Fransa’nın en yüksek idari mahkemesi, Paris merkezli çevrimiçi reklam şirketi Criteo’ya Avrupa Birliği veri koruma kurallarını ihlal ettiği için uygulanan 40 milyon € para cezasını onayladı. Karar, Genel Veri Koruma Yönetmeliği’nin uygulanmasından sorumlu Fransa’nın veri koruma otoritesi olan Commission Nationale de l’Informatique et des Libertés tarafından verilen bir cezayı doğrulamaktadır. Düzenleyici, Criteo’nun kullanıcı verilerinin nasıl toplandığı ve işlendiğiyle ilgili çeşitli gerekliliklere uymadığını tespit etti.
Criteo, hedefli reklamlar sunmak için kullanıcıların gezinme faaliyetlerini takip etmeye dayanan reklam hizmetleri sunmaktadır. Şirket, kullanıcı davranışları hakkında veri toplamak ve bireysel kullanıcılar için hangi ürün veya hizmetlerin geçerli olabileceğini belirlemek için ortak web sitelerine yerleştirilen çerezleri kullanır.
Soruşturma, takip kurabiyelerinin kullanıcıların cihazlarına geçerli rızası olmadan yerleştirildiğini ortaya koydu. GDPR kurallarına göre, şirketler kişisel verileri işlemeden önce net ve bilinçli izin almak zorundadır. Düzenleyici ayrıca, Criteo’nun kullanıcıların böyle bir rıza verdiğini kanıtlayamadığını, ancak bu izni elde etmenin bir kısmı ortak web sitelerinde olmasına rağmen kanıtlayamayacağına karar verdi.
Yetkililer ayrıca ek ihlaller tespit etti. Bulgulara göre, şirket kişisel verilerin nasıl kullanıldığı konusunda yeterli şeffaflık sağlamadı ve kullanıcı haklarına, verilere erişim ve silme talebinde bulunma imkanına uymadı.
Dava, gizlilik kuruluşları noyb ve Privacy International tarafından 2018 yılında yapılan şikayetlerden kaynaklandı. Bu şikayetler, Fransız düzenleyici kurumun bir soruşturmasını tetikledi ve şirketin veri işleme uygulamalarının birçok yönünü incelemeye başladı.
Criteo, takipte kullandığı tanımlayıcıların takma ad olduğunu ve kişisel veri olarak kabul edilmemesi gerektiğini savunarak cezaya itiraz etti. Şirket, bu tanımlayıcıların doğrudan bir kullanıcının kimliğini ortaya çıkarmadığını belirtti.
Mahkeme bu argümanı reddetti. Verilerin ancak yeniden tanımlamanın pratikte imkansız olduğu durumlarda anonim olarak kabul edilebileceğine hükmetti. Hakimler, Criteo’nun sisteminin büyük miktarda verinin birleştirilmesine izin verdiğini, yani kullanıcıların potansiyel olarak tanımlanabileceğini ve bu nedenle verilerin GDPR korumaları kapsamında olduğunu tespit etti.
Kararın ardından 40 milyon €’luk para cezası hâlâ yürürlükte. Yetkililer, davayla ilgili ek cezalar veya uygulama önlemleri açıklamadı. Karar, düzenleyicinin bulgularını doğrular ve şirketin cezaya karşı yasal itirazını sonlandırır.