การปฏิบัติตามกฎระเบียบ22 พฤษภาคม 2026 | FlexyConsent

UK GDPR และการยินยอมคุกกี้: ข้อกำหนดของ ICO หลัง Brexit

ภูมิทัศน์ความเป็นส่วนตัวของสหราชอาณาจักรหลัง Brexit

เมื่อสหราชอาณาจักรออกจากสหภาพยุโรป ก็ไม่ได้ละทิ้งการคุ้มครองข้อมูลไปด้วย สหราชอาณาจักรได้ผนวก EU GDPR เข้าสู่กฎหมายภายในประเทศในชื่อ UK GDPR ซึ่งทำงานควบคู่กับ Data Protection Act 2018 สำหรับคุกกี้โดยเฉพาะ Privacy and Electronic Communications Regulations (PECR) — กฎหมายที่ใช้บังคับ ePrivacy Directive ในสหราชอาณาจักร — ยังคงมีผลบังคับใช้ ผลลัพธ์คือกรอบการคุ้มครองความเป็นส่วนตัวที่มีโครงสร้างใกล้เคียงกับของสหภาพยุโรป แต่มีการบังคับใช้โดยหน่วยงานของสหราชอาณาจักรเองคือ Information Commissioner's Office (ICO)

สำหรับผู้ให้บริการเว็บไซต์ นั่นหมายความว่าการให้บริการผู้เยี่ยมชมจากสหราชอาณาจักรต้องให้ความสนใจกับชุดกฎ แนวทาง และรูปแบบการบังคับใช้ที่แตกต่างออกไป แม้เนื้อหาสาระจะคล้ายกับ EU GDPR แต่รายละเอียดปลีกย่อยก็มีความสำคัญ

UK GDPR เทียบกับ EU GDPR: ความแตกต่างสำคัญ

UK GDPR มีหลักการและข้อกำหนดหลักเกือบเหมือนกับ EU GDPR อย่างไรก็ตาม นับตั้งแต่ Brexit ก็เริ่มมีความแตกต่างบางประการปรากฏขึ้น:

หน่วยงานกำกับดูแล: ICO เป็นหน่วยงานกำกับดูแลเพียงแห่งเดียวสำหรับ UK GDPR แทนบทบาทของหน่วยงานคุ้มครองข้อมูลของประเทศสมาชิกสหภาพยุโรป คุณจะไม่ถูกปรับทั้งโดย ICO และหน่วยงานของสหภาพยุโรปสำหรับกิจกรรมประมวลผลข้อมูลเดียวกันที่กระทบเฉพาะผู้อยู่อาศัยในสหราชอาณาจักร
ความเพียงพอของการคุ้มครองข้อมูล: สหภาพยุโรปได้ให้การตัดสินใจเรื่องความเพียงพอแก่สหราชอาณาจักรในเดือนมิถุนายน 2021 ทำให้ข้อมูลส่วนบุคคลสามารถไหลจากสหภาพยุโรปมายังสหราชอาณาจักรได้อย่างเสรี การตัดสินใจนี้อยู่ภายใต้การทบทวนเป็นระยะ ฝั่งสหราชอาณาจักรก็ได้ยอมรับให้ EEA เป็นเขตอำนาจที่มีความเพียงพอเช่นกัน
การโอนข้อมูลระหว่างประเทศ: สหราชอาณาจักรมีกรอบการโอนข้อมูลระหว่างประเทศของตนเอง โดยให้ Secretary of State (แทน European Commission) เป็นผู้ตัดสินใจเรื่องความเพียงพอ สหร��ชอาณาจักรส่งสัญญาณถึงแนวทางที่ยืดหยุ่นมากขึ้นต่อการโอนข้อมูลระหว่างประเทศ แม้หลักการคุ้มครองหลักจะยังคงเดิม
แนวทางการบังคับใช้: โดยประวัติแล้ว ICO มักให้ความสำคัญกับการมีส่วนร่วมและการให้คำแนะนำมากกว่าการปรับอย่างเข้มงวด เพดานโทษปรับสูงสุดภายใต้ UK GDPR เหมือนกับของสหภาพยุโรป: สูงสุด 17.5 ล้านปอนด์ หรือ 4 เปอร์เซ็นต์ของรายได้รวมทั่วโลกต่อปี แล้วแต่จำนวนใดจะสูงกว่า
ความเป็นไปได้ในการแยกทาง: รัฐบาลสหราชอาณาจักรได้พิจารณาการปฏิรูปผ่านร่างกฎหมาย Data Protection and Digital Information Bill ซึ่งอาจเปลี่ยนแปลงการประเมิน legitimate interest ข้อยกเว้นด้านการวิจัย และบทบาทของ Data Protection Officers ผู้ให้บริการเว็บไซต์ควรติดตามความคืบหน้าของกฎหมายนี้เพื่อเตรียมรับการเปลี่ยนแปลงในอนาคต

PECR: กฎหมายคุกกี้ของสหราชอาณาจักร

ในขณะที่ UK GDPR เป็นกรอบทั่วไปสำหรับการประมวลผลข้อมูลส่วนบุคคล PECR เป็นกฎหมายที่กำกับดูแลคุกกี้และเทคโนโลยีที่คล้ายกันโดยเฉพาะ PECR มีผลบังคับใช้ก่อน GDPR และเป็นการนำ ePrivacy Directive ของสหภาพยุโรปมาใช้ในกฎหมายของสหราชอาณาจักร ข้อกำหนดหลักสำหรับคุกกี้ ได้แก่:

ต้องได้��ับความยินยอม ก่อนตั้งค่าคุกกี้ที่ไม่จำเป็นใด ๆ บนอุปกรณ์ของผู้ใช้ ซึ่งรวมถึงคุกกี้วิเคราะห์ คุกกี้โฆษณา และคุกกี้โซเชียลมีเดีย
ต้องให้ข้อมูล ว่ามีการตั้งค่าคุกกี้ใดบ้างและใช้ทำอะไร โดยอธิบายด้วยภาษาที่ชัดเจนและเข้าใจง่าย
ความยินยอมต้องเป็นไปโดยสมัครใจ เฉพาะเจาะจง และได้รับข้อมูลครบถ้วน กล่องติ๊กที่ถูกเลือกไว้ล่วงหน้าไม่ถือเป็นความยินยอมที่ถูกต้อง
คุกกี้ที่จำเป็นอย่างเคร่งครัดได้รับการยกเว้น คุกกี้ที่จำเป็นต่อการให้บริการที่ผู้ใช้ร้องขออย่างชัดแจ้ง (เช่น คุกกี้เซสชันสำหรับการเข้าสู่ระบบ หรือคุกกี้ตะกร้าสินค้า) ไม่จำเป็นต้องได้รับความยินยอม

มาตรฐานความยินยอมของ PECR สอดคล้องกับคำจำกัดความของความยินยอมภายใต้ GDPR ซึ่งหมายความว่าในทางปฏิบัติ ข้อกำหนดจะคล้ายกับที่กำหนดโดย ePrivacy Directive ของสหภาพยุโรปอย่างมาก แบนเนอร์คุกกี้ที่สอดคล้องกับกฎของสหภาพยุโรปโดยทั่วไปจะสอดคล้องกับ PECR ด้วย

แนวทางของ ICO เกี่ยวกับแบนเนอร์คุกกี้

ICO ได้เผยแพร่แนวทางโดยละเอียดเกี่ยวกับการปฏิบัติตามกฎคุกกี้ ซึ่งมีเนื้อหาละเอียดกว่าตัวบทของ PECR เอง ประเด็นสำคัญจากแนวทางของ ICO ได้แก่:

ความยินยอมต้องเป็นการกระทำเชิงยืนยัน

การที่ผู้ใช้เพียงแค่เลื่อนดูเว็บไซต์ต่อไปไม่ถือเป็นความยินยอม ICO ระบุอย่างชัดเจนว่า implied consent ไม่ถือเป็นความยินยอมที่ถูกต้อง ผู้ใช้ต้องดำเนินการอย่างชัดเจนและเป็นบวก (เช่น คลิกปุ่ม "ยอมรับ") ก่อนที่จะสามารถตั้งค่าคุกกี้ที่ไม่จำเป็นได้

