Fransız Veri Koruma Kurumu’nun SAN-2021-023 sayılı 31.12.2021 Tarihli Google LLC ve Google İrlanda Kararı*

1.   Olaylar ve İnceleme Süreci

 

· Google LLC, Google Arama motoru, Gmail e-posta hizmetleri, Google Haritalar hizmetleri ve YouTube video platformu gibi birçok Google hizmetinin geliştiricisi, Amerika Birleşik Devletleri merkezli bir limited şirkettir. 2015 Ağustos ayından bu yana, Google LLC, Google LLC’nin hisselerinin tamamını haiz olan Google grubunun ana şirketi ALPHABET Inc. Şirketinin iştiraki konumundadır.   ·  Dublin merkezli Google Ireland Limited (“Google İrlanda”), Google’ın Avrupa ekonomik alanı ile İsviçre’deki faaliyetleri ile ilgili olarak Google grubunun genel merkezi niteliğindedir.   · Paris merkezli Google France Sarl (“Google Fransa”), Google grubunun Fransız kuruluşudur ve hisselerinin tamamı Google LLC’ye aittir.

 

Ø  16 Mart 2020 tarihinde, Fransız Veri Koruma Otoritesi (“CNIL”), Google LLC ve Google İrlanda şirketlerinin 78-17 sayılı ve 6 Ocak 1978 tarihli Bilişim ve Özgürlükler Kanunu’na (“Fransız Veri Koruma Kanunu”) uygunluğunu incelemek üzere, “google.fr” internet sitesi üzerinde çevrimiçi bir inceleme gerçekleştirdi.

 

Ø  İlgili inceleme çerçevesinde, Alt Komisyon[1] tarafından verilen SAN-2020-012 sayılı ve 7 Aralık 2020 tarihli karar uyarınca;

 

– Fransız Veri Koruma Kanunu’nun 82. maddesine aykırılık gerekçesiyle Google LLC hakkında, 60 milyon Euro ve Google İrlanda hakkında 40 milyon Euro tutarında idari para cezası ile

 

– Aynı Kanun’un 82. maddesinde düzenlenen yükümlülüklere uyumluluğu temin etmek üzere her iki şirket hakkında aşağıdaki düzeltici tedbirlere karar verildi:

 

o    İlgili kişilerin, rızaya bağlı çerezlerin işlenme amaçları ile bu çerezleri reddetme yöntemleri hakkında açık ve eksiksiz bir biçimde bilgilendirilmesi,

o    Kararın bildirilmesini takip eden üç aylık sürenin sonunda uygun tedbirlerin alınmamış olması halinde, geciken her gün için 100.000 Europara cezası verilmesi

 

Ø   Google LLC ve Google İrlanda (“Şirketler”), karara karşı kanun yollarına başvurarak kararı temyiz etti. İlgili dava, Fransız Danıştay’ı nezdinde derdest durumdadır. 

 

Ø  SAN-2021-004 sayılı ve 30 Nisan 2021 tarihli ikinci bir karar ile Alt Komisyon, ilgili kişilerin “google.fr” sitesine girdiklerinde karşılaştıkları afiş (banner) vasıtasıyla rızaya bağlı çerezlerin amaçları ile bunları reddetmek için kullanabilecekleri yöntemler hakkında açık ve eksiksiz şekilde bilgilendirildiklerini ve Şirketler’in bu bağlamda, verilen süre içerisinde uygun tedbirleri yerine getirdiklerini değerlendirdi.

 

Ø  CNIL, Mart ve Nisan 2021 aylarında, Fransa’daki kullanıcıların kullanımına sunulan “google.fr” ve “youtube.com” sitelerindeki çerezlerin reddedilme şartları ile ilgili pek çok şikâyet alması üzerine, 1 Haziran 2021 itibariyle “google.fr” ve “youtube.com” siteleri üzerinde çevrimiçi bir inceleme başlattı.

 

Ø  3 Haziran 2021’de, çevrimiçi inceleme kapsamında hazırlanan rapor, Şirketler’e bildirilerek, bu Şirketler’den toplanan çerezlerin her birinin amaçlarını belirtmeleri ve son on iki aylık dönem içerisinde “google.fr” ve “youtube.com” sitelerini ziyaret eden günlük kullanıcı sayısının hacmi konusunda bilgi vermeleri talep edildi.

 

Ø  Google İrlanda tarafından iletilen 9 Temmuz 2021 tarihli cevap yazısında, Google İrlanda Avrupa Ekonomik Alanı ile İsviçre’deki kullanıcılar için kullanıma sunulan “google.fr” ve “youtube.com” sitelerinde kullanılan çerezlere ilişkin olarak veri sorumlusu sıfatıyla hareket ettiğini belirterek, ilgili sitelerde kullanılan çerezlerin amaçlarına ilişkin bilgileri paylaştı. Bununla birlikte, son on iki aylık dönem içerisinde “google.fr” ve “youtube.com” sitelerini ziyaret eden günlük kullanıcı sayısının hacmi hususunda, bu bilgilerin bu aşamada gerekli olmadığını ifade ederek bilgi sağlamayı reddetti.

 

Ø  Tüm bu unsurların incelenmesi amacıyla CNIL, 28 Temmuz 2021’de Valerie Peugeot’yu raportör olarak atadı. 2 Eylül 2021’de raportör, her iki şirkete Fransız Veri Koruma Kanunu’nun 82. maddesinin ihlaline ilişkin unsurları detaylandıran bir rapor sundu. 

 

Ø  27 Eylül 2021 tarihli cevabi yazıları ile Şirketler, SAN-2020-012 sayılı ve 7 Aralık 2020 tarihli karara karşı ileri sürdükleri itirazlar Danıştay nezdinde karara bağlanana dek, Alt Komisyon tarafından yürütülen incelemenin askıya alınmasını talep etti. Bu talep, Alt Komisyon tarafından 4 Ekim 2021 tarihinde reddedildi.

2.   Kararın Gerekçelendirilmesi

2.1.      “Non bis in idem” İlkesinin İhlali İddialarının Değerlendirilmesi

Şirketler, Alt Komisyon tarafından yürütülmekte olan inceleme ile Alt Komisyon’un 7 Aralık 2020 tarihli ve SAN-2020-012 sayılı kararının aynı maddi olaylara ilişkin olduğunu, 7 Aralık 2020 tarihli kararla ilgili olarak 30 Nisan 2021 tarihinde SAN-2021-004 sayılı nihai kararın verildiğini, bu sebeple Alt Komisyon’un mevcut inceleme çerçevesinde herhangi bir karar vermesinin non bis in idem[2] ilkesine aykırı olduğunu iddia etmektedir.

Alt Komisyon, 7 Aralık 2020 tarihli karar çerçevesinde yürütülen ilk incelemenin, kullanıcıların rızaya bağlı çerezlerin amaçları ile bu çerezleri reddetme yöntemleri hakkında bilgilendirilmeleriyle ilgili düzeltici tedbirlere ilişkin olduğunu; bununla birlikte mevcut incelemenin (ikinci inceleme) doğrudan, çerezleri reddetme şartlarına odaklandığını ifade etmektedir. Alt Komisyon’a göre eldeki incelemenin esas konusunu oluşturan, kullanıcı terminalindeki [çerezler vasıtasıyla gerçekleştirilen] okuma ve/veya yazma faaliyetlerinin reddedilmesine ilişkin yöntemler, ilk incelemenin kapsamında yer almadığından non bis in idem ilkesinin ihlali söz konusu değildir.

Alt Komisyon ayrıca, mevcut incelemenin “google.fr” ve “youtube.com” internet sitelerini hedeflediğini, önceki incelemenin ise yalnızca “google.fr” sitesine ilişkin incelemeleri içerdiğini belirtmektedir.

2.2.      Yetki değerlendirmesi

2.2.1. “Tek Yetkili Mercii” Kuralının Uygulanmaması

Alt Komisyon, CNIL’in incelemesine konu olan işleme faaliyetlerinin, Topluluk içerisindeki kamusal iletişim ağları aracılığıyla kamuya açık elektronik iletişim hizmetlerinin sağlanmasıyla bağlantılı olarak gerçekleştirilen kişisel veri işleme faaliyetlerine[3] ilişkin olduğunu, bu sebeple 2002/58/EC sayılı e-Gizlilik Direktifi’nin (“Direktif”) kapsamında değerlendirilmesi gerektiğini belirtmektedir.  

Direktif’in, bir abone veya kullanıcı cihazında depolanmış olan bilgilerin depolanması veya bu bilgilere erişilmesine ilişkin 5. maddesinin 3. fıkrası, iç hukuka Fransız Veri Koruma Kanunu’nun 82. maddesinde yer alan düzenleme ile aktarılmıştır. Yine, Fransız Veri Koruma Kanunu’nun 16. maddesi, Alt Komisyon’un bu Kanun’un hükümlerine uymayan veri sorumluları ve veri işleyenler hakkında tedbirlere karar verebileceğini ve yaptırım uygulayabileceğini düzenlemektedir. Bu bağlamda, Şirketler’in Fransa’daki “google.fr” ve “youtube.com” siteleri vasıtasıyla kullanıcı cihazlarındaki bilgilere erişim sağlaması veya bu bilgileri kayıt altına almasıyla ilgili olarak, CNIL’in Şirketler’i denetlemeye ve haklarında yaptırıma karar vermeye yetkili olduğu değerlendirilmektedir.

Şirketler, CNIL’in yetkisini reddederek, 2016/679 sayılı Genel Veri Koruma Tüzüğü (“GVKT”) uyarınca uygulanması gereken “Tek Yetkili Mercii” (One Stop Shop) ilkesi gereğince yetkili makamın İrlanda Veri Koruma Otoritesi olduğunu iddia etmektedir. Şirketler, GVKT ve Direktif arasındaki ilişkiye dikkat çekerek, lex specialis – lex generalis ilkesi gereğince, Direktif’in GVKT’yi açıklayıcı ve tamamlayıcı nitelikte olduğunu değerlendirmektedirler. Bu değerlendirmeye göre, sınır ötesi veri işleme faaliyetlerindeki yetkili makamın belirlenmesine ilişkin olarak Direktif’te açık bir düzenleme bulunmaması nedeniyle, Direktif ve GVKT arasındaki ilişki göz önünde bulundurularak, GVKT hükümleri ve dolayısıyla “Tek Yetkili Mercii” ilkesi uygulanmalıdır.

Bu iddialar karşısında Alt Komisyon, öncelikle, çerezlerin bir kullanıcı cihazına yerleştirilmesi ve okunmasına ilişkin işlemler ile bu çerezlerden toplanan verilerin kullanımına ilişkin “sonraki işleme faaliyetleri” (örneğin, çerezlerden toplanan verilerin profilleme amacıyla kullanılması) arasındaki ayrıma dikkat çekmektedir. Birbirini takip eden bu iki aşama, iki farklı düzenlemeye tabidir; bir terminaldeki okuma ve yazma işlemleri Direktif kapsamında iken, “sonraki işleme faaliyetleri” GVKT’ye tabidir. Alt Komisyon, karara konu vakanın, “google.fr” ve “youtube.com” sitelerini ziyaret eden Fransa’daki kullanıcıların terminal cihazlarında gerçekleştirilen okuma ve yazma işlemlerini kapsadığının altını çizerek, Direktif’in uygulanmasının gerektiğini belirtmektedir.

