Vinted, de operator van het online platform voor tweedehandskleding, ontvangt een boete van 2,4 miljoen euro voor het overtreden van de GDPR-regels.
Het onderzoek, dat begon in 2021, werd uitgevoerd naar aanleiding van klachten van gebruikers over Vinted’s verwerking van verzoeken tot gegevensverwijdering en toegang. De State Data Protection Inspectorate (SDPI) constateerde dat Vinted gebruikers niet voldoende redenen gaf waarom hun gegevens niet werden verwijderd, zoals vereist onder Artikel 17 van de GDPR. Ook onthield het bedrijf bepaalde informatie over het voortzetten van gegevensverwerking, wat in strijd is met de transparantievereisten van de GDPR.
Daarnaast bleek uit het onderzoek dat Vinted ‘shadow blocking’ toepaste. Dit houdt in dat gebruikers die mogelijk de platformregels schenden, ongemerkt worden geblokkeerd. Deze praktijk schendt de principes van eerlijkheid en transparantie, zoals vastgelegd in de GDPR, en belemmert gebruikers in hun recht op gegevensbescherming.
Het resultaat is een boete van 2,4 miljoen euro voor het overtreden van de GDPR-regels.
Maatregelen en Verantwoording
De SDPI stelde verder vast dat Vinted onvoldoende technische en organisatorische maatregelen had genomen om aan de accountability-vereisten van de GDPR te voldoen. Het bedrijf kon niet aantonen dat het adequate acties had ondernomen of geweigerd, in reactie op verzoeken van gebruikers om toegang tot hun gegevens.
Bij de bepaling van de boete hield de SDPI rekening met de richtlijnen van de Europese Data Protection Board (EDPB) van mei 2023. Factoren zoals de grensoverschrijdende aard van Vinted’s gegevensverwerking, het grote aantal getroffen personen en de lange duur van de inbreuken speelden een rol bij de vaststelling van de hoogte van de boete.
lees ook
GDPR maakt dataopslag aanzienlijk duurder voor bedrijven
De zaak werd behandeld in een besloten zitting met vertegenwoordigers van de SDPI en Vinted. De beslissing werd afgestemd met de toezichthoudende autoriteiten van andere EU-lidstaten, waaronder Duitsland, Frankrijk, Polen, Nederland en Spanje, in overeenstemming met het ‘one-stop shop’ principe van de GDPR.
Vinted heeft de mogelijkheid om de beslissing binnen een maand aan te vechten bij de Administratieve Rechtbank van de Regio’s volgens de Litouwse wetgeving inzake administratieve procedures.