Ühendkuningriigi privaatsusmaastik pärast Brexiti

Kui Ühendkuningriik lahkus Euroopa Liidust, ei jäetud andmekaitset maha. Ühendkuningriik võttis ELi GDPR-i üle siseriiklikku õigusesse kui UK GDPR, mis toimib koos Data Protection Act 2018 seadusega. Küpsiste puhul kohaldatakse jätkuvalt Privacy and Electronic Communications Regulations (PECR) määrust – Ühendkuningriigi e-privaatsuse direktiivi rakendust. Tulemuseks on privaatsusraamistik, mis peegeldab tihedalt ELi oma, kuid mida jõustab iseseisvalt Ühendkuningriigi teabekomisjoneri amet (ICO).

Veebisaitide haldajate jaoks tähendab see, et Ühendkuningriigi külastajatele teenuse osutamine nõuab tähelepanu eraldiseisvale reeglistikule, juhistele ja jõustamismustritele. Kuigi sisu on sarnane ELi GDPR-iga, on nüansid olulised.

UK GDPR vs ELi GDPR: peamised erinevused

UK GDPR on oma põhialustelt ja nõuetelt suuresti identne ELi GDPR-iga. Siiski on pärast Brexiti ilmnenud mitu erinevust:

• Järelevalveasutus: ICO on UK GDPR-i ainus järelevalveasutus, asendades ELi andmekaitseasutuste rolli. Teid ei saa sama üksnes Ühendkuningriigi elanikke mõjutava andmetöötlustegevuse eest trahvida korraga nii ICO kui ka ELi andmekaitseasutus.
• Andmete piisavus: EL andis Ühendkuningriigile 2021. aasta juunis piisavusotsuse, mis võimaldab isikuandmetel vabalt liikuda EList Ühendkuningriiki. Seda otsust vaadatakse perioodiliselt läbi. Ühendkuningriik on vastastikku tunnistanud EEA riigid piisavaks.
• Rahvusvahelised edastused: Ühendkuningriigil on rahvusvaheliste andmeedastuste jaoks oma raamistik, kus piisavusotsuseid teeb välisminister (mitte Euroopa Komisjon). Ühendkuningriik on andnud märku paindlikumast lähenemisest rahvusvahelistele edastustele, kuigi põhilised kaitsemeetmed jäävad samaks.
• Jõustamislähenemine: ICO on ajalooliselt eelistanud koostööd ja juhendamist agressiivse trahvimise asemel. UK GDPR-i alusel kehtivad maksimaalsed trahvid peegeldavad ELi omi: kuni 17,5 miljonit GBP või 4 protsenti ülemaailmsest aastakäibest, olenevalt sellest, kumb on suurem.
• Võimalik lahknemine: Ühendkuningriigi valitsus on kaalunud reforme Data Protection and Digital Information Bill kaudu, mis võiks tuua muudatusi õigustatud huvi hindamisse, teadusuuringute eranditesse ja andmekaitseametnike rolli. Veebisaitide haldajad peaksid sellel õigusloomel silma peal hoidma, et tulevasteks muudatusteks valmis olla.

PECR: Ühendkuningriigi küpsisteseadus

Kui UK GDPR annab üldise raamistiku isikuandmete töötlemiseks, siis PECR reguleerib konkreetselt küpsiseid ja sarnaseid tehnoloogiaid. PECR eelneb GDPR-ile ja rakendab Ühendkuningriigi õiguses e-privaatsuse direktiivi. Selle peamised küpsistega seotud nõuded on:

• Nõusolek on vajalik enne mis tahes mitteoluliste küpsiste seadmist kasutaja seadmesse. See hõlmab analüütikaküpsiseid, reklaamiküpsiseid ja sotsiaalmeedia küpsiseid.
• Tuleb anda teavet selle kohta, milliseid küpsiseid seadistatakse ja milleks neid kasutatakse, selges ja arusaadavas keeles.
• Nõusolek peab olema vabatahtlik, konkreetne ja teadlik. Eelnevalt märgitud linnukesed ei kujuta endast kehtivat nõusolekut.
• Rangelt vajalikud küpsised on erand. Küpsised, mis on hädavajalikud kasutaja selgesõnaliselt taotletud teenuse osutamiseks (näiteks seansiküpsised sisselogitud funktsionaalsuse jaoks või ostukorvi küpsised), ei vaja nõusolekut.

