anonym.legal

By · Last updated 2026-06-05

بازگشت به وبلاگGDPR و انطباق

ICO بریتانیا: تفاوت‌های GDPR پس از برکزیت

ICO در دسامبر ۲۰۲۵ جریمه‌ای ۱.۲ میلیون پوندی به LastPass برای رمزنگاری ناکافی صادر کرد. این حکم رمزنگاری سمت کاربر را به عنوان یک الزام قانونی تثبیت می‌کند.

June 5, 20267 دقیقه مطالعه
ICO UKUK GDPRLastPass fineencryption compliancepost-Brexit data protection

GDPR بریتانیا پس از برکزیت: چه تغییراتی رخ داد

قانون حفاظت از داده ۲۰۱۸ بریتانیا، GDPR بریتانیا را به قانون تبدیل کرد. این قانون به GDPR اتحادیه اروپا نزدیک است — اما نه در همه حوزه‌ها. اگر در هر دو بریتانیا و اتحادیه اروپا فعالیت می‌کنید، با دو بررسی انطباق جداگانه روبرو هستید.

آنچه ثابت ماند:

  • شش مبنای قانونی برای پردازش
  • حقوق افراد: دسترسی، حذف، اصلاح، قابلیت حمل
  • اطلاع‌رسانی نقض ظرف ۷۲ ساعت به نهاد نظارتی
  • حریم خصوصی بر اساس طراحی و به صورت پیش‌فرض

آنچه تغییر کرد:

  • بریتانیا تصمیمات کفایت مستقل خود را برای انتقال داده بین‌المللی اتخاذ می‌کند
  • راهنمای هوش مصنوعی بریتانیا که در سال‌های ۲۰۲۳ تا ۲۰۲۴ منتشر شد، از EDPB فراتر می‌رود
  • استثناهای پژوهشی بریتانیا اندکی گسترده‌تر از موارد اتحادیه اروپا هستند
  • نهاد نظارتی از رویکرد راهنمایی‌محور به جریمه‌محور در حال تغییر است — سریع‌تر از قبل

شکاف بین قوانین بریتانیا و اتحادیه اروپا واقعی است. آن‌ها را به عنوان دو فهرست بررسی مجزا در نظر بگیرید.

جریمه LastPass: رمزنگاری اکنون یک آزمون قانونی است

در دسامبر ۲۰۲۵، ICO جریمه‌ای ۱.۲ میلیون پوندی به LastPass بریتانیا به دلیل تنظیمات معیوب رمزنگاری صادر کرد. این مهم‌ترین حکم GDPR بریتانیا در حوزه امنیت فنی تا به امروز است.

یافته نهاد نظارتی: LastPass سوابق vault را با کلیدهایی که در سمت سرور نگهداری می‌شدند ذخیره کرد. هر کسی که به سرور دسترسی پیدا می‌کرد می‌توانست vault را بخواند. حکم این بود که این تنظیمات آزمون «اقدامات فنی مناسب» مندرج در ماده ۳۲ GDPR بریتانیا را نقض می‌کند.

عبارت کلیدی از اخطاریه: «کنترل‌کننده باید از رمزنگاری سمت کاربر استفاده می‌کرد. این کار سوابق vault کاربران را حتی در صورت نقض سرور ایمن نگه می‌داشت."

آنچه این حکم تعیین کرد: اگر طراحی ایمن‌تری وجود دارد و قابل پیاده‌سازی است، استفاده از طراحی ضعیف‌تر ممکن است ماده ۳۲ را نقض کند. مدیریت کلید در سمت سرور دیگر یک پیش‌فرض ایمن برای سوابق حساس نیست.

در معرض خطر چه کسانی هستند: هر سرویسی که سوابق حساس ذخیره می‌کند و کلیدهای رمزنگاری را روی سرورهای خود نگه می‌دارد. این شامل ابزارهایی می‌شود که متن را برای آرشیو حسابرسی، آمار استفاده، یا تاریخچه سند ثبت می‌کنند. اگر سرور می‌تواند متن را بخواند، نهادهای نظارتی ممکن است بپرسند چرا از طراحی سمت کاربر استفاده نکردید. ببینید anonym.legal چگونه با معماری دانش-صفر این موضوع را مدیریت می‌کند.

راهنمای هوش مصنوعی بریتانیا: هشت قانون فنی

نهاد نظارتی بریتانیا در سال‌های ۲۰۲۳ تا ۲۰۲۴ راهنمای دقیق هوش مصنوعی منتشر کرد. این راهنما هشت الزام مشخص برای سیستم‌های هوش مصنوعی مولد را پوشش می‌دهد. راهنمای مقایسه‌ای اتحادیه اروپا جزئیات کمتری دارد.

۱. منشأ داده آموزشی — هوش مصنوعی آموزش‌دیده بر روی سوابق شخصی باید ثبت کند که داده از کجا آمده و چه مراحلی برای پاکسازی آن انجام شده است.

