Peizazhi i privatësisë në Mbretërinë e Bashkuar pas Brexit-it

Kur Mbretëria e Bashkuar u largua nga Bashkimi Europian, nuk e la pas mbrojtjen e të dhënave. Mbretëria e Bashkuar përfshiu EU GDPR në legjislacionin kombëtar si UK GDPR, së bashku me Data Protection Act 2018. Në mënyrë specifike për cookie-t, Privacy and Electronic Communications Regulations (PECR) — zbatimi britanik i Direktivës ePrivacy — vazhdon të zbatohet. Rezultati është një kornizë privatësie që pasqyron nga afër atë të BE-së, por zbatohet në mënyrë të pavarur nga Information Commissioner's Office (ICO) e Mbretërisë së Bashkuar.

Për operatorët e faqeve të internetit, kjo do të thotë se shërbimi ndaj vizitorëve britanikë kërkon vëmendje ndaj një grupi të veçantë rregullash, udhëzimesh dhe modelesh zbatimi. Ndërsa thelbi është i ngjashëm me EU GDPR, nuancat kanë rëndësi.

UK GDPR kundrejt EU GDPR: Dallimet kryesore

UK GDPR është në thelb identik me EU GDPR në parimet dhe kërkesat e tij thelbësore. Megjithatë, disa dallime kanë dalë në pah që nga Brexit-i:

• Autoriteti mbikëqyrës: ICO është autoriteti i vetëm mbikëqyrës për UK GDPR, duke zëvendësuar rolin e autoriteteve të mbrojtjes së të dhënave të BE-së. Nuk mund të gjobitet nga ICO dhe nga një DPA e BE-së për të njëjtën aktivitet të përpunimit të të dhënave që prek vetëm banorët e Mbretërisë së Bashkuar.
• Përshtatshmëria e të dhënave: BE-ja i dha Mbretërisë së Bashkuar një vendim përshtatshmërie në qershor 2021, duke lejuar rrjedhjen e lirë të të dhënave personale nga BE në Mbretërinë e Bashkuar. Ky vendim i nënshtrohet rishikimit periodik. Mbretëria e Bashkuar ka njohur reciprokisht ZEE-në si të përshtatshme.
• Transfertat ndërkombëtare: Mbretëria e Bashkuar ka kornizën e vet për transfertat ndërkombëtare të të dhënave, ku Secretary of State (në vend të Komisionit Europian) merr vendime përshtatshmërie. Mbretëria e Bashkuar ka sinjalizuar një qasje më fleksibël ndaj transfertave ndërkombëtare, edhe pse mbrojtjet themelore mbeten.
• Qasja e zbatimit: ICO ka favorizuar historikisht angazhimin dhe udhëzimin mbi gjobat agresive. Gjobat maksimale sipas UK GDPR pasqyrojnë ato të BE-së: deri në 17,5 milionë GBP ose 4 përqind të xhiros vjetore globale, cilado që është më e lartë.
• Divergjenca e mundshme: Qeveria britanike ka shqyrtuar reforma përmes Data Protection and Digital Information Bill, i cili mund të paraqesë ndryshime në vlerësimet e interesit legjitim, përjashtimet e kërkimit dhe rolin e Zyrtarëve të Mbrojtjes së të Dhënave. Operatorët e faqeve të internetit duhet të monitorojnë këtë legjislacion për ndryshime të ardhshme.

PECR: Ligji i cookie-ve i Mbretërisë së Bashkuar

Ndërsa UK GDPR siguron kornizën e përgjithshme për përpunimin e të dhënave personale, PECR qeveris në mënyrë specifike cookie-t dhe teknologjitë e ngjashme. PECR i paraprin GDPR dhe zbaton Direktivën ePrivacy të BE-së në legjislacionin britanik. Kërkesat e tij kryesore për cookie-t janë:

• Pëlqimi kërkohet para vendosjes së çdo cookie jo-thelbësor në pajisjen e një përdoruesi. Kjo përfshin cookie-t analitike, cookie-t e reklamave dhe cookie-t e mediave sociale.
• Duhet të sigurohet informacion për atë se cilat cookie po vendosen dhe për çfarë përdoren, në gjuhë të qartë dhe të thjeshtë.
• Pëlqimi duhet të jetë i dhënë lirisht, specifik dhe i informuar. Kutitë e para-zgjedhura nuk përbëjnë pëlqim të vlefshëm.
• Cookie-t rreptësisht të nevojshme janë të përjashtuara. Cookie-t që janë thelbësore për një shërbim të kërkuar në mënyrë eksplicite nga përdoruesi (si cookie-t e sesionit për funksionalitetin e hyrjes ose cookie-t e shportës së blerjeve) nuk kërkojnë pëlqim.

Standardi i pëlqimit të PECR përputhet me përkufizimin e pëlqimit nga GDPR, që do të thotë se në praktikë, kërkesat janë shumë të ngjashme me ato sipas Direktivës ePrivacy të BE-së. Një baner cookie që është në përputhje me rregullat e BE-së do të jetë përgjithësisht në përputhje edhe me PECR.

Udhëzimet e ICO për banerat e cookie-ve

ICO ka publikuar udhëzime të detajuara mbi pajtueshmërinë e cookie-ve që shkojnë përtej tekstit të vetë PECR. Pikat kryesore nga udhëzimet e ICO përfshijnë:

Pëlqimi duhet të jetë pohues

Thjesht vazhdimi i shfletimit në një faqe interneti nuk përbën pëlqim. ICO deklaron në mënyrë eksplicite se pëlqimi i nënkuptuar nuk është i vlefshëm. Përdoruesit duhet të ndërmarrin një veprim të qartë dhe pozitiv (si klikimi në një buton "Prano") para se cookie-t jo-thelbësore të mund të vendosen.

Refuzimi duhet të jetë po aq i lehtë

ICO ka qenë gjithnjë e më zëshëm rreth modeleve të errëta në banerat e cookie-ve. Në veçanti:

• Një opsion "Refuzo të gjitha" ose ekuivalent duhet të jetë i disponueshëm në të njëjtin nivel si "Prano të gjitha". Fshehja e opsionit të refuzimit pas një ekrani "Menaxho preferencat" nuk është e pranueshme.
• Dizajni vizual nuk duhet të përdorë ngjyrën, madhësinë ose pozicionimin për të manipuluar përdoruesit drejt pranimit.
• Gjuha duhet të jetë neutrale dhe nuk duhet të jetë e dizajnuar për të fajësuar ose për të ushtruar presion mbi përdoruesit për të dhënë pëlqimin.

Kontrolli i detajuar i kategorive

Përdoruesit duhet të jenë në gjendje të japin pëlqimin për kategori specifike cookie-sh (analitike, marketingu, funksionale) në vend që të detyrohen në një zgjedhje të gjitha ose asnjë. Edhe pse ICO nuk kërkon një numër specifik kategorish, sigurimi i kontrollit të detajuar demonstron praktikë të mirë dhe mund të kërkohet sipas parimit të kufizimit të qëllimit të GDPR.

Muret e cookie-ve janë problematike

ICO e konsideron muret e cookie-ve — ku qasja në një faqe interneti refuzohet nëse përdoruesi nuk pranon të gjitha cookie-t — si të pamundshme të përbëjnë pëlqim të vlefshëm sepse pëlqimi nuk do të ishte dhënë lirisht. Përjashtime mund të ekzistojnë për përmbajtje me pagesë ku ofrohet një alternativë e vërtetë pa cookie.

Veprimet e fundit të zbatimit nga ICO

ICO ka rritur në mënyrë të vazhdueshme fokusin e tij mbi pajtueshmërinë e cookie-ve vitet e fundit. Veprimet e dukshme përfshijnë:

• Auditime sektoriale: ICO ka kryer auditime të 100 faqeve më të mëdha britanike të internetit në sektorë të shumtë, duke publikuar gjetje që theksuan mospërputhjen e gjerë. Çështjet e zakonshme përfshinin vendosjen e cookie-ve para pëlqimit, mungesën e një opsioni refuzimi dhe informacion të pamjaftueshëm mbi qëllimet e cookie-ve.
• Letra paralajmëruese: Pas auditimeve, ICO lëshoi letra paralajmëruese organizatave, praktikat e të cilave për cookie-t nuk ishin në nivel. Shumica e organizatave i sollën praktikat e tyre në përputhje pas marrjes së këtyre letrave.
• Hetime adtech: ICO ka kryer hetime të vazhdueshme në ekosistemin e real-time bidding, duke ngritur shqetësime mbi volumin e të dhënave personale të ndara përmes cookie-ve të reklamave programatike pa pëlqim adekuat.
• Zbatimi në sektorin publik: ICO nuk ka përjashtuar faqet qeveritare të internetit, duke lëshuar udhëzime dhe paralajmërime organizatave të sektorit publik mbi praktikat e tyre të cookie-ve.

Edhe pse ICO nuk ka lëshuar ende gjoba financiare të rëndësishme në mënyrë specifike për shkelje cookie-sh, trendi është qartë drejt zbatimit më të rreptë. Rregullatori ka deklaruar se pret që organizatat të jenë në pajtueshmëri tani dhe se veprimet e zbatimit do të ndiqen për ata që nuk përmirësohen.

Transfertat ndërkombëtare të të dhënave: Mbretëria e Bashkuar në BE dhe më gjerë

Pëlqimi për cookie-t ndërpritet me transfertat ndërkombëtare të të dhënave në një mënyrë të rëndësishme. Kur cookie-t analitike ose të reklamave dërgojnë të dhëna në serverë jashtë Mbretërisë së Bashkuar — siç Google Analytics dërgon të dhëna në serverët e Google, dhe Facebook Pixel dërgon të dhëna në serverët e Meta — këto përbëjnë transferta ndërkombëtare të të dhënave sipas UK GDPR.

Marrëveshjet aktuale:

• Mbretëria e Bashkuar në ZEE: Të dhënat rrjedhin lirisht sipas njohjes së përshtatshmërisë së ZEE nga Mbretëria e Bashkuar.
• Mbretëria e Bashkuar në SHBA: UK Extension to the EU-US Data Privacy Framework siguron një mekanizëm për transferta në organizata amerikane të çertifikuara. Google dhe Meta janë të çertifikuara sipas këtij kuadri.
• Mbretëria e Bashkuar në vende të tjera: Kërkohen masa mbrojtëse të përshtatshme si Standard Contractual Clauses (versioni britanik) ose rregulla korporative detyruese.

Për qëllime praktike, nëse përdorni Google Analytics, Google Ads ose platforma të tjera të mëdha reklamash, mekanizmat e transfertës ndërkombëtare janë në fuqi. Megjithatë, duhet t'i dokumentoni këto transferta në politikën tuaj të privatësisë dhe të siguroheni që baneri juaj i cookie-ve përmend se të dhënat mund të transferohen ndërkombëtarisht.

FlexyConsent geo-targeting për pajtueshmëri specifike për Mbretërinë e Bashkuar

FlexyConsent siguron geo-targeting të dedikuar për vizitorët britanikë, duke siguruar pajtueshmërinë me kornizën specifike rregullatore të Mbretërisë së Bashkuar:

• Baner në përputhje me PECR: Vizitorët britanikë shohin një baner pëlqimi që plotëson kërkesat e ICO, përfshirë një opsion refuzimi po aq të dukshëm dhe kontrolle të detajuara kategorish. Asnjë cookie nuk vendoset derisa të merret pëlqimi pohues.
• I ndarë nga konfigurimi i BE-së: Edhe pse kërkesat janë të ngjashme, FlexyConsent ruan aftësinë për të konfiguruar në mënyrë të pavarur përvojat e pëlqimit për Mbretërinë e Bashkuar dhe BE-në. Kjo e siguron implementimin tuaj për të ardhmen kundër divergjencës potenciale rregullatore Mbretëria e Bashkuar-BE.
• Dizajn i përshtatur me ICO: Modelet e parazgjedhura të banerave të FlexyConsent ndjekin udhëzimet e ICO mbi shmangien e modeleve të errëta. Opsionet e pranimit dhe refuzimit janë vizualisht të barabarta, gjuha është neutrale dhe dizajni nuk manipulon zgjedhjet e përdoruesve.
• Integrimi i Consent Mode V2: Si një CMP i çertifikuar nga Google, FlexyConsent dërgon sinjale të sakta pëlqimi tek shërbimet Google për vizitorët britanikë. Kjo siguron që modelimi i konvertimeve dhe Smart Bidding vazhdojnë të funksionojnë saktë duke respektuar kërkesat e pëlqimit të Mbretërisë së Bashkuar.
• Mbështetje IAB TCF 2.3: Për botuesit që përdorin reklamim programatik, FlexyConsent gjeneron vargje pëlqimi TCF të përshtatshme për Mbretërinë e Bashkuar që njihen nga platformat demand-side dhe supply-side që operojnë në tregun britanik.

FlexyConsent është i disponueshëm me plane duke filluar nga 0 EUR në muaj, me integrime native për WordPress, Shopify dhe PrestaShop. Për bizneset britanike në veçanti, zbatimi i një CMP të çertifikuar demonstron pajtueshmëri proaktive ndaj ICO — një faktor që rregullatori ka treguar se e merr parasysh kur vendos veprimet e zbatimit.

Përfundimi kryesor: Korniza e privatësisë e Mbretërisë së Bashkuar pas Brexit-it pasqyron nga afër atë të BE-së, por operon nën rregullatorin e vet, modelet e veta të zbatimit dhe potencialisht drejtimin e vet legjislativ të ardhshëm. Trajtimi i vizitorëve britanikë si subjekt i të njëjtave rregulla si vizitorët e BE-së është i sigurt për momentin, por ruajtja e aftësisë për të konfiguruar përvoja pëlqimi specifike për Mbretërinë e Bashkuar e pozicionon faqen tuaj për t'u përshtatur ndërsa dy kornizat potencialisht divergjojnë. Një CMP i ndërgjegjshëm gjeografikisht është mënyra më praktike për të menaxhuar këtë kompleksitet.