Böyük Britaniyanın Brexit-dən Sonrakı Məxfilik Mühiti

Böyük Britaniya Avropa İttifaqından çıxanda, məlumatların qorunmasını arxada qoymadı. Böyük Britaniya, AB GDPR-ni UK GDPR adı ilə daxili hüquqa daxil etdi və bu, Data Protection Act 2018 ilə yanaşı tətbiq olunur. Xüsusilə kukilər üçün isə, Aİ-nin ePrivacy Direktivinin Böyük Britaniya versiyası olan Privacy and Electronic Communications Regulations (PECR) qüvvədə qalır. Nəticədə, Aİ sisteminə çox bənzəyən, lakin Böyük Britaniyanın Information Commissioner's Office (ICO) qurumu tərəfindən müstəqil şəkildə icra olunan bir məxfilik çərçivəsi yaranıb.

Vebsayt operatorları üçün bu o deməkdir ki, Böyük Britaniya ziyarətçilərinə xidmət göstərərkən ayrıca qaydalar, tövsiyələr və icra təcrübələrinə diqqət yetirmək lazımdır. Məzmun Aİ GDPR ilə oxşar olsa da, incəlikl��r əhəmiyyət kəsb edir.

UK GDPR və EU GDPR: Əsas Fərqlər

UK GDPR əsas prinsiplər və tələblər baxımından EU GDPR ilə böyük ölçüdə eynidir. Bununla belə, Brexit-dən sonra bir neçə fərq ortaya çıxıb:

• Nəzarət orqanı: UK GDPR üçün yeganə nəzarət orqanı ICO-dur və bu, Aİ məlumatların qorunması orqanlarının rolunu əvəz edir. Yalnız Böyük Britaniya rezidentlərinə təsir edən eyni emal fəaliyyəti üçün həm ICO, həm də Aİ DPA tərəfindən cərimələnə bilməzsiniz.
• Məlumat adekvatlığı: Aİ 2021-ci ilin iyununda Böyük Britaniyaya adekvatlıq qərarı verib və bu, şəxsi məlumatların Aİ-dən Böyük Britaniyaya sərbəst ötürülməsinə imkan yaradır. Bu qərar dövri olaraq yenidən nəzərdən keçirilir. Böyük Britaniya da öz növbəsində Aİ/EEA məkanını adekvat tanıyıb.
• Beynəlxalq ötürmələr: Böyük Britaniyanın beynəlxalq məlumat ötürmələri üçün öz çərçivəsi var və burada adekvatlıq qərarlarını Avropa Komissiyası deyil, Dövlət Katibi (Secretary of State) verir. Böyük Britaniya beynəlxalq ötürmələrə daha çevik yanaşma siqnalı verib, lakin əsas təminatlar qüvvədə qalır.
• İcra yanaşması: ICO tarixi olaraq aqressiv cərimələrdən daha çox dialoq və tövsiyəyə üstünlük verib. UK GDPR üzrə maksimum cərimələr Aİ ilə eynidir: qlobal illik dövriyyənin 4 faizi və ya 17,5 milyon funt sterlinq (GBP), hansısı daha yüksəkdirsə.
• Mümkün ayrışma: Böyük Britaniya hökuməti Data Protection and Digital Information Bill vasitəsilə islahatları nəzərdən keçirib və bu, legitim maraq qiymətləndirmələri, tədqiqat istisnaları və Data Protection Officer-lərin rolu kimi sahələrdə dəyişikliklər gətirə bilər. Vebsayt operatorları gələcək dəyişikliklər üçün bu qanunvericiliyi izləməlidirlər.

PECR: Böyük Britaniyanın Kuki Qanunu

UK GDPR şəxsi məlumatların emalı üçün ümumi çərçivə təqdim etdiyi halda, PECR konkret olaraq kukiləri və oxşar texnologiyaları tənzimləyir. PECR GDPR-dən əvvəl qəbul olunub və Aİ ePrivacy Direktivini Böyük Britaniya hüququna implementasiya edir. Kukilər üçün əsas tələblər bunlardır:

• Razılıq tələb olunur – istifadəçinin cihazında hər hansı qeyri-zəruri kuki yerləşdirilməzdən əvvəl. Buna analitika kukiləri, reklam kukiləri və sosial media kukiləri daxildir.
• Məlumat verilməlidir – hansı kukilərin qoyulduğu və nədən ötrü istifadə edildiyi barədə aydın və sadə dildə məlumat təqdim olunmalıdır.
• Razılıq sərbəst, konkret və məlumatlı olmalıdır. Əvvəldən işarələnmiş xanalar etibarlı razılıq hesab edilmir.
• Mütləq zəruri kukilər istisnadır. İstifadəçi tərəfindən açıq şəkildə tələb olunan xidmət üçün zəruri olan kukilər (məsələn, daxil olmuş istifadəçi sessiya kukiləri və ya alış-veriş səbəti kukiləri) üçün razılıq tələb olunmur.

PECR-in razılıq standartı GDPR-dəki razılıq tərifi ilə üst-üstə düşür, bu da praktikada tələblərin Aİ ePrivacy Direktivindəki tələblərə çox bənzər olduğu deməkdir. Aİ qaydalarına uyğun bir kuki banneri, adətən, PECR-ə də uyğun olacaq.

ICO-nun Kuki Bannerləri üzrə Tövsiyələri

ICO, PECR mətnindən kənara çıxan ətraflı kuki uyğunluğu tövsiyələri dərc edib. Bu tövsiyələrdən əsas məqamlar bunlardır:

Razılıq Müsbət Hərəkətlə Verilməlidir

Sadəcə vebsaytda gəzişməni davam etdirmək razılıq sayılmır. ICO açıq şəkildə bildirir ki, eyhamla (implied) razılıq etibarlı deyil. Qeyri-zəruri kukilər qoyulmazdan əvvəl istifadəçi aydın, müsbət hərəkət etməlidir (məsəl��n, "Accept" düyməsini klikləməklə).

Rədd Etmək Eyni Dərəcədə Asan Olmalıdır

ICO kuki bannerlərindəki dark patterns barədə getdikcə daha sərt danışır. Xüsusilə:

• "Reject All" və ya ekvivalent seçim "Accept All" ilə eyni səviyyədə əlçatan olmalıdır. Rədd etmə seçimini "Manage Preferences" ekranının arxasında gizlətmək qəbuledilməzdir.
• Vizual dizayn istifadəçiləri razılığa yönləndirmək üçün rəng, ölçü və ya yerləşdirmədən manipulyativ şəkildə istifadə etməməlidir.
• Dil neytral olmalı və istifadəçini razılıq verməyə məcbur etmək və ya günahlandırmaq üçün qurulmamalıdır.

Kateqoriyalar üzrə Ətraflı İdarəetmə

İstifadəçilər analitika, marketinq, funksional kimi konkret kuki kateqoriyalarına ayrıca razılıq verə bilməli, yalnız “hamısı və ya heç nə” seçimlərinə məcbur edilməməlidirlər. ICO müəyyən sayda kateqoriya tələb etməsə də, daha detallı idarəetmə yaxşı təcrübə sayılır və GDPR-in məqsəd məhdudiyyəti prinsipinə əsasən tələb oluna bilər.

Kuki Divarları Problemlidir

ICO, istifadəçi bütün kukiləri qəbul etməyincə vebsayta girişin bloklandığı kuki divarlarını (cookie walls) etibarlı razılıq kimi qəbul etməyə meylli deyil, çünki bu halda razılıq sərbəst verilmiş sayılmır. Yalnız ödənişli kontent üçün və həqiqi kukisiz alternativ təklif olunduğu hallarda istisnalar mümkündür.

ICO-nun Son İcra Addımları

Son illərdə ICO kuki uyğunluğuna diqqətini tədricən artırıb. Ən diqqətçəkən addımlar bunlardır:

• Sektor üzrə auditlər: ICO müxtəlif sektorlar üzrə Böyük Britaniyanın ən çox ziyarət olunan 100 vebsaytında auditlər aparıb və geniş yayılmış uyğunsuzluqları vurğulayan nəticələr dərc edib. Tipik problemlərə razılıqdan əvvəl kukilərin qoyulması, rədd etmə seçiminin olmaması və kukilərin məqsədləri barədə qeyri-kafi məlumat daxildir.
• Xəbərdarlıq məktubları: Auditlərdən sonra kuki təcrübələri tələblərə cavab verməyən təşkilatlara ICO xəbərdarlıq məktubları göndərib. Əksər təşkilatlar bu məktublardan sonra təcrübələrini uyğun hala gətiriblər.
• Adtech araşdırmaları: ICO real-time bidding ekosistemi üzrə davamlı araşdırmalar aparıb və proqrammatik reklam kukiləri vasitəsilə kifayət qədər razılıq olmadan paylaşılan şəxsi məlumatların həcmi ilə bağlı narahatlıqlarını bildirib.
• İctimai sektor üzrə icra: ICO hökumət vebsaytlarını da istisna etməyib və onların kuki təcrübələri ilə bağlı ictimai sektor təşkilatlarına tövsiyələr və xəbərdarlıqlar göndərib.

ICO hələ ki, konkret olaraq kuki pozuntularına görə böyük maliyyə cərimələri tətbiq etməsə də, tendensiya daha sərt icraya doğrudur. Tənzimləyici qurum təşkilatlardan artıq indi uyğunluq gözlədiyini və təkmilləşmə aparmayanlar üçün icra tədbirlərinin gələcəyini açıq şəkildə bildirib.

