anonym.legal

By · Last updated 2026-06-05

Itzuli BlogeraGDPR & Betetze

ICO UK: Brexit Osteko GDPR Desberdintasunak

ICOk LastPass £1,2 milioi zerrendan zigortu zuen 2025eko abenduan enkriptatze desegoki batengatik. Ebazpenak bezero-aldeko enkriptatzea legezko baldintza dela ezartzen du.

June 5, 20267 min irakurri
ICO UKUK GDPRLastPass fineencryption compliancepost-Brexit data protection

UK GDPR Brexit Ostean: Zer Aldatu Den

UK Data Protection Act 2018ak UK GDPR legean ezarri zuen. EU GDPRra hurbiltzen da, baina ez eremu guztietan. UK eta EUn aldi berean lan egiten baduzu, bi betetze-azterketa bereiziri aurre egin behar diezu.

Berdina geratu dena:

  • Prozesatzeko sei oinarri legitimoak
  • Subjektuen eskubideak: sarbidea, ezabatzea, zuzenketa, eramangarritasuna
  • 72 orduko hauste-jakinarazpena erregulatzaileari
  • Diseinuz eta lehenespenez pribatutasuna

Aldatu dena:

  • UKk bere egokitasun-erabakiak kudeatzen ditu mugaz gaindiko transferentzietarako
  • UKko AI gidalerroak 2023-2024 artean EDPBrenak baino urrunago joan dira
  • UKko ikerketa-salbuespenak EUkoak baino zertxobait zabalagoak dira
  • Erregulatzaileak aholkuetan oinarritzetik isunak jartzerantz mugitzen ari da — aurretik baino azkarrago

UK eta EU arauak arteko aldea erreala da. Bi zerrenda bereizi gisa hartu itzazu.

LastPass Isuna: Enkriptatzea Orain Legezko Proba Bat Da

2025eko abenduan, ICOk LastPass UKri £1,2 milioi isun jarri zion enkriptatze-konfigurazio akastunagatik. Hau da orain arte UKko GDPR araudiaren segurtasun teknikoko ebazpenik garrantzitsuena.

Erregulatzaileak aurkitutakoa: LastPassek biltegiratzeko erregistroak zerbitzariko gakoekin gordetzen zituen. Zerbitzarira iristen zen edonork baotea irakur zezakeen. Ebazpenak aurkitu zuen honek UK GDPR 32. artikuluko "neurri tekniko egokiak" proba hausten zuela.

Jakinarazpenaren gako-esaldia: "Kontrolatzaileak bezero-aldeko enkriptatzea erabili beharko zukeen. Horrek erabiltzailearen biltegiratzeko erregistroak zerbitzaria hausten bazen ere babestuko zituen."

Ezartzen duena: Diseinu seguruago bat existitzen bada eta eraiki badaiteke, ahulena erabiltzeak orain 32. artikulua hauts dezake. Zerbitzari-aldeko gako-kudeaketa ez da dagoeneko erregistro sentikorretarako aukera segurua.

Arriskuan daudena: Erregistro sentikorrak gordetzen dituzten eta enkriptatze-gakoak beren zerbitzarietan mantentzen dituzten zerbitzuak. Honek auditoretzarako, erabilera-estatistikei edo dokumentu-historiarako testua erregistratzen duten tresnak ere barnebiltzen ditu. Zerbitzariak testua irakur badezake, erregulatzaileek gal daiteke bezero-aldeko diseinua erabili behar zenuten. Ikusi anonym.legalek ezagutza-zero arkitekturarekin nola kudeatzen duen hau.

UKko AI Gidalerroa: Zortzi Arau Tekniko

UKko erregulatzaileak AI gidalerroa argitaratu zuen 2023-2024 artean. Zortzi baldintza tekniko espezifiko ditu sorkuntzazko AI sistemetarako. EUren alderagarria gidalerroa gutxiago zehatza da.

1. Prestakuntza-datuen jatorria — Erregistro pertsonaletan prestatutako AIak datu horiek nondik etorri ziren eta garbitzeko zer urrats erabili ziren erregistratu behar ditu.

2. Irteeraren jarraipena — Irteera pertsonala ekoizten duten sistemek adierazpen txarrak harrapatu eta geldiarazteko kontrolak eduki behar dituzte.

3. Helburu-mugaketa — AI prestakuntzarako erabiltzen diren erregistroek adierazitako helburuarekin bat etorri behar dute. Bezeroen erregistroetan prestakuntza orokorra oinarri juridiko argia behar du.

4. Erabaki automatizatuen eskubideak — Zure AIak pertsona baten inguruko gako-aukerak hartzen baditu, sarbidea, azalpena eta apelatzeko aukera lagundu behar ditu.

5. Alborapenaren jarraipena — Ezaugarri babestuen sistemen alborapenaren egiaztapenak eduki behar dituzte — zuzenean edo inferentziaz.

6. Findu aurretiko minimizazioa — Erregistro pertsonalak murriztu behar dituzu findu aurretik. Politika bakarrik ez da nahikoa.

7. Modelo-pisuetatik ezabatzea — Erregistroak modelo-pisuetan sartzen badira, ezabatze-eskaerak zuzentzeko plana behar duzu. Neurri tekniko edo baliokideak behar dira.

8. Hirugarren alderdiko AI berrikuspena — Beste konpainia baten AI erabiltzen baduzu, zortzi puntu guztiekiko betetzearen gaineko betetze-erregistroa egiaztatu eta erregistratu behar duzu.

Zortzi arau hauek UKko edozein AI zabalpenetan praktikako zerrenda bat osatzen dute.

UKko Betearazpena: Isunetarako Aldaketa

Erregulatzaileak lehenago zuzentze-gutunak lehenetsi ohi zituen zigorrei gainetik. Hori aldatzen ari da. Azken ekintzek eredu argia erakusten dute:

EkintzaZenbatekoaUrteaArrazoia
British Airways£20M2020Haustea — segurtasun ahula
Marriott International£18,4M2020Haustea — ardura txikia
LastPass UK£1,2M2025Enkriptatze-diseinu hutsa
Electoral Commission£4,4M oharpenak2023Adabakirik gabeko zerbitzaria

67 betearazpen-ohartarazpen eman ziren 2024an — errekord bat. LastPass kasua nabarmena da isuna diseinu-aukeragatik egon zelako, ez haustearen emaitzagatik soilik. Erregulatzaileek LastPassek nola eraiki zuen bere sistema aztertu zuten. Hori berria da.

UK-EU Transferentziak: Bi Norabideko Arriskua

EUko erregistro pertsonalak kudeatzen dituzten UK erakundeek bi aldeetako betebeharrak dituzte.

EUtik UKra: EUk UKri egokitasun-erabakia eman zion 2021ean. Oraindik indarrean dago. Baina erronka juridikoa dago. Ez fidatu horretaz bakarrik — kontratu klausula estandarrak (SCCak) atzerapenezko aukera zentzuzkoa dira.

UKtik EUra: Ez dago oraingo araurik UKko erregistroak EUko prozesatzaileengana mugitzea blokeatzen duenik. Baina UKko erregistroak kudeatzen dituen EUko prozesatzaileak oraindik ere bere aldetik EUko GDPR arauak aktiba ditzake.

Urrats praktikoa: Idatzi zure UK GDPRko posizioa eta EUko GDPRkoa bi dokumentu bereizietan. Oharra zer bat etortzen diren eta zer ez. Hori da erregulatzaile bat galdetzen badu behar duzun erregistroa. Gure betetze-ikuspegiak bi aldeak mapeatzen ditu.

Zero-ezagutza diseinuaren eta LastPassek identifikatutako zerbitzari-hauste arriskua nola jorratzen duen ikusteko, irakurri gure segurtasun eta pribatutasun arkitektura orria.

Iturriak

Lotutako Artikuluak

GDPR & Betetze

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Betetze

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Betetze

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Prest zure datuak babesteko?

Hasi PII anonimizatzen 285+ entitate mota 48 hizkuntzatan.

Hasi Probako BertsioaIkusi Ezaugarriak

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.