Persónuverndarlandslag Bretlands eftir Brexit

Þegar Bretland yfirgaf Evrópusambandið yfirgaf það ekki persónuverndarlöggjöfina. Bretland innleiddi ESB GDPR í landsrétt sem UK GDPR, sem starfar samhliða Data Protection Act 2018. Fyrir vafrakökur sérstaklega gilda áfram Privacy and Electronic Communications Regulations (PECR) — breska innleiðing ePrivacy-tilskipunarinnar. Niðurstaðan er persónuverndarrammi sem líkist mjög þeim evrópska en er framfylgt sjálfstætt af Information Commissioner's Office (ICO) í Bretlandi.

Fyrir rekstraraðila vefsvæða þýðir þetta að þjónusta við breska gesti krefst athygli á sérstökum reglum, leiðbeiningum og mynstrum í framkvæmd. Þótt efnisatriðin séu svipuð og í EU GDPR skipta blæbrigðin máli.

UK GDPR vs EU GDPR: Helstu mismunir

UK GDPR er að meginstefnu til eins og EU GDPR í kjarna sínum og kröfum. Hins vegar hafa nokkur atriði breyst frá Brexit:

• Eftirlitsaðili: ICO er eini eftirlitsaðilinn fyrir UK GDPR og kemur í stað hlutverks evrópskra persónuverndarstofnana. Þú getur ekki fengið sekt bæði frá ICO og ESB DPA fyrir sömu vinnslu persónuupplýsinga sem eingöngu snertir íbúa í Bretlandi.
• Fullnægjandi vernd: ESB veitti Bretlandi ákvörðun um fullnægjandi vernd í júní 2021, sem gerir kleift að flytja persónuupplýsingar frjálst frá ESB til Bretlands. Sú ákvörðun er endurskoðuð reglulega. Bretland hefur á móti viðurkennt EES sem fullnægjandi.
• Alþjóðleg flutningakerfi: Bretland hefur sitt eigið kerfi fyrir alþjóðlega flutninga persónuupplýsinga, þar sem utanríkisráðherra (í stað framkvæmdastjórnar ESB) tekur ákvarðanir um fullnægjandi vernd. Bretland hefur gefið til kynna sveigjanlegri nálgun við alþjóðlega flutninga, þó að kjarnöryggisráðstafanir haldist.
• Framkvæmdarnálgun: ICO hefur sögulega lagt meiri áherslu á samráð og leiðbeiningar en íþyngjandi sektir. Hámarkssektir samkvæmt UK GDPR eru þær sömu og í ESB: allt að 17,5 milljónir GBP eða 4 prósent af heildarársveltu á heimsvísu, hvort sem er hærra.
• Möguleg frávik: Breska ríkisstjórnin hefur íhugað umbætur með Data Protection and Digital Information Bill, sem gæti fært breytingar á mati á lögmætum hagsmunum, undanþágum fyrir rannsóknir og hlutverki persónuverndarfulltrúa. Rekstraraðilar vefsvæða ættu að fylgjast með þessari löggjöf vegna mögulegra breytinga í framtíðinni.

PECR: Bresku reglurnar um vafrakökur

Þó UK GDPR setji almennan ramma um vinnslu persónuupplýsinga, gilda PECR sérstaklega um vafrakökur og sambærilega tækni. PECR eru eldri en GDPR og innleiða ePrivacy-tilskipun ESB í breskan rétt. Helstu kröfur PECR um vafrakökur eru:

• Samþykki er nauðsynlegt áður en nokkrar vafrakökur sem ekki eru nauðsynlegar eru settar á tæki notanda. Þetta nær til greiningarkökna, auglýsingakökna og samfélagsmiðlakökna.
• Veita þarf upplýsingar um hvaða vafrakökur eru settar og í hvaða tilgangi, á skýru og einföldu máli.
• Samþykki verður að vera veitt af frjálsum vilja, vera sértækt og upplýst. Fyrirfram hakaðir reitir teljast ekki gilt samþykki.
• Stranglega nauðsynlegar vafrakökur eru undanþegnar. Vafrakökur sem eru nauðsynlegar fyrir þjónustu sem notandi hefur sérstaklega óskað eftir (svo sem setukökur fyrir innskráða virkni eða vafrakökur fyrir innkaupakörfu) krefjast ekki samþykkis.

Samþykkisviðmið PECR samræmast skilgreiningu GDPR á samþykki, sem þýðir að í framkvæmd eru kröfurnar mjög svipaðar og samkvæmt ePrivacy-tilskipun ESB. Vafrakökutilkynning sem er í samræmi við reglur ESB er almennt í samræmi við PECR.

Leiðbeiningar ICO um vafrakökutilkynningar

ICO hefur birt ítarlegar leiðbeiningar um vafrakökusamræmi sem ganga lengra en texti PECR sjálfra. Helstu atriði í leiðbeiningum ICO eru:

Samþykki verður að vera jákvætt

Að halda einfaldlega áfram að vafra um vefsvæði telst ekki samþykki. ICO segir skýrt að óbeint samþykki sé ekki gilt. Notendur verða að taka skýra, jákvæða aðgerð (svo sem að smella á „Samþykkja“) áður en vafrakökur sem ekki eru nauðsynlegar mega vera settar.

Höfnun verður að vera jafn auðveld

ICO hefur í auknum mæli gagnrýnt myrkar hönnunaraðferðir (dark patterns) í vafrakökutilkynningum. Sérstaklega:

• „Hafna öllu“ eða sambærilegur valkostur verður að vera í boði á sama stigi og „Samþykkja allt“. Það er ekki ásættanlegt að fela höfnunarvalkostinn á bak við „Stjórna stillingum“ skjá.
• Myndræn hönnun má ekki nota lit, stærð eða staðsetningu til að hafa áhrif á notendur til að samþykkja.
• Orðalag verður að vera hlutlægt og ekki hannað til að vekja sektarkennd eða þrýsta á notendur til að veita samþykki.

Stýring eftir flokkum

Notendur ættu að geta veitt samþykki fyrir tilteknum flokkum vafrakökna (greiningar, markaðssetning, virkni) í stað þess að þurfa að velja allt eða ekkert. Þó ICO setji ekki skyldu um ákveðinn fjölda flokka, sýnir slík sundurliðun góða framkvæmd og getur verið nauðsynleg samkvæmt tilgangstakmörkunarreglu GDPR.

Vafrakökumúrar eru vandasamir

ICO lítur á vafrakökumúra — þar sem aðgangi að vefsvæði er hafnað nema notandi samþykki allar vafrakökur — sem ólíklega til að uppfylla skilyrði um gilt samþykki, þar sem samþykki væri þá ekki veitt af frjálsum vilja. Undantekningar geta átt við um greitt efni þar sem raunverulegur vafrakökulaus valkostur er í boði.

Nýlegar aðgerðir ICO í framkvæmd

ICO hefur jafnt og þétt aukið áherslu á vafrakökusamræmi á undanförnum árum. Dæmi um aðgerðir eru:

• Úttektir á heilu atvinnugreinum: ICO hefur framkvæmt úttektir á 100 stærstu vefsvæðum í Bretlandi þvert á margar atvinnugreinar og birt niðurstöður sem sýndu útbreitt ósamræmi. Algeng vandamál voru vafrakökur sem voru settar áður en samþykki lá fyrir, skortur á höfnunarvalkosti og ófullnægjandi upplýsingar um tilgang vafrakökna.
• Aðvörunarbréf: Í kjölfar úttektanna sendi ICO aðvörunarbréf til stofnana þar sem vafrakökuframkvæmd var ábótavant. Flestar stofnanir færðu framkvæmd sína í samræmi eftir að hafa fengið þessi bréf.
• Rannsóknir á adtech: ICO hefur staðið fyrir áframhaldandi rannsóknum á rauntíma-uppboðsumhverfinu (real-time bidding) og lýst áhyggjum af því magni persónuupplýsinga sem deilt er með forrituðum auglýsingavafrakökum án fullnægjandi samþykkis.
• Framkvæmd í hinu opinbera: ICO hefur ekki undanskilið opinber vefsvæði og hefur gefið út leiðbeiningar og aðvaranir til opinberra stofnana um vafrakökuframkvæmd þeirra.

Þótt ICO hafi enn ekki lagt á verulegar fjársektir sérstaklega vegna brota á reglum um vafrakökur, bendir þróunin skýrt til strangari framkvæmdar. Eftirlitsaðilinn hefur lýst því yfir að hann búist við að stofnanir séu þegar í samræmi og að aðgerðir muni fylgja gagnvart þeim sem bæta sig ekki.

