Boete van 4,75 miljoen euro voor Netflix door Autoriteit Persoonsgegevens wegens onvolledige privacyverklaring

De Autoriteit Persoonsgegevens (AP) heeft op 26 november 2024 besloten Netflix een boete van 4,75 miljoen euro op te leggen. Netflix heeft haar klanten volgens de AP onvoldoende duidelijk geïnformeerd in haar privacyverklaring over de verwerking van persoonsgegevens, de ontvangers van persoonsgegevens, de bewaartermijnen en internationale doorgifte van persoonsgegevens.

Netflix slaat net als veel bedrijven tegenwoordig persoonsgegevens van hun klanten op. Dit gebeurt om verschillende redenen, zoals voor communicatie over speciale aanbiedingen of nieuwe content. Naast het opslaan van persoonsgegevens, worden deze persoonsgegevens ook met derden gedeeld. Om de privacy van individuen te beschermen, zijn er binnen de EU-regels voor de verwerking en het delen van persoonsgegevens. Zo moet de privacyverklaring van een bedrijf onder andere vermelden welke organisaties de ontvangers van persoonsgegevens zijn en voor welk doel de persoonsgegevens worden verwerkt.

De AP heeft vastgesteld dat Netflix op verschillende punten tekort is geschoten in haar informatie in haar privacyverklaring. Als verantwoordelijke voor haar klantgegevens heeft Netflix daarmee diverse verplichtingen geschonden. Zo heeft Netflix:

1. De doeleinden en grondslagen van de verwerking van persoonsgegevens niet duidelijk aangegeven

Netflix had de relatie tussen de verwerking van persoonsgegevens en de doeleinden waarvoor deze gegevens worden verwerkt op een duidelijke en begrijpelijke manier moeten toelichten in haar privacyverklaring.

Daarnaast heeft Netflix nagelaten inzichtelijk te maken welke gegevens zij gebruikt voor het aanbevelen van haar aanbod, het analyseren van doelgroepen en het voorkomen van fraude. Ook heeft Netflix niet inzichtelijk gemaakt welke persoonsgegevens zij van ‘partners’ ontvangt om de geografische locaties van betrokkenen te bepalen.

2. De partijen die persoonsgegevens ontvangen zijn niet duidelijk vermeld

De AP is verder van mening dat Netflix de namen van ontvangers van persoonsgegevens in haar privacyverklaring had moeten opnemen. Netflix heeft sinds 7 juli 2022 met een link met haar lijst van ontvangers staat deze overtreding beëindigd.

3. De bewaartermijnen van persoonsgegevens zijn niet genoemd

In de privacyverklaring van Netflix worden geen concrete bewaartermijnen genoemd. Dat had volgens de AP wel gemoeten. Netflix zou daarvoor niet onevenredig veel maatregelen moeten nemen.

4. Waarborgen bij doorgifte van persoonsgegevens naar derde landen zijn niet vermeld

Netflix heeft ook niet aangegeven welke rechten betrokkenen (personen wiens persoonsgegevens het betreft) hebben wanneer hun gegevens buiten de EU worden verwerkt. Ook heeft Netflix niet aangegeven naar welke landen zij de privacygegevens stuurt.

Aangezien Netflix niet volledig in strijd was met de transparantie eisen heeft de AP de overtreding als mild bestempeld. Dit leidde ertoe dat de AP een boete van 4,75 miljoen euro in lijn vond met de aard en ernst van de overtreding.

Tip:

• Check of laat checken of je privacyverklaring de vier genoemde elementen bevat. Zo niet, update je privacyverklaring.
• Check ook of je aan andere AVG-verplichtingen voldoet.

Voor vragen of nadere informatie over dit artikel kun je contact opnemen via service@deraadgevers.nl of 088-133 11 33.

Vraag de AVG-nulmeting van de Raadgevers aan op service@deraadgevers.nl onder vermelding van nulmeting AVG.