UK GDPR efter Brexit: Afvigelse og kontinuitet
UK Data Protection Act 2018, der indeholder UK GDPR, afspejler EU GDPR tæt — men med væsentlige afvigelser, der skaber særskilte overholdelses krav for organisationer, der opererer i UK.
Kontinuitet:
- Samme seks lovlige grundlag for behandling
- Samme rettigheder for registrerede (adgang, sletning, berigtigelse, dataportabilitet)
- Samme ansvarlighedsprincip og dokumentationskrav
- Samme forpligtelse til anmeldelse af brud (72 timer til ICO)
- Samme krav om databeskyttelse ved design og som standard
Afvigelser:
- Ækvivalensordning: UK har sine egne ækvivalensafgørelser for internationale dataoverførsler; EUs ækvivalens for overførsler af UK-data opretholdes, men er omstridt
- AI-vejledning: ICO udstedte specifik AI-vejledning (2023-2024), der er mere detaljeret end EDPBs tilsvarende vejledning
- Biometriske data: UKs behandling af biometriske data har mindre definitonsmæssige forskelle
- Undtagelser for forskning: UKs undtagelser for forskning og statistik er noget bredere end EU-ækvivalenterne
- Håndhævelseskultur: ICO har historisk set fokuseret på vejledning og undervisning frem for bøder; dette er ved at ændre sig med de seneste store håndhævelsesforanstaltninger
For organisationer, der opererer i både EU og UK, skaber UK GDPR en parallel overholdelses forpligtelse, der kræver vurdering af både EU GDPR og UK GDPR-kravene — de er ikke identiske.
ICO-bøden mod LastPass: Kryptering som juridisk krav
ICOs bøde i december 2025 mod LastPass UK (£1,2M) er den ledende UK GDPR-sag vedrørende krypteringsstandarder. Håndhævelsesbeskeden fastslog flere principper med brede implikationer:
Den centrale konklusion: LastPass' krypteringsarkitektur — som lagrede brugervalvedata med serversideadgang til krypteringsnøgler — blev fundet utilstrækkelig under UK GDPR Artikel 32. ICO konkluderede, at "den dataansvarlige burde have implementeret klientsidet kryptering, som ville have sikret, at selv i tilfælde af et serverbrud ville brugervalvedata ikke være tilgængeligt for uautoriserede parter."
Hvad dette betyder: ICO har fastslået, at hvor en mere privatlivsbevarende arkitektur findes (klientsidet kryptering) og er teknisk gennemførlig, er anvendelse af en mindre privatlivsbevarende arkitektur (serversidet kryptering) muligvis ikke tilstrækkelig til at opfylde standarden for "passende tekniske foranstaltninger" i Artikel 32.
Bredere implikationer: Organisationer, der lagrer følsomme data ved hjælp af serversidet kryptering — hvor leverandørens servere holder krypteringsnøgler — kan blive underlagt ICO-kontrol, hvis der opstår et brud. Håndhævelsesbeskeden angiver eksplicit, at "tekniske foranstaltninger skal stå i et rimeligt forhold til risikoen, og hvor risikoen for uautoriseret adgang til følsomme personoplysninger er høj, kan den passende foranstaltning kræve håndtering af nøgler på klientsiden."
For PII-anonymiseringsværktøjer: hvis en leverandørs anonymiseringsservice lagrer klartekst af behandlede dokumenter på serversiden (til revisionslogfiler, brugsanalyse eller funktioner som dokumenthistorik), oprettes et serveraccessibelt datalager, der muligvis ikke opfylder ICOs post-LastPass-standard for følsomme data.
ICOs AI-vejledning: Tekniske krav til generativ AI
ICO udstedte omfattende AI-vejledning i 2023-2024 med otte specifikke tekniske krav til generative AI-systemer — mere detaljeret end tilsvarende EU-vejledning:
1. Reviderbarhed af træningsdata: AI-systemer trænet på personoplysninger skal have dokumenteret oprindelse af træningsdata, herunder anvendte anonymiseringsprocedurer.
2. Outputovervågning: Systemer, der genererer personoplysningsoutput, skal have overvågningskontroller til at registrere og forhindre upassende videregivelse af data.
3. Formålsbegrænsning i træning: Personoplysninger, der bruges til træning, skal begrænses til det specifikke formål — generel AI-træning med brug af kundedata kræver eksplicit retsgrundlag.
4. Individuelle rettigheder i automatiseret beslutningstagning: AI-systemer, der træffer væsentlige beslutninger om enkeltpersoner, skal implementere tekniske kontroller for at lette individuelle rettigheder (adgang, forklaring, bestridelse).
5. Biasrevision: Systemer, der behandler beskyttede karakteristika (direkte eller ved inferens), skal have teknisk bias-overvågning.
6. Dataminimering ved finjustering: Finjustering på personoplysninger skal anvende minimering inden træning — ikke blot anonymiseringspolitikker, men teknisk implementering.
7. Opbevaring i træning: Personoplysninger, der er inkorporeret i modelparametre, skal kunne adresseres for sletningsanmodninger (tekniske eller ækvivalente sikkerhedsforanstaltninger krævet).
8. Tredjeparts model due diligence: Organisationer, der anvender tredjeparts AI-systemer, skal vurdere og dokumentere disse systemers tekniske overholdelse af disse krav.
Disse otte krav skaber en teknisk implementeringsliste for UK AI-deployments.
ICOs håndhævelsestendenser: Fra vejledning til bøder
ICO har historisk foretrukket undervisning og håndhævelsesbeskeder frem for store bøder. Dette er ved at ændre sig:
- LastPass (dec. 2025): £1,2M — teknisk sikkerhedsfejl (krypteringsarkitektur)
- Valgkommissionen (2023): £4,4M irettesættelse (ingen bøde) — sikkerhedsfejl (server ikke opdateret)
- British Airways (2019, afgjort 2020): £20M — databrud fra cyberangreb som følge af utilstrækkelig sikkerhed
- Marriott International (2019, afgjort 2020): £18,4M — databrud fra utilstrækkelig due diligence
ICO udstedte 67 håndhævelsesbeskeder i 2024 — et rekordstort antal — hvilket tyder på en stigende vilje til at anvende formel håndhævelse.
LastPass-bøden er særligt betydningsfuld, fordi den rettede sig mod en krypteringsarkitekturbeslutning, ikke blot et brududfald. Dette tyder på, at ICO vil undersøge tekniske designvalg, ikke blot brudsvar.
UK-EU datastrømsimplikationer
UK-organisationer, der betjener EU-kunder eller modtager EU-personoplysninger, møder det dobbelte overholdelses krav:
- UK GDPR gælder for UK-behandling
- EU GDPR gælder for EU-personoplysninger
For dataoverførsler fra EU til UK: EUs ækvivalensafgørelse for UK (givet i 2021) er fortsat gyldig, men er underlagt revision og juridisk anfægtelse. Organisationer bør ikke udelukkende stole på UK-ækvivalens — standardkontraktbestemmelser forbliver en anbefalet yderligere sikkerhedsforanstaltning.
For UK-organisationer, der anvender EU-baserede cloud-tjenester: overførslen fra UK til EU er i øjeblikket ikke begrænset (ingen EU-begrænsninger for UK-datastrømme), men EU-tjenesteyderens behandling af UK-personoplysninger kan udløse EU GDPR-krav for behandleren.
Praktisk vejledning: organisationer med EU-UK-datastrømme bør dokumentere både deres UK GDPR-overholdelsessituation og deres EU GDPR-overholdelsessituation separat, idet det noteres, hvor de er ækvivalente, og hvor UK-specifikke krav gælder.
Kilder: