępniania danych osobowych,
- konieczność zweryfikowania, czy administrator wdrożył odpowiednie środki techniczne i organizacyjne, aby zapewnić odpowiedni stopień ochrony danych.
W komunikacie wskazano, że wspomniany wniosek Urząd złożył za pośrednictwem systemu IMI, czyli Systemu Wymiany Informacji na Rynku Wewnętrznym (ang. Internal Market Information System). „Jest to narzędzie, które umożliwia organom nadzorczym współpracę administracyjną ze swoimi odpowiednikami z innych państw członkowskich oraz z Komisją Europejską” - tłumaczy UODO. Jak dodaje, organ litewski powinien udzielić odpowiedzi bez zbędnej zwłoki i nie później niż w terminie miesiąca od otrzymania wniosku.
Aktualizacja [01.04.2021]: Firma Vinted w przesłanym do naszej redakcji oświadczeniu oświadczyła, że na ten moment nie otrzymała jeszcze żadnego zapytania od litewskiego organu nadzorczego w tej sprawie.
Popularna litewska platforma do wymiany i sprzedaży używanych ubrań i akcesoriów odpiera zarzuty polskiego Urzędu informując, że w przypadku transakcji, które odbywają się za pośrednictwem zintegrowanego systemu płatności Vinted, firma korzysta "z usług odpowiednich dostawców, tzn. wszystkie płatności są przetwarzane nie przez Vinted, lecz przez nich. W związku z tym, wspomnieni dostawcy usług przeprowadzają procedurę zwaną KYC (“Know Your Customer”)" - czytamy w oświadczeniu.
"Należy podkreślić, że nie każdy członek Vinted.pl jest zobowiązany do przesłania skanu swojego dokumentu tożsamości, ponieważ jest on wymagany tylko wtedy, gdy spełnione są określone do tego kryteria procedur KYC po stronie naszego dostawcy usług płatniczych" - informuje firma. "W takim przypadku nasz dostawca usług płatniczych może poprosić o przesłanie dowodu tożsamości - może to być kopia paszportu, dowodu osobistego lub prawa jazdy, w tym tymczasowego prawa jazdy, może być również wymagany wyciąg z konta bankowego - jest to konieczne, aby nasz dostawca usług płatniczych mógł przestrzegać przepisów dotyczących przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu" - argumentuje firma.
SZP/UODO