Το Data Protection and Digital Information (DPDI) Act 2025 του Ηνωμένου Βασιλείου κάνει 14 σημαντικές αποχωρήσεις από το GDPR της ΕΕ — δημιουργώντας την πρώτη ουσιαστική ρυθμιστική απόκλιση μεταξύ του ΕΕ και UK πλαισίων προστασίας δεδομένων από το Brexit. Η απόφαση ισότητας ΕΕ-UK, η οποία ήταν αρχικά έγκυρη έως Ιούνιο 2025 και επεκτάθηκε εν αναμονή εξέτασης, αντιμετωπίζει αυξανόμενο έλεγχο από επαγγελματίες GDPR και την Ευρωπαϊκή Επιτροπή.
Η Επιβολή LastPass: Ο Τεχνικός Σταθμός του UK GDPR
Το πρόστιμο του ICO £1.2 εκατ. κατά LastPass UK τον Δεκέμβριο 2025 είναι η πιο σημαντική υπόθεση τεχνικής ασφάλειας επιβολής του ΗΒ. Το ICO ανακάλυψε:
Ανεπαρκής κρυπτογράφηση: Το LastPass αποθήκευσε τα κρυπτογραφημένα αποθήκευματα κύριων κωδικών πρόσβασης πελατών με παλιωμένη κρυπτογράφηση που το ICO διαπίστωσε ότι ήταν "ανεπαρκής" κατά το Άρθρο 32 UK GDPR. Συγκεκριμένα, το ICO ανακάλυψε ότι ορισμένες επαναλήψεις θησαυρού χρησιμοποίησαν PBKDF2-SHA256 με μόνο 1 επανάληψη — πολύ κάτω από την ελάχιστη σύσταση του UK NCSC των 600.000 επαναλήψεων για κλειδιά που προέρχονται από κωδικό πρόσβασης.
Ο καθιερωμένος νομικός πρότυπος: Το Άρθρο 32 UK GDPR απαιτεί "κατάλληλα τεχνικά μέτρα" που αντικατοπτρίζουν την "τελευταία τεχνολογία". Το ICO διαπίστωσε ότι η "τελευταία τεχνολογία" για παραγωγή κλειδιού κρυπτογράφησης το 2022 (όταν συνέβη η παραβίαση) απαιτούσε πολύ περισσότερα από ό,τι παρείχε το LastPass. Αυτό θέτει ότι τα πρότυπα ασφάλειας εξελίσσονται — αυτό που ήταν αποδεκτό το 2015 ενδέχεται να μην είναι αποδεκτό το 2022.
Άμεσο περίβλημα για εργαλεία κρυπτογράφησης: Οι οργανισμοί που χρησιμοποιούν εργαλεία επεξεργασίας δεδομένων πρέπει να επαληθεύσουν ότι οι εφαρμογές κρυπτογράφησης αυτών των εργαλείων πληρούν τα τρέχοντα πρότυπα "τελευταίας τεχνολογίας", όχι μόνο τα ελάχιστα πρότυπα. Η επιβολή του ICO για το LastPass κάνει την ποιότητα κρυπτογράφησης του πωλητή ένα άμεσα ελεγχόμενο απαίτημα συμμόρφωσης.
DPDI Act 2025: Κύριες Αποκλίσεις από το GDPR της ΕΕ
Το DPDI Act κάνει 14 προσδιορισμένες αποχωρήσεις από το GDPR της ΕΕ. Τις πιο λειτουργικά σημαντικές:
1. Μεταρρύθμιση νόμιμων συμφερόντων: Το DPDI Act δημιουργεί μια λίστα "αναγνωρισμένων νόμιμων συμφερόντων" που δεν απαιτούν το δοκιμαστικό ισορροπίας του GDPR της ΕΕ κατά τα συμφέροντα του υποκειμένου δεδομένων. Αυτό κάνει τα νόμιμα συμφέροντα μια πιο προσιτή νομική βάση για τις πολιτικές του ΗΒ — μείωση απαιτήσεων συναίνεσης για κάποια επιχειρηματική επεξεργασία.
2. Έρευνα, στατιστική και αρχειοθέτηση: Το DPDI Act διευρύνει σημαντικά την εξαίρεση έρευνας, επιτρέποντας ευρύτερη δευτερογενή χρήση προσωπικών δεδομένων για σκοπούς έρευνας χωρίς ρητές απαιτήσεις συναίνεσης που επιβάλλει το GDPR της ΕΕ.
3. Αυτοματοποιημένη λήψη απόφασης: Η αντικατάσταση του DPDI Act του Άρθρου 22 GDPR (δικαιώματα αυτοματοποιημένης λήψης απόφασης) είναι πιο επιτρεπτική για εμπορικές αυτοματοποιημένες αποφάσεις. Η απαίτηση για ουσιαστική ανθρώπινη εξέταση χαλαρώνεται για ορισμένες κατηγορίες αυτοματοποιημένης επεξεργασίας.
4. Κρατήστε αρχεία: Το DPDI Act αφαιρεί υποχρεωτικές απαιτήσεις ROPA (αρχεία δραστηριοτήτων επεξεργασίας) για μικρούς οργανισμούς (κάτω από 250 υπαλλήλους) χωρίς "συστηματική" επεξεργασία. Το GDPR της ΕΕ απαιτεί ROPA για όλους τους οργανισμούς των οποίων η επεξεργασία δεν είναι περιστασιακή.
5. Συγκατάθεση μπισκότων: Το DPDI Act περιλαμβάνει διατάξεις για "εναλλακτικές λύσεις χωρίς cookies" και μειώνει τις απαιτήσεις συναίνεσης για αναλυτικά cookies — ειδικά σχεδιασμένα για μείωση του φορτίου πανό συναίνεσης. Το ePrivacy GDPR της ΕΕ απαιτήσεις (που επιβάλλονται παράλληλα) εξακολουθούν να απαιτούν συναίνεση για cookies παρακολούθησης.
6. Διεθνείς μεταφορές: Το DPDI Act δίνει στο UK Secretary of State ευρύτερη εξουσία να χορηγεί αποφάσεις ισότητας — δυνητικά επιτρέποντας στο UK να χορηγεί ισότητα σε χώρες που η ΕΕ δεν έχει, δημιουργώντας απόκλινον πλαίσιο μεταφοράς.
Ο Κίνδυνος Ισότητας: Τι Θα Μπορούσε να Ενεργοποιήσει Εξέταση της ΕΕ
Η εξέταση ισότητας της Επιτροπής της ΕΕ του ΗΒ θα αξιολογήσει εάν το UK GDPR (όπως τροποποιήθηκε το 2025) παραμένει ουσιαστικά ισοδύναμο. Τρεις περιοχές κινδύνου:
Παρακολούθηση δεδομένων υπαλλήλων: Το DPDI Act χαλαρώνει την προστασία των δεδομένων υπαλλήλων σε πολλές περιοχές. Εάν πολυεθνικές εταιρείες μετατοπίζουν τα αρχεία υπαλλήλων της ΕΕ προς τα UK για παρακολούθηση, παραγωγικότητα ή εσωτερικές έρευνες με χαλαρότερους κανόνες, η Επιτροπή ενδέχεται να αποφασίσει ότι ο ΗΒ δεν παρέχει πλέον ουσιαστικά ισοδύναμη προστασία.
Έρευνα πωλήσεων δεδομένων: Εάν αγγλικές εταιρείες αρχίζουν να πωλούν δεδομένα πολιτών της ΕΕ σε τρίτες ΗΠΑ με βάση της διευρυμένης εξαίρεσης έρευνας, η ΕΕ μπορεί να αμφισβητήσει την ανταγωνιστικότητα του πλαισίου μεταφοράς.
Κεντρικοποίηση λήψης απόφασης AI: Το DPDI Act επιτρέπει πιο ευρεία αυτοματοποιημένη λήψη απόφασης χωρίς ανθρώπινη παρέμβαση. Εάν αυτό οδηγήσει σε απόρριψη ΔΠΑ-αποσύνδεσης από τις εταιρείες του ΗΒ με πολιτών της ΕΕ δεδομένα, η ισότητα αμφισβητείται.
Πρακτικές Στρατηγικές Διπλής Συμμόρφωσης
Οργανισμοί με ροές δεδομένων ΕΕ-UK πρέπει:
1. Διατηρήστε αποδεκτά τεχνικά πρότυπα: Όπως καθιερώνεται από LastPass, η κρυπτογράφηση "state-of-the-art" πρέπει να πληρούν και τους δύο ρυθμιστές. Ακόμη κι αν η UK δεν απαιτεί PBKDF2-SHA256 600K διαδρόμων, τα πολυεθνικά που εφαρμόζουν EU-κατάσταση θα διατηρήσουν τα πρότυπα που είναι αποδεκτά σε δυο χώρες.
2. Τεκμηριώστε τις απαιτήσεις ανωνυμοποίησης: Οι ΕΕ DPA και το UK ICO θα εξακολουθούν να είναι αυστηροί για τις απαιτήσεις ανωνυμοποίησης, ακόμη κι αν οι δύο νόμοι αποκλίνουν. Τεκμηριώστε ότι όλα τα κλαίσματα ανωνυμοποίησης πληρούν τη σταθερή δοκιμή re-identification και τη δυνατή δοκιμή, ανεξάρτητα από τη διαχείριση σκηνής.
3. Ενημέρωση μεταφοράς δεδομένων: Ακόμη κι αν η ΕΕ-UK ισότητα ισχύει αυτό το έτος, πολυεθνικές πρέπει να γνωρίζουν ότι τα δικαιώματα υποκειμένων και οι απαιτήσεις δοχείων περιγραφής ενδέχεται να διαφέρουν μεταξύ δύο χώρων. Τα έργα μεταφοράς δεδομένων πρέπει να υποδεικνύουν ρητά ποιος νόμος ισχύει.
Πηγές: