Vinted działa jak dawniej banki. Dlatego sprawa trafiła do UODO (aktualizacja)
Serwis Vinted, czyli internetowy "lumpeks" z ubraniami od użytkowników, wpisuje się w trend ponownego wykorzystywania ciuchów zamiast kupowania nowych. Nie wszystkie praktyki są jednak nowoczesne. Aplikacja chce weryfikować za pomocą skanu dokumentu, a to nie wszystkim się podoba.
Operatorem (platformy oraz powiązanej z nią aplikacji) jest Vinted UAB z siedzibą na Litwie. Jak czytamy na stronie urzędu, UODO wystąpiło z wnioskiem "w trybie art. 61 RODO do Państwowego Inspektoratu Ochrony Danych (litewskiego organu nadzorczego) o wszczęcie postępowania z urzędu lub przeprowadzenie kontroli w firmie Vinted UAB w celu dostosowania operacji przetwarzania do przepisów ogólnego rozporządzenia o ochronie danych (RODO)".
Użytkownicy aplikacji zgłaszali UODO wątpliwości związane z weryfikacją. Vinted potwierdzało klientów za pomocą skanu dokumentów, takich jak dowód osobisty, paszport czy prawo jazdy. Polacy są już bardziej wyczuleni - zapewne właśnie dzięki RODO - i skanami dzielić więcej się nie chcą.
UODO domaga się:
ustalenia podstawy prawnej przetwarzania danych osobowych przez operatora platformy Vinted.pl (w szczególności danych zawartych w polskich dowodach osobistych), zbadania zakresu i rodzaju przetwarzanych danych osobowych, a także sposobu oraz celu zbierania i udostępniania danych osobowych.
Polski urząd pragnie wiedzieć też, czy "administrator wdrożył odpowiednie środki techniczne i organizacyjne, aby zapewnić odpowiedni stopień ochrony danych".
Dla użytkowników problemem często niekoniecznie jest to, że trzeba się tak weryfikować, tylko to, co ze skanem przesłanym operatorowi, bankowi czy innej instytucji finansowej później się dzieje. Scenariusz, że kopia wpada w niepowołane ręce, nie jest niemożliwy. Ot, zagrożeniem jest choćby wyciek danych.
Czytaj też: Vinted w ogniu krytyki. "Czuję się oszukana"
Dlatego UODO już wcześniej przypominało, że np. w bank nie zawsze może kserować dowód osobisty. Te tłumaczą się ustawą o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu. Nie zawsze jest ona jednak podstawą - np. nie powinna obowiązywać, gdy ktoś chce założyć konto bankowe czy zbadać zdolność kredytową klienta.
Prezes UODO zaznacza jednak, że możliwość kopiowania dokumentów tożsamości w przypadkach określonych w tej ustawie nie jest równoznaczna z takim obowiązkiem po stronie banków. Ponadto za każdym razem, gdy bank na podstawie art. 34 ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmowi zamierza skopiować dokument tożsamości, to decyzje o tym powinien poprzedzić analizą i zweryfikowaniem czy rzeczywiście taka czynność jest niezbędna, zgodnie z zasadami celowości i minimalizacji, o których mowa w art. 5 ust. 1 lit b) i c) RODO, czyli ogólnego rozporządzenia o ochronie danych osobowych.
Co wyniknie z postępowania w sprawie Vinted? Na razie piłka jest po litewskiej stronie. Na odpowiedź UODO czekać może maksymalnie miesiąc od otrzymania wniosku.
Aktualizacja
Otrzymaliśmy komunikat Vinted - poniżej zamieszczamy jego treść:
Przede wszystkim możemy potwierdzić, że nie otrzymaliśmy jeszcze żadnego zapytania od litewskiego organu nadzorczego w tej sprawie, a zatem nie możemy udzielić szczegółowych informacji na temat samego wniosku. W przypadku transakcji, które odbywają się za pośrednictwem zintegrowanego systemu płatności Vinted, korzystamy z usług odpowiednich dostawców, tzn. wszystkie płatności są przetwarzane nie przez Vinted, lecz przez nich. W związku z tym, wspomnieni dostawcy usług przeprowadzają procedurę zwaną KYC (“Know Your Customer”). Należy podkreślić, że nie każdy członek Vinted.pl jest zobowiązany do przesłania skanu swojego dokumentu tożsamości, ponieważ jest on wymagany tylko wtedy, gdy spełnione są określone do tego kryteria procedur KYC po stronie naszego dostawcy usług płatniczych. W takim przypadku nasz dostawca usług płatniczych może poprosić o przesłanie dowodu tożsamości - może to być kopia paszportu, dowodu osobistego lub prawa jazdy, w tym tymczasowego prawa jazdy, może być również wymagany wyciąg z konta bankowego - jest to konieczne, aby nasz dostawca usług płatniczych mógł przestrzegać przepisów dotyczących przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu. Więcej informacji na temat sposobu przetwarzania danych osobowych na platformie Vinted można znaleźć w naszej polityce prywatności. Pragniemy podkreślić, że wszystkie wyżej wymienione regulacje mają na celu zapewnienie bezpieczeństwa naszej społeczności, które jest dla nas najwyższym priorytetem. Po otrzymaniu wspomnianego zapytania, chętnie podejmiemy współpracę z wszelkimi instytucjami, które będą chciały zweryfikować poprawność naszych intencji i działań.
