Nedostatek transparentnosti
Podle tiskové zprávy nizozemského úřadu pro ochranu dat z 18. prosince 2024 nebyly dokumenty o ochraně osobních údajů společnosti Netflix souladu s požadavky GDPR na jasnost a úplnost. Kromě toho společnost Netflix neposkytovala dostatečné odpovědi na dotazy spotřebitelů týkající se shromažďování a používání jejich osobních údajů.
Vyšetřování, které nizozemský úřad zahájil v roce 2019, ukázalo, že společnost Netflix neposkytla zákazníkům dostatečné informace o:
účelech a právních základech zpracovávání jejich údajů
rozsahu osobních údajů, které sdílí s jinými stranami,
za jakým účelem tyto údaje sdílí,
jak dlouho údaje uchovává a
jak zajišťuje jejich bezpečnost při přenosu do zemí mimo Evropskou unii.
Předseda nizozemského dozorového úřadu Aleid Wolfsen uvedl: „Společnost jako [Netflix], s miliardovými tržbami a miliony zákazníků po celém světě, musí jasně vysvětlit svým zákazníkům, jak nakládá s jejich osobními údaji. To musí být naprosto jasné. Obzvláště, když se na to zákazník zeptá. A to nebylo v pořádku.“
Stížnost od NOYBu
Vyšetřování nizozemského úřadu bylo zahájeno na základě stížnosti organizace None of Your Business (NOYB), rakouské organizace na ochranu soukromí. Tato stížnost byla nejprve předložena rakouskému úřadu na ochranu osobních údajů a následně postoupena nizozemskému úřadu, protože hlavní evropské sídlo společnosti Netflix se nachází právě v Nizozemsku. Podle pravidel GDPR musí společnosti, které zpracovávají údaje ve více členských státech EU, řešit dotazy a vyšetřování prostřednictvím úřadu na ochranu osobních údajů v zemi jejich hlavního evropského sídla.
Nizozemský dozorový úřad koordinoval vyšetřování a výši pokuty s dalšími evropskými úřady na ochranu osobních údajů.
Šílící trend vymáhání GDPR
Pokuta uložená společnosti Netflix je součástí širšího trendu vymáhání GDPR po celé Evropě. V srpnu 2024 nizozemský dozorový úřad udělil společnosti Uber pokutu ve výši 290 milionů eur za přenos údajů řidičů do Spojených států bez dostatečných záruk. Uber od té doby porušení odstranil.
Podobně v květnu 2023 irský úřad na ochranu osobních údajů uložil společnosti Meta Platforms pokutu ve výši 1,2 miliardy eur za nedodržování ochrany údajů evropských uživatelů Facebooku před sledovacími praktikami v USA. Kromě pokuty bylo společnosti Meta nařízeno pozastavit budoucí přenos osobních údajů do USA a ukončit „nelegální zpracovávání" údajů uživatelů EU uložených v USA.
Dopady rozhodnutí na další organizace
Společnost Netflix od ukončení kontroly aktualizovala své prohlášení o ochraně osobních údajů a zlepšila interní postupy pro vyřizování podnětů subjektů údajů.
Uvedený celoevropský trend posilujícího dozoru nad dodržováním GDPR zdůrazňuje vysoká rizika pro globální společnosti, které zpracovávají osobní údaje ve větším rozsahu. Organizace musí zajistit robustní a transparentní postupy ochrany osobních údajů, obzvláště při vyřizování dotazů dotčených osob a přeshraničních přenosech údajů. Pokuty slouží jako připomínka důležitosti dodržování předpisů a možných důsledků jejich porušení.
