Yhdistyneen kuningaskunnan GDPR Brexitin jälkeen: Poikkeamat ja jatkuvuus
Yhdistyneen kuningaskunnan tietosuojalaki 2018, joka sisältää Yhdistyneen kuningaskunnan GDPR:n, on hyvin lähellä EU:n GDPR:ää — mutta merkittävillä poikkeamilla, jotka luovat erillisiä vaatimuksia organisaatioille, jotka toimivat Yhdistyneessä kuningaskunnassa.
Jatkuvuus:
- Samat kuusi laillista perustetta käsittelylle
- Samat rekisteröidyn oikeudet (pääsy, poistaminen, oikaiseminen, siirrettävyys)
- Sama vastuullisuusperiaate ja asiakirjavaatimukset
- Sama tietoturvaloukkauksista ilmoittamisvelvollisuus (72 tuntia ICO:lle)
- Samat tietosuojan suunnittelun ja oletusarvojen vaatimukset
Poikkeamat:
- Riittävyysjärjestelmä: Yhdistyneellä kuningaskunnalla on omat riittävyysratkaisut kansainvälisille tietosiirroille; EU:n riittävyys Yhdistyneen kuningaskunnan tietosiirroille säilyy, mutta on kiistanalainen
- AI-ohjeistus: ICO julkaisi erityisen AI-ohjeistuksen (2023-2024), joka on yksityiskohtaisempi kuin EDPB:n vastaava ohjeistus
- Biometriset tiedot: Yhdistyneen kuningaskunnan käsittely biometrisistä tiedoista sisältää pieniä määrittelyeroja
- Tutkimuspoikkeukset: Yhdistyneen kuningaskunnan tutkimus- ja tilastopoikkeukset ovat hieman laajempia kuin EU:n vastaavat
- Valvontakulttuuri: ICO on historiallisesti keskittynyt koulutukseen ja ohjeistukseen ennen sakkoja; tämä on muuttumassa viimeaikaisten suurten valvontatoimien myötä
Organisaatioille, jotka toimivat sekä EU:ssa että Yhdistyneessä kuningaskunnassa, Yhdistyneen kuningaskunnan GDPR luo rinnakkaisen vaatimuksen, joka edellyttää sekä EU:n GDPR:n että Yhdistyneen kuningaskunnan GDPR:n vaatimusten arvioimista — ne eivät ole identtisiä.
LastPassin ICO-sakko: Salauksen määrittäminen lailliseksi vaatimukseksi
ICO:n joulukuussa 2025 määräämä sakko LastPassille Yhdistyneessä kuningaskunnassa (1,2 miljoonaa puntaa) on merkittävä Yhdistyneen kuningaskunnan GDPR -tapauksessa salausstandardeista. Valvontailmoitus vahvisti useita periaatteita, joilla on laajat vaikutukset:
Keskeinen havainto: LastPassin salausarkkitehtuuri — joka tallensi käyttäjävaultin tiedot palvelinpuolelle pääsyavaimilla — todettiin riittämättömäksi Yhdistyneen kuningaskunnan GDPR:n artiklan 32 mukaan. ICO totesi, että "rekisterinpitäjän olisi pitänyt toteuttaa asiakaspuolen salaus, joka olisi varmistanut, että jopa palvelinrikkomuksen tapahtuessa käyttäjävaultin tiedot eivät olisi olleet valtuuttamattomien osapuolten saatavilla."
Mitä tämä tarkoittaa: ICO on vahvistanut, että kun olemassa on enemmän yksityisyyttä suojaava arkkitehtuuri (asiakaspuolen salaus) ja se on teknisesti toteutettavissa, vähemmän yksityisyyttä suojaavan arkkitehtuurin (palvelinpuolen salaus) käyttäminen ei välttämättä täytä artiklan 32 "sopivia teknisiä toimenpiteitä" koskevaa standardia.
Laajemmat vaikutukset: Organisaatiot, jotka tallentavat arkaluonteisia tietoja käyttäen palvelinpuolen salausta — jossa myyjän palvelimet pitävät salausavaimia — voivat kohdata ICO:n tarkastelun, jos rikkomus tapahtuu. Valvontailmoitus toteaa nimenomaisesti, että "teknisten toimenpiteiden on oltava suhteessa riskiin, ja kun arkaluonteisten henkilötietojen valtuuttamaton pääsy on korkea, sopiva toimenpide voi vaatia asiakaspuolen avainten hallintaa."
PII-anonymisointityökaluille: jos myyjän anonymisointipalvelu tallentaa käsiteltyjen asiakirjojen selkokieliset tiedot palvelinpuolelle (auditointilokit, käyttöanalytiikka tai ominaisuudet kuten asiakirjahistoria), tämä luo palvelinpuolelle pääsyyn mahdollisesti täyttämättömän tietovaraston, joka ei välttämättä täytä ICO:n jälkeisen LastPassin standardia arkaluonteisille tiedoille.
ICO:n AI-ohjeistus: Teknisiä vaatimuksia generatiiviselle AI:lle
ICO julkaisi kattavan AI-ohjeistuksen vuosina 2023-2024, joka kattaa kahdeksan erityistä teknistä vaatimusta generatiivisille AI-järjestelmille — yksityiskohtaisempi kuin EU:n vastaava ohjeistus:
1. Koulutusdatasi auditoitavuus: Henkilötiedoilla koulutettujen AI-järjestelmien on oltava dokumentoitu koulutusdatasi alkuperä, mukaan lukien sovelletut anonymisointimenettelyt.
