Vinted działa jak dawniej banki. Dlatego sprawa trafiła do UODO (aktualizacja)

Vinted działa jak dawniej banki. Dlatego sprawa trafiła do UODO (aktualizacja)30.03.2021 17:04
Vinted na celowniku UODO

Serwis Vinted, czyli internetowy "lumpeks" z ubraniami od użytkowników, wpisuje się w trend ponownego wykorzystywania ciuchów zamiast kupowania nowych. Nie wszystkie praktyki są jednak nowoczesne. Aplikacja chce weryfikować za pomocą skanu dokumentu, a to nie wszystkim się podoba.

Operatorem (platformy oraz powiązanej z nią aplikacji) jest Vinted UAB z siedzibą na Litwie. Jak czytamy na stronie urzędu, UODO wystąpiło z wnioskiem "w trybie art. 61 RODO do Państwowego Inspektoratu Ochrony Danych (litewskiego organu nadzorczego) o wszczęcie postępowania z urzędu lub przeprowadzenie kontroli w firmie Vinted UAB w celu dostosowania operacji przetwarzania do przepisów ogólnego rozporządzenia o ochronie danych (RODO)".

Użytkownicy aplikacji zgłaszali UODO wątpliwości związane z weryfikacją. Vinted potwierdzało klientów za pomocą skanu dokumentów, takich jak dowód osobisty, paszport czy prawo jazdy. Polacy są już bardziej wyczuleni - zapewne właśnie dzięki RODO - i skanami dzielić więcej się nie chcą.

UODO domaga się:

ustalenia podstawy prawnej przetwarzania danych osobowych przez operatora platformy Vinted.pl (w szczególności danych zawartych w polskich dowodach osobistych), zbadania zakresu i rodzaju przetwarzanych danych osobowych, a także sposobu oraz celu zbierania i udostępniania danych osobowych.

Polski urząd pragnie wiedzieć też, czy "administrator wdrożył odpowiednie środki techniczne i organizacyjne, aby zapewnić odpowiedni stopień ochrony danych".

Dla użytkowników problemem często niekoniecznie jest to, że trzeba się tak weryfikować, tylko to, co ze skanem przesłanym operatorowi, bankowi czy innej instytucji finansowej później się dzieje. Scenariusz, że kopia wpada w niepowołane ręce, nie jest niemożliwy. Ot, zagrożeniem jest choćby wyciek danych.

Czytaj też: Vinted w ogniu krytyki. "Czuję się oszukana"

Dlatego UODO już wcześniej przypominało, że np. w bank nie zawsze może kserować dowód osobisty. Te tłumaczą się ustawą o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu. Nie zawsze jest ona jednak podstawą - np. nie powinna obowiązywać, gdy ktoś chce założyć konto bankowe czy zbadać zdolność kredytową klienta.

Prezes UODO zaznacza jednak, że możliwość kopiowania dokumentów tożsamości w przypadkach określonych w tej ustawie nie jest równoznaczna z takim obowiązkiem po stronie banków. Ponadto za każdym razem, gdy bank na podstawie art. 34 ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmowi zamierza skopiować dokument tożsamości, to decyzje o tym powinien poprzedzić analizą i zweryfikowaniem czy rzeczywiście taka czynność jest niezbędna, zgodnie z zasadami celowości i minimalizacji, o których mowa w art. 5 ust. 1 lit b) i c) RODO, czyli ogólnego rozporządzenia o ochronie danych osobowych.

Co wyniknie z postępowania w sprawie Vinted? Na razie piłka jest po litewskiej stronie. Na odpowiedź UODO czekać może maksymalnie miesiąc od otrzymania wniosku.

Aktualizacja

Otrzymaliśmy komunikat Vinted - poniżej zamieszczamy jego treść:

Przede wszystkim możemy potwierdzić, że nie otrzymaliśmy jeszcze żadnego zapytania od litewskiego organu nadzorczego w tej sprawie, a zatem nie możemy udzielić szczegółowych informacji na temat samego wniosku. W przypadku transakcji, które odbywają się za pośrednictwem zintegrowanego systemu płatności Vinted, korzystamy z usług odpowiednich dostawców, tzn. wszystkie płatności są przetwarzane nie przez Vinted, lecz przez nich. W związku z tym, wspomnieni dostawcy usług przeprowadzają procedurę zwaną KYC (“Know Your Customer”). Należy podkreślić, że nie każdy członek Vinted.pl jest zobowiązany do przesłania skanu swojego dokumentu tożsamości, ponieważ jest on wymagany tylko wtedy, gdy spełnione są określone do tego kryteria procedur KYC po stronie naszego dostawcy usług płatniczych. W takim przypadku nasz dostawca usług płatniczych może poprosić o przesłanie dowodu tożsamości - może to być kopia paszportu, dowodu osobistego lub prawa jazdy, w tym tymczasowego prawa jazdy, może być również wymagany wyciąg z konta bankowego - jest to konieczne, aby nasz dostawca usług płatniczych mógł przestrzegać przepisów dotyczących przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu. Więcej informacji na temat sposobu przetwarzania danych osobowych na platformie Vinted można znaleźć w naszej polityce prywatności. Pragniemy podkreślić, że wszystkie wyżej wymienione regulacje mają na celu zapewnienie bezpieczeństwa naszej społeczności, które jest dla nas najwyższym priorytetem. Po otrzymaniu wspomnianego zapytania, chętnie podejmiemy współpracę z wszelkimi instytucjami, które będą chciały zweryfikować poprawność naszych intencji i działań.
Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na