بریگزٹ کے بعد برطانیہ کا پرائیویسی منظرنامہ

جب برطانیہ یورپی یونین سے نکلا تو اس نے ڈیٹا پروٹیکشن کو پیچھے نہیں چھوڑا۔ برطانیہ نے EU GDPR کو گھریلو قانون میں شامل کر کے UK GDPR کے طور پر نافذ کیا، جو Data Protection Act 2018 کے ساتھ ساتھ چلتا ہے۔ خاص طور پر کوکیز کے لیے، Privacy and Electronic Communications Regulations (PECR) — جو ePrivacy Directive کا برطانیہ میں نفاذ ہے — بدستور لاگو ہے۔ نتیجہ ایک ایسا پرائیویسی فریم ورک ہے جو EU کے فریم ورک سے بہت ملتا جلتا ہے، لیکن اس کا نفاذ برطانیہ کے Information Commissioner's Office (ICO) کے ذریعے خود مختار طور پر کیا جاتا ہے۔

وی�� سائٹ آپریٹرز کے لیے اس کا مطلب یہ ہے کہ UK وزیٹرز کو سروس فراہم کرتے وقت انہیں قواعد، رہنمائی، اور نفاذ کے الگ پیٹرنز پر توجہ دینی ہوگی۔ اگرچہ مواد EU GDPR سے ملتا جلتا ہے، لیکن باریک فرق اہم ہیں۔

UK GDPR بمقابلہ EU GDPR: اہم فرق

UK GDPR اپنی بنیادی اصولوں اور تقاضوں میں بڑی حد تک EU GDPR کے ساتھ یکساں ہے۔ تاہم، بریگزٹ کے بعد سے چند فرق سامنے آئے ہیں:

• نگرانی کرنے والا ادارہ: UK GDPR کے لیے واحد supervisory authority ICO ہے، جو EU data protection authorities کے کردار کی جگہ لیتا ہے۔ صرف UK رہائشیوں کو متاثر کرنے والی ایک ہی ڈیٹا پروسیسنگ سرگرمی پر آپ کو بیک وقت ICO اور کسی EU DPA دونوں کی طرف سے جرمانہ نہیں کیا جا سکتا۔
• ڈیٹا کی مناسبت (adequacy): EU نے جون 2021 میں برطانیہ کو adequacy decision دیا، جس سے EU سے UK تک ذاتی ڈیٹا کی آزادانہ منتقلی ممکن ہوئی۔ اس فیصلے کا وقتاً فوقتاً جائزہ لیا جا��ا ہے۔ برطانیہ نے جواباً EEA کو مناسب (adequate) تسلیم کیا ہے۔
• بین الاقوامی منتقلیاں: برطانیہ کے پاس بین الاقوامی ڈیٹا ٹرانسفرز کے لیے اپنا فریم ورک ہے، جس میں adequacy decisions European Commission کے بجائے Secretary of State کرتا ہے۔ برطانیہ نے بین الاقوامی ٹرانسفرز کے لیے نسبتاً زیادہ لچکدار رویہ اختیار کرنے کا اشارہ دیا ہے، اگرچہ بنیادی حفاظتی اقدامات برقرار ہیں۔
• نفاذ کا انداز: ICO تاریخی طور پر بھاری جرمانوں کے بجائے مشاورت اور رہنمائی کو ترجیح دیتا رہا ہے۔ UK GDPR کے تحت زیادہ سے زیادہ جرمانے EU کے برابر ہیں: 17.5 ملین پاؤنڈ تک یا عالمی سالانہ ٹرن اوور کا 4 فیصد، جو بھی زیادہ ہو۔
• ممکنہ انحراف: برطانوی حکومت Data Protection and Digital Information Bill کے ذریعے اصلاحات پر غور کر رہی ہے، جو legitimate interest assessments، research exemptions، اور Data Protection Officers کے کردار میں تبدیلیاں لا سکت�� ہیں۔ ویب سائٹ آپریٹرز کو چاہیے کہ اس قانون سازی پر آئندہ تبدیلیوں کے لیے نظر رکھیں۔

PECR: برطانیہ کا کوکی قانون

جبکہ UK GDPR ذاتی ڈیٹا پروسیسنگ کے لیے عمومی فریم ورک فراہم کرتا ہے، PECR خاص طور پر کوکیز اور ملتی جلتی ٹیکنالوجیز کو ریگولیٹ کرتا ہے۔ PECR، GDPR سے پہلے کا قانون ہے اور ePrivacy Directive کو برطانوی قانون میں نافذ کرتا ہے۔ کوکیز کے لیے اس کے اہم تقاضے یہ ہیں:

