Autoriteit Persoonsgegevens (AP) har utfärdat en sanktionsavgift på 4 750 000 euro mot Netflix International BV för överträdelse av dataskyddsförordningen (GDPR).
Av beslutet framgår att streamingtjänsten Netflix kräver att dess användare skapar ett konto för att få tillgång företagets tjänster. När användarna skapar kontot måste de lämna personuppgifter till Netflix som exempelvis namn, födelsedatum, e-postadress, telefonnummer och bankkontonummer. När användarna streamar filmer och serier från Netflix behandlar Netflix dessutom uppgifter om användarnas tittarbeteende för att kunna förse dem med filmer och serier som kan vara av intresse för dem.
None of your business (noyb) lämnade in en begäran om tillgång för två användares räkning. Efter att Netflix svarat lämnade noyb, som företrädare för dessa användare, in ett klagomål till den österrikiska dataskyddsmyndigheten Datenschutzbehörde (DSB) eftersom Netflix inte på ett adekvat sätt informerade användarna om behandlingen av deras uppgifter. DSB överförde ärendet till AP, eftersom Netflix har sitt huvudkontor i Amsterdam.
Vid bedömningen av den påstådda överträdelsen av informationsskyldigheten och rätten till tillgång till information beaktade AP fyra punkter; rättslig grund och ändamål för behandling av personuppgifter, mottagare av personuppgifter, lagringsperioder och internationella överföringar.
Netflixs information om rättslig grund och ändamål för behandling av personuppgifter. Netflix angav åtta syften med behandlingen av personuppgifter, vilka skilde sig avsevärt från de syften som angavs i integritetspolicyn och i svaret på begäran om tillgång. De rättsliga grunder som Netflix angav var samtycke, avtal, rättsliga förpliktelser och berättigat intresse. AP konstaterade att Netflix inte tillhandahöll den relevanta informationen på ett organiserat sätt och inte på ett korrekt sätt informerade om vilka uppgifter som används för företagets erbjudanden, analys av målgrupper och förebyggande av bedrägerier. Vidare konstaterade AP att Netflix underlåtit att upplysa om vilka personuppgifter företaget får från tredje part. Netflix hade således brutit mot artiklarna 13.1 (c) och 15.1 (a) GDPR.
Netflixs information om mottagare av personuppgifter. Netflix använder sig av tjänsteleverantörer som kan behandla och lämna ut personuppgifter om de registrerade. Netflixs integritetspolicy och Netflixs svar på begäran om tillgång innehöll dock inte namnen på sådana mottagare, trots att Netflix lämnat denna information i sina inlagor. Denna underlåtenhet att lämna ut relevant information både i integritetspolicyn och i svaret på begäran om tillgång utgjorde enligt AP en överträdelse av artiklarna 13.1 (e) och 15.1 (c) GDPR.
Netflixs information om lagringsperioder. I sin integritetspolicy och i Netflixs svar på begäran om tillgång angav Netflix att de kommer att lagra den registrerades personuppgifter enligt vad som är tillåtet enligt lagar och förordningar, men underlät att specifikt nämna varaktigheten för sådan lagring i sin integritetspolicy och i sitt svar på begäran om tillgång. AP konstaterade därför en överträdelse av artiklarna 13.2 (a) och 15.1 (d) GDPR.
Netflixs information om Internationella överföringar. Netflix angav inte i sitt integritetspolicy vilka rättigheter de registrerade har när deras personuppgifter överförs utanför EES. Ingen hänvisning gjordes till de specifika länderna utanför EES och ingen hänvisning gjordes till vare sig beslut om adekvat skyddsnivå eller lämpliga skyddsåtgärder. AP konstaterade därför en överträdelse av artikel 15.2 GDPR.
AP har utfärdat en sanktionsavgift på 4 750 000 euro mot Netflix för överträdelse av artiklarna 12.1, 13.1, 15.1 och 15.2 GDPR. Vid fastställandet av bötesbeloppet beaktade AP allvaret i överträdelsen och företagets årsomsättning på 30 733 miljarder euro, samt det faktum att särskilda kategorier av uppgifter inte berördes.