Birleşik Krallık’ın Brexit Sonrası Gizlilik Manzarası

Birleşik Krallık Avrupa Birliği’nden ayrıldığında, veri korumasını geride bırakmadı. AB GDPR’sini iç hukuka UK GDPR adıyla dâhil etti ve bu düzenleme Data Protection Act 2018 ile yan yana duruyor. Özellikle çerezler için ise, AB ePrivacy Direktifi’nin Birleşik Krallık’taki uygulaması olan Privacy and Electronic Communications Regulations (PECR) yürürlükte kalmaya devam ediyor. Ortaya, AB’ye çok benzeyen ancak Birleşik Krallık’ın Information Commissioner’s Office’i (ICO) tarafından bağımsız şekilde uygulanan bir gizlilik çerçevesi çıkıyor.

Web sitesi işletmecileri için bu, Birleşik Krallık ziyaretçilerine hizmet verirken kendine özgü bir dizi kural, rehberlik ve uygulama pratiğine dikkat edilmesi gerektiği anlamına gelir. Esas itibarıyla AB GDPR’sine benzer olsa da, nüanslar önemlidir.

UK GDPR ve AB GDPR: Temel Farklar

UK GDPR, temel ilkeleri ve gereklilikleri bakımından büyük ölçüde AB GDPR ile aynıdır. Ancak Brexit’ten bu yana birkaç fark ortaya çıkmıştır:

• Denetleyici otorite: ICO, UK GDPR için tek denetleyici otoritedir ve AB veri koruma otoritelerinin rolünün yerini almıştır. Yalnızca Birleşik Krallık sakinlerini etkileyen bir veri işleme faaliyeti için hem ICO hem de bir AB DPA’sı tarafından aynı anda para cezasına çarptırılamazsınız.
• Veri yeterliliği: AB, Haziran 2021’de Birleşik Krallık’a bir yeterlilik kararı vermiş ve kişisel verilerin AB’den Birleşik Krallık’a serbestçe aktarılmasına izin vermiştir. Bu karar periyodik incelemeye tabidir. Birleşik Krallık da karşılıklı olarak AEA’yı yeterli olarak tanımıştır.
• Uluslararası aktarımlar: Birleşik Krallık, uluslararası veri aktarımları için kendi çerçevesine sahiptir ve yeterlilik kararlarını Avrupa Komisyonu yerine Dışişleri Bakanı verir. Birleşik Krallık, uluslararası aktarımlar konusunda daha esnek bir yaklaşım sinyali vermiş olsa da temel güvenceler korunmaktadır.
• Uygulama yaklaşımı: ICO, tarihsel olarak agresif para cezalarından ziyade diyalog ve rehberliği tercih etmiştir. UK GDPR kapsamındaki azami para cezaları AB ile aynıdır: 17,5 milyon GBP’ye kadar veya küresel yıllık cironun yüzde 4’ü, hangisi yüksekse.
• Olası ayrışma: Birleşik Krallık hükümeti, meşru menfaat değerlendirmeleri, araştırma istisnaları ve Veri Koruma Görevlilerinin rolünde değişiklikler getirebilecek Data Protection and Digital Information Bill üzerinden reformları değerlendirmiştir. Web sitesi işletmecileri, gelecekteki değişiklikler için bu mevzuatı takip etmelidir.

PECR: Birleşik Krallık’ın Çerez Yasası

UK GDPR kişisel veri işlemenin genel çerçevesini sağlarken, PECR özellikle çerezleri ve benzeri teknolojileri düzenler. PECR, GDPR’den önce yürürlüğe girmiştir ve AB ePrivacy Direktifi’ni Birleşik Krallık hukukuna uygular. Çerezler için temel gereklilikleri şunlardır:

• Onay gereklidir ve kullanıcının cihazına herhangi bir zorunlu olmayan çerez yerleştirilmeden önce alınmalıdır. Buna analitik çerezler, reklam çerezleri ve sosyal medya çerezleri dâhildir.
• Bilgi sağlanmalıdır ve hangi çerezlerin yerleştirildiği ile ne amaçla kullanıldıkları açık ve sade bir dille açıklanmalıdır.
• Onay özgür iradeyle, belirli ve bilgilendirilmiş olmal��dır. Önceden işaretlenmiş kutucuklar geçerli onay sayılmaz.
• Kesinlikle gerekli çerezler muaftır. Kullanıcı tarafından açıkça talep edilen bir hizmet için zorunlu olan çerezler (oturum açma işlevselliği için oturum çerezleri veya alışveriş sepeti çerezleri gibi) için onay gerekmez.