Beynəlxalq Məlumat Ötürmələri: Böyük Britaniyadan Aİ-yə və Daha Uzağa

Kuki razılığı beynəlxalq məlumat ötürmələri ilə mühüm şəkildə kəsişir. Analitika və ya reklam kukiləri məlumatları Böyük Britaniyadan kənardakı serverlərə göndərdikdə – məsələn, Google Analytics məlumatları Google-un serverlərinə, Facebook Pixel məlumatları Meta-nın serverlərinə göndərdikdə – bunlar UK GDPR çərçivəsində beynəlxalq məlumat ötürməsi hesab olunur.

Mövcud vəziyyət:

• UK-dən EEA-ya: Böyük Britaniyanın EEA adekvatlığını tanıması sayəsində məlumatlar sərbəst ötürülür.
• UK-dən ABŞ-a: UK Extension to the EU-US Data Privacy Framework, sertifikatlı ABŞ təşkilatlarına ötürmələr üçün mexanizm təmin edir. Google və Meta bu çərçivə üzrə sertifikatlıdır.
• UK-dən digər ölkələrə: UK versiyası Standard Contractual Clauses və ya binding corporate rules kimi müvafiq təminatlar tələb olunur.

Praktiki baxımdan, Google Analytics, Google Ads və digər böyük reklam platformalarından istifadə edirsinizsə, beynəlxalq ötürmə mexanizmləri artıq mövcuddur. Bununla belə, bu ötürmələri məxfilik siyasətinizdə sənədləşdirməli və kuki bannerinizdə məlumatların beynəlxalq ötürülə biləcəyini qeyd etməlisiniz.

UK-ə Xas Uyğunluq üçün FlexyConsent Geo-Targeting

FlexyConsent Böyük Britaniya ziyarətçiləri üçün xüsusi geo-targeting təqdim edir və beləliklə, Böyük Britaniyanın spesifik tənzimləyici çərçivəsinə uyğunluğu təmin edir:

• PECR-ə uyğun banner: Böyük Britaniya ziyarətçiləri ICO tələblərinə cavab verən, o cümlədən bərabər dərəcədə nəzərə çarpan rədd etmə seçimi və detallı kateqoriya idarəetməsi olan razılıq banneri görürlər. Müsbət razılıq alınana qədər heç bir kuki qoyulmur.
• Aİ konfiqurasiyasından ayrı: Tələblər oxşar olsa da, FlexyConsent Böyük Britaniya və Aİ üçün razılıq təcrübələrini müstəqil şəkildə konfiqurasiya etməyə imkan verir. Bu, Böyük Britaniya və Aİ tənzimləmələrinin gələcəkdə mümkün ayrışmasına qarşı həllinizi davamlı edir.
• ICO ilə uyğun dizayn: FlexyConsent-in standart banner şablonları dark patterns-dən qaçmaqla bağlı ICO tövsiyələrinə əməl edir. Qəbul və rədd etmə seçimləri vizual olaraq bərabərdir, dil neytraldır və dizayn istifadəçi seçimlərini manipulyasiya etmir.
• Consent Mode V2 inteqrasiyası: Google-certified CMP kimi FlexyConsent Böyük Britaniya ziyarətçiləri üçün Google xidmətlərinə düzgün razılıq siqnalları göndərir. Bu, UK razılıq tələblərinə hörmət etməklə yanaşı, conversion modelling və Smart Bidding funksiyalarının düzgün işləməsini təmin edir.
• IAB TCF 2.3 dəstəyi: Programmatik reklamdan istifadə edən nəşriyyatçılar üçün FlexyConsent Böyük Britaniya bazarında fəaliyyət göstərən demand-side və supply-side platformalar tərəfindən tanınan, Böyük Britaniyaya uyğun TCF razılıq sətirləri (consent strings) yaradır.

FlexyConsent, EUR 0 per month-dan başlayan planlarla, WordPress, Shopify və PrestaShop üçün daxili inteqrasiyalarla mövcuddur. Xüsusilə Böyük Britaniya mərkəzli bizneslər üçün sertifikatlı CMP tətbiq etmək ICO qarşısında proaktiv uyğunluq nümayiş etdirir – tənzimləyici qurum icra tədbirlərinə qərar verərkən bunu nəzərə aldığını bildirib.

Əsas nəticə: Böyük Britaniyanın Brexit-dən sonrakı məxfilik çərçivəsi Aİ sisteminə çox bənzəyir, lakin öz tənzimləyicisi, öz icra təcrübələri və potensial olaraq öz gələcək qanunvericilik istiqaməti ilə fəaliyyət göstərir. Hazırda Böyük Britaniya ziyarətçilərini Aİ ziyarətçiləri ilə eyni qaydalara tabe hesab etmək təhlükəsizdir, lakin Böyük Britaniyaya xas razılıq təcrübələrini ayrıca konfiqurasiya etmək imkanı saxlamaq, bu iki çərçivə ayrılmağa başlayarsa, saytınızı uyğunlaşmağa hazır vəziyyətdə saxlayır. Geo-aware CMP bu mürəkkəbliyi idarə etməyin ən praktik yoludur.