Autoriteit Persoonsgegevens
Postbus 93374, 2509 AJ Den Haag
Hoge Nieuwstraat 8, 2514 EL Den Haag
T 070 8888 500 - F 088 0712140
autoriteitpersoonsgegevens.nl

Vertrouwelijk/Aangetekend
Netflix International B.V.
T.a.v. de Directie
Karperstraat 10
1075 KZ AMSTERDAM

Contactpersoon
[VERTROUWELIJK]

Onderwerp
Besluit tot het opleggen van een bestuurlijke boete voor het overtreden van de AVG

Geachte leden van de directie, De Autoriteit Persoonsgegevens (hierna: de AP) heeft besloten om aan Netflix International B.V. (hierna: Netflix) een bestuurlijke boete op van € 4.750.000,- (zegge: vier miljoen zevenhonderdvijftigduizend euro) op te leggen omdat Netflix haar klanten onvoldoende duidelijk heeft geïnformeerd; ten eerste in haar privacyverklaring en ten tweede in antwoord op inzageverzoeken over 1) doeleinden en grondslagen van de verwerking van persoonsgegevens 2) ontvangers van persoonsgegevens; 3) bewaartermijnen; en 4) internationale doorgifte. Dit levert een overtreding op van artikel 5, eerste lid, onder a, van de Algemene verordening gegevensbescherming (hierna: de AVG) in samenhang met artikel 12, eerste lid, artikel 13, eerste lid, onder c, e, en f, en tweede lid, onder a, en artikel 15, aanhef en eerste lid, onder a, c en d, en tweede lid, AVG.

In dit besluit wordt de bestuurlijke boete toegelicht. Hiertoe wordt achtereenvolgens ingegaan op de aanleiding, de vastgestelde feiten en het procesverloop, de overtreding en de hoogte van de boete. Tot slot volgt het dictum.

2/23

1. Aanleiding onderzoek 1. Netflix is een streamingdienst die digitaal entertainment zoals series, films en games levert. Klanten van Netflix kunnen via hun tv, tablet, smartphone en op hun computer (via een internetbrowser) films en series van Netflix bekijken. Om van deze diensten gebruik te kunnen maken, moeten de klanten van Netflix zich registeren en tegen betaling een account aanmaken. Voor deze registratie verstrekken zij persoonsgegevens aan Netflix, zoals hun (voor)naam, geboortedatum, e-mailadres, telefoonnummer en een bankrekeningnummer. Na registratie kan de klant films en series van Netflix bekijken. Dit kijkgedrag is voor Netflix relevant, want het stelt Netflix in staat om haar klanten te bedienen met films en series die zij interessant vinden. Daarom verwerkt Netflix ook gegevens over het kijkgedrag van haar klanten.

2. Netflix heeft een privacyverklaring opgesteld waarmee het inzicht geeft aan klanten over de wijze persoonsgegevens worden verwerkt. Netflix heeft ook een “helpcentrum” ingesteld waar klanten vragen kunnen stellen en verzoeken kunnen doen, bijvoorbeeld om inzage te krijgen in hun persoonsgegevens.

3. Een dergelijk inzageverzoek is door None Of Your Business (hierna: NOYB1) namens twee betrokkenen gedaan. De reactie daarop van Netflix, was voor NOYB reden om namens de twee betrokkenen klachten2

tegen Netflix in te dienen bij de Oostenrijkse privacy autoriteit (de Datenschutzbehörde). NOYB klaagt erover dat Netflix haar klanten die een inzageverzoek hebben gedaan, onvoldoende informeert over de verwerking van hun persoonsgegevens. De Datenschutzbehörde heeft de klachten doorgestuurd naar de AP, waarna de Afdeling Internationaal Onderzoek van de AP een onderzoek is gestart en een rapport heeft opgemaakt.3 De AP betreurt het dat dit onderzoek lang heeft geduurd en biedt hiervoor haar verontschuldiging aan zowel klagers als Netflix.

2. Bevindingen onderzoeksrapport en procesverloop 4. Vooropgesteld dat conclusies in het onderzoeksrapport die geen onderdeel uitmaken van het beoordelingskader van het onderhavige besluit (vanzelfsprekend) buiten het domein van dit besluit vallen. Dit betekent dat over de mate van juistheid van die conclusies in dit besluit geen oordeel wordt geveld.

5. Ten aanzien van de privacyverklaring volgt uit het onderzoeksrapport dat Netflix niet aan haar informatieverplichting heeft voldaan omdat Netflix onvoldoende informatie verstrekt over:

a. de doeleinden en de grondslag van de verwerking van persoonsgegevens; b. partijen die persoonsgegevens van betrokkenen ontvangen; c. de bewaartermijn van persoonsgegevens; en d. waarborgen bij doorgifte van persoonsgegevens aan derde landen.

1 NOYB is een organisatie die opkomt voor de privacy van burgers. 2 Dossierstuk 2.1 en 2.5, bij het onderzoeksrapport. 3 Dossierstuk 1, bij het onderzoeksrapport.

3/23

6. Ten aanzien van de inzageverzoeken volgt uit het onderzoeksrapport dat Netflix niet aan haar informatieverplichtingen heeft voldaan, doordat Netflix:

a. per doeleinde niet specifiek genoeg informatie verstrekt over de grondslag van verwerking, de doeleinden en verwerking van persoonsgegevens; b. niet specificeert welke persoonsgegevens van betrokkenen voor welke doeleinden en aan welke ontvangers zijn verstrekt; c. onvoldoende informatie verstrekt over de bewaartermijn van persoonsgegevens; en d. onvoldoende informatie verstrekt over waarborgen bij doorgifte van persoonsgegevens aan derde landen.

7. De Afdeling Internationaal Onderzoek heeft in het onderzoeksrapport geconcludeerd dat Netflix in haar privacyverklaring onvoldoende informatie heeft verstrekt en daarmee in de periode vanaf 25 mei 2018 tot en met 30 juli 2020 artikel 12, eerste lid, in samenhang met artikel 13, eerste en tweede lid, AVG heeft geschonden. Ook heeft de Afdeling Internationaal Onderzoek in het onderzoeksrapport geconcludeerd dat Netflix op inzageverzoeken onvoldoende specifiek heeft gereageerd en daarmee in de periode vanaf 25 oktober 2018 tot en met 19 november 2019 artikel 12, eerste lid, AVG in samenhang met artikel 15, eerste en tweede lid, AVG heeft overtreden.

8. Het onderzoeksrapport is bij brief van 24 maart 2022 aan Netflix verzonden. Netflix heeft bij brief van 17 mei 2022 een zienswijze gegeven op het onderzoeksrapport. Op 7 juli 2022 heeft Netflix haar zienswijze mondeling toegelicht. Daarvan is een verslag gemaakt.

3. Juridisch kader 9. De AP verwijst naar de bijlage bij dit besluit, waarin het juridisch kader is opgenomen.

4. Zienswijze Netflix 10. Netflix heeft de volgende zienswijze op het rapport gegeven.

11. Netflix stelt dat de transparantieverplichtingen die uit de AVG volgen, open normen bevatten. Volgens Netflix lijkt de AP echter een stringentere interpretatie van die verplichtingen te hanteren. Hoewel die verplichtingen in de Richtsnoeren van de European Data Protection Board4 (hierna: EDPB-richtsnoeren) nader zijn uitgewerkt, heeft een verwerkingsverantwoordelijke volgens Netflix een bepaalde mate van vrijheid om verwerking van persoonsgegevens en de daartoe te verstrekken informatie op een passend niveau van transparantie over te brengen.