۲. نظارت بر خروجی — سیستم‌هایی که خروجی شخصی تولید می‌کنند باید کنترل‌هایی برای شناسایی و جلوگیری از افشای نادرست داشته باشند.

۳. محدودیت هدف — سوابق استفاده‌شده برای آموزش هوش مصنوعی باید با هدف اعلام‌شده مطابقت داشته باشند. آموزش عمومی بر روی سوابق مشتریان نیاز به مبنای قانونی روشنی دارد.

۴. حقوق تصمیم‌گیری خودکار — اگر هوش مصنوعی شما تصمیمات کلیدی درباره یک فرد می‌گیرد، باید از دسترسی، توضیح و اعتراض پشتیبانی کند.

۵. نظارت بر سوگیری — سیستم‌هایی که از ویژگی‌های محافظت‌شده استفاده می‌کنند — مستقیم یا از طریق استنتاج — باید بررسی‌های سوگیری داشته باشند.

۶. کمینه‌سازی قبل از تنظیم دقیق — قبل از تنظیم دقیق باید سوابق شخصی را کاهش دهید. یک سیاست‌نامه به تنهایی کافی نیست.

۷. حذف از وزن‌های مدل — اگر سوابق وارد وزن‌های مدل شوند، به یک برنامه برای رسیدگی به درخواست‌های حذف نیاز دارید. حفاظ‌های فنی یا معادل آن‌ها الزامی هستند.

۸. بررسی هوش مصنوعی شخص ثالث — اگر از هوش مصنوعی شرکت دیگری استفاده می‌کنید، باید انطباق آن را با همه هشت نقطه بررسی و ثبت کنید.

این هشت قانون یک فهرست بررسی عملی برای هر استقرار هوش مصنوعی در بریتانیا را تشکیل می‌دهند.

اجرای قانون در بریتانیا: تغییر به سمت جریمه‌ها

نهاد نظارتی قبلاً ترجیح می‌داد نامه‌های راهنمایی را به جای جریمه صادر کند. این در حال تغییر است. اقدامات اخیر الگویی روشن را نشان می‌دهند:

اقداممبلغسالدلیل
British Airways۲۰ میلیون پوند۲۰۲۰نقض — امنیت ضعیف
Marriott International۱۸.۴ میلیون پوند۲۰۲۰نقض — بررسی دقیق ناکافی
LastPass بریتانیا۱.۲ میلیون پوند۲۰۲۵شکست در طراحی رمزنگاری
کمیسیون انتخاباتاخطار ۴.۴ میلیون پوندی۲۰۲۳سرور وصله‌نشده

در سال ۲۰۲۴، ۶۷ اخطاریه اجرایی صادر شد — یک رکورد. پرونده LastPass قابل توجه است زیرا جریمه برای یک انتخاب طراحی بود، نه صرفاً نتیجه یک نقض. نهادهای نظارتی بررسی کردند که LastPass سیستم خود را چگونه ساخته است. این جدید است.

انتقال بریتانیا-اتحادیه اروپا: ریسک دوطرفه

سازمان‌های بریتانیایی که سوابق شخصی اتحادیه اروپا را مدیریت می‌کنند با تعهداتی از هر دو طرف روبرو هستند.

از اتحادیه اروپا به بریتانیا: اتحادیه اروپا در سال ۲۰۲۱ تصمیم کفایت برای بریتانیا صادر کرد. هنوز معتبر است. اما تحت چالش حقوقی است. تنها به آن اتکا نکنید — بندهای قراردادی استاندارد (SCCs) پشتیبان معقولی هستند.

از بریتانیا به اتحادیه اروپا: هیچ قانون فعلی از انتقال سوابق بریتانیا به پردازشگران اتحادیه اروپا جلوگیری نمی‌کند. اما یک پردازشگر اتحادیه اروپا که سوابق بریتانیا را مدیریت می‌کند ممکن است همچنان GDPR اتحادیه اروپا را در پایان خود فعال کند.

گام عملی: موضع GDPR بریتانیا و موضع GDPR اتحادیه اروپا خود را به عنوان دو سند جداگانه بنویسید. مواردی که با هم مطابقت دارند و مواردی که متفاوتند را یادداشت کنید. این سند مورد نیاز شما است اگر یک نهاد نظارتی بپرسد. نمای کلی انطباق ما هر دو طرف را نقشه‌برداری می‌کند.

برای بررسی عمیق‌تر طراحی دانش-صفر و نحوه پرداختن آن به ریسک نقض سرور که در LastPass شناسایی شد، صفحه معماری امنیت و حریم خصوصی ما را بخوانید.

منابع

مقالات مرتبط

GDPR و انطباق

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR و انطباق

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR و انطباق

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

آماده‌اید داده‌های خود را محافظت کنید؟

شروع به ناشناس‌سازی PII با بیش از ۲۸۵ نوع نهاد در ۴۸ زبان.

آغاز دوره آزمایشی رایگانمشاهده ویژگی‌ها

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.