UK GDPR po Brexitu: co se změnilo
Zákon o ochraně osobních údajů z roku 2018 (Data Protection Act 2018) zakotvil UK GDPR do britského práva. Pravidla jsou blízká EU GDPR — ale ne ve všech ohledech. Pokud působíte v UK i v EU, musíte projít dvěma odlišnými kontrolními seznamy.
Co zůstalo stejné:
- Šest zákonných důvodů pro zpracování
- Práva subjektů: přístup, výmaz, oprava, přenositelnost
- Povinnost hlásit únik dat regulátorovi do 72 hodin
- Záštita soukromí od návrhu a implicitní ochrana
Co se změnilo:
- UK vydává vlastní rozhodnutí o adekvátnosti pro přeshraniční předávání
- Britské pokyny k umělé inteligenci z let 2023–2024 jdou dále než EDPB
- Britské výjimky pro výzkum jsou mírně širší než unijní
- Regulátor přechází od konzultativního přístupu k pokutám — rychleji než dříve
Rozdíl mezi britskými a unijními pravidly je reálný. Zacházejte s nimi jako se dvěma odlišnými kontrolními seznamy.
Pokuta pro LastPass: šifrování je nyní právním testem
V prosinci 2025 uložilo ICO LastPass UK pokutu £1,2 milionu za chybně navrženou šifrovací architekturu. Jde o dosud nejdůležitější britské rozhodnutí v oblasti technické bezpečnosti dle UK GDPR.
Co regulátor zjistil: LastPass ukládal záznamy v trezorech s klíči drženými na serveru. Každý, kdo se k serveru dostal, mohl trezory číst. Rozhodnutí konstatovalo, že tím bylo porušeno ustanovení o „přiměřených technických opatřeních“ dle článku 32 UK GDPR.
Klíčová věta z rozhodnutí: „Správce měl použít šifrování na straně klienta. To by zajistilo bezpečnost obsahu trezorů uživatelů i při narušení serveru.“
Co tím bylo stanoveno: Pokud bezpečnější architektura existuje a je realizovatelná, může použití méně bezpečné varianty porušit článek 32. Správa šifrovacích klíčů na straně serveru již není bezpečným výchozím nastavením pro citlivé záznamy.
Kdo je ohrožen: Každá služba, která ukládá citlivé záznamy a drží šifrovací klíče na vlastních serverech. To zahrnuje nástroje protokolující text pro audit, statistiky využití nebo historii dokumentů. Pokud server může text číst, regulátoři se mohou ptát, proč jste nezvolili architektonuru na straně klienta. Přečtěte si, jak anonym.legal řeší tento problém pomocí zero-knowledge architektury.
Pokyny ICO pro AI: osm technických požadavků
Britský regulátor vydal podrobné pokyny pro AI v letech 2023–2024. Pokrývají osm specifických požadavků na systémy generativní umělé inteligence. Srovnatelné pokyny EU jsou méně podrobné.
1. Původ trénovacích dat — AI trénovaná na osobních záznamech musí evidovat, odkud data pocházela a jaké kroky čištění byly provedeny.
2. Monitorování výstupů — Systémy produkující osobní výstupy musí mít zavedeny kontroly k zachycení a zastavení neoprávněných sdělení.
3. Omezení účelu — Záznamy použité pro trénování AI musí odpovídat deklarovanému účelu. Obecné trénování na zákaznických záznamech vyžaduje jasný právní základ.
4. Práva při automatizovaném rozhodování — Pokud AI přijímá klíčová rozhodnutí o osobě, musí být zajištěn přístup k informacím, vysvětlení a právo odvolání.
5. Monitorování zaujatosti — Systémy využívající chráněné charakteristiky — přímo nebo odvozením — musí mít zavedeny kontroly zaujatosti.
6. Minimalizace před dolaďováním — Před dolaďováním musíte osobní záznamy redukovat. Pouhá politika nestačí.
7. Výmaz z vah modelu — Pokud záznamy vstoupily do vah modelu, potřebujete plán pro řešení žádostí o výmaz. Jsou vyžadována technická nebo rovnocenná ochranná opatření.
8. Přezkum AI třetích stran — Pokud používáte AI jiné společnosti, musíte zkontrolovat a zaznamenat její soulad se všemi osmi body.
Těchto osm pravidel tvoří praktický kontrolní seznam pro každé britské nasazení AI.
Britské vymáhání: přechod k pokutám
Regulátor dříve preferoval konzultativní dopisy před sankcemi. To se mění. Nedávné kroky ukazují jasný vzor:
| Akce | Výše | Rok | Důvod |
|---|---|---|---|
| British Airways | £20M | 2020 | Únik — slabé zabezpečení |
| Marriott International | £18,4M | 2020 | Únik — nedostatečná due diligence |
| LastPass UK | £1,2M | 2025 | Chybný návrh šifrování |
| Volební komise | Napomenutí £4,4M | 2023 | Neopravená zranitelnost serveru |
V roce 2024 bylo vydáno 67 vymáhacích oznámení — rekord. Případ LastPass je pozoruhodný tím, že pokuta byla udělena za architektonické rozhodnutí, nikoli jen za následek úniku. Regulátoři zkoumali, jak LastPass svůj systém navrhl. To je nové.
Předávání dat mezi UK a EU: oboustranné riziko
Britské organizace nakládající s osobními záznamy EU čelí povinnostem z obou stran.
Z EU do UK: EU udělila UK rozhodnutí o adekvátnosti v roce 2021. Stále platí, ale je právně napadeno. Nespoléhejte se výhradně na něj — standardní smluvní doložky (SCC) jsou rozumnou zálohou.
Z UK do EU: Žádné aktuální pravidlo neblokuje přesun britských záznamů k unijním zpracovatelům. Avšak zpracovatel v EU nakládající s britskými záznamy může na své straně stále podléhat pravidlům EU GDPR.
Praktický krok: Vypracujte svou pozici k UK GDPR a pozici k EU GDPR jako dva samostatné dokumenty. Zaznamenejte, kde se shodují a kde se liší. To jsou záznamy, které budete potřebovat, pokud se regulátor zeptá. Naše přehledová stránka souladu mapuje obě strany.
Pro hlubší pohled na zero-knowledge design a způsob, jakým řeší riziko identifikované v případu LastPass, si přečtěte naši stránku o bezpečnostní a soukromé architektuře.
Zdroje
- ICO: Pokyny UK GDPR a zdroje — VERIFIED-EXTERNAL
- ICO: Vymáhací oznámení LastPass, prosinec 2025 — VERIFIED-EXTERNAL
- ICO: Pokyny k AI a ochraně dat — VERIFIED-EXTERNAL
- ICO: Výroční zpráva o vymáhání 2024 — VERIFIED-EXTERNAL