Lielbritānijas privātuma vide pēc Brexit

Kad Apvienotā Karaliste izstājās no Eiropas Savienības, tā neatteicās no datu aizsardzības. Lielbritānija iekļāva ES GDPR savos iekšējos tiesību aktos kā UK GDPR, kas darbojas līdzās Data Protection Act 2018. Attiecībā uz sīkfailiem īpaši piemērojami ir Privacy and Electronic Communications Regulations (PECR) — Lielbritānijas ePrivacy direktīvas īstenojums. Rezultātā ir izveidojusies privātuma sistēma, kas cieši atspoguļo ES sistēmu, taču to neatkarīgi īsteno Apvienotās Karalistes Informācijas komisāra birojs (ICO).

Vietņu operatoriem tas nozīmē, ka, apkalpojot Apvienotās Karalistes apmeklētājus, ir jāpievērš uzmanība atsevišķam noteikumu, vadlīniju un izpildes prakses kopumam. Lai gan būtība ir līdzīga ES GDPR, nianses ir svarīgas.

UK GDPR pret ES GDPR: galvenās atšķirības

UK GDPR savos pamatprincipos un prasībās būtiski neatšķiras no ES GDPR. Tomēr kopš Brexit ir parādījušās vairākas atšķirības:

• Uzraugošā iestāde: ICO ir vienīgā uzraugošā iestāde UK GDPR piemērošanai, aizstājot ES datu aizsardzības iestāžu lomu. Jūs nevar sodīt gan ICO, gan ES DVI par vienu un to pašu datu apstrādes darbību, kas skar tikai Apvienotās Karalistes iedzīvotājus.
• Datu pietiekamība: ES 2021. gada jūnijā piešķīra Apvienotajai Karalistei pietiekamības lēmumu, kas ļauj personas datiem brīvi plūst no ES uz Lielbritāniju. Šis lēmums ir pakļauts periodiskai pārskatīšanai. Lielbritānija savukārt ir atzinusi EEA par pietiekamu.
• Starptautiskie pārsūtījumi: Lielbritānijai ir sava starptautisko datu pārsūtīšanas sistēma, kurā pietiekamības lēmumus pieņem valsts sekretārs (nevis Eiropas Komisija). Lielbritānija ir signalizējusi par elastīgāku pieeju starptautiskajiem pārsūtījumiem, lai gan pamatgarantijas saglabājas.
• Izpildes pieeja: Vēsturiski ICO ir devusi priekšroku dialogam un vadlīnijām, nevis agresīvai sodu piemērošanai. Maksimālie sodi saskaņā ar UK GDPR atbilst ES līmenim: līdz GBP 17,5 miljoniem vai 4 procentiem no globālā gada apgrozījuma — atkarībā no tā, kura summa ir lielāka.
• Iespējamā novirze: Lielbritānijas valdība ir apsvērusi reformas, izmantojot Data Protection and Digital Information Bill, kas varētu ieviest izmaiņas leģitīmo interešu izvērtējumos, pētniecības izņēmumos un datu aizsardzības speciālistu lomā. Vietņu operatoriem būtu jāseko šī likumprojekta virzībai, lai savlaicīgi pamanītu izmaiņas.

PECR: Lielbritānijas sīkfailu likums

Kaut arī UK GDPR nodrošina vispārējo regulējumu personas datu apstrādei, PECR īpaši regulē sīkfailus un līdzīgas tehnoloģijas. PECR ir pieņemts pirms GDPR un īsteno ES ePrivacy direktīvu Lielbritānijas tiesībās. Tās galvenās prasības attiecībā uz sīkfailiem ir:

• Pirms jebkuru ne būtisku sīkfailu iestatīšanas lietotāja ierīcē ir nepieciešama piekrišana. Tas ietver analītiskos sīkfailus, reklāmas sīkfailus un sociālo tīklu sīkfailus.
• Jāsniedz informācija par to, kādi sīkfaili tiek iestatīti un kādam nolūkam tie tiek izmantoti, skaidrā un vienkāršā valodā.
• Piekrišanai jābūt brīvi dotai, konkrētai un informētai. Iepriekš atzīmēti lodziņi nav uzskatāmi par derīgu piekrišanu.
• Stingri nepieciešamie sīkfaili ir atbrīvoti no prasības. Sīkfaili, kas ir būtiski pakalpojumam, ko lietotājs skaidri pieprasījis (piemēram, sesijas sīkfaili pieteikušos lietotāju funkcionalitātei vai iepirkumu groza sīkfaili), neprasa piekrišanu.

PECR piekrišanas standarts ir saskaņots ar GDPR piekrišanas definīciju, kas praksē nozīmē, ka prasības ir ļoti līdzīgas tām, kas izriet no ES ePrivacy direktīvas. Sīkfailu baneris, kas atbilst ES noteikumiem, parasti atbildīs arī PECR prasībām.

ICO vadlīnijas par sīkfailu baneriem

ICO ir publicējis detalizētas vadlīnijas par atbilstību sīkfailu regulējumam, kas sniedzas tālāk par paša PECR tekstu. Galvenie punkti no ICO vadlīnijām ir:

Piekrišanai jābūt apstiprinošai

Tikai turpināt pārlūkot vietni nenozīmē dot piekrišanu. ICO skaidri norāda, ka netieša piekrišana nav derīga. Lietotājiem ir jāveic skaidra, pozitīva darbība (piemēram, jānoklikšķina uz pogas "Accept"), pirms var iestatīt ne būtiskus sīkfailus.

Noraidīšanai jābūt tikpat vienkāršai

ICO arvien aktīvāk izsakās par tumšajiem rakstiem (dark patterns) sīkfailu baneros. Jo īpaši:

• Jābūt pieejamai opcijai "Reject All" vai līdzvērtīgai iespējai tajā pašā līmenī kā "Accept All". Noraidīšanas iespējas paslēpšana aiz ekrāna "Manage Preferences" nav pieņemama.
• Vizuālajam dizainam nevajadzētu izmantot krāsu, izmēru vai izvietojumu, lai manipulētu ar lietotājiem un mudinātu tos piekrist.
• Valodai jābūt neitrālai un tā nedrīkst būt veidota tā, lai izraisītu vainas sajūtu vai spiedienu uz lietotājiem piekrist.

Detalizēta kategoriju kontrole

Lietotājiem jāspēj dot piekrišanu konkrētām sīkfailu kategorijām (analītiskie, mārketinga, funkcionālie), nevis jāizvēlas tikai starp visu pieņemšanu vai visu noraidīšanu. Lai gan ICO nenosaka konkrētu kategoriju skaitu, detalizētas kontroles nodrošināšana demonstrē labu praksi un var būt nepieciešama saskaņā ar GDPR mērķa ierobežošanas principu.

Sīkfailu sienas ir problemātiskas

ICO uzskata, ka sīkfailu sienas — situācijas, kad piekļuve vietnei tiek liegta, ja vien lietotājs nepieņem visus sīkfailus — visticamāk nenodrošina derīgu piekrišanu, jo piekrišana nebūtu brīvi dota. Izņēmumi var pastāvēt maksas saturam, ja tiek piedāvāta patiesa alternatīva bez sīkfailiem.

Nesenās ICO izpildes darbības

ICO pēdējos gados pakāpeniski ir pastiprinājis uzmanību sīkfailu atbilstībai. Nozīmīgas darbības ietver:

• Nozares mēroga auditi: ICO ir veicis auditus 100 vadošajās Lielbritānijas vietnēs dažādās nozarēs, publicējot secinājumus, kas atklāja plašu neatbilstību. Biežākās problēmas bija sīkfailu iestatīšana pirms piekrišanas, noraidīšanas iespējas trūkums un nepietiekama informācija par sīkfailu mērķiem.
• Brīdinājuma vēstules: Pēc auditiem ICO izsūtīja brīdinājuma vēstules organizācijām, kuru sīkfailu prakse neatbilda prasībām. Lielākā daļa organizāciju pēc šo vēstuļu saņemšanas sakārtoja savu praksi atbilstoši prasībām.
• Adtech izmeklēšanas: ICO ir veicis nepārtrauktas izmeklēšanas reāllaika izsoļu (real-time bidding) ekosistēmā, paužot bažas par personas datu apjomu, kas tiek kopīgots, izmantojot programmātiskās reklāmas sīkfailus bez atbilstošas piekrišanas.
• Publiskā sektora uzraudzība: ICO nav atbrīvojis valdības vietnes, izsniedzot vadlīnijas un brīdinājumus publiskā sektora organizācijām par to sīkfailu praksi.

Lai gan ICO vēl nav piemērojis būtiskus finansiālus sodus tieši par sīkfailu pārkāpumiem, tendence skaidri virzās uz stingrāku izpildi. Regulators ir norādījis, ka sagaida, lai organizācijas jau tagad būtu atbilstošas prasībām, un ka izpildes pasākumi sekos tiem, kas savu praksi neuzlabo.

Starptautiskie datu pārsūtījumi: no Lielbritānijas uz ES un tālāk

Sīkfailu piekrišana būtiski krustojas ar starptautiskajiem datu pārsūtījumiem. Kad analītiskie vai reklāmas sīkfaili nosūta datus uz serveriem ārpus Lielbritānijas — piemēram, Google Analytics sūta datus uz Google serveriem, bet Facebook Pixel sūta datus uz Meta serveriem — tas saskaņā ar UK GDPR ir uzskatāms par starptautisku datu pārsūtīšanu.

Pašreizējie risinājumi:

• No Lielbritānijas uz EEA: Dati brīvi plūst, pamatojoties uz Lielbritānijas atzīto EEA pietiekamību.
• No Lielbritānijas uz ASV: UK Extension to the EU-US Data Privacy Framework nodrošina mehānismu pārsūtījumiem uz sertificētām ASV organizācijām. Google un Meta ir sertificēti saskaņā ar šo sistēmu.
• No Lielbritānijas uz citām valstīm: Nepieciešami atbilstoši aizsardzības pasākumi, piemēram, Standard Contractual Clauses (Lielbritānijas versija) vai saistošie uzņēmuma noteikumi.

Praktiskā līmenī, ja izmantojat Google Analytics, Google Ads vai citas lielās reklāmas platformas, starptautisko pārsūtījumu mehānismi jau ir ieviesti. Tomēr jums šie pārsūtījumi būtu jāapraksta savā privātuma politikā un jāpārliecinās, ka jūsu sīkfailu baneris norāda, ka dati var tikt pārsūtīti starptautiski.

FlexyConsent ģeomērķēšana atbilstībai Apvienotās Karalistes prasībām

FlexyConsent nodrošina īpašu ģeomērķēšanu Apvienotās Karalistes apmeklētājiem, garantējot atbilstību Lielbritānijas specifiskajam regulējumam:

• PECR atbilstošs baneris: Apvienotās Karalistes apmeklētāji redz piekrišanas baneri, kas atbilst ICO prasībām, tostarp vienlīdz redzamu noraidīšanas iespēju un detalizētu kategoriju kontroli. Līdz brīdim, kad saņemta apstiprinoša piekrišana, sīkfaili netiek iestatīti.
• Atdalīts no ES konfigurācijas: Lai gan prasības ir līdzīgas, FlexyConsent saglabā iespēju neatkarīgi konfigurēt Apvienotās Karalistes un ES piekrišanas pieredzi. Tas nodrošina jūsu ieviešanas gatavību iespējamai Lielbritānijas un ES regulējuma novirzei nākotnē.
• ICO vadlīnijām atbilstošs dizains: FlexyConsent noklusējuma baneru veidnes ievēro ICO vadlīnijas par tumšo rakstu (dark patterns) nepieļaušanu. Pieņemšanas un noraidīšanas iespējas ir vizuāli līdzvērtīgas, valoda ir neitrāla, un dizains nemanipulē ar lietotāju izvēli.
• Consent Mode V2 integrācija: Kā Google-certified CMP FlexyConsent nosūta pareizus piekrišanas signālus Google pakalpojumiem Apvienotās Karalistes apmeklētājiem. Tas nodrošina, ka konversiju modelēšana un Smart Bidding turpina darboties korekti, vienlaikus ievērojot Lielbritānijas piekrišanas prasības.
• IAB TCF 2.3 atbalsts: Izdevējiem, kas izmanto programmātisko reklāmu, FlexyConsent ģenerē Apvienotajai Karalistei piemērotas TCF piekrišanas virknes, ko atpazīst pieprasījuma puses platformas un piedāvājuma puses platformas, kas darbojas Lielbritānijas tirgū.

FlexyConsent ir pieejams ar plāniem, sākot no EUR 0 mēnesī, ar vietējām integrācijām WordPress, Shopify un PrestaShop. It īpaši Apvienotās Karalistes uzņēmumiem sertificēta CMP ieviešana demonstrē proaktīvu atbilstību ICO — faktors, ko regulators ir norādījis kā nozīmīgu, lemjot par izpildes pasākumiem.

Galvenā atziņa: Lielbritānijas privātuma sistēma pēc Brexit cieši atspoguļo ES sistēmu, taču darbojas ar savu regulatoru, savu izpildes praksi un, iespējams, savu nākotnes likumdošanas virzienu. Šobrīd ir droši pret Apvienotās Karalistes apmeklētājiem izturēties tāpat kā pret ES apmeklētājiem, taču spēja konfigurēt Apvienotajai Karalistei specifiskas piekrišanas pieredzes ļauj jūsu vietnei pielāgoties, ja abas sistēmas nākotnē novirzīsies. Ģeogrāfiski apzināts CMP ir praktiskākais veids, kā pārvaldīt šo sarežģītību.