Британский ландшафт конфиденциальности после Brexit

Когда Великобритания вышла из Европейского союза, она не оставила позади защиту данных. Великобритания включила EU GDPR во внутреннее законодательство как UK GDPR, действующий наряду с Законом о защите данных 2018 года. Конкретно для cookie продолжают применяться Правила о конфиденциальности и электронных коммуникациях (PECR) — британская реализация Директивы о конфиденциальности в электронных коммуникациях. В результате получается система конфиденциальности, которая близко отражает систему ЕС, но обеспечивается независимо Управлением комиссара по информации Великобритании (ICO).

Для операторов сайтов это означает, что обслуживание британских посетителей требует внимания к отдельному набору правил, рекомендаций и моделей правоприменения. Хотя суть похожа на EU GDPR, нюансы имеют значение.

UK GDPR против EU GDPR: ключевые различия

UK GDPR по существу идентичен EU GDPR в своих основных принципах и требованиях. Однако с момента Brexit возникло несколько различий:

• Надзорный орган: ICO является единственным надзорным органом для UK GDPR, заменяя роль органов по защите данных ЕС. Вас не могут оштрафовать одновременно ICO и DPA ЕС за одну и ту же деятельность по обработке данных, затрагивающую только жителей Великобритании.
• Адекватность данных: ЕС предоставил Великобритании решение об адекватности в июне 2021 года, позволяющее персональным данным свободно перемещаться из ЕС в Великобританию. Это решение подлежит периодическому пересмотру. Великобритания взаимно признала ЕЭЗ адекватной.
• Международные передачи: Великобритания имеет собственную систему международных передач данных, где решения об адекватности принимает государственный секретарь (а не Европейская комиссия). Великобритания сигнализировала о более гибком подходе к международным передачам, хотя основные гарантии сохраняются.
• Подход к правоприменению: ICO исторически предпочитал взаимодействие и рекомендации агрессивному наложению штрафов. Максимальные штрафы по UK GDPR отражают ЕС: до 17,5 млн фунтов стерлингов или 4 процентов глобального годового оборота, в зависимости от того, что выше.
• Потенциальное расхождение: Правительство Великобритании рассматривало реформы через законопроект о защите данных и цифровой информации, который мог бы внести изменения в оценки законного интереса, исследовательские исключения и роль сотрудников по защите данных. Операторам сайтов следует следить за этим законодательством на предмет будущих изменений.

PECR: британский закон о cookie

Хотя UK GDPR обеспечивает общую систему обработки персональных данных, PECR конкретно регулирует cookie и аналогичные технологии. PECR предшествует GDPR и реализует Директиву о конфиденциальности в электронных коммуникациях ЕС в британском праве. Его ключевые требования к cookie таковы:

• Согласие требуется до установки любых несущественных cookie на устройстве пользователя. Это включает аналитические cookie, рекламные cookie и cookie социальных сетей.
• Должна предоставляться информация о том, какие cookie устанавливаются и для чего они используются, ясным и простым языком.
• Согласие должно быть свободно данным, конкретным и информированным. Предварительно отмеченные галочки не составляют действительного согласия.
• Строго необходимые cookie освобождены. Cookie, которые необходимы для услуги, явно запрошенной пользователем (такие как сессионные cookie для функциональности входа или cookie корзины покупок), не требуют согласия.

Стандарт согласия PECR согласуется с определением согласия в GDPR, что означает, что на практике требования очень похожи на те, что в Директиве о конфиденциальности в электронных коммуникациях ЕС. Баннер cookie, соответствующий правилам ЕС, как правило, будет соответствовать PECR.

Рекомендации ICO по баннерам cookie

ICO опубликовал подробные рекомендации по соблюдению правил cookie, выходящие за рамки текста самого PECR. Ключевые моменты из рекомендаций ICO включают:

Согласие должно быть утвердительным

Простое продолжение просмотра сайта не составляет согласия. ICO прямо заявляет, что подразумеваемое согласие недействительно. Пользователи должны предпринять чёткое, положительное действие (такое как нажатие кнопки «Принять»), прежде чем могут быть установлены несущественные cookie.

Отклонение должно быть столь же лёгким

ICO всё чаще высказывается о тёмных паттернах в баннерах cookie. В частности:

• Вариант «Отклонить всё» или эквивалентный должен быть доступен на том же уровне, что и «Принять всё». Прятать вариант отклонения за экраном «Управление настройками» недопустимо.
• Визуальный дизайн не должен использовать цвет, размер или расположение для манипулирования пользователями в сторону принятия.
• Язык должен быть нейтральным и не предназначенным для того, чтобы вызывать у пользователей чувство вины или давить на них с целью получения согласия.

Детальный контроль по категориям

Пользователи должны иметь возможность давать согласие на конкретные категории cookie (аналитика, маркетинг, функциональные), а не быть вынужденными делать выбор по принципу «всё или ничего». Хотя ICO не предписывает конкретное число категорий, предоставление детального контроля демонстрирует хорошую практику и может требоваться согласно принципу ограничения цели GDPR.

Cookie-стены проблематичны

ICO рассматривает cookie-стены — когда доступ к сайту запрещён, если пользователь не примет все cookie — как маловероятно составляющие действительное согласие, поскольку согласие не было бы свободно данным. Исключения могут существовать для платного контента, где предлагается подлинная альтернатива без cookie.

Недавние действия ICO по правоприменению

ICO неуклонно усиливал своё внимание к соблюдению правил cookie в последние годы. Заметные действия включают:

• Отраслевые аудиты: ICO провёл аудиты топ-100 британских сайтов в нескольких секторах, опубликовав выводы, которые подчеркнули широко распространённое несоответствие. Распространённые проблемы включали cookie, устанавливаемые до согласия, отсутствие варианта отклонения и недостаточную информацию о целях cookie.
• Предупредительные письма: После аудитов ICO разослал предупредительные письма организациям, чьи практики cookie не соответствовали требованиям. Большинство организаций привели свои практики в соответствие после получения этих писем.
• Расследования adtech: ICO проводил постоянные расследования экосистемы торгов в реальном времени, выражая обеспокоенность объёмом персональных данных, передаваемых через cookie программатической рекламы без адекватного согласия.
• Правоприменение в государственном секторе: ICO не освобождал правительственные сайты, выпуская рекомендации и предупреждения организациям государственного сектора об их практиках cookie.

Хотя ICO ещё не наложил значительные финансовые штрафы конкретно за нарушения cookie, тенденция явно направлена к более строгому правоприменению. Регулятор заявил, что ожидает соответствия от организаций уже сейчас и что за теми, кто не улучшится, последуют меры по правоприменению.

Международные передачи данных: из Великобритании в ЕС и далее

Согласие на cookie пересекается с международными передачами данных важным образом. Когда аналитические или рекламные cookie отправляют данные на серверы за пределами Великобритании — как Google Analytics отправляет данные на серверы Google, а Facebook Pixel отправляет данные на серверы Meta — это составляет международные передачи данных согласно UK GDPR.

Текущие договорённости:

• Великобритания в ЕЭЗ: данные перемещаются свободно благодаря признанию Великобританией адекватности ЕЭЗ.
• Великобритания в США: Британское расширение Системы конфиденциальности данных ЕС-США обеспечивает механизм передач сертифицированным американским организациям. Google и Meta сертифицированы в рамках этой системы.
• Великобритания в другие страны: требуются соответствующие гарантии, такие как Стандартные договорные положения (британская версия) или обязательные корпоративные правила.

В практических целях, если вы используете Google Analytics, Google Ads или другие крупные рекламные платформы, механизмы международной передачи действуют. Однако вам следует задокументировать эти передачи в вашей политике конфиденциальности и убедиться, что ваш баннер cookie упоминает, что данные могут передаваться на международном уровне.

Геотаргетинг FlexyConsent для соответствия требованиям Великобритании

FlexyConsent обеспечивает выделенный геотаргетинг для британских посетителей, гарантируя соответствие специфической регуляторной системе Великобритании:

• Баннер, соответствующий PECR: британские посетители видят баннер согласия, который соответствует требованиям ICO, включая столь же заметный вариант отклонения и детальный контроль категорий. Никакие cookie не устанавливаются до получения утвердительного согласия.
• Отдельно от конфигурации ЕС: хотя требования похожи, FlexyConsent сохраняет возможность настраивать опыт согласия для Великобритании и ЕС независимо. Это защищает вашу реализацию на будущее от потенциального расхождения регулирования Великобритании и ЕС.
• Дизайн, согласованный с ICO: стандартные шаблоны баннеров FlexyConsent следуют рекомендациям ICO по избеганию тёмных паттернов. Варианты принятия и отклонения визуально равны, язык нейтрален, а дизайн не манипулирует выбором пользователя.
• Интеграция Consent Mode V2: будучи сертифицированной Google CMP, FlexyConsent отправляет надлежащие сигналы согласия в сервисы Google для британских посетителей. Это гарантирует, что моделирование конверсий и Smart Bidding продолжают работать правильно, соблюдая требования согласия Великобритании.
• Поддержка IAB TCF 2.3: для издателей, использующих программатическую рекламу, FlexyConsent генерирует подходящие для Великобритании строки согласия TCF, которые распознаются платформами стороны спроса и платформами стороны предложения, работающими на британском рынке.

FlexyConsent доступен с планами, начинающимися от 0 EUR в месяц, с нативными интеграциями для WordPress, Shopify и PrestaShop. В частности, для британских предприятий внедрение сертифицированной CMP демонстрирует проактивное соответствие ICO — фактор, который, как указал регулятор, он учитывает при принятии решений о мерах правоприменения.

Ключевой вывод: британская система конфиденциальности после Brexit близко отражает систему ЕС, но действует под собственным регулятором, собственными моделями правоприменения и потенциально собственным будущим законодательным направлением. Рассматривать британских посетителей как подпадающих под те же правила, что и посетители ЕС, безопасно сейчас, но сохранение возможности настраивать специфический для Великобритании опыт согласия позиционирует ваш сайт для адаптации по мере потенциального расхождения двух систем. Гео-осведомлённая CMP — самый практичный способ управлять этой сложностью.