Pokrajina zasebnosti Združenega kraljestva po Brexitu

Ko je Združeno kraljestvo zapustilo Evropsko unijo, ni opustilo varstva podatkov. Združeno kraljestvo je EU GDPR vključilo v domačo zakonodajo kot UK GDPR, skupaj z Data Protection Act 2018. Posebej za piškotke se Privacy and Electronic Communications Regulations (PECR) — britanska implementacija direktive ePrivacy — še naprej uporabljajo. Rezultat je okvir zasebnosti, ki natančno zrcali okvir EU, vendar ga neodvisno uveljavlja britanski Information Commissioner's Office (ICO).

Za upravljavce spletnih strani to pomeni, da storitev britanskim obiskovalcem zahteva pozornost do ločenega nabora pravil, smernic in vzorcev uveljavljanja. Čeprav je vsebina podobna EU GDPR, so nianse pomembne.

UK GDPR vs EU GDPR: Ključne razlike

UK GDPR je v bistvu enak EU GDPR v svojih temeljnih načelih in zahtevah. Vendar se je od Brexita pojavilo več razlik:

• Nadzorni organ: ICO je edini nadzorni organ za UK GDPR, ki nadomešča vlogo organov za varstvo podatkov EU. Ne morete biti kaznovani tako s strani ICO kot tudi DPA EU za isto dejavnost obdelave podatkov, ki zadeva le prebivalce Združenega kraljestva.
• Ustreznost podatkov: EU je Združenemu kraljestvu junija 2021 podelila sklep o ustreznosti, ki omogoča prost pretok osebnih podatkov iz EU v Združeno kraljestvo. Ta sklep je predmet rednega pregleda. Združeno kraljestvo je vzajemno priznalo EGP kot ustreznega.
• Mednarodni prenosi: Združeno kraljestvo ima svoj lastni okvir za mednarodne prenose podatkov, kjer Secretary of State (namesto Evropske komisije) sprejema sklepe o ustreznosti. Združeno kraljestvo je signaliziralo bolj prožen pristop k mednarodnim prenosom, čeprav temeljni zaščitni ukrepi ostajajo.
• Pristop k uveljavljanju: ICO je zgodovinsko dajal prednost angažmaju in usmerjanju pred agresivnim kaznovanjem. Največje globe po UK GDPR ustrezajo tistim v EU: do 17,5 milijona GBP ali 4 odstotke svetovnega letnega prometa, odvisno od tega, kateri znesek je višji.
• Potencialna divergenca: Britanska vlada je razmišljala o reformah prek Data Protection and Digital Information Bill, ki bi lahko uvedel spremembe v ocenah zakonitega interesa, raziskovalnih izjemah in vlogi pooblaščenih oseb za varstvo podatkov. Upravljavci spletnih strani bi morali spremljati to zakonodajo glede prihodnjih sprememb.

PECR: Britanski zakon o piškotkih

Medtem ko UK GDPR zagotavlja splošni okvir za obdelavo osebnih podatkov, PECR specifično ureja piškotke in podobne tehnologije. PECR je starejši od GDPR in implementira direktivo ePrivacy EU v britansko zakonodajo. Ključne zahteve za piškotke so:

• Soglasje je zahtevano pred nastavitvijo kakršnih koli nebistvenih piškotkov na uporabnikovi napravi. To vključuje analitične piškotke, oglaševalske piškotke in piškotke družbenih medijev.
• Zagotoviti je treba informacije o tem, kateri piškotki se nastavljajo in za kaj se uporabljajo, v jasnem in razumljivem jeziku.
• Soglasje mora biti svobodno dano, specifično in obveščeno. Vnaprej označena polja ne predstavljajo veljavnega soglasja.
• Nujno potrebni piškotki so izvzeti. Piškotki, ki so bistveni za storitev, ki jo je uporabnik izrecno zahteval (kot so sejni piškotki za funkcionalnost prijave ali piškotki nakupovalne košarice), ne zahtevajo soglasja.

Standard soglasja PECR je usklajen z definicijo soglasja GDPR, kar pomeni, da so zahteve v praksi zelo podobne tistim iz direktive ePrivacy EU. Pasica piškotkov, ki je skladna s pravili EU, bo na splošno skladna tudi s PECR.

Smernice ICO za pasice piškotkov

ICO je objavil podrobne smernice o skladnosti s piškotki, ki presegajo besedilo samega PECR. Ključne točke iz smernic ICO vključujejo:

Soglasje mora biti potrditveno

Preprosto nadaljevanje brskanja po spletni strani ne predstavlja soglasja. ICO izrecno navaja, da implicitno soglasje ni veljavno. Uporabniki morajo izvesti jasno, pozitivno dejanje (kot je klik na gumb "Sprejmi") preden se lahko nastavijo nebistveni piškotki.

Zavrnitev mora biti enako enostavna

ICO je vse bolj glasen o temnih vzorcih v pasicah piškotkov. Natančneje:

• Možnost "Zavrni vse" ali enakovredna možnost mora biti na voljo na isti ravni kot "Sprejmi vse". Skrivanje možnosti zavrnitve za zaslonom "Upravljaj nastavitve" ni sprejemljivo.
• Vizualna zasnova ne sme uporabljati barve, velikosti ali pozicioniranja za manipulacijo uporabnikov v smeri sprejema.
• Jezik mora biti nevtralen in ne sme biti zasnovan za zbujanje krivde ali pritiskanje uporabnikov k soglasju.

Podrobni nadzor kategorij

Uporabniki bi morali imeti možnost soglašati s specifičnimi kategorijami piškotkov (analitični, trženjski, funkcionalni) namesto da bi bili prisiljeni v izbiro vse ali nič. Čeprav ICO ne zahteva specifičnega števila kategorij, zagotavljanje podrobnega nadzora dokazuje dobro prakso in je lahko zahtevano po načelu omejitve namena GDPR.

Zidovi piškotkov so problematični

ICO meni, da zidovi piškotkov — kjer je dostop do spletne strani zavrnjen, razen če uporabnik sprejme vse piškotke — verjetno ne predstavljajo veljavnega soglasja, ker soglasje ne bi bilo dano svobodno. Izjeme lahko obstajajo za plačljivo vsebino, kjer je ponujena resnična alternativa brez piškotkov.

Nedavni ukrepi ICO za uveljavljanje

ICO je v zadnjih letih vztrajno povečeval svoj poudarek na skladnosti s piškotki. Opazni ukrepi vključujejo:

• Sektorske revizije: ICO je izvedel revizije 100 najboljših britanskih spletnih strani v več sektorjih, pri čemer je objavil ugotovitve, ki so poudarile razširjeno neskladnost. Pogosti problemi so vključevali nastavljanje piškotkov pred soglasjem, pomanjkanje možnosti zavrnitve in neustrezne informacije o namenih piškotkov.
• Opozorilna pisma: Po revizijah je ICO izdal opozorilna pisma organizacijam, katerih prakse glede piškotkov niso bile ustrezne. Večina organizacij je uskladila svoje prakse po prejemu teh pisem.
• Preiskave adtech: ICO je izvedel tekoče preiskave ekosistema real-time bidding, pri čemer je izrazil zaskrbljenost glede obsega osebnih podatkov, ki se delijo prek programatičnih oglaševalskih piškotkov brez ustreznega soglasja.
• Uveljavljanje v javnem sektorju: ICO ni izvzel vladnih spletnih strani in je izdal smernice ter opozorila organizacijam javnega sektorja glede njihovih praks piškotkov.

Čeprav ICO še ni izrekel pomembnih finančnih kazni konkretno za kršitve piškotkov, trend jasno kaže v smeri strožjega uveljavljanja. Regulator je izjavil, da pričakuje, da bodo organizacije zdaj skladne in da bodo ukrepi za uveljavljanje sledili za tiste, ki se ne izboljšajo.

Mednarodni prenosi podatkov: Združeno kraljestvo v EU in naprej

Soglasje za piškotke se prekriva z mednarodnimi prenosi podatkov na pomemben način. Ko analitični ali oglaševalski piškotki pošiljajo podatke na strežnike zunaj Združenega kraljestva — kot Google Analytics pošilja podatke na Googlove strežnike in Facebook Pixel pošilja podatke na Metine strežnike — ti predstavljajo mednarodne prenose podatkov po UK GDPR.

Trenutne ureditve:

• Združeno kraljestvo v EGP: Podatki prosto tečejo na podlagi priznanja ustreznosti EGP s strani Združenega kraljestva.
• Združeno kraljestvo v ZDA: UK Extension to the EU-US Data Privacy Framework zagotavlja mehanizem za prenose v certificirane ameriške organizacije. Google in Meta sta certificirana v okviru tega sistema.
• Združeno kraljestvo v druge države: Zahtevani so ustrezni zaščitni ukrepi, kot so Standard Contractual Clauses (britanska različica) ali zavezujoča korporativna pravila.

V praktičnem smislu, če uporabljate Google Analytics, Google Ads ali druge glavne oglaševalske platforme, so mehanizmi za mednarodni prenos vzpostavljeni. Vendar pa bi morali te prenose dokumentirati v svoji politiki zasebnosti in zagotoviti, da vaša pasica piškotkov omenja, da se podatki lahko prenašajo mednarodno.

FlexyConsent geo-targeting za skladnost, specifično za Združeno kraljestvo

FlexyConsent zagotavlja namensko geo-targeting za britanske obiskovalce, kar zagotavlja skladnost s specifičnim regulativnim okvirom Združenega kraljestva:

• PECR-skladna pasica: Britanski obiskovalci vidijo pasico soglasja, ki izpolnjuje zahteve ICO, vključno z enako vidno možnostjo zavrnitve in podrobnimi nadzornimi elementi kategorij. Noben piškotek se ne nastavi, dokler ni prejeto potrditveno soglasje.
• Ločeno od konfiguracije EU: Čeprav so zahteve podobne, FlexyConsent ohranja zmožnost neodvisne konfiguracije izkušenj soglasja za Združeno kraljestvo in EU. To vašo implementacijo pripravi na prihodnost pred potencialno regulativno divergenco Združeno kraljestvo-EU.
• Zasnova, usklajena z ICO: Privzete predloge pasic FlexyConsent sledijo smernicam ICO o izogibanju temnim vzorcem. Možnosti sprejema in zavrnitve so vizualno enake, jezik je nevtralen in zasnova ne manipulira uporabniških izbir.
• Integracija Consent Mode V2: Kot Google-certificiran CMP FlexyConsent pošilja pravilne signale soglasja storitvam Google za britanske obiskovalce. To zagotavlja, da modeliranje konverzij in Smart Bidding še naprej pravilno delujeta ob spoštovanju britanskih zahtev glede soglasja.
• Podpora IAB TCF 2.3: Za založnike, ki uporabljajo programatično oglaševanje, FlexyConsent generira nize soglasja TCF, primerne za Združeno kraljestvo, ki jih prepoznavajo platforme demand-side in supply-side, ki delujejo na britanskem trgu.

FlexyConsent je na voljo z načrti od 0 EUR na mesec, z domačimi integracijami za WordPress, Shopify in PrestaShop. Zlasti za britanska podjetja implementacija certificiranega CMP dokazuje proaktivno skladnost do ICO — dejavnik, za katerega je regulator nakazal, da ga upošteva pri odločanju o ukrepih za uveljavljanje.

Ključni zaključek: Okvir zasebnosti Združenega kraljestva po Brexitu natančno zrcali okvir EU, vendar deluje pod lastnim regulatorjem, lastnimi vzorci uveljavljanja in potencialno lastno prihodnjo zakonodajno smerjo. Obravnavanje britanskih obiskovalcev kot podrejenih istim pravilom kot obiskovalci iz EU je za zdaj varno, vendar ohranjanje zmožnosti konfiguriranja izkušenj soglasja, specifičnih za Združeno kraljestvo, pozicionira vašo stran za prilagajanje, ko se oba okvira potencialno razhajata. Geo-ozaveščen CMP je najbolj praktičen način upravljanja te kompleksnosti.