Benzer şekilde Alt Komisyon, hem Direktif’in hem de GVKT’nin kapsamına girebilecek konularda, her iki metnin hükümleri arasında vakıaya uygun olanın uygulanması gerektiğini değerlendirmektedir. Bu minvalde, GVKT’nin 173 numaralı gerekçesine değinerek, GVKT’nin Direktif’te belirtilen amaçlarla aynı amaca yönelik spesifik yükümlülüklere tabi kişisel veri işleme faaliyetlerine uygulanamayacağını ve bu yaklaşımın Avrupa Birliği Adalet Divanı’nın (“ABAD”) Planet49 kararı[4] ile de desteklendiğini ifade etmektedir. Direktif’in 5. maddesinin 3. fıkrası “Üye Devletler, bir abonenin veya kullanıcının terminal ekipmanında depolanan bilgilerin depolanması veya bunlara erişim sağlanması amacıyla  elektronik iletişim ağlarının kullanılmasına, yalnızca ilgili abone veya kullanıcıya, veri sorumlusu tarafından 95/46/EC sayılı Direktif (yeni haliyle GVKT) uyarınca, diğer konuların yanı sıra işleme amaçları hakkında açık ve kapsamlı bir şekilde bilgi verilmesi ve bu türden işleme faaliyetlerini reddetme hakkının sunulması halinde izin verilmesini sağlamalıdır.” düzenlemesine yer vermektedir. Alt Komisyon, bu düzenlemenin, mevcut incelemenin konusu olan “kullanıcı terminalindeki okuma/yazma faaliyetleri” bakımından özellikle GVKT’nin 6. Maddesinde düzenlenen hukuki sebeplere dayanılmasını yasaklaması itibariyle, GVKT karşısında özel bir kural oluşturduğunu ve bu itibarla bu vakıanın Direktif hükümleri çerçevesinde değerlendirilmesi gerektiğini belirtmektedir.

Buna uygun olarak, Alt Komisyon, Direktif’in 15. maddesine atıfta bulunarak, Direktif uyarınca kabul edilen ulusal düzenlemelerin ihlali halinde uygulanacak yaptırımlar ile bu düzenlemelere uyulmasını sağlamak için gerekli tedbirlerin alınmasına ilişkin yetkinin, Üye Devletler’e bırakıldığını hatırlatmaktadır. Bu bağlamda, Fransız Veri Koruma Kanunu uyarınca CNIL yetkilendirilmiştir ve GVKT’de düzenlenen “Tek Yetkili Mercii” ilkesi uygulanmayacaktır.

2.2.2. Yer Bakımından Yetki

Alt Komisyon, mevcut incelemenin Direktif’in ve dolayısıyla Direktif’in Fransız iç hukukuna aktarımı çerçevesinde düzenlenen Fransız Veri Koruma Kanunu çerçevesinde değerlendirilmesi gerektiğini açıkladıktan sonra, bu Kanun’un hükümlerinin, işleme faaliyetinin Fransa’da gerçekleştirilip gerçekleştirilmediğine bakılmaksızın, kişisel verilerin bir veri sorumlusunun Fransız topraklarındaki işletmesinin faaliyetleri çerçevesinde işlenmesi halinde uygulanacağını hatırlatmaktadır.

Bu çerçevede, Fransa’daki kullanıcıların “google.fr” ve “youtube.com” sitelerini ziyaret ettikleri sırada cihazlarındaki bilgilere erişilmesi veya bu bilgilerin kaydedilmesine ilişkin işleme faaliyetlerinin, Google grubunun Fransa’daki işletmesi olan Google Fransa’nın faaliyetleri çerçevesinde gerçekleştirildiği ve dolayısıyla CNIL’in yer bakımından da yetkili olduğu değerlendirilmektedir.

Alt Komisyon, mevcut incelemedeki kişisel veri işleme faaliyetlerinin Google’ın Fransa’daki işletmesinin faaliyetleri çerçevesinde gerçekleştirilen kişisel veri işleme faaliyetleri kapsamında yer aldığını belirtirken, ABAD’ın Google İspanya kararına [5] atıfta bulunarak, ilgili kararda Google arama motoruna ilişkin veri işleme faaliyetlerinin, Google Inc’in (artık Google LLC) işletmesi olan Google Spain SL’nin (“Google İspanya”) faaliyetleri çerçevesinde gerçekleştirildiğinin değerlendirildiğini hatırlatmaktadır. Benzer şekilde, ABAD’ın Wirtschaftsakademie[6] ve Facebook Belçika kararlarında[7], Facebook’un internet sitesini ziyaret eden Almanya’daki ve Belçika’daki kullanıcıların cihazlarına yerleştirilen çerezler aracılığıyla toplanan kişisel verilerin işlenmesine ilişkin işleme faaliyetlerinin, Facebook grubunun Almanya ve Belçika’daki işletmeleri olan Facebook Germany GmBH ve Facebook Belgium LTD şirketlerinin faaliyetleri çerçevesinde gerçekleştiğinin değerlendirildiğini hatırlatmaktadır.

