anonym.legal

By · Last updated 2026-06-05

العودة إلى المدونةالامتثال لـ GDPR

هيئة ICO البريطانية: الفوارق بين اللائحة الأوروبية والبريطانية للبيانات بعد Brexit

غرّمت هيئة ICO شركة LastPass مليونًا ومئتي ألف جنيه إسترليني بسبب ضعف التشفير في ديسمبر 2025. يُثبّت هذا القرار أن التشفير من جانب العميل متطلب قانوني لا مجرد توصية.

June 5, 20267 دقيقة قراءة
ICO UKUK GDPRLastPass fineencryption compliancepost-Brexit data protection

اللائحة البريطانية للبيانات بعد Brexit: ما الذي تغيّر؟

أرسى قانون حماية البيانات البريطاني لعام 2018 اللائحةَ البريطانية للبيانات UK GDPR. وهي تسير بخطى متقاربة مع اللائحة الأوروبية GDPR — غير أنها لا تطابقها في كل جانب. إن كنت تعمل في السوقين البريطانية والأوروبية معًا، فأنت أمام إطارَين امتثالٍ مستقلَّين.

ما بقي كما هو:

  • ستة أسس قانونية للمعالجة
  • حقوق الأشخاص المعنيين: الوصول، والمحو، والتصحيح، وقابلية النقل
  • إخطار الجهة التنظيمية بالاختراق خلال 72 ساعة
  • الخصوصية في التصميم وبحكم الافتراض

ما تغيّر:

  • تُصدر المملكة المتحدة قراراتها الخاصة بشأن كفاية الحماية للتحويلات العابرة للحدود
  • إرشادات الذكاء الاصطناعي الصادرة بين عامَي 2023 و2024 تتجاوز ما أصدره المجلس الأوروبي لحماية البيانات EDPB
  • استثناءات البحث العلمي أوسع قليلًا مما هو معمول به في الاتحاد الأوروبي
  • تتجه الجهة التنظيمية من نهج الإرشاد أولًا نحو فرض الغرامات — بوتيرة أسرع من ذي قبل

الفجوة بين القانونَين البريطاني والأوروبي حقيقية. تعاملَ معهما بوصفهما قائمتَي تحقق مستقلتَين.

غرامة LastPass: التشفير اختبارٌ قانوني

في ديسمبر 2025، غرّمت هيئة ICO شركة LastPass البريطانية مليونًا ومئتَي ألف جنيه إسترليني (1.2 مليون £) بسبب إعداد تشفير معيب. يُعدّ هذا أهم قرار تنظيمي يصدر حتى الآن بشأن الأمن التقني في إطار اللائحة البريطانية UK GDPR.

ما رصدته الجهة التنظيمية: خزّنت LastPass سجلات الخزائن باستخدام مفاتيح محفوظة على الخادم. كل من وصل إلى الخادم كان قادرًا على قراءة الخزينة. خلص القرار إلى أن ذلك يخالف اختبار "التدابير التقنية الملائمة" المنصوص عليه في المادة 32 من اللائحة البريطانية UK GDPR.

العبارة المفتاحية من الإشعار: "كان ينبغي للمتحكم استخدام تشفير من جانب العميل. كان ذلك سيحمي سجلات خزينة المستخدمين حتى في حالة اختراق الخادم."

ما يُرسّخه هذا القرار: إذا كان تصميم أكثر أمانًا ممكنًا وقابلًا للتطبيق، فقد يُعدّ اختيار البديل الأضعف انتهاكًا للمادة 32. لم تعد إدارة المفاتيح من جانب الخادم خيارًا آمنًا بحكم الافتراض للسجلات الحساسة.

من هم المعرّضون للخطر: أي خدمة تحتفظ بسجلات حساسة وتُبقي مفاتيح التشفير على خوادمها. ويشمل ذلك الأدوات التي تُسجّل النصوص لأغراض التدقيق أو إحصاءات الاستخدام أو سجل الوثائق. إن كان الخادم قادرًا على قراءة النص، فقد يتساءل المنظّمون لماذا لم تُعتمَد بنية التشفير من جانب العميل. تعرّف على كيفية تعامل anonym.legal مع ذلك عبر بنية انعدام المعرفة.

إرشادات الذكاء الاصطناعي البريطانية: ثمانية اشتراطات تقنية

نشرت الجهة التنظيمية البريطانية إرشادات تفصيلية بشأن الذكاء الاصطناعي بين عامَي 2023 و2024، تشمل ثمانية اشتراطات محددة لأنظمة الذكاء الاصطناعي التوليدي. الإرشادات الأوروبية المقابلة أقل تفصيلًا.

1. مصدر بيانات التدريب — يجب على أنظمة الذكاء الاصطناعي المدرَّبة على سجلات شخصية تسجيل مصدر هذه البيانات وخطوات تنظيفها.

2. مراقبة المخرجات — يجب أن تشتمل الأنظمة التي تُنتج مخرجات شخصية على ضوابط لرصد الإفصاح غير المناسب ووقفه.

3. تحديد الغرض — يجب أن تتطابق السجلات المستخدمة لتدريب الذكاء الاصطناعي مع الغرض المُعلَن. يستلزم التدريب العام على سجلات العملاء أساسًا قانونيًا واضحًا.

4. حقوق القرارات الآلية — إذا اتخذ نظام الذكاء الاصطناعي قرارات جوهرية تمس أشخاصًا، وجب أن يدعم حق الوصول والتفسير والطعن.

5. رصد التحيّز — يجب أن تشتمل الأنظمة التي تستخدم السمات المحمية — مباشرةً أو باستنتاج — على فحوصات للتحيز.

6. التخفيض قبل الضبط الدقيق — يجب تقليص السجلات الشخصية قبل الضبط الدقيق؛ لا تكفي السياسة وحدها.

7. المحو من أوزان النموذج — إذا دخلت السجلات في أوزان النموذج، يجب توفير خطة لمعالجة طلبات المحو بضمانات تقنية مكافئة.

8. مراجعة الذكاء الاصطناعي الخارجي — عند استخدام ذكاء اصطناعي تابع لجهة أخرى، يجب التحقق من امتثاله للنقاط الثماني وتوثيق ذلك.

تشكّل هذه النقاط الثماني قائمة مرجعية عملية لأي نشر ذكاء اصطناعي في المملكة المتحدة.

التنفيذ البريطاني: التحوّل نحو الغرامات

اعتاد المنظّم تفضيل خطابات الإرشاد على العقوبات. هذا يتغير. تكشف الإجراءات الأخيرة عن نمط واضح:

الإجراءالمبلغالعامالسبب
British Airways20 مليون £2020اختراق — أمن ضعيف
Marriott International18.4 مليون £2020اختراق — إهمال العناية الواجبة
LastPass البريطانية1.2 مليون £2025إخفاق في تصميم التشفير
لجنة الانتخاباتتوبيخ بقيمة 4.4 مليون £2023خادم غير مُرقَّع

صدرت 67 إشعارًا تنفيذيًا في 2024 — رقم قياسي. وقضية LastPass لافتة لأن الغرامة صدرت على قرار تصميمي، لا مجرد نتيجة اختراق. فحص المنظّمون طريقة بناء النظام. هذا جديد.

التحويلات بين المملكة المتحدة والاتحاد الأوروبي: مخاطر في الاتجاهين

تواجه المنظمات البريطانية التي تتعامل مع سجلات شخصية أوروبية التزامات من الجانبين.

من الاتحاد الأوروبي إلى المملكة المتحدة: منح الاتحاد المملكةَ المتحدة قرار كفاية في 2021. لا يزال ساريًا، لكنه مطعون فيه قانونيًا. لا تعتمد عليه وحده — فبنود العقود النموذجية (SCCs) بديل منطقي.

من المملكة المتحدة إلى الاتحاد الأوروبي: لا قاعدة راهنة تحظر نقل السجلات البريطانية إلى معالجين في الاتحاد. لكن المعالج الأوروبي الذي يتناول سجلات بريطانية قد يستدعي تطبيق اللائحة الأوروبية GDPR من جانبه.

خطوة عملية: أعدّ موقفك البريطاني وموقفك الأوروبي في وثيقتين منفصلتين. وضّح أوجه التوافق والاختلاف. هذه هي الوثيقة التي تحتاجها إن سألك المنظّم. نظرة عامة على الامتثال لدينا تُوضّح الجانبين معًا.

للاطلاع على تصميم انعدام المعرفة وكيف يعالج مخاطر اختراق الخادم المُحدّدة في قضية LastPass، اقرأ صفحة بنية الأمان والخصوصية لدينا.

المصادر

مقالات ذات صلة

الامتثال لـ GDPR

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

الامتثال لـ GDPR

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

الامتثال لـ GDPR

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

هل أنت مستعد لحماية بياناتك؟

ابدأ بإخفاء المعلومات الشخصية مع أكثر من 285 نوع كيان عبر 48 لغة.

ابدأ تجربة مجانيةعرض الميزات

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.