UK andmekaitese ja digitaaalse teabe seadus (DPDI) 2025 teeb 14 olulist lahknemist EL GDPR-iga — loob esimese sisulise regulatiivse lahknemise EL ja UK andmekaitsekaadrite vahel pärast Brexiti. EL-UK adekvaatsuse otsus, mis oli algselt kehtiv kuni 2025. aasta juuni ja pikendati enne ülevaatamist, seisab silmitsi EL-i GDPR praktiseerijate ja Euroopa Komisjoni kritiigilisest vastuvõetust.
LastPass täitmine: UK GDPR-i tehniline maamärk
ICO €1,2 miljoni trahv LastPassi vastu detsembris 2025 on UK-i kõige olulisem tehniline turva täitmine. ICO leidis:
Krüpteerimise ebapiisavus: LastPass kogus kliendi peamise parooli hoidlaid ebapiisava krüpteerimisega, mida ICO pidas "ebapiisavaks" UK GDPR artikli 32 alusel. Spetsiaalselt leidis ICO, et mõned hoidla iteratsioonid kasutasid PBKDF2-SHA256 ainult 1 iteratsiooniga — palju madalam kui UK NCSC minimaalne soovitus 600 000 iteratsiooni paroolil põhinevate võtmete jaoks.
Kehtestatud seaduslik standard: UK GDPR artikkel 32 nõuab "asjakohaseid tehnilist meetodeid", mis kajastavad "tehnika seisu". ICO leidis, et "tehnika seisu" krüpteerimise võtmete tuletamisel 2022. aastal (rikkumise ajal) nõuti palju rohkem kui LastPass andis. See kehtestab, et turvalisuse standardid arvenevad — mis oli aksepteeritav 2015. aastal, ei pruugi olla 2022. aastal aksepteeritav.
Otsene mõju krüpteerimise tööriistadele: Organisatsioonid, mis kasutavad andmete töötlemise tööriiste, peavad kontrollima, et nende tööriistade krüpteerimismeetodid vastavad praegusele ...