Fransa’nın veri koruma kurumu (CNIL), platform kullanıcılarının çerezleri reddetmesini zorlaştırdığı ve amaçları hakkında onları yeterince bilgilendirmediği için TikTok UK ve TikTok Ireland’a 5.000.000 € para cezası verdi.
Bu tasarım davranışı, Avrupa çapında uygulanan GDPR (Genel Veri Koruma Yönetmeliği) çerçevesine uyan ulusal bir düzenleme olan Fransa’nın veri koruma yasalarının (DPA) 82. Maddesinin ihlali olarak kabul edildi.
5 milyon avroluk para cezası, aralarında çocukların da bulunduğu etkilenen bireylerin sayısı ve CNIL’in Fransa’nın Veri Koruma Yasasına uyma gereği konusunda TikTok’a yaptığı uyarıları kaç kez tekrarlamak zorunda kaldığı da dahil olmak üzere ihlallerin ciddiyetine göre belirlendi.
CNIL’in duyuruda açıkladığı gibi, Haziran 2021’de TikTok web sitesini inceledi. Platform, kullanıcıların çerezleri hemen kabul etmesine izin veren bir düğme sunarken, reddetmenin o kadar kolay olmadığını gördü.
Bunun yerine CNIL, kullanıcıların tüm çerezleri reddetmek için birkaç hedefli tıklama gerçekleştirmesi gerekeceğini söylüyor; bu cesaret kırıcıydı ve doğal olarak TikTok sitesindeki çoğu ziyaretçinin “Tümünü kabul et” düğmesini tıklamasına neden oluyordu.
Fransa’nın DPA’sının 82. Maddesi, hizmetlerin yalnızca çerezlerin saklanması için kullanıcıların onayını almasını gerektirmez, aynı zamanda kullanıcıların bu izni verme özgürlüğünü de varsayar. Bu nedenle, çerez izni iletişim kutuları, seçeneklerin kullanıcıya nasıl sunulduğu konusunda dengeli bir yaklaşım sunmalıdır, TikTok sitelerinde durum böyle değildi.
CNIL’in TikTok’a defalarca yaptığı uyarılara rağmen, şirketin bir “Tümünü reddet” düğmesini uygulamaya koyması ve ona çerez onayı isteminde belirgin bir konum vermesi Şubat 2022’ye kadar sürdü.
DPA’nın 82. Maddesinin de ihlali olan ikinci ihlal, banner’da çerezlerin amaçlarının yetersiz açıklanmasıdır. CNIL, daha fazla bilgi edinmek için banner bağlantısını tıklayan kullanıcıların çerezlerin amacı hakkında hala yeterli ayrıntıyı almadıklarını söylüyor.
CNIL’in yakın zamanda ağır para cezalarıyla cezalandırdığı Apple’ın 8.5 milyon dolar, Facebook’un 68 milyon dolar ve Google’ın 170 milyon dolar aldığı büyük çevrimiçi platformlar arasında agresif veri toplama stratejilerinin yaygın olduğunu belirtmekte fayda var.
Bir TikTok sözcüsü, BleepingComputer’a CNIL cezasıyla ilgili şu yorumu gönderdi:
“Bu bulgular, gerekli olmayan tanımlama bilgilerini reddetmeyi kolaylaştırma ve belirli tanımlama bilgilerinin amaçları hakkında ek bilgi sağlama dahil, geçen yıl ele aldığımız geçmiş uygulamalarla ilgilidir.
CNIL, soruşturma sırasında işbirliğimizi vurguladı ve kullanıcı gizliliği TikTok için en önemli öncelik olmaya devam ediyor.”