Постbrexit-ландшафт конфіденційності у Великій Британії

Коли Велика Британія вийшла з Європейського Союзу, вона не відмовилася від захисту даних. Велика Британія імплементувала ЄС GDPR у національне законодавство як UK GDPR, який діє разом із Data Protection Act 2018. Щодо файлів cookie, то Privacy and Electronic Communications Regulations (PECR) — британська імплементація ePrivacy Directive — продовжує застосовуватися. У результаті сформовано рамку конфіденційності, яка тісно віддзеркалює європейську, але застосовується незалежно Information Commissioner's Office (ICO) Великої Британії.

Для власників вебсайтів це означає, що обслуговування відвідувачів із Великої Британії вимагає уваги до окремого набору правил, настанов і практики правозастосування. Хоча за суттю вона подібна до EU GDPR, нюанси мають значення.

UK GDPR проти EU GDPR: ключові відмінності

UK GDPR у своїх основних принципах і вимогах суттєво ідентичний EU GDPR. Втім, після Brexit з’явилося кілька відмінностей:

• Наглядовий орган: ICO є єдиним наглядовим органом для UK GDPR, замінюючи роль органів із захисту даних ЄС. Ви не можете бути оштрафовані одночасно ICO та органом із захисту даних ЄС за одну й ту саму операцію обробки даних, що стосується лише резиденті�� Великої Британії.
• Адекватність захисту даних: ЄС надав Великій Британії рішення про адекватність у червні 2021 року, що дозволяє вільний рух персональних даних з ЄС до Великої Британії. Це рішення підлягає періодичному перегляду. Велика Британія, зі свого боку, визнала EEA як адекватну.
• Міжнародні передачі: Велика Британія має власну систему міжнародних передач даних, де рішення про адекватність ухвалює Secretary of State (а не European Commission). Велика Британія сигналізує про більш гнучкий підхід до міжнародних передач, хоча основні гарантії зберігаються.
• Підхід до правозастосування: Історично ICO надавав перевагу взаємодії та наданню настанов, а не агресивному накладенню штрафів. Максимальні штрафи за UK GDPR віддзеркалюють європейські: до 17,5 млн фунтів стерлінгів або 4 відсотки від глобального річного обороту, залежно від того, яка сума більша.
• Можливе розходження: Уряд Великої Британії розглядав реформи через Data Protection and Digital Information Bill, які можуть змінити оцінку legitimate interest, винятки для досліджень і роль Data Protection Officers. Власникам вебсайтів варто відстежувати цей законопроєкт щодо майбутніх змін.

PECR: британський закон про файли cookie

Хоча UK GDPR встановлює загальну рамку обробки персональних даних, саме PECR безпосередньо регулює файли cookie та подібні технології. PECR передує GDPR і імплементує ePrivacy Directive ЄС у законодавство Великої Британії. Його ключові вимоги щодо файлів cookie такі:

• Необхідна згода перед тим, як розміщувати будь-які несуто необхідні файли cookie на пристрої користувача. Це включає аналітичні, рекламні та соціальні файли cookie.
• Потрібно надати інформацію про те, які файли cookie встановлюються та з якою метою, зрозумілою та простою мовою.
• Згода має бути вільно наданою, конкретною та поінформованою. Попередньо позначені прапорці не становлять дійсної згоди.
• Строго необхідні файли cookie звільнені від вимоги згоди. Файли cookie, які є необхідними для надання послуги, прямо запитаної користувачем (наприклад, сесійні файли cookie для функціоналу облікового запису або файли cookie кошика), не потребують згоди.

Стандарт згоди за PECR узгоджується з визначенням згоди в GDPR, що на практиці означає дуже подібні вимоги до тих, що встановлені EU ePrivacy Directive. Банер файлів cookie, який відповідає правилам ЄС, зазвичай буде відповідати й PECR.

Настанови ICO щодо банерів файлів cookie

ICO опублікував детальні настанови щодо дотримання вимог до файлів cookie, які виходять за межі самого тексту PECR. Основні положення цих настанов такі:

Згода має бути вираженою дією

Просте продовження перегляду вебсайту не становить згоди. ICO прямо зазначає, що імпліцитна згода не є дійсною. Користувачі мають здійснити чітку позитивну дію (наприклад, натиснути кнопку «Прийняти»), перш ніж можна буде встановлювати несуто необхідні файли cookie.

Відхилити має бути так само просто

ICO дедалі активніше висловлюється щодо dark patterns у банерах файлів cookie. Зокрема:

• Опція «Відхилити всі» або еквівалент має бути доступною на тому самому рівні, що й «Прийняти всі». Приховування опції відхилення за екраном «Керувати налаштуваннями» є неприйнятним.
• Візуальний дизайн не повинен використовувати колір, розмір чи розташування для маніпулювання користувачами з метою спонукання до прийняття.
• Формулювання мають бути нейтральними та не повинні навіювати почуття провини чи тиснути на користувачів, щоб вони надали згоду.

Гранульоване керування категоріями

Користувачі повинні мати змогу надавати згоду на окремі категорії файлів cookie (аналітика, маркетинг, функціональні), а не бути змушеними до вибору «все або нічого». Хоча ICO не вимагає конкретної кількості категорій, надання гранульова��ого контролю демонструє належну практику й може бути необхідним у межах принципу обмеження мети в GDPR.

Cookie walls є проблемними

ICO розглядає cookie walls — коли доступ до вебсайту блокується, якщо користувач не приймає всі файли cookie — як такі, що навряд чи забезпечують дійсну згоду, оскільки згода не буде вільно наданою. Можливі винятки для платного контенту, де пропонується справжня альтернатива без файлів cookie.

Останні заходи правозастосування ICO

ICO поступово посилює увагу до дотримання вимог щодо файлів cookie останніми роками. Помітні дії включають:

• Галузеві аудити: ICO провів аудити 100 провідних вебсайтів Великої Британії в різних секторах, опублікувавши висновки про поширене недотримання вимог. Типові проб��еми включали встановлення файлів cookie до отримання згоди, відсутність опції відхилення та недостатню інформацію про цілі використання файлів cookie.
• Листи-попередження: Після аудитів ICO надіслав листи-попередження організаціям, чиї практики використання файлів cookie не відповідали вимогам. Більшість організацій привели свої практики у відповідність після отримання цих листів.
• Розслідування в adtech: ICO проводить тривалі розслідування екосистеми real-time bidding, висловлюючи занепокоєння обсягом персональних даних, що передаються через програматичну рекламу за допомогою файлів cookie без належної згоди.
• Правозастосування в державному секторі: ICO не робить винятків для урядових вебсайтів, публікуючи настанови та попередження для організацій державного сектору щодо їхніх практик використання файлів cookie.

Хоча ICO ще не накладав значних фінансових штрафів саме за порушення, пов’язані з файлами cookie, тенденція однозначно спрямована до більш жорсткого правозастосування. Регулятор заявив, що очікує від організацій дотримання вимог уже зараз і що заходи правозастосування послідують щодо тих, хто не покращить свої практики.

Міжнародні передачі даних: з Великої Британії до ЄС та далі

Згода на використання файлів cookie важливо перетинається з міжнародними передачами даних. Коли аналітичні чи рекламні файли cookie надсилають дані на сервери за межами Великої Британії — як Google Analytics надсилає дані на сервери Google, а Facebook Pixel — на сервери Meta — це становить міжнародні передачі даних за UK GDPR.

Поточні механізми:

• Велика Британія – EEA: Дані передаються вільно на підставі визнання Великою Британією адекватності EEA.
• Велика Британія – США: UK Extension до EU-US Data Privacy Framework забезпечує механізм передачі даних сертифікованим організаціям у США. Google і Meta сертифіковані в межах цієї системи.
• Велика Британія – інші країни: Необхідні належні гарантії, такі як Standard Contractual Clauses (британська версія) або binding corporate rules.

На практиці, якщо ви використовуєте Google Analytics, Google Ads чи інші великі рекламні платформи, механізми міжнародних передач уже існують. Втім, вам слід задокументувати ці передачі у своїй політиці конфіденційності та забезпечити, щоб ваш банер файлів cookie згадував, що дані можуть передаватися міжнародно.

Geo-таргетинг FlexyConsent для відповідності вимогам Великої Британії

FlexyConsent забезпечує спеціальний geo-таргетинг для відвідувачів із Великої Британії, гарантує відповідність специфічним регуляторним вимогам цієї юрисдикції:

• Банер, сумісний із PECR: Відвідувачі з Великої Британії бачать банер згоди, який відповідає вимогам ICO, включно з однаково помітною опцією відхилення та гранульованим керуванням категоріями. Жодні файли cookie не встановлюються до отримання вираженої згоди.
• Окрема конфігурація від ЄС: Хоча вимоги подібні, FlexyConsent дозволяє налаштовувати досвід згоди для Великої Британії та ЄС незалежно. Це робить вашу імплементацію стійкою до потенційн��го розходження регулювання між Великою Британією та ЄС у майбутньому.
• Дизайн, узгоджений із ICO: Стандартні шаблони банерів FlexyConsent відповідають настановам ICO щодо уникнення dark patterns. Опції прийняття та відхилення візуально рівнозначні, мова нейтральна, а дизайн не маніпулює вибором користувача.
• Інтеграція з Consent Mode V2: Як Google-certified CMP, FlexyConsent надсилає коректні сигнали згоди до сервісів Google для відвідувачів із Великої Британії. Це забезпечує коректну роботу conversion modelling і Smart Bidding при одночасному дотриманні вимог щодо згоди у Великій Британії.
• Підтримка IAB TCF 2.3: Для видавців, які використовують програматичну рекламу, FlexyConsent генерує відповідні для Великої Британії TCF consent strings, які розпізнаються demand-side platforms і supply-side platforms, що працюють на британському ринку.

FlexyConsent доступний із планами, що починаються від 0 євро на місяць, із нативними інтеграціями для WordPress, Shopify та PrestaShop. Для бізнесів, розташованих у Великій Британії, впровадження сертифікованого CMP демонструє проактивне дотримання вимог перед ICO — фактор, який регулятор, за його словами, враховує під час ухвалення рішень про правозастосування.

Висновок: Постbrexit-рамка конфіденційності Великої Британії тісно віддзеркалює європейську, але діє під наглядом власного регулятора, із власними підходами до правозастосування та потенційно власним майбутнім законодавчим курсом. Ставитися до відвідувачів із Великої Британії так с��мо, як до відвідувачів із ЄС, наразі безпечно, але збереження можливості налаштовувати окремий досвід згоди для Великої Британії дає змогу вашому сайту адаптуватися в разі подальшого розходження двох систем. Geo-орієнтований CMP є найпрактичнішим способом керувати цією складністю.