Reklam Şirketi Criteo, GDPR İhlalleri Nedeniyle 40 Milyon Euro Para Cezasına Çarptırıldı
Fransa Veri Koruma Kurumu (CNIL), Avrupa’da önemli bir çevrimiçi reklam ve izleme şirketi olan Criteo’yu GDPR’yi ihlal ettiği gerekçesiyle 40 milyon euro para cezasına çarptırdı. Bu karar, noyb ve Privacy International tarafından Aralık 2018’de yapılan şikayetler temel alınarak verildi. CNIL, şirketin GDPR kapsamındaki veri sahiplerinin haklarına uygun hareket etmediğini ve geçerli onay aldıklarını kanıtlayamadığını tespit etti.
CNIL tarafından yayınlanan Basın Açıklaması (TR)
noyb ve Privacy International tarafından Aralık 2018’de yapılan Orijinal Şikayet
CNIL’in noyb’a yazdığı Mektup (FR)
Önde gelen reklam teknolojisi şirketi Criteo, binlerce web sitesinde “davranışsal yeniden hedefleme” hizmetleri sunmaktadır. Bunun için, şirket, web sitelerine izleme çerezleri yerleştirerek kullanıcıların tarama alışkanlıklarını analiz eder ve bir kullanıcının hangi ürün ve hizmetleri satın alma olasılığının yüksek olduğunu belirler. Şirketin Avrupa’da yaklaşık 370 milyon kişiye ait verisi bulunmaktadır.
Gerçekleşen bu şikayet, daha fazla incelemeye yol açtı. Aralık 2018’de, yani 4,5 yıldan fazla bir süre önce, noyb ve Privacy International, Criteo’nun kullanıcılara onayı geri çekme seçeneği sunmadığı gerekçesiyle şikayette bulundu. Bu şikayet, Criteo için yetkili veri koruma otoritesi olan CNIL tarafından kapsamlı bir soruşturmayı tetikledi. CNIL, kapsamı diğer alanlara da genişletti ve GDPR’nin ek ihlallerini tespit etti: bunlar arasında şeffaflık eksikliği, silinme hakkına uyulmaması ve erişim hakkına uyulmaması yer alıyor.
noyb’da veri koruma avukatı olan Romain Robert: “CNIL’in verdiği karardan çok mutluyuz. Bu, reklam teknolojisi sektörüne yasayı çiğnemenin ağır sonuçlar doğuracağına dair güçlü bir sinyaldir.”
Criteo’nun iş modeline büyük darbe. Fransa Veri Koruma Kurumu, Criteo’nun iş modeli hakkında daha derinlemesine bir soruşturma yürüttü. GDPR’ye aykırı sayısız ihlal ortaya çıktı. Bu ihlallerden çok büyük bir kişi sayısının etkilendiği ve büyük miktarda verinin toplandığı ve işlendiği göz önüne alındığında, CNIL 40 milyon euro tutarında önemli bir para cezasına hükmetti. Karar, Avrupa’daki diğer tüm Veri Koruma Otoriteleri (DPA’ler) tarafından da onaylandı.