การปฏิเสธต้องทำได้ง่ายพอ ๆ กับการยอมรับ

ICO แสดงจุดยืนที่ชัดเจนมากขึ้นเรื่อย ๆ เกี่ยวกับ dark patterns ในแบนเนอร์คุกกี้ โดยเฉพาะอย่างยิ่ง:

ต้องมีตัวเลือก "ปฏิเสธทั้งหมด" หรือเทียบเท่าในระดับเดียวกับ "ยอมรับทั้งหมด" การซ่อนตัวเลือกปฏิเสธไว้หลังหน้าจอ "จัดการการตั้งค่า" ถือว่าไม่ยอมรับได้
การออกแบบภาพไม่ควรใช้สี ขนาด หรือการจัดวางเพื่อชักจูงให้ผู้ใช้ยอมรับ
ภาษาที่ใช้ต้องเป็นกลาง และไม่ออกแบบมาเพื่อทำให้ผู้ใช้รู้สึกผิดหรือถูกกดดันให้ยินยอม

การควบคุมตามหมวดหมู่แบบละเอียด

ผู้ใช้ควรสามารถให้ความยินยอมตามหมวดหมู่ของคุกกี้ (เช่น analytics, marketing, functional) แทนที่จะถูกบังคับให้เลือกแบบยอมรับทั้งหมดหรือไม่ยอมรับเลย แม้ ICO จะไม่ได้กำหนดจำนวนหมวดหมู่ที่แน่นอน แต่การให้การควบคุมแบบละเอียดถือเป็นแนวปฏิบัติที่ดี และอาจจำเป็นตามหลักการจำกัดวัตถุประสงค์ของ GDPR

Cookie Wall เป็นแนวทางที่มีปัญหา

ICO มองว่า cookie walls — การที่ผู้ใช้ไม่สามารถเข้าถึงเว็บไซต์ได้หากไม่ยอมรับคุกกี้ทั้งหมด — มีแนวโน้มจะไม่ถือเป็นความยินยอมที่ถูกต้อง เพราะความยินยอมไม่ได้เป็นไปโดยสมัครใจอย่างแท้จริง อาจมีข้อยกเว้นสำหรับเนื้อหาที่ต้องชำระเงินซึ่งมีทางเลือกแบบไม่ใช้คุกกี้อย่างแท้จริงให้เลือก

การบังคับใช้ล่าสุดของ ICO

ในช่วงไม่ก��่ปีที่ผ่านมา ICO ได้เพิ่มความเข้มข้นในการกำกับดูแลการปฏิบัติตามกฎคุกกี้อย่างต่อเนื่อง การดำเนินการที่โดดเด่น ได้แก่:

การตรวจสอบทั้งภาคส่วน: ICO ได้ดำเนินการตรวจสอบเว็บไซต์ชั้นนำ 100 อันดับแรกของสหราชอาณาจักรในหลายภาคส่วน และเผยแพร่ผลการตรวจสอบที่ชี้ให้เห็นถึงการไม่ปฏิบัติตามกฎอย่างแพร่หลาย ปัญหาที่พบโดยทั่วไป ได้แก่ การตั้งค่าคุกกี้ก่อนการได้รับความยินยอม การไม่มีตัวเลือกปฏิเสธ และการให้ข้อมูลเกี่ยวกับวัตถุประสงค์ของคุกกี้ไม่เพียงพอ
จดหมายเตือน: หลังการ��รวจสอบ ICO ได้ส่งจดหมายเตือนไปยังองค์กรที่แนวปฏิบัติเกี่ยวกับคุกกี้ยังไม่เป็นไปตามข้อกำหนด องค์กรส่วนใหญ่ได้ปรับปรุงแนวปฏิบัติให้สอดคล้องหลังได้รับจดหมายเหล่านี้
การสืบสวนด้าน Adtech: ICO ได้ดำเนินการสืบสวนอย่างต่อเนื่องเกี่ยวกับระบบ real-time bidding โดยแสดงความกังวลเกี่ยวกับปริมาณข้อมูลส่วนบุคคลที่ถูกแชร์ผ่านคุกกี้โฆษณาแบบโปรแกรมแมติกโดยไม่ได้รับความยินยอมที่เพียงพอ
การบังคับใช้ในภาครัฐ: ICO ไม่ได้ยกเว้นเว็บไซต์ของหน่วยงานรัฐ โดยได้ออกแนวทางและคำเตือนต่อองค์กรภาคร��ฐเกี่ยวกับแนวปฏิบัติด้านคุกกี้ของตน

แม้ ICO จะยังไม่ได้ออกโทษปรับทางการเงินจำนวนมากที่เกี่ยวข้องกับการละเมิดกฎคุกกี้โดยเฉพาะ แต่แนวโน้มชัดเจนว่าไปในทิศทางของการบังคับใช้อย่างเข้มงวดมากขึ้น หน่วยงานกำกับดูแลได้ระบุว่าคาดหวังให้องค์กรต่าง ๆ ปฏิบัติตามกฎแล้วในตอนนี้ และจะมีการดำเนินการบังคับใช้ต่อผู้ที่ไม่ปรับปรุง

การโอนข้อมูลระหว่างประเทศ: จากสหราชอาณาจักรไปยังสหภาพยุโรปและที่อื่น ๆ

การยินยอมคุกกี้มีจุดตัดสำคัญกับการโอนข้อมูลระหว่างประเทศ เมื่อคุกกี้วิเครา��ห์หรือโฆษณาส่งข้อมูลไปยังเซิร์ฟเวอร์นอกสหราชอาณาจักร — เช่น Google Analytics ส่งข้อมูลไปยังเซิร์ฟเวอร์ของ Google และ Facebook Pixel ส่งข้อมูลไปยังเซิร์ฟเวอร์ของ Meta — การกระทำเหล่านี้ถือเป็นการโอนข้อมูลระหว่างประเทศภายใต้ UK GDPR

สถานะปัจจุบัน:

จากสหราชอาณาจักรไปยัง EEA: ข้อมูลสามารถไหลได้อย่างเสรีภายใต้การยอมรับความเพียงพอของ EEA โดยสหราชอาณาจักร
จากสหราชอาณาจักรไปยังสหรัฐอเมริกา: UK Extension to the EU-US Data Privacy Framework เป็นกลไกสำหรับการโอนข้อมูลไปยังองค์กรในสหรัฐอเมริกาที่ได้รับการรับรอง Google และ Meta ได้รับการรับรองภายใต้กรอบนี้
จากสหราชอาณาจักรไปยังประเทศอื่น: ต้องมีมาตรการคุ้มครองที่เหมาะสม เช่น Standard Contractual Clauses (เวอร์ชันของสหราชอาณาจักร) หรือ binding corporate rules

ในทางปฏิบัติ หากคุณใช้ Google Analytics, Google Ads หรือแพลตฟอร์มโฆษณารายใหญ่รายอื่น กลไกการโอนข้อมูลระหว่างประเทศเหล่านี้ก็มีอยู่แล้ว อย่างไรก็ตาม คุณควรบันทึกการโอนข้อมูลเหล่านี้ไว้ในนโยบายความเป็นส่วนตัวของคุณ และให้แน่ใจว่าแบนเนอร์คุกกี้ของคุณระบุว่าข้อมูลอาจถูกโอนไปต่างประเทศ

การกำหนดเป้าหมายตามภูมิศาสตร์ของ FlexyConsent เพื่อการปฏิบ��ติตามกฎเฉพาะของสหราชอาณาจักร

FlexyConsent มีฟีเจอร์กำหนดเป้าหมายตามภูมิศาสตร์สำหรับผู้เยี่ยมชมจากสหราชอาณาจักรโดยเฉพาะ เพื่อให้มั่นใจว่าปฏิบัติตามกรอบกฎระเบียบเฉพาะของสหราชอาณาจักร:

แบนเนอร์ที่สอดคล้องกับ PECR: ผู้เยี่ยมชมจากสหราชอาณาจักรจะเห็นแบนเนอร์ขอความยินยอมที่เป็นไปตามข้อกำหนดของ ICO รวมถึงตัวเลือกปฏิเสธที่โดดเด่นเท่าเทียมกันและการควบคุมตามหมวดหมู่แบบละเอียด จะไม่มีการตั้งค่าคุกกี้จนกว่าจะได้รับความยินยอมอย่างชัดแจ้ง
แยกจากการตั้งค่าของสหภาพยุโรป: แม้ข้อกำหนดจะคล้ายกัน FlexyConsent ยังคงความสามารถในการกำหนดค่าประสบการณ์การขอความยินยอมสำหรับผู้ใช้ในสหราชอาณาจักรและสหภาพยุโรปแยกจากกัน ซึ่งช่วยให้การติดตั้งของคุณพร้อมรับความแตกต่างด้านกฎระเบียบระหว่างสหราชอาณาจักรและสหภาพยุโรปในอนาคต
การออกแบบที่สอดคล้องกับ ICO: เทมเพลตแบนเนอร์เริ่มต้นของ FlexyConsent ปฏิบัติตามแนวทางของ ICO ในการหลีกเลี่ยง dark patterns ปุ่มยอมรับและปฏิเสธมีความโดดเด่นเท่าเทียมกัน ภาษาเป็นกลาง และการออกแบบไม่ชักจูงการตัดสินใจของผู้ใช้
การผสานรวมกับ Consent Mode V2: ในฐานะ Google-certified CMP FlexyConsent จะส่งสัญญาณความยินยอมที่ถูกต้องไปยังบริการของ Google สำหรับผู้เยี่ยมชมจากสหราชอาณาจักร ซึ่งช่วยให้การทำงานของ conversion modelling และ Smart Bidding ดำเนินต่อไปได้อย่างถูกต้อง โดยยังคงเคารพข้อกำหนดด้านความยินยอมของสหราชอาณาจักร
รองรับ IAB TCF 2.3: สำหรับผู้เผยแพร่โฆษณาที่ใช้โฆษณาแบบ programmatic FlexyConsent จะสร้างสตริงความยินยอม TCF ที่เหมาะสมกับสหราชอาณาจักร ซึ่งแพลตฟอร์มฝั่งดีมานด์และซัพพลายที่ดำเนินงานในตลาดสหราชอาณาจักรสามารถอ่านและใช้งานได้

FlexyConsent มีให้ใช้งานด้วยแพ็กเกจเริ่มต้นที่ EUR 0 ต่อเดือน พร้อมการผสานรวมแบบเนทีฟกับ WordPress, Shopify และ PrestaShop สำหรับธุรกิจในสหราชอาณาจักรโดยเฉพาะ การติดตั้ง CMP ที่ได้รับการรับรองถือเป็นการแสดงให้ ICO เห็นถึงความตั้งใจเชิงรุกในการปฏิบัติตามกฎ ซึ่งเป็นปัจจัยหนึ่งที่หน่วยงานกำกับดูแลระบุว่าให้ความสำคัญเมื่อพิจารณาการดำเนินการบังคับใช้

ประเด็นสำคัญ: กรอบการคุ้มครองความเป็นส่วนตัวของสหราชอาณาจักรหลัง Brexit มีโครงสร้างใกล้เคียงกับของสหภาพยุโรปอย่างมาก แต่ดำเนินการภายใต้หน่วยงานกำกับดูแลของต��เอง รูปแบบการบังคับใช้ของตนเอง และทิศทางทางกฎหมายในอนาคตที่อาจแตกต่างออกไป การปฏิบัติต่อผู้เยี่ยมชมจากสหราชอาณาจักรตามกฎเดียวกับผู้เยี่ยมชมจากสหภาพยุโรปยังคงเป็นแนวทางที่ปลอดภัยในตอนนี้ แต่การรักษาความสามารถในการกำหนดค่าประสบการณ์การขอความยินยอมเฉพาะสำหรับสหราชอาณาจักรจะทำให้เว็บไซต์ของคุณพร้อมรับมือหากกรอบกฎหมายทั้งสองเริ่มแยกทางกัน CMP ที่รับรู้ตำแหน่งทางภูมิศาสตร์เป็นวิธีที่ใช้งานได้จริงที่สุดในการจัดการความซับซ้อนนี้