4 EDPB Guidelines on Transparency under Regulation 2016/679 (wp260rev.01).

4/23

12. Netflix is van mening dat zij haar werkwijze op die verplichtingen heeft afgestemd en dat zij (dus) voldoet aan de hiervoor genoemde vier informatieverplichtingen. De (stringente) benadering van de AP leidt voor Netflix tot rechtsonzekerheid omdat zij in het ongewisse blijft over de wijze waarop zij moet handelen.

13. Ter onderbouwing van het standpunt dat Netflix aan de informatieverplichtingen voldoet, voert Netflix het volgende aan.

14. Netflix is het oneens met de AP dat bij het aanbod van haar abonnementsdienst sprake zou zijn van een “complexe, technische of onverwachte gegevensverwerking” zoals omschreven in de EDPB-richtsnoeren. Netflix heeft een bedrijfsmodel dat rechttoe rechtaan is; het gaat om een abonnementsdienst die gepersonaliseerde toegang geeft tot onder meer series. Er bestaat volgens Netflix daarom geen verplichting om de belangrijkste consequenties van de verwerking van persoonsgegeven te omschrijven. Bovendien wordt al bij het registratieproces het gepersonaliseerde karakter benadrukt van de Netflix-diensten. Dat proces bestaat namelijk uit het aanmelden voor de diensten die Netflix aanbiedt. De klant moet persoons- en betalingsgegevens verstrekken en akkoord gaan met de voorwaarden die Netflix bij haar dienstverlening hanteert.

15. Ook betoogt Netflix dat zij sinds mei 2018 via haar “helpcentrum” uitgebreid en in begrijpelijke taal een toelichting geeft op bijvoorbeeld de wijze waarop het zogenoemde aanbevelingssysteem van Netflix werkt. Volgens Netflix is het gebruik van persoonsgegevens in verband met aanbevelingen ongecompliceerd en consistent. Ook hieruit volgt volgens Netflix dat zij aan de informatieverplichtingen voldoet.

16. Met betrekking tot haar privacyverklaring, stelt Netflix dat zij die verklaring heeft afgestemd op de TV User Interface (hierna: TV UI) omdat de meeste klanten de televisie als platform gebruiken voor het bekijken van films en series. Uit oogpunt van uniformiteit en transparantie van informatie gebruikt Netflix dezelfde informatie op TV UI ook op andere platforms (mobiel, tablet, internetbrowser). De TV UI heeft op dat punt weliswaar een beperktere functionaliteit dan een internetbrowser, maar dat tast haar privacyverklaring niet aan. Netflix is van mening dat haar privacyverklaring zo is opgesteld dat het gedetailleerd is zonder te lang of te ingewikkeld te zijn. Bovendien wijst Netflix erop dat zij in de tekst van de privacyverklaring verwijzingen maakt naar paragrafen met meer specifieke informatie over een bepaald onderwerp. Met deze werkwijze heeft Netflix in haar privacyverklaring, op een gelaagde wijze (zoals voorgeschreven door de EDPB-richtsnoeren), voldoende informatie verschaft en heeft dus aan de informatieverplichtingen voldaan.

17. Netflix betoogt voorts dat zij geen uitputtende lijst van verwerkingen in haar privacyverklaring hoeft op te nemen. Artikel 23, eerste lid, AVG in samenhang met artikel 41 Uitvoeringswet AVG (hierna: UAVG) biedt die ruimte indien het wél opnemen van die informatie zou kunnen leiden tot het omzeilen van de beveiligings- of fraudebestrijdingsmaatregelen.

18. Ook is Netflix van mening dat een verplichting om ontvangers van persoonsgegevens bij naam in de privacyverklaring te noemen, niet volgt uit artikel 13, eerste lid, AVG. Daarom meent zij te kunnen volstaan met het benoemen van slechts categorieën van ontvangers.

5/23

19. Ten slotte verwijst Netflix naar haar privacyverklaring waarin klanten erop worden gewezen om bij vragen over het gebruik van persoonsgegevens, cookies of soortgelijke technologieën contact op te nemen met het Privacyteam van Netflix. Volgens Netflix wordt er beperkt gebruik gemaakt van het verkrijgen van informatie over internationale doorgiften, maar in gevallen waar naar deze informatie is gevraagd, heeft Netflix aan haar transparantieverplichting voldaan.

5. Beoordeling 5.1. Verwerkingsverantwoordelijke en bevoegdheid AP

20. Netflix is verwerkingsverantwoordelijke (artikel 4, aanhef en onder 7, AVG). Netflix heeft namelijk haar hoofdvestiging in Amsterdam5 terwijl uit haar privacyverklaring volgt dat zij verwerkingsverantwoordelijke is ten behoeve van alle ondernemingen binnen die Netflix-bedrijvengroep voor het verwerken van persoonsgegevens in de Europese Unie (hierna: EU).6 Netflix biedt haar diensten in meerdere lidstaten van de EU aan en voor deze diensten verwerkt Netflix persoonsgegevens van betrokkenen. Dit betekent dat betrokkenen in meer dan één lidstaat wezenlijke gevolgen ondervinden van de verwerking van persoonsgegevens door Netflix. Daarmee is sprake van een grensoverschrijdende verwerking (artikel 4, aanhef en onder 23, sub b, AVG).

21. Gelet op de vestigingsplaats van Netflix en gelet op haar rol als verwerkingsverantwoordelijke is de AP competent om op te treden als leidende toezichthoudende autoriteit (artikel 56, eerste lid, AVG).

5.2. Informatieverplichting en het recht van inzage

22. In dit geval hebben de onderwerpen ‘informatieverplichting’ en ‘het recht van inzage’ betrekking op de volgende vier subonderdelen, namelijk: 1) grondslagen en doeleinden van verwerking van persoonsgegevens, 2) ontvangers van persoonsgegevens, 3) bewaartermijnen, en 4) internationale doorgiften. De overige acht subonderdelen, zoals vervat in artikelen 13 en 15 AVG, blijven buiten het doel van deze zaak. Deze zaak beperkt zich tot de hiervoor genoemde vier subonderdelen. Hieronder wordt in generieke zin, samengevat, de privacyverklaring van Netflix weergegeven, daarna volgt een beoordeling per subonderdeel voor zowel het recht van betrokkenen om informatie te ontvangen wanneer persoonsgegevens bij hen wordt verzameld (artikel 13 AVG) als het recht van inzage (artikel 15 AVG).

5.2.1. Beoordeling grondslagen en doeleinden van verwerking van persoonsgegevens

23. De AP heeft vastgesteld dat uit de privacyverklaring van Netflix een opsomming volgt van persoonsgegevens en de wijze waarop Netflix deze persoonsgegevens verzamelt. Het gaat om: gegevens die betrokkenen zelf verstrekken, gegevens die Netflix automatisch verzamelt, gegevens van andere

5 Dossierstuk 14, bij het onderzoeksrapport. 6 Onderzoeksrapport, par. 3.1.

6/23

bedrijven waarmee betrokkenen een relatie hebben en gegevens uit andere bronnen. Vervolgens geeft Netflix een opsomming van de doeleinden die zij voor de verzamelde gegevens gebruikt. Daarbij maakt Netflix gebruik van een aantal voorbeelden om deze doeleinden te concretiseren. Eén daarvan is communiceren over de diensten van Netflix over onder andere speciale aanbiedingen, promotionele bekendmakingen en nieuwe content. Netflix sluit dit af met een opsomming van de grondslagen voor het verzamelen van persoonsgegevens en enkele verwijzingen naar nader benoemde doeleinden. Vaststaat dat Netflix vier grondslagen van artikel 6, eerste lid, AVG benoemt voor het verwerken van persoonsgegevens, namelijk: “toestemming”, “overeenkomst”, “wettelijke verplichting” en “gerechtvaardigd belang”.

24. Netflix heeft stukken overgelegd waaruit volgt dat zij acht doeleinden heeft gecategoriseerd, die verder uit meerdere subonderdelen bestaan.7 Deze doeleinden zijn uitgebreider dan de doeleinden die Netflix in haar privacyverklaring heeft opgenomen. Desgevraagd heeft Netflix inzichtelijk gemaakt welke persoonsgegevens voor welke doeleinden en met welke grondslag(en) zijn verwerkt.8 In dit kader moeten betrokkenen op de hoogte worden gesteld van zowel het feit dat een verwerking plaatsvindt als de doeleinden daarvan.9 Dit betekent dat Netflix in haar privacyverklaring in ieder geval op een transparante en begrijpelijke wijze het verband tussen de verwerking van persoonsgegevens en de doeleinden waarvoor de persoonsgegevens worden verwerkt inzichtelijk moet maken. De AP onderkent het verstrekken van informatie, gebaseerd op een TV UI, beperkingen met zich brengt. De te verstrekken informatie zal doorgaans in de vorm van platte tekst worden gevisualiseerd en de mogelijkheid om gebruik te maken van links naar sub pagina’s, was in ieder geval ten tijde van belang, beperkt. Daar komt bij dat het bedienen van de TV UI met een afstandsbediening beperkingen kent in vergelijking met andere apparaten zoals een computer, tablet of smartphone. Hoewel de AP rekening houdt met genoemde omstandigheden, stelt de AP vast dat Netflix bepaalde informatie niet volledig dan wel niet overzichtelijk heeft verstrekt. Netflix heeft in dit geval onder meer nagelaten inzichtelijk te maken welke gegevens zij gebruikt voor het aanbevelen van haar aanbod, het analyseren van doelgroepen en het voorkomen van fraude. Verder heeft Netflix niet inzichtelijk gemaakt welke persoonsgegevens zij van derden (in de privacyverklaring als ‘partners’ aangeduid) ontvangt om de geografische locaties van betrokkenen te bepalen. Hoewel Netflix gebruik heeft gemaakt van de afwegingsruimte waarover een verwerkingsverantwoordelijke beschikt door op een verhalende wijze de betreffende informatie in de privacyverklaring op te nemen, had zij moeten onderkennen dat het loskoppelen van persoonsgegevens van de doeleinden waarvoor deze persoonsgegevens worden verwerkt, tot gevolg heeft dat de verstrekte informatie niet in lijn is met het verstrekken van informatie in beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal (artikel 12, eerste lid, AVG). Gelet op de privacyverklaring en de wijze waarop informatie over de vereiste informatie is verstrekt, heeft Netflix artikel 13, eerste lid, onder c, en artikel 15, eerste lid, onder a, AVG overtreden. Dit betekent dat de klacht van NOYB op dit punt gegrond is.

7 Dossierstuk 6.1, p. 2-3, bij het onderzoeksrapport. 8 Dossierstuk 8.1, p.1-13, bij het onderzoeksrapport. 9 Overweging 60 bij de AVG.

7/23

5.2.2. Beoordeling ontvangers van persoonsgegevens

25. De AP stelt vast dat uit de privacyverklaring van Netflix volgt dat zij gebruik maakt van dienstverleners (die onder andere op de advertentiemarkt actief zijn) en dat zij persoonsgegevens van klanten van Netflix kunnen verwerken en openbaar kunnen maken.

26. De privacyverklaring van Netflix geeft geen namen van die ontvangers, terwijl uit door Netflix aan de AP verstrekte gegevens blijkt dat zij, voor wat betreft online advertentiediensten, wel over deze gegevens beschikt.10

27. Artikel 13 aanhef en eerste lid, onder e, AVG geeft aan dat in voorkomende gevallen de verwerkingsverantwoordelijke informatie verstrekt aan betrokkenen over wie de ontvangers of categorieën van persoonsgegevens zijn. In de AVG (overweging 58) is bepaald dat het voor een betrokkene moeilijk te begrijpen is door wie en met welk doel zijn persoonsgegevens worden verzameld als het gaat om informatie zoals die van online advertentiediensten. Overeenkomstig het behoorlijkheidsbeginsel moet Netflix informatie over de ontvangers verstrekken die voor de betrokkenen het meest betekenisvol is. Gelet hierop valt voor de AP niet in te zien waarom Netflix de namen van ontvangers, die overigens qua aantal beperkt is, niet in haar privacyverklaring heeft vermeld. De AP is van oordeel dat Netflix dat wel had moeten doen en in geval van een inzageverzoek deze informatie had moeten verstrekken. Netflix heeft dit ten onrechte nagelaten en daarmee heeft Netflix de AVG geschonden (artikel 13, eerste lid, onder e, en artikel 15, eerste lid, onder c). De klacht van NOYB op dit onderdeel is daarom gegrond.

28. De AP stelt vast dat Netflix met de aanpassing van haar privacyverklaring op 7 juli 2022 door de toevoeging van een link naar een “help-artikel” met daarin een lijst van ontvangers van persoonsgegevens. Hiermee heeft Netflix op het onderdeel “ontvangers van persoonsgegevens” de overtreding van de AVG beëindigd.

5.2.3. Beoordeling van bewaartermijnen

29. In de privacyverklaring van Netflix wordt weergegeven dat de persoonsgegevens van betrokkenen worden bewaard zoals vereist of toegestaan volgens wet- en regelgeving. Hierbij noemt Netflix enkele voorbeelden zoals het bewaren van persoonsgegevens om te voldoen aan de keuzes van betrokkenen en facturerings- en administratiedoeleinden. In de privacyverklaring worden geen concrete bewaartermijnen genoemd.

30. Desgevraagd heeft Netflix een tabel aan de AP overgelegd met daarin de persoonsgegevens die worden bewaard en de daarvoor specifiek geldende bewaartermijnen.11 De AP stelt vast dat Netflix heeft nagelaten deze termijnen in haar privacyverklaring op te nemen. De AP is niet gebleken dat Netflix daarvoor onevenredig veel maatregelen had moeten treffen.

10 Dossierstuk 8.4, p. 4, bij het onderzoeksrapport. 11 Dossierstuk 6.1, p. 11-13, bij het onderzoeksrapport.

8/23

31. De AP is van oordeel dat Netflix de periodes waarin persoonsgegevens worden bewaard – in haar privacyverklaring en in reactie op inzageverzoeken – niet op een behoorlijke en transparante wijze aan betrokkenen heeft verstrekt. Daarmee heeft Netflix gehandeld in strijd met de AVG (artikel 13, tweede lid, onder a, en artikel 15, eerste lid, onder d). Ook op dit onderdeel is de klacht van NOYB gegrond.

32. Het betoog van Netflix dat de privacyverklaring van de AP zelf op dit onderdeel eveneens uitsluitend melding maakt van het bewaren van persoonsgegevens volgens de geldende wet- en regelgeving, maakt dit niet anders. Op de website van de AP is het verwerkingsregister van de AP te raadplegen en daarin zijn de bewaartermijnen benoemd. De privacyverklaring van de AP is bovendien in overeenstemming met de AVG gebracht.

5.2.4. Beoordeling van internationale doorgifte van persoonsgegevens

33. De AP stelt vast dat uit de privacyverklaring van Netflix volgt dat zij bij doorgifte van persoonsgegevens aan landen buiten de Europese Economische Ruimte (EER) volgens de toepasselijke privacywetgeving van die landen handelt. De AP stelt voorts vast dat uit door Netflix desgevraagd aan de AP verstrekte informatie volgt dat Netflix persoonsgegevens in twaalf landen buiten de EU kan verwerken voor het uitvoeren van betalingen, klantenservice en het opschalen en verbetering van de beschikbaarheid van haar diensten.

34. Naar het oordeel van de AP heeft Netflix verzuimd om in haar privacyverklaring op te nemen welke rechten betrokkenen hebben wanneer hun persoonsgegevens buiten de EER worden verwerkt. Netflix heeft in haar privacyverklaring evenmin benoemd naar welke landen buiten de EER persoonsgegevens van betrokkenen worden doorgegeven. Ook heeft Netflix verzuimd een verwijzing te maken naar eventuele adequaatheidsbesluiten en heeft Netflix niet benoemd of (in het betreffende geval) er geschikte of passende waarborgen zijn en hoe betrokkenen die waarborgen kunnen raadplegen.

35. De AP komt gelet hierop tot het oordeel dat de informatie die Netflix in ieder geval tot 31 juli 2020 in haar privacyverklaring heeft opgenomen, niet aan de vereisten voldoet van de AVG (artikel 13, eerste lid, onder f). De AP voegt daaraan nog toe dat Netflix bij inzageverzoeken in de periode tussen 25 oktober 2018 tot en met 19 november 2019 heeft nagelaten voldoende informatie te verstrekken over waarborgen voor doorgiften van persoonsgegevens aan derde landen. Daarmee heeft Netflix ook in strijd met de AVG gehandeld (artikel 15, tweede lid) zodat de klacht van NOYB op dit onderdeel in zoverre gegrond is.

36. De AP stelt vast dat Netflix haar privacyverklaring op dit punt met ingang van 7 juli 2022 heeft aangepast door daarin een link op te nemen naar de internetpagina van de Europese Commissie. Bezoekers van die website worden doorgeleid naar een vraag- en antwoorddocument met daarin opgenomen de rechten van betrokkenen wanneer sprake is van internationale doorgifte van persoonsgegevens. Ook heeft Netflix met ingang van 7 juli 2022 een link naar een ‘help-artikel’ in haar privacyverklaring opgenomen met daarin een lijst met de landen waarnaar persoonsgegevens worden doorgegeven. Hoewel Netflix een lijst van landen heeft opgenomen waarheen persoonsgegevens mogelijk worden verzonden, is daarmee niet aan artikel 13,

9/23

eerste lid, onder f, AVG en artikel 15, tweede lid, AVG voldaan, omdat voor de bedoelde doorgiften niet blijkt welke passende of geschikte waarborgen zijn getroffen.

5.3. Zorgvuldigheidsbeginsel

37. Netflix betoogt dat de AP in strijd met het zorgvuldigheidsbeginsel heeft gehandeld door Netflix geen gelegenheid te bieden op het concept onderzoeksrapport te reageren.

38. De AP stelt vast dat het onderzoeksrapport op 24 maart 2022 aan Netflix is verzonden. Netflix is vervolgens in de gelegenheid gesteld om haar zienswijze te geven op dat rapport. Netflix heeft daarvan gebruikt gemaakt door zowel een schriftelijke zienswijze in te dienen en die zienswijze ook nog mondeling toe te lichten bij de AP. Van strijd met het zorgvuldigheidsbeginsel is naar het oordeel van de AP dan ook geen sprake.

5.4. Conclusie

39. De AP concludeert dat Netflix haar klanten onvoldoende duidelijk heeft geïnformeerd; ten eerste in haar privacyverklaring en ten tweede in antwoord op inzageverzoeken over 1) grondslagen en doeleinden van verwerking van persoonsgegevens; 2) ontvangers van persoonsgegevens; 3) bewaartermijnen; en 4) internationale doorgifte. Daarmee heeft Netflix in strijd gehandeld met artikel 5, eerste lid, onder a, in samenhang met artikel 12, eerste lid, AVG en artikel 13, eerste lid, aanhef en onder c, e en f, en tweede lid, aanhef en onder a, AVG in de periode tussen 25 mei 2018 tot en met 30 juli 2020. Ook heeft Netflix artikel 5, eerste lid, onder a, in samenhang met artikel 12, eerste lid, AVG en artikel 15, eerste lid, aanhef en onder a, c en d, en tweede lid, AVG overtreden in de periode tussen 25 oktober 2018 tot en met 19 november 2019. Voor deze overtredingen zal de AP een boete opleggen aan Netflix. De hoogte van de boete zal hierna worden vastgesteld.

6. Bestuurlijke boete 6.1. Boetebevoegdheid

40. De AP is op grond van artikel 58, tweede lid, aanhef en onder i, in samenhang met artikel 83 AVG en gelezen in samenhang met artikel 14, derde lid, UAVG, bevoegd om een bestuurlijke boete op te leggen. Uit de jurisprudentie van het Hof van Justitie van de Europese Unie (hierna: HvJ EU) blijkt dat uit de bewoordingen van artikel 83, tweede lid, AVG volgt dat inbreuken op de bepalingen van de AVG die door de verwerkingsverantwoordelijke op verwijtbare wijze zijn begaan – dat wil zeggen opzettelijk of uit nalatigheid begane inbreuken – ertoe kunnen leiden dat aan de verwerkingsverantwoordelijke op grond van dat artikel een administratieve geldboete kan worden opgelegd.12

12 HvJ EU 5 december 2023, C-683/21, ECLI:EU:C:2023:949 (NVSC) punt 73 en 83; HvJ EU 5 december 2023, C-807/21, ECLI:EU:C:2023:950 (Deutsche Wohnen) punt 68 en 76.

10/23

6.2. Systematiek bepalen boetehoogte

41. De EDPB heeft in de plenaire vergadering van 24 mei 2023 ingestemd met de definitieve tekst van de Richtsnoeren 04/2022 voor de berekening van administratieve geldboeten krachtens de AVG (hierna: de Richtsnoeren).13 De AP zal deze Richtsnoeren toepassen op deze zaak.14

42. De Richtsnoeren beschrijven de volgende methode voor het berekenen van administratieve geldboeten voor inbreuken op de AVG: 1. in kaart brengen welke en hoeveel handelingen en inbreuken ter beoordeling voorliggen; 2. het uitgangsbedrag voor de verdere berekening van de boete bepalen; 3. nagaan of zich verzachtende of verzwarende omstandigheden zijn die nopen tot verhoging of verlaging van de geldboete; 4. nagaan welke maximumbedragen gelden voor de overtredingen en of die maximumbedragen niet worden overschreden als gevolg van in voorgaande of volgende stappen toegepaste verhogingen; 5. nagaan of het berekende eindbedrag van de geldboete voldoet aan de vereisten van effectiviteit, afschrikking en proportionaliteit, en zo nodig de geldboete hieraan aanpassen.

43. Deze stappen worden hierna achtereenvolgens doorlopen.

6.3. Berekening boetebedrag

6.3.1. Stap 1: Vaststellen handelingen en inbreuken

44. Allereerst moet worden vastgesteld of er sprake is van één of meerdere gedragingen die gesanctioneerd moeten worden. Hiervoor is in 5.4 geoordeeld dat Netflix haar klanten onvoldoende duidelijk heeft geïnformeerd in haar privacyverklaring én in antwoord op inzageverzoeken over 1) grondslagen en doeleinden van verwerking van persoonsgegevens; 2) ontvangers van persoonsgegevens; 3) bewaartermijnen; en 4) internationale doorgifte. Gelet hierop heeft Netflix twee van elkaar te onderscheiden sanctioneerbare gedragingen begaan. Deze gedragingen bestaan uit het onvoldoende duidelijk informeren van klanten; ten eerste in de privacyverklaring en ten tweede in antwoord op inzageverzoeken. Dit betekent dat in dit geval sprake is van twee verwijtbare gedragingen waarvoor de AP boetes kan opleggen.

6.3.2. Stap 2: Bepalen uitgangsbedrag

45. Vervolgens moet het uitgangsbedrag van de boetehoogte worden bepaald. Dit bedrag vormt het uitgangspunt voor de verdere berekening in latere stappen, waarbij alle relevante feiten en omstandigheden in aanmerking worden genomen. Het uitgangsbedrag wordt bepaald aan de hand van drie elementen:

13 Zie ook Richtsnoeren 04/2022 voor de berekening van administratieve geldboeten krachtens de AVG. 14 Zie ook https://www.autoriteitpersoonsgegevens.nl/actueel/nieuw-boetebeleid-voor-overtredingen-avg

11/23

i) de categorisatie van de inbreuken volgens artikel 83 lid 4 tot en met 6 AVG; ii) de zwaarte van de inbreuk; en iii) de omzet van de onderneming.

Ad i) Categorisatie van de inbreuken volgens artikel 83, vierde tot en met zesde lid, AVG

46. Zoals vermeld in de Richtsnoeren berekening administratieve boetes, zijn vrijwel alle verplichtingen van de verwerkingsverantwoordelijke gecategoriseerd in de bepalingen van artikel 83, vierde tot en met zesde lid, AVG. De AVG maakt onderscheid tussen twee soorten inbreuken. Enerzijds de inbreuken die sanctioneerbaar zijn op grond van artikel 83, vierde lid, AVG en waarvoor een maximumboete geldt van €10 miljoen (of in geval van een onderneming, 2% van de jaaromzet, indien dat hoger is), anderzijds de inbreuken die sanctioneerbaar zijn op grond van artikel 83, vijfde en zesde lid, AVG en waarvoor een maximumboete geldt van €20 miljoen (of in geval van een onderneming, 4% van de jaaromzet, indien dat hoger is). Met dit onderscheid heeft de wetgever voorzien in een eerste indicatie in abstracto van de ernst van de inbreuk: hoe ernstiger de inbreuk, hoe hoger de boete.

47. In dit geval kan voor de overtreding van artikel 5, eerste lid, onder a, in samenhang met artikel 12, eerste lid, AVG en artikel 13, eerste lid, aanhef en onder e en f, en tweede lid, aanhef en onder a, AVG en de overtreding van artikel 5, eerste lid, onder a, in samenhang met artikel 12, eerste lid, AVG en artikel 15, eerste lid, aanhef en onder c en d, en tweede lid, AVG een bestuurlijke boete worden opgelegd van maximaal €20 miljoen (of in geval van een onderneming, 4% van de wereldwijde jaaromzet, indien dat hoger is). Uit deze categorisering volgt dat de inbreuken van deze bepalingen door de wetgever als ernstig worden gezien.

Ad ii) Zwaarte van de inbreuk

48. Bij het bepalen van de zwaarte van de inbreuk moet rekening worden gehouden met de aard, ernst en duur van de overtreding, alsmede met de opzettelijke of nalatige aard van de inbreuk en de categorieën betrokken persoonsgegevens.

49. De aard van de eerste overtreding in dit geval is de verplichting van de verwerkingsverantwoordelijke om de betrokkene de informatie te verstrekken die noodzakelijk is om tegenover betrokkenen een behoorlijke en transparante verwerking te waarborgen, met inachtneming van de specifieke omstandigheden en de context waarin de persoonsgegevens worden verwerkt.15 Voor de tweede overtreding, namelijk het beperken van het recht op inzage, is het evenals het recht om begrijpelijke en gemakkelijk toegankelijke informatie over de verwerking van persoonsgegevens te ontvangen, noodzakelijk om betrokkenen in staat te stellen om hun andere rechten op grond van de AVG uit te oefenen. Het verstrekken van transparante informatie in de zin van artikel 12, eerste lid, AVG is reeds om die reden van groot belang. Wanneer de rechten van betrokkenen niet worden nageleefd, raakt dit het recht dat betrokkenen hebben op de eerbiediging van hun persoonlijke levenssfeer en de bescherming van hun persoonsgegevens.

15 Overweging 60 bij de AVG.

12/23

50. Voor de beoordeling van de ernst van de overtredingen weegt mee het aantal klanten van Netflix die door deze overtredingen mogelijk geraakt kunnen worden. Eind 2022 had Netflix wereldwijd ongeveer 231 miljoen betalende klanten waarvan een substantieel deel in de Europese Unie. Dit betekent dat de verwerking van persoonsgegevens een brede reikwijdte heeft en in potentie een groot aantal betrokkenen raakt. Hoewel Netflix in haar privacyverklaring relevante informatie verstrekt over het verzamelen van persoonsgegevens bij betrokkenen, de doeleinden van deze verwerking en de grondslagen waarop Netflix zich beroept alsmede ook informatie over ‘ontvangers van persoonsgegevens’, ‘bewaartermijnen’ en ‘internationale doorgiften’, is de AP van mening dat de verstrekte informatie niet specifiek genoeg is (geweest). Het gevolg daarvan is dat betrokkenen gehinderd werden om controle over hun persoonsgegevens uit te oefenen. Netflix heeft desgevraagd te kennen gegeven dat zij via haar ‘help center’ wereldwijd jaarlijks rond één miljoen vragen krijgt die voor het overgrote deel technische vragen zijn en dat slechts een zeer gering deel betrekking heeft op vragen over (inzage tot) persoonsgegevens. De omstandigheid dat niet alle klanten, maar slechts een relatief beperkt aantal klanten, vragen dan wel klachten had over het recht op inzage, beperkt de ernst van de inbreuk, naar het oordeel van de AP, in enige mate.

51. Voor wat betreft de duur van de overtredingen is vastgesteld dat deze in de periode van 25 mei 2018 tot en met 19 november 2019 respectievelijk 30 juli 2020 hebben geduurd. Dit betreft weliswaar een aanzienlijke periode en de AP houdt ook rekening met de omstandigheid dat het onderzoek lang heeft geduurd. Gedurende deze periode heeft Netflix zich meermaals bereid verklaard om haar privacyverklaring op aanbevelingen van de AP aan te passen. Nadat het onderzoeksrapport aan Netflix is toegezonden, heeft Netflix op eigen initiatief haar privacyverklaring op meerdere momenten aangepast met het doel de informatie te specificeren, en dus de door de AP geconstateerde tekortkomingen weg te nemen. De omstandigheid dat de behandeling van deze zaak bij de AP lang heeft geduurd (onderzoeks- en handhavingsfase) en dat de AP niet heeft gereageerd op de bereidheid van Netflix om tot aanpassing over te gaan van haar privacyverklaring, zal de AP betrekken bij de vaststelling van de boetehoogte.

52. Bovendien moet voor het bepalen van de zwaarte van de inbreuk worden beoordeeld of de inbreuk opzettelijk of van nalatige aard is. De zwaarte van de inbreuk heeft immers een groter gewicht wanneer de verwerkingsverantwoordelijke bewust een overtreding heeft begaan. Wanneer de inbreuk het gevolg is van onachtzaam gedrag dan heeft de zwaarte van de inbreuk een kleiner gewicht. De AP houdt voor wat betreft de zwaarte van de inbreuk rekening met de omstandigheid dat Netflix haar privacyverklaring heeft gemodelleerd op een TV UI die ongetwijfeld beperkte functionaliteiten kent. De te verstrekken informatie is in de vorm van platte tekst gevisualiseerd en de mogelijkheid om gebruik te maken van links of ‘side bars’ naar sub pagina’s, was in ieder geval ten tijde van belang, beperkt. Daar komt bij dat het bedienen van de TV UI met een afstandsbediening beperkingen kent in vergelijking met andere apparaten zoals een computer, tablet of smartphone. Ook houdt de AP rekening met de omstandigheid dat Netflix de uniformiteit van haar Privacyverklaring wilde bewaken door de inhoud van haar privacyverklaring niet afhankelijk te laten zijn van het apparaat waarmee de diensten van Netflix worden afgenomen. Rekening gehouden met deze omstandigheden, stelt de AP vast dat Netflix bepaalde informatie niet volledig dan wel niet overzichtelijk heeft verstrekt. In dit geval had Netflix haar privacyverklaring vaker en kritischer tegen

13/23

het licht had moeten houden, wat tot aanpassing van die verklaring had moeten leiden. Door dat niet te hebben gedaan, heeft Netflix in haar privacyverklaring onvoldoende duidelijk informatie verstrekt over 1) grondslagen en doeleinden van verwerking van persoonsgegevens; 2) ontvangers van persoonsgegevens, 3) bewaartermijnen en 4) internationale doorgifte. Daarmee is Netflix nalatig geweest in haar handelen om de AVG na te leven.

53. Verder vormen de categorieën van persoonsgegevens waarop de inbreuk betrekking heeft het sluitstuk voor de beoordeling van de zwaarte van de inbreuk. In dit geval is er geen sprake van het verwerken van bijzondere persoonsgegevens in de zin van artikelen 9 en 10 van de AVG.

54. De AP is van oordeel dat, voorgaande omstandigheden in aanmerking nemende, in dit geval de zwaarte van de inbreuk op een laag niveau moet worden gekwalificeerd, omdat niet kan worden gezegd dat Netflix met betrekking tot de hier bedoelde transparantieverplichtingen in het geheel niet compliant is geweest.

Ad iii) Omzet van de onderneming

55. Een billijk uitgangsbedrag van de boete moet worden gerelateerd aan de grootte van de onderneming. De grootte van de onderneming wordt bepaald aan de hand van de omzet. Het uitgangsbedrag voor een kleine onderneming is lager en het uitgangsbedrag neemt toe naar mate de omzet van de onderneming hoger is. Indien een onderneming een omzet heeft van meer dan €500 miljoen, geldt dat de boetehoogte wordt bepaald op een percentage van de jaaromzet van de onderneming.16 Hierdoor is de grootte en omzet van de onderneming reeds verdisconteerd in de hoogte van de boete, zodat het uitgangsbedrag geen aanpassing op die grond behoeft.

56. Voor het bepalen van de omzet van Netflix, moet zij in die context worden gezien als een onderneming overeenkomstig de artikelen 101 en 102 Verdrag betreffende de Werking van de Europese Unie (VWEU). Netflix is een volledige dochteronderneming van Netflix Inc., gevestigd te Los Gatos, California (Verenigde Staten). Volgens de jurisprudentie17 van het HvJ EU moet de omzet van de gehele groep worden gebruikt voor het vaststellen van de bovengrens van de boete.

57. Voor het bepalen van de omzet worden de gegevens gebruikt uit het boekjaar voorafgaand aan het moment dat een boete wordt opgelegd. In dit geval zijn dat de gegevens over het boekjaar 2023.

58. Uit het geconsolideerde jaarverslag18 van Netflix Inc. over 2023 volgt dat de groep in dat jaar een omzet had van €30,733 miljard ($33,723 miljard).19 Uit artikel 83, vijfde lid, AVG volgt dat voor het overtreden van artikelen 12 tot en met 22, AVG een bestuurlijke boete kan worden opgelegd van maximaal €20 miljoen of

16 Vanaf een jaaromzet van € 500 miljoen geldt dat 4% van de jaaromzet hoger is dan € 20 miljoen, zodat dit percentage als boetemaximum in aanmerking moet worden genomen (artikel 83, vijfde lid, aanhef, van de AVG). 17 Groupe Gascogne SA/Europese Commissie (Zaak C-58/12P, arrest van 26 november 2013), ECLI:EU:C:2013:770, § 52-57. 18 Geconsolideerd jaarverslag Netflix Inc. 2023, p. 39. 19 De door de ECB bepaalde wisselkoers op de dag van dit besluit bedraagt € 0,9104 per US dollar (vergelijk ).

14/23

in geval van een onderneming, 4% van de wereldwijde jaaromzet, indien dat hoger is. Dit betekent dat de maximaal op te leggen boete €1,229 miljard bedraagt.

6.3.3. Stap 3: Beoordelen overige relevante omstandigheden

59. Volgens de Richtsnoeren berekening administratieve boetes moet vervolgens worden bezien of in de omstandigheden van het geval aanleiding wordt gevonden om de boete hoger of lager vast te stellen dan het hiervoor bepaalde uitgangsbedrag. De in aanmerking te nemen omstandigheden zijn vermeld in artikel 83, tweede lid, aanhef en onder a tot en met k, AVG. De in die bepaling vermelde omstandigheden moeten elk slechts eenmaal worden bezien. In de vorige stap – voor zover van toepassing – is al rekening gehouden met de aard, zwaarte en duur van de overtreding (onderdeel a), de opzettelijke of nalatige aard van de inbreuk (onderdeel b) en de categorieën van persoonsgegevens (onderdeel g). Daardoor resteren nog de onderdelen c tot en met f en h tot en met k.

60. In dit geval weegt de AP mee dat Netflix tijdig heeft gereageerd op de inzageverzoeken door verzamelde persoonsgegevens te verstrekken alsmede gegevens over onder meer het kijkgedrag, de zoekgeschiedenis, IP-adressen, betalingen, apparaten en interactie met Netflix. Verder heeft Netflix samen met genoemde gegevens ook een exemplaar van haar privacyverklaring verstrekt. Na deze gegevens te hebben ontvangen, heeft NOYB namens betrokkenen klachten ingediend bij de Datenschutzbehörde, terwijl Netflix in de veronderstelling verkeerde dat zij de verzoeken van betrokkenen tot hun tevredenheid had afgehandeld. Ook heeft Netflix kort na ontvangst van het onderzoeksrapport de overtreding op de onderdelen ‘ontvangers van persoonsgegevens’ beëindigd. Netflix heeft de besluitvorming van de AP aldus niet afgewacht, maar heeft op voortvarende wijze de beschikbare informatie aangevuld en in meerdere talen ter beschikking gesteld aan de gebruikers van haar dienst. Voorgaande omstandigheden, daaronder begrepen de lange duur van de behandeling van deze zaak door de AP en het uitblijven van een reactie van de AP op de bereidheid van Netflix om over te gaan tot aanpassing van haar privacyverklaring zijn voor de AP aanleiding de hierna te bepalen hoogte van de boete uit oogpunt van evenredigheid te verlagen (par. 97 Richtsnoeren berekening administratieve boetes).

