Autoriteit persoonsgegevens

Boetebesluit Netflix, 26 november 2024, EUR 4,75 mln (link)

Besluit

  • Tussen 2018 en 2020 heeft Netflix niet voldaan aan informatieverplichtingen m.b.t. privacy verklaring én inzageverzoeken.
  • Specifiek t.a.v. de volgende onderwerpen:
    • Doeleinden en grondslag van de verwerkingen
    • Partijen die persoonsgegevens ontvangen (en welke gegevens)
    • Bewaartermijnen van de persoonsgegevens
    • Waarborgen bij doorgifte persoonsgegevens aan derde landen
  • Netflix geeft aan dat de AP de verplichtingen uit de AVG te stringent uitlegt.
  • TV UI zorgt dat op andere apparaten informatie plat was en niet volledig overzichtelijk.
  • Informatie ontbrak over onder andere aanbevelen van aanbod, analyseren van doelgroepen en voorkomen fraude. Verder niet inzichtelijk welke persoonsgegevens zij van derden ontvangt om locatie te bepalen.
  • Netflix had moeten begrijpen dat het loskoppelen van gegevens en doelen tot gevolg heeft dat informatie niet in beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal werd verstrekt.
  • Netflix had informatie over ontvangers uit advertentiemarkt, maar gaf slechts categorieën ontvangers. O.g.v. art. 13 ontvangers of de categorieën noemen. O. 58 AVG: m.b.t. online advertentiediensten is het voor betrokkenen lastig om te bepalen door wie en voor welk doel gegevens verzameld zijn. Behoorlijkheidsbeginsel → gegevens verstrekken die voor betrokkenen meest zinvol zijn. Mede gelet op aantal ontvangers, had Netflix gegevens moeten verstrekken in privacy verklaring en bij verzoeken.
    • Netflix heeft dit later ondervangen door een link in verklaring op te nemen naar lijst met ontvangers.
  • Geen concrete bewaartermijnen genoemd in verklaring, enkel wat voorbeelden en dat ze voldoen aan wet- en regelgeving. Netflix had daarvoor niet onevenredig veel maatregelen moeten treffen.
  • Netflix heeft verzuimd te benoemen in welke derde landen gegevens verwerkt worden, welke rechten betrokkenen hebben in dit geval en geen verwijzingen naar adequaatheidsbesluiten of passende waarborgen.
    • AP heeft vervolgens lijst met landen opgenomen, maar niet voldoende want passende waarborgen ontbreken.
  • Boete o.b.v. Richtsnoeren
    • Welke en hoeveel handelingen en inbreuken
    • Uitgangsbedrag
    • Verzachtende of verzwarende omstandigheden
    • Geen overschrijding van maximumbedrag
    • Controle op eisen van effectiviteit, afschrikking en proportionaliteit
  • Twee inbreukmakende handelingen: in verklaring en verzoeken onvoldoende geïnformeerd.
  • Uitgangsbedrag bepalen a.d.h.v. categorisatie art. 83 (4-6), zwaarte inbreuk en omzet onderneming
    • Ernstigere categorie
    • Zwaarte bepalen a.d.h.v. aard, ernst en duur alsmede opzettelijke of nalatige aard en categorieën persoonsgegevens: wezenlijke aantasting recht op gegevensbescherming; veel abbonnees (kleine nuance dat slechts deel verzoeken of klachten indiende); aanzienlijke periode (nuance dat onderzoek lang duurde en Netflix bereid was op aanbeveling AP statement te wijzigen); nalatig geweest door niet verklaring aan te passen door deze voor meerdere apparaten overzichtelijk te houden; geen bijzondere gegevens. Niveau zwaarte is al met al laag.
  • Verzwarende of verzachtend omstandigheden:
    • Netflix reageerde tijdig op verzoeken over verzamelde gegevens over o.a. kijkgedrag, zoekgeschiedenis, IP-adressen, betalingen, apparaten en interactie met Netflix.
    • Netflix had na ontvangen onderzoeksrapport deel van inbreuken verholpen.
    • Lange duur onderzoek.
    • Uitblijven reactie AP op bereidheid Netflix aanbevelingen op te volgen.
    • Dus matigen o.g.v. evenredigheidsbeginsel
  • Boete is doeltreffend.

Take-aways:

  • Koppel de persoonsgegevens aan doeleinden en vermoedelijk ook de grondslagen.
  • Verstrek waar mogelijk de namen van partijen waarmee persoonsgegevens worden gedeeld.
  • Neem in de privacyverklaring concrete bewaartermijnen op.
  • Specificeer landen, legitimaties en de rechten van betrokkenen
  • Verder opvallend dat volgende onduidelijk is:
    • In hoeverre koppeling tussen gegevens en grondslagen an sich rede is voor boete
    • In hoeverre kan gebrek aan transparantie in verklaring opgelost worden door verhoogde transparantie in reactie op inzageverzoek.

Boetebesluit Coolblue, 23 december 2024, EUR 40.000 (link)

Besluit

  • In de periode 2019-2020 heeft Coolblue gebruikgemaakt van (tracking) cookies, zonder hiervoor toestemming te vragen. Coolblue ging uit van een stilzwijgende toestemming.
  • 29 november 2019 eerst een normoverdragende brief verstuurd door de AP, waaraan geen gehoor is gegeven.
  • Vanaf periode 28 april 2020 tot en met 17 juni 2020 gehandeld in strijd met de AVG.
  • Berekening boete door:
    • Bepalen startbedrag a.d.h.v. Boetebeleidsregels;
    • Verlichtende en/of verzwarende omstandigheden Boetebeleidsregels
    • Verlichtende en/of verzwarende omstandigheden Richtsnoeren
    • Vaststellen hoogte en beoordelen a.d.h.v. doeltreffendheid, evenredigheid en afschrikking
  • Omstandigheden beoordelen a.d.h.v. artikel 7 Boetebeleidsregels en artikel 83 AVG:
    • Aard, ernst en duur van de inbreuk:
      • Aard: rechtmatigheidsvraag; zeggenschap van betrokkenen over hun gegevens.
      • Ernst: omvang van de verwerking (medium, alleen eigen site), aantal getroffen betrokkenen (genuanceerd want terugkerende bezoekers en A/B tests met andere banner) en de geleden schade (schade zit in het ontnemen van zeggenschap).
      • Duur: slechts 7 weken geconstateerd.
    • Opzettelijke of nalatige karakter inbreuk:
      • Europees Hof (Deutsche Wohnen): enkel administratieve geldboete opleggen wanneer verwijtbaar is gehandeld.
      • Ja, want er is er een brief gestuurd in 2019.
    • Categorieën persoonsgegevens:
      • Geen gegevens met aanvullende bescherming (art. 9 en 10)
      • Gegevens met laag risico, gebruikt voor interne analyse, tonen van relevante producten/advertenties en gepersonaliseerde nieuwsbrief.
    • Overige relevante omstandigheden
      • Ondanks dat dit te lang duurde, is er wel een lang hersteltraject van start gegaan vanaf de brief in 2019. Ze waren dus wel bezig met beëindigen. Ze zijn echter wel pas in actie gekomen na de brief.
      • Coolblue heeft met succes aangevoerd dat de hersteltermijn niet duidelijk was. De AP gaf enkel aan over enkele maanden een onderzoek te starten.
      • Periode tussen aanvang onderzoek en primair besluit 4 jaar, dus te lang.
  • Beoordeling a.d.h.v. Richtsnoeren (aantal handelingen en inbreuken; startbedrag; verzwarende & verzachtende omstandigheden; maximumbedrag; beoordeling effectiviteit, afschrikking en proportionaliteit):
    • Zwaarte inbreuk laag onder verwijzing naar aard, ernst en duur inbreuk; opzettelijkheid en categorieën zoals hierboven besproken.
    • Relevante omstandigheden zelfde als onder Boetebeleidsregels.
  • Boetehoogte en beoordeling doeltreffendheid, evenredigheid en afschrikking
    • Boete onder de bandbreedte van categorie II, dus matigen op grond van evenredigheidsbeginsel, ook wel neergelegd in 3:4(2) en 5:46(2) Awb.
    • Doelen kunnen zijn bestraffen gedragingen en bevorderen naleving. Onder verwijzing naar de aard, ernst en duur inbreuk en de omstandigheden is aan beide doelen voldaan.
    • Niet onevenredige uitkomst, minst belastende maatregel om doel te bereiken.
    • Uitkomst is afschrikkend voor Coolblue.

Take-aways

  • Gevoeligheid gegevens: Coolblue geeft aan dat het om niet-gevoelige gegevens gaan met een laag risico, omdat de gegevens werden gebruikt voor […] het tonen van relevante producten en advertenties […]’’ AP gaat hierin mee. Betekent dit dat bij behavioral advertising geen gevoelige gegevens worden verwerkt?
  • Actie ondernemen n.a.v. een normoverdragende brief wordt meegewogen bij het toemeten van een boete.
  • Boete lager door vertraging bij de AP
  • Bezwaar maken loont, ook hier boete gematigd.

Vragen

  • Q: verschil Boetebeleidsregels en Richtsnoeren?
    • A: