Privatnost u Ujedinjenom Kraljevstvu nakon Brexita

Kada je Ujedinjeno Kraljevstvo napustilo Europsku uniju, nije napustilo zaštitu podataka. UK je u domaće zakonodavstvo uvrstio EU GDPR kao UK GDPR, koji djeluje zajedno sa Data Protection Act 2018. Za kolačiće se posebno primjenjuju Privacy and Electronic Communications Regulations (PECR) — britanska implementacija ePrivacy Direktive. Rezultat je okvir privatnosti koji vrlo blisko odražava onaj u EU, ali se provodi neovisno putem britanskog Information Commissioner's Officea (ICO).

Za operatere web‑stranica to znači da pružanje usluga posjetiteljima iz UK zahtijeva pažnju na poseban skup pravila, smjernica i obrazaca provedbe. Iako je sadržajno sličan EU GDPR-u, nijanse su važne.

UK GDPR naspram EU GDPR: ključne razlike

UK GDPR je u svojim temeljnim načelima i zahtjevima uvelike identičan EU GDPR-u. Ipak, nakon Brexita pojavilo se nekoliko razlika:

• Nadzorno tijelo: ICO je jedino nadzorno tijelo za UK GDPR, zamjenjujući ulogu tijela za zaštitu podataka u EU. Ne možete biti kažnjeni i od strane ICO-a i od strane EU DPA za istu obradu podataka koja pogađa samo stanovnike UK.
• Adekvatnost prijenosa podataka: EU je u lipnju 2021. dodijelila UK odluku o adekvatnosti, što omogućuje slobodan protok osobnih podataka iz EU u UK. Ova se odluka periodično preispituje. UK je uzvratno priznalo EEA kao adekvatnu.
• Međunarodni prijenosi: UK ima vlastiti okvir za međunarodne prijenose podataka, pri čemu odluke o adekvatnosti donosi Secretary of State (umjesto Europske komisije). UK je naznačio fleksibilniji pristup međunarodnim prijenosima, iako ključne zaštitne mjere ostaju.
• Pristup provedbi: ICO je povijesno preferirao dijalog i smjernice umjesto agresivnog izricanja kazni. Maksimalne kazne prema UK GDPR-u odražavaju one u EU: do 17,5 milijuna GBP ili 4 posto globalnog godišnjeg prometa, ovisno o tome što je više.
• Moguće razilaženje: Vlada UK razmatrala je reforme kroz Data Protection and Digital Information Bill, koji bi mogao donijeti promjene u procjenama legitimnog interesa, izuzećima za istraživanje i ulozi službenika za zaštitu podataka. Operateri web‑stranica trebali bi pratiti ovo zakonodavstvo zbog budućih promjena.

PECR: zakon o kolačićima u UK

Dok UK GDPR pruža opći okvir za obradu osobnih podataka, PECR posebno uređuje kolačiće i slične tehnologije. PECR prethodi GDPR-u i implementira EU ePrivacy Direktivu u pravu UK. Njegovi ključni zahtjevi za kolačiće su:

• Potrebna je privola prije postavljanja bilo kakvih neesencijalnih kolačića na uređaj korisnika. To uključuje analitičke, oglašivačke i kolačiće društvenih mreža.
• Potrebno je pružiti informacije o tome koji se kolačići postavljaju i za što se koriste, jasnim i razumljivim jezikom.
• Privola mora biti slobodno dana, specifična i informirana. Prethodno označeni okviri ne predstavljaju valjanu privolu.
• Strogo nužni kolačići su izuzeti. Kolačići koji su ključni za uslugu koju je korisnik izričito zatražio (poput kolačića sesije za funkcionalnost prijave ili kolačića košarice) ne zahtijevaju privolu.

Standard privole prema PECR-u usklađen je s definicijom privole u GDPR-u, što znači da su u praksi zahtjevi vrlo slični onima iz EU ePrivacy Direktive. Banner za kolačiće koji je usklađen s pravilima EU općenito će biti usklađen i s PECR-om.

Smjernice ICO-a o bannerima za kolačiće

ICO je objavio detaljne smjernice o usklađenosti kolačića koje nadilaze sam tekst PECR-a. Ključne točke iz smjernica ICO-a uključuju:

Privola mora biti afirmativna

Samo nastavljanje pregledavanja web‑stranice ne predstavlja privolu. ICO izričito navodi da implicitna privola nije valjana. Korisnici moraju poduzeti jasan, pozitivan korak (poput klika na gumb "Prihvati") prije nego što se mogu postaviti neesencijalni kolačići.

Odbijanje mora biti jednako jednostavno

ICO je sve glasniji po pitanju dark patterns u bannerima za kolačiće. Konkretno:

• Opcija "Odbij sve" ili ekvivalent mora biti dostupna na istoj razini kao i "Prihvati sve". Skrivanje opcije odbijanja iza zaslona "Upravljanje postavkama" nije prihvatljivo.
• Vizualni dizajn ne smije koristiti boju, veličinu ili pozicioniranje kako bi manipulirao korisnicima prema prihvaćanju.
• Jezik mora biti neutralan i ne smije biti osmišljen tako da izaziva osjećaj krivnje ili pritisak na korisnike da pristanu.

Granularna kontrola kategorija

Korisnici bi trebali moći dati privolu za određene kategorije kolačića (analitički, marketinški, funkcionalni), umjesto da budu prisiljeni na izbor sve-ili-ništa. Iako ICO ne propisuje točan broj kategorija, pružanje granularne kontrole predstavlja dobru praksu i može biti zahtijevano prema načelu ograničenja svrhe iz GDPR-a.

Cookie wallovi su problematični

ICO smatra da su cookie wallovi — situacije u kojima je pristup web‑stranici onemogućen osim ako korisnik ne prihvati sve kolačiće — malo vjerojatno da predstavljaju valjanu privolu jer privola ne bi bila slobodno dana. Iznimke mogu postojati za plaćeni sadržaj gdje se nudi stvarna alternativa bez kolačića.

Nedavne provedbene radnje ICO-a

ICO je posljednjih godina postupno povećao fokus na usklađenost kolačića. Značajne radnje uključuju:

• Sektorske revizije: ICO je proveo revizije 100 najvećih web‑stranica u UK u više sektora, objavivši nalaze koji su istaknuli raširenu neusklađenost. Uobičajeni problemi uključivali su postavljanje kolačića prije privole, izostanak opcije odbijanja i nedostatne informacije o svrhama kolačića.
• Upozoravajuća pisma: Nakon revizija, ICO je poslao upozoravajuća pisma organizacijama čije prakse s kolačićima nisu bile zadovoljavajuće. Većina organizacija uskladila je svoje prakse nakon primitka tih pisama.
• Istrage u području adtecha: ICO je proveo kontinuirane istrage ekosustava real-time bidding, izražavajući zabrinutost zbog količine osobnih podataka koji se dijele putem programatskih oglašivačkih kolačića bez odgovarajuće privole.
• Provedba u javnom sektoru: ICO nije izuzeo vladine web‑stranice, izdajući smjernice i upozorenja organizacijama javnog sektora o njihovim praksama s kolačićima.

Iako ICO još nije izrekao značajne financijske kazne posebno za povrede vezane uz kolačiće, trend jasno ide prema strožoj provedbi. Regulator je izjavio da očekuje da su organizacije sada usklađene te da će uslijediti provedbene radnje za one koje ne poboljšaju svoje prakse.

Međunarodni prijenosi podataka: iz UK u EU i dalje

Privola za kolačiće na važan način presijeca se s međunarodnim prijenosima podataka. Kada analitički ili oglašivački kolačići šalju podatke na poslužitelje izvan UK — kao što Google Analytics šalje podatke na Googleove poslužitelje, a Facebook Pixel na poslužitelje Mete — to predstavlja međunarodne prijenose podataka prema UK GDPR-u.

Trenutni aranžmani:

• UK u EEA: Podaci slobodno teku na temelju priznanja adekvatnosti EEA od strane UK.
• UK u SAD: UK Extension na EU-US Data Privacy Framework pruža mehanizam za prijenose certificiranim američkim organizacijama. Google i Meta su certificirani prema ovom okviru.
• UK u druge zemlje: Potrebne su odgovarajuće zaštitne mjere poput Standard Contractual Clauses (UK verzija) ili obvezujućih korporativnih pravila.

U praktičnom smislu, ako koristite Google Analytics, Google Ads ili druge velike oglašivačke platforme, mehanizmi za međunarodne prijenose su uspostavljeni. Ipak, trebali biste dokumentirati ove prijenose u svojoj politici privatnosti i osigurati da vaš banner za kolačiće spominje da se podaci mogu prenositi međunarodno.

FlexyConsent geo-targeting za usklađenost specifičnu za UK

FlexyConsent pruža namjenski geo-targeting za posjetitelje iz UK, osiguravajući usklađenost sa specifičnim regulatornim okvirom UK:

• PECR-usklađen banner: Posjetitelji iz UK vide banner za privolu koji ispunjava zahtjeve ICO-a, uključujući jednako istaknutu opciju odbijanja i granularne kontrole kategorija. Nijedan kolačić se ne postavlja prije afirmativne privole.
• Odvojeno od EU konfiguracije: Iako su zahtjevi slični, FlexyConsent omogućuje neovisno konfiguriranje iskustava privole za UK i EU. Time se vaša implementacija priprema za moguće regulatorno razilaženje između UK i EU.
• Dizajn usklađen s ICO-om: Zadani predlošci bannera FlexyConsent-a slijede smjernice ICO-a o izbjegavanju dark patterns. Opcije prihvaćanja i odbijanja vizualno su jednake, jezik je neutralan, a dizajn ne manipulira izborima korisnika.
• Consent Mode V2 integracija: Kao Google-certified CMP, FlexyConsent šalje ispravne signale privole Google servisima za posjetitelje iz UK. To osigurava da modeliranje konverzija i Smart Bidding nastave ispravno funkcionirati uz poštivanje zahtjeva UK o privoli.
• IAB TCF 2.3 podrška: Za izdavače koji koriste programatsko oglašavanje, FlexyConsent generira TCF stringove privole prilagođene UK, koje prepoznaju demand-side i supply-side platforme koje posluju na tržištu UK.

FlexyConsent je dostupan u paketima koji počinju od EUR 0 mjesečno, s izvornim integracijama za WordPress, Shopify i PrestaShop. Posebno za poduzeća sa sjedištem u UK, implementacija certificiranog CMP-a pokazuje proaktivan pristup usklađenosti prema ICO-u — čimbenik koji je regulator naznačio da uzima u obzir pri odlučivanju o provedbenim radnjama.

Ključna poruka: Okvir privatnosti u UK nakon Brexita vrlo blisko odražava onaj u EU, ali djeluje pod vlastitim regulatorom, vlastitim obrascima provedbe i potencijalno vlastitim budućim zakonodavnim smjerom. Tretiranje posjetitelja iz UK prema istim pravilima kao i posjetitelja iz EU trenutno je siguran pristup, ali održavanje mogućnosti konfiguriranja iskustava privole specifičnih za UK pozicionira vašu stranicu da se prilagodi ako se dva okvira počnu razilaziti. Geo-svjestan CMP najpraktičniji je način upravljanja ovom složenošću.