انطباق۲۲ مه ۲۰۲۶ | FlexyConsent

UK GDPR و رضایت کوکی: الزامات ICO پس از برگزیت

چشم‌انداز حریم خصوصی بریتانیا پس از برگزیت

با خروج بریتانیا از اتحادیه اروپا، حمایت از داده‌ها کنار گذاشته نشد. بریتانیا مقررات GDPR اتحادیه اروپا را در قالب UK GDPR وارد حقوق داخلی خود کرد که در کنار Data Protection Act 2018 قرار می‌گیرد. برای کوکی‌ها به طور خاص، Privacy and Electronic Communications Regulations (PECR) — که اجرای دستورالعمل ePrivacy اتحادیه اروپا در حقوق بریتانیاست — همچنان اعمال می‌شود. نتیجه، چارچوبی حریم خصوصی است که به‌طور نزدیک آینه‌دار چارچوب اتحادیه اروپاست اما به‌طور مستقل توسط Information Commissioner's Office (ICO) بریتانیا اجرا می‌شود.

برای گردانندگان وب‌سایت، این بدان معناست که ارائه خدمت به بازدیدکنندگان بریتانیایی مستلزم توجه به مجموعه‌ای متمایز از قواعد، رهنمودها و الگوهای اجراست. اگرچه ماهیت قواعد شبیه GDPR اتحادیه اروپاست، اما ظرایف آن اهمیت دارد.

UK GDPR در برابر EU GDPR: تفاوت‌های کلیدی

UK GDPR از نظر اصول و الزامات اصلی، تا حد زیادی با GDPR اتحادیه اروپا یکسان است. با این حال، از زمان برگزیت چند تفاوت پدیدار شده است:

مرجع ناظر: ICO تنها مرجع ناظر برای UK GDPR است و جایگزین نقش مقامات حفاظت از داده‌های اتحادیه اروپا شده است. برای یک فعالیت پردازش داده که فقط بر ساکنان بریتانیا اثر می‌گذارد، نمی‌توانید هم‌زمان از سوی ICO و یک مرجع حفاظت از داده اتحادیه اروپا جریمه شوید.
کفایت داده: اتحادیه اروپا در ژوئن ۲۰۲۱ به بریتانیا تصمیم ��فایت اعطا کرد که اجازه می‌دهد داده‌های شخصی آزادانه از اتحادیه اروپا به بریتانیا منتقل شود. این تصمیم مشمول بازبینی‌های دوره‌ای است. بریتانیا نیز متقابلاً EEA را «کافی» به رسمیت شناخته است.
انتقال‌های بین‌المللی: بریتانیا چارچوب خود را برای انتقال‌های بین‌المللی داده دارد؛ به‌طوری‌که وزیر امور خارجه (و نه کمیسیون اروپا) تصمیمات کفایت را اتخاذ می‌کند. بریتانیا رویکردی منعطف‌تر نسبت به انتقال‌های بین‌المللی را نشان داده است، هرچند تضمین‌های اصلی همچنان برقرارند.
رویکرد اجرایی: ICO از نظر تاریخی، تعامل و ارائه رهنمود را بر جریمه‌های تهاجمی ترجیح داده است. حداکثر جریمه‌ها تحت UK GDPR مشابه اتحادیه اروپا است: تا سقف ۱۷٫۵ میلیون GBP یا ۴ درصد از گردش مالی سالانه جهانی، هرکدام که بیشتر باشد.
احتمال واگر��یی: دولت بریتانیا از طریق لایحه Data Protection and Digital Information به اصلاحات احتمالی اندیشیده است که می‌تواند تغییراتی در ارزیابی منافع مشروع، معافیت‌های پژوهشی و نقش افسران حفاظت از داده ایجاد کند. گردانندگان وب‌سایت باید این قانون‌گذاری را برای تغییرات آتی زیر نظر داشته باشند.

PECR: قانون کوکی بریتانیا

در حالی که UK GDPR چارچوب کلی پردازش داده‌های شخصی را فراهم می‌کند، PECR به طور خاص کوکی‌ها و فناوری‌های مشابه را تنظیم می‌کند. PECR پیش از GDPR وضع شده و دستورالعمل ePrivacy اتحادیه اروپا را در حقوق بریتانیا پیاده‌سازی می‌کند. الزامات کلیدی آن برای کوکی‌ها عبارت‌اند از:

کسب رضایت الزامی است پیش از قرار دادن هرگونه کوکی غیرضروری روی دستگاه کاربر. این شامل کوکی‌های تحلیلی، تبلیغاتی و شبکه‌های اجتماعی می‌شود.
باید اطلاعات ارائه شود درباره این‌که چه کوکی‌هایی تنظیم می‌شوند و برای چه اهدافی به کار می‌روند، آن هم با زبانی روشن و ساده.
رضایت باید آزادانه، مشخص و آگاهانه داده شود. جعبه‌های از پیش تیک‌خورده، رضایت معتبر محسوب نمی‌شوند.
کوکی‌های کاملاً ضروری معاف هستند. کوکی‌هایی که برای ارائه خدمتی که کاربر صراحتاً درخواست کرده ضروری‌اند (مانند کوکی‌های نشست برای قابلیت ورود به حساب یا کوکی‌های سبد خرید) نیاز به رضایت ندارند.

استاندارد رضایت در PECR با تعریف رضایت در GDPR هم‌راستا است؛ به این معنا که در عمل، الزامات بسیار شبیه الزامات تحت دستورالعمل ePrivacy اتحادیه اروپا هستند. یک بنر کوکی که با قواعد اتحادیه اروپا منطبق باشد، عموماً با PECR نیز منطبق خواهد بود.

رهنمود ICO درباره بنرهای کوکی

ICO رهنمودهای مفصلی درباره انطباق کوکی منتشر کرده که فراتر از متن خود PECR است. نکات کلیدی این رهنمودها عبارت‌اند از:

رضایت باید ایجابی باشد

صرفاً ادامه مرور یک وب‌سایت به معنای رضایت نیست. ICO صراحتاً اعلام می‌کند که رضایت ضمنی معتبر نیست. کاربران باید یک اقدام روشن و مثبت انجام دهند (مانند کلیک روی دکمه «Accept») تا بتوان کوکی‌های غیرضروری را تنظیم کرد.

رد کردن باید به همان اندازه آسان باشد

ICO به طور فزاینده‌ای نسبت به الگوهای تاریک در بنرهای کوکی موضع گرفته است. به‌طور مشخص:

گزینه «Reject All» یا معادل آن باید در همان سطحی که «Accept All» نمایش داده می‌شود، در دسترس باشد. پنهان کردن گزینه رد در پشت صفحه «Manage Preferences» قابل قبول نیست.
طراحی بصری نباید از رنگ، اندازه یا جای‌گذاری برای سوق دادن کاربران به پذیرش استفاده کند.
زبان به‌کاررفته باید خنثی باشد و به‌گونه‌ای طراحی نشود که کاربران را به دادن رضایت تحت فشار یا احساس گناه قرار دهد.

کنترل جزئی بر دسته‌ها

کاربران باید بتوانند برای دسته‌های مشخصی از کوکی‌ها (تحلیلی، بازاریابی، عملکردی) رضایت بدهند، نه این‌که مجبور به انتخاب همه یا هیچ شوند. هرچند ICO تعداد مشخصی از دسته‌ها را الزامی نکرده است، فراهم کردن کنترل جزئی روی دسته‌ها نشان‌دهنده رویه خوب است و ممکن است تحت اصل محدودیت هدف در GDPR مورد نیاز باشد.

Cookie Wallها مسئله‌ساز هستند

ICO، cookie wallها — یعنی جایی که دسترسی به وب‌سایت منوط به پذیرش همه کوکی‌هاست — را به احتمال زیاد واجد رضایت معتبر نمی‌داند، زیرا رضایت در این حالت آزادانه داده نشده است. ممکن است برای محتوای پولی که در آن یک گزینه واقعیِ بدون کوکی ارائه می‌شود، استثناهایی وجود داشته باشد.

اقدامات اجرایی اخیر ICO

ICO در سال‌های اخیر به‌طور پیوسته تمرکز خود را بر انطباق کوکی افزایش داده است. اقدامات قابل توجه شامل موارد زیر است:

ممیزی‌های سراسری بخش‌ها: ICO ممیزی‌هایی از ۱۰۰ وب‌سایت برتر بریتانیا در چندین بخش انجام داده و یافته‌هایی منتشر کرده که نشان‌دهنده عدم انطباق گسترده بوده است. مشکلات رایج شامل تنظیم کوکی‌ها پیش از کسب رضایت، نبود گزینه رد، و اطلاعات ناکافی درباره اهداف کوکی‌ها بود.
نامه‌های هشدار: پس از ممیزی‌ها، ICO به سازمان‌هایی که رویه‌های کوکی آن‌ها ناکافی بود، نامه‌های هشدار ارسال کرد. بیشتر سازمان‌ها پس از دریافت این نامه‌ها رویه‌های خود را با الزامات منطبق کردند.
تحقیقات Adtech: ICO تحقیقات مستمری در اکوسیستم مزایده بلادرنگ انجام داده و نگرانی‌هایی درباره حجم داده‌های شخصی که از طریق کوکی‌های تبلیغات برنامه‌ریزی‌شده بدون رضایت کافی به اشتراک گذاشته می‌شود، مطرح کرده است.
اجرای مقررات در بخش عمومی: ICO وب‌سایت‌های دولتی را نیز مستثنا نکرده و برای سازمان‌های بخش عمومی درباره رویه‌های کوکی آن‌ها رهنمود و هشدار صادر کرده است.

اگرچه ICO تاکنون جریمه‌های مالی قابل توجهی که مشخصاً مربوط به تخلفات کوکی باشد صادر نکرده است، روند کلی به سمت اجرای سخت‌گیرانه‌تر است. نهاد ناظر اعلام کرده که انتظار دارد سازمان‌ها اکنون منطبق باشند و اقدام اجرایی در انتظار کسانی است که بهبود ایجاد نکنند.

انتقال‌های بین‌المللی داده: از بریتانیا به اتحادیه اروپا و فراتر از آن

رضایت کوکی از یک جهت مهم با انتقال‌های بین‌المللی داده تلاقی پیدا می‌کند. زمانی که کوکی‌های تحلیلی یا تبلیغاتی داده‌ها را به سرورهایی خار�� از بریتانیا ارسال می‌کنند — همان‌طور که Google Analytics داده‌ها را به سرورهای گوگل و Facebook Pixel داده‌ها را به سرورهای Meta می‌فرستد — این موارد تحت UK GDPR به‌عنوان انتقال‌های بین‌المللی داده تلقی می‌شوند.

وضعیت فعلی:

از بریتانیا به EEA: داده‌ها بر اساس به‌رسمیت‌شناختن کفایت EEA توسط بریتانیا آزادانه جریان می‌یابند.
از بریتانیا به آمریکا: UK Extension به EU-US Data Privacy Framework سازوکاری برای انتقال به سازمان‌های آمریکاییِ دارای گواهی فراهم می‌کند. Google و Meta تحت این چارچوب گواهی دارند.
از بریتانیا به سایر کشورها: تضمین‌های مناسب مانند Standard Contractual Clauses (نسخه بریتانیا) یا قواعد الزام‌آور شرکتی مورد نیاز است.

از منظر عملی، اگر از Google Analytics، Google Ads یا سایر پلتفرم‌های بزرگ تبلیغاتی استفاده می‌کنید، سازوکارهای انتقال بین‌المللی برقرار هستند. با این حال، باید این انتقال‌ها را در سیاست حریم خصوصی خود مستند کنید و اطمینان یابید که بنر کوکی شما اشاره می‌کند که داده‌ها ممکن است به‌طور بین‌المللی منتقل شوند.

Geo-Targeting در FlexyConsent برای انطباق ویژه بریتانیا

FlexyConsent هدف‌گیری جغرافیایی اختصاصی برای بازدیدکنندگان بریتانیایی ارائه می‌کند و انطباق با چارچوب مقرراتی خاص بریتانیا را تضمین می‌کند:

بنر منطبق با PECR: بازدیدکنندگان بریتانیایی بنر رضایتی می‌بینند که الزامات ICO را برآورده می‌کند، از جمله گزینه ردِ هم‌سطح و کنترل جزئی بر دسته‌ها. تا زمانی که رضایت ایجابی دریافت نشود، هیچ کوکی‌ای تنظیم نمی‌شود.
جدا از پیکربندی اتحادیه اروپا: هرچند الزامات مشابه‌اند، FlexyConsent امکان پیکربندی مستقل تجربه‌های رضایت برای بریتانیا و اتحادیه اروپا ��ا حفظ می‌کند. این کار پیاده‌سازی شما را در برابر واگرایی احتمالی مقرراتی بین بریتانیا و اتحادی�� اروپا در آینده مقاوم می‌کند.
طراحی هم‌راستا با ICO: الگوهای پیش‌فرض بنر FlexyConsent از رهنمودهای ICO برای اجتناب از الگوهای تاریک پیروی می‌کنند. گزینه‌های پذیرش و رد از نظر بصری برابرند، زبان خنثی است و طراحی، انتخاب‌های کاربر را دست‌کاری نمی‌کند.
یکپارچگی با Consent Mode V2: به‌عنوان یک Google-certified CMP، FlexyConsent سیگنال‌های رضایت مناسب را برای خدمات گوگل در مورد بازدیدکنندگان بریتانیایی ارسال می‌کند. این کار تضمین می‌کند که مدل‌سازی تبدیل و Smart Bidding در عین احترام به الزامات رضایت در بریتانیا، همچنان به‌درستی عمل کنند.
پشتیبانی از IAB TCF 2.3: برای ناشرانی که از تبلیغات برنامه‌ریزی‌شده استفاده می‌کنند، FlexyConsent رشته‌های رضایت TCF متناسب با بریتانیا تولید می‌کند که توسط پلتفرم‌های سمت تقاضا و سمت عرضه فعال در باز��ر بریتانیا شناسایی می‌شوند.

FlexyConsent با طرح‌هایی که از EUR 0 در ماه آغاز می‌شوند در دسترس است و یکپارچگی‌های بومی با WordPress، Shopify و PrestaShop دارد. به‌ویژه برای کسب‌وکارهای مستقر در بریتانیا، پیاده‌سازی یک CMP دارای گواهی، نشان‌دهنده رویکردی فعال در انطباق با الزامات نزد ICO است — عاملی که نهاد ناظر اعلام کرده در تصمیم‌گیری درباره اقدامات اجرایی آن را مدنظر قرار می‌دهد.

نکته کلیدی: چارچوب حریم خصوصی بریتانیا پس از برگزیت، به‌طور نزدیک آینه‌دار چارچوب اتحادیه اروپا است اما تحت نهاد ناظر، الگوهای اجرایی و احتمالاً مسیر قانون‌گذاری آینده مختص به خود عمل می‌کند. در حال حاضر، برخورد با بازدیدکنندگان بریتانیایی بر اساس همان قواعد بازدیدکنندگان اتحادیه اروپا رویکردی امن است، اما حفظ توانایی پ��کربندی تجربه‌های رضایت ویژه بریتانیا، وب‌سایت شما را برای سازگاری با واگرایی احتمالی دو چارچوب در آینده آماده می‌کند. یک CMP آگاه به موقعیت جغرافیایی، عملی‌ترین راه برای مدیریت این پیچیدگی است.