Ұлыбританияның Brexit-тен кейінгі құпиялылық ландшафты

Ұлыбритания Еуропалық Одақтан шыққанда, деректерді қорғаудан бас тартқан жоқ. Ұлыбритания ЕО GDPR-ін ұлттық заңнамаға UK GDPR ретінде енгізді, ол Data Protection Act 2018 заңымен қатар қолданылады. Нақты cookie-лерге қатысты Privacy and Electronic Communications Regulations (PECR) — ePrivacy Directive-тің Ұлыбританиядағы іске асырылуы — әлі де қолданыста. Нәтижесінде ЕО-ның құпиялылық жүйесіне өте ұқсас, бірақ Ұлыбританияның Information Commissioner's Office (ICO) мекемесі тара��ынан дербес қадағаланатын құқықтық шеңбер қалыптасты.

Веб‑сайт иелері үшін бұл Ұлыбританиядан келетін келушілерге қызмет көрсету бөлек ережелер, нұсқаулықтар және құқық қолдану тәжірибесіне назар аударуды талап етеді дегенді білдіреді. Мазмұны ЕО GDPR-іне ұқсас болғанымен, ұсақ айырмашылықтар маңызды.

UK GDPR және EU GDPR: негізгі айырмашылықтар

UK GDPR өзінің негізгі қағидаттары мен талаптары бойынша EU GDPR-мен іс жүзінде бірдей. Дегенмен, Brexit-тен кейін бірнеше айырмашылықтар пайда болды:

• Қадағалаушы орган: ICO — UK GDPR бойынша жалғыз қадағалаушы орган, ол ЕО деректерді қорғау органдарының рөлін алмастырды. Тек Ұлыбритания тұрғындарына әсер ететін бір деректерді өңдеу әрекеті үшін сізге ICO да, ЕО-дағы DPA да бір мезгілде айыппұл сала алмайды.
• Деректердің жеткіліктілігі: ЕО 2021 жылғы маусымда Ұлыбританияға жеткіліктілік туралы шешім берді, бұл ЕО-дан Ұлыбританияға жеке деректердің еркін ағуына мүмкіндік береді. Бұл шешім мерзімді қайта қарауға жатады. Ұлыбритания өз кезегінде EEA аумағын жеткілікті деп таныды.
• Халықаралық берілімдер: Ұлыбританияда халықаралық деректер берілімдеріне арналған жеке жүйе бар, онда жеткіліктілік туралы шешімдерді Еуропалық комиссия емес, Мемлекеттік хатшы қабылдайды. Ұлыбритания халықаралық берілімдерге қатысты неғұрлым икемді тәсілді ұстанатынын білдірді, дегенмен негізгі кепілдіктер сақталады.
• Құқық қолдану тәсілі: ICO дәстүрлі түрде қатаң айыппұлдардан гөрі диалог пен нұсқаулық беруге басымдық беріп келді. UK GDPR бойынша ең жоғары айыппұлдар ЕО-дағыдай: жаһандық жылдық айналымның 4 пайызы немесе 17,5 миллион GBP, қайсысы жоғары болса, соған дейін.
• Ықтимал алшақтық: Ұлыбритания үкіметі Data Protection and Digital Information Bill арқылы реформаларды қарастыруда, ол заңды мүдделерді бағалау, зерттеу мақсатындағы ерекшеліктер және Data Protection Officers рөліне өзгерістер енгізуі мүмкін. Веб‑сайт иелері бұл заңнаманы болашақ өзгерістер үшін бақылап отыруы тиіс.

PECR: Ұлыбританияның cookie туралы заңы

UK GDPR жеке деректерді өңдеудің жалпы шеңберін белгілесе, PECR cookie және ұқсас технологияларды тікелей реттейді. PECR GDPR-ден бұрын қабылданған және ЕО-ның ePrivacy Directive құжатын Ұлыбритания заңнамасына енгізеді. Cookie-лерге қатысты оны�� негізгі талаптары мыналар:

• Келісім қажет, пайдаланушы құрылғысына кез келген маңызды емес cookie орнатпас бұрын. Бұған analytics cookie-лері, жарнамалық cookie-лер және әлеуметтік желі cookie-лері кіреді.
• Ақпарат берілуі тиіс, қандай cookie-лер орнатылатыны және олардың не үшін қолданылатыны туралы, түсінікті әрі қарапайым тілде.
• Келісім ерікті, нақты және хабардар болуы тиіс. Алдын ала белгіленген құсбелгілер жарамды келісім болып саналмайды.
• Қатаң түрде қажетті cookie-лер босатылады. Пайдаланушы айқын түрде сұраған қызмет үшін (мысалы, жүйеге кіру сессиясына арналған cookie-лер немесе себетке арналған cookie-лер) маңызды болып табылатын cookie-лер келісімді талап етпейді.

PECR-дегі келісім стандарты GDPR-д��гі келісім анықтамасына сәйкес келеді, сондықтан іс жүзінде талаптар ЕО-ның ePrivacy Directive құжаты бойынша талаптарға өте ұқсас. ЕО ережелеріне сәйкес келетін cookie баннері, әдетте, PECR талаптарына да сәйкес болады.

Cookie баннерлері бойынша ICO нұсқаулығы

ICO cookie сәйкестігі туралы, PECR мәтінінің өзінен де кеңірек қамтитын егжей‑тегжейлі нұсқаулық жариялады. ICO нұсқаулығындағы негізгі тармақтар мыналар:

Келісім белсенді әрекет арқылы берілуі тиіс

Жай ғана веб‑сайтты әрі қарай шолу келісім болып саналмайды. ICO жанама келісім жарамсыз екенін нақты айтады. Маңызды емес cookie-лерді орнатпас бұрын пайдаланушылар айқын, оң әрекет жасауы тиіс (мысалы, "Accept" батырмасын басу).

Бас тарту да соншалықты оңай болуы тиіс

ICO cookie баннерлеріндегі dark patterns туралы барған сайын қатаң пікір білдіруде. Атап айтқанда:

• "Reject All" немесе соған балама опция "Accept All" деңгейінде қолжетімді болуы тиіс. Бас тарту опциясын "Manage Preferences" экранының артына жасыруға болмайды.
• Көрнекі дизайн пайдаланушыларды келісім беруге итермелеу үшін түс, өлшем немесе орналасуды қолданбауы тиіс.
• Тіл бейтарап болуы керек және пайдаланушыларды келісім беруге кінәлау немесе қысым көрсету мақсатында жазылмауы тиіс.

Санаттар бойынша егжей‑тегжейлі басқару

Пайдаланушыларға cookie-лердің нақты санаттарына (analytics, marketing, functional) келісім беруге мүмкіндік берілуі тиіс, оларды "бәріне немесе ештеңеге" таңдауына мәжбүрлемей. ICO нақты санаттар санын міндеттемесе де, егжей���тегжейлі басқару жақсы тәжірибе болып саналады және GDPR-дің мақсатты шектеу қағидаты бойынша талап етілуі мүмкін.

Cookie walls — проблемалық тәжірибе

ICO cookie walls тәжірибесін — пайдаланушы барлық cookie-лерді қабылдамайынша веб‑сайтқа қолжетімділік берілмейтін жағдайларды — келісім ерікті түрде берілмегендіктен, жарамды келісімге әкелмейді деп санайды. Төлемді контент үшін, егер шынымен cookie-лерсіз балама ұсынылса, ерекшеліктер болуы мүмкін.

ICO-ның жақындағы құқық қолдану әрекеттері

Соңғы жылдары ICO cookie сәйкестігіне назарын біртіндеп күшейтіп келеді. Маңызды әрекеттерге мыналар жатады:

• Салалық аудиттер: ICO бірнеше сектор бойынша Ұлыбританиядағы ең ірі 100 веб‑сайтқа аудит жүргізіп, кең таралған сәйкесс��здіктерді көрсеткен қорытындыларын жариялады. Жиі кездесетін мәселелерге келісімге дейін cookie-лерді орнату, бас тарту опциясының болмауы және cookie мақсаттары туралы жеткіліксіз ақпарат кіреді.
• Ескерту хаттары: Аудиттен кейін ICO cookie тәжірибесі талаптарға сай келмейтін ұйымдарға ескерту хаттарын жіберді. Көптеген ұйымдар осы хаттарды алғаннан кейін өз тәжірибесін сәйкестікке келтірді.
• Adtech тергеулері: ICO real-time bidding экожүйесіне қатысты тергеулер жүргізіп, programmatic advertising cookie-лері арқылы жеткілікті келісімсіз бөлісілетін жеке деректер көлеміне алаңдаушылық білдірді.
• Қоғамдық секторға қатысты шаралар: ICO мемлекеттік веб‑сайттарды да босатпай, олардың cookie тәжірибесіне қатысты нұсқаулықтар мен ескертулер жариялады.

ICO әлі cookie бұзушылықтары үшін ірі қаржылық айыппұлдар салмағанымен, үрдіс қатаңырақ құқық қолдануға қарай бағытталғаны анық. Реттеуші ұйымдардан қазірдің өзінде сәйкестік күтетінін және тәжірибесін жақсартпағандар үшін құқық қолдану шаралары болатынын мәлімдеді.

Халықаралық деректер берілімдері: Ұлыбританиядан ЕО-ға және одан әрі

Cookie келісімі халықаралық деректер берілімдерімен маңызды түрде тоғысады. Analytics немесе жарнамалық cookie-лер деректерді Ұлыбританиядан тыс серверлерге жіберген кезде — мысалы, Google Analytics деректерді Google серверлеріне, ал Facebook Pixel деректерді Meta серверлеріне жібергенде — бұл UK GDPR бойынша халықаралық деректер берілімдері болып саналады.

Қазіргі жағдай:

• Ұлыбританиядан EEA аумағына: Деректер Ұлыбританияның EEA жеткіліктілігін тануына сәйкес еркін ағады.
• Ұлыбританиядан АҚШ-қа: UK Extension to the EU-US Data Privacy Framework сертификатталған АҚШ ұйымдарына деректер беруге құқықтық негіз береді. Google және Meta осы шеңбер бойынша сертификатталған.
• Ұлыбританиядан басқа елдерге: Standard Contractual Clauses (Ұлыбритания нұсқасы) немесе binding corporate rules сияқты тиісті кепілдіктер қажет.

Практикалық тұрғыдан, егер сіз Google Analytics, Google Ads немесе басқа ірі жарнама платформаларын қолдансаңыз, халықаралық берілім тетіктері бар деп есептеуге болады. Дегенмен, бұл берілімдерді құпиялылық саясатында құжаттап, cookie баннеріңізде деректердің халықаралық деңгейде берілуі мүмкін екенін көрсетуіңіз керек.

Ұлыбританияға тән сәйкестік үшін FlexyConsent geo-targeting мүмкіндігі

FlexyConsent Ұлыбританиядан келетін келушілер үшін арнайы geo-targeting ұсынады, бұл елдің нақты реттеуші шеңберіне сәйкестікті қамтамасыз етеді:

• PECR-ге сәйкес баннер: Ұлыбританиядан келетін пайдаланушылар ICO талаптарына сай келетін келісім баннерін көреді: онда бірдей деңгейде көрінетін бас тарту опциясы және санаттар бойынша егжей‑тегжейлі басқару бар. Белсенді келісім алынғанға дейін ешқандай cookie орнатылмайды.
• ЕО конфигурациясынан бөлек: Талаптар ұқсас болғанымен, FlexyConsent UK және EU келісім тәжірибелерін бөлек баптауға мүмкіндік береді. Бұл UK мен EU реттеуші жүйелерінің ықтимал алшақтығына дайын болуға көмектеседі.
• ICO-ға сәйкес дизайн: FlexyConsent-тің әдепкі баннер үлгілері dark patterns қолданбау туралы ICO нұсқаулығын ескере отырып жасалған. Accept және Reject опциялары к��рнекі түрде тең, тіл бейтарап, ал дизайн пайдаланушы таңдауларын манипуляцияламайды.
• Consent Mode V2 интеграциясы: Google-certified CMP ретінде FlexyConsent Ұлыбританиядан келетін пайдаланушылар үшін Google сервистеріне дұрыс келісім сигналдарын жібереді. Бұл conversion modelling және Smart Bidding функцияларының UK келісім талаптарын сақтай отырып дұрыс жұмыс істеуін қамтамасыз етеді.
• IAB TCF 2.3 қолдауы: Programmatic advertising қолданатын баспагерлер үшін FlexyConsent Ұлыбритания нарығында жұмыс істейтін demand-side platforms және supply-side platforms танитын, UK талаптарына сай TCF келісім жолдарын (consent strings) генерациялайды.

FlexyConsent жоспарлары айына EUR 0 бастап қолжетімді, әрі WordPress, Shopify және PrestaShop үшін дайын интеграциялары бар. Әсірес�� Ұлыбританияда орналасқан бизнес үшін сертификатталған CMP енгізу ICO алдында проактивті сәйкестікті көрсетеді — реттеуші орган құқық қолдану шараларын таңдағанда бұл факторды ескеретінін мәлімдеген.

Негізгі ой: Ұлыбританияның Brexit-тен кейінгі құпиялылық жүйесі ЕО жүйесіне өте ұқсас, бірақ өз реттеушісімен, өз құқық қолдану тәжірибесімен және болашақта өз заңнамалық бағытымен жұмыс істейді. Қазіргі сәтте Ұлыбританиядан келетін пайдаланушыларды ЕО пайдаланушыларымен бірдей ережелерге бағынатын деп қарастыру қауіпсіз, бірақ UK-ге тән келісім тәжірибелерін баптау мүмкіндігін сақтау екі жүйе алшақтай бастаған жағдайда сайтыңызды бейімдеуге көмектеседі. Geo-aware CMP — осы күрделілікті басқарудың ең практикалық жолы.