UK GDPR Post-Brexit: Divergens og Kontinuitet
Den britiske databeskyttelseslov fra 2018, der inkorporerer UK GDPR, spejler EU GDPR tæt — men med betydelige forskelle, der skaber forskellige overholdelseskrav for organisationer, der opererer i Storbritannien.
Kontinuitet:
- Samme seks lovlige grundlag for behandling
- Samme rettigheder for registrerede (adgang, sletning, berigtigelse, dataportabilitet)
- Samme ansvarlighedsprincip og dokumentationskrav
- Samme forpligtelse til at underrette om databrud (72 timer til ICO)
- Samme krav til databeskyttelse ved design og som standard
Divergenser:
- Tilstrækkelighedsregime: UK har sine egne tilstrækkelighedsbeslutninger for internationale datatransfers; EU-tilstrækkelighed for UK-datatransfers opretholdes, men er omstridt
- AI-vejledning: ICO udstedte dedikeret AI-vejledning (2023-2024), der er mere detaljeret end EDPB's sammenlignelige vejledning
- Biometriske data: Behandlingen af biometriske data i UK har mindre definitionsforskelle
- Forskningsundtagelser: UK's undtagelser for forskning og statistik er noget bredere end EU's ækvivalenter
- Håndhævelseskultur: ICO har historisk set fokuseret på uddannelse og vejledning før bøder; dette ændrer sig med nylige store håndhævelsesaktioner
For organisationer, der opererer i både EU og UK, skaber UK GDPR en parallel overholdelsesforpligtelse, der kræver vurdering af både EU GDPR og UK GDPR krav — de er ikke identiske.
LastPass ICO-bøde: Etablering af kryptering som lovkrav
ICO's bøde mod LastPass UK i december 2025 (£1,2M) er den skelsættende UK GDPR-sag for krypteringsstandarder. Håndhævelsesmeddelelsen fastslog flere principper med brede implikationer:
Den centrale konklusion: LastPass's krypteringsarkitektur — som opbevarede brugerens vault-data med server-tilgængelige krypteringsnøgler — blev fundet utilstrækkelig i henhold til UK GDPR Artikel 32. ICO fandt, at "kontrolløren burde have implementeret kryptering på klientsiden, hvilket ville have sikret, at selv i tilfælde af et serverbrud, ville brugerens vault-data ikke være tilgængelige for uautoriserede parter."
Hvad dette betyder: ICO har fastslået, at hvor en mere privatlivsbeskyttende arkitektur findes (kryptering på klientsiden) og er teknisk gennemførlig, kan brugen af en mindre privatlivsbeskyttende arkitektur (server-kryptering) muligvis ikke opfylde standarden for "passende tekniske foranstaltninger" i Artikel 32.
Bredere implikationer: Organisationer, der opbevarer følsomme data ved hjælp af server-kryptering — hvor leverandørens servere holder krypteringsnøgler — kan stå over for ICO's granskning, hvis der opstår et brud. Håndhævelsesmeddelelsen angiver eksplicit, at "tekniske foranstaltninger skal være proportionale med risikoen, og hvor risikoen for uautoriseret adgang til følsomme personoplysninger er høj, kan den passende foranstaltning kræve klient-side nøglehåndtering."
For PII anonymisering værktøjer: hvis en leverandørs anonymiseringstjeneste opbevarer den ukrypterede tekst af behandlede dokumenter på server-siden (til revisionslogs, brugsanalyser eller funktioner som dokumenthistorik), skaber dette et server-tilgængeligt datalager, der muligvis ikke opfylder ICO's standard efter LastPass for følsomme data.
ICO's AI-vejledning: Tekniske krav til Generativ AI
ICO udstedte omfattende AI-vejledning i 2023-2024, der dækker otte specifikke tekniske krav til generative AI-systemer — mere detaljeret end EU's ækvivalente vejledning:
1. Audibilitet af træningsdata: AI-systemer, der er trænet på personoplysninger, skal have dokumenteret oprindelse af træningsdata, herunder anvendte anonymiseringsprocedurer.
2. Outputovervågning: Systemer, der genererer persondataudgange, skal have overvågningskontroller for at opdage og forhindre upassende datadisklusion.
3. Formålsbegrænsning i træning: Personoplysninger, der bruges til træning, skal begrænses til det specifikke formål — generel AI-træning ved brug af kundedata kræver et eksplicit juridisk grundlag.
4. Individuelle rettigheder i automatiseret beslutningstagning: AI-systemer, der træffer betydelige beslutninger om enkeltpersoner, skal implementere tekniske kontroller for at lette individuelle rettigheder (adgang, forklaring, anfægtelse).
5. Bias-auditering: Systemer, der behandler beskyttede karakteristika (direkte eller ved inferens), skal have teknisk bias-overvågning.
6. Dataminimering i finjustering: Finjustering på personoplysninger skal anvende minimering før træning — ikke kun anonymiseringspolitikker, men teknisk implementering.
7. Opbevaring i træning: Personoplysninger, der er indarbejdet i modelvægte, skal være adresserbare for sletningsanmodninger (tekniske eller tilsvarende sikkerhedsforanstaltninger kræves).
8. Due diligence for tredjepartsmodeller: Organisationer, der bruger tredjeparts AI-systemer, skal vurdere og dokumentere disse systemers tekniske overholdelse af disse krav.
Disse otte krav skaber en teknisk implementeringscheckliste for UK AI-udrulninger.
ICO Håndhævelsestrends: Fra Vejledning til Bøder
ICO har historisk set foretrukket uddannelse og håndhævelsesmeddelelser frem for store bøder. Dette ændrer sig:
- LastPass (dec 2025): £1,2M — teknisk sikkerhedsfejl (krypteringsarkitektur)
- Valgkommissionen (2023): £4,4M reprimande (ingen bøde) — sikkerhedsfejl (server ikke opdateret)
- British Airways (2019, afgjort 2020): £20M — databrud fra cyberangreb på grund af utilstrækkelig sikkerhed
- Marriott International (2019, afgjort 2020): £18,4M — databrud fra utilstrækkelig due diligence
ICO udstedte 67 håndhævelsesmeddelelser i 2024 — et rekordhøjt antal — hvilket tyder på en stigende vilje til at bruge formel håndhævelse.
LastPass-bøden er særligt betydningsfuld, fordi den målrettede en beslutning om krypteringsarkitektur, ikke blot et brudresultat. Dette tyder på, at ICO vil granske tekniske designvalg, ikke blot brudrespons.
UK-EU Dataflow Implikationer
UK-organisationer, der betjener EU-kunder eller modtager EU-personoplysninger, står over for den dobbelte overholdelsesforpligtelse:
- UK GDPR gælder for UK-behandling
- EU GDPR gælder for EU-personoplysninger
For datatransfers fra EU til UK: EU's tilstrækkelighedsbeslutning for UK (givet 2021) forbliver gyldig, men er underlagt gennemgang og retlig udfordring. Organisationer bør ikke stole fuldstændigt på UK-tilstrækkelighed — standardkontraktbestemmelser forbliver en anbefalet yderligere sikkerhedsforanstaltning.
For UK-organisationer, der bruger EU-baserede cloud-tjenester: overførslen fra UK til EU er i øjeblikket ikke begrænset (ingen EU-begrænsninger på UK-datastreams), men EU-tjenesteudbyderens behandling af UK-personoplysninger kan udløse EU GDPR-krav for databehandleren.
Praktisk vejledning: organisationer med EU-UK dataflows bør dokumentere både deres UK GDPR-overholdelsesholdning og deres EU GDPR-overholdelsesholdning separat, idet de bemærker, hvor de er ækvivalente, og hvor UK-specifikke krav gælder.
Kilder: