W środę holenderski organ ochrony danych (DPA) nałożył na Netflix karę w wysokości 4,75 miliona euro (około 4,93 miliona dolarów) za niewystarczające informowanie użytkowników o sposobach wykorzystywania ich danych osobowych w latach 2018–2020. To kolejne przypomnienie dla technologicznych gigantów o wadze zgodności z przepisami RODO, szczególnie w kontekście transparentności wobec konsumentów.
Śledztwo przeprowadzone przez DPA w 2019 roku wykazało, że Netflix nie przekazywał swoim użytkownikom jasnych informacji na temat przetwarzania gromadzonych danych. Problem dotyczył między innymi takich danych jak adresy e-mail, numery telefonów, szczegóły dotyczące płatności oraz informacji o oglądanych treściach. Wątpliwości wzbudziła zarówno treść polityki prywatności Netflixa, jak i brak szczegółowych wyjaśnień udzielanych w odpowiedzi na zapytania użytkowników dotyczące ich danych.
Według DPA, takie praktyki stanowią naruszenie przepisów Ogólnego Rozporządzenia o Ochronie Danych (RODO). Regulacja wymaga od firm nie tylko pełnej przejrzystości, ale także spełniania konkretnego obowiązku informacyjnego w zakresie celu i podstaw prawnych przetwarzania danych.
Oprócz braku jasności w celu i podstawach przetwarzania danych, Netflix został oskarżony także o nieprzejrzystość w kwestii przekazywania danych stronom trzecim. DPA podkreśliło, że użytkownicy nie byli dostatecznie poinformowani, jakie dane i w jakim celu mogą być udostępniane innym podmiotom. Zastrzeżenia dotyczyły również okresu przechowywania danych oraz gwarancji bezpieczeństwa w trakcie przesyłania ich poza obszar Europejskiego Obszaru Gospodarczego.
Sprawa Netflixa została zgłoszona do holenderskiego organu ochrony danych przez austriacką organizację non-profit None of Your Business (noyb) w styczniu 2019 roku. Organizacja wyraziła zadowolenie z decyzji DPA, chociaż podkreśliła, że procedura trwała niemal pięć lat. Przedstawiciele noyb wskazali również na poważniejsze problemy, takie jak brak możliwości uzyskania pełnej kopii danych zgłoszonych przez jedną ze stron skarżących.
W międzyczasie Netflix zaktualizował swoją politykę prywatności i poprawił sposób, w jaki informuje użytkowników o przetwarzaniu ich danych. Mimo to firma postanowiła podważyć nałożoną karę, co zasugerował holenderski organ ochrony danych. Przewodniczący DPA, Aleid Wolfsen, zaznaczył: „Firma z tak dużymi obrotami i milionami użytkowników na całym świecie powinna jasno wyjaśnić, jak zarządza danymi osobowymi. To musi być całkowicie zrozumiałe, szczególnie jeśli klient się o to pyta. W tym przypadku tak jednak nie było”.
Kara nałożona na Netflix jest częścią szerszego trendu nakierowanego na pociągnięcie dużych korporacji do odpowiedzialności za naruszenie przepisów RODO. Organizacja noyb złożyła również podobne skargi przeciwko Amazonowi, Apple Music, Spotify i YouTube. Skarga przeciwko Spotify zakończyła się w czerwcu 2023 roku nałożeniem przez szwedzki organ ochrony danych (IMY) kary w wysokości około 5 milionów euro.
Warto wspomnieć, że Netflix nie jest jedyną globalną firmą, która musiała zmierzyć się z konsekwencjami naruszenia przepisów o ochronie danych w ostatnich latach. Irlandzka Komisja Ochrony Danych (DPC) nałożyła karę wynoszącą 251 milionów euro na Meta za naruszenie danych osobowych użytkowników w 2018 roku, które dotknęło około 3 milionów osób w Unii Europejskiej.
Wobec coraz częściej nakładanych kar za niezgodność z RODO, przypadek Netflixa stanowi silne przypomnienie dla firm technologicznych, że ochrona danych to nie tylko wymóg prawny, ale również element budowania zaufania w relacjach z użytkownikami. Organizacje te muszą dokładać wszelkich starań, aby ich działania były przejrzyste i zgodne z obowiązującymi regulacjami.
