Fransa’nın ulusal veri koruma kurumu olan Commission Nationale de l’Informatique et des Libertés (CNIL), Aralık 2025 sonunda yayımlanan bir düzenleyici karara göre, kullanıcı verilerini uygunsuz şekilde paylaştığı ve çerezleri takip etme kurallarını ihlal ettiği için bir Fransız şirketine 3,5 milyon € para cezası uyguladı. Yaptırım, Fransız ve Avrupa veri koruma yasalarındaki kişisel bilgilerin işlenmesinde rıza ve şeffaflık ile ilgili yükümlülüklerin ihlalini yansıtıyor.
CNIL’in kararı, şirketin üyelerin kişisel verilerini ilgili kişilerden geçerli onay almadan üçüncü şahslara açıkladığını ortaya koyduğu bir soruşturmadan kaynaklanıyor. Düzenleyici, işletmenin kullanıcıların çevrimiçi faaliyetleriyle bağlantılı takip bilgilerini toplama, kullanma ve paylaşma biçimindeki eksiklikleri tespit etti; bunlar arasında dijital reklam ve analiz hizmetlerini özelleştirmek için sıkça kullanılan çerez tabanlı takip mekanizmaları da var.
Fransız yasalarına göre, çerezler ve benzeri takip teknolojilerinin uygulanması, bu teknolojilerin cihazlarında aktif hale gelmeden önce kullanıcıların açık, bilgilendirilmiş ve özgürce verilmiş rızasını gerektirir. Takip çerezleri, kullanıcıların web siteleri arasında davranışına dair veri toplayabilir ve AB’deki düzenleyiciler, Genel Veri Koruma Yönetmeliği (GDPR) ve ilgili ulusal kurallar gibi AB veri koruma standartları kapsamındaki gizlilik korumalarıyla uyumlu olarak, her amaç için onayın spesifik ve net olması gerektiğini vurgulamıştır.
CNIL, şirketin uygulamalarının bu onay gerekliliklerini karşılamadığını ve veri paylaşımının toplama sırasında kullanıcılara açıklananları aştığını tespit etti. CNIL’in son uygulamaları ve büyük platformlara yönelik çerezlerle ilgili rıza ihlalleri nedeniyle yüksek profilli para cezaları da dahil, dijital takip ve veri kullanımında rıza ve şeffaflık yükümlülüklerine uyumun daha yoğun incelenmesini işaret ediyor.
Uygulanan ceza kapsamında, şirket veri işleme ve çerez onay mekanizmalarını yasal gerekliliklere uygun şekilde ayarlamak zorundadır. AB’deki düzenleyici kurumlar, kuruluşların doğru onay alamazsa veya kişisel verilerin nasıl kullanıldığına dair net bilgi vermediğinde uyumu uygulamaya ve yaptırımlar uygulama yetkisine sahiptir.
Mali ceza, hem rıza eksikliklerinin doğasını hem de ilgili kişisel verilerin ölçeğini yansıtıyor. CNIL’in kararı, Avrupa’da kullanıcı gizliliği, şeffaf veri uygulamaları ve teknolojileri ve veri paylaşımı için yerleşik kurallara uyum konusunda artan düzenleyici uygulamaları gösteriyor.