Soukromí ve Spojeném království po Brexitu

Když Spojené království opustilo Evropskou unii, nezanechalo ochranu osobních údajů za sebou. Spojené království začlenilo unijní GDPR do vnitrostátního práva jako UK GDPR, které stojí vedle zákona Data Protection Act 2018. Pokud jde konkrétně o cookies, nadále se uplatňuje Privacy and Electronic Communications Regulations (PECR) – britská implementace směrnice ePrivacy. Výsledkem je rámec ochrany soukromí, který velmi těsně kopíruje unijní, ale je prosazován nezávisle britským úřadem Information Commissioner's Office (ICO).

Pro provozovatele webů to znamená, že obsluhování návštěvníků z UK vyžaduje pozornost vůči samostatnému souboru pravidel, pokynů a vzorců prosazování. Ačkoli je podstata podobná jako u EU GDPR, detaily jsou důležité.

UK GDPR vs EU GDPR: hlavní rozdíly

UK GDPR je ve svých základních principech a požadavcích v podstatě totožné s EU GDPR. Od Brexitu se však objevilo několik rozdílů:

• Dozorový orgán: ICO je jediným dozorovým orgánem pro UK GDPR a nahrazuje roli unijních orgánů pro ochranu osobních údajů. Za stejnou činnost zpracování údajů, která se týká pouze obyvatel Spojeného království, nemůžete dostat pokutu zároveň od ICO i od orgánu pro ochranu údajů v EU.
• Posouzení přiměřenosti: EU udělila Spojenému království rozhodnutí o odpovídající ochraně v červnu 2021, což umožňuje volný tok osobních údajů z EU do UK. Toto rozhodnutí podléhá pravidelnému přezkumu. UK na oplátku uznalo EEA jako území s odpovídající ochranou.
• Mezinárodní předávání: UK má vlastní rámec pro mezinárodní předávání osobních údajů, přičemž rozhodnutí o odpovídající ochraně přijímá ministr zahraničí (namísto Evropské komise). UK avizovalo flexibilnější přístup k mezinárodním přenosům, i když základní záruky zůstávají zachovány.
• Přístup k prosazování: ICO historicky upřednostňuje dialog a poskytování pokynů před agresivním ukládáním pokut. Maximální pokuty podle UK GDPR kopírují EU: až 17,5 milionu GBP nebo 4 procenta celkového celosvětov��ho ročního obratu, podle toho, která částka je vyšší.
• Možné odchýlení: Vláda Spojeného království zvažuje reformy prostřednictvím návrhu zákona Data Protection and Digital Information Bill, který by mohl přinést změny v posuzování oprávněného zájmu, výjimkách pro výzkum a v roli pověřenců pro ochranu osobních údajů. Provozovatelé webů by měli tuto legislativu sledovat kvůli budoucím změnám.

PECR: britský zákon o cookies

Zatímco UK GDPR poskytuje obecný rámec pro zpracování osobních údajů, PECR konkrétně upravuje cookies a podobné technologie. PECR předchází GDPR a provádí směrnici ePrivacy do práva Spojeného království. Jeho klíčové požadavky na cookies jsou:

• Předchozí souhlas je povinný před uložením jakýchkoli neesenciálních cookies do zařízení uživatele. To zahrnuje analytické cookies, reklamní cookies a cookies sociálních sítí.
• Musí být poskytnuty informace o tom, jaké cookies jsou ukládány a k čemu se používají, a to jasným a srozumitelným jazykem.
• Souhlas musí být svobodný, konkrétní a informovaný. Předem zaškrtnutá políčka nepředstavují platný souhlas.
• Přísně nezbytn�� cookies jsou vyňaty. Cookies, které jsou nezbytné pro službu výslovně požadovanou uživatelem (například relační cookies pro přihlášené funkce nebo cookies nákupního košíku), nevyžadují souhlas.

Standard souhlasu podle PECR je v souladu s definicí souhlasu v GDPR, což v praxi znamená, že požadavky jsou velmi podobné těm podle unijní směrnice ePrivacy. Cookie lišta, která je v souladu s pravidly EU, bude obecně v souladu i s PECR.

Pokyny ICO k cookie lištám

ICO zveřejnil podrobné pokyny k souladu v oblasti cookies, které jdou nad rámec samotného znění PECR. Klíčové body z pokynů ICO zahrnují:

Souhlas musí být aktivní

Pouhé pokračování v prohlížení webu nepředstavuje souhlas. ICO výslovně uvádí, že implicitní souhlas není platný. Uživatelé musí učinit jasný, pozitivní úkon (například kliknout na tlačítko „Přijmout“), než mohou být nastaveny neesenciální cookies.

Odmítnutí musí být stejně snadné

ICO je stále hlasitější v kritice dark patterns v cookie lištách. Konkrétně:

• Možnost „Odmítnout vše“ nebo ekvivalent musí být dostupná na stejné úrovni jako „Přijmout vše“. Schovávání možnosti odmítnutí za obrazovku „Spravovat předvolby“ není přijatelné.
• Vizuální design by neměl využívat barvu, velikost ani umístění k manipulaci uživatelů směrem k přijetí.
• Jazyk musí být neutrální a nesmí být navržen tak, aby uživatele nutil nebo psychologicky tlačil k udělení souhlasu.

Granulární ovládání kategorií

Uživatelé by měli mít možnost udělit souhlas s konkrétními kategoriemi cookies (analytické, marketingové, funkční), místo aby byli nuceni k volbě „vše nebo nic“. Ačkoli ICO nepředepisuje konkrétní počet kategorií, poskytování granulárního ovládání představuje dobrou praxi a může být vyžadováno podle zásady omezení účelu v GDPR.

Cookie zdi jsou problematické

ICO považuje cookie walls – kdy je přístup na web odepřen, pokud uživatel nepřijme všechny cookies – za pravděpodobně neplatný souhlas, protože souhlas by nebyl svobodně dán. Výjimky mohou existovat u placeného obsahu, kde je nabídnuta skutečná alternativa bez cookies.

Nedávná vymáhání ze strany ICO

ICO v posledních letech postupně zvyšuje svůj důraz na dodržování pravidel pro cookies. Mezi významné kroky patří:

• Sektorové audity: ICO provedl audity stovky největších britských webů napříč n��kolika sektory a zveřejnil zjištění, která poukázala na rozšířené nedodržování pravidel. Mezi běžné problémy patřilo nastavování cookies před udělením souhlasu, absence možnosti odmítnutí a nedostatečné informace o účelech cookies.
• Varovné dopisy: Po auditech ICO rozeslal varovné dopisy organizacím, jejichž praxe v oblasti cookies nevyhovovala požadavkům. Většina organizací po obdržení těchto dopisů své postupy uvedla do souladu.
• Šetření v oblasti adtech: ICO vede průběžná šetření ekosystému real-time biddingu a vyjadřuje obavy z objemu osobních údajů sdílených prostřednictvím cookies pro programatickou reklamu bez odpovídajícího souhlasu.
• Prosazování v veřejném sektoru: ICO neuděluje výjimky ani vládním webům a vydává pokyny a varování veřejným institucím ohledně jejich praxe v oblasti cookies.

Ačkoli ICO zatím neuložil významné finanční sankce výhradně za porušení pravidel pro cookies, trend jasně směřuje ke přísnějšímu prosazování. Regulátor uvedl, že očekává, že organizace budou nyní v souladu, a že vůči těm, které své postupy nezlepší, bude následovat vymáhání.

Mezinárodní předávání údajů: z UK do EU a dále

Souhlas s cookies se důležitým způsobem protíná s mezinárodním předáváním údajů. Když analytické nebo reklamní cookies odesílají data na servery mimo Spojené království – jako Google Analytics na servery Googlu a Facebook Pixel na servery společnosti Meta – jedná se podle UK GDPR o mezinárodní předávání údajů.

Současná uspořádání:

• UK do EEA: Data volně proudí na základě toho, že UK uznává EEA jako území s odpovídající ochranou.
• UK do USA: UK Extension k EU-US Data Privacy Framework poskytuje mechanismus pro předávání údajů certifikovaným americkým organizacím. Google a Meta jsou v rámci tohoto rámce certifikovány.
• UK do jiných zemí: Jsou vyžadovány odpovídající záruky, jako jsou Standard Contractual Clauses (britská verze) nebo závazná podniková pravidla.

V praxi, pokud používáte Google Analytics, Google Ads nebo jiné velké reklamní platformy, mechanismy mezinárodního předávání jsou nastaveny. Přesto byste tato předávání měli zdokumentovat ve svých zásadách ochrany osobních údajů a zajistit, aby vaše cookie lišta zmiňovala, že údaje mohou být předávány do zahraničí.

Geo-targeting FlexyConsent pro soulad specifický pro UK

FlexyConsent poskytuje vyhrazený geo-targeting pro návštěvníky z UK, který zajišťuje soulad s konkrétním regulačním rámcem Spojeného království:

• Banner v souladu s PECR: Návštěvníci z UK vidí banner se souhlasem, který splňuje požadavky ICO, včetně stejně výrazné možnosti odmítnutí a granulárního ovládání kategorií. Žádné cookies nejsou nastaveny, dokud není udělen aktivní souhlas.
• Oddělený od konfigurace pro EU: Ačkoli jsou požadavky podobné, FlexyConsent zachovává možnost konfigurovat zkušenost se souhlasem pro UK a EU nezávisle. Tím se vaše implementace připravuje na případné budoucí odchýlení regulace mezi UK a EU.
• Design v souladu s ICO: Výchozí šablony bannerů FlexyConsent se řídí pokyny ICO k vyhýbání se dark patterns. Možnosti přijmout a odmítnout jsou vizuálně rovnocenné, jazyk je neutrální a design nemanipuluje volbami uživatelů.
• Integrace Consent Mode V2: Jako Google-certified CMP odesílá FlexyConsent správné signály o souhlasu službám Google pro návštěvníky z UK. Tím zajišťuje, že modelování konverzí a Smart Bidding nadále správně fungují a zároveň respektují požadavky na souhlas v UK.
• Podpora IAB TCF 2.3: Pro vydavatele využívající programatickou reklamu generuje FlexyConsent pro UK vhodné TCF consent stringy, které jsou rozpoznávány platformami na straně poptávky i nabídky působícími na britském trhu.

FlexyConsent je k dispozici v tarifech začínajících na EUR 0 za měsíc s nativními integracemi pro WordPress, Shopify a PrestaShop. Zejména pro podniky se sídlem v UK představuje implementace certifikovaného CMP proaktivní přístup k souladu, což je faktor, který ICO podle svých vyjádření zohledňuje při rozhodování o vymáhacích opatřeních.

Hlavní poselství: Rámec ochrany soukromí ve Spojeném království po Brexitu velmi těsně kopíruje unijní, ale funguje pod vlastním regulátorem, s vlastními vzorci prosazování a potenciálně i vlastním budoucím legislativním směrem. Zacházet s návštěvníky z UK podle stejných pravidel jako s návštěvníky z EU je prozatím bezpečné, ale zachování schopnosti konfigurovat zkušenost se souhlasem specificky pro UK připravuje váš web na to, aby se přizpůsobil, pokud se oba rámce začnou rozcházet. Geo-aware CMP je nejpraktičtějším způsobem, jak tuto složitost zvládnout.