UK GDPR След Брекзит: Разминаване и приемственост
Законът за защита на данните на Обединеното кралство от 2018 г., включващ GDPR на Обединеното кралство, отразява тясно GDPR на ЕС — но със значителни различия, които създават различни изисквания за съответствие за организациите, работещи в Обединеното кралство.
Продължителност:
- Същите шест законови основания за обработка
- Същите права на субекта на данни (достъп, изтриване, коригиране, преносимост)
- Същият принцип на отчетност и изисквания за документация
- Същото задължение за уведомяване за нарушаване на данните (72 часа до ICO)
- Същата защита на данните по дизайн и по подразбиране
Разлики:
- Режим на адекватност: Обединеното кралство има свои собствени решения за адекватност за международни трансфери на данни; Пригодността на ЕС за трансфер на данни в Обединеното кралство се запазва, но се оспорва
- Насоки за AI: ICO издаде специални насоки за AI (2023-2024 г.), по-подробни от сравнимите насоки на EDPB
- Биометрични данни: Третирането на биометричните данни в Обединеното кралство има малки разлики в дефиницията
- Изключения за изследвания: Изключенията за изследвания и статистика на Обединеното кралство са малко по-широки от еквивалентите в ЕС
- Култура на правоприлагане: ICO исторически се фокусира върху образованието и насоките преди глобите; това се променя с последните големи действия по прилагане
За организации, работещи както в ЕС, така и в Обединеното кралство, GDPR на Обединеното кралство създава паралелно задължение за съответствие, което изисква оценка както на изискванията на ЕС GDPR, така и на изискванията на Обединеното кралство GDPR — те не са идентични.
LastPass ICO Глоба: Установяване на криптиране като законово изискване
Глобата на ICO от декември 2025 г. срещу LastPass Обединеното кралство (£1,2 милиона) е забележителният случай GDPR за Обединеното кралство за стандартите за криптиране. Известието за изпълнение установява няколко принципа с широки последици:
Основната констатация: Архитектурата за шифроване на LastPass — която съхранява данни от потребителския трезор с достъпни от сървъра ключове за шифроване — се оказа неадекватна съгласно член 32 на GDPR в Обединеното кралство. ICO установи, че „контролерът трябва да е внедрил криптиране от страна на клиента, което би гарантирало, че дори в случай на нарушение на сървъра, данните от потребителския сейф няма да бъдат достъпни за неоторизирани страни."
Какво означава това: ICO установи, че когато съществува архитектура, която запазва по-малко поверителността (шифроване от страна на клиента) и е технически осъществимо, използването на архитектура, която запазва по-малко поверителността (шифроване от страна на сървъра), може да не удовлетвори стандарта за „подходящи технически мерки“ на член 32.
По-широки последици: Организациите, които съхраняват чувствителни данни, използвайки криптиране от страна на сървъра — където сървърите на доставчика държат ключове за криптиране — могат да бъдат подложени на проверка на ICO, ако възникне пробив. Известието за прилагане изрично посочва, че „техническите мерки трябва да бъдат пропорционални на риска и когато рискът от неоторизиран достъп до чувствителни лични данни е висок, подходящата мярка може да изисква управление на ключове от страна на клиента“.
За инструменти за анонимизиране на PII: ако услугата за анонимизиране на доставчика съхранява обикновения текст на обработените документи от страна на сървъра (за регистрационни файлове за одит, анализ на използването или функции като хронология на документи), това създава хранилище за данни, достъпно за сървъра, което може да не отговаря на стандарта ICO след LastPass за чувствителни данни.
ICO's AI Guidance: Технически изисквания за Generative AI
ICO издаде изчерпателни насоки за ИИ през 2023-2024 г., обхващащи осем специфични технически изисквания за генеративни системи с ИИ — по-подробни от еквивалентните насоки в ЕС:
1. Чуваемост на данните за обучение: Системите с изкуствен интелект, обучени на лични данни, трябва да имат документиран произход на данните за обучение, включително приложени процедури за анонимизиране.
2. Мониторинг на изходящите данни: Системите, генериращи изходящи лични данни, трябва да имат контроли за наблюдение, за да откриват и предотвратяват неподходящо разкриване на данни.
3. Ограничение на целта при обучението: Личните данни, използвани за обучение, трябва да бъдат ограничени до конкретната цел — обучението с AI с общо предназначение, използващо клиентски данни, изисква изрично правно основание.
4. Индивидуални права при автоматизирано вземане на решения: AI системите, които вземат важни решения за лицата, трябва да прилагат технически контрол, за да улеснят индивидуалните права (достъп, обяснение, оспорване).
5. Одит на пристрастия: Системите, обработващи защитени характеристики (директно или чрез извод), трябва да имат мониторинг на техническо отклонение.
6. Минимизиране на данни при фина настройка: Фината настройка на личните данни трябва да приложи минимизиране преди обучението — не само политики за анонимизиране, но и техническо изпълнение.
7. Запазване в обучението: Личните данни, включени в теглата на модела, трябва да могат да бъдат адресирани за заявки за изтриване (необходими са технически или еквивалентни предпазни мерки).
**8. Надлежна проверка на модела на трета страна: ** Организациите, използващи системи за изкуствен интелект на трети страни, трябва да оценят и документират техническото съответствие на тези системи с тези изисквания.
Тези осем изисквания създават контролен списък за техническо внедряване за внедряване на ИИ в Обединеното кралство.
ICO Тенденции в правоприлагането: от насоки до глоби
ICO исторически предпочита известията за образование и правоприлагане пред големите глоби. Това се променя:
- LastPass (декември 2025 г.): £1,2 милиона — техническа повреда в сигурността (криптираща архитектура)
- Избирателна комисия (2023 г.): £4,4 милиона порицание (без глоба) — грешка в сигурността (сървърът не е коригиран)
- British Airways (2019 г., уреден 2020 г.): £20 милиона — нарушение на данните от кибератака поради неадекватна сигурност
- Marriott International (2019 г., сетълмент 2020 г.): £18,4 милиона — нарушаване на данните от неадекватна надлежна проверка
ICO издаде 67 известия за принудително изпълнение през 2024 г. — рекорден брой — което предполага нарастваща готовност за използване на официално принудително изпълнение.
Глобата LastPass е особено значима, тъй като е насочена към решение за архитектура на криптиране, а не само резултат от пробив. Това предполага, че ICO ще разгледа внимателно избора на технически дизайн, а не само реакцията на нарушение.
Последствия за потока от данни Обединеното кралство-ЕС
Организациите в Обединеното кралство, обслужващи клиенти от ЕС или получаващи лични данни от ЕС, са изправени пред изискването за двойно съответствие:
- UK GDPR се прилага за обработка в UK
- EU GDPR се прилага за лични данни в ЕС
За прехвърляне на данни от ЕС към Обединеното кралство: решението на ЕС за адекватност за Обединеното кралство (прието през 2021 г.) остава валидно, но подлежи на преглед и правно оспорване. Организациите не трябва да разчитат изцяло на адекватността на Обединеното кралство - стандартните договорни клаузи остават препоръчителна допълнителна защита.
За организации в Обединеното кралство, използващи базирани в ЕС облачни услуги: прехвърлянето от Обединеното кралство към ЕС понастоящем не е ограничено (няма ограничения в ЕС за потоците от данни в Обединеното кралство), но обработката на лични данни от Обединеното кралство от страна на доставчика на услуги в ЕС може да задейства изискванията на ЕС GDPR за процесора.
Практически насоки: организациите с потоци от данни между ЕС и Обединеното кралство трябва да документират поотделно своята позиция на съответствие с GDPR в Обединеното кралство и своята позиция на съответствие с GDPR в ЕС, като отбелязват къде са еквивалентни и къде се прилагат специфични за Обединеното кралство изисквания.
Източници: