Storbritanniens privatlivslandskab efter Brexit

Da Storbritannien forlod Den Europæiske Union, forlod landet ikke databeskyttelsen. Storbritannien indarbejdede EU’s GDPR i national ret som UK GDPR, der ligger side om side med Data Protection Act 2018. For cookies gælder specifikt Privacy and Electronic Communications Regulations (PECR) – Storbritanniens implementering af ePrivacy-direktivet – fortsat. Resultatet er en privatlivsramme, der tæt afspejler EU’s, men håndhæves uafhængigt af den britiske tilsynsmyndighed Information Commissioner’s Office (ICO).

For websiteoperatører betyder det, at betjening af britiske besøgende kræver opmærksomhed på et særskilt sæt regler, vejledninger og håndhævelsesmønstre. Selvom substansen ligner EU’s GDPR, er nuancerne vigtige.

UK GDPR vs EU GDPR: Væsentlige forskelle

UK GDPR er i det væsentlige identisk med EU’s GDPR i sine kerneprincipper og krav. Der er dog opstået flere forskelle siden Brexit:

• Tilsynsmyndighed: ICO er den eneste tilsynsmyndighed for UK GDPR og erstatter EU’s datatilsynsmyndigheders rolle. Du kan ikke få bøder både fra ICO og en EU-databeskyttelsesmyndighed for den samme databehandlingsaktivitet, der kun vedrører britiske borgere.
• Dataadækvathed: EU gav Storbritannien en adækvansafgørelse i juni 2021, som gør det muligt at overføre personoplysninger frit fra EU til Storbritannien. Denne afgørelse er underlagt periodisk revision. Storbritannien har gensidigt anerkendt EEA som tilstrækkelig.
• Internationale overførsler: Storbritannien har sin egen ramme for internationale dataoverførsler, hvor udenrigsministeren (i stedet for Europa-Kommissionen) træffer adækvansafgørelser. Storbritannien har signaleret en mere fleksibel tilgang til internationale overførsler, selvom de grundlæggende garantier består.
• Håndhævelsestilgang: ICO har historisk foretrukket dialog og vejledning frem for aggressiv bødeudskrivning. Maksimale bøder under UK GDPR afspejler EU’s: op til 17,5 millioner GBP eller 4 procent af den globale årlige omsætning, alt efter hvad der er højest.
• Potentiel afvigelse: Den britiske regering har overvejet reformer gennem Data Protection and Digital Information Bill, som kan medføre ��ndringer i vurderinger af legitime interesser, forskningsundtagelser og rollen for Data Protection Officers. Websiteoperatører bør følge denne lovgivning for fremtidige ændringer.

PECR: Storbritanniens cookielov

Mens UK GDPR udgør den generelle ramme for behandling af personoplysninger, regulerer PECR specifikt cookies og lignende teknologier. PECR går forud for GDPR og implementerer EU’s ePrivacy-direktiv i britisk ret. De vigtigste krav til cookies er:

• Samtykke er påkrævet, før der sættes ikke-essentielle cookies på en brugers enhed. Dette omfatter analyse-cookies, annonceringscookies og sociale medie-cookies.
• Information skal gives om, hvilke cookies der sættes, og hvad de bruges til, i klart og enkelt sprog.
• Samtykke skal være frivilligt, specifikt og informeret. Forafkrydsede felter udgør ikke gyldigt samtykke.
• Strengt nødvendige cookies er undtaget. Cookies, der er nødvendige for en tjeneste, som brugeren udtrykkeligt har anmodet om (såsom sessionscookies til login-funktionalitet eller indkøbskurv-cookies), kræver ikke samtykke.

PECR’s samtykkestandard er på linje med GDPR’s definition af samtykke, hvilket betyder, at kravene i praksis ligner dem under EU’s ePrivacy-direktiv. Et cookie-banner, der overholder EU-reglerne, vil som udgangspunkt også være i overensstemmelse med PECR.

ICO’s vejledning om cookie-bannere

ICO har offentliggjort detaljeret vejledning om cookie-overholdelse, som går videre end selve PECR-teksten. Centrale punkter i ICO’s vejledning omfatter:

Samtykke skal være aktivt

Blot at fortsætte med at browse et website udgør ikke samtykke. ICO angiver udtrykkeligt, at indirekte (implied) samtykke ikke er gyldigt. Brugere skal foretage en klar, positiv handling (såsom at klikke på en "Accepter"-knap), før ikke-essentielle cookies må sættes.

Afvisning skal være lige så let

ICO har i stigende grad været tydelig omkring dark patterns i cookie-bannere. Konkret:

• En "Afvis alle"- eller tilsvarende mulighed skal være tilgængelig på samme niveau som "Accepter alle". Det er ikke acceptabelt at gemme afvisningsmuligheden bag en skærm med "Administrer præferencer".
• Det visuelle design må ikke bruge farve, størrelse eller placering til at manipulere brugere til at acceptere.
• Sproget skal være neutralt og ikke udformet til at skabe skyldfølelse eller presse brugere til at give samtykke.

Granulær kontrol efter kategori

Brugere skal kunne give samtykke til specifikke kategorier af cookies (analyse, marketing, funktionelle) i stedet for at blive tvunget til et alt-eller-intet-valg. Selvom ICO ikke kræver et bestemt antal kategorier, viser granulær kontrol god praksis og kan være påkrævet under GDPR’s formålsbegrænsningsprincip.

Cookie-vægge er problematiske

ICO anser cookie-vægge – hvor adgang til et website nægtes, medmindre brugeren accepterer alle cookies – for usandsynligt at udgøre gyldigt samtykke, fordi samtykket ikke vil være frivilligt. Der kan være undtagelser for betalt indhold, hvor der tilbydes et reelt, cookie-frit alternativ.

Seneste håndhævelsesinitiativer fra ICO

ICO har gradvist øget sit fokus på cookie-overholdelse i de senere år. Bemærkelsesværdige tiltag omfatter:

• Sektordækkende audits: ICO har gennemført audits af de 100 største britiske websites på tværs af flere sektorer og offentliggjort resultater, der viste udbredt manglende overholdelse. Almindelige problemer omfattede cookies, der blev sat før samtykke, manglende afvisningsmulighed og utilstrækkelig information om cookies’ formål.
• Advarselsbreve: Efter audits udsendte ICO advarselsbreve til organisationer, hvis cookie-praksis ikke levede op til kravene. De fleste organisationer bragte deres praksis i overensstemmelse efter at have modtaget disse breve.
• Adtech-undersøgelser: ICO har gennemført løbende undersøgelser af økosystemet for realtidsbudgivning og udtrykt bekymring over mængden af personoplysninger, der deles via programmatisk annoncering-cookies uden tilstrækkeligt samtykke.
• Håndhævelse i den offentlige sektor: ICO har ikke fritaget offentlige websites og har udsendt vejledning og advarsler til offentlige organisationer om deres cookie-praksis.

Selvom ICO endnu ikke har udstedt betydelige økonomiske sanktioner specifikt for cookie-overtrædelser, peger udviklingen tydeligt i retning af strengere håndhævelse. Tilsynsmyndigheden har udtalt, at den forventer, at organisationer overholder reglerne nu, og at håndhævelsesforanstaltninger vil følge for dem, der ikke forbedrer sig.

Internationale dataoverførsler: Fra UK til EU og videre

Cookie-samtykke krydser på vigtig vis med internationale dataoverførsler. Når analyse- eller annonceringscookies sender data til servere uden for Storbritannien – som når Google Analytics sender data til Googles servere, og Facebook Pixel sender data til Metas servere – udgør dette internationale dataoverførsler under UK GDPR.

Nuværende ordninger:

• UK til EEA: Data flyder frit under Storbritanniens anerkendelse af EEA som tilstrækkelig.
• UK til USA: UK Extension til EU-US Data Privacy Framework giver en mekanisme til overførsler til certificerede amerikanske organisationer. Google og Meta er certificeret under denne ordning.
• UK til andre lande: Passende garantier såsom Standard Contractual Clauses (UK-version) eller bindende virksomhedsregler er påkrævet.

I praksis gælder, at hvis du bruger Google Analytics, Google Ads eller andre større annonceringsplatforme, er mekanismerne for internationale overførsler på plads. Du bør dog dokumentere disse overførsler i din privatlivspolitik og sikre, at dit cookie-banner nævner, at data kan blive overført internationalt.

FlexyConsent geo-targeting til UK-specifik overholdelse

FlexyConsent tilbyder dedikeret geo-targeting til britiske besøgende og sikrer overholdelse af Storbritanniens specifikke regulatoriske ramme:

• PECR-kompatibelt banner: Britiske besøgende ser et samtykke-banner, der opfylder ICO’s krav, herunder en lige så fremtrædende afvisningsmulighed og granulære kategorikontroller. Ingen cookies sættes, før der er modtaget et aktivt samtykke.
• Adskilt fra EU-konfiguration: Selvom kravene ligner hinanden, bevarer FlexyConsent muligheden for at konfigurere samtykkeoplevelser for UK og EU uafhængigt. Dette fremtidssikrer din implementering mod potentiel regulatorisk afvigelse mellem UK og EU.
• ICO-tilpasset design: FlexyConsents standardbanner-skabeloner følger ICO’s vejledning om at undgå dark patterns. Accepter- og afvis-muligheder er visuelt ligeværdige, sproget er neutralt, og designet manipulerer ikke brugerens valg.
• Consent Mode V2-integration: Som en Google-certified CMP sender FlexyConsent korrekte samtykkesignaler til Google-tjenester for britiske besøgende. Dette sikrer, at konverteringsmodellering og Smart Bidding fortsat fungerer korrekt, samtidig med at britiske samtykkekrav respekteres.
• IAB TCF 2.3-understøttelse: For udgivere, der bruger programmatisk annoncering, genererer FlexyConsent UK-tilpassede TCF-samtykkestrenge, som genkendes af demand-side-platforme og supply-side-platforme, der opererer på det britiske marked.

FlexyConsent er tilgængelig med abonnementer fra EUR 0 per måned med native integrationer til WordPress, Shopify og PrestaShop. For især britisk-baserede virksomheder viser implementering af en certificeret CMP proaktiv overholdelse over for ICO – en faktor, som tilsynsmyndigheden har angivet, at den tager i betragtning ved beslutning om håndhævelsesforanstaltninger.

Vigtig pointe: Storbritanniens privatlivsramme efter Brexit afspejler tæt EU’s, men fungerer under sin egen tilsynsmyndighed, sine egne håndhævelsesmønstre og potentielt sin egen fremtidige lovgivningsretning. At behandle britiske besøgende som underlagt de samme regler som EU-besøgende er sikkert for nu, men det at bevare muligheden for at konfigurere UK-specifikke samtykkeoplevelser sætter dit site i stand til at tilpasse sig, hvis de to rammer på sigt afviger. En geo-bevidst CMP er den mest praktiske måde at håndtere denne kompleksitet på.