Alþjóðlegir gagnaflutningar: Frá Bretlandi til ESB og víðar

Samþykki fyrir vafrakökum tengist alþjóðlegum gagnaflutningum á mikilvægan hátt. Þegar greiningar- eða auglýsingavafrakökur senda gögn til netþjóna utan Bretlands — eins og þegar Google Analytics sendir gögn til netþjóna Google og Facebook Pixel sendir gögn til netþjóna Meta — telst það alþjóðlegur gagnaflutningur samkvæmt UK GDPR.

Núverandi fyrirkomulag:

• Bretland til EES: Gögn flæða frjálst á grundvelli þess að Bretland viðurkennir fullnægjandi vernd í EES.
• Bretland til Bandaríkjanna: UK Extension við EU-US Data Privacy Framework veitir úrræði fyrir flutninga til bandarískra aðila sem hafa vottun. Google og Meta eru með vottun samkvæmt þessu fyrirkomulagi.
• Bretland til annarra landa: Viðeigandi öryggisráðstafanir, svo sem staðlaðar samningsákvæði (bresk útgáfa) eða bindandi fyrirtækjareglur, eru nauðsynlegar.

Í framkvæmd, ef þú notar Google Analytics, Google Ads eða önnur helstu auglýsingakerfi, eru fyrirkomulag um alþjóðlega flutninga þegar til staðar. Þú ættir þó að skjalfesta þessa flutninga í persónuverndarstefnu þinni og tryggja að vafrakökutilkynningin nefni að gögn geti verið flutt til annarra landa.

FlexyConsent landfræðileg miðun fyrir breskt samræmi

FlexyConsent býður upp á sértæka landfræðilega miðun fyrir gesti frá Bretlandi og tryggir samræmi við sértækt regluverk Bretlands:

• PECR-samræmd tilkynning: Gestir frá Bretlandi sjá samþykkisglugga sem uppfyllir kröfur ICO, þar á meðal jafnsýnilegan höfnunarvalkost og stýringar eftir flokkum. Engar vafrakökur eru settar fyrr en jákvætt samþykki liggur fyrir.
• Aðskilin frá ESB-stillingum: Þótt kröfurnar séu svipaðar heldur FlexyConsent möguleikanum opnum að stilla samþykkisupplifun fyrir Bretland og ESB sjálfstætt. Þetta gerir innleiðinguna framtíðarþolna gagnvart mögulegum frávikum milli bresks og evrópsks regluverks.
• Hönnun í takt við ICO: Sjálfgefnar sniðmátstilkynningar FlexyConsent fylgja leiðbeiningum ICO um að forðast myrkar hönnunaraðferðir. Samþykkis- og höfnunarvalkostir eru sjónrænt jafnir, orðalag er hlutlægt og hönnunin leitast ekki við að hafa áhrif á val notenda.
• Consent Mode V2 samþætting: Sem Google-certified CMP sendir FlexyConsent réttar samþykkismerki til þjónusta Google fyrir gesti frá Bretlandi. Þetta tryggir að líkangerð umbreytinga og Smart Bidding haldi áfram að virka rétt á sama tíma og virtar eru kröfur Bretlands um samþykki.
• IAB TCF 2.3 stuðningur: Fyrir útgefendur sem nota forritaðar auglýsingar býr FlexyConsent til TCF-samþykkisstrengi sem henta Bretlandi og eru viðurkenndir af kauphliðar- og söluhliðarvettvöngum sem starfa á breskum markaði.

FlexyConsent er í boði með áskriftarleiðum frá EUR 0 á mánuði, með innbyggðum tengingum fyrir WordPress, Shopify og PrestaShop. Fyrir fyrirtæki með starfsemi í Bretlandi sérstaklega sýnir innleiðing vottaðs CMP að þú sért virkur í að uppfylla kröfur ICO — þáttur sem eftirlitsaðilinn hefur gefið til kynna að hann taki tillit til við ákvörðun um aðgerðir.

Aðalatriði: Persónuverndarrammi Bretlands eftir Brexit líkist mjög þeim evrópska en starfar undir eigin eftirlitsaðila, eigin framkvæmdarmynstri og mögulega eigin lagalegri þróun í framtíðinni. Að meðhöndla gesti frá Bretlandi samkvæmt sömu reglum og gesti frá ESB er örugg nálgun eins og staðan er nú, en að viðhalda möguleikanum á að stilla sértæka samþykkisupplifun fyrir Bretland setur vefsvæðið þitt í betri stöðu til að aðlagast ef rammanirnir tvær fara að víkja hvor frá annarri. Landfræðilega meðvitað CMP er raunhæfasta leiðin til að stjórna þessari flækju.