2.3.      Veri Sorumlusunun Belirlenmesi

Alt Komisyon, Direktif’in 2. maddesi doğrultusunda düzenlenen Fransız Veri Koruma Kanunu’nun 82. maddesi uyarınca, veri sorumlusu kavramının değerlendirilmesinde GVKT hükümlerinin uygulanacağını, bu sebeple veri sorumlusunun tespitinde GVKT hükümlerinin esas alınacağını belirtmektedir.

Şirketler, Avrupa Ekonomik Alanı’nda ve İsviçre’de bulunan kullanıcıların kişisel verilerinin işlenmesiyle ilgili olarak yalnızca Google İrlanda şirketinin sorumlu olduğunu iddia etse de Alt Komisyon, Google İrlanda ile Google LLC’nin ortak veri sorumlusu sıfatıyla hareket ettiklerini değerlendirmektedir. ABAD’ın Yehova Şahitleri Kararını [8] hatırlatarak, farklı aktörlerin aynı veri işleme faaliyetiyle ilgili olarak ortak veri sorumlusu olarak nitelendirilmesinin, bu aktörlerin mutlaka eşit ölçüde sorumlu bulundukları anlamına gelmeyeceğini, aktörlerin işleme faaliyetinin farklı aşama ve derecelerinde yer alabileceğini ve sorumluluk düzeyinin somut vakıanın koşulları dikkate alınarak değerlendirilmesi gerektiğinin altını çizmektedir.

Şirketler ve Alt Komisyon, Google İrlanda’nın veri sorumlusu olduğu görüşünde hemfikirdir.

Google LLC ile ilgili olarak ise, Alt Komisyon, Google LLC’nin Google ürünlerinin teknolojilerini tasarladığını ve ürettiğini, bu durumun Google Arama motorunun kullanımı sırasında kullanıcı terminaline yerleştirilen çerezler bakımından da geçerli olduğunu ve “google.fr” de dahil olmak üzere arama motorunun farklı sürümlerinde yerleştirilen çerezler açısından teknolojik bağlamda hiçbir fark bulunmadığını belirtmektedir. Komite, Google İrlanda’nın, Google Arama motoru aracılığıyla yerleştirilen çerez uygulamalarının tanımlanmasına ilişkin kararların pek çok aşamasına katılım gösterdiğini kabul etmekle birlikte, Google LLC’nin, Avrupa Ekonomik Alanı ve İsviçre’deki Google ürünlerinin dağılımına ve bu bölgelerde ikamet eden kullanıcıların kişisel verilerinin işlenmesine ilişkin kararları alan organlar nezdinde temsil edildiğini, bu kararlar üzerinde “belirleyici bir etkisi” olduğunu değerlendirmektedir. Her ne kadar Google İrlanda ile Google LLC arasında akdedilen veri işleyen sözleşmesi kapsamında, Google LLC’nin Avrupa’daki kullanıcıların verilerinin çerezler aracılığıyla işlenmesi ile ilgili olarak Google İrlanda’nın veri işleyeni sıfatıyla hareket ettiği düzenlenmişse de, somut vakıada Google LLC’nin bu işleme faaliyetlerine katılımı, Google İrlanda adına ve yalnızca onun talimatlarıyla hareket eden bir veri işleyen faaliyetlerinin ötesine geçmektedir. Bu minvalde, Alt Komisyon, Google İrlanda ve Google LLC’nin ortak veri sorumlusu sıfatıyla hareket ettiğini kabul etmektedir.

