Пејзаж приватности Уједињеног Краљевства након Брегзита

Када је Уједињено Краљевство напустило Европску унију, није оставило заштиту података иза себе. Уједињено Краљевство је укључило EU GDPR у домаће законодавство као UK GDPR, заједно са Data Protection Act 2018. Конкретно за колачиће, Privacy and Electronic Communications Regulations (PECR) — британска имплементација Директиве ePrivacy — наставља да се примењује. Резултат је оквир приватности који блиско одражава оквир ЕУ, али се спроводи независно од стране британског Information Commissioner's Office (ICO).

За оператере веб-сајтова, ово значи да услуживање британских посетилаца захтева пажњу према посебном скупу правила, смерница и образаца спровођења. Иако је суштина слична EU GDPR, нијансе су важне.

UK GDPR наспрам EU GDPR: Кључне разлике

UK GDPR је суштински идентичан EU GDPR у својим основним принципима и захтевима. Међутим, од Брегзита су се појавиле неколико разлика:

• Надзорни орган: ICO је једини надзорни орган за UK GDPR, замењујући улогу органа за заштиту података ЕУ. Не можете бити кажњени и од стране ICO и од стране DPA ЕУ за исту активност обраде података која утиче само на становнике Уједињеног Краљевства.
• Адекватност података: ЕУ је Уједињеном Краљевству доделила одлуку о адекватности у јуну 2021, омогућавајући слободан проток личних података из ЕУ у Уједињено Краљевство. Ова одлука подлеже периодичном прегледу. Уједињено Краљевство је реципрочно признало ЕЕА као адекватан.
• Међународни трансфери: Уједињено Краљевство има сопствени оквир за међународне трансфере података, где Secretary of State (уместо Европске комисије) доноси одлуке о адекватности. Уједињено Краљевство је сигнализирало флексибилнији приступ међународним трансферима, иако основне заштитне мере остају.
• Приступ спровођењу: ICO је историјски давао предност ангажовању и смерницама над агресивним кажњавањем. Максималне казне по UK GDPR одговарају онима у ЕУ: до 17,5 милиона GBP или 4 процента глобалног годишњег промета, у зависности од тога шта је веће.
• Потенцијална дивергенција: Британска влада је разматрала реформе кроз Data Protection and Digital Information Bill, који би могао увести промене у процене легитимног интереса, истраживачке изузетке и улогу службеника за заштиту података. Оператери веб-сајтова треба да прате ову легислатуру за будуће промене.

PECR: Британски закон о колачићима

Док UK GDPR пружа општи оквир за обраду личних података, PECR конкретно уређује колачиће и сличне технологије. PECR претходи GDPR и имплементира Директиву ePrivacy ЕУ у британском праву. Кључни захтеви за колачиће су:

• Сагласност је потребна пре постављања било којих неесенцијалних колачића на уређај корисника. Ово укључује аналитичке колачиће, рекламне колачиће и колачиће друштвених мрежа.
• Морају се пружити информације о томе који колачићи се постављају и за шта се користе, на јасном и разумљивом језику.
• Сагласност мора бити слободно дата, конкретна и информисана. Унапред означена поља не представљају важећу сагласност.
• Строго неопходни колачићи су изузети. Колачићи који су есенцијални за услугу коју је корисник изричито затражио (као што су колачићи сесије за функционалност пријављивања или колачићи корпе за куповину) не захтевају сагласност.

Стандард сагласности PECR је усклађен са дефиницијом сагласности GDPR, што значи да су у пракси захтеви веома слични онима из Директиве ePrivacy ЕУ. Банер колачића који је усклађен са правилима ЕУ ће генерално бити усклађен и са PECR.

Смернице ICO за банере колачића

ICO је објавио детаљне смернице о усклађености колачића које превазилазе текст самог PECR. Кључне тачке из смерница ICO укључују:

Сагласност мора бити потврдна

Једноставно настављање прегледања веб-сајта не представља сагласност. ICO изричито наводи да имплицитна сагласност није важећа. Корисници морају предузети јасну, позитивну радњу (као што је клик на дугме "Прихвати") пре него што се неесенцијални колачићи могу поставити.

Одбијање мора бити једнако лако

ICO је све гласнији о тамним обрасцима у банерима колачића. Конкретно:

• Опција "Одбиј све" или еквивалентна мора бити доступна на истом нивоу као "Прихвати све". Скривање опције одбијања иза екрана "Управљај подешавањима" није прихватљиво.
• Визуелни дизајн не треба да користи боју, величину или позиционирање за манипулисање корисника ка прихватању.
• Језик мора бити неутралан и не сме бити осмишљен да изазове осећај кривице или врши притисак на кориснике да дају сагласност.

Детаљна контрола категорија

Корисници треба да имају могућност да дају сагласност за одређене категорије колачића (аналитички, маркетиншки, функционални) уместо да буду приморани на избор све или ништа. Иако ICO не захтева одређени број категорија, пружање детаљне контроле показује добру праксу и може бити потребно према принципу ограничења сврхе GDPR.

Зидови колачића су проблематични

ICO сматра зидове колачића — где се приступ веб-сајту одбија осим ако корисник не прихвати све колачиће — као мало вероватно да представљају важећу сагласност јер сагласност не би била слободно дата. Изузеци могу постојати за плаћени садржај где се нуди истинска алтернатива без колачића.

Недавне акције спровођења ICO

ICO је последњих година стално повећавао свој фокус на усклађеност колачића. Значајне акције укључују:

• Секторске ревизије: ICO је спровео ревизије 100 најбољих британских веб-сајтова у више сектора, објављујући налазе који су истакли широко распрострањену неусклађеност. Уобичајени проблеми су укључивали постављање колачића пре сагласности, недостатак опције одбијања и неадекватне информације о сврхама колачића.
• Писма упозорења: Након ревизија, ICO је издао писма упозорења организацијама чије праксе колачића нису биле на нивоу. Већина организација је ускладила своје праксе након пријема ових писама.
• Истраге adtech: ICO је спровео текуће истраге екосистема real-time bidding, изражавајући забринутост због обима личних података који се деле кроз програматске рекламне колачиће без адекватне сагласности.
• Спровођење у јавном сектору: ICO није изузео владине веб-сајтове, издајући смернице и упозорења организацијама јавног сектора о њиховим праксама колачића.

Иако ICO још увек није издао значајне финансијске казне конкретно за кршења колачића, тренд је јасно ка строжем спровођењу. Регулатор је изјавио да очекује да организација буду усклађене сада и да ће акције спровођења уследити за оне који се не побољшају.

Међународни трансфери података: Уједињено Краљевство ка ЕУ и даље

Сагласност за колачиће се пресеца са међународним трансферима података на важан начин. Када аналитички или рекламни колачићи шаљу податке на сервере ван Уједињеног Краљевства — као што Google Analytics шаље податке на Гуглове сервере, а Facebook Pixel шаље податке на Метине сервере — ови представљају међународне трансфере података према UK GDPR.

Тренутни аранжмани:

• Уједињено Краљевство ка ЕЕА: Подаци слободно теку на основу признања адекватности ЕЕА од стране Уједињеног Краљевства.
• Уједињено Краљевство ка САД: UK Extension to the EU-US Data Privacy Framework обезбеђује механизам за трансфере ка сертификованим америчким организацијама. Google и Meta су сертификовани у оквиру овог система.
• Уједињено Краљевство ка другим земљама: Потребне су одговарајуће заштитне мере као што су Standard Contractual Clauses (британска верзија) или обавезујућа корпоративна правила.

У практичне сврхе, ако користите Google Analytics, Google Ads или друге велике рекламне платформе, механизми за међународни трансфер су успостављени. Међутим, треба да документујете ове трансфере у својој политици приватности и обезбедите да ваш банер колачића помиње да се подаци могу преносити међународно.

FlexyConsent гео-таргетирање за усклађеност специфичну за Уједињено Краљевство

FlexyConsent обезбеђује наменско гео-таргетирање за британске посетиоце, осигуравајући усклађеност са специфичним регулаторним оквиром Уједињеног Краљевства:

• PECR-усклађен банер: Британски посетиоци виде банер сагласности који испуњава захтеве ICO, укључујући једнако истакнуту опцију одбијања и детаљне контроле категорија. Ниједан колачић се не поставља док се не прими потврдна сагласност.
• Одвојено од конфигурације ЕУ: Иако су захтеви слични, FlexyConsent одржава могућност независне конфигурације искустава сагласности за Уједињено Краљевство и ЕУ. Ово обезбеђује вашу имплементацију за будућност против потенцијалне регулаторне дивергенције Уједињено Краљевство-ЕУ.
• Дизајн усклађен са ICO: Подразумевани шаблони банера FlexyConsent прате смернице ICO о избегавању тамних образаца. Опције прихватања и одбијања су визуелно једнаке, језик је неутралан, а дизајн не манипулише избором корисника.
• Интеграција Consent Mode V2: Као Google сертификован CMP, FlexyConsent шаље исправне сигнале сагласности Google услугама за британске посетиоце. Ово осигурава да моделирање конверзија и Smart Bidding настављају да функционишу исправно уз поштовање британских захтева за сагласност.
• Подршка за IAB TCF 2.3: За издаваче који користе програматско оглашавање, FlexyConsent генерише низове сагласности TCF прикладне за Уједињено Краљевство који су препознати од стране demand-side платформи и supply-side платформи које послују на британском тржишту.

FlexyConsent је доступан са плановима почевши од 0 EUR месечно, са изворним интеграцијама за WordPress, Shopify и PrestaShop. Посебно за британска предузећа, имплементација сертификованог CMP демонстрира проактивну усклађеност према ICO — фактор за који је регулатор назначио да га узима у обзир приликом одлучивања о акцијама спровођења.

Кључни закључак: Оквир приватности Уједињеног Краљевства након Брегзита блиско одражава оквир ЕУ, али функционише под сопственим регулатором, сопственим обрасцима спровођења и потенцијално сопственим будућим законодавним правцем. Третирање британских посетилаца као подложних истим правилима као посетиоци из ЕУ је за сада безбедно, али одржавање могућности конфигурисања искустава сагласности специфичних за Уједињено Краљевство позиционира ваш сајт да се прилагоди како се два оквира потенцијално разилазе. Гео-свестан CMP је најпрактичнији начин управљања овом сложеношћу.