Holenderski organ nakłada grzywnę na Netflix za niewłaściwe informowanie klientów

Dochodzenie wykazało, że Netflix m.in. nie informował klientów wystarczająco jasno w swoim oświadczeniu o ochronie prywatności o tym, co dokładnie robi z ich danymi. W związku ze stwierdzonymi naruszeniami holenderski organ nadzorczy nałożył na Netflix karę w wysokości 4,75 mln euro.

Informacje ogólne

• Data wydania ostatecznej decyzji: 26 listopada 2024 r.
• Sprawa transgraniczna, procedura One-Stop-Shop: decyzja została podjęta przez krajowe organy nadzoru zgodnie z procedurą współpracy One-Stop-Shop (OSS).
• LSA: Niderlandy
• CSA: Austria (dwie osoby, których dane dotyczą, z Austrii złożyły skargę do austriackiego organu nadzorczego)
• Odniesienie prawne: art. 5 (Zasady dotyczące przetwarzania danych osobowych), art. 12 (Przejrzyste informacje, komunikacja i sposoby wykonywania praw przez osobę, której dane dotyczą), art. 13 (Informacje, które należy przekazać w przypadku gromadzenia danych osobowych od osoby, której dane dotyczą), art. 15 (Prawo dostępu przysługujące osobie, której dane dotyczą).
• Decyzja: administracyjna kara pieniężna
  

Geneza sprawy 

Holenderski organ nadzorczy (SA) wszczął dochodzenie w następstwie skarg złożonych przez None of your business (noyb), austriacką organizację pozarządową zajmującą się ochroną prywatności. Skargi te zostały złożone do austriackiego organu ochrony danych i przekazane holenderskiemu organowi nadzorczemu, ponieważ Netflix ma swoją główną europejską siedzibę w Holandii.

Kluczowe ustalenia

Dochodzenie wykazało, że Netflix nie informował klientów wystarczająco jasno w swoim oświadczeniu o ochronie prywatności o tym, co dokładnie robi z ich danymi (art. 5 ust. 1 lit. a) i art. 12 ust. 1 w związku z art. 13 ust. 1 lit. c), e) i f) RODO) oraz art. 13 ust. 2 lit. a) RODO). Ponadto klienci nie otrzymywali wystarczających informacji, gdy pytali Netflix, jakie dane firma gromadzi na ich temat. Tym samym doszło do naruszenia RODO z art. 5 ust. 1 lit. a) i art. 12 ust. 1 w związku z art. 15 ust. 1 lit. a), c) i d) oraz art. 15 ust. 2 RODO).

W kilku punktach Netflix przekazał klientom zbyt mało informacji lub informacje te były niejasne. Firma nie przedstawiła wystarczająco jasno;

• • celów i podstawy prawnej gromadzenia i wykorzystywania danych osobowych (art. 13 ust. 1 lit. c) i art. 5 ust. 1 lit. a) RODO);
• • które dane osobowe są udostępniane przez Netflix innym podmiotom i dlaczego dokładnie tak się dzieje (art. 13 ust. 1 lit. e) i art. 15 ust. 1 lit. c) RODO);
• • jak długo Netflix przechowuje dane (art. 13 ust. 2 lit. a) i art. 15 ust. 1 lit. d) RODO);
• • w jaki sposób Netflix zapewnia bezpieczeństwo danych osobowych, gdy firma przekazuje je do krajów spoza Europy (art. 13 ust. 1 lit. f) i art. 15 ust. 2 RODO).
  

Decyzja

Holenderski SA nałożył na Netflix grzywnę w wysokości 4,75 mln euro.

Źródło:

strona EROD

Więcej informacji:

Decyzja krajowa Netflix fined for not properly informing customers (angielski), 
Boete Netflix voor niet goed informeren klanten (holenderski)