Fransız veri koruma kurumu CNIL, Vanity Fair’den sorumlu şirket Les Publications Conde Nast’a, kullanıcı cihazlarına geçerli rızası olmadan çerezler yerleştirdiği için 750.000 € para cezası uyguladı. Yetkili, kullanıcıların sayfaya girdiği anda, izin bannerıyla etkileşim beklemeden web sitesinin gereksiz çerezler dağıttığını tespit etti. CNIL, bu uygulamanın Fransız veri koruma yasasını ve ePrivacy Direktifi gerekliliklerini ihlal ettiğini belirtti; bu gereklilikler, gerekli olmayan takip cihazlarının cihazlarda saklanmasından önce açık bir anlaşma zorunluluğu zorunlu kılmaktadır.
Dava, 2019’da sunulan bir şikayetin ardından başladı; bu şikayet, CNIL’in Vanity Fair’in kurabiye uygulamalarını incelemesine yol açtı. İlk inceleme, 2021’de resmi bir uyarı yayımlanmasına yol açtı. Şirket, rıza mekanizmasını düzeltme taahhüdünde bulundu, ancak CNIL’in takip kontrolleri gerekli değişikliklerin uygulanmadığını gösterdi. Web sitesi, izinle öncesinde reklam ve takip çerezleri yerleştirmeye devam etti ve çerezleri reddetmeye çalışan kullanıcılar yine de takip tabi kalıyordu.
CNIL, soruşturması sırasında birkaç ihlal tespit etti. Ana sayfa yüklenir yüklenmez gereksiz çerezler yerleştiriliyordu ve ortaya çıkan onay bannerı çerezlerin saklanmasını engellemedi. Reklam için kullanılan bazı çerezler, yalnızca web sitesi işletmesi için gerekli olan teknik işlevler için tasarlanmış bir tanımlama olarak kesinlikle gerekli olarak kategorize edilmiştir. Bu kategorilendirme, çerezlerin rıza gerekliliğini aşmasına izin verdi. CNIL ayrıca, reddetme seçeneğine tıklayan veya rızasını geri çekmeye çalışan kullanıcıların çerezlerin yerleştirilmesini veya bakımını engelleyemediğini tespit etti. Yetkili, reddetme mekanizmasının çalışmadığını ve kullanıcıların vazgeçmesine rağmen web sitesinin takip cihazları yüklemeye devam ettiğini belirtti.
Düzenleyici, cezanın büyüklüğünü belirlemede tekrar tekrar uymamayı önemli bir faktör olarak değerlendirdi. CNIL, yayıncının uygulamalarını değiştirmesi için zaten talimat aldığını ve sistemini güncellemesi için zaman verildiğini belirtti. Çerezlerin rızasız olarak sürekli yerleştirilmesi ve reklam takipçilerinin gerekli olarak yanlış etiketlenmesi, çok sayıda kullanıcıyı etkileyen ciddi ihlaller olarak görüldü.
Fransız yasalarına göre, web siteleri çerezlerin amacı hakkında net bilgi sağlamalı, verilere erişen üçüncü şahısları belirlemeli ve tüm zorunlu olmayan takip için açık kullanıcı izni almalıdır. Onay açık bir olumlu ayrımcılık olmalı ve kullanıcıların bunu reddetmek veya geri çekmek için kolay bir yönteme sahip olması gerekir. CNIL, Vanity Fair’in bu gereklilikleri karşılamadığını ve kullanıcılara sunulan mekanizmaların yanıltıcı veya etkisiz olduğunu tespit etti.
Bu karar, CNIL’in onay afişleri ve çerez dağıtımına yönelik daha geniş uygulama odaklarını pekiştiriyor. Otorite, son yıllarda benzer ihlaller nedeniyle büyük çevrimiçi hizmetlere birkaç ceza vermiş ve bu da rıza uygulamalarının öncelik olarak devam ettiğini gösteriyor. CNIL, büyük kullanıcı trafiğini yöneten web sitelerini izlemeye devam edeceğini ve onay kurallarına uyulmazsa harekete geçeceğini açıkladı.
Yayıncı karara itiraz edebilir, ancak ceza, reklam veya analiz için çevrimiçi takip kullanan Fransa’da faaliyet gösteren herhangi bir kuruluşa bir uyarı niteliğindedir. Dava ayrıca, cihazlarında hangi bilgilerin saklanacağını kontrol etmeyi bekleyen kullanıcılar için açık onay seçeneklerinin önemini vurguluyor. CNIL, çerez afişlerinin doğru bilgi sağlaması ve kullanıcıların tercihlerine saygı göstermeleri gerektiğini, yapay engeller oluşturmadan veya kullanıcıları kabullenmeye yönlendiren bir tasarım uygulamaması gerektiğini söyledi.