UK GDPR pärast Brexitit: mis muutus
Suurbritannia andmekaitse ja digitaalteabe (DPDI) seadus 2025 teeb 14 muudatust EL-i GDPR-i reeglites. Need loovad esimese tõelise lõhe EL-i ja Suurbritannia privaatsusõiguse vahel alates Brexitist. EL-UK piisavusleping on ülevaate all. Selle tulemus on oluline iga ettevõtte jaoks, mis liigutab isikuandmeid kahe piirkonna vahel.
LastPassi trahv: uus tehniline latt
ICO trahvis LastPassi UK-d 1,2 miljoni naelsterlingiga 2025. aasta detsembris. See on Suurbritannia suurim tehniline turvakaasus tänaseni.
ICO tuvastas kaks põhilist ebaõnnestumist.
Nõrk krüptimine: LastPass hoidis klientide paroolivaulte vana krüptimisega. ICO nimetas seda UK GDPR artikli 32 alusel "ebapiisavaks". Mõned vaultid kasutasid PBKDF2-SHA256 vaid ühe iteratsiooniga. UK NCSC ütleb, et paroolivõtmed vajavad vähemalt 600 000 iteratsiooni.
Mida seadus nüüd nõuab: UK GDPR artikkel 32 nõuab "asjakohaseid tehnilisi meetmeid", mis vastavad "tehnika tasemele". ICO leidis, et võtme tuletamine 2022. aastal nõudis palju rohkem, kui LastPass pakkus. See, mis oli 2015. aastal sobiv, ei olnud 2022. aastal sobiv.
Tulemus: tarnija krüptimine on nüüd auditeeritav punkt. Peate kontrollima, et teie tööriistad kasutavad praeguseid parameetreid - mitte vanu lähteväärtusi. Vaadake meie turvalisuse ja vastavuse ülevaadet, kuidas me sellega toime tuleme.
DPDI seadus 2025: kuus peamist muudatust
Seadus teeb 14 tuvastatud muudatust UK andmeõiguses. Kuuel on otsene igapäevane mõju.
1. Õigustatud huvid. Seadus loetleb "tunnustatud õigustatud huvid". Need jätavad vahele tasakaalustamistesti, mida EL-i õigus endiselt nõuab. See muudab aluse UK ettevõtete jaoks lihtsamaks kasutada.
2. Teadusuuringud ja statistika. Seadus laiendab uurimiseksemptsiooni. Isikuandmete sekundaarne kasutamine uurimistöös vajab vähem nõusolekuid kui EL-i õigus nõuab.
3. Automatiseeritud otsused. Seadus asendab EL-i artikli 22. Uus reegel on leebem. Mõned automatiseeritud otsused ei vaja enam sisukat inimlikku ülevaatust.
4. Arvestuse pidamine. Seadus kaotab töötlemistoimingute kohustusliku registri (ROPA) alla 250 töötajaga ettevõtetele, kellel pole "süstemaatilist" töötlemist. EL-i reeglid nõuavad ROPA-t kõigilt ettevõtetelt, kelle töötlemine ei ole juhuslik.
5. Küpsiste nõusolek. Seadus vähendab nõusoleku reegleid analüütikute küpsiste puhul. See toetab "küpsisteta" valikuid. EL-i ePrivacy reeglid nõuavad endiselt nõusolekut jälgimisküpsiste jaoks.
6. Rahvusvahelised edastused. UK riigisekretär saab laiema volituse piisavusotsuste tegemiseks. UK võib heaks kiita riike, mida EL pole heaks kiitnud. See lõhestab edastuse raamistiku mõlemal pool.
Piisavusrisk
Euroopa Komisjon kontrollib, kas UK õigus tagab EL-i reeglitega "sisuliselt samaväärse" kaitse.
Kolm valdkonda muretsevad EL-i järelevalvajaid.
DPDI seaduse laiem õigustatud huvide käsitlus võib jätta lüngad, mida komisjon peab ebapiisavaks. UK uurimisvolituste seadus 2016 tekitab endiselt muret seoses EIÕK kohtupraktikaga. UK-USA kokkulepped CLOUD Act'i alusel võivad paljastada EL-i andmed USA õiguskaitseorganitele.
Kui piisavus peatatakse, tuleks kiiresti aktiveerida üle 10 000 UK-EL standardlepingusätete komplekti. Ettevõtted, kes tuginevad UK-EL edastuste puhul ainult piisavusele, seisaksid silmitsi tühimikuga üleöö. Vaadake meie vastavuse juhendit oma riskipositsiooni ülevaatamiseks.
Mõlema režiimi korraga haldamine
Ettevõtetele, mis alluvad nii EL-i kui UK seadustele, on tee selge.
Kasutage rangemat lähteväärtust. EL-i artikkel 32, EL-i õigustatud huvide test ja EL-i automatiseeritud otsuste reeglid on kõik rangemad kui UK seaduse vasted. EL-i reeglite täitmine tähendab UK reeglite täitmist, millele lisandub mõni UK eripära.
Dokumenteerige mõlemad õiguslikud alused. Õigustatud huvide puhul kirjutage üles nii EL-i tasakaalustamistesti tulemus kui ka tõend, et töötlemine sobib UK tunnustatud kategooriasse. Topeltdokumendid kaitsevad teid, kui reeglid veelgi lahknevad.
Hoidke SCCd valmis. 2026. aasta piisavuse ülevaade otsustab, kas vajate eraldi edastustööriistu. Hoidke standardlepingusätteid aktiivsena varuna isegi piisavuse kasutamise ajal.
Kontrollige tarnija krüptimist. LastPassi juhtum muudab tarnija krüptimise reaalseks vastavuse küsimuseks. Kinnitage, et isikuandmeid käsitlevad tööriistad kasutavad praeguseid sätteid: AES-256-GCM puhkeolekus, argon2id või PBKDF2 praeguste iteratsioonide arvudega võtme tuletamiseks. Levinud auditi küsimuste kohta vaadake meie KKK.
UK lõhestamine on esimene tõeline murd EL-i privaatsusmudelist. Ettevõtete jaoks mõlemas piirkonnas on turvalisim samm kujundada rangema standardi jaoks - milleks on endiselt EL-i raamistik.
anonym.legal töötleb dokumente EL-põhistes Hetzneri andmekeskustes nullteadmuse disainiga. Server ei näe kunagi teie lihtteksti. Täielik serveri rikkumine annab ainult AES-256-GCM šifriteksti. Vajate kohalikku töötlemist? Töölauarakendus töötab teie seadmel ilma väliste ühendusteta.