anonym.legal

By · Last updated 2026-06-05

Takaisin BlogiinGDPR & Vaatimustenmukaisuus

Yhdistyneen kuningaskunnan GDPR Brexitin Jälkeen: Tekniset Erot

DPDI-laki 2025 tekee 14 poikkeamaa EU:n GDPR:stä. EU:n ja Yhdistyneen kuningaskunnan riittävyyssopimus on tarkistettavana vuonna 2026. LastPassin 1,2 miljoonan punnan sakko vakiinnutti salauksen lakisääteiseksi vaatimukseksi.

June 5, 202610 min lukuaika
UK ICOUK GDPRpost-Brexit data protectionDPDI ActEU-UK adequacy

Yhdistyneen Kuningaskunnan GDPR Brexitin Jälkeen: Mitä Muuttui

Yhdistyneen kuningaskunnan tietosuoja- ja digitaaliset tietolaki (DPDI) 2025 tekee 14 muutosta EU:n GDPR-sääntöihin. Ne luovat ensimmäisen todellisen eron EU:n ja Yhdistyneen kuningaskunnan tietosuojalakien välille Brexitin jälkeen. EU:n ja Yhdistyneen kuningaskunnan riittävyyssopimus on tarkistettavana. Sen tulos on merkittävä jokaiselle yritykselle, joka siirtää henkilötietoja alueiden välillä.

LastPass-Sakko: Uusi Tekninen Vaatimustaso

ICO sakotti LastPass UK:ta 1,2 miljoonalla punnalla joulukuussa 2025. Tämä on Yhdistyneen kuningaskunnan suurin tekninen tietoturvatapaus tähän mennessä.

ICO tunnisti kaksi keskeistä puutetta.

Heikko salaus: LastPass tallensi asiakkaiden salasanaholvit vanhentuneella salauksella. ICO kutsui sitä "riittämättömäksi" Yhdistyneen kuningaskunnan GDPR:n 32 artiklan nojalla. Jotkin holvit käyttivät PBKDF2-SHA256-algoritmia vain yhdellä iteraatiolla. Yhdistyneen kuningaskunnan NCSC edellyttää salasana-avaimille vähintään 600 000 iteraatiota.

Mitä laki nyt vaatii: Yhdistyneen kuningaskunnan GDPR:n 32 artikla edellyttää "asianmukaisia teknisiä toimenpiteitä", jotka vastaavat "taitotasoa". ICO totesi, että avainjohdannainen vuonna 2022 edellytti huomattavasti enemmän kuin LastPass tarjosi. Se, mikä oli hyväksyttävää vuonna 2015, ei ollut hyväksyttävää vuonna 2022.

Tulos: toimittajien salaus on nyt auditoitava kohde. Sinun on varmistettava, että henkilötietoja käsittelevät työkalusi käyttävät ajantasaisia parametreja — eivät vanhoja lähtötasoja. Katso, miten me käsittelemme tämän tietoturva- ja vaatimustenmukaisuuskatsauksestamme.

DPDI-Laki 2025: Kuusi Keskeistä Muutosta

Laki tekee 14 tunnistettua muutosta Yhdistyneen kuningaskunnan tietosuojalakiin. Kuudella on suora päivittäinen vaikutus.

1. Oikeutetut edut. Laki luettelee "tunnustetut oikeutetut edut." Nämä ohittavat tasapainotustestin, jonka EU:n laki yhä vaatii. Tämä helpottaa perusteen käyttöä brittiyrityksille.

2. Tutkimus ja tilastot. Laki laajentaa tutkimuspoikkeusta. Henkilötietojen toissijainen käyttö tutkimuksessa vaatii vähemmän suostumuksia kuin EU:n laki edellyttää.

3. Automatisoidut päätökset. Laki korvaa EU:n 22 artiklan. Uusi sääntö on joustavampi. Jotkin automatisoidut päätökset eivät enää vaadi merkityksellistä ihmisten suorittamaa tarkastelua.

4. Kirjanpito. Laki poistaa pakollisen käsittelytoimien kirjanpidon (ROPA) alle 250 henkilöä työllistäviltä yrityksiltä, joilla ei ole "järjestelmällistä" käsittelyä. EU:n säännöt edellyttävät ROPAa kaikilta yrityksiltä, joiden käsittely ei ole satunnaista.

5. Evästeiden suostumus. Laki keventää analytiikkaevästeiden suostumussääntöjä. Se tukee "evästeettömiä" vaihtoehtoja. EU:n eSähköisyyssäännöt edellyttävät yhä suostumusta seurantaevästeisiin.

6. Kansainväliset siirrot. Yhdistyneen kuningaskunnan sisäasiainministeri saa laajemman toimivallan myöntää riittävyyspäätöksiä. Yhdistynyt kuningaskunta voi hyväksyä maat, joita EU ei ole hyväksynyt. Tämä jakaa siirtoviitekehyksen molemmilla puolilla.

Riittävyysriski

Euroopan komissio tarkistaa, tarjoaako Yhdistyneen kuningaskunnan laki "olennaisesti vastaavan" suojan kuin EU:n säännöt.

Kolme aluetta huolestuttaa EU:n valvojia.

DPDI-lain laajemmat oikeutetut edut saattavat jättää aukkoja, joita komissio pitää riittämättöminä. Yhdistyneen kuningaskunnan tutkintavaltuuksia koskeva laki vuodelta 2016 herättää yhä CJEU:n oikeuskäytäntöön liittyviä huolia. Yhdistyneen kuningaskunnan ja Yhdysvaltojen CLOUD Act -sopimukset saattavat altistaa EU:n tiedot Yhdysvaltojen lainvalvontaviranomaisille.

Jos riittävyys peruutetaan, yli 10 000 Yhdistyneen kuningaskunnan ja EU:n välisen vakiosopimuslausekkeen joukko tarvitsisi pikakäyttöönoton. Yritykset, jotka luottavat pelkästään riittävyyteen Yhdistyneen kuningaskunnan ja EU:n siirroissa, kohtaisivat aukkoja yön yli. Tarkista altistumisesi vaatimustenmukaisuusoppaastamme.

Molempien Järjestelmien Samanaikainen Hallinta

Yrityksille, joita koskevat sekä EU:n että Yhdistyneen kuningaskunnan lait, polku on selvä.

Käytä tiukempaa lähtötasoa. EU:n 32 artikla, EU:n oikeutettujen etujen testi ja EU:n automatisoitujen päätösten säännöt ovat kaikki tiukempia kuin niiden vastaavat Yhdistyneen kuningaskunnan lain mukaan. EU:n sääntöjen noudattaminen tarkoittaa Yhdistyneen kuningaskunnan sääntöjen noudattamista sekä muutamia Yhdistyneen kuningaskunnan erityisvaatimuksia.

Dokumentoi molemmat oikeudelliset perusteet. Oikeutetuille eduille: kirjaa sekä EU:n tasapainotustestauksen tulos että todisteet siitä, että käsittely sopii Yhdistyneen kuningaskunnan tunnustettuun kategoriaan. Kaksinkertainen kirjanpito suojaa sinua, jos säännöt eriytyvät edelleen.

Pidä SCCt valmiina. Vuoden 2026 riittävyysarviointi ratkaisee, tarvitsetko erillisiä siirtotyökaluja. Pidä vakiosopimuslausekkeet aktiivisina varmuuskopiona myös riittävyyttä käyttäessäsi.

Tarkista toimittajien salaus. LastPass-tapaus tekee toimittajien salauksesta aktiivisen vaatimustenmukaisuuskohteen. Vahvista, että henkilötietoja käsittelevät työkalut käyttävät ajantasaisia asetuksia: AES-256-GCM lepotilassa, argon2id tai PBKDF2 nykyisillä iteraatiomäärillä avainjohdannaiseen. Katso UKK yleisiä auditointikysymyksiä varten.

Yhdistyneen kuningaskunnan jakautuminen on EU:n tietosuojamallin ensimmäinen todellinen murtuma. Molemmilla alueilla toimiville yrityksille turvallisin ratkaisu on suunnitella tiukemman standardin mukaan — joka on yhä EU:n viitekehys.

anonym.legal käsittelee asiakirjoja EU-pohjaisissa Hetzner-datakeskuksissa nollatieto-suunnittelulla. Palvelin ei koskaan näe selkokielistä tekstiäsi. Täydellinen palvelinmurto tuottaa vain AES-256-GCM-salatekstiä. Tarvitsetko paikallista käsittelyä? Työpöytäsovellus toimii laitteellasi ilman ulkoisia yhteyksiä.

Lähteet

Liittyvät Artikkelit

GDPR & Vaatimustenmukaisuus

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Vaatimustenmukaisuus

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Vaatimustenmukaisuus

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Valmiina suojaamaan tietojasi?

Aloita PII-anonymisointi yli 285 entiteettityypillä 48 kielellä.

Aloita Ilmainen KokeiluKatso Ominaisuudet

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.