Пейзажът на поверителността в Обединеното кралство след Brexit

Когато Обединеното кралство напусна Европейския съюз, то не изостави защитата на данните. Обединеното кралство включи ЕС GDPR в националното си законодателство като UK GDPR, който съществува заедно със Закона за защита на данните от 2018 г. (Data Protection Act 2018). По отношение на бисквитките по-специално, Privacy and Electronic Communications Regulations (PECR) — прилагането на ePrivacy директивата в Обе��иненото кралство — продължава да се прилага. Резултатът е рамка за поверителност, която тясно отразява тази на ЕС, но се прилага независимо от британския Information Commissioner's Office (ICO).

За операторите на уебсайтове това означава, че обслужването на посетители от Обединеното кралство изисква внимание към отделен набор от правила, насоки и модели на прилагане. Макар по същество да е подобен на ЕС GDPR, нюансите имат значение.

UK GDPR срещу EU GDPR: основни разлики

UK GDPR е по същество идентичен с EU GDPR по своите основни принципи и изисквания. Въпреки това след Brexit се появиха няколко разлики:

• Надзорен орган: ICO е единственият надзорен орган за UK GDPR, заменяйки ролята на органите за защита на данните в ЕС. Не можете да бъдете глобени едноврем��нно от ICO и от орган за защита на данните в ЕС за една и съща дейност по обработване на данни, засягаща само жители на Обединеното кралство.
• Адекватност на данните: ЕС предостави на Обединеното кралство решение за адекватност през юни 2021 г., което позволява свободен поток на лични данни от ЕС към Обединеното кралство. Това решение подлежи на периодичен преглед. Обединеното кралство реципрочно е признало ЕИП за адекватен.
• Международни трансфери: Обединеното кралство има собствена рамка за международни трансфери на данни, при която държавният секретар (а не Европейската комисия) взема решения за адекватност. Обединеното кралство е сигнализирало за по-гъвкав подход към международните трансфери, макар че основните гаранции остават.
• Подход към прилагането: Исторически ICO предпочита ангажираност и насоки пред агресивно налагане на глоби. Максималните глоби по UK GDPR отразяват тези в ЕС: до 17,5 милиона GBP или 4 процента от глобалния годишен оборот, което от двете е по-високо.
• Потенциално разминаване: Правителството на Обединеното кралство разглежда реформи чрез Data Protection and Digital Information Bill, които биха могли да въведат промени в оценките на легитимен интерес, изключенията за научни изследвания и ролята на длъжностните лица по защита на данните. Операторите на уебсайтове трябва да следят това законодателство за бъдещи промени.

PECR: законът за бисквитките в Обединеното кралство

Докато UK GDPR предоставя общата рамка за обработване на лични данни, PECR конкретно урежда бисквитките и подобни технологии. PECR предхожда GDPR и прилага ePrivacy директивата на ЕС в законодателството на Обединеното кралство. Основните му изисквания за бисквитките са:

• Изисква се съгласие преди да се поставят каквито и да било не-необходими бисквитки на устройството на потребителя. Това включва аналитични бисквитки, рекламни бисквитки и бисквитки за социални медии.
• Трябва да се предостави информация за това какви бисквитки се поставят и за какво се използват, на ясен и разбираем език.
• Съгласието трябва да бъде свободно дадено, конкретно и информирано. Предварително отметнатите полета не представляват валидно съгласие.
• Строго необходимите бисквитки са освободени. Бисквитките, които са от съществено значение за услуга, изрично поискана от потребителя (като сесийни бисквитки за функционалност при влизане или бисквитки за пазарска количка), не изискват съгласие.

Стандартът за съгласие по PECR е в съответствие с определението за съгласие по GDPR, което означава, че на практика изискванията са много подобни на тези по ePrivacy директивата на ЕС. Банер за бисквитки, който е съвместим с правилата на ЕС, по правило ще бъде съвместим и с PECR.

Насоки на ICO за банери за бисквитки

ICO е публикувал подробни насоки за съответствие при бисквитките, к��ито надхвърлят текста на самия PECR. Основни моменти от насоките на ICO включват:

Съгласието трябва да бъде изрично действие

Самото продължаване на разглеждането на уебсайт не представлява съгласие. ICO изрично посочва, че подразбираното съгласие не е валидно. Потребителите трябва да предприемат ясно, положително действие (като щракване върху бутон „Accept“) преди да могат да бъдат поставени не-необходими бисквитки.

Отказът трябва да бъде също толкова лесен

ICO става все по-гласовит относно тъмните модели (dark patterns) в банерите за бисквитки. По-конкретно:

• Опция „Reject All“ или еквивалент трябва да бъде налична на същото ниво като „Accept All“. Скриването на опцията за отказ зад екран „Manage Preferences“ не е приемливо.
• Визуалният дизайн не трябва да използва цвят, размер или позициониране, за да манипулира потребителите към приемане.
• Езикът трябва да бъде неутрален и да не е предназначен да предизвиква чувство за вина или натиск върху потребителите да дадат съгласие.

Гранулиран контрол по категории

Потребителите трябва да могат да дават съгласие за конкретни категории бисквитки (аналитични, маркетингови, функционални), вместо да бъдат принуждавани към избор „всичко или нищо“. Макар ICO да не изисква конкретен брой категории, предоставянето на гранулиран контрол демонстрира добра практика и може да бъде изискано по силата на принципа за ограничаване на целите в GDPR.

Cookie walls са проблематични

ICO разглежда cookie walls — при които достъпът до уебсайт се отказва, освен ако потребителят не приеме всички бисквитки — като малко вероятно да представляват валидно съгласие, тъй като съгласието не би било свободно дадено. Може да съществуват изключения за платено съдържание, когато се предлага реална алтернатива без бисквитки.

Скорошни действия по прилагане от ICO

ICO постепенно увеличава фокуса си върху съответствието при бисквитките през последните години. Забележими действия включват:

• Одити на цели сектори: ICO е провел одити на топ 100 уебсайта в Обединеното кралство в множество сектори, като е публикувал констатации, които подчертават широко разпространено несъответствие. Често срещани проблеми включват поставяне на бисквитки преди съгласие, липса на опция за отказ и недостатъчна информация за целите на бисквитките.
• Предупредителни писма: След одитите ICO изпрати предупредителни писма до организации, чиито практики за бисквитки не отговарят на изискванията. Повечето организации приведоха практиките си в съответствие след получаването на тези писма.
• Разследвания в областта на adtech: ICO провежда текущи разследвания на екосистемата за real-time bidding, като изразява притеснения относно обема лични данни, споделяни чрез програматични рекламни бисквитки без адекватно съгласие.
• Прилагане в публичния сектор: ICO не е освободил правителствените уебсайтове, като е издал насоки и предупреждения към организации от публичния сектор относно техните практики за бисквитки.

Въпреки че ICO все още не е наложил значителни финансови санкции конкретно за нарушения, свързани с бисквитки, тенденцията ясно е към по-строго прилагане. Регулаторът е заявил, че очаква организациите да са в съответствие сега и че ще последват действия по прилагане за тези, които не подобрят практиките си.

Международни трансфери на данни: от Обединеното кралство към ЕС и отвъд

Съгласието за бисквитки се пресича с международните трансфери на данни по важен начин. Когато аналитични или рекламни бисквитки изпращат данни към сървъри извън Обединеното кралство — както Google Analytics изпраща данни към сървърите на Google, а Facebook Pixel изпраща данни към сървърите на Meta — това представлява международни трансфери на данни по UK GDPR.

Настоящи договорености:

• От Обединеното кралство към ЕИП: Данните текат свободно съгласно признаването от Обединеното кралство на адекватността на ЕИП.
• От Обединеното кралство към САЩ: UK Extension към EU-US Data Privacy Framework предоставя механизъм за трансфери към сертифицирани организации в САЩ. Google и Meta са сертифицирани по тази рамка.
• От Обединеното кралство към други държави: Изискват се подходящи гаранции като Standard Contractual Clauses (UK версия) или обвързващи корпоративни правила.

На практика, ако използвате Google Analytics, Google Ads или други големи рекламни платформи, механизмите за международни трансфери са налице. Въпреки това трябва да документирате тези трансфери в своята политика за поверителност и да гарантирате, че банерът за бисквитки споменава, че данните може да бъдат прехвърляни международно.

FlexyConsent гео-таргетиране за съответствие, специфично за Обединеното кралство

FlexyConsent предоставя специализирано гео-таргетиране за посетители от Обединеното кралство, осигурявайки съответствие със специфичната регулаторна рамка на страната:

• PECR-съвместим банер: Посетителите от Обединеното кралство виждат банер за съгласие, който отговаря на изискванията на ICO, включително еднакво видима опция за отказ и гранулирани контроли по категории. Никакви бисквитки не се поставят, докато не бъде получено изрично съгласие.
• Отделно от конфигурацията за ЕС: Макар изискванията да са подобни, FlexyConsent поддържа възможността за независимо конфигуриране на потребителското изживяване за съгласие за Обединеното кралство и ЕС. Това прави вашата имплементация устойчива на бъдещо регулаторно разминаване между Обединеното кралство и ЕС.
• Дизайн, съобразен с ICO: Стандартните шаблони на банери на FlexyConsent следват насоките на ICO за избягване на тъмни модели. Опциите за приемане и отказ са визуално равностойни, езикът е неутрален и дизайнът не манипулира избора на потребителя.
• Интеграция с Consent Mode V2: Като Google-certified CMP, FlexyConsent изпраща коректни сигнали за съгласие към услугите на Google за посетители от Обединеното кралство. Това гарантира, че моделирането на конверсии и Smart Bidding продължават да функционират правилно, като същевременно се спазват изискванията за съгласие в Обединеното кралство.
• Поддръжка на IAB TCF 2.3: За издатели, използващи програматична реклама, FlexyConsent генерира TCF низове за съгласие, подходящи за Обединеното кралство, които се разпознават от demand-side платформи и supply-side платформи, опериращи на пазара в Обединеното кралство.

FlexyConsent е наличен с планове, започващи от EUR 0 на месец, с родни интеграции за WordPress, Shopify и PrestaShop. Особено за бизнеси, базирани в Обединеното кралство, внедряването на сертифициран CMP демонстрира проактивно съответствие пред ICO — фактор, който регулаторът е посочил, че взема предвид при вземане на решения за действия по прилагане.

Основен извод: Рамката за поверителност в ��бединеното кралство след Brexit тясно отразява тази на ЕС, но функционира под собствен регулатор, собствени модели на прилагане и потенциално собствено бъдещо законодателно развитие. Третирането на посетителите от Обединеното кралство като подчинени на същите правила като посетителите от ЕС е безопасен подход засега, но поддържането на възможност за конфигуриране на специфични за Обединеното кралство изживявания за съгласие позиционира вашия сайт да се адаптира, ако двете рамки се разминаят. Гео-осъзнат CMP е най-практичният начин за управление на тази сложност.