3 juli 2024 14:36

Vinted krijgt miljoenenboete vanwege GDPR-overtredingen

De Litouwse privacytoezichthouder SPDI heeft kledingplatform Vinted voor 2,4 miljoen euro beboet vanwege overtredingen van de Europese privacywetgeving (GDPR).

Onderzoek van de SPDI wijst uit dat Vinted gebruikers onvoldoende informeert over de persoonsgegevens die het platform verwerkt. Gebruikers lopen bovendien tegen problemen aan wanneer ze hun gegevens willen inzien of laten verwijderen. Vinted reageert daar nauwelijks op, of pas na een lange tijd.

Bovendien wees het kledingplatform verzoeken regelmatig af omdat gebruikers geen geldige reden hadden opgegeven, aldus de SPDI. Ook kregen gebruikers niet altijd een duidelijke toelichting over waarom een verwijderverzoek werd geweigerd. Vinted had gebruikers moeten uitleggen om welke redenen het bepaalde data blijft verwerken, maar deed dit onvoldoende.

Vinted paste volgens de SPDI ook regelmatig ‘shadowblocking’ toe. Gebruikers werden hierdoor van het platform verbannen. Dat gebeurde wanneer ze de algemene (verkoop)voorwaarden van de dienst hadden geschonden. Het bleek voor gebruikers vervolgens echter moeilijk om bij Vinted aan te kloppen voor hun GDPR-rechten. Gebruikers werden in zulke situaties ook onvoldoende geïnformeerd over hoe en waarom het kledingplatform hun gegevens bleef verwerken.

Klachten vanuit Europese landen

Het onderzoek naar Vinted werd gestart na privacyklachten uit diverse Europese lidstaten. De Litouwse toezichthouder kreeg onder meer klachten doorgestuurd vanuit Duitsland, Frankrijk, Polen en Spanje. Ook de Nederlandse toezichthouder (AP) stuurde klachten door naar de SPDI.

Naar aanleiding van het onderzoek krijgt Vinted een voorlopige boete van 2,4 euro miljoen opgelegd. Het kledingplatform kan nog binnen een maand in beroep gaan tegen de boete.