6.3.4. Stap 4: relevante maximumbedragen

61. Gelet op de omzet van Netflix zal voor de geconstateerde overtredingen een maximum boetehoogte van €1,229 miljard oftewel 4% van de jaaromzet gelden. Hiervoor is overwogen dat in dit geval de zwaarte van de inbreuk op een laag niveau moet worden gekwalificeerd. Volgens de Richtsnoeren geldt voor inbreuken met een laag niveau van ernst, dat het startbedrag dient te worden bepaald op een punt tussen 0 en 10% van het boetemaximum. Dit betekent dat de bandbreedte van de op te leggen tussen 0% en 10% van €1,229 miljard bedraagt. Dit komt overeen met een bedrag tussen €0 en €122,9 miljoen. Alle hiervoor genoemde relevante feiten en omstandigheden in aanmerking genomen, stelt de AP het startbedrag vast op €2,5 miljoen per overtreding. Nu twee overtredingen zijn geconstateerd, zal het startbedrag €5 miljoen bedragen. Dit bedrag is ruimschoots onder het maximum boetehoogte van 4% van de wereldwijde jaaromzet van Netflix.

15/23

6.3.5. Stap 5: Beoordeling vereisten van doeltreffendheid, evenredigheid en afschrikking

62. Tot slot moet worden beoordeeld of de boete doeltreffend, evenredig en afschrikkend is. Uit artikel 49, derde lid, van het Handvest van de grondrechten van de EU en de artikelen 3:4 en 5:46, tweede lid, Awb volgt dat de bestuurlijk boete gezien de omstandigheden van het geval niet leiden tot een onevenredige uitkomst.

63. Zoals in de Richtsnoeren omschreven, kan het opleggen van een boete als effectief worden beschouwd als deze het doel bereikt waarvoor deze is opgelegd. Dat doel kan zijn gelegen in enerzijds het bestraffen van onrechtmatige gedragingen en anderzijds het bevorderen van naleving van de geldende voorschriften. Gelet op de aard, ernst en de duur van de inbreuk, alsmede de overige factoren uit artikel 83, tweede lid, AVG zoals hiervoor beoordeeld en met inachtneming van de verzachtende omstandigheid die hiervoor in paragraaf 6.3.3 is benoemd, is de AP van oordeel dat het opleggen van een bestuurlijke boete onder deze omstandigheden beide doelen bereikt en derhalve effectief en afschrikkend is. De hoogte van de bestuurlijke boete, die mede is bepaald aan de hand van de omzet van Netflix, acht de AP eveneens doeltreffend en afschrikkend.

64. De AP acht een boete van € 4.750.000,- gelet op de ernst van de overtredingen en de omvang van de onderneming evenredig. Naar het oordeel van de AP is niet gebleken dat sprake is van bijzondere omstandigheden waardoor de boete onevenredig zou zijn.

7. Dictum 65. De AP legt aan Netflix wegens overtreding van artikel 5, eerste lid, onder a, in samenhang met artikel 12, eerste lid, AVG, en artikel 13, eerste lid onder c, e, en f, en tweede lid, onder a, AVG respectievelijk artikel5, eerste lid, onder a, in samenhang met artikel 12, eerste lid, AVG, en artikel 15, eerste lid, onder a, c en d, en tweede lid, AVG een bestuurlijke boete op ten bedrage van: € 4.750.000,- (zegge: vier miljoen zevenhonderdvijftigduizend euro)

Hoogachtend, Autoriteit Persoonsgegevens,

mr. A. Wolfsen voorzitter

16/23

Rechtsmiddelenclausule

Indien u het niet eens bent met dit besluit kunt u binnen zes weken na de datum van verzending van het besluit digitaal of op papier een bezwaarschrift indienen bij de Autoriteit Persoonsgegevens. Ingevolge artikel 38 van de UAVG schort het indienen van een bezwaarschrift de werking van de beschikking tot oplegging van de bestuurlijke boete op. De AP zal pas tot invordering overgaan, nadat het besluit onherroepelijk is geworden. Voor het indienen van digitaal bezwaar, zie www.autoriteitpersoonsgegevens.nl, onder het kopje Bezwaar maken tegen een besluit, onderaan de pagina onder de kop Contact met de Autoriteit Persoonsgegevens. Het adres voor het indienen op papier is: Autoriteit Persoonsgegevens, postbus 93374, 2509 AJ Den Haag. Vermeld op de envelop ‘Awb-bezwaar’ en zet in de titel van uw brief ‘bezwaarschrift’. Schrijf in uw bezwaarschrift ten minste: - uw naam en adres; - de datum van uw bezwaarschrift; - het in deze brief genoemde kenmerk (zaaknummer); of een kopie van dit besluit bijvoegen; - de reden(en) waarom u het niet eens bent met dit besluit; - uw handtekening.

17/23

Bijlage: Juridisch kader Algemene wet bestuursrecht Artikel 4:7 1. Voordat een bestuursorgaan een aanvraag tot het geven van een beschikking geheel of gedeeltelijk afwijst, stelt het de aanvrager in de gelegenheid zijn zienswijze naar voren te brengen indien: a) de afwijzing zou steunen op gegevens over feiten en belangen die de aanvrager betreffen, en b) die gegevens afwijken van gegevens die de aanvrager ter zake zelf heeft verstrekt. […] Artikel 5:50

1. Indien de overtreder in de gelegenheid wordt gesteld over het voornemen tot het opleggen van een bestuurlijke boete zijn zienswijze naar voren te brengen, a) wordt het rapport reeds bij de uitnodiging daartoe aan de overtreder toegezonden of uitgereikt; b) zorgt het bestuursorgaan voor bijstand door een tolk, indien blijkt dat de verdediging van de overtreder dit redelijkerwijs vergt. 2. Indien het bestuursorgaan nadat de overtreder zijn zienswijze naar voren heeft gebracht, beslist dat: a) voor de overtreding geen bestuurlijke boete zal worden opgelegd, of b) de overtreding alsnog aan de officier van justitie zal worden voorgelegd, wordt dit schriftelijk aan de overtreder medegedeeld.

Algemene verordening gegevensbescherming Artikel 4 Definities Voor de toepassing van deze verordening wordt verstaan onder: 1) „persoonsgegevens": alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene"); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die

18/23

kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon; […] 7) „verwerkingsverantwoordelijke”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen; […] 23) „grensoverschrijdende verwerking”: a) verwerking van persoonsgegevens in het kader van de activiteiten van vestigingen in meer dan één lidstaat van een verwerkingsverantwoordelijke of een verwerker in de Unie die in meer dan één lidstaat is gevestigd; of b) verwerking van persoonsgegevens in het kader van de activiteiten van één vestiging van een verwerkingsverantwoordelijke of van een verwerker in de Unie, waardoor in meer dan één lidstaat betrokkenen wezenlijke gevolgen ondervinden of waarschijnlijk zullen ondervinden; […] Artikel 5 1. Persoonsgegevens moeten: a) worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is („rechtmatigheid, behoorlijkheid en transparantie”); […] Artikel 12 Transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkene 1. De verwerkingsverantwoordelijke neemt passende maatregelen opdat de betrokkene de in de artikelen 13 en 14 bedoelde informatie en de in de artikelen 15 tot en met 22 en artikel 34 bedoelde communicatie in verband met de verwerking in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal ontvangt, in het bijzonder wanneer de informatie specifiek voor een kind bestemd is. De informatie wordt schriftelijk of met andere middelen, met inbegrip van, indien dit passend is, elektronische middelen, verstrekt. Indien de betrokkene daarom verzoekt, kan de informatie mondeling worden meegedeeld, op voorwaarde dat de identiteit van de betrokkene met andere middelen bewezen is.

19/23

[…] Artikel 13 Informatie en toegang tot Persoonsgegevens 1. Wanneer persoonsgegevens betreffende een betrokkene bij die persoon worden verzameld, verstrekt de verwerkingsverantwoordelijke de betrokkene bij de verkrijging van de persoonsgegevens al de volgende informatie: a) de identiteit en de contactgegevens van de verwerkingsverantwoordelijke en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke; b) in voorkomend geval, de contactgegevens van de functionaris voor gegevensbescherming; c) de verwerkingsdoeleinden waarvoor de persoonsgegevens zijn bestemd, alsook de rechtsgrond voor de verwerking;; d) de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, indien de verwerking op artikel 6, lid 1, punt f), is gebaseerd; e) in voorkomend geval, de ontvangers of categorieën van ontvangers van de persoonsgegevens; f) in voorkomend geval, dat de verwerkingsverantwoordelijke het voornemen heeft de persoonsgegevens door te geven aan een derde land of een internationale organisatie; of er al dan niet een adequaatheidsbesluit van de Commissie bestaat; of, in het geval van in artikel 46, artikel 47 of artikel 49, lid 1, tweede alinea, bedoelde doorgiften, welke de passende of geschikte waarborgen zijn, hoe er een kopie van kan worden verkregen of waar ze kunnen worden geraadpleegd. 2. Naast de in lid 1 bedoelde informatie verstrekt de verwerkingsverantwoordelijke de betrokkene bij de verkrijging van de persoonsgegevens de volgende aanvullende informatie om een behoorlijke en transparante verwerking te waarborgen: a) de periode gedurende welke de persoonsgegevens zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria ter bepaling van die termijn; […] Artikel 15 Recht van inzage van de betrokkene 1. De betrokkene heeft het recht om van de verwerkingsverantwoordelijke uitsluitsel te verkrijgen over het al dan niet verwerken van hem betreffende persoonsgegevens en, wanneer dat het geval is, om inzage te verkrijgen van die persoonsgegevens en van de volgende informatie: a) de verwerkingsdoeleinden; b) de betrokken categorieën van persoonsgegevens;

20/23

c) de ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, met name ontvangers in derde landen of internationale organisaties; d) indien mogelijk, de periode gedurende welke de persoonsgegevens naar verwachting zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria om die termijn te bepalen; e) dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken dat persoonsgegevens worden gerectificeerd of gewist, of dat de verwerking van hem betreffende persoonsgegevens wordt beperkt, alsmede het recht tegen die verwerking bezwaar te maken; f) dat de betrokkene het recht heeft klacht in te dienen bij een toezichthoudende autoriteit; g) wanneer de persoonsgegevens niet bij de betrokkene worden verzameld, alle beschikbare informatie over de bron van die gegevens; h) het bestaan van geautomatiseerde besluitvorming, met inbegrip van de in artikel 22, leden 1 en 4, bedoelde profilering, en, ten minste in die gevallen, nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene. 2. Wanneer persoonsgegevens worden doorgegeven aan een derde land of een internationale organisatie, heeft de betrokkene het recht in kennis te worden gesteld van de passende waarborgen overeenkomstig artikel 46 inzake de doorgifte. 3. De verwerkingsverantwoordelijke verstrekt de betrokkene een kopie van de persoonsgegevens die worden verwerkt. Indien de betrokkene om bijkomende kopieën verzoekt, kan de verwerkingsverantwoordelijke op basis van de administratieve kosten een redelijke vergoeding aanrekenen. Wanneer de betrokkene zijn verzoek elektronisch indient, en niet om een andere regeling verzoekt, wordt de informatie in een gangbare elektronische vorm verstrekt. 4. Het in lid 3 bedoelde recht om een kopie te verkrijgen, doet geen afbreuk aan de rechten en vrijheden van anderen. […] Artikel 23 Beperkingen 1. De reikwijdte van de verplichtingen en rechten als bedoeld in de artikelen 12 tot en met 22 en artikel 34, alsmede in artikel 5 kan, voor zover de bepalingen van die artikelen overeenstemmen met de rechten en verplichtingen als bedoeld in de artikelen 12 tot en met 20, worden beperkt door middel van Unierechtelijke of lidstaatrechtelijke bepalingen die op de verwerkingsverantwoordelijke of de verwerker van toepassing zijn, op voorwaarde dat die beperking de wezenlijke inhoud van de grondrechten en fundamentele vrijheden onverlet laat en in een democratische samenleving een noodzakelijke en evenredige maatregel is ter waarborging van: a) de nationale veiligheid; b) landsverdediging;

21/23

c) de openbare veiligheid; d) de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid; e) andere belangrijke doelstellingen van algemeen belang van de Unie of van een lidstaat, met name een belangrijk economisch of financieel belang van de Unie of van een lidstaat, met inbegrip van monetaire, budgettaire en fiscale aangelegenheden, volksgezondheid en sociale zekerheid; f) de bescherming van de onafhankelijkheid van de rechter en gerechtelijke procedures; g) de voorkoming, het onderzoek, de opsporing en de vervolging van schendingen van de beroepscodes voor gereglementeerde beroepen; h) een taak op het gebied van toezicht, inspectie of regelgeving die verband houdt, al is het incidenteel, met de uitoefening van het openbaar gezag in de in de punten a), tot en met e) en punt g) bedoelde gevallen; i) de bescherming van de betrokkene of van de rechten en vrijheden van anderen; j) de inning van civielrechtelijke vorderingen. 2. De in lid 1 bedoelde wettelijke maatregelen bevatten met name specifieke bepalingen met betrekking tot, in voorkomend geval, ten minste: a) de doeleinden van de verwerking of van de categorieën van verwerking; b) de categorieën van persoonsgegevens; c) het toepassingsgebied van de ingevoerde beperkingen; d) de waarborgen ter voorkoming van misbruik of onrechtmatige toegang of doorgifte,; e) de specificatie van de verwerkingsverantwoordelijke of de categorieën van verwerkingsverantwoordelijken,; f) de opslagperiodes en de toepasselijke waarborgen, rekening houdend met de aard, de omvang en de doeleinden van de verwerking of van de categorieën van verwerking; g) de risico's voor de rechten en vrijheden van de betrokkenen; en h) het recht van betrokkenen om van de beperking op de hoogte te worden gesteld, tenzij dit afbreuk kan doen aan het doel van de beperking. […]

Artikel 56

22/23

Competentie van de leidende toezichthoudende autoriteit 1. Onverminderd artikel 55 is de toezichthoudende autoriteit van de hoofdvestiging of de enige vestiging van de verwerkingsverantwoordelijke of verwerker competent op te treden als leidende toezichthoudende autoriteit voor de grensoverschrijdende verwerking door die verwerkingsverantwoordelijke of verwerker overeenkomstig de procedure van artikel 60. […] Artikel 58 Bevoegdheden 2. Elk toezichthoudende autoriteit heeft alle volgende bevoegdheden tot het nemen van corrigerende maatregelen: […] i) naargelang de omstandigheden van elke zaak, naast of in plaats van de in dit lid bedoelde maatregelen, een administratieve geldboete opleggen op grond van artikel 83; […] Artikel 83 Algemene voorwaarden voor het opleggen van administratieve geldboeten […] 5. Inbreuken op onderstaande bepalingen zijn overeenkomstig lid 2 onderworpen aan administratieve geldboeten tot 20 000 000 EUR of, voor een onderneming, tot 4 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is: […] b) de rechten van de betrokkenen overeenkomstig de artikelen 12 tot en met 22; c) de doorgiften van persoonsgegevens aan een ontvanger in een derde land of een internationale organisatie overeenkomstig de artikelen 44 tot en met 49; […]

Uitvoeringswet Algemene verordening gegevensbescherming Artikel 14 Taken en bevoegdheden AP […]

23/23

3. De Autoriteit persoonsgegevens kan in geval van overtreding van het bepaalde in artikel 83, vierde, vijfde of zesde lid, van de verordening een bestuurlijke boete opleggen van ten hoogste de in deze leden genoemde bedragen.