UK GDPR parast Brexitit: mis muutus
Andmekaitseseadus 2018 toi UK GDPRi seadusena jousse. See on lahedane ELi GDPRile -- kuid mitte igas osas. Kui tegutsetele nii Uhendkuningriigis kui ELis, seisate silmitsi kahe eraldi vastavusekontrolliga.
Mis jai samaks:
- Kuus seaduslikku tootlemisalust
- Andmesubjektide oigused: juurdepaasumine, kustutamine, parandamine, ulekantavus
- 72-tunnine rikketest teavitamine jarelevalveasutusele
- Sisseehitatud andmekaitse ja vaikimisi andmekaitse
Mis muutus:
- Uhendkuningriik haldab iseseisvalt piiriuleste andmeedastuste piisavusotsuseid
- UK AI juhend aastatel 2023-2024 laheb kaugemale kui EDPB omad
- UK teadusuuringute erandid on veidi laiemad kui ELis
- Jarelevalveasutus liigub nouannete eelistamiselt trahvidele -- kiiremini kui varem
Luhe UK ja ELi reeglite vahel on reaalne. Kasitlege neid kahe eraldi kontrollnimekirjana.
LastPassi trahv: kruptimine on nuud seaduslik proovikivi
Detsembris 2025 trahvis ICO LastPass UK-d 1,2 miljoni naelsterlingiga vigase kruptimislahenduse eest. See on tanaseni olulisim UK GDPR otsus tehnilise turvalisuse kohta.
Mida jarelevalveasutus tuvastas: LastPass hoidis seifkirjeid serveripoolsete votmetega. Igauks, kes paases serverile ligi, sai seifi lugeda. Otsuse kohaselt rikkus see UK GDPR artikli 32 nouet asjakohaste tehniliste meetmete kohta.
Teatisel kasutatud votmefraas: Vastutav tootleja oleks pidanud kasutama kliendipoolset kruptimist. See oleks hoidnud kasutajate seifkirjed turvalisena isegi serveri rikkumise korral.
Mida see tahendab: Kui turvalisem lahendus on olemas ja teostatav, voib norgema kasutamine rikkuda artiklit 32. Serveripoolne votmehaldus ei ole enam tundlike kirjete puhul turvaline vaikimisi valik.
Kes on ohus: Iga teenus, mis salvestab tundlikke kirjeid ja hoiab kruptimisvotmeid oma serverites. See holmab toriistu, mis logib teksti auditijalgede, kasutustatistika voi dokumendiajaloo tarbeks. Kui server suudab teksti lugeda, voivad regulaatorid kusida, miks te ei kasutanud kliendipoolset lahendust. Vaadake, kuidas anonym.legal kasitleb seda nullteadmiste arhitektuuriga.
UK AI juhend: kaheksa tehnilist nouet
UK jarelevalveasutus avaldas uksikasjaliku AI juhendi aastatel 2023-2024. See holmab kaheksat konkreetset nouet generatiivsete tehisintellektisusteeemide jaoks. ELi vordlev juhend on vahem uksikasjalik.
1. Treeningandmete paritolu -- isiklikele kirjetele treenitud tehisintellekt peab logima, kust andmed parinevad ja milliseid puhastamismeetmeid kasutati.
2. Valjundi jalgimine -- susteemid, mis toodavad isiklikku valjundit, peavad omama kontrollmeetmeid halbade avalikustamiste tabamiseks ja peatamiseks.
3. Eesmargi piirang -- AI treenimiseks kasutatavad kirjed peavad vastama deklareeritud eesmargi. Uldine treenimine klientide kirjetel nouab selget seaduslikku alust.
4. Automatiseeritud otsuste oigused -- kui teie tehisintellekt teeb inimese kohta olulisi otsuseid, peab see toetama juurdepaasumine, selgitust ja edasikaebamist.
5. Kallutatuse jalgimine -- susteemid, mis kasutavad kaitstud tunnuseid -- otseselt voi jarelduste teel -- peavad sisaldama kallutatuse kontrolle.
6. Minimeerimine enne peenhaalestust -- enne peenhaalestust peate isiklikke kirjeid vahendama. Ainult poliitikast ei piisa.
7. Kustutamine mudeli kaaludest -- kui kirjed jouavad mudeli kaaludesse, vajate plaani kustutamistaotluste kasitlemiseks. Vajalikud on tehnilised voi samavardsed kaitsemeetmed.
8. Kolmanda osapoole AI ulevaatus -- kui kasutate teise ettevotte tehisintellekti, peate kontrollima ja dokumenteerima selle vastavust koigile kaheksale punktile.
Need kaheksa reeglit moodustavad praktilise kontrollnimekirja iga UK AI juurutuse jaoks.
UK taitmine: uleminek trahvidele
Varem eelistas jarelevalveasutus juhiskirju trahvidele. See on muutumas. Hiljutised tegevused naitavad selget mustrit:
| Tegevus | Summa | Aasta | Pohjus |
|---|---|---|---|
| British Airways | 20M GBP | 2020 | Rikkumine -- nork turvalisus |
| Marriott International | 18,4M GBP | 2020 | Rikkumine -- nork hoolsus |
| LastPass UK | 1,2M GBP | 2025 | Kruptimislahenduse viga |
| Valimiskomisjon | 4,4M GBP noomitus | 2023 | Paikamata server |
- aastal anti valja 67 taitimisteatist -- rekord. LastPassi juhtum on markimisvaarne, kuna trahv oli seotud projekteerimisvalikuga, mitte ainult rikkumise tagajarjega. Regulaatorid uurisid, kuidas LastPass oma susteemi ehitas. See on uus areng.
UK-EL edastused: kahepoolne risk
UK organisatsioonid, kes kasitlevad ELi isiklikke andmeid, seisavad molemalt poolt tulevate kohustuste ees.
EList UK-sse: EL andis UK-le piisavusotsuse 2021. aastal. See kehtib endiselt. Kuid see on vaidlustatud kohtus. Arge toetuge ainult sellele -- standardsed lepingulised klauslid (SCC) on moistlik tagavaraplaan.
UK-st ELi: Praegu ei blokeeri miski UK kirjete liikumist ELi tootlejatele. Kuid ELi tootleja, kes kasitleb UK kirjeid, voib siiski kaivitada ELi GDPR reeglid omaenda poolt.
Praktiline samm: Kirjutage UK GDPR positsioon ja ELi GDPR positsioon kahe eraldi dokumendina. Markige, kus need kattuvad ja kus erinevad. See on dokument, mida vajate regulaatori parimise korral. Meie vastavuse ulevaade kaardistab molemaid pooli.
Pohjalilikumalt nullteadmiste lahenduse ja LastPassi juhtumis tuvastatud serveri rikkumise riski kohta lugege meie turvalisuse ja privaatsuse arhitektuuri lehelt.
Allikad
- ICO: UK GDPR juhised ja ressursid -- VERIFIED-EXTERNAL
- ICO: LastPassi taitimise teatis, detsember 2025 -- VERIFIED-EXTERNAL
- ICO: AI ja andmekaitse juhend -- VERIFIED-EXTERNAL
- ICO: 2024. aasta taitimise aastaaruanne -- VERIFIED-EXTERNAL