2. Tuotannon valvonta: Henkilötietoja tuottavilla järjestelmillä on oltava valvontakontrollit, jotka havaitsevat ja estävät sopimattoman tietojen paljastamisen.
3. Tarkoituksen rajoittaminen koulutuksessa: Koulutuksessa käytettävien henkilötietojen on oltava rajoitettu tiettyyn tarkoitukseen — yleiskäyttöinen AI-koulutus asiakastiedoilla vaatii nimenomaisen laillisen perustan.
4. Yksilölliset oikeudet automatisoidussa päätöksenteossa: AI-järjestelmien, jotka tekevät merkittäviä päätöksiä yksilöistä, on toteutettava teknisiä kontrollitoimenpiteitä yksilöllisten oikeuksien (pääsy, selitys, kiistäminen) helpottamiseksi.
5. Ennakkotarkastus: Suojattuja ominaisuuksia käsittelevillä järjestelmillä (suoraan tai johtopäätöksinä) on oltava tekninen ennakkotarkastus.
6. Tietojen minimointi hienosäädössä: Henkilötiedoilla tapahtuvassa hienosäädössä on sovellettava minimointia ennen koulutusta — ei vain anonymisointipolitiikkoja vaan myös teknistä toteutusta.
7. Säilytys koulutuksessa: Mallin painoihin sisältyvien henkilötietojen on oltava osoitettavissa poistopyynnöille (teknisiä tai vastaavia suojatoimia vaaditaan).
8. Kolmannen osapuolen mallin huolellisuus: Kolmannen osapuolen AI-järjestelmiä käyttävien organisaatioiden on arvioitava ja dokumentoitava näiden järjestelmien tekninen vaatimustenmukaisuus näiden vaatimusten kanssa.
Nämä kahdeksan vaatimusta luovat teknisen toteutuksen tarkistuslistan Yhdistyneen kuningaskunnan AI-käytöille.
ICO:n valvontatrendit: Ohjeistuksesta sakkoihin
ICO on historiallisesti suosinut koulutusta ja valvontailmoituksia suurten sakkojen sijaan. Tämä on muuttumassa:
- LastPass (joulu 2025): 1,2 miljoonaa puntaa — tekninen turvallisuusvika (salauksen arkkitehtuuri)
- Vaali- ja rekisteröintiviranomainen (2023): 4,4 miljoonan punnan huomautus (ei sakkoa) — turvallisuusvika (palvelinta ei päivitetty)
- British Airways (2019, sovittu 2020): 20 miljoonaa puntaa — tietovuoto kyberhyökkäyksen vuoksi riittämättömän turvallisuuden vuoksi
- Marriott International (2019, sovittu 2020): 18,4 miljoonaa puntaa — tietovuoto riittämättömän huolellisuuden vuoksi
ICO julkaisi 67 valvontailmoitusta vuonna 2024 — ennätysluku — mikä viittaa kasvavaan halukkuuteen käyttää muodollista valvontaa.
LastPassin sakko on erityisen merkittävä, koska se kohdistui salausarkkitehtuurin päätöksiin, ei vain rikkomuksen lopputulokseen. Tämä viittaa siihen, että ICO tarkastelee teknisiä suunnittelupäätöksiä, ei vain rikkomusvastauksia.
Yhdistyneen kuningaskunnan ja EU:n tietovirtojen vaikutukset
Yhdistyneen kuningaskunnan organisaatiot, jotka palvelevat EU:n asiakkaita tai vastaanottavat EU:n henkilötietoja, kohtaavat kaksinkertaisen vaatimuksen:
- Yhdistyneen kuningaskunnan GDPR koskee Yhdistyneen kuningaskunnan käsittelyä
- EU:n GDPR koskee EU:n henkilötietoja
Tietosiirroissa EU:sta Yhdistyneeseen kuningaskuntaan: EU:n riittävyysratkaisu Yhdistyneelle kuningaskunnalle (myönnetty 2021) on edelleen voimassa, mutta se on tarkastelun ja oikeudellisen haasteen alainen. Organisaatioiden ei tulisi luottaa täysin Yhdistyneen kuningaskunnan riittävyyteen — standardisopimuslausekkeet ovat edelleen suositeltu lisäsuoja.
Yhdistyneen kuningaskunnan organisaatioille, jotka käyttävät EU-pohjaisia pilvipalveluja: siirto Yhdistyneestä kuningaskunnasta EU:hun ei tällä hetkellä ole rajoitettu (ei EU:n rajoituksia Yhdistyneen kuningaskunnan tietovirroille), mutta EU:n palveluntarjoajan Yhdistyneen kuningaskunnan henkilötietojen käsittely voi laukaista EU:n GDPR:n vaatimuksia käsittelijälle.
Käytännön ohjeet: organisaatioiden, joilla on EU-Yhdistyneen kuningaskunnan tietovirtoja, tulisi dokumentoida sekä Yhdistyneen kuningaskunnan GDPR:n vaatimustenmukaisuus että EU:n GDPR:n vaatimustenmukaisuus erikseen, huomioiden, missä ne ovat vastaavia ja missä Yhdistyneen kuningaskunnan erityisvaatimukset pätevät.
Lähteet: