네덜란드 DPA, 넷플릭스에 GDPR 위반으로 475만 달러 벌금 부과

네덜란드 데이터 보호 당국(DPA)은 2018년부터 2020년까지 고객의 개인 데이터 사용에 대한 충분한 정보를 제공하지 않은 이유로 넷플릭스에 475만 유로(500만 달러)의 벌금을 부과했습니다.

DPA는 프라이버시를 중시하는 오스트리아 NGO인 None of your business(noyb)의 불만에 따라 2019년 넷플릭스에 대한 조사를 시작했습니다.

네덜란드 감시 기관은 스트리밍 서비스가 고객의 데이터에 대해 무엇을 하는지에 대한 개인정보 보호 성명에서 충분히 명확하게 고객에게 알리지 않았다고 밝혔습니다.

더욱이, 고객이 넷플릭스가 자신에 대해 수집하는 데이터에 대해 문의했을 때 적절한 정보를 제공받지 못하여 일반 데이터 보호 규정(GDPR)을 위반한 것으로 나타났습니다.

넷플릭스는 사용자로부터 이메일 주소 및 전화번호와 같은 연락처 정보, 결제 정보, 어떤 콘텐츠가 시청되었는지 및 플랫폼에서의 활동의 정확한 시간과 같은 시청 행동에 대한 상세 기록을 포함하여 광범위한 개인 정보를 수집하는 것으로 보입니다.

DPA에 따르면, 인기 있는 비디오 스트리밍 서비스는 다음과 같은 여러 주요 측면에 대해 고객에게 명확하고 적절한 정보를 제공하지 못했습니다:

• 개인 데이터를 수집하고 사용하는 목적 및 법적 근거;

• 어떤 개인 데이터가 제3자와 공유되는지 및 그 이유;

• 넷플릭스가 개인 데이터를 보유하는 기간;

• 유럽 외부 국가로 개인 데이터를 전송할 때 넷플릭스가 개인 데이터의 보안을 보장하기 위해 취하는 조치.

“수익이 수십억에 달하고 전 세계에 수백만 고객이 있는 회사는 고객에게 개인 데이터를 어떻게 처리하는지 제대로 설명해야 합니다. 이는 매우 명확해야 합니다. 특히 고객이 이에 대해 문의할 경우 더욱 그렇습니다. 그리고 그것은 적절하지 않았습니다.”라고 네덜란드 DPA의 의장인 알레이드 울프센이 말했습니다.

DPA의 결정에 반응하여, noyb의 데이터 보호 변호사인 스테파노 로세티는 “우리는 DPA가 넷플릭스에 벌금을 부과한 결정에 만족합니다. 그러나 이를 얻기까지 거의 5년이 걸렸고, 매우 간단한 사례였습니다.”라고 말했습니다. **

한편, 넷플릭스는 벌금에 대해 반응하며 지난 5년 동안 조사 기간 동안 네덜란드 DPA와 적극적으로 협력했으며, 투명성을 보장하고 정보 제공을 개선하기 위해 개인정보 보호 성명을 이미 선제적으로 업데이트했다고 밝혔습니다.

“조사가 시작된 5년 전부터 우리는 네덜란드 데이터 보호 당국과 긴밀히 협력해 왔으며, 회원들에게 더 큰 명확성을 제공하기 위해 우리의 개인정보 보호 정보를 지속적으로 발전시켜 왔습니다.”라고 넷플릭스의 대변인이 말했습니다.

한편, 넷플릭스는 벌금에 이의를 제기했지만 전체 결정에 대해 아직 항소하지는 않았습니다.