Hollanda Veri Koruma Kurumu (DPA), dünya çapında popüler bir yayın hizmeti sağlayıcısı olan Netflix’e, kullanıcı verilerinin nasıl toplandığı, kullanıldığı ve işlendiği konusunda yeterli şeffaflık sağlamadığı gerekçesiyle 4.75 milyon euro (yaklaşık 4.93 milyon dolar) para cezası verdi.
Bu ceza, Netflix’in 2018-2020 yılları arasında Avrupa Birliği’nde geçerli olan Genel Veri Koruma Yönetmeliği’ni (GDPR) ihlal etmesi nedeniyle uygulandı. Hollanda DPA, Netflix’in gizlilik bildirimlerinde kullanıcıları bilgilendirmekten uzak olduğunu ve veri sahiplerine haklarını etkili bir şekilde açıklayamadığını belirtti.
DPA’nın İnceleme Bulguları
DPA’nın 2019 yılında başlattığı soruşturmada şu bulgulara ulaşıldı:
- Yetersiz Gizlilik Bildirimi:
Netflix, gizlilik politikasında topladığı kullanıcı verileri hakkında yeterince detaylı bilgi sunamadı. E-posta adresleri, telefon numaraları, ödeme bilgileri ve kullanıcıların platform üzerindeki izleme alışkanlıkları gibi kişisel bilgilerle ne yapıldığı tam olarak açıklanmadı. - Kullanıcı Taleplerine Yanıt Eksikliği:
Netflix, kullanıcıların kişisel verilerine dair bilgi talep ettiklerinde yeterince açıklayıcı ve kapsamlı cevaplar sunmadı. Bu durum, kullanıcıların kişisel verileri üzerindeki kontrolünü sınırladı ve GDPR’ın şeffaflık ilkesinin ihlali anlamına geldi. - Veri Paylaşımı ve Güvenlik:
- Netflix, üçüncü taraflarla hangi bilgilerin paylaşıldığını ve bu bilgilerin neden paylaşıldığını tam olarak açıklamadı.
- Avrupa dışındaki ülkelere veri aktarımı sırasında alınan güvenlik önlemleri hakkında detay verilmedi.
- Verilerin saklama süresi gibi kritik bilgilere de gizlilik bildiriminde yer verilmedi.
Netflix’in Tepkisi ve Güncellemeler
Netflix, DPA’nın tespit ettiği eksiklikler üzerine gizlilik bildirimlerini güncellediğini ve kullanıcılarına sağladığı bilgileri iyileştirdiğini ifade etti. Ancak şirket, cezanın haksız olduğunu belirterek itiraz sürecine başladı.
NOYB ve DPA’nın Görüşleri
Avusturya merkezli gizlilik organizasyonu None of Your Business (NOYB), 2019 yılında Netflix aleyhine resmi bir şikayette bulunmuştu. NOYB, sürecin beş yıl sürmesine rağmen kararın çıkmasından memnun olduğunu dile getirdi:
“Netflix, yalnızca verilerin neden toplandığını ve bu verilerle ne yapıldığını açıklamada başarısız olmakla kalmadı, aynı zamanda şikayetçinin verilerinin tam bir kopyasını bile sunamadı.”
DPA Başkanı Aleid Wolfsen ise, bu çapta bir şirketin müşterilerine veri işleme süreçlerini açıkça açıklamakla yükümlü olduğunu belirtti:
“Netflix gibi milyarlarca gelir elde eden ve dünya çapında milyonlarca müşterisi olan bir şirketin, müşterilerine kişisel verilerini nasıl işlediğini net bir şekilde açıklaması gerekir. Bu bilgiler, özellikle müşteri tarafından talep edildiğinde, açık ve anlaşılır olmalıdır.”
Netflix’e Benzer Diğer Davalar
NOYB, yalnızca Netflix’e değil, aynı zamanda Amazon, Apple Music, Spotify ve YouTube gibi diğer büyük teknoloji şirketlerine karşı da şikayette bulundu. Örneğin:
- Spotify: İsveç Veri Koruma Kurumu (IMY), Haziran 2023’te müzik platformuna benzer nedenlerle 5 milyon euro para cezası verdi.
- Meta: İrlanda Veri Koruma Komisyonu (DPC), 2018 yılında meydana gelen bir veri ihlali nedeniyle Meta’ya 251 milyon euro (yaklaşık 263 milyon dolar) ceza uyguladı.
GDPR ve Veri Koruma Alanında Artan Baskılar
Netflix’e verilen ceza, Avrupa’da veri koruma düzenlemelerinin sıkı bir şekilde uygulandığını bir kez daha ortaya koydu. GDPR, kullanıcıların verileri üzerindeki kontrolünü artırmayı ve şirketlerin şeffaf bir şekilde hareket etmesini sağlamayı amaçlıyor.
“Bu karar, büyük teknoloji şirketlerinin veri koruma yükümlülüklerini hafife almasının sonuçlarını bir kez daha gösteriyor.”
Bu tür davalar, diğer şirketlere önemli bir uyarı niteliği taşıyor. GDPR kapsamında şirketlerin, kullanıcılarının verilerini işlerken daha şeffaf, açık ve hesap verebilir olması gerekiyor.