2.4.      Çerezlere İlişkin Yükümlülüklerin İhlali

Alt Komisyon, Direktif’in 2. maddesinin f fıkrasının bir kullanıcı veya abonenin rızasının alınmasının 95/46/EC sayılı Direktif’teki (mevcut versiyonu ile GVKT) rıza kavramına uygun olarak yorumlanması gerektiğini düzenlediğinden, ilgili kişinin rızasının değerlendirilmesinde GVKT hükümlerini esas almıştır.

Alt Komisyon, öncelikle Fransız Veri Koruma Kanunu’nun 8. maddesi uyarınca CNIL’in kişisel verilerin korunması mevzuatına uyumun sağlanmasına yönelik rehberler, tavsiyeler ve kıstaslar yayınlayabileceğini hatırlatmaktadır. Bu çerçevede CNIL, 4 Temmuz 2019 tarihli ve 2019-093 sayılı kararında[9] “rızanın reddedilmesinin veya geri alınmasının, rıza vermek kadar kolay olması gerektiğini” belirtmiş ve 17 Eylül 2020 tarihli ve 2020-091[10] ile 2020-92[11] sayılı kararlarında “çerezlerin veya sair izleyicilerin kullanıldığı durumlarda başvurulabilecek pratik yöntemlere ilişkin tavsiyeler” vermiştir.

CNIL, çerezlere rıza göstermeyi, reddetme mekanizmasının rıza beyan etme mekanizmasıyla aynı ekrandan ve aynı kolaylıkla erişilebilir olması gerektiğini belirtmektedir. Çerez faaliyetlerine onay vermek için tek bir tıklama gerektiren ara yüzlerin, izin vermenin reddedilebilmesi için çerez ayarlarının değiştirilmesine yönelik birden fazla eylem gerektirmesinin, internet sitesini bir an önce görüntülemek ve uygulamayı hemen kullanmak isteyen kullanıcılar üzerinde olumsuz bir etki yarattığını ifade etmektedir. Buna uygun olarak, çerezleri reddetme mekanizmasını, onay mekanizmasından daha karmaşık hale getirmenin kullanıcıları, çerezleri reddetmekten caydırdığını ve tek tıklama ile kabul etmenin kolaylığını tercih etmeye teşvik ettiğini değerlendirmektedir. Örnek bir uygulamanın, ilk bilgilendirme aşamasında, aynı seviyede ve aynı formatta “kabul et” ve “reddet” veya “izin ver” ve “izin verme” gibi iki buton arasında seçim yapma olanağı vermesi gerekmektedir.

Mevcut vakıada Alt Komisyon, “google.fr” ve “youtube.com” adreslerini ziyaret eden Fransa’daki kullanıcıların, çerezleri kabul etmek için tek bir işlem gerçekleştirmeleri (kabul et butonuna tıklamanın yeterli olduğunu), çerezleri reddetmek için ise beş işlem (özelleştir butonuna tıklandıktan sonra ayarları kapatmak için sırasıyla arama kişiselleştirme, YouTube geçmişi ve bildirim kişiselleştirme butonlarına tıklanması ve son olarak bu ayarların kaydedilmesi için onayla butonuna tıklanması) gerçekleştirmek zorunda kaldıklarını tespit etmiştir. Mevcut mekanizmada çerezleri reddetmenin, onları kabul etmek kadar kolay olmadığı anlaşılmaktadır.

Alt Komisyon’un değerlendirmelerine göre, internet kullanıcılarının birçoğu aynı anda pek çok siteye tıklamayı tercih etmektedir ve internetin hızı ile akıcılığı, kullanıcı seçimlerini önemli ölçüde etkilemektedir. Çerezleri reddetmek için “özelleştirme” seçeneğine tıkladıktan sonra, çerezlerin nasıl reddedileceğini açıklayan sayfayı incelemek ve anlamak zorunda kalmak, aslında çerezleri reddetmek isteyen kullanıcıların motivasyonunu düşürebilecektir. Her ne kadar kullanıcıya çerezlerin kabul edilmesi veya reddedilmesi seçenekleri sunulsa da, çerezleri reddetmenin kabul etmekten daha meşakkatli bir süreç gerektirmesi, kullanıcının seçim özgürlüğünü zedeleyecek şekilde kullanıcının istemese de çerezleri kabul etmeye yönlenmesine sebebiyet verebilecektir. Oysa ki, GVKT’nin 4. maddesi uyarınca ilgili kişi tarafından verilecek rıza, özgür irade ile verilecek bir seçim özgürlüğünden kaynaklanmalı ve ilgili kişinin rıza vermesi veya rıza vermeyi reddetmesi için kendisine sunulan seçenekler, kullanıcıyı rıza vermeye teşvik edecek nitelikte olmamalıdır.

Bu değerlendirmeler çerçevesinde Alt Komisyon, GVKT ışığında yorumlanan Fransız Veri Koruma Kanunu’nun 82. maddesinin, Şirketler tarafından ihlal edildiğini değerlendirmektedir.

2.5.      İdari Para Cezasının Belirlenmesi

Alt Komisyon, Fransız Veri Koruma Kanunu’nun 20. maddesi uyarınca, veri sorumlusunun bir önceki mali yıla ilişkin dünya çapındaki yıllık cirosunun %2’sine kadar idari para cezası kararı vermeye yetkilendirildiğini ve idari para cezasının GVKT’nin 83. maddesinde düzenlenen kriterler dikkate alınarak belirleneceğini hatırlatmaktadır.

Öncelikle Alt Komisyon, ihlalin ciddiyetini değerlendirmektedir. Google İrlanda ve Google LLC, “google.fr” ve “youtube.com” sitelerini ziyaret eden günlük kullanıcı sayısının hacmi konusunda bilgi vermeyi reddetmiş olsa da Alt Komisyon, Haziran 2020 tarihlerindeki bir aylık dönem içerisinde, Fransa’da ikamet eden kullanıcılardan 51 milyon kullanıcının Google’ın internet sitesini, 46 milyon kullanıcının ise Youtube’u ziyaret ettiğini tespit etmiştir. Bu rakamalar dikkate alındığında, ihlalden etkilenen kişi sayısı, Fransa nüfusuna oranla önemli bir sayı arz etmektedir.

İkinci olarak, Alt Komisyon’un değerlendirmesine göre inceleme konusu ihlal, ihmalden kaynaklanmamış, kasıtlı olarak gerçekleştirilmiştir. Alt Komisyon, Şirketler hakkında verilen ilgili kişilerin rızaya bağlı çerezlerin işlenme amaçları ile bu çerezleri reddetme yöntemleri hakkında bilgilendirilmesine ilişkin SAN-2020-012 sayılı ve 7 Aralık 2020 tarihli kararın[12] yakın bir zaman diliminde verildiğini hatırlatmaktadır. İlgili karar çerçevesinde verilen düzeltici tedbirlerin yerine getirilip getirilmediğinin takibini sağlamak üzere CNIL, genel sekreteri tarafından Şirketler’e gönderilen 17 Şubat 2021 tarihli yazıda, kararda öngörülen düzeltici tedbirlerin ötesine geçilerek “çerezleri reddetme yöntemlerine” değinilmiş ve çerezlerin reddedilmesinin, kabul edilmesi kadar kolay olması gerektiği belirtilmiştir. Aynı yazıda, “kabul et” butonunun yanına “reddet” butonu veya kullanıcının seçimlerinin sonuçlarını açıkça ve doğrudan anlamasını sağlayacak herhangi bir başlık yerleştirilerek bu kolaylığın kullanıcıya rahatlıklar sağlanabileceği belirtilmiş ve Şirketler bu hususta daha 2021 yılının şubat ayında (uyum için verilen süre 1 Nisan 2021’de sona ermiştir) uyarılmıştır. Nitekim, CNIL, çerezlerin reddedilmesinin kabul edilmesi kadar kolay olması gerektiğine, başta 1 Ekim 2020 tarihli rehber ilkeler[13] ile yukarıda değinilen 17 Eylül 2020 tarihli kararları kapsamında olmak üzere internet sitesinde yayımladığı pek çok yazıda defalarca değinmiştir. Bu bağlamda Alt Komisyon, Şirketler’in, CNIL tarafından yayımlanan rehber ve görüşleri dikkate almamalarının yanı sıra, açıkça uyarıldıkları bir tedbir prosedürü çerçevesinde dahi çerezlerin kolayca reddedilmesine yönelik bir tedbir almamalarının, Şirketler’in uygulamalarını değiştirmeme yönündeki kararlılığını ortaya koyduğunu değerlendirmektedir.

İhlal nedeniyle doğrudan veya dolaylı bir menfaat elde edilip edilmediğiyle ilgili olarak Alt Komisyon, “google.fr” ve “youtube.com” sitelerini ziyaret eden kullanıcıların verilerinin çerezler vasıtasıyla hedefli reklamcılık amacıyla toplanmasının ve işlenmesinin, Şirketler açısından önemli finansal faydalar sağladığını belirtmektedir. Şirketler’in gelirlerinin tamamı doğrudan çerezlerle bağlantılı olmasa bile, çevrimiçi olarak gerçekleştirilen reklamcılık faaliyetleri, esasen internet kullanıcılarının hedeflenmesini ve kullanıcıların ilgi alanlarına ve profillerine uygun reklam içeriklerinin görüntülenmesini amaçlamaktadır. Belirli bir kullanıcının diğer kullanıcılardan ayırt edilmesi ve kullanıcıya ulaşılması ise çerezler aracılığıyla sağlanmaktadır. Alt Komisyon, Google grubunun Fransa pazarında çerezlerin toplanmasından ve kullanılmasından elde edilen kârı hakkında net bir bilgiye sahip olmamakla birlikte, kamuya açık rakamlardan yola çıkarak, Fransa’nın Google grubunun ana şirketi olan ALPHABET’in yıllık net gelirine katkısının 680 ila 755 milyon dolar arasında olduğunu öngörmektedir. Alt Komisyon, ayrıca, “kabul et” butonunun yanına “tümünü reddet” butonu yerleştiren şirketlerin, çerezlerin kabulüne ilişkin onay oranının düştüğünü vurgulamakta ve Şirketler’in mevcut uygulamalarını değiştirmemekteki kararlılıklarını dikkate aldığında, Şirketler’in bu ihlalle bağlantılı olarak finansal fayda sağladıklarının yadsınamayacağını belirtmektedir.

2.6.      Karar

Tüm bu değerlendirmeler ışığında Alt Komisyon;

·     Fransız Veri Koruma Kanunu’nun 82. maddesinin ihlali nedeniyle Google LLC hakkında 90 milyon Euro idari para cezasına,

·     Fransız Veri Koruma Kanunu’nun 82. maddesinin ihlali nedeniyle Google İrlanda hakkında 60 milyon Euro idari para cezasına,

·  Şirketler hakkında, Fransa’da ikamet eden kullanıcıların “google.fr” ve “youtube.com” siteleri aracılığıyla, kullanıcı terminalindeki okuma/yazma faaliyetleri ile ilgili kullanıcı rızalarının alınmasına ilişkin yöntemlerin, kullanıcıların seçim özgürlüğünü garanti altına almak adına, bu faaliyetleri kabul etmek için sağlanan mekanizma ile eşdeğer basitlikte bir mekanizma ile reddetme olanağı sunulacak şekilde değiştirilmesine yönelik düzeltici tedbirler alınmasına,

·        Bu kararın tebliğini takip müteakip üç aylık bir sürenin sonunda gecikilen gün başına 100.000 Euro (yüz bin Euro) tutarında bir ceza ödemesine ilişkin ihtiyati tedbir kararına ve uyumluluğun sağlanmasına ilişkin destekleyici belgelerin bu süre içerisinde Alt Komisyon’a gönderilmesine,

·      Bu kararın, uygulanması için Google France şirketine gönderilmesine, ve

Kararın yayımlanmasını takip eden iki yıllık bir sürenin sonunda şirketlerin isimlerini içermeyecek şekilde, kararın CNIL ve Légifrance internet sitelerinde kamuya açık olarak yayınlanmasına karar vermiştir