Krajina súkromia Spojeného kráľovstva po Brexite

Keď Spojené kráľovstvo opustilo Európsku úniu, nenechalo ochranu údajov za sebou. Spojené kráľovstvo začlenilo EU GDPR do vnútroštátneho práva ako UK GDPR, spolu s Data Protection Act 2018. Konkrétne pre cookies sa naďalej uplatňujú Privacy and Electronic Communications Regulations (PECR) — britská implementácia smernice ePrivacy. Výsledkom je rámec ochrany súkromia, ktorý úzko zrkadlí rámec EÚ, ale je presadzovaný nezávisle britským Information Commissioner's Office (ICO).

Pre prevádzkovateľov webových stránok to znamená, že obsluha britských návštevníkov si vyžaduje pozornosť voči odlišnému súboru pravidiel, usmernení a vzorcov presadzovania. Hoci podstata je podobná EU GDPR, nuansy sú dôležité.

UK GDPR vs EU GDPR: Kľúčové rozdiely

UK GDPR je v podstate identický s EU GDPR v svojich základných princípoch a požiadavkách. Od Brexitu sa však objavilo niekoľko rozdielov:

• Dozorný orgán: ICO je jediným dozorným orgánom pre UK GDPR, pričom nahrádza úlohu orgánov na ochranu údajov v EÚ. Nemôžete byť pokutovaný ICO aj orgánom na ochranu údajov EÚ za rovnakú činnosť spracovania údajov týkajúcu sa iba obyvateľov Spojeného kráľovstva.
• Primeranosť údajov: EÚ udelila Spojenému kráľovstvu rozhodnutie o primeranosti v júni 2021, čo umožňuje voľný tok osobných údajov z EÚ do Spojeného kráľovstva. Toto rozhodnutie podlieha pravidelnému preskúmaniu. Spojené kráľovstvo recipročne uznalo EHP za primeraný.
• Medzinárodné prenosy: Spojené kráľovstvo má vlastný rámec pre medzinárodné prenosy údajov, kde Secretary of State (namiesto Európskej komisie) prijíma rozhodnutia o primeranosti. Spojené kráľovstvo signalizovalo flexibilnejší prístup k medzinárodným prenosom, hoci základné záruky zostávajú.
• Prístup k presadzovaniu: ICO historicky uprednostňovalo zapojenie a usmernenie pred agresívnym udeľovaním pokút. Maximálne pokuty podľa UK GDPR zodpovedajú pokutám EÚ: až 17,5 milióna GBP alebo 4 percentá z celosvetového ročného obratu, podľa toho, čo je vyššie.
• Potenciálna divergencia: Britská vláda zvažovala reformy prostredníctvom Data Protection and Digital Information Bill, ktorý by mohol zaviesť zmeny v hodnoteniach oprávneného záujmu, výnimkách pre výskum a úlohe zodpovedných osôb za ochranu údajov. Prevádzkovatelia webových stránok by mali sledovať túto legislatívu kvôli budúcim zmenám.

PECR: Britský zákon o cookies

Zatiaľ čo UK GDPR poskytuje všeobecný rámec pre spracovanie osobných údajov, PECR konkrétne upravuje cookies a podobné technológie. PECR predchádza GDPR a implementuje smernicu ePrivacy EÚ v britskom práve. Kľúčové požiadavky pre cookies sú:

• Súhlas je vyžadovaný pred nastavením akýchkoľvek nepodstatných cookies na zariadení používateľa. To zahŕňa analytické cookies, reklamné cookies a cookies sociálnych médií.
• Musia byť poskytnuté informácie o tom, aké cookies sa nastavujú a na čo sa používajú, v jasnom a zrozumiteľnom jazyku.
• Súhlas musí byť slobodne daný, konkrétny a informovaný. Vopred zaškrtnuté políčka nepredstavujú platný súhlas.
• Nevyhnutne potrebné cookies sú vyňaté. Cookies, ktoré sú nevyhnutné pre službu výslovne požadovanú používateľom (ako sú cookies relácie pre prihlásenú funkcionalitu alebo cookies nákupného košíka), nevyžadujú súhlas.

Štandard súhlasu PECR je v súlade s definíciou súhlasu GDPR, čo znamená, že v praxi sú požiadavky veľmi podobné požiadavkám podľa smernice ePrivacy EÚ. Cookie banner, ktorý je v súlade s pravidlami EÚ, bude vo všeobecnosti v súlade aj s PECR.

Usmernenia ICO pre cookie bannery

ICO zverejnilo podrobné usmernenia o súlade s cookies, ktoré presahujú text samotného PECR. Kľúčové body z usmernení ICO zahŕňajú:

Súhlas musí byť potvrdzujúci

Jednoduché pokračovanie v prehliadaní webovej stránky nepredstavuje súhlas. ICO výslovne uvádza, že implicitný súhlas nie je platný. Používatelia musia podniknúť jasný, pozitívny krok (napríklad kliknúť na tlačidlo "Súhlasím") predtým, ako môžu byť nastavené nepodstatné cookies.

Odmietnutie musí byť rovnako jednoduché

ICO je čoraz výraznejšie vo veci tmavých vzorov v cookie banneroch. Konkrétne:

• Možnosť "Odmietnuť všetky" alebo ekvivalentná možnosť musí byť dostupná na rovnakej úrovni ako "Prijať všetky". Skrývanie možnosti odmietnutia za obrazovkou "Spravovať predvoľby" nie je prijateľné.
• Vizuálny dizajn by nemal používať farbu, veľkosť alebo umiestnenie na manipuláciu používateľov smerom k prijatiu.
• Jazyk musí byť neutrálny a nesmie byť navrhnutý tak, aby používateľov zahanbil alebo nútil k udeleniu súhlasu.

Podrobná kontrola kategórií

Používatelia by mali mať možnosť súhlasiť s konkrétnymi kategóriami cookies (analytické, marketingové, funkčné) namiesto toho, aby boli nútení k voľbe všetko alebo nič. Hoci ICO nevyžaduje konkrétny počet kategórií, poskytovanie podrobnej kontroly preukazuje dobrú prax a môže byť vyžadované podľa zásady obmedzenia účelu GDPR.

Cookie steny sú problematické

ICO považuje cookie steny — kde je prístup na webovú stránku zamietnutý, pokiaľ používateľ neprijme všetky cookies — za nepravdepodobne predstavujúce platný súhlas, pretože súhlas by nebol daný slobodne. Výnimky môžu existovať pre platený obsah, kde je ponúkaná skutočná alternatíva bez cookies.

Nedávne kroky ICO v oblasti presadzovania

ICO v posledných rokoch neustále zvyšuje svoje zameranie na súlad s cookies. Pozoruhodné kroky zahŕňajú:

• Sektorové audity: ICO vykonalo audity 100 najlepších britských webových stránok v rôznych sektoroch, pričom zverejnilo zistenia, ktoré poukázali na rozšírenú nesúladnosť. Bežné problémy zahŕňali nastavenie cookies pred udelením súhlasu, chýbajúcu možnosť odmietnutia a nedostatočné informácie o účeloch cookies.
• Varovné listy: Po auditoch ICO vydalo varovné listy organizáciám, ktorých postupy v oblasti cookies boli nedostatočné. Väčšina organizácií uviedla svoje postupy do súladu po prijatí týchto listov.
• Vyšetrovania adtech: ICO vykonalo prebiehajúce vyšetrovania ekosystému real-time bidding, pričom vyjadrilo obavy o objeme osobných údajov zdieľaných prostredníctvom programatických reklamných cookies bez primeraného súhlasu.
• Presadzovanie vo verejnom sektore: ICO neoslobodilo vládne webové stránky a vydalo usmernenia a varovania organizáciám verejného sektora o ich postupoch v oblasti cookies.

Hoci ICO zatiaľ neudelilo významné finančné pokuty konkrétne za porušenia týkajúce sa cookies, trend jednoznačne smeruje k prísnejšiemu presadzovaniu. Regulátor uviedol, že očakáva, že organizácie budú teraz v súlade, a že kroky na presadzovanie budú nasledovať voči tým, ktorí sa nezlepšia.

Medzinárodné prenosy údajov: Spojené kráľovstvo do EÚ a ďalej

Súhlas s cookies sa prekrýva s medzinárodnými prenosmi údajov dôležitým spôsobom. Keď analytické alebo reklamné cookies odosielajú údaje na servery mimo Spojeného kráľovstva — ako Google Analytics odosiela údaje na servery Google a Facebook Pixel odosiela údaje na servery Meta — tieto predstavujú medzinárodné prenosy údajov podľa UK GDPR.

Súčasné usporiadania:

• Spojené kráľovstvo do EHP: Údaje prúdia voľne na základe uznania primeranosti EHP zo strany Spojeného kráľovstva.
• Spojené kráľovstvo do USA: UK Extension to the EU-US Data Privacy Framework poskytuje mechanizmus pre prenosy do certifikovaných amerických organizácií. Google a Meta sú certifikované v rámci tohto systému.
• Spojené kráľovstvo do iných krajín: Sú vyžadované primerané záruky, ako sú Standard Contractual Clauses (britská verzia) alebo záväzné firemné pravidlá.

Pre praktické účely, ak používate Google Analytics, Google Ads alebo iné hlavné reklamné platformy, mechanizmy medzinárodného prenosu sú k dispozícii. Mali by ste však zdokumentovať tieto prenosy vo svojich zásadách ochrany súkromia a zabezpečiť, aby váš cookie banner uvádzal, že údaje môžu byť prenášané medzinárodne.

FlexyConsent geo-targeting pre súlad špecifický pre Spojené kráľovstvo

FlexyConsent poskytuje špecializované geo-targeting pre britských návštevníkov, čím zabezpečuje súlad so špecifickým regulačným rámcom Spojeného kráľovstva:

• PECR-kompatibilný banner: Britskí návštevníci vidia banner súhlasu, ktorý spĺňa požiadavky ICO, vrátane rovnako prominentnej možnosti odmietnutia a podrobných ovládacích prvkov kategórií. Žiadne cookies sa nenastavujú, kým nie je prijatý potvrdzujúci súhlas.
• Oddelené od konfigurácie EÚ: Hoci sú požiadavky podobné, FlexyConsent zachováva schopnosť konfigurovať skúsenosti so súhlasom pre Spojené kráľovstvo a EÚ nezávisle. To chráni vašu implementáciu do budúcnosti pred potenciálnou regulačnou divergenciou Spojené kráľovstvo-EÚ.
• Dizajn zosúladený s ICO: Predvolené šablóny bannerov FlexyConsent sledujú usmernenia ICO o vyhýbaní sa tmavým vzorom. Možnosti prijatia a odmietnutia sú vizuálne rovnocenné, jazyk je neutrálny a dizajn nemanipuluje s voľbami používateľov.
• Integrácia Consent Mode V2: Ako Google certifikovaný CMP odosiela FlexyConsent správne signály súhlasu do služieb Google pre britských návštevníkov. To zabezpečuje, že modelovanie konverzií a Smart Bidding naďalej fungujú správne pri rešpektovaní britských požiadaviek na súhlas.
• Podpora IAB TCF 2.3: Pre vydavateľov využívajúcich programatickú reklamu generuje FlexyConsent reťazce súhlasu TCF vhodné pre Spojené kráľovstvo, ktoré sú uznávané platformami demand-side a supply-side pôsobiacimi na britskom trhu.

FlexyConsent je k dispozícii s plánmi od 0 EUR mesačne, s natívnymi integráciami pre WordPress, Shopify a PrestaShop. Najmä pre britské spoločnosti implementácia certifikovaného CMP preukazuje proaktívny súlad voči ICO — faktor, o ktorom regulátor naznačil, že ho zohľadňuje pri rozhodovaní o krokoch na presadzovanie.

Kľúčový záver: Rámec ochrany súkromia Spojeného kráľovstva po Brexite úzko zrkadlí rámec EÚ, ale funguje pod vlastným regulátorom, vlastnými vzorcami presadzovania a potenciálne vlastným budúcim legislatívnym smerovaním. Zaobchádzanie s britskými návštevníkmi ako s podliehajúcimi rovnakým pravidlám ako návštevníci z EÚ je zatiaľ bezpečné, ale zachovanie schopnosti konfigurovať skúsenosti so súhlasom špecifické pre Spojené kráľovstvo pozicionuje vašu stránku na prispôsobenie sa, keď sa oba rámce potenciálne rozchádzajú. Geo-vedomý CMP je najpraktickejším spôsobom riadenia tejto zložitosti.