• رضامندی درکار ہے اس سے پہلے کہ کسی صارف کے ڈیوائس پر کوئی بھی non-essential کوکی سیٹ کی جائے۔ اس میں analytics کوکیز، advertising کوکیز، اور social media کوکیز شامل ہیں۔
• معلومات فراہم کی جانی چاہیے کہ کون سی کوکیز سیٹ کی جا رہی ہیں اور انہیں کس مقصد کے لیے استعمال کیا جا رہا ہے، اور یہ سب واضح اور سادہ زبان میں ہو۔
• رضامندی آزادانہ، مخصوص اور باخبر ہونی چاہیے۔ پہلے س�� ٹِک کی گئی باکسز (pre-ticked boxes) معتبر رضامندی نہیں سمجھی جاتیں۔
• سخت طور پر ضروری کوکیز مستثنیٰ ہیں۔ وہ کوکیز جو صارف کی واضح طور پر درخواست کردہ سروس کے لیے ناگزیر ہوں (جیسے لاگ اِن سیشن کوکیز یا شاپنگ کارٹ کوکیز) کے لیے رضامندی درکار نہیں۔

PECR کا consent standard، GDPR کی consent کی تعریف کے مطابق ہے، یعنی عملی طور پر تقاضے EU ePrivacy Directive کے تقاضوں سے بہت ملتے جلتے ہیں۔ ایک ایسا کوکی بینر جو EU قواعد کے مطابق compliant ہو، عموماً PECR کے ساتھ بھی compliant ہوگا۔

کوکی بینرز پر ICO کی رہنمائی

ICO نے کوکی تعمیل پر تفصیلی رہنمائی شائع کی ہے جو خود PECR کے متن سے آگے جاتی ہے۔ ICO کی رہنمائی کے اہم نکات یہ ہیں:

رضامندی مثبت عمل کے ذریعے ہونی چاہیے

صرف ویب سائٹ کو براؤز کرتے رہنا رضامندی نہیں سمجھا جاتا۔ ICO واضح طور پر کہتا ہے کہ implied consent معتبر نہیں۔ صارفین کو غیر ضروری کوکیز سیٹ ہونے سے پہلے کوئی واضح، مثبت عمل (مثلاً "Accept" بٹن پر کلک کرنا) کرنا ہوگا۔

انکار اتنا ہی آسان ہونا چاہیے

ICO کوکی بینرز میں dark patterns کے بارے میں بڑھتی ہوئی سختی اختیار کر رہا ہے۔ خاص طور پر:

• "Reject All" یا اس کے مساوی آپشن کو "Accept All" کے برابر سطح پر دستیاب ہونا چاہیے۔ reject آپشن کو "Manage Preferences" اسکرین کے پیچھے چھپانا قابل قبول نہیں۔
• ویژول ڈیزائن میں رنگ، سائز یا پوزیشننگ اس طرح استعمال نہیں ہونی چاہیے کہ صارف کو رضامندی دینے پر مجبور یا مائل کرے۔
• زبان غیر جانبدار ہونی چاہیے اور اس کا مقصد صارف کو گِلٹ یا دباؤ کے ذریعے رضامندی پر آمادہ کرنا نہیں ہونا چاہیے۔

زمرہ جاتی (granular) کنٹرول

صارفین کو یہ اختیار ہونا چاہیے کہ وہ مخصوص کیٹیگریز کی کوکیز (analytics، marketing، functional) کے لیے الگ الگ رضامندی دیں، بجائے اس کے کہ انہیں سب یا کچھ نہیں کی صورتِ حال میں دھکیلا جائے۔ اگرچہ ICO کسی مخصوص تعداد کی کیٹیگریز کو لازمی قرار نہیں دیتا، لیکن granular کنٹرول فراہم کرنا اچھی پریکٹس سمجھا جاتا ہے اور GDPR کے purpose limitation اصول کے تحت درکار بھی ہو سکتا ہے۔

کوکی والز (Cookie Walls) مسائل پیدا کرتی ہیں

ICO cookie walls — یعنی ایسی صورتِ حال جہاں صارف کو ویب سائٹ تک رسائی اس وقت تک نہیں ملتی جب تک وہ تمام کوکیز قبول نہ کرے — کو عموماً معتبر رضامندی نہیں سمجھتا، کیونکہ ایسی صورت میں رضامندی آزادانہ نہیں ہوگی۔ اس کے استثنات وہاں ہو سکتے ہیں جہاں paid content کے لیے حقیقی، کوکی فری متبادل پیش کیا جائے۔

ICO کی حالیہ نفاذی کارروائیاں

گزشتہ برسوں میں ICO نے کوکی تعمیل پر اپنی توجہ بتدریج بڑھائی ہے۔ قابلِ ذکر اقدامات میں شامل ہیں:

• سیکٹر وائیڈ آڈٹس: ICO نے مختلف شعبوں میں برطانیہ کی سرفہرست 100 ویب سائٹس کے آڈٹس کیے، اور اپنی رپورٹوں میں وسیع پیمانے پر عدم تعمیل کو اجاگر کیا۔ عام مسائل میں رضامندی سے پہلے کوکیز سیٹ کرنا، reject آپشن کا نہ ہونا، اور کوکیز کے مقاصد کے بارے میں ناکافی معلومات شامل تھیں۔
• وارننگ لیٹرز: آڈٹس کے بعد ICO نے ان تنظیموں کو وارننگ لیٹرز جاری کیے جن کی کوکی پریکٹسز مطلوبہ معیار سے کم تھیں۔ زیادہ تر تنظیموں نے یہ خطوط موصول ہونے کے بعد اپنی پریکٹسز کو تعمیل کے مطابق کر لیا۔
• Adtech تحقیقات: ICO نے real-time bidding ecosystem پر جاری تحقیقات کی ہیں، اور programmatic advertising کوکیز کے ذریعے ذاتی ڈیٹا کے بڑے پیمانے پر اشتراک پر تشویش ظاہر کی ہے، جہاں مناسب رضامندی موجود نہیں تھی۔
• پبلک سیکٹر میں نفاذ: ICO نے سرکاری ویب سائٹس کو بھی استثنا نہیں دیا، اور پبلک سیکٹر تنظیموں کو ان کی کوکی پریکٹسز کے بارے میں رہنمائی اور وارننگز جاری کی ہیں۔

اگرچہ ICO نے ابھی تک خاص طور پر کوکی خلاف ورزیوں پر بڑے مالی جرمانے عائد نہیں کیے، لیکن رجحان واضح طور پر سخت تر نفاذ کی طرف ہے۔ ریگولیٹر نے واضح کیا ہے کہ وہ توقع کرتا ہے کہ تنظیمیں اب compliant ہوں، اور جو تنظیمیں بہتری نہیں لائیں گی ان کے خلاف نفاذی کارروائی کی جائے گی۔

بین الاقوامی ڈیٹا ٹرانسفرز: UK سے EU اور آگے

کوکی رضامندی کا بین الاقوامی ڈیٹا ٹرانسفرز سے اہم تعلق ہے۔ جب analytics یا advertising کوکیز ڈیٹا کو برطانیہ سے باہر سرورز پر بھیجتی ہیں — جیسے Google Analytics ڈیٹا کو Google کے سرورز پر، اور Facebook Pixel ڈیٹا کو Meta کے سرورز پر بھیجتا ہے — تو UK GDPR کے تحت یہ بین الاقوامی ڈیٹا ٹرانسفرز شمار ہوتے ہیں۔

موجودہ انتظامات:

• UK سے EEA: برطانیہ کی جانب سے EEA کو adequate تسلیم کرنے کے باعث ڈیٹا آزادانہ طور پر منتقل ہو س��تا ہے۔
• UK سے USA: EU-US Data Privacy Framework کے UK Extension کے تحت، تصدیق شدہ امریکی تنظیموں کو ٹرانسفرز کے لیے ایک میکانزم فراہم کیا گیا ہے۔ Google اور Meta اس فریم ورک کے تحت certified ہیں۔
• UK سے دیگر ممالک: مناسب safeguards درکار ہوتے ہیں، جیسے Standard Contractual Clauses (UK ورژن) یا binding corporate rules۔

عملی طور پر، اگر آپ Google Analytics، Google Ads، یا دیگر بڑے advertising پلیٹ فارمز استعمال کر رہے ہیں تو بین الاقوامی ٹرانسفر کے میکانزم عموماً پہلے ہی موجود ہوتے ہیں۔ تاہم، آپ کو چاہیے کہ ان ٹرانسفرز کو اپنی privacy policy میں دستاویزی شکل دیں اور اپنے کوکی بینر میں یہ ذکر کریں کہ ڈیٹا بین الاقوامی طور پر منتقل ہو سکتا ہے۔

UK مخصوص تعمیل کے لیے FlexyConsent Geo-Targeting

FlexyConsent، UK وزیٹرز کے لیے مخصوص geo-targeting فراہم کرتا ہے، جس سے برطانیہ کے مخصوص ریگولیٹری فریم ورک کے ساتھ تعمیل یقینی بنائی جا سکت�� ہے:

• PECR-compliant بینر: UK وزیٹرز کو ایسا consent بینر دکھایا جاتا ہے جو ICO کی ضروریات پوری کرتا ہے، جس میں برابر نمایاں reject آپشن اور granular category controls شامل ہیں۔ جب تک مثبت رضامندی نہ ملے، کوئی کوکی سیٹ نہیں کی جاتی۔
• EU کنفیگریشن سے الگ: اگرچہ تقاضے ملتے جلتے ہیں، FlexyConsent UK اور EU کے consent تجربات کو الگ الگ کنفیگر کرنے کی صلاحیت برقرار رکھتا ہے۔ اس سے آپ کی امپلیمینٹیشن مستقبل میں UK اور EU کے ممکنہ ریگولیٹری انحراف کے خلاف محفوظ رہتی ہے۔
• ICO سے ہم آہنگ ڈیزائن: FlexyConsent کے ڈیفالٹ بینر ٹیمپلیٹس، dark patterns سے بچنے کے حوالے سے ICO کی رہنمائی پر عمل کرتے ہیں۔ Accept اور Reject آپشنز ویژول طور پر برابر ہیں، زبان غیر جانبدار ہے، اور ڈیزائن صارف کے انتخاب کو manipulate نہیں کرتا۔
• Consent Mode V2 انٹیگریشن: ایک Google-certified CMP کے طور پر، FlexyConsent UK وزیٹرز کے لیے Google سروسز کو درست consent سگنلز بھیجتا ہے۔ اس سے conversion modelling اور Smart Bidding، UK consent تقاضوں کا احترام کرتے ہوئے درست طور پر کام کرتے رہتے ہیں۔
• IAB TCF 2.3 سپورٹ: وہ پبلشرز جو programmatic advertising استعمال کرتے ہیں، ان کے لیے FlexyConsent UK کے لیے موزوں TCF consent strings جنریٹ کرتا ہے، جنہیں demand-side platforms اور supply-side platforms، جو UK مارکیٹ میں کام کر رہی ہیں، تسلیم کرتی ہیں۔

FlexyConsent، EUR 0 فی مہینہ سے شروع ہونے والے پلانز کے ساتھ دستیاب ہے، اور WordPress، Shopify، اور PrestaShop کے لیے نیٹو انٹیگریشنز فراہم کرتا ہے۔ خاص طور پر UK میں قائم کاروباروں کے لیے، ایک certified CMP نافذ کرنا ICO کے سامنے proactive تعمیل کا ثبوت ہے — یہ وہ عنصر ہے جسے ریگولیٹر نے نفاذی کارروائی کا فیصلہ کرتے وقت اہم قرار دیا ہے۔

اہم نکتہ: برطانیہ کا بریگزٹ کے بعد کا پرائیویسی فریم ورک EU کے فریم ورک سے بہت قریب ہے، لیکن اس کا اپنا ریگولیٹر، اپنا نفاذی انداز، اور ممکنہ طور پر اپنی آئندہ قانون سازی کی سمت ہے۔ فی الحال UK وزیٹرز کو EU وزیٹرز کے برابر قواعد کے تحت treat کرنا محفوظ حکمتِ عملی ہے، لیکن UK مخصوص consent تجربات کو کنفیگر کرنے کی صلاحیت برقرار رکھنا آپ کی سائٹ کو اس قابل بناتا ہے کہ اگر دونوں فریم ورک ایک دوسرے سے مختلف ہونا شروع ہوں تو آپ آسانی سے خود کو ہم آہنگ کر سکیں۔ ایک geo-aware CMP اس پیچیدگی کو سنبھالنے کا سب سے عملی طریقہ ہے۔