JK privatumo aplinka po „Brexit“

Kai Jungtinė Karalystė pasitraukė iš Europos Sąjungos, ji neatsisakė duomenų apsaugos. JK perėmė ES GDPR į nacionalinę teisę kaip UK GDPR, kuris veikia kartu su Data Protection Act 2018. Kalbant konkrečiai apie slapukus, toliau taikomas Privacy and Electronic Communications Regulations (PECR) – JK e. privatumo direktyvos įgyvendinimas. Taip susiformavo privatumo sistema, kuri labai panaši į ES, tačiau ją savarankiškai taiko Jungtinės Karalystės Information Commissioner's Office (ICO).

Internetinių svetainių valdytojams tai reiškia, kad teikiant paslaugas JK lankytojams reikia atsižvelgti į atskirą taisyklių, gairių ir vykdymo praktikos rinkinį. Nors esmė panaši į ES GDPR, niuansai yra svarbūs.

UK GDPR ir ES GDPR: pagrindiniai skirtumai

UK GDPR savo pagrindiniais principais ir reikalavimais iš esmės yra tapačios ES GDPR. Tačiau po „Brexit“ atsirado keli skirtumai:

• Priežiūros institucija: ICO yra vienintelė priežiūros institucija, taikanti UK GDPR, pakeitusi ES duomenų apsaugos institucijų vaidmenį. Negalite būti nubausti ir ICO, ir ES DPA už tą pačią duomenų tvarkymo veiklą, kuri daro poveikį tik JK gyventojams.
• Duomenų tinkamumas: ES 2021 m. birželį suteikė JK tinkamumo sprendimą, leidžiantį asmens duomenims laisvai judėti iš ES į JK. Šis sprendimas periodiškai peržiūrimas. JK savo ruožtu pripažino EEA kaip tinkamą.
• Tarptautiniai perdavimai: JK turi savo tarptautinių duomenų perdavimo sistemą, kurioje tinkamumo sprendimus priima valstybės sekretorius (o ne Europos Komisija). JK signalizavo apie lankstesnį požiūrį į tarptautinius perdavimus, nors pagrindinės apsaugos priemonės išlieka.
• Vykdymo užtikrinimo požiūris: Istoriškai ICO labiau teikė pirmenybę bendravimui ir gairėms, o ne agresyvioms baudoms. Didžiausios baudos pagal UK GDPR atitinka ES: iki 17,5 mln. GBP arba 4 procentai pasaulinės metinės apyvartos, atsižvelgiant į tai, kuri suma didesnė.
• Galimas išsiskyrimas: JK vyriausybė svarstė reformas per Data Protection and Digital Information Bill, kurios galėtų pakeisti teisėto intereso vertinimus, mokslinių tyrimų išimtis ir duomenų apsaugos pareigūnų vaidmenį. Svetainių valdytojai turėtų stebėti šį teisės aktą dėl galimų būsimų pokyčių.

PECR: JK slapukų teisė

Nors UK GDPR nustato bendrą asmens duomenų tvarkymo sistemą, PECR konkrečiai reglamentuoja slapukus ir panašias technologijas. PECR yra senesnis už GDPR ir įgyvendina ES e. privatumo direktyvą JK teisėje. Pagrindiniai reikalavimai slapukams yra šie:

• Reikalingas sutikimas prieš nustatant bet kokius nebūtinus slapukus naudotojo įrenginyje. Tai apima analitinius, reklamos ir socialinių tinklų slapukus.
• Turi būti pateikta informacija apie tai, kokie slapukai nustatomi ir kam jie naudojami, aiškia ir paprasta kalba.
• Sutikimas turi būti duotas laisva valia, konkretus ir informuotas. Iš anksto pažymėti langeliai nėra laikomi galiojančiu sutikimu.
• Griežtai būtini slapukai yra atleisti nuo reikalavimo. Slapukams, kurie yra būtini naudotojo aiškiai prašomai paslaugai teikti (pvz., sesijos slapukai prisijungimo funkcijoms ar pirkinių krepšelio slapukai), sutikimas nereikalingas.

PECR sutikimo standartas atitinka GDPR sutikimo apibrėžtį, todėl praktiškai reikalavimai yra labai panašūs į tuos, kurie taikomi pagal ES e. privatumo direktyvą. Slapukų baneris, atitinkantis ES taisykles, paprastai atitiks ir PECR.

ICO gairės dėl slapukų banerių

ICO paskelbė išsamias gaires dėl slapukų atitikties, kurios peržengia paties PECR teksto ribas. Pagrindiniai ICO gairių punktai:

Sutikimas turi būti aiškus veiksmas

Vien tik tolesnis naršymas svetainėje nėra sutikimas. ICO aiškiai nurodo, kad numanomas sutikimas negalioja. Prieš nustatant nebūtinus slapukus naudotojai turi atlikti aiškų, teigiamą veiksmą (pavyzdžiui, spustelėti mygtuką „Sutinku“).

Atmesti turi būti taip pat lengva

ICO vis garsiau kalba apie tamsiuosius modelius slapukų baneriuose. Konkrečiai:

• Parinktis „Atmesti viską“ ar lygiavertė turi būti pateikta tokiu pačiu lygiu kaip „Sutikti su viskuo“. Atmetimo parinkties slėpimas už „Tvarkyti nuostatas“ ekrano yra nepriimtinas.
• Vizualinis dizainas neturi naudoti spalvos, dydžio ar išdėstymo tam, kad manipuliuotų naudotojais ir paskatintų juos sutikti.
• Formuluotės turi būti neutralios ir neturi būti skirtos kaltinti ar spausti naudotojus duoti sutikimą.

Išsamus kategorijų valdymas

Naudotojai turėtų galėti duoti sutikimą konkrečioms slapukų kategorijoms (analitiniai, rinkodaros, funkciniai), o ne būti verčiami rinktis „viskas arba nieko“. Nors ICO nereikalauja konkretaus kategorijų skaičiaus, išsamus valdymas laikomas gera praktika ir gali būti būtinas pagal GDPR paskirties apribojimo principą.

Slapukų sienos yra problemiškos

ICO mano, kad slapukų sienos – kai prieiga prie svetainės nesuteikiama, jei naudotojas nepriima visų slapukų – greičiausiai nelaikytinos galiojančiu sutikimu, nes sutikimas nebūtų duotas laisva valia. Išimtys gali būti taikomos mokamam turiniui, kai siūloma tikra alternatyva be slapukų.

Naujausi ICO vykdymo veiksmai

Pastaraisiais metais ICO nuosekliai didino dėmesį slapukų atitikčiai. Reikšmingi veiksmai apima:

• Sektoriaus masto auditai: ICO atliko 100 didžiausių JK svetainių iš įvairių sektorių auditą ir paskelbė išvadas, kuriose pabrėžtas plačiai paplitęs neatitikimas. Dažnos problemos: slapukai nustatomi prieš gaunant sutikimą, nėra atmetimo parinkties, pateikiama nepakankamai informacijos apie slapukų paskirtį.
• Įspėjamieji laiškai: Po auditų ICO išsiuntė įspėjamuosius laiškus organizacijoms, kurių slapukų praktika neatitiko reikalavimų. Dauguma organizacijų po šių laiškų savo praktiką suderino su reikalavimais.
• Adtech tyrimai: ICO vykdo nuolatinius realaus laiko aukcionų ekosistemos tyrimus, išreikšdama susirūpinimą dėl didelio asmens duomenų kiekio, kuriuo dalijamasi per programatinės reklamos slapukus be tinkamo sutikimo.
• Viešojo sektoriaus priežiūra: ICO netaiko išimčių vyriausybinėms svetainėms – viešojo sektoriaus organizacijoms teikiamos gairės ir įspėjimai dėl jų slapukų praktikos.

Nors ICO dar nėra skyrusi reikšmingų finansinių baudų vien už slapukų pažeidimus, tendencija aiškiai rodo griežtesnį vykdymą. Reguliuotojas yra pareiškęs, kad tikisi, jog organizacijos jau dabar laikysis reikalavimų, ir kad vykdymo veiksmai bus taikomi tiems, kurie savo praktikos negerins.

Tarptautiniai duomenų perdavimai: iš JK į ES ir toliau

Slapukų sutikimas svarbiu būdu susijęs su tarptautiniais duomenų perdavimais. Kai analitiniai ar reklamos slapukai siunčia duomenis į serverius už JK ribų – kaip Google Analytics siunčia duomenis į Google serverius, o Facebook Pixel – į Meta serverius – tai laikoma tarptautiniais duomenų perdavimais pagal UK GDPR.

Dabartiniai susitarimai:

• Iš JK į EEA: Duomenys laisvai juda pagal JK pripažintą EEA tinkamumą.
• Iš JK į JAV: UK Extension to the EU-US Data Privacy Framework suteikia mechanizmą perdavimams sertifikuotoms JAV organizacijoms. Google ir Meta yra sertifikuotos pagal šią sistemą.
• Iš JK į kitas šalis: Reikalingos tinkamos apsaugos priemonės, tokios kaip Standard Contractual Clauses (JK versija) arba privalomosios verslo taisyklės.

Praktiškai, jei naudojate Google Analytics, Google Ads ar kitas didžiąsias reklamos platformas, tarptautinių perdavimų mechanizmai jau yra įdiegti. Tačiau turėtumėte dokumentuoti šiuos perdavimus savo privatumo politikoje ir užtikrinti, kad jūsų slapukų baneris paminėtų, jog duomenys gali būti perduodami tarptautiniu mastu.

FlexyConsent geotaikymas JK specifinei atitikčiai

FlexyConsent siūlo specialų geotaikymą JK lankytojams, užtikrinant atitiktį konkrečiai JK reguliavimo sistemai:

• PECR atitinkantis baneris: JK lankytojai mato sutikimo banerį, kuris atitinka ICO reikalavimus, įskaitant vienodai matomą atmetimo parinktį ir išsamų kategorijų valdymą. Jokie slapukai nenustatomi, kol negaunamas aiškus sutikimas.
• Atskira nuo ES konfigūracijos: Nors reikalavimai panašūs, FlexyConsent leidžia nepriklausomai konfigūruoti JK ir ES sutikimo patirtis. Tai užtikrina jūsų sprendimo atsparumą galimam JK ir ES reguliavimo išsiskyrimui ateityje.
• Su ICO suderintas dizainas: FlexyConsent numatytieji banerių šablonai laikosi ICO gairių dėl tamsiųjų modelių vengimo. Priėmimo ir atmetimo parinktys vizualiai yra lygios, kalba neutrali, o dizainas nemanipuliuoja naudotojų pasirinkimais.
• Consent Mode V2 integracija: Kaip Google-certified CMP, FlexyConsent JK lankytojams siunčia tinkamus sutikimo signalus Google paslaugoms. Tai užtikrina, kad konversijų modeliavimas ir Smart Bidding ir toliau veiktų tinkamai, kartu gerbiant JK sutikimo reikalavimus.
• IAB TCF 2.3 palaikymas: Leidėjams, naudojantiems programatinę reklamą, FlexyConsent generuoja JK rinkai pritaikytas TCF sutikimo eilutes, kurias atpažįsta paklausos ir pasiūlos pusės platformos, veikiančios JK rinkoje.

FlexyConsent siūlomas planais nuo EUR 0 per mėnesį, su natyviomis integracijomis su WordPress, Shopify ir PrestaShop. Ypač JK įsikūrusioms įmonėms sertifikuoto CMP įdiegimas rodo aktyvų atitikties siekį ICO akyse – tai veiksnys, kurį, kaip nurodė reguliuotojas, jis vertina priimdamas sprendimus dėl vykdymo veiksmų.

Pagrindinė mintis: JK privatumo sistema po ��Brexit“ labai panaši į ES, tačiau veikia pagal savo reguliuotoją, savo vykdymo praktiką ir galimai savo būsimą teisėkūros kryptį. Šiuo metu JK lankytojus laikyti pavaldžiais toms pačioms taisyklėms kaip ES lankytojai yra saugu, tačiau galimybė konfigūruoti JK specifines sutikimo patirtis leidžia jūsų svetainei prisitaikyti, jei šios dvi sistemos pradėtų skirtis. Geografiškai jautrus CMP yra praktiškiausias būdas valdyti šį sudėtingumą.