Законът за защита на данните и цифровата информация на Обединеното кралство (DPDI) от 2025 г. прави 14 значителни отклонения от GDPR на ЕС — създавайки първото съществено регулаторно разминаване между рамките за защита на данните на ЕС и Обединеното кралство след Brexit. Решението за адекватност между ЕС и Обединеното кралство, първоначално валидно до юни 2025 г. и разширено в очакване на преглед, е изправено пред все по-внимателен контрол от страна на практикуващите GDPR и Европейската комисия.
Прилагането на LastPass: техническият показател на GDPR в Обединеното кралство
Глобата на ICO от 1,2 милиона британски лири срещу LastPass UK през декември 2025 г. е най-значимият случай за прилагане на техническа сигурност в Обединеното кралство. ICO намери:
Неадекватност на шифроването: LastPass съхранява хранилища за главни пароли на клиенти с остаряло криптиране, което ICO смята за „неадекватно“ съгласно член 32 на GDPR в Обединеното кралство. По-конкретно, ICO установи, че някои итерации на хранилища използват PBKDF2-SHA256 само с 1 итерация — много под минималната препоръка на UK NCSC от 600 000 итерации за ключове, извлечени от парола.
Установеният правен стандарт: UK GDPR Член 32 изисква „подходящи технически мерки“, отразяващи „съвременното ниво на техниката“. ICO установи, че „състоянието на техниката“ за извличане на ключ за криптиране през 2022 г. (когато е настъпил пробивът) изисква много повече, отколкото предоставя LastPass. Това установява, че стандартите за сигурност се развиват - това, което беше приемливо през 2015 г., може да не е приемливо през 2022 г.
**Пряко значение за инструментите за шифроване: ** Организациите, използващи инструменти за обработка на данни, трябва да проверят дали имплементациите за шифроване на тези инструменти отговарят на текущите стандарти за „най-съвременни“, а не само на минималните основни стандарти. Прилагането на LastPass на ICO прави качеството на криптиране на доставчика директно подлежащо на одит изискване за съответствие.
DPDI Закон от 2025 г.: Ключови различия от GDPR на ЕС
Законът DPDI прави 14 идентифицирани отклонения от ЕС GDPR. Най-оперативно значимите:
1. Реформа на легитимните интереси: Законът DPDI създава списък с „признати легитимни интереси“, които не изискват теста за балансиране на GDPR на ЕС спрямо интересите на субекта на данни. Това прави законния интерес по-достъпно правно основание за организациите в Обединеното кралство — намалявайки изискванията за съгласие за някои търговски обработки.
2. Проучване, статистика и архивиране: Законът DPDI значително разширява освобождаването от данъци за изследвания, като позволява по-широко вторично използване на лични данни за изследователски цели без изрични изисквания за съгласие, които налага GDPR на ЕС.
**3. Автоматизирано вземане на решения: ** Замяната на член 22 на GDPR от Закона DPDI (права за автоматизирано вземане на решения) е по-разрешителна за търговски автоматизирани решения. Изискването за смислен човешки преглед е облекчено за някои категории автоматизирана обработка.
4. Водене на записи: Законът DPDI премахва задължителните изисквания на ROPA (записи на дейности по обработка) за малки организации (под 250 служители) без „систематична“ обработка. EU GDPR изисква ROPA за всички организации, чиято обработка не е случайна.
5. Съгласие за бисквитки: Законът DPDI включва разпоредби за „алтернативи без бисквитки“ и намалява изискванията за съгласие за аналитични бисквитки — специално предназначени да намалят натоварването на банерите за съгласие за бисквитки. Изискванията за ePrivacy на EU GDPR (наложени паралелно) все още изискват съгласие за проследяване на бисквитки.
6. Международни трансфери: Законът DPDI дава на държавния секретар на Обединеното кралство по-широки правомощия за предоставяне на решения за адекватност — което потенциално позволява на Обединеното кралство да предоставя адекватност на държави, които ЕС няма, създавайки различни рамки за трансфер.
Рискът по отношение на адекватността: какво може да предизвика преглед на ЕС
Прегледът на адекватността на Обединеното кралство от Комисията на ЕС ще оцени дали GDPR на Обединеното кралство (както е изменен със Закона DPDI) осигурява „по същество еквивалентна“ защита на GDPR на ЕС:
Области, пораждащи безпокойство, идентифицирани от наблюдателите на ЕС:
- Разширяването на легитимните интереси на закона DPDI може да създаде пропуски, които ЕС счита за неадекватни
- Законът за наблюдение на Обединеното кралство (Закон за правомощията за разследване от 2016 г.) остава несъвместим със стандартите GDPR съгласно прецедента CJEU в свързани случаи
- Договореностите за споделяне на данни между Обединеното кралство и САЩ съгласно Закона CLOUD създават потенциал за излагане на данни от ЕС на достъп на правоприлагащите органи на САЩ
Ако адекватността бъде спряна или отменена: 10 000+ споразумения за стандартни договорни клаузи между Обединеното кралство и ЕС ще трябва да бъдат незабавно активирани. Организациите, които в момента разчитат единствено на адекватността на трансферите между Обединеното кралство и ЕС, ще се сблъскат с пропуски в съответствието.
Поддържане на двойно съответствие за ЕС + Обединеното кралство GDPR
За организациите, подчинени както на GDPR на ЕС, така и на GDPR на Обединеното кралство, практическият подход:
Използвайте по-строгия стандарт като базова линия: Член 32 на ЕС GDPR, тестът за балансиране на легитимните интереси на GDPR и изискванията за автоматизирано вземане на решения на GDPR са по-строги от техните еквиваленти в закона DPDI. Организациите, отговарящи на стандартите GDPR на ЕС, автоматично отговарят на стандартите GDPR на Обединеното кралство (с незначителни специфични за Обединеното кралство допълнения).
Документирайте и двете правни основания: За обработка съгласно законни интереси, документирайте както теста за балансиране на GDPR на ЕС, така и това, че обработката ще попадне в законните законови интереси, признати от Закона за DPDI на Обединеното кралство. Двойната документация предпазва от разминаване.
Наблюдавайте статуса на решението за адекватност: Резултатът от прегледа за адекватност за 2026 г. ще определи дали са необходими отделни механизми за трансфер за трансфери Обединеното кралство-ЕС. Организациите трябва да поддържат SCC като резервен механизъм, дори ако в момента разчитат на адекватност.
Шифроване според текущото състояние на техниката: Прилагането на LastPass на ICO прави стандартите за криптиране на доставчика активно съображение за съответствие. Уверете се, че инструментите за PII, хранилищата на данни и реализациите за управление на ключове използват текущите препоръчани параметри (AES-256-GCM, argon2id за извличане на ключове с текущи препоръки за параметри).
Разминаването на GDPR в Обединеното кралство след Брекзит представлява първото значително разбиване на стандартите на ЕС за защита на данните. За организации, работещи в двете юрисдикции, най-безопасната позиция е проектиране за най-строгите приложими изисквания — които остават основните технически стандарти на ЕС GDPR.
Източници: