Ulusal Bilgi Teknolojileri ve Özgürlükler Komisyonu (Cnil) kısa süre önce uygulamaya koydu 50 milyon euroluk rekor ceza Fransız telekomünikasyon devi Orange’a. Bu eşi benzeri görülmemiş yaptırım, reklamların elektronik mesajlaşma hizmetleri aracılığıyla dağıtımına ilişkin mevcut düzenlemelere aykırı olduğu düşünülen uygulamaları takip etmektedir.
Özel e-postalardaki gizli reklamlar
Dava, Orange mesajlaşma kullanıcıları arasında e-posta biçiminde gizlenmiş reklam mesajlarının keşfedilmesiyle başladı. CNIL’e göre bu e-postalar gerçek e-posta görünümüne bürünerek alıcılarını aldatıyordu. Çoğu kullanıcı bilgilerini vermemişti açık rıza Kişisel verilerin korunmasına ilişkin kuralların açık bir şekilde ihlalini oluşturan bu tür içeriklerin alınması.
Bu uygulama, konuyla ilgili yasal çerçeveyi önemli ölçüde ihlal etmektedir. doğrudan araştırma özellikle kullanıcı ilk onayını geri çektikten sonra e-posta yoluyla. GDPR gibi Avrupa hükümleriyle desteklenen Veri Koruma Yasası, kullanıcıların kişisel verilerinin işlenmesine ilişkin tercihlerine sıkı bir şekilde saygı gösterilmesini gerektirmektedir. Bu olay, kullanıcıların açık rızasına saygı duymanın önemini vurgulamaktadır.
Reklamcılık
Ağır bir para cezasını haklı çıkaracak ciddi bir ihlal
CNIL’in gözlemlerine göre, gerçek e-postalar gibi görünen haber bültenleri uygulaması 7,8 milyondan fazla kullanıcıyı etkileyecek kadar uzun süre devam etti. Bu bariz suiistimal, otoriteyi bir karar vermeye sevk etti. özellikle 50 milyon avroluk yüksek mali ceza. Bu miktar yalnızca ihlalin ciddiyetini değil aynı zamanda Orange’ın Fransız telekomünikasyon pazarındaki büyüklüğünü ve hakim konumunu da yansıtıyor.
CNIL genel sekreteri Louis Dutheillet de Lamothe, bu kararın sektördeki tüm oyunculara güçlü bir uyarı niteliği taşıdığını vurguladı. Amaç, kişisel verilere ilişkin düzenlemelere uymamak yoluyla benzer kar elde etme yöntemlerini uygulayan veya uygulamayı düşünen diğer şirketleri caydırmaktır.
Orange yaptırımın ciddiyetine itiraz ediyor
Bu durumla karşı karşıya kalan Orange protesto ederek karşılık verdi. Operatör, herhangi bir güvenlik standardını ihlal etmediğini veya kişisel verileri yasa dışı olarak kullanmadığını, yalnızca “olağan piyasa uygulamalarına uyduğunu” savunuyor. Ancak bu savunma CNIL tarafından kabul edilmedi. Orange şimdi, yaptırımın orantısız niteliğini öne sürerek ve ayrıca önceden bildirimde bulunulmamasını suçlayarak Danıştay’a itirazda bulunmayı planlıyor.
Şirkete göre, yaptırımdan önce iddia edilen gerçeklere ilişkin resmi bir uyarı yapılmayacaktı. Buna cevaben operatör, bu kullanımlara ilişkin yasal yorumları açıklığa kavuşturmak ve gelecekte yeni benzer yaptırımlardan kaçınmak için çok taraflı bir istişare başlatmayı planlıyor.
Çerezlerin kullanımı da öne çıktı
Haksız reklamların ötesinde CNIL, Orange’ın dijital hizmetlerinde çerezlerin kullanımına ilişkin önemli bir ihlale de dikkat çekti. Kullanıcılar onaylarını geri çektikten sonra bile çerezlerin bilgi toplamak amacıyla kullanılmaya devam edilmesi Veri Koruma Kanunu’nun 82. maddesine açıkça aykırıdır.
Kullanıcı bilgilerini rızası olmadan işlemeye devam eden sistemleri kullanan şirketler, doğrudan İnternet kullanıcılarının haklarını ihlal etmektedir. Bu tür uygulamalar, kişisel verilerin gereksiz gözetim ve kötüye kullanılması riskini önemli ölçüde artırır ve acil düzeltici eylem gerektirir. Sonuç olarak Orange’ın uymak için üç aylık sınırlı bir süresi var ve bu süreyi yerine getirmediği takdirde gecikme günü başına 100.000 Euro cezaya maruz kalacak.
Karşılaştırmalı olarak Google, 2019 yılında da veri koruma ihlalleri nedeniyle benzer bir para cezasıyla karşı karşıya kalmıştı; bu ceza, o yıl kaydedilen çeşitli ihlaller nedeniyle toplam 89 milyon avroydu. Bu emsaller, CNIL’in şeffaflığı ve dijital güvenliği sağlarken standartların uygulanmasını titizlikle sürdürme niyetinde olduğunu açıkça göstermektedir.
