Lanskap Privasi Inggris Pasca-Brexit

Ketika Inggris keluar dari Uni Eropa, negara ini tidak meninggalkan perlindungan data. Inggris mengadopsi EU GDPR ke dalam hukum domestik sebagai UK GDPR, yang berdampingan dengan Data Protection Act 2018. Untuk cookie secara khusus, Privacy and Electronic Communications Regulations (PECR) — implementasi ePrivacy Directive di Inggris — tetap berlaku. Hasilnya adalah kerangka privasi yang sangat mirip dengan milik Uni Eropa tetapi ditegakkan secara independen oleh Information Commissioner's Office (ICO) Inggris.

Bagi pengelola situs web, ini berarti bahwa melayani pengunjung dari Inggris memerlukan perhatian pada seperangkat aturan, panduan, dan pola penegakan yang berbeda. Meskipun substansinya mirip dengan EU GDPR, nuansanya penting.

UK GDPR vs EU GDPR: Perbedaan Utama

UK GDPR pada dasarnya identik dengan EU GDPR dalam prinsip dan persyaratan intinya. Namun, beberapa perbedaan muncul sejak Brexit:

• Otoritas pengawas: ICO adalah satu-satunya otoritas pengawas untuk UK GDPR, menggantikan peran otoritas perlindungan data Uni Eropa. Anda tidak dapat didenda sekaligus oleh ICO dan DPA Uni Eropa untuk aktivitas pemrosesan data yang sama yang hanya memengaruhi penduduk Inggris.
• Kecukupan data: Uni Eropa memberikan keputusan kecukupan kepada Inggris pada Juni 2021, yang memungkinkan data pribadi mengalir bebas dari Uni Eropa ke Inggris. Keputusan ini tunduk pada peninjauan berkala. Inggris secara timbal balik mengakui EEA sebagai memadai.
• Transfer internasional: Inggris memiliki kerangka tersendiri untuk transfer data internasional, dengan Secretary of State (bukan European Commission) yang membuat keputusan kecukupan. Inggris memberi sinyal pendekatan yang lebih fleksibel terhadap transfer internasional, meskipun perlindungan intinya tetap ada.
• Pendekatan penegakan: Secara historis ICO lebih mengutamakan keterlibatan dan panduan dibandingkan pengenaan denda agresif. Denda maksimum di bawah UK GDPR mencerminkan Uni Eropa: hingga GBP 17,5 juta atau 4 persen dari omset tahunan global, mana yang lebih tinggi.
• Potensi perbedaan ke depan: Pemerintah Inggris mempertimbangkan reformasi melalui Data Protection and Digital Information Bill, yang dapat memperkenalkan perubahan pada penilaian legitimate interest, pengecualian untuk riset, dan peran Data Protection Officer. Pengelola situs web harus memantau legislasi ini untuk perubahan di masa depan.

PECR: Hukum Cookie di Inggris

Sementara UK GDPR menyediakan kerangka umum untuk pemrosesan data pribadi, PECR secara khusus mengatur cookie dan teknologi serupa. PECR lebih tua dari GDPR dan mengimplementasikan ePrivacy Directive Uni Eropa ke dalam hukum Inggris. Persyaratan utamanya untuk cookie adalah:

• Persetujuan diperlukan sebelum menyimpan cookie non-esensial apa pun di perangkat pengguna. Ini mencakup cookie analitik, cookie iklan, dan cookie media sosial.
• Informasi harus diberikan tentang cookie apa yang digunakan dan untuk tujuan apa, dengan bahasa yang jelas dan sederhana.
• Persetujuan harus diberikan secara bebas, spesifik, dan berdasarkan informasi. Kotak centang yang sudah tercentang sebelumnya tidak merupakan persetujuan yang sah.
• Cookie yang sangat diperlukan dikecualikan. Cookie yang esensial untuk layanan yang secara eksplisit diminta oleh pengguna (seperti cookie sesi untuk fungsi login atau cookie keranjang belanja) tidak memerlukan persetujuan.

Standar persetujuan PECR selaras dengan definisi persetujuan dalam GDPR, yang berarti bahwa dalam praktiknya, persyaratannya sangat mirip dengan yang ada di bawah EU ePrivacy Directive. Banner cookie yang patuh terhadap aturan Uni Eropa umumnya akan patuh terhadap PECR.

Panduan ICO tentang Banner Cookie

ICO telah menerbitkan panduan terperinci tentang kepatuhan cookie yang melampaui teks PECR itu sendiri. Poin-poin utama dari panduan ICO meliputi:

Persetujuan Harus Bersifat Afirmatif

Sekadar melanjutkan menjelajah situs web tidak merupakan persetujuan. ICO secara eksplisit menyatakan bahwa persetujuan tersirat tidak sah. Pengguna harus melakukan tindakan positif yang jelas (seperti mengklik tombol "Terima") sebelum cookie non-esensial dapat digunakan.

Penolakan Harus Sama Mudahnya

ICO semakin vokal mengenai dark patterns dalam banner cookie. Secara khusus:

• Opsi "Tolak Semua" atau yang setara harus tersedia pada tingkat yang sama dengan "Terima Semua". Menyembunyikan opsi penolakan di balik layar "Kelola Preferensi" tidak dapat diterima.
• Desain visual tidak boleh menggunakan warna, ukuran, atau posisi untuk memanipulasi pengguna agar menyetujui.
• Bahasa harus netral dan tidak dirancang untuk membuat pengguna merasa bersalah atau tertekan untuk memberikan persetujuan.

Kontrol Kategori yang Granular

Pengguna sebaiknya dapat memberikan persetujuan untuk kategori cookie tertentu (analitik, pemasaran, fungsional) alih-alih dipaksa memilih semua atau tidak sama sekali. Meskipun ICO tidak mewajibkan jumlah kategori tertentu, menyediakan kontrol yang granular menunjukkan praktik yang baik dan mungkin diperlukan di bawah prinsip pembatasan tujuan dalam GDPR.

Cookie Wall Bermasalah

ICO memandang cookie wall — ketika akses ke situs web ditolak kecuali pengguna menerima semua cookie — sebagai sesuatu yang kecil kemungkinannya memenuhi kriteria persetujuan yang sah karena persetujuan tidak diberikan secara bebas. Pengecualian mungkin ada untuk konten berbayar di mana tersedia alternatif tanpa cookie yang benar-benar setara.

Tindakan Penegakan ICO Terbaru

ICO secara bertahap meningkatkan fokusnya pada kepatuhan cookie dalam beberapa tahun terakhir. Tindakan penting meliputi:

• Audit lintas sektor: ICO melakukan audit terhadap 100 situs web teratas di Inggris di berbagai sektor, dan menerbitkan temuan yang menyoroti ketidakpatuhan yang meluas. Masalah umum termasuk cookie yang diaktifkan sebelum persetujuan, tidak adanya opsi penolakan, dan informasi yang tidak memadai tentang tujuan cookie.
• Surat peringatan: Setelah audit, ICO mengirimkan surat peringatan kepada organisasi yang praktik cookienya tidak memenuhi standar. Sebagian besar organisasi kemudian menyesuaikan praktik mereka agar patuh setelah menerima surat ini.
• Investigasi adtech: ICO melakukan investigasi berkelanjutan terhadap ekosistem real-time bidding, dengan mengangkat kekhawatiran tentang volume data pribadi yang dibagikan melalui cookie periklanan programatik tanpa persetujuan yang memadai.
• Penegakan di sektor publik: ICO tidak mengecualikan situs web pemerintah, dan mengeluarkan panduan serta peringatan kepada organisasi sektor publik mengenai praktik cookie mereka.

Meskipun ICO belum menjatuhkan denda finansial besar yang secara spesifik terkait pelanggaran cookie, tren jelas mengarah pada penegakan yang lebih ketat. Regulator menyatakan bahwa mereka mengharapkan organisasi sudah patuh sekarang dan tindakan penegakan akan menyusul bagi mereka yang tidak melakukan perbaikan.

Transfer Data Internasional: Dari Inggris ke Uni Eropa dan Seterusnya

Persetujuan cookie beririsan dengan transfer data internasional dengan cara yang penting. Ketika cookie analitik atau periklanan mengirim data ke server di luar Inggris — seperti Google Analytics yang mengirim data ke server milik Google, dan Facebook Pixel yang mengirim data ke server milik Meta — hal ini merupakan transfer data internasional di bawah UK GDPR.

Pengaturan saat ini:

• Inggris ke EEA: Data mengalir bebas berdasarkan pengakuan kecukupan EEA oleh Inggris.
• Inggris ke AS: UK Extension to the EU-US Data Privacy Framework menyediakan mekanisme untuk transfer ke organisasi AS yang tersertifikasi. Google dan Meta tersertifikasi di bawah kerangka ini.
• Inggris ke negara lain: Perlindungan yang sesuai seperti Standard Contractual Clauses (versi Inggris) atau binding corporate rules diperlukan.

Secara praktis, jika Anda menggunakan Google Analytics, Google Ads, atau platform periklanan besar lainnya, mekanisme transfer internasional sudah tersedia. Namun, Anda harus mendokumentasikan transfer ini dalam kebijakan privasi dan memastikan banner cookie Anda menyebutkan bahwa data dapat ditransfer secara internasional.

Geo-Targeting FlexyConsent untuk Kepatuhan Khusus Inggris

FlexyConsent menyediakan geo-targeting khusus untuk pengunjung dari Inggris, memastikan kepatuhan terhadap kerangka regulasi spesifik Inggris:

• Banner yang patuh PECR: Pengunjung dari Inggris melihat banner persetujuan yang memenuhi persyaratan ICO, termasuk opsi penolakan yang sama menonjol dan kontrol kategori yang granular. Tidak ada cookie yang diaktifkan sebelum persetujuan afirmatif diterima.
• Terpisah dari konfigurasi Uni Eropa: Meskipun persyaratannya serupa, FlexyConsent mempertahankan kemampuan untuk mengonfigurasi pengalaman persetujuan Inggris dan Uni Eropa secara independen. Ini mempersiapkan implementasi Anda terhadap potensi perbedaan regulasi Inggris-Uni Eropa di masa depan.
• Desain selaras dengan ICO: Template banner bawaan FlexyConsent mengikuti panduan ICO untuk menghindari dark patterns. Opsi terima dan tolak ditampilkan secara visual setara, bahasanya netral, dan desain tidak memanipulasi pilihan pengguna.
• Integrasi Consent Mode V2: Sebagai Google-certified CMP, FlexyConsent mengirim sinyal persetujuan yang tepat ke layanan Google untuk pengunjung dari Inggris. Ini memastikan pemodelan konversi dan Smart Bidding tetap berfungsi dengan baik sambil menghormati persyaratan persetujuan di Inggris.
• Dukungan IAB TCF 2.3: Untuk penerbit yang menggunakan periklanan programatik, FlexyConsent menghasilkan string persetujuan TCF yang sesuai untuk Inggris dan dikenali oleh demand-side platform dan supply-side platform yang beroperasi di pasar Inggris.

FlexyConsent tersedia dengan paket mulai dari EUR 0 per bulan, dengan integrasi native untuk WordPress, Shopify, dan PrestaShop. Khusus bagi bisnis yang berbasis di Inggris, menerapkan CMP tersertifikasi menunjukkan kepatuhan proaktif kepada ICO — faktor yang disebutkan regulator sebagai salah satu pertimbangan ketika memutuskan tindakan penegakan.

Inti penting: Kerangka privasi Inggris pasca-Brexit sangat mirip dengan milik Uni Eropa tetapi beroperasi di bawah regulator sendiri, pola penegakan sendiri, dan berpotensi arah legislasi masa depan yang berbeda. Memperlakukan pengunjung dari Inggris seolah-olah tunduk pada aturan yang sama dengan pengunjung Uni Eropa masih aman untuk saat ini, tetapi mempertahankan kemampuan untuk mengonfigurasi pengalaman persetujuan khusus Inggris memposisikan situs Anda agar dapat beradaptasi jika kedua kerangka tersebut nantinya berbeda. CMP yang sadar lokasi (geo-aware) adalah cara paling praktis untuk mengelola kompleksitas ini.