ציות22 במאי 2026 | FlexyConsent

UK GDPR והסכמת קוקיז: דרישות ה‑ICO לאחר הברקזיט

נוף הפרטיות בבריטניה לאחר הברקזיט

כאשר בריטניה עזבה את האיחוד האירופי, היא לא נטשה את הגנת המידע. בריטניה הטמיעה את ה‑EU GDPR בדין המקומי בתור UK GDPR, הפועל לצד Data Protection Act 2018. לגבי קוקיז באופן ספציפי, Privacy and Electronic Communications Regulations (PECR) — היישום הבריטי של ה‑ePrivacy Directive — ממשיך לחול. התוצאה היא מסגרת פרטיות הדומה מאוד לזו של האיחוד האירופי, אך נאכפת באופן עצמאי על ידי רשות המידע הבריטית (ICO).

עבור מפעילי אתרים, משמעות הדבר היא ששירות גולשים מבריטניה מחייב תשומת לב למערך נפרד של כללים, הנחיות ודפוסי אכיפה. אף שהמהות דומה ל‑EU GDPR, הניואנסים חשובים.

UK GDPR לעומת EU GDPR: הבדלים מרכזיים

ה‑UK GDPR זהה במידה רבה ל‑EU GDPR בעקרונות הליבה ובדרישות המרכזיות שלו. עם זאת, מאז הברקזיט צמחו מספר הבדלים:

רשות פיקוח: ה‑ICO הוא רשות הפיקוח היחידה עבור UK GDPR, במקום רשויות הגנת המידע של האיחוד האירופי. לא ניתן לקנוס אתכם גם על ידי ה‑ICO וגם על ידי DPA של האיחוד האירופי בגין אותו עיבוד נתונים המשפיע רק על תושבי בריטניה.
מספיקות (Adequacy): האיחוד האירופי העניק לבריטניה החלטת מספיקות ביוני 2021, המאפשרת זרימה חופשית של נתונים אישיים מה‑EU לבריטניה. החלטה זו כפופה לבחינה תקופתית. בריטניה מצידה הכירה ב‑EEA כ"מספיקה".
העברות בינלאומיות: לבריטניה יש מסגרת עצמאית להעברות נתונים בינלאומיות, כאשר Secretary of State (ולא הנציבות האירופית) מקבל החלטות מספיקות. בריטניה אותתה על גישה גמישה יותר להעברות בינלאומיות, אף שההגנות הליבתיות נשמרות.
גישה לאכיפה: ה‑ICO נטה היסטורית להעדיף הידברות והנחיה על פני קנסות אגרסיביים. הקנסות המקסימליים לפי UK GDPR משקפים את אלו של האיחוד: עד GBP 17.5 מיליון או 4 אחוז מהמחזור השנתי הגלובלי, הגבוה מביניהם.
פוטנציאל להתרחקות רגולטורית: ממשלת בריטניה בחנה רפורמות באמצעות Data Protection and Digital Information Bill, שעשוי להכניס שינויים בהערכת legitimate interest, בפטורים למחקר ובתפקיד Data Protection Officers. מפעילי אתרים צריכים לעקוב אחר חקיקה זו לשינויים עתידיים.

PECR: חוק הקוקיז הבריטי

בעוד ה‑UK GDPR מספק את המסגרת הכללית לעיבוד נתונים אישיים, PECR מסדיר באופן ספציפי קוקיז וטכנולוגיות דומות. PECR קדם ל‑GDPR ומיישם את ה‑ePrivacy Directive בדין הבריטי. הדרישות המרכזיות שלו לגבי קוקיז הן:

נדרשת הסכמה לפני הצבת כל קוקי שאינו חיוני במכשיר המשתמש. זה כולל קוקיז אנליטיים, פרסומיים וקוקיז של רשתות חברתיות.
יש לספק מידע על אילו קוקיז מונחים ועל מה הם משמשים, בשפה ברורה ופשוטה.
ההסכמה חייבת להיות חופשית, ספציפית ומודעת. תיבות מסומנות מראש אינן מהוות הסכמה תקפה.
קוקיז הכרחיים לחלוטין פטורים. קוקיז החיוניים לשירות שהתבקש במפורש על ידי המשתמש (כגון קוקיז סשן לפונקציונליות של משתמש מחובר או קוקיז של עגלת קניות) אינם דורשים הסכמה.

סטנדרט ההסכמה ב‑PECR תואם את הגדרת ההסכמה ב‑GDPR, כך שבפועל הדרישות דומות מאוד לאלו שב‑ePrivacy Directive של האיחוד האירופי. באנר קוקיז התואם את כללי האיחוד יהיה בדרך כלל תואם גם ל‑PECR.

הנחיות ה‑ICO לגבי באנרי קוקיז

ה‑ICO פרסם הנחיות מפורטות לגבי עמידה בכללי קוקיז, החורגות מעבר לנוסח PECR עצמו. נקודות מפתח מהנחיות ה‑ICO כוללות:

ההסכמה חייבת להיות אקטיבית

עצם המשך הגלישה באתר אינו מהווה הסכמה. ה‑ICO מציין במפורש כי הסכמה משתמעת אינה תקפה. המשתמשים חייבים לבצע פעולה ברורה וחיובית (כגון לחיצה על כפתור "Accept") לפני שניתן יהיה להציב קוקיז שאינם חיוניים.

הדחייה חייבת להיות קלה באותה מידה

ה‑ICO נעשה קולני יותר ויותר בנוגע לדפוסי עיצוב מניפולטיביים (dark patterns) בבאנרי קוקיז. בפרט:

יש לספק אפשרות "Reject All" או אפשרות שקולה באותה רמה כמו "Accept All". הסתרת אפשרות הדחייה מאחורי מסך "Manage Preferences" אינה מקובלת.
העיצוב החזותי לא צריך להשתמש בצבע, גודל או מיקום כדי להטות את המשתמשים לכיוון קבלה.
השפה חייבת להיות ניטרלית ולא נועדה לעורר רגשות אשם או לחץ על המשתמשים להסכים.

שליטה גרנולרית לפי קטגוריות

יש לאפשר למשתמשים להסכים לקטגוריות ספציפיות של קוקיז (אנליטיקה, שיווק, פונקציונליים) במקום להיאלץ לבחירה של הכול או לא כלום. אף שה‑ICO אינו מחייב מספר מסוים של קטגוריות, מתן שליטה גרנולרית מדגים נוהג טוב ועשוי להידרש לפי עקרון הגבלת המטרה ב‑GDPR.

Cookie Walls הן בעייתיות

ה‑ICO רואה בcookie walls — מצב שבו נמנעת גישה לאתר אלא אם המשתמש מקבל את כל הקוקיז — כמצב שסביר שלא ייחשב להסכמה תקפה, משום שההסכמה אינה חופשית. ייתכנו חריגים לתוכן בתשלום שבו מוצעת חלופה אמיתית ללא קוקיז.

צעדי אכיפה עדכניים של ה‑ICO

ה‑ICO הגביר בהדרגה את המיקוד שלו בעמידה בכללי קוקיז בשנים האחרונות. צעדים בולטים כוללים:

ביקורות רוחב-מגזריות: ה‑ICO ביצע ביקורות של 100 האתרים המובילים בבריטניה במגזרים שונים, ופרסם ממצאים שהדגישו אי-ציות נרחב. בעיות נפוצות כללו הצבת קוקיז לפני קבלת הסכמה, היעדר אפשרות דחייה ומידע בלתי מספק על מטרות הקוקיז.
מכתבי אזהרה: בעקבות הביקורות, ה‑ICO שלח מכתבי אזהרה לארגונים שפרקטיקות הקוקיז שלהם לא עמדו בדרישות. רוב הארגונים תיקנו את הפרקטיקות שלהם לאחר קבלת המכתבים.
חקירות Adtech: ה‑ICO ביצע חקירות מתמשכות במערכת ה‑real-time bidding, והעלה חששות לגבי היקף הנתונים האישיים המשותפים באמצעות קוקיז של פרסום פרוגרמטי ללא הסכמה מספקת.
אכיפה במגזר הציבורי: ה‑ICO לא פטר אתרי ממשלה, והוציא הנחיות ואזהרות לארגונים במגזר הציבורי לגבי פרקטיקות הקוקיז שלהם.

אף שה‑ICO טרם הטיל קנסות כספיים משמעותיים ספציפית על הפרות הקשורות לקוקיז, המגמה ברורה לכיוון אכיפה מחמירה יותר. הרגולטור הצהיר שהוא מצפה מארגונים לעמוד בדרישות כבר כעת, וכי צעדי אכ��פה יינקטו נגד מי שלא ישפרו את מצבם.

העברות נתונים בינלאומיות: מבריטניה לאיחוד האירופי ומעבר לכך

הסכמת קוקיז מצטלבת עם העברות נתונים בינלאומיות באופן חשוב. כאשר קוקיז אנליטיים או פרסומיים שולחים נתונים לשרתים מחוץ לבריטניה — כפי ש‑Google Analytics שולח נתונים לשרתי Google, ו‑Facebook Pixel שולח נתונים לשרתי Meta — מדובר בהעברות נתונים בינלאומיות לפי UK GDPR.

הסדרים נוכחיים:

מ‑UK ל‑EEA: נתונים זורמים בחופשיות מכוח ההכרה הבריטית במספיקות של ה‑EEA.
מ‑UK ל‑USA: UK Extension ל‑EU-US Data Privacy Framework מספק מנגנון להעברות לארגונים אמריקאיים מוסמכים. Google ו‑Meta מוסמכות במסגרת זו.
מ‑UK למדינות אחרות: נדרשות הגנות מתאימות כגון Standard Contractual Clauses (הגרסה הבריטית) או binding corporate rules.

מבחינה מעשית, אם אתם משתמשים ב‑Google Analytics, ‏Google Ads או פלטפורמות פרסום גדולות אחרות, מנגנוני ההעברה הבינלאומית קיימים. עם זאת, עליכם לתעד העברות אלו במדיניות הפרטיות שלכם ולהבטיח שבאנר הקוקיז שלכם מציין כי ייתכן שהנתונים יועברו בינלאומית.

Geo-Targeting של FlexyConsent לציות ייעודי בבריטניה

FlexyConsent מספקת יכולות Geo-Targeting ייעודיות למבקרים מבריטניה, כדי להבטיח ציות למסגרת הרגולטורית הספציפית של בריטניה:

באנר תואם PECR: מבקרים מבריטניה רואים באנר הסכמה העומד בדרישות ה‑ICO, כולל אפשרות דחייה בולטת באותה מידה ושליטה גרנולרית בקטגוריות. לא מוצבים קוקיז עד לקבלת הסכמה אקטיבית.
נפרד מהתצורה של האיחוד האירופי: אף שהדרישות דומות, FlexyConsent שומרת על היכולת להגדיר חוויות הסכמה נפרדות לבריטניה ולאיחוד האירופי. כך אתם "מבטחים לעתיד" את היישום שלכם מפני התרחקות רגולטורית אפשרית בין בריטניה לאיחוד.
עיצוב מיושר ל‑ICO: תבניות הבאנר ברירת המחדל של FlexyConsent עוקבות אחר הנחיות ה‑ICO להימנעות מ‑dark patterns. אפשרויות Accept ו‑Reject שוות מבחינה חזותית, השפה ניטרלית והעיצוב אינו מנצל את בחירות המשתמש.
אינטגרציה עם Consent Mode V2: כ‑Google-certified CMP, ‏FlexyConsent שולחת אותות הסכמה מתאימים לשירותי Google עבור מבקרים מבריטניה. כך Conversion Modelling ו‑Smart Bidding ממשיכים לפעול כראוי תוך כיבוד דרישות ההסכמה בבריטניה.
תמיכה ב‑IAB TCF 2.3: עבור מפרסמים המשתמשים בפרסום פרוגרמטי, FlexyConsent מייצרת מחרוזות הסכמה (TCF consent strings) מותאמות לבריטניה, המוכרות על ידי demand-side platforms ו‑supply-side platforms הפועלות בשוק הבריטי.

FlexyConsent זמינה בתוכניות שמתחילות מ‑EUR 0 לחודש, עם אינטגרציות מובנות ל‑WordPress, ‏Shopify ו‑PrestaShop. עבור עסקים מבוססי בריטניה במיוחד, יישום CMP מוסמך מדגים ציות יזום כלפי ה‑ICO — גורם שהרגולטור ציין שהוא שוקל כאשר הוא מחליט על צעדי אכיפה.

מסר מרכזי: מסגרת הפרטיות של בריטניה לאחר הברקזיט דומה מאוד לזו של האיחוד האירופי, אך פועלת תחת רגולטור משלה, דפוסי אכיפה משלה וכיוון חקיקתי עתידי פוטנציאלי משלה. התייחסות למבקרים מבריטניה כאילו הם כפופים לאותם כללים כמו מבקרים מהאיחוד האירופי היא גישה בטוחה לעת עתה, אך שמירה על היכולת להגדיר חוויות הסכמה ייעודיות לבריטניה מציבה את האתר שלכם בעמדה טובה להסתגל אם וכאשר שתי המסגרות יתחילו לסטות זו מזו. CMP מודע-מיקום (geo-aware) הוא הדרך המעשית ביותר לנהל מורכבות זו.