PECR’nin onay standardı, GDPR’nin onay tanımıyla uyumludur; bu da pratikte gerekliliklerin AB ePrivacy Direktifi kapsamındakilere çok benzer olduğu anlamına gelir. AB kurallarıyla uyumlu bir çerez bildirimi genellikle PECR ile de uyumlu olacaktır.

Çerez Bildirimleri Hakkında ICO Rehberi

ICO, PECR metninin ötesine geçen ayrıntılı bir çerez uyumu rehberi yayımlamıştır. Bu rehberdeki temel noktalar şunlardır:

Onay Olumlu Bir İşlem Olmalıdır

Bir web sitesinde gezinmeye devam etmek tek başına onay anlamına gelmez. ICO, zımni onayın geçerli olmadığını açıkça belirtmektedir. Kullanıcılar, zorunlu olmayan çerezler yerleştirilmeden önce ("Kabul Et" düğmesine tıklamak gibi) açık ve olumlu bir eylemde bulunmalıdır.

Reddetmek Aynı Derecede Kolay Olmalıdır

ICO, çerez bildirimlerindeki karanlık desenler hakkında giderek daha yüksek sesle uyarıda bulunmaktadır. Özellikle:

• "Tümünü Reddet" veya eşdeğer bir seçenek, "Tümünü Kabul Et" ile aynı seviyede sunulmalıdır. Reddetme seçeneğini "Tercihleri Yönet" ekranının arkasına gizlemek kabul edilebilir değildir.
• Görsel tasarım, kullanıcıları kabule yönlendirmek için renk, boyut veya konumu manipülatif biçimde kullanmamalıdır.
• Kullanılan dil tarafsız olmalı ve kullanıcıları onay vermeye suçluluk duygusuyla ya da baskıyla itmemelidir.

Kategorilere Göre Ayrıntılı Kontrol

Kullanıcılar, hepsini kabul etmeye zorlanmak yerine belirli çerez kategorilerine (analitik, pazarlama, işlevsel) ayrı ayrı onay verebilmelidir. ICO belirli bir kategori sayısı zorunlu kılmasa da, ayrıntılı kontrol sunmak iyi uygulama olarak kabul edilir ve GDPR’nin amaç sınırlaması ilkesine göre gerekli olabilir.

Çerez Duvarları Sorunludur

ICO, kullanıcıların tüm çerezleri kabul etmedikçe bir web sitesine erişemediği çerez duvarlarını, onayın özgür iradeyle verilmediği gerekçesiyle geçerli onay olarak görmeme eğilimindedir. Ücretli içerik için, gerçekten çerezsiz bir alternatif sunulan istisnai durumlar olabilir.

Son Dönem ICO Uygulama İşlemleri

ICO, son yıllarda çerez uyumuna giderek daha fazla odaklanmaktadır. Dikkat çeken işlemler şunlardır:

• Sektör çapında denetimler: ICO, birden çok sektördeki en büyük 100 Birleşik Krallık web sitesini denetlemiş ve yaygın uyumsuzlukları ortaya koyan bulgular yayımlamıştır. Yaygın sorunlar arasında onay alınmadan çerez yerleştirilmesi, reddetme seçeneğinin bulunmaması ve çerez amaçları hakkında yetersiz bilgi yer almıştır.
• Uyarı mektupları: Denetimlerin ardından, çerez uygulamaları yetersiz bulunan kuruluşlara ICO tarafından uyarı mektupları gönderilmiştir. Kuruluşların çoğu bu mektupları aldıktan sonra uygulamalarını uyumlu hâle getirmiştir.
• Adtech soruşturmaları: ICO, gerçek zamanlı teklif verme ekosistemi hakkında devam eden soruşturmalar yürütmekte ve programatik reklam çerezleri aracılığıyla yeterli onay olmadan paylaşılan kişisel veri hacmi konusunda endişelerini dile getirmektedir.
• Kamu sektörü uygulamaları: ICO, kamu kurumlarını da muaf tutmamış; kamu sektörü kuruluşlarına çerez uygulamaları hakkında rehberlik ve uyarılar yayımlamıştır.

ICO henüz yalnızca çerez ihlallerine özgü yüksek tutarlı para cezaları vermemiş olsa da eğilim daha sıkı uygulama yönündedir. Düzenleyici, kuruluşların artık uyumlu olmasını beklediğini ve uygulamalarını iyileştirmeyenler için yaptırım işlemlerinin takip edeceğini açıkça belirtmiştir.

Uluslararası Veri Aktarımları: Birleşik Krallık’tan AB’ye ve Ötesine

Çerez onayı, uluslararası veri aktarımlarıyla önemli bir noktada kesişir. Analitik veya reklam çerezleri veriyi Birleşik Krallık dışındaki sunuculara gönderdiğinde — Google Analytics veriyi Google’ın sunucularına, Facebook Pixel ise veriyi Meta’nın sunucularına gönderdiğinde olduğu gibi — bunlar UK GDPR kapsamında uluslararası veri aktarımı sayılır.

Mevcut düzenlemeler:

• Birleşik Krallık’tan AEA’ya: Birleşik Krallık’ın AEA yeterliliğini tanıması sayesinde veri serbestçe akabilir.
• Birleşik Krallık’tan ABD’ye: EU-US Data Privacy Framework’ün UK Extension’ı, sertifikalı ABD kuruluşlarına aktarımlar için bir mekanizma sağlar. Google ve Meta bu çerçeve kapsamında sertifikalıdır.
• Birleşik Krallık’tan diğer ülkelere: UK sürümü Standard Contractual Clauses veya bağlayıcı şirket kuralları gibi uygun güvenceler gereklidir.

Pratik açıdan bakıldığında, Google Analytics, Google Ads veya diğer büyük reklam platformlarını kullanıyorsanız, uluslararası aktarım mekanizmaları mevcuttur. Ancak bu aktarımları gizlilik politikanızda belgelendirmeniz ve çerez bildiriminizin verilerin uluslararası olarak aktarılabileceğinden bahsetmesini sağlamanız gerekir.

Birleşik Krallık’a Özgü Uyum İçin FlexyConsent Coğrafi Hedefleme

FlexyConsent, Birleşik Krallık ziyaretçileri için özel coğrafi hedefleme sunarak Birleşik Krallık’ın özgün düzenleyici çerçevesiyle uyumu sağlar:

• PECR uyumlu bildirim: Birleşik Krallık ziyaretçileri, ICO gerekliliklerini karşılayan; eşit derecede belirgin bir reddetme seçeneği ve ayrıntılı kategori kontrolleri içeren bir onay bildirimi görür. Olumlu onay alınmadan hiçbir çerez yerleştirilmez.
• AB yapılandırmasından ayrı: Gereklilikler benzer olsa da FlexyConsent, Birleşik Krallık ve AB onay deneyimlerini bağımsız olarak yapılandırma imkânı sunar. Bu, Birleşik Krallık ve AB düzenlemelerinin gelecekte olası ayrışmasına karşı uygulamanızı geleceğe hazır hâle getirir.
• ICO ile uyumlu tasarım: FlexyConsent’in varsayılan bildirim şablonları, karanlık desenlerden kaçınmaya ilişkin ICO rehberini takip eder. Kabul ve reddetme seçenekleri görsel olarak eşittir, dil tarafsızdır ve tasarım kullanıcı tercihlerini manipüle etmez.
• Consent Mode V2 entegrasyonu: Google-certified CMP olarak FlexyConsent, Birleşik Krallık ziyaret��ileri için Google hizmetlerine doğru onay sinyalleri gönderir. Bu, UK onay gerekliliklerine saygı gösterirken dönüşüm modellemesi ve Smart Bidding işlevlerinin doğru şekilde çalışmaya devam etmesini sağlar.
• IAB TCF 2.3 desteği: Programatik reklam kullanan yayıncılar için FlexyConsent, Birleşik Krallık pazarında faaliyet gösteren talep tarafı platformları ve arz tarafı platformları tarafından tanınan, Birleşik Krallık’a uygun TCF onay dizeleri üretir.

FlexyConsent, ayda 0 EUR’dan başlayan planlarla ve WordPress, Shopify ve PrestaShop için yerel entegrasyonlarla sunulmaktadır. Özellikle Birleşik Krallık merkezli işletmeler için, sertifikalı bir CMP uygulamak ICO’ya karşı proaktif uyum gösterir — düzenleyicinin, yaptırım kararlarını verirken dikkate aldığını belirttiği bir faktördür.

Önemli çıkarım: Birleşik Krallık’ın Brexit sonrası gizlilik çerçevesi, AB’ninkini yakından yansıtır; ancak kendi düzenleyicisi, kendi uygulama pratikleri ve potansiyel olarak kendi gelecekteki mevzuat yönüyle işler. Şimdilik Birleşik Krallık ziyaretçilerini AB ziyaretçileriyle aynı kurallara tabi tutmak güvenli bir yaklaşımdır; ancak Birleşik Krallık’a özgü onay deneyimlerini yapılandırma esnekliğini korumak, iki çerçeve zamanla ayrıştıkça sitenizin uyum sağlamasına imkân tanır. Coğrafi farkındalığa sahip bir CMP, bu karmaşıklığı yönetmenin en pratik yoludur.