PECR-i nõusolekustandard on kooskõlas GDPR-i nõusoleku määratlusega, mis tähendab, et praktikas on nõuded väga sarnased ELi e-privaatsuse direktiivist tulenevatega. Küpsiste bänner, mis vastab ELi reeglitele, vastab üldjuhul ka PECR-ile.

ICO juhised küpsiste bännerite kohta

ICO on avaldanud üksikasjalikud juhised küpsistele vastavuse kohta, mis lähevad kaugemale PECR-i tekstist. Olulisemad punktid ICO juhistest on:

Nõusolek peab olema aktiivne tegu

Pelgalt veebisaidil sirvimise jätkamine ei kujuta endast nõusolekut. ICO ütleb selgesõnaliselt, et kaudne nõusolek ei ole kehtiv. Kasutajad peavad tegema selge, positiivse toimingu (näiteks klõpsama nuppu „Nõustun“), enne kui võib seada mitteolulisi küpsiseid.

Tagasilükkamine peab olema sama lihtne

ICO on muutunud üha häälekamaks seoses tumedate mustritega küpsiste bännerites. Täpsemalt:

• „Keeldu kõigist“ või samaväärne valik peab olema samal tasemel kui „Nõustu kõigiga“. Tagasilükkamisvaliku peitmine „Halda eelistusi“ ekraani taha ei ole vastuvõetav.
• Visuaalne kujundus ei tohi kasutada värvi, suurust ega paigutust selleks, et kasutajaid mõjutada nõustumise suunas.
• Keel peab olema neutraalne ega tohi olla kujundatud nii, et kasutajat süütunde või surve abil nõusolekuni suruda.

Granulaarne kategooriate kaupa kontroll

Kasutajatel peaks olema võimalik anda nõusolek konkreetsetele küpsiste kategooriatele (analüütika, turundus, funktsionaalsed), selle asemel et neid sunnitaks kõik-või-mitte-midagi valikusse. Kuigi ICO ei nõua kindlat kategooriate arvu, näitab granulaarne kontroll head tava ning võib olla vajalik GDPR-i eesmärgipiirangu põhimõttest tulenevalt.

Küpsiseseinad on problemaatilised

ICO peab küpsiseseinu – olukordi, kus juurdepääs veebisaidile keelatakse, kui kasutaja ei nõustu kõigi küpsistega – ebatõenäoliselt kehtiva nõusoleku aluseks, sest nõusolek ei oleks vabatahtlik. Erandeid võib esineda tasulise sisu puhul, kus pakutakse tõelist küpsisvaba alternatiivi.

Hiljutised ICO jõustamismeetmed

ICO on viimastel aastatel järk-järgult suurendanud oma fookust küpsistele vastavusele. Märkimisväärsed sammud hõlmavad:

• Sektoriülesed auditid: ICO on läbi viinud auditid 100 suurimal Ühendkuningriigi veebisaidil eri sektorites, avaldades järeldused, mis tõid esile ulatusliku mittevastavuse. Levinud probleemid hõlmasid küpsiste seadmist enne nõusolekut, tagasilükkamisvaliku puudumist ja ebapiisavat teavet küpsiste eesmärkide kohta.
• Hoiatavad kirjad: Pärast auditeid saatis ICO hoiatavaid kirju organisatsioonidele, kelle küpsispraktikad ei vastanud nõuetele. Enamik organisatsioone viis oma praktikad pärast nende kirjade saamist vastavusse.
• Adtechi uurimised: ICO on läbi viinud jätkuvaid uurimisi reaalajas pakkumiste ökosüsteemi kohta, tõstatades muresid isikuandmete mahu pärast, mida jagatakse programmtilise reklaami küpsiste kaudu ilma piisava nõusolekuta.
• Jõustamine avalikus sektoris: ICO ei ole vabastanud valitsuse veebisaite, vaid on andnud juhiseid ja hoiatusi avaliku sektori organisatsioonidele nende küpsispraktikate kohta.

Kuigi ICO ei ole veel määranud märkimisväärseid rahalisi karistusi konkreetselt küpsiste rikkumiste eest, liigub trend selgelt rangema jõustamise suunas. Regulaator on öelnud, et ootab organisatsioonidelt juba praegu vastavust ning et jõustamismeetmed järgnevad neile, kes oma praktikaid ei paranda.

Rahvusvahelised andmeedastused: Ühendkuningriigist ELi ja kaugemale

Küpsiste nõusolek ristub rahvusvaheliste andmeedastustega olulisel viisil. Kui analüütika- või reklaamiküpsised saadavad andmeid serveritesse väljaspool Ühendkuningriiki – nagu Google Analytics saadab andmeid Google’i serveritesse ja Facebook Pixel saadab andmeid Meta serveritesse –, kujutavad need endast rahvusvahelisi andmeedastusi UK GDPR-i tähenduses.

