Fransız Veri Koruma Otoritesi (CNIL), Google kararında, web sitelerindeki çerezleri (cookies) kabul etme ve reddetme mekanizmalarının GDPR'a uygunluğu açısından hangi temel ilkeyi vurgulamıştır?

CNIL, SAN-2021-023 sayılı Google kararında, GDPR'ın 4. maddesindeki 'özgür iradeye' dayalı rıza ilkesini temel almıştır. Bu ilkeye göre, bir kullanıcının çerezlere rıza vermesi veya vermemesi konusunda yaptığı seçimin özgürlüğünü zedeleyecek şekilde tasarlanmış arayüzler hukuka aykırıdır. CNIL, somut olayda çerezleri kabul etmenin tek bir tıklama ile mümkünken, reddetmenin birkaç tıklama ve karmaşık bir süreç gerektirdiğini tespit etmiştir. Bu durumun, kullanıcıyı istemese bile daha kolay olan seçeneği, yani kabul etmeyi tercih etmeye yönlendirdiğini belirtmiştir. Dolayısıyla, CNIL'in vurguladığı temel ilke şudur: Çerezleri reddetme mekanizması, rıza verme mekanizması kadar basit, kolay ve erişilebilir olmalıdır. Kullanıcı, rıza vermeye teşvik edilmemelidir. Bu asimetrik tasarım, rızanın özgürce verilmediği anlamına gelir ve GDPR ihlalidir.