anonym.legal

By · Last updated 2026-06-05

Πίσω στο BlogGDPR & Συμμόρφωση

ICO Ηνωμένου Βασιλείου: Διαφορές UK GDPR και ΕΕ

Το ICO επέβαλε πρόστιμο £1,2 εκ. στη LastPass για ανεπαρκή κρυπτογράφηση τον Δεκέμβριο 2025. Η απόφαση καθιερώνει ότι η κρυπτογράφηση πλευράς πελάτη είναι νομική απαίτηση.

June 5, 20267 λεπτά ανάγνωσης
ICO UKUK GDPRLastPass fineencryption compliancepost-Brexit data protection

UK GDPR μετά το Brexit: τι άλλαξε

Ο Data Protection Act 2018 ενσωμάτωσε το UK GDPR στο βρετανικό δίκαιο. Είναι πολύ παρόμοιο με το GDPR της ΕΕ, αλλά όχι σε κάθε πτυχή. Όσοι δραστηριοποιούνται τόσο στο Ηνωμένο Βασίλειο όσο και στην ΕΕ πρέπει να διενεργούν δύο ξεχωριστούς ελέγχους συμμόρφωσης.

Τι παρέμεινε αμετάβλητο:

  • Οι έξι νομικές βάσεις για την επεξεργασία
  • Τα δικαιώματα υποκειμένων δεδομένων: πρόσβαση, διαγραφή, διόρθωση, φορητότητα
  • Υποχρεωτική γνοστοποίηση παραβίασης εντός 72 ωρών
  • Privacy by design και by default

Τι άλλαξε:

  • Το Ηνωμένο Βασίλειο εκδίδει τις δικές του αποφάσεις επάρκειας για διεθνείς μεταφορές
  • Οι κατευθυντήριες γραμμές του UK για την ΤΝ 2023–2024 υπερβαίνουν αυτές του EDPB
  • Οι βρετανικές εξαιρέσεις για έρευνα είναι ελαφρώς ευρύτερες από τις ευρωπαϊκές
  • Η εποπτική αρχή στρέφεται από συμβουλευτικό ρόλο σε κυρώσεις, με ταχύτερη ανταπόκριση

Η διαφορά μεταξύ βρετανικών και ευρωπαϊκών κανόνων είναι πραγματική. Αντιμετωπίστε τους ως δύο ξεχωριστά checklist.

Το πρόστιμο στη LastPass: η κρυπτογράφηση γίνεται νομικό κριτήριο

Τον Δεκέμβριο 2025, το ICO επέβαλε πρόστιμο £1,2 εκατομμυρίου στη LastPass UK για ελαττωματικό σύστημα κρυπτογράφησης. Πρόκειται για την πιο σημαντική απόφαση UK GDPR σε θέματα τεχνικής ασφάλειας μέχρι σήμερα.

Τι διαπίστωσε η αρχή: Η LastPass αποθήκευε δεδομένα θησαυροφυλακίων με κλειδιά διαχειριζόμενα από τον διακομιστή. Οποιοσδήποτε είχε πρόσβαση στον διακομιστή μπορούσε να διαβάσει το θησαυροφυλάκιο. Η απόφαση έκρινε ότι αυτό παραβίαζε τον έλεγχο «κατάλληλων τεχνικών μέτρων» του Άρθρου 32 του UK GDPR.

Η βασική φράση της ανακοίνωσης: «Ο υπεύθυνος επεξεργασίας θα έπρεπε να χρησιμοποιήσει κρυπτογράφηση πλευράς πελάτη. Αυτό θα προστάτευε τα δεδομένα του θησαυροφυλακίου των χρηστών ακόμα και σε περίπτωση παραβίασης του διακομιστή.»

Το προηγούμενο που θεσπίστηκε: Αν υπάρχει ασφαλέστερη προσέγγιση και είναι εφαρμόσιμη, η επιλογή της πιο αδύναμης μπορεί πλέον να συνιστά παραβίαση του Άρθρου 32. Η διαχείριση κλειδιών από τον διακομιστή δεν αποτελεί πλέον ασφαλή προεπιλογή για ευαίσθητα δεδομένα.

Ποιοι κινδυνεύουν: Κάθε υπηρεσία που αποθηκεύει ευαίσθητα δεδομένα και διατηρεί τα κλειδιά κρυπτογράφησης στους δικούς της διακομιστές. Αυτό περιλαμβάνει εργαλεία που καταγράφουν κείμενο για αρχεία ελέγχου, στατιστικά χρήσης ή ιστορικό εγγράφων. Αν ο διακομιστής μπορεί να διαβάσει το κείμενο, οι ρυθμιστικές αρχές μπορεί να αναρωτηθούν γιατί δεν υιοθετήθηκε σχεδιασμός πλευράς πελάτη. Μάθετε πώς το anonym.legal χειρίζεται αυτό με αρχιτεκτονική zero-knowledge.

Κατευθυντήριες γραμμές UK για ΤΝ: οκτώ τεχνικές απαιτήσεις

Το ICO δημοσίευσε λεπτομερείς κατευθυντήριες γραμμές για ΤΝ το 2023–2024, που καλύπτουν οκτώ συγκεκριμένες απαιτήσεις για συστήματα γενετικής ΤΝ. Οι αντίστοιχες ευρωπαϊκές κατευθυντήριες γραμμές είναι λιγότερο αναλυτικές.

1. Προέλευση δεδομένων εκπαίδευσης — Τα συστήματα ΤΝ που εκπαιδεύονται σε προσωπικά δεδομένα πρέπει να καταγράφουν την προέλευση αυτών των δεδομένων και τις πράξεις καθαρισμού που πραγματοποιήθηκαν.

2. Παρακολούθηση αποτελεσμάτων — Τα συστήματα που παράγουν προσωπικά αποτελέσματα πρέπει να διαθέτουν ελέγχους για τον εντοπισμό και την αποτροπή μη εξουσιοδοτημένων αποκαλύψεων.

3. Περιορισμός σκοπού — Τα δεδομένα που χρησιμοποιούνται για εκπαίδευση ΤΝ πρέπει να αντιστοιχούν στον δηλωμένο σκοπό. Η γενική εκπαίδευση σε δεδομένα πελατών απαιτεί ρητή νομική βάση.

4. Δικαιώματα επί αυτοματοποιημένων αποφάσεων — Αν το σύστημα ΤΝ λαμβάνει σημαντικές αποφάσεις για ένα άτομο, πρέπει να υποστηρίζει πρόσβαση, εξήγηση και προσφυγή.

5. Παρακολούθηση προκαταλήψεων — Τα συστήματα που χρησιμοποιούν προστατευόμενα χαρακτηριστικά, άμεσα ή κατά συμπέρασμα, πρέπει να προβλέπουν ελέγχους προκαταλήψεων.

6. Ελαχιστοποίηση πριν το fine-tuning — Τα προσωπικά δεδομένα πρέπει να μειώνονται πριν το fine-tuning. Μια απλή πολιτική δεν αρκεί.

7. Διαγραφή από βάρη μοντέλου — Αν τα δεδομένα εισέλθουν στα βάρη του μοντέλου, απαιτείται σχέδιο για τη διαχείριση αιτημάτων διαγραφής. Χρειάζονται τεχνικά μέτρα ή ισοδύναμα.

8. Επαλήθευση ΤΝ τρίτων — Αν χρησιμοποιείται σύστημα ΤΝ άλλης εταιρείας, πρέπει να επαληθευτεί και να τεκμηριωθεί η συμμόρφωσή του με όλα τα οκτώ σημεία.

Αυτές οι οκτώ απαιτήσεις αποτελούν πρακτικό checklist για κάθε ανάπτυξη ΤΝ στο Ηνωμένο Βασίλειο.

Επιβολή UK: η στροφή προς τις κυρώσεις

Προηγουμένως, η αρχή προτιμούσε επιστολές καθοδήγησης από κυρώσεις. Αυτό αλλάζει. Οι πρόσφατες ενέργειες δείχνουν ένα σαφές μοτίβο:

ΕνέργειαΠοσόΈτοςΑιτία
British Airways£20 εκ.2020Παραβίαση — ανεπαρκής ασφάλεια
Marriott International£18,4 εκ.2020Παραβίαση — ελλιπής δέουσα επιμέλεια
LastPass UK£1,2 εκ.2025Ελάττωμα σχεδιασμού κρυπτογράφησης
Εκλογική ΕπιτροπήΕύρεση £4,4 εκ.2023Διακομιστές χωρίς patches

Το 2024 εκδόθηκαν 67 αποφάσεις επιβολής — ρεκόρ. Η υπόθεση LastPass είναι αξιοσημείωτη επειδή η κύρωση αφορούσε αρχιτεκτονική επιλογή, όχι μόνο τις συνέπειες μιας παραβίασης. Οι ρυθμιστικές αρχές εξέτασαν πώς η LastPass είχε κατασκευάσει το σύστημά της. Αυτό είναι κάτι νέο.

Μεταφορές UK–ΕΕ: κίνδυνος και από τις δύο κατευθύνσεις

Οι οργανισμοί του UK που επεξεργάζονται προσωπικά δεδομένα κατοίκων ΕΕ έχουν υποχρεώσεις και από τις δύο πλευρές.

Από ΕΕ σε UK: Η ΕΕ χορήγησε στο Ηνωμένο Βασίλειο απόφαση επάρκειας το 2021, η οποία εξακολουθεί να ισχύει. Αλλά αποτελεί αντικείμενο νομικής αμφισβήτησης. Μην βασίζεστε αποκλειστικά σε αυτήν — οι Τυπικές Συμβατικές Ρήτρες (SCC) αποτελούν εύλογη εγγύηση.

Από UK σε ΕΕ: Καμία τρέχουσα νόμιμη ρύθμιση δεν εμποδίζει τη μεταφορά δεδομένων UK σε υπευθύνους επεξεργασίας εντός ΕΕ. Αλλά ένας ευρωπαίος εκτελών επεξεργασία που διαχειρίζεται δεδομένα UK μπορεί να παραμένει εντός πεδίου εφαρμογής του ευρωπαϊκού GDPR.

Πρακτικό βήμα: Συντάξτε τη θέση UK GDPR και ΕΕ GDPR ως δύο ξεχωριστά έγγραφα. Σημειώστε πού συμπίπτουν και πού αποκλίνουν. Αυτό είναι το μητρώο που θα χρειαστείτε αν το ζητήσει μια ρυθμιστική αρχή. Η επισκόπηση συμμόρφωσής μας χαρτογραφεί και τις δύο πλευρές.

Για εις βάθος ανάλυση της αρχιτεκτονικής zero-knowledge και του πώς αντιμετωπίζει τον κίνδυνο παραβίασης διακομιστή που εντοπίστηκε στην υπόθεση LastPass, διαβάστε τη σελίδα μας για ασφάλεια και αρχιτεκτονική ιδιωτικότητας.

Πηγές

Σχετικά Άρθρα

GDPR & Συμμόρφωση

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Συμμόρφωση

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Συμμόρφωση

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Έτοιμοι να προστατεύσετε τα δεδομένα σας;

Ξεκινήστε την ανωνυμοποίηση PII με 285+ τύπους οντοτήτων σε 48 γλώσσες.

Ξεκινήστε Δωρεάν ΔοκιμήΔείτε Χαρακτηριστικά

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.