Praegused korraldused:

• Ühendkuningriigist EEA-sse: Andmed liiguvad vabalt Ühendkuningriigi EEA piisavuse tunnustuse alusel.
• Ühendkuningriigist USA-sse: Ühendkuningriigi laiendus EU-US Data Privacy Framework raamistikule pakub mehhanismi edastusteks sertifitseeritud USA organisatsioonidele. Google ja Meta on selle raamistiku alusel sertifitseeritud.
• Ühendkuningriigist teistesse riikidesse: Nõutavad on asjakohased kaitsemeetmed, nagu Standard Contractual Clauses (Ühendkuningriigi versioon) või siduvad ettevõtluseeskirjad.

Praktilisest vaatenurgast on rahvusvaheliste edastuste mehhanismid olemas, kui kasutate Google Analyticsit, Google Ads’i või muid suuremaid reklaamiplatvorme. Siiski peaksite need edastused oma privaatsuspoliitikas dokumenteerima ja tagama, et teie küpsiste bänner mainib võimalust, et andmeid võidakse edastada rahvusvaheliselt.

FlexyConsent’i geosihtimine Ühendkuningriigi-spetsiifiliseks vastavuseks

FlexyConsent pakub Ühendkuningriigi külastajatele pühendatud geosihtimist, tagades vastavuse Ühendkuningriigi konkreetsele regulatiivsele raamistikule:

• PECR-iga kooskõlas olev bänner: Ühendkuningriigi külastajad näevad nõusolekubännerit, mis vastab ICO nõuetele, sealhulgas võrdselt silmapaistva tagasilükkamisvaliku ja granulaarsete kategooriakontrollidega. Ühtegi küpsist ei seata enne aktiivse nõusoleku saamist.
• Eraldi ELi konfiguratsioonist: Kuigi nõuded on sarnased, säilitab FlexyConsent võimaluse konfigureerida Ühendkuningriigi ja ELi nõusolekukogemusi iseseisvalt. See muudab teie lahenduse tulevikukindlaks võimaliku Ühendkuningriigi ja ELi regulatiivse lahknemise suhtes.
• ICO-ga kooskõlas olev disain: FlexyConsent’i vaikimisi bännermallid järgivad ICO juhiseid tumedate mustrite vältimiseks. Nõustumis- ja tagasilükkamisvalikud on visuaalselt võrdsed, keel on neutraalne ning kujundus ei manipuleeri kasutaja valikuid.
• Consent Mode V2 integratsioon: Google-certified CMP lahendusena saadab FlexyConsent Ühendkuningriigi külastajate jaoks Google’i teenustele korrektsed nõusolekusignaalid. See tagab, et konversioonimudelid ja Smart Bidding toimivad jätkuvalt õigesti, austades samal ajal Ühendkuningriigi nõusolekunõudeid.
• IAB TCF 2.3 tugi: Programmilist reklaami kasutavate väljaandjate jaoks genereerib FlexyConsent Ühendkuningriigile sobivad TCF nõusolekustringid, mida tunnustavad Ühendkuningriigi turul tegutsevad nõudluse- ja pakkumise poole platvormid.

FlexyConsent on saadaval pakettidega alates EUR 0 kuus, pakkudes loomulikke integratsioone platvormidega WordPress, Shopify ja PrestaShop. Eriti Ühendkuningriigis baseeruvate ettevõtete jaoks näitab sertifitseeritud CMP kasutuselevõtt ICO-le proaktiivset vastavust – tegur, mida regulaator on märkinud arvestavat jõustamisotsuste tegemisel.

Põhisõnum: Ühendkuningriigi privaatsusraamistik pärast Brexiti peegeldab tihedalt ELi oma, kuid toimib oma regulaatori, oma jõustamismustrite ja potentsiaalselt oma tulevase õigusliku suuna alusel. Ühendkuningriigi külastajate kohtlemine samade reeglite alusel kui ELi külastajaid on praegu turvaline, kuid võime säilitada Ühendkuningriigi-spetsiifilisi nõusolekukogemusi positsioneerib teie saidi nii, et see suudab kohaneda, kui kaks raamistikku peaksid lahknema. Geoteadlik CMP on selle keerukuse haldamiseks kõige praktilisem viis.