Fransız veri koruma kurulu CNIL, geçen yıl mayıs ayında yürürlüğe giren yeni Genel Veri Koruma Yönetmeliği (GDPR) yasası uyarınca 50 milyon Euro’luk (yaklaşık 57 milyon dolar) ilk para cezasını Google’a verdi. CNIL (Ulusal Veri Koruma Komisyonu) bugün yayınlanan açıklamasında[1], verilen para cezasının nedeni; “Google’da şeffaflık ve reklamların kişiselleştirilmesine ilişkin olarak yetersiz bilgilendirme ve geçerli rıza eksikliği” olarak verdi.
Para cezası, Mayıs 2018’de kar amacı gütmeyen iki kuruluş tarafından yapılan şikayetler çerçevesinde yapılan CNIL soruşturmasının ardından verildi. Bu kuruluşlar, “Seni İlgilendirmez (NOYB)” ve “La Quadrature du Net (LQDN)”. Bu 2 kuruluş sadece Google’u değil, Facebook’u da şikayet ettiler.
CNIL’ye göre, Google GDPR’ın iki temel gizlilik kuralını ihlal etmiş durumda; “Şeffaflık” ve “Onay”.
İlk olarak, arama motoru devi, kullanıcıların “veri işleme amaçları, veri saklama süreleri veya reklamların kişiselleştirilmesi için kullanılan kişisel veri kategorileri” gibi temel bilgileri çeşitli belgeler arasında aşırı şekilde dağıtarak çok zor buluyor. Düğmeler ve bağlantılar arasında bilgiye ulaşmak için 6 ayrı eylem gerektirdiği tespit edilmiş.
CNIL ayrıca kullanıcıların aradıkları bilgiyi bulduklarında bile, “her zaman net ve kapsamlı bilgilendirilmediklerini” söylüyor. CNIL “Kullanıcılar Google tarafından yürütülen işleme işlemlerinin kapsamını tam olarak anlayamıyorlar. Benzer şekilde, iletilen bilgi, kullanıcının reklamların kişiselleştirilmesi için işlemlerin yasal temelinin şirketin meşru çıkarları değil kendi rızaları olduğunu anlayabilmesi için yeterince açık değildir.” diyor.
CNIL’ye göre, Google’la bir hesap oluştururken reklamları kişiselleştirme seçeneği “önceden işaretleniyor”, kullanıcılarının GDPR’de yasadışı olan reklam kişiselleştirmesi için veri işlemden vazgeçme haklarını etkin bir şekilde kullanmalarını engelliyor.
Son olarak CNIL, Google’ın varsayılan olarak ” Google’ın Hizmet Şartları’nı kabul ediyorum ” ve “Bir hesap oluştururken” Gizlilik Politikasında açıklandığı ve daha sonra açıklandığı şekilde bilgilerimin işlenmesini kabul ediyorum “yazan kutuları işaretlediğini kaydediyor.
50 milyon milyon para cezası büyük görünmekle birlikte, 20 milyon euro veya şirketin yıllık küresel gelirinin yüzde 4’ü (hangisi daha yüksekse) olan Google gibi büyük şirketler için GSYİH’nın izin verdiği maksimum ceza oranına kıyasla küçük.