Η Vinted, η κορυφαία διαδικτυακή πλατφόρμα για πωλήσεις second-hand προϊόντων, έλαβε πρόστιμο ύψους 2.385.276 ευρώ (2.582.730 $) για παραβίαση του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR) της ΕΕ.
Η παραβίαση σχετιζόταν με αιτήματα διαγραφής προσωπικών δεδομένων χρηστών και το πρόστιμο επιβλήθηκε στις 2 Ιουλίου από το Λιθουανικό Γραφείο Προστασίας Δεδομένων (VDAI). Αξίζει να σημειωθεί ότι η Vinted εδρεύει στη Λιθουανία.
Δείτε επίσης: H Heritage Valley Health System έλαβε πρόστιμο 950.000 δολάρια για επίθεση Ransomware
Το πρόστιμο προέκυψε μετά από έρευνα που έγινε με αφορμή πολλαπλές καταγγελίες κατά της Vinted, για αποτυχία προστασίας δεδομένων των χρηστών. Οι περισσότερες καταγγελίες έγιναν από χρήστες από τη Γαλλία, την κορυφαία αγορά πελατών της Vinted. Οι καταγγελίες ξεκίνησαν το 2020 και “αφορούσαν κυρίως δυσκολίες που αντιμετώπιζαν τα άτομα κατά την άσκηση του δικαιώματός τους στη διαγραφή δεδομένων“.
Αυτές οι καταγγελίες διαβιβάστηκαν στη λιθουανική αρχή προστασίας δεδομένων, η οποία ξεκίνησε έρευνα σε συνεργασία με γαλλικές, πολωνικές, ολλανδικές και γερμανικές αρχές.
Το σύστημα «Stealth Ban» της Vinted βρίσκεται υπό έλεγχο
Σύμφωνα με τις γαλλικές αρχές, η online πλατφόρμα αγορών δεν ανταποκρίθηκε αποτελεσματικά σε αιτήματα χρηστών για διαγραφή προσωπικών δεδομένων.
Δείτε επίσης: ΕΕ: Πρόστιμο στη Microsoft για παραβίαση αντιμονοπωλιακών νόμων;
Επιπλέον, η αρχή κατηγόρησε τη Vinted για την εφαρμογή ενός συστήματος “stealth ban“. Σύμφωνα με αυτό το σύστημα, αν η πλατφόρμα θεωρεί ότι ένας χρήστης είναι κακόβουλος (δεν σέβεται τους κανόνες της πλατφόρμας) κρύβει τη δραστηριότητά του στους άλλους χρήστες, χωρίς να τον ενημερώσει. Και έτσι, αναγκάζει τον χρήστη να εγκαταλείψει την πλατφόρμα. Η γαλλική αρχή προστασίας δεδομένων θεωρεί αυτή τη μέθοδο “υπερβολική παραβίαση των δικαιωμάτων των χρηστών“.
Τέλος, η έρευνα έδειξε ότι η Vinted δεν μπόρεσε να αποδείξει ότι είχε ανταποκριθεί επαρκώς στα αιτήματα των πελατών για πρόσβαση σε προσωπικά δεδομένα, κάτι που, επίσης, θεωρήθηκε παραβίαση του GDPR και οδήγησε στο πρόστιμο.
Δείτε επίσης: OpenAI και ChatGPT κατηγορούνται για παραβίαση του GDPR
Η Vinted είπε στο γαλλικό πρακτορείο AFP ότι θα ασκήσει έφεση. Ένας εκπρόσωπος της Vinted δήλωσε: “Αποδοκιμάζουμε ουσιαστικά αυτήν την απόφαση, η οποία δεν έχει νομική βάση και δημιουργεί μια νέα κατάσταση που υπερβαίνει τόσο την ισχύουσα νομοθεσία όσο και την πρακτική του κλάδου“.
Παραβίαση GDPR
Ο GDPR καθορίζει τις απαιτήσεις για τη συλλογή, την αποθήκευση και τη διαχείριση προσωπικών δεδομένων από επιχειρήσεις και οργανισμούς. Οι απαιτήσεις ισχύουν για οργανισμούς με έδρα την Ευρώπη που επεξεργάζονται προσωπικά δεδομένα ατόμων στην ΕΕ, αλλά και για οργανισμούς εκτός της ΕΕ οι οποίοι στοχεύουν Ευρωπαίους πολίτες.
Η μη τήρηση των κανόνων του GDPR μπορεί να οδηγήσει σε σημαντικό πρόστιμο, όπως συνέβη στην περίπτωση της Vinted. Η Αρχή Προστασίας Δεδομένων μπορεί, επίσης, να επιβάλει συμπληρωματικά διορθωτικά μέτρα, π.χ. να διατάξει τη διακοπή της επεξεργασίας προσωπικών δεδομένων.
Πηγή: www.infosecurity-magazine.com
