Брытанскі ландшафт прыватнасці пасля Brexit

Калі Вялікабрытанія выйшла з Еўрапейскага саюза, яна не пакінула ззаду абарону даных. Вялікабрытанія ўключыла EU GDPR ва ўнутранае заканадаўства як UK GDPR, які дзейнічае разам з Законам пра абарону даных 2018 года. Канкрэтна для cookie працягваюць прымяняцца Правілы пра прыватнасць і электронныя камунікацыі (PECR) — брытанская рэалізацыя Дырэктывы пра прыватнасць у электронных камунікацыях. У выніку атрымліваецца сістэма прыватнасці, якая блізка адлюстроўвае сістэму ЕС, але забяспечваецца незалежна Упраўленнем камісара па інфармацыі Вялікабрытаніі (ICO).

Для аператараў сайтаў гэта азначае, што абслугоўванне брытанскіх наведвальнікаў патрабуе ўвагі да асобнага набору правіл, рэкамендацый і мадэляў праваўжывання. Хаця сутнасць падобная на EU GDPR, нюансы маюць значэнне.

UK GDPR супраць EU GDPR: ключавыя адрозненні

UK GDPR па сутнасці ідэнтычны EU GDPR у сваіх асноўных прынцыпах і патрабаваннях. Аднак з моманту Brexit узнікла некалькі адрозненняў:

• Нагляднае орган: ICO з'яўляецца адзіным наглядным органам для UK GDPR, замяняючы ролю органаў па ахове даных ЕС. Вас не могуць аштрафаваць адначасова ICO і DPA ЕС за адну і тую ж дзейнасць па апрацоўцы даных, якая закранае толькі жыхароў Вялікабрытаніі.
• Адэкватнасць даных: ЕС прадаставіў Вялікабрытаніі рашэнне аб адэкватнасці ў чэрвені 2021 года, дазваляючы персанальным данным свабодна перамяшчацца з ЕС у Вялікабрытанію. Гэта рашэнне падлягае перыядычнаму перагляду. Вялікабрытанія ўзаемна прызнала ЕЭЗ адэкватнай.
• Міжнародныя перадачы: Вялікабрытанія мае ўласную сістэму міжнародных перадач даных, дзе рашэнні аб адэкватнасці прымае дзяржаўны сакратар (а не Еўрапейская камісія). Вялікабрытанія сігналізавала пра больш гнуткі падыход да міжнародных перадач, хаця асноўныя гарантыі захоўваюцца.
• Падыход да праваўжывання: ICO гістарычна аддаваў перавагу ўзаемадзеянню і рэкамендацыям перад агрэсіўным накладаннем штрафаў. Максімальныя штрафы па UK GDPR адлюстроўваюць ЕС: да 17,5 млн фунтаў стэрлінгаў або 4 працэнтаў глабальнага гадавога абароту, у залежнасці ад таго, што вышэй.
• Патэнцыйнае разыходжанне: Урад Вялікабрытаніі разглядаў рэформы праз законапраект пра абарону даных і лічбавую інфармацыю, які мог бы ўнесці змены ў ацэнкі законнага інтарэсу, даследчыя выключэнні і ролю супрацоўнікаў па ахове даных. Аператарам сайтаў варта сачыць за гэтым заканадаўствам на прадмет будучых змен.

PECR: брытанскі закон пра cookie

Хаця UK GDPR забяспечвае агульную сістэму апрацоўкі персанальных даных, PECR канкрэтна рэгулюе cookie і аналагічныя тэхналогіі. PECR папярэднічае GDPR і рэалізуе Дырэктыву пра прыватнасць у электронных камунікацыях ЕС у брытанскім праве. Яго ключавыя патрабаванні да cookie такія:

• Згода патрабуецца да ўстаноўкі любых неістотных cookie на прыладзе карыстальніка. Гэта ўключае аналітычныя cookie, рэкламныя cookie і cookie сацыяльных сетак.
• Павінна прадастаўляцца інфармацыя пра тое, якія cookie ўстанаўліваюцца і для чаго яны выкарыстоўваюцца, ясным і простым мовай.
• Згода павінна быць свабодна дадзенай, канкрэтнай і інфармаванай. Загадзя адзначаныя сцяжкі не складаюць сапраўднай згоды.
• Строга неабходныя cookie вызвалены. Cookie, якія неабходны для паслугі, яўна запатрабаванай карыстальнікам (такія як сесійныя cookie для функцыянальнасці ўваходу або cookie кошыка пакупак), не патрабуюць згоды.

Стандарт згоды PECR узгадняецца з вызначэннем згоды ў GDPR, што азначае, што на практыцы патрабаванні вельмі падобныя на тыя, што ў Дырэктыве пра прыватнасць у электронных камунікацыях ЕС. Банер cookie, які адпавядае правілам ЕС, як правіла, будзе адпавядаць PECR.

Рэкамендацыі ICO па банерах cookie

ICO апублікаваў падрабязныя рэкамендацыі па выкананні правіл cookie, якія выходзяць за рамкі тэксту самога PECR. Ключавыя моманты з рэкамендацый ICO ўключаюць:

Згода павінна быць сцвярджальнай

Простае працягванне прагляду сайта не складае згоды. ICO прама заяўляе, што падразумяваная згода несапраўдная. Карыстальнікі павінны зрабіць выразнае, станоўчае дзеянне (такое як націсканне кнопкі «Прыняць»), перш чым могуць быць усталяваны неістотныя cookie.

Адхіленне павінна быць гэтак жа лёгкім

ICO усё часцей выказваецца пра цёмныя патэрны ў банерах cookie. У прыватнасці:

• Варыянт «Адхіліць усё» або эквівалентны павінен быць даступны на тым жа ўзроўні, што і «Прыняць усё». Хаваць варыянт адхілення за экранам «Кіраванне наладамі» недапушчальна.
• Візуальны дызайн не павінен выкарыстоўваць колер, памер або размяшчэнне для маніпулявання карыстальнікамі ў бок прыняцця.
• Мова павінна быць нейтральнай і не прызначанай для таго, каб выклікаць у карыстальнікаў пачуццё віны або ціснуць на іх з мэтай атрымання згоды.

Дэталёвы кантроль па катэгорыях

Карыстальнікі павінны мець магчымасць даваць згоду на канкрэтныя катэгорыі cookie (аналітыка, маркетынг, функцыянальныя), а не быць вымушанымі рабіць выбар па прынцыпе «усё або нічога». Хаця ICO не прадпісвае канкрэтную колькасць катэгорый, прадастаўленне дэталёвага кантролю дэманструе добрую практыку і можа патрабавацца згодна з прынцыпам абмежавання мэты GDPR.

Cookie-сцены праблематычныя

ICO разглядае cookie-сцены — калі доступ да сайта забаронены, калі карыстальнік не прыме ўсе cookie — як малаверагодна складаючыя сапраўдную згоду, паколькі згода не была б свабодна дадзенай. Выключэнні могуць існаваць для платнага кантэнту, дзе прапануецца сапраўдная альтэрнатыва без cookie.

Нядаўнія дзеянні ICO па праваўжыванні

ICO няўхільна ўзмацняў сваю ўвагу да выканання правіл cookie ў апошнія гады. Прыкметныя дзеянні ўключаюць:

• Галіновыя аўдыты: ICO правёў аўдыты топ-100 брытанскіх сайтаў у некалькіх сектарах, апублікаваўшы высновы, якія падкрэслілі шырока распаўсюджаную неадпаведнасць. Распаўсюджаныя праблемы ўключалі cookie, якія ўстанаўліваюцца да згоды, адсутнасць варыянту адхілення і недастатковую інфармацыю пра мэты cookie.
• Папераджальныя лісты: Пасля аўдытаў ICO разаслаў папераджальныя лісты арганізацыям, чые практыкі cookie не адпавядалі патрабаванням. Большасць арганізацый прывялі свае практыкі ў адпаведнасць пасля атрымання гэтых лістоў.
• Расследаванні adtech: ICO праводзіў пастаянныя расследаванні экасістэмы таргоў у рэальным часе, выказваючы заклапочанасць аб'ёмам персанальных даных, якія перадаюцца праз cookie праграматычнай рэкламы без адэкватнай згоды.
• Праваўжыванне ў дзяржаўным сектары: ICO не вызваляў урадавыя сайты, выпускаючы рэкамендацыі і папярэджанні арганізацыям дзяржаўнага сектара пра іх практыкі cookie.

Хаця ICO яшчэ не наклаў значныя фінансавыя штрафы канкрэтна за парушэнні cookie, тэндэнцыя відавочна накіравана да больш строгага праваўжывання. Рэгулятар заявіў, што чакае адпаведнасці ад арганізацый ужо цяпер і што за тымі, хто не палепшыцца, рушаць услед меры па праваўжыванні.

Міжнародныя перадачы даных: з Вялікабрытаніі ў ЕС і далей

Згода на cookie перасякаецца з міжнароднымі перадачамі даных важным чынам. Калі аналітычныя або рэкламныя cookie адпраўляюць даныя на серверы за межамі Вялікабрытаніі — як Google Analytics адпраўляе даныя на серверы Google, а Facebook Pixel адпраўляе даныя на серверы Meta — гэта складае міжнародныя перадачы даных згодна з UK GDPR.

Цяперашнія дамоўленасці:

• Вялікабрытанія ў ЕЭЗ: даныя перамяшчаюцца свабодна дзякуючы прызнанню Вялікабрытаніяй адэкватнасці ЕЭЗ.
• Вялікабрытанія ў ЗША: Брытанскае пашырэнне Сістэмы прыватнасці даных ЕС-ЗША забяспечвае механізм перадач сертыфікаваным амерыканскім арганізацыям. Google і Meta сертыфікаваны ў рамках гэтай сістэмы.
• Вялікабрытанія ў іншыя краіны: патрабуюцца адпаведныя гарантыі, такія як Стандартныя дагаворныя палажэнні (брытанская версія) або абавязковыя карпаратыўныя правілы.

У практычных мэтах, калі вы выкарыстоўваеце Google Analytics, Google Ads або іншыя буйныя рэкламныя платформы, механізмы міжнароднай перадачы дзейнічаюць. Аднак вам варта задакументаваць гэтыя перадачы ў вашай палітыцы прыватнасці і пераканацца, што ваш банер cookie згадвае, што даныя могуць перадавацца на міжнародным узроўні.

Геатаргетынг FlexyConsent для адпаведнасці патрабаванням Вялікабрытаніі

FlexyConsent забяспечвае выдзелены геатаргетынг для брытанскіх наведвальнікаў, гарантуючы адпаведнасць спецыфічнай рэгулятарнай сістэме Вялікабрытаніі:

• Банер, які адпавядае PECR: брытанскія наведвальнікі бачаць банер згоды, які адпавядае патрабаванням ICO, уключаючы гэтак жа прыкметны варыянт адхілення і дэталёвы кантроль катэгорый. Ніякія cookie не ўстанаўліваюцца да атрымання сцвярджальнай згоды.
• Асобна ад канфігурацыі ЕС: хаця патрабаванні падобныя, FlexyConsent захоўвае магчымасць наладжваць вопыт згоды для Вялікабрытаніі і ЕС незалежна. Гэта абараняе вашу рэалізацыю на будучыню ад патэнцыйнага разыходжання рэгулявання Вялікабрытаніі і ЕС.
• Дызайн, узгоднены з ICO: стандартныя шаблоны банераў FlexyConsent прытрымліваюцца рэкамендацый ICO па пазбяганні цёмных патэрнаў. Варыянты прыняцця і адхілення візуальна роўныя, мова нейтральная, а дызайн не маніпулюе выбарам карыстальніка.
• Інтэграцыя Consent Mode V2: будучы сертыфікаванай Google CMP, FlexyConsent адпраўляе належныя сігналы згоды ў сэрвісы Google для брытанскіх наведвальнікаў. Гэта гарантуе, што мадэляванне канверсій і Smart Bidding працягваюць працаваць правільна, выконваючы патрабаванні згоды Вялікабрытаніі.
• Падтрымка IAB TCF 2.3: для выдаўцоў, якія выкарыстоўваюць праграматычную рэкламу, FlexyConsent генеруе прыдатныя для Вялікабрытаніі радкі згоды TCF, якія распазнаюцца платформамі боку попыту і платформамі боку прапановы, якія працуюць на брытанскім рынку.

FlexyConsent даступны з планамі, якія пачынаюцца ад 0 EUR у месяц, з натыўнымі інтэграцыямі для WordPress, Shopify і PrestaShop. У прыватнасці, для брытанскіх прадпрыемстваў укараненне сертыфікаванай CMP дэманструе праактыўную адпаведнасць ICO — фактар, які, як указаў рэгулятар, ён улічвае пры прыняцці рашэнняў пра меры праваўжывання.

Ключавая выснова: брытанская сістэма прыватнасці пасля Brexit блізка адлюстроўвае сістэму ЕС, але дзейнічае пад уласным рэгулятарам, уласнымі мадэлямі праваўжывання і патэнцыйна ўласным будучым заканадаўчым кірункам. Разглядаць брытанскіх наведвальнікаў як падпадаючых пад тыя ж правілы, што і наведвальнікі ЕС, бяспечна цяпер, але захаванне магчымасці наладжваць спецыфічны для Вялікабрытаніі вопыт згоды пазіцыянуе ваш сайт для адаптацыі па меры патэнцыйнага разыходжання дзвюх сістэм. Геа-дасведчаная CMP — самы практычны спосаб кіраваць гэтай складанасцю.