Obowiązek informacyjny rodo

KOMPAS FORSAFE 2025/5

Kraj:

Holandia

Data wydania decyzji:

26.11.2024 r.

Podmiot kontrolowany:

Netflix International B.V.

Wysokość kary (EUR):

4.750.000

Podstawa prawna naruszenia

Art. 5 ust. 1 lit. a), art. 12 ust. 1, art. 13 ust. 1 lit. c), e), f), art. 13 ust. 2, art. 15 ust. 1 lit. a), c), d) RODO.

Niedostateczne wypełnienie obowiązków informacyjnych.

 

Przyczyna naruszenia

Netflix International B.V. (Netflix) naruszyło przepisy RODO poprzez niewystarczające informowanie swoich klientów o sposobie przetwarzania ich danych osobowych. Główne braki dotyczyły: celów i podstaw prawnych przetwarzania danych, odbiorców danych, okresów przechowywania danych oraz przekazywania danych do państw trzecich.

 

Opis wydarzeń

  1. Wszczęcie postępowania: Organizacja None of Your Business (NOYB) w imieniu dwóch osób złożyła skargę dotyczącą braku dostatecznych informacji na temat przetwarzania ich danych osobowych przez Netflix. Skarga została pierwotnie wniesiona do austriackiego organu nadzorczego, który następnie przekazał sprawę do holenderskiego organu nadzorczego.
  2. Zakres dochodzenia: Holenderski organ nadzorczy zbadał, czy Netflix spełnia wymogi RODO w zakresie przejrzystości przetwarzania danych. W ramach postępowania przeanalizowano: politykę prywatności Netflixa, odpowiedzi udzielane użytkownikom na żądania dostępu do danych oraz  posób informowania o okresie przechowywania danych, odbiorcach danych i ich przekazywaniu poza UE.
  3. Stwierdzone naruszenia: Ustalono, że Netflix nie dostarczał użytkownikom wystarczających informacji w zakresie: celów i podstaw prawnych przetwarzania danych osobowych, konkretnej listy odbiorców danych, okresów przechowywania danych, przekazywania danych poza Europejski Obszar Gospodarczy i stosowanych zabezpieczeń.
  4. Stanowisko Netflixa: Netflix argumentował, że jego polityka prywatności jest zgodna z obowiązującymi przepisami oraz że sposób prezentowania informacji wynika z charakteru jego platformy. Wskazywał, że nie jest zobowiązany do publikowania pełnej listy odbiorców danych, a jego podejście jest zgodne z międzynarodowymi standardami. Podkreślał, że dostępne informacje były już wystarczające dla użytkowników.
  5. Decyzja organu nadzorczego: Holenderski organ nadzorczy uznał, że Netflix nie zapewnił wystarczającej przejrzystości, co utrudniało użytkownikom kontrolę nad ich danymi. W konsekwencji nałożono na Netflix karę administracyjną w wysokości 4 750 000 EUR.
  6. Działania naprawcze Netflixa: Po zakończeniu dochodzenia Netflix zaktualizował swoją politykę prywatności, dodając m.in. listę odbiorców danych, szczegółowe informacje o międzynarodowych transferach danych a także link do dokumentacji Komisji Europejskiej dotyczącej ochrony danych. Holenderski orna nadzorczy uznał jednak, że zmiany te nie wyeliminowały w pełni naruszenia.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Zwiększenie przejrzystości: Należy zapewnić szczegółowe informacje na temat przetwarzania danych osobowych, w tym jednoznaczne wskazanie odbiorców danych oraz celów przetwarzania.
  2. Poprawa polityki prywatności: Dokumenty dotyczące prywatności powinny zawierać szczegółowe informacje dotyczące okresów przechowywania danych oraz procedur ochrony stosowanych przy ich przekazywaniu do państw trzecich.
  3. Lepsza komunikacja z użytkownikami: W odpowiedzi na żądania dostępu do danych należy dostarczać kompleksowe informacje, umożliwiające pełne zrozumienie przetwarzania danych.
  4. Dostosowanie się do wytycznych organów ochrony danych: Należy śledzić i wdrażać zalecenia Europejskiej Rady Ochrony Danych oraz poszczególnych krajowych regulatorów w zakresie przejrzystości informacji.
  5. Przegląd procesów wewnętrznych: Zaleca się regularne audyty wewnętrzne w celu monitorowania zgodności z przepisami ochrony danych i unikania przyszłych naruszeń.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO