UK GDPR po brexitu: co se změnilo
Britský zákon o ochraně dat a digitálních informacích (DPDI) z roku 2025 přináší 14 změn oproti pravidlům EU GDPR. Ty vytvářejí první skutečnou propast mezi právem EU a UK v oblasti ochrany soukromí od brexitu. Dohoda o adekvaci EU–UK je pod přezkumem. Její výsledek se dotýká každé firmy, která přenáší osobní data mezi oběma regiony.
Pokuta pro LastPass: nová technická laťka
ICO pokutoval LastPass UK pokutou £1,2 milionu v prosinci 2025. Jde o dosud největší technický bezpečnostní případ v UK.
ICO zjistil dvě zásadní pochybení.
Slabé šifrování: LastPass ukládal trezory s hesly zákazníků pomocí zastaralého šifrování. ICO je označil za „nedostatečné“ podle článku 32 UK GDPR. Některé trezory používaly PBKDF2-SHA256 pouze s jednou iterací. UK NCSC uvádí, že klíče hesel vyžadují nejméně 600 000 iterací.
Co nyní zákon vyžaduje: Článek 32 UK GDPR požaduje „odpovídající technická opatření“ odpovídající „aktuálnímu stavu techniky.“ ICO zjistil, že odvození klíčů v roce 2022 vyžadovalo mnohem více, než LastPass poskytoval. Co bylo přijatelné v roce 2015, nebylo přijatelné v roce 2022.
Výsledek: šifrování od dodavatelů je nyní auditovatelnou položkou. Musíte ověřit, že vaše nástroje používají aktuální parametry — ne zastaralé základy. Přečtěte si náš přehled bezpečnosti a souladu o tom, jak s tím nakládáme.
Zákon DPDI 2025: šest klíčových změn
Zákon přináší 14 identifikovaných změn britského datového práva. Šest z nich má přímý každodenní dopad.
1. Oprávněné zájmy. Zákon vyjmenovává „uznávané oprávněné zájmy.“ Ty obcházejí vyvažovací test, který právo EU stále vyžaduje. To usnadňuje využití tohoto právního základu pro britské firmy.
2. Výzkum a statistika. Zákon rozšiřuje výjimku pro výzkum. Sekundární využití osobních dat pro výzkum vyžaduje méně souhlasů, než stanoví právo EU.
3. Automatizovaná rozhodnutí. Zákon nahrazuje článek 22 EU. Nové pravidlo je volnější. Některá automatizovaná rozhodnutí již nevyžadují smysluplný lidský přezkum.
4. Vedení záznamů. Zákon ruší povinné záznamy o činnostech zpracování (ROPA) pro firmy s méně než 250 zaměstnanci bez „systematického“ zpracování. Pravidla EU vyžadují ROPA pro všechny firmy, jejichž zpracování není příležitostné.
5. Souhlas s cookies. Zákon omezuje pravidla souhlasu pro analytické cookies a podporuje možnosti „bez cookies.“ Pravidla EU ePrivacy stále vyžadují souhlas pro sledovací cookies.
6. Mezinárodní přenosy. Britský ministr vnitra získává širší pravomoci k udělování rozhodnutí o adekvaci. UK může schválit země, které EU neschválila. Tím se rámec přenosu dat na obou stranách roztrhne.
Riziko adekvace
Evropská komise ověří, zda britské právo poskytuje „v podstatě rovnocennou“ ochranu jako pravidla EU.
Monitory EU znepokojují tři oblasti.
Širší oprávněné zájmy podle zákona DPDI mohou zanechat mezery, které Komise označí za nedostatečné. Britský zákon o vyšetřovacích pravomocích z roku 2016 stále vyvolává obavy spojené s judikaturou SDEU. Britsko-americké dohody v rámci zákona CLOUD Act mohou vystavit data EU americkým orgánům činným v trestním řízení.
Pokud by adekvace byla pozastavena, více než 10 000 sad standardních smluvních doložek UK–EU by muselo být rychle aktivováno. Firmy spoléhající se výhradně na adekvaci pro přenosy UK–EU by se přes noc ocitly ve vakuu. Zkontrolujte si svoji expozici v našem průvodci souladem.
Souběžné fungování v obou režimech
Pro firmy podléhající jak právu EU, tak UK je cesta jasná.
Použijte přísnější standard. Článek 32 EU, test oprávněných zájmů EU a pravidla EU pro automatizovaná rozhodnutí jsou přísnější než jejich ekvivalenty v britském zákoně. Plnění pravidel EU znamená plnění britských pravidel, plus několik britských doplňků.
Dokumentujte oba právní základy. U oprávněných zájmů zaznamenejte výsledek vyvažovacího testu EU i doklad, že zpracování odpovídá britské uznávané kategorii. Dvojí záznamy vás ochrání, pokud se pravidla budou dále rozcházet.
Mějte připraveny SCC. Přezkum adekvace v roce 2026 rozhodne, zda potřebujete samostatné nástroje pro přenos. Standardní smluvní doložky udržujte aktivní jako zálohu i při využívání adekvace.
Ověřte šifrování od dodavatelů. Případ LastPass činí ze šifrování dodavatelů živou položku souladu. Ověřte, že nástroje zpracovávající osobní data používají aktuální nastavení: AES-256-GCM v klidovém stavu, argon2id nebo PBKDF2 s aktuálním počtem iterací pro odvozování klíčů. Běžné dotazy pro audit najdete v našem FAQ.
Britský rozkol je prvním skutečným zlomem v evropském modelu ochrany soukromí. Pro firmy působící v obou regionech je nejbezpečnějším krokem navrhnout procesy podle přísnějšího standardu — jímž stále zůstává rámec EU.
anonym.legal zpracovává dokumenty v datových centrech Hetzner v EU s architekturou zero-knowledge. Server nikdy neuvidí váš prostý text. Úplné prolomení serveru poskytne jen šifertext AES-256-GCM. Potřebujete lokální zpracování? Desktopová aplikace běží na vašem zařízení bez externích připojení.
Zdroje
- ICO: Information Commissioner's Office — VERIFIED-EXTERNAL
- ICO: Přijatá opatření — VERIFIED-EXTERNAL
- UK Government: Analýza zákona DPDI 2025 — VERIFIED-EXTERNAL