A brit adatvédelem a Brexit után

Amikor az Egyesült Királyság kilépett az Európai Unióból, nem hagyta maga mögött az adatvédelmet. Az Egyesült Királyság az uniós GDPR-t beemelte a hazai jogba UK GDPR néven, amely a Data Protection Act 2018 mellett áll. A sütikre vonatkozóan különösen a Privacy and Electronic Communications Regulations (PECR) – az ePrivacy-irányelv brit implementációja – maradt hatályban. Az eredmény egy olyan adatvédelmi keretrendszer, amely szorosan tükrözi az uniós szabályozást, de amelyet önállóan a brit Information Commissioner's Office (ICO) érvényesít.

A webhelyüzemeltetők számára ez azt jelenti, hogy a brit látogatók kiszolgálása egy önálló szabály-, iránymutatás- és végrehajtási mintázat figyelembevételét igényli. Bár a lényeg hasonló az EU GDPR-hoz, a finom részletek számítanak.

UK GDPR vs EU GDPR: a fő különbségek

Az UK GDPR alapelveiben és követelményeiben nagyrészt megegyezik az EU GDPR-ral. A Brexit óta azonban több különbség is megjelent:

• Felügyeleti hatóság: Az ICO az UK GDPR egyetlen felügyeleti hatósága, amely az uniós adatvédelmi hatóságok szerepét váltja fel. Ugyanazon adatkezelési tevékenység miatt, amely kizárólag brit érintetteket érint, nem szabhat ki bírságot egyszerre az ICO és egy uniós DPA.
• Adatmegfelelőség (adequacy): Az EU 2021 júniusában megfelelőségi határozatot adott az Egyesült Királyság számára, amely lehetővé teszi a személyes adatok szabad áramlását az EU-ból az Egyesült Királyságba. Ezt a döntést időszakosan felülvizsgálják. Az Egyesült Királyság viszonossági alapon megfelelőnek ismerte el az EGT-t.
• Nemzetközi adattovábbítások: Az Egyesült Királyságnak saját keretrendszere van a nemzetközi adattovábbításokra, ahol az adequacy-döntéseket az államtitkár (Secretary of State), nem pedig az Európai Bizottság hozza meg. Az Egyesült Királyság rugalmasabb megközelítést jelzett az adattovábbítások terén, bár az alapvető garanciák változatlanok.
• Végrehajtási megközelítés: Az ICO hagyományosan inkább az együttműködést és az iránymutatást részesítette előnyben az agresszív bírságolással szemben. Az UK GDPR szerinti maximális bírságok tükrözik az uniós szintet: legfeljebb 17,5 millió GBP vagy a globális éves árbevétel 4 százaléka, attól függően, melyik a magasabb.
• Lehetséges eltérések: A brit kormány a Data Protection and Digital Information Bill révén fontolgat reformokat, amelyek módosíthatják a jogos érdek vizsgálatát, a kutatási kivételeket és az adatvédelmi tisztviselők szerepét. A webhelyüzemeltetőknek érdemes figyelemmel kísérniük ezt a jogalkotást a jövőbeli változások miatt.

PECR: a brit süti­szabályozás

Míg az UK GDPR adja a személyes adatok kezelésének általános keretét, a PECR kifejezetten a sütiket és hasonló technológiákat szabályozza. A PECR megelőzi a GDPR-t, és az ePrivacy-irányelvet ülteti át a brit jogba. A sütikre vonatkozó fő követelményei:

• Hozzájárulás szükséges bármely nem alapvető (nem feltétlenül szükséges) süti elhelyezése előtt a felhasználó eszközén. Ez magában foglalja az analitikai, hirdetési és közösségi média sütiket.
• Tájékoztatást kell adni arról, hogy milyen sütiket helyeznek el és mire használják azokat, világos és közérthető nyelven.
• A hozzájárulásnak önkéntesnek, konkrétnak és tájékozottnak kell lennie. Előre bejelölt jelölőnégyzetek nem minősülnek érvényes hozzájárulásnak.
• A szigorúan szükséges sütik mentesülnek. Azok a sütik, amelyek elengedhetetlenek a felhasználó által kifejezetten kért szolgáltatás nyújtásához (például bejelentkezett munkamenet-sütik vagy kosár-sütik), nem igényelnek hozzájárulást.

A PECR hozzájárulási szintje igazodik a GDPR hozzájárulás-fogalmához, ami a gyakorlatban azt jelenti, hogy a követelmények nagyon hasonlóak az uniós ePrivacy-irányelv szerinti elvárásokhoz. Egy olyan süti­banner, amely megfelel az uniós szabályoknak, általában megfelel a PECR-nek is.

ICO iránymutatás a süti­bannerekről

Az ICO részletes útmutatást adott ki a süti­megfelelésről, amely túlmutat a PECR szövegén. Az ICO iránymutatásának fő pontjai:

A hozzájárulásnak egyértelműnek kell lennie

Önmagában az, hogy a felhasználó tovább böngészi a webhelyet, nem minősül hozzájárulásnak. Az ICO kifejezetten kimondja, hogy az vélelmezett (implied) hozzájárulás nem érvényes. A felhasználónak egyértelmű, pozitív cselekvést kell tennie (például az „Elfogadom” gombra kattintani), mielőtt nem alapvető sütik elhelyezhetők.

Az elutasításnak ugyanolyan egyszerűnek kell lennie

Az ICO egyre hangosabban bírálja a süti­bannerekben alkalmazott dark patternöket. Konkrétan:

• A „Mindent elutasítok” vagy azzal egyenértékű opciót ugyanazon a szinten kell megjeleníteni, mint a „Mindent elfogadok” gombot. Nem elfogadható, ha az elutasítási lehetőséget elrejtik egy „Beállítások kezelése” képernyő mögé.
• A vizuális kialakítás nem használhatja a színt, a méretet vagy az elhelyezést a felhasználók elfogadás felé terelésére.
• A megfogalmazásnak semlegesnek kell lennie, és nem kelthet bűntudatot, illetve nem gyakorolhat nyomást a felhasználóra a hozzájárulás érdekében.

Részletes kategória-választás

A felhasználóknak lehetőséget kell adni arra, hogy egyes süti­kategóriákhoz (analitika, marketing, funkcionális) külön-külön adjanak hozzájárulást, ahelyett, hogy csak mindent vagy semmit választhatnának. Bár az ICO nem ír elő konkrét kategóriaszámot, a részletes kontroll jó gyakorlatnak minősül, és a GDPR célhoz kötöttség elve alapján akár elvárható is lehet.

A „cookie wallok” problémásak

Az ICO úgy tekinti a cookie wallokat – amikor a webhelyhez való hozzáférést megtagadják, hacsak a felhasználó nem fogad el minden sütit –, hogy azok nagy valószínűséggel nem eredményeznek érvényes hozzájárulást, mert a hozzájárulás nem lenne önkéntes. Kivétel lehet a fizetős tartalom, ha valódi, süti­mentes alternatívát is kínálnak.

Friss ICO-végrehajtási lépések

Az ICO az elmúlt években fokozatosan növelte a süti­megfelelésre irányuló fókuszát. Néhány jelentősebb lépés:

• Szektor­szintű auditok: Az ICO auditálta a 100 legnagyobb brit webhelyet több szektorban, és olyan megállapításokat tett közzé, amelyek széles körű nem megfelelést mutattak. Gyakori problémák voltak a hozzájárulás előtti süti­elhelyezés, az elutasítási lehetőség hiánya és az elégtelen tájékoztatás a sütik céljairól.
• Figyelmeztető levelek: Az auditokat követően az ICO figyelmeztető leveleket küldött azoknak a szervezeteknek, amelyek süti­gyakorlata elmaradt az elvárttól. A legtöbb szervezet a levelek kézhezvételét követően megfelelésre hozta gyakorlatait.
• Adtech-vizsgálatok: Az ICO folyamatos vizsgálatokat folytat a real-time bidding ökoszisztémában, aggodalmát fejezve ki amiatt, hogy a programmatic hirdetési sütik révén milyen mennyiségű személyes adatot osztanak meg megfelelő hozzájárulás nélkül.
• Közszféra-érvényesítés: Az ICO a kormányzati webhelyeket sem mentesítette, és útmutatást, illetve figyelmeztetéseket adott ki a közszféra szervezeteinek süti­gyakorlataival kapcsolatban.

Bár az ICO eddig még nem szabott ki jelentős pénzbírságokat kifejezetten süti­jogsértések miatt, a trend egyértelműen a szigorúbb érvényesítés irányába mutat. A hatóság jelezte, hogy elvárja a szervezetektől a jelenlegi megfelelést, és hogy a jövőben szankciókra számíthatnak azok, akik nem javítanak gyakorlatukon.

Nemzetközi adattovábbítások: Egyesült Királyság – EU és azon túl

A süti­hozzájárulás fontos módon kapcsolódik a nemzetközi adattovábbításokhoz. Amikor az analitikai vagy hirdetési sütik az Egyesült Királyságon kívüli szerverekre küldenek adatokat – ahogyan a Google Analytics a Google szervereire, a Facebook Pixel pedig a Meta szervereire továbbít adatokat –, ezek az UK GDPR szerinti nemzetközi adattovábbításnak minősülnek.

Jelenlegi helyzet:

• Egyesült Királyság – EGT: Az adatok szabadon áramlanak az Egyesült Királyság EGT-megfelelőségi elismerése alapján.
• Egyesült Királyság – USA: Az EU–US Data Privacy Framework brit kiterjesztése mechanizmust biztosít a tanúsított amerikai szervezetek felé irányuló adattovábbításokra. A Google és a Meta tanúsítottak e keret alatt.
• Egyesült Királyság – egyéb országok: Megfelelő garanciák – például Standard Contractual Clauses (brit változat) vagy kötelező erejű vállalati szabályok – szükségesek.

Gyakorlati szempontból, ha Google Analyticset, Google Adsot vagy más nagy hirdetési platformot használ, a nemzetközi adattovábbítási mechanizmusok rendelkezésre állnak. Ugyanakkor ezeket az adattovábbításokat dokumentálnia kell az adatkezelési tájékoztatójában, és a süti­bannerben is jeleznie kell, hogy az adatok nemzetközi továbbításra kerülhetnek.

FlexyConsent geo-targeting a brit-specifikus megfeleléshez

A FlexyConsent dedikált geo-targetinget biztosít a brit látogatók számára, így igazodva az Egyesült Királyság sajátos szabályozási keretéhez:

• PECR-kompatibilis banner: A brit látogatók olyan hozzájárulási bannert látnak, amely megfelel az ICO követelményeinek, beleértve az egyformán hangsúlyos elutasítási opciót és a részletes kategória-beállításokat. Nem kerül sor sütik elhelyezésére, amíg nem érkezik egyértelmű hozzájárulás.
• Elkülönítve az uniós konfigurációtól: Bár a követelmények hasonlóak, a FlexyConsent lehetővé teszi a brit és az uniós hozzájárulási élmény független konfigurálását. Ez jövőbiztossá teszi a megvalósítást az esetleges brit–uniós szabályozási szétválás esetére.
• ICO-val összehangolt dizájn: A FlexyConsent alapértelmezett banner-sablonjai követik az ICO dark patternöket elkerülő iránymutatásait. Az elfogadás és elutasítás vizuálisan egyenrangú, a nyelvezet semleges, a dizájn nem manipulálja a felhasználói döntéseket.
• Consent Mode V2 integráció: Google-certified CMP-ként a FlexyConsent megfelelő hozzájárulási jeleket küld a Google szolgáltatásai felé a brit látogatók esetében. Ez biztosítja, hogy a konverziómodellezés és a Smart Bidding továbbra is megfelelően működjön, miközben tiszteletben tartja a brit hozzájárulási követelményeket.
• IAB TCF 2.3 támogatás: A programmatic hirdetést használó kiadók számára a FlexyConsent olyan, az Egyesült Királysághoz igazított TCF-hozzájárulási stringeket generál, amelyeket a brit piacon működő demand-side és supply-side platformok elismernek.

A FlexyConsent EUR 0 per month induló díjú csomagokkal érhető el, natív integrációkkal a WordPress, a Shopify és a PrestaShop számára. Különösen a brit székhelyű vállalkozások esetében egy tanúsított CMP bevezetése proaktív megfelelési magatartást jelez az ICO felé – ez olyan szempont, amelyet a hatóság saját nyilatkozatai szerint figyelembe vesz a végrehajtási döntések során.

Lényegi üzenet: Az Egyesült Királyság Brexit utáni adatvédelmi keretrendszere szorosan tükrözi az uniós szabályozást, de saját hatósága, saját végrehajtási mintázatai és potenciálisan saját jövőbeli jogalkotási iránya van. Jelenleg biztonságos megoldás a brit látogatókat az uniós látogatókkal azonos szabályok alá sorolni, de az, hogy képes külön brit-specifikus hozzájárulási élményt kialakítani, felkészíti webhelyét arra, hogy alkalmazkodjon, ha a két keretrendszer a jövőben eltér egymástól. Egy geo-aware CMP a leggyakorlatiasabb módja ennek a komplexitásnak a kezelésére.