オランダDPA、GDPR違反でNetflixに475万ドルの罰金

オランダのデータ保護局(DPA)は、2018年から2020年までの個人データの使用状況について顧客に十分な情報を提供しなかったとして、Netflixに475万ユーロ(500万ドル)の罰金を科した。

DPA は、プライバシーに取り組むオーストリアの NGO である None of your business (noyb) からの苦情を受けて、2019 年に Netflix に対する調査を開始しました。

オランダの監視機関は、このストリーミング サービスが顧客のデータを正確にどのように扱うかについて、プライバシーに関する声明の中で十分に明確に顧客に通知していないことを発見しました。

さらに、Netflix が収集する顧客データについて問い合わせた際、顧客には適切な情報が提供されておらず、これは一般データ保護規則 (GDPR) の違反となります。

どうやら、Netflixは、電子メールアドレスや電話番号などの連絡先詳細、支払い情報、視聴したコンテンツやプラットフォーム上でのアクティビティの正確なタイミングなどの視聴行動の詳細な記録を含む広範な個人情報をユーザーから収集しているようです。

DPAによると人気のビデオ ストリーミング サービスは、次のようないくつかの重要な側面に関して顧客に明確で適切な情報を提供できませんでした。

  • 個人データの収集および使用の目的と法的根拠。
  • どの個人データが第三者と共有されるか、およびその具体的な理由に関する情報。
  • Netflix が個人データを保持する期間。
  • Netflix は、個人データをヨーロッパ以外の国に転送する際に、その安全性を確保するためにどのような措置を講じていますか。

「世界中で何十億もの顧客を抱えるそのような企業は、顧客に個人データの取り扱いを適切に説明する必要があります。それは明白でなければなりません。特に顧客がこれについて尋ねた場合はそうです。そしてそれは順序が間違っていた」とオランダDPA会長アレイド・ヴォルフセンは語った。

DPA の決定を受けて、noyb のデータ保護弁護士、ステファノ・ロセッティ氏は次のように述べています。言った: 「Netflixに対して罰金を科すというDPAの決定に満足しています。しかし、非常に単純なケースで、それを取得するまでにほぼ5年かかりました。」 

一方、Netflixはこの罰金に対し、過去5年間、調査中にオランダDPAと積極的に協力し、透明性を確保し、情報提供を改善するためにすでにプライバシーに関する声明を積極的に更新してきたと述べた。

「5年以上前に調査が始まって以来、私たちはオランダのデータ保護局と緊密に連携し、会員により明確に提供するためにプライバシー情報を継続的に進化させてきました」とNetflixの広報担当者は述べた。

一方、Netflixは罰金には異議を唱えているが、決定全体としてはまだ控訴していない。