Yhdistyneen kuningaskunnan tietosuojaympäristö Brexitin jälkeen

Kun Yhdistynyt kuningaskunta erosi Euroopan unionista, se ei jättänyt tietosuojaa taakseen. Iso-Britannia sisällytti EU:n GDPR:n kansalliseen lainsäädäntöön nimellä UK GDPR, joka toimii rinnakkain Data Protection Act 2018 -lain kanssa. Evästeiden osalta Privacy and Electronic Communications Regulations (PECR) – Yhdistyneen kuningaskunnan versio ePrivacy-direktiivistä – on edelleen voimassa. Lopputuloksena on tietosuojakehys, joka muistuttaa läheisesti EU:n järjestelmää, mutta jota valvoo itsenäisesti Yhdistyneen kuningaskunnan tietosuojaviranomainen Information Commissioner's Office (ICO).

Verkkosivustojen ylläpitäjille tämä tarkoittaa, että Yhdistyneestä kuningaskunnasta tulevien kävijöiden palveleminen edellyttää huomiota erilliseen sääntöjen, ohjeiden ja täytäntöönpanokäytäntöjen joukkoon. Vaikka sisältö on pitkälti sama kuin EU:n GDPR:ssä, yksityiskohdilla on merkitystä.

UK GDPR vs EU GDPR: keskeiset erot

UK GDPR on ydinkysymyksiltään ja vaatimuksiltaan olennaisesti samanlainen kuin EU GDPR. Brexitin jälkeen on kuitenkin syntynyt useita eroja:

• Valvontaviranomainen: ICO on ainoa UK GDPR:n valvontaviranomainen ja korvaa EU:n tietosuojaviranomaisten roolin. Et voi saada sakkoa sekä ICO:lta että EU:n DPA:lta samasta henkilötietojen käsittelytoimesta, joka koskee vain Yhdistyneen kuningaskunnan asukkaita.
• Tietosuojan riittävyys: EU myönsi Yhdistyneelle kuningaskunnalle riittävyyspäätöksen kesäkuussa 2021, mikä mahdollistaa henkilötietojen vapaan siirron EU:sta Yhdistyneeseen kuningaskuntaan. Päätöstä tarkastellaan määräajoin uudelleen. Yhdistynyt kuningaskunta on vastavuoroisesti tunnustanut ETA-alueen riittäväksi.
• Kansainväliset siirrot: Yhdistyneellä kuningaskunnalla on oma kehys kansainvälisille tietojen siirroille, ja riittävyyspäätökset tekee ulkoministeri (Secretary of State) Euroopan komission sijaan. Yhdistynyt kuningaskunta on viestinyt joustavammasta lähestymistavasta kansainvälisiin siirtoihin, vaikka keskeiset suojatoimet säilyvät.
• Valvontalinja: ICO on perinteisesti suosinut vuoropuhelua ja ohjeistusta aggressiivisen sakottamisen sijaan. UK GDPR:n mukaiset enimmäissakot vastaavat EU:n tasoa: enintään 17,5 miljoonaa GBP tai 4 prosenttia maailmanlaajuisesta vuotuisesta liikevaihdosta sen mukaan, kumpi on suurempi.
• Mahdollinen eriytyminen: Yhdistyneen kuningaskunnan hallitus on harkinnut uudistuksia Data Protection and Digital Information Bill -lakihankkeen kautta. Se voisi tuoda muutoksia oikeutettuun etuun perustuviin arviointeihin, tutkimuspoikkeuksiin ja tietosuojavastaavien rooliin. Verkkosivustojen ylläpitäjien kannattaa seurata tämän lainsäädännön etenemistä tulevien muutosten varalta.

PECR: Yhdistyneen kuningaskunnan evästelaki

Siinä missä UK GDPR asettaa yleisen kehyksen henkilötietojen käsittelylle, PECR säätelee nimenomaisesti evästeitä ja vastaavia teknologioita. PECR on GDPR:ää vanhempi ja panee täytäntöön EU:n ePrivacy-direktiivin Yhdistyneen kuningaskunnan lainsäädännössä. Sen keskeiset evästeitä koskevat vaatimukset ovat:

• Suostumus vaaditaan ennen kuin käyttäjän laitteelle asetetaan mitään ei-välttämättömiä evästeitä. Tämä koskee analytiikka-, mainonta- ja sosiaalisen median evästeitä.
• Tietoa on annettava siitä, mitä evästeitä asetetaan ja mihin niit�� käytetään, selkeällä ja ymmärrettävällä kielellä.
• Suostumuksen on oltava vapaaehtoinen, yksilöity ja tietoon perustuva. Esitäytetyt valintaruudut eivät muodosta pätevää suostumusta.
• Välttämättömät evästeet ovat poikkeus. Evästeet, jotka ovat välttämättömiä käyttäjän nimenomaisesti pyytämän palvelun tarjoamiseksi (kuten kirjautuneen käyttäjän istuntoevästeet tai ostoskorievästeet), eivät edellytä suostumusta.

PECR:n suostumusvaatimus vastaa GDPR:n suostumuksen määritelmää, mikä tarkoittaa, että käytännössä vaatimukset ovat hyvin samankaltaiset kuin EU:n ePrivacy-direktiivin alla. Evästebanneri, joka on EU-sääntöjen mukainen, on yleensä myös PECR:n mukainen.

ICO:n ohjeistus evästebannereista

ICO on julkaissut yksityiskohtaista ohjeistusta evästeiden vaatimustenmukaisuudesta, joka menee pidemmälle kuin PECR:n varsinainen lakiteksti. Keskeisiä kohtia ICO:n ohjeista ovat:

Suostumuksen on oltava aktiivinen

Pelkkä verkkosivustolla surffaamisen jatkaminen ei muodosta suostumusta. ICO toteaa nimenomaisesti, että implisiittinen suostumus ei ole pätevä. Käyttäjän on tehtävä selkeä, myönteinen toimi (kuten napsautettava "Hyväksy"-painiketta), ennen kuin ei-välttämättömiä evästeitä voidaan asettaa.

Hylkäämisen on oltava yhtä helppoa

ICO on yhä äänekkäämmin kiinnittänyt huomiota dark pattern -käytäntöihin evästebannereissa. Erityisesti:

• "Hylkää kaikki" tai vastaava vaihtoehto on tarjottava samalla tasolla kuin "Hyväksy kaikki". Hylkäysvaihtoehdon piilottaminen "Hallinnoi asetuksia" -näytön taakse ei ole hyväksyttävää.
• Visuaalisen suunnittelun ei tule käyttää väriä, kokoa tai sijoittelua ohjaamaan käyttäjiä hyväksymään evästeet.
• Kielen on oltava neutraalia eikä sen tule syyllistää tai painostaa käyttäjiä antamaan suostumusta.

Yksityiskohtainen kategorioittainen hallinta

Käyttäjien tulisi voida antaa suostumus tietyille evästeluokille (esimerkiksi analytiikka, markkinointi, toiminnalliset) sen sijaan, että heidät pakotetaan kaikki tai ei mitään -valintaan. Vaikka ICO ei määrää tiettyä kategorioiden lukumäärää, yksityiskohtainen hallinta osoittaa hyvää käytäntöä ja voi olla tarpeen GDPR:n käyttötarkoituksen rajoittamista koskevan periaatteen vuoksi.

Cookie wall -ratkaisut ovat ongelmallisia

ICO katsoo, että cookie wall -ratkaisut – joissa pääsy verkkosivustolle estetään, ellei käyttäjä hyväksy kaikkia evästeitä – eivät todennäköisesti muodosta pätevää suostumusta, koska suostumus ei olisi aidosti vapaaehtoinen. Poikkeuksia voi olla maksullisen sisällön osalta, jos tarjolla on aito evästeetön vaihtoehto.

Viimeaikaiset ICO:n täytäntöönpanotoimet

ICO on tasaisesti lisännyt painotustaan evästeiden vaatimustenmukaisuuteen viime vuosina. Huomionarvoisia toimia ovat muun muassa:

• Toimialakohtaiset tarkastukset: ICO on tehnyt tarkastuksia sadan suurimman brittiläisen verkkosivuston parissa useilla toimialoilla ja julkaissut tuloksia, jotka toivat esiin laajaa ei-vaatimustenmukaisuutta. Yleisiä ongelmia olivat evästeiden asettaminen ennen suostumusta, hylkäysvaihtoehdon puuttuminen ja riittämätön tieto evästeiden käyttötarkoituksista.
• Varoituskirjeet: Tarkastusten jälkeen ICO lähetti varoituskirjeitä organisaatioille, joiden evästekäytännöt eivät täyttäneet vaatimuksia. Suurin osa organisaatioista korjasi käytäntönsä vaatimustenmukaisiksi saatuaan kirjeen.
• Mainosteknologian tutkinnat: ICO on tehnyt jatkuvia selvityksiä reaaliaikaisen huutokaupan ekosysteemistä ja nostanut esiin huolia siitä, kuinka paljon henkilötietoja jaetaan ohjelmallisen mainonnan evästeiden kautta ilman asianmukaista suostumusta.
• Julkisen sektorin valvonta: ICO ei ole jättänyt hallituksen verkkosivustoja valvonnan ulkopuolelle, vaan on antanut ohjeita ja varoituksia julkisen sektorin organisaatioille niiden evästekäytännöistä.

Vaikka ICO ei ole vielä määrännyt merkittäviä taloudellisia seuraamuksia nimenomaan evästerikkomuksista, suunta on selvästi kohti tiukempaa täytäntöönpanoa. Viranomainen on todennut odottavansa, että organisaatiot ovat jo nyt vaatimustenmukaisia, ja että täytäntöönpanotoimia seuraa niille, jotka eivät paranna toimintaansa.

Kansainväliset tietojen siirrot: Yhdistynyt kuningaskunta, EU ja muut maat

Evästesuostumus liittyy tärkeällä tavalla kansainvälisiin tietojen siirtoihin. Kun analytiikka- tai mainosevästeet lähettävät tietoja Yhdistyneen kuningaskunnan ulkopuolella sijaitseville palvelimille – kuten Google Analytics lähettää tietoja Googlen palvelimille ja Facebook Pixel Metan palvelimille – kyseessä ovat kansainväliset tietojen siirrot UK GDPR:n näkökulmasta.

Nykyiset järjestelyt:

• Yhdistynyt kuningaskunta – ETA: Tiedot liikkuvat vapaasti Yhdistyneen kuningaskunnan tunnustaessa ETA-alueen riittäväksi.
• Yhdistynyt kuningaskunta – USA: UK Extension to the EU-US Data Privacy Framework tarjoaa mekanismin siirroille sertifioiduille yhdysvaltalaisille organisaatioille. Google ja Meta ovat sertifioituja tämän kehyksen alla.
• Yhdistynyt kuningaskunta – muut maat: Tarvitaan asianmukaisia suojatoimia, kuten Standard Contractual Clauses (UK-versio) tai sitovat yrityssäännöt.

Käytännössä, jos käytät Google Analyticsia, Google Adsia tai muita suuria mainosalustoja, kansainväliset siirtomekanismit ovat olemassa. Sinun tulisi kuitenkin dokumentoida nämä siirrot tietosuojaselosteessasi ja varmistaa, että evästebannerisi mainitsee tietojen mahdollisen siirron kansainvälisesti.

FlexyConsentin maantieteellinen kohdennus UK-kohtaiseen vaatimustenmukaisuuteen

FlexyConsent tarjoaa erillisen maantieteellisen kohdennuksen Yhdistyneestä kuningaskunnasta tuleville kävijöille ja varmistaa vaatimustenmukaisuuden maan erityisen sääntelykehyksen kanssa:

• PECR-vaatimusten mukainen banneri: Yhdistyneestä kuningaskunnasta tulevat kävijät näkevät suostumusbannerin, joka täyttää ICO:n vaatimukset, mukaan lukien yhtä näkyvä hylkäysvaihtoehto ja yksityiskohtainen kategorioiden hallinta. Evästeitä ei aseteta ennen aktiivisen suostumuksen saamista.
• Erillinen EU-konfiguraatiosta: Vaikka vaatimukset ovat samankaltaisia, FlexyConsent mahdollistaa UK- ja EU-suostumuskokemusten itsenäisen konfiguroinnin. Tämä suojaa toteutustasi mahdollisen UK–EU-sääntelyerojen kasvun varalta.
• ICO-ohjeiden mukainen suunnittelu: FlexyConsentin oletusbanneripohjat noudattavat ICO:n ohjeita dark pattern -käytäntöjen välttämisestä. Hyväksy- ja hylkää-vaihtoehdot ovat visuaalisesti tasavertaisia, kieli on neutraalia eikä suunnittelu manipuloi käyttäjän valintoja.
• Consent Mode V2 -integraatio: Google-sertifioituna CMP:nä FlexyConsent lähettää oikeat suostumussignaalit Googlen palveluille Yhdistyneestä kuningaskunnasta tulevien kävijöiden osalta. Tämä varmistaa, että konversiomallinnus ja Smart Bidding toimivat oikein samalla kun kunnioitetaan UK:n suostumusvaatimuksia.
• IAB TCF 2.3 -tuki: Julkaisijoille, jotka käyttävät ohjelmallista mainontaa, FlexyConsent tuottaa Yhdistyneen kuningaskunnan markkinalle sopivia TCF-suostumuskoodeja, jotka tunnistetaan kysyntä- ja tarjontapuolen alustoilla.

FlexyConsent on saatavilla paketeilla, jotka alkavat hinnasta EUR 0 kuukaudessa, ja se tarjoaa valmiit integraatiot alustoille WordPress, Shopify ja PrestaShop. Erityisesti Yhdistyneessä kuningaskunnassa toimiville yrityksille sertifioidun CMP:n käyttöönotto osoittaa ICO:lle ennakoivaa vaatimustenmukaisuutta – tekijä, jonka viranomainen on ilmoittanut huomioivansa täytäntöönpanopäätöksiä tehdessään.

Keskeinen johtopäätös: Yhdistyneen kuningaskunnan tietosuojakehys Brexitin jälkeen muistuttaa läheisesti EU:n järjestelmää, mutta toimii oman viranomaisensa, omien täytäntöönpanokäytäntöjensä ja mahdollisesti oman tulevan lainsäädäntösuuntansa alla. Yhdistyneestä kuningaskunnasta tulevien kävijöiden kohteleminen toistaiseksi samojen sääntöjen alaisina kuin EU-kävijät on turvallista, mutta kyky konfiguroida UK-kohtaisia suostumuskokemuksia asettaa sivustosi hyvään asemaan, jos kehykset alkavat eriytyä. Maantieteisesti tietoisen CMP:n käyttö on käytännöllisin tapa hallita tätä monimutkaisuutta.