Yhdistyneen kuningaskunnan tietosuojan ja digitaalisten tietojen (DPDI) laki 2025 tekee 14 merkittävää poikkeamaa EU GDPR:stä — luoden ensimmäisen merkittävän sääntely-erotuksen EU:n ja Yhdistyneen kuningaskunnan tietosuojakehysten välille Brexitin jälkeen. EU-UK:n riittävyysratkaisu, joka oli alun perin voimassa kesäkuuhun 2025 asti ja jota on jatkettu tarkastelun vuoksi, on yhä enemmän GDPR-käytännön harjoittajien ja Euroopan komission tarkastelun alla.
LastPassin täytäntöönpano: UK GDPR:n tekninen vertailukohta
ICO:n £1,2 miljoonan sakko LastPass UK:lle joulukuussa 2025 on Yhdistyneen kuningaskunnan merkittävin teknisen turvallisuuden täytäntöönpanotapaus. ICO havaitsi:
Salauksen riittämättömyys: LastPass tallensi asiakkaidensa pääsalasanasäilöjä vanhentuneella salauksella, jota ICO piti "riittämättömänä" UK GDPR:n artiklan 32 mukaan. Erityisesti ICO havaitsi, että jotkin säilöversiot käyttivät PBKDF2-SHA256:ta vain 1 iteraatiolla — kaukana UK NCSC:n vähimmäissuosituksesta 600 000 iteraatiota salasanasta johdetuille avaimille.
Laillinen standardi vahvistettu: UK GDPR:n artikla 32 vaatii "sopivia teknisiä toimenpiteitä", jotka heijastavat "nykyaikaista tilaa". ICO havaitsi, että "nykyaikainen tila" salausavaimen johdannassa vuonna 2022 (kun rikkomus tapahtui) vaati paljon enemmän kuin LastPass tarjosi. Tämä vahvistaa, että turvallisuusstandardit kehittyvät — se, mikä oli hyväksyttävää vuonna 2015, ei välttämättä ole hyväksyttävää vuonna 2022.
Suora vaikutus salausvälineisiin: Organisaatioiden, jotka käyttävät tietojenkäsittelyvälineitä, on varmistettava, että näiden välineiden salausratkaisut täyttävät nykyiset "nykyaikaisen tilan" standardit, eivät vain vähimmäisvaatimukset. ICO:n LastPassin täytäntöönpano tekee myyjien salauslaadusta suoraan auditoitavan vaatimuksenmukaisuuden vaatimuksen.
DPDI-laki 2025: Keskeiset poikkeamat EU GDPR:stä
DPDI-laki tekee 14 tunnistettua poikkeamaa EU GDPR:stä. Operatiivisesti merkittävimmät:
1. Laillisten etujen uudistus: DPDI-laki luo luettelon "tunnustetuista laillisista eduista", jotka eivät vaadi EU GDPR:n tasapainotestiä tietoaineiston etujen suhteen. Tämä tekee laillisesta kiinnostuksesta helpommin saavutettavan oikeudellisen perustan Yhdistyneen kuningaskunnan organisaatioille — vähentäen suostumusvaatimuksia joillekin kaupallisille käsittelyille.
2. Tutkimus, tilastot ja arkistointi: DPDI-laki laajentaa merkittävästi tutkimuspoikkeusta, sallien laajemman toissijaisen käytön henkilötiedoille tutkimustarkoituksiin ilman EU GDPR:n asettamia nimenomaisia suostumusvaatimuksia.
3. Automaattinen päätöksenteko: DPDI-lain korvaus GDPR:n artiklalle 22 (automaattisen päätöksenteon oikeudet) on sallivampi kaupallisille automaattisille päätöksille. Merkityksellisen ihmisen tarkastuksen vaatimus on lievennetty joillekin automaattisen käsittelyn kategorioille.
4. Asiakirjanpito: DPDI-laki poistaa pakolliset ROPA (käsittelytoimintojen rekisterit) vaatimukset pieniltä organisaatioilta (alle 250 työntekijää), joilla ei ole "järjestelmällistä" käsittelyä. EU GDPR vaatii ROPA:n kaikilta organisaatioilta, joiden käsittely ei ole satunnaista.
5. Evästeiden suostumus: DPDI-laki sisältää säännöksiä "ilman evästeitä olevista vaihtoehdoista" ja vähentää suostumusvaatimuksia analytiikkaevästeille — erityisesti suunniteltu vähentämään evästeiden suostumusbannerin taakkaa. EU GDPR:n ePrivacy-vaatimukset (jotka pannaan täytäntöön rinnakkain) vaativat edelleen suostumusta seurantakekseille.
6. Kansainväliset siirrot: DPDI-laki antaa Yhdistyneen kuningaskunnan valtiovarainministerille laajemman valtuuden myöntää riittävyysratkaisuja — mahdollisesti sallien Yhdistyneen kuningaskunnan myöntää riittävyyttä maihin, joita EU ei ole hyväksynyt, luoden eriytyviä siirtokehyksiä.
Riittävyysriski: Mikä voisi laukaista EU:n tarkastelun
EU-komission riittävyystarkastelu Yhdistyneelle kuningaskunnalle arvioi, tarjoaako UK GDPR (DPDI-lain muuttamana) "oleellisesti vastaavaa" suojaa EU GDPR:lle:
EU:n valvontaviranomaisten tunnistamat huolenaiheet:
- DPDI-lain laillisten etujen laajentaminen voi luoda aukkoja, joita EU pitää riittämättöminä
- Yhdistyneen kuningaskunnan valvontalaki (Tutkimusvaltuudet 2016) on edelleen yhteensopimaton GDPR-standardien kanssa CJEU:n ennakkotapauksen mukaan liittyvissä asioissa
- Yhdistyneen kuningaskunnan ja Yhdysvaltojen tietojenvaihtosopimukset CLOUD-lain alaisuudessa luovat mahdollisuuden EU:n tietojen altistumiselle Yhdysvaltojen lainvalvontaviranomaisten pääsyyn
Jos riittävyys keskeytetään tai peruutetaan: 10 000+ UK-EU:n standardisopimuslauseketta olisi aktivoitava välittömästi. Organisaatiot, jotka tällä hetkellä luottavat ainoastaan riittävyyteen UK-EU-siirroissa, kohtaisivat vaatimustenmukaisuuden puutteita.
Kaksoisvaatimustenmukaisuuden ylläpitäminen EU + UK GDPR
Organisaatioille, jotka ovat sekä EU GDPR:n että UK GDPR:n alaisia, käytännön lähestymistapa:
Käytä tiukempaa standardia perustana: EU GDPR:n artikla 32, GDPR:n laillisten etujen tasapainotesti ja GDPR:n automaattisen päätöksenteon vaatimukset ovat tiukempia kuin DPDI-lain vastineet. Organisaatiot, jotka täyttävät EU GDPR:n standardit, täyttävät automaattisesti myös UK GDPR:n standardit (pienillä UK-spesifisillä lisäyksillä).
Dokumentoi molemmat oikeudelliset perusteet: Laillisten etujen alaisessa käsittelyssä dokumentoi sekä EU GDPR:n tasapainotesti että se, että käsittely kuuluisi UK DPDI-lain tunnustettuihin laillisiin etuihin. Kaksoisdokumentointi suojaa eriytymiseltä.
Seuraa riittävyysratkaisun tilaa: Vuoden 2026 riittävyystarkastelun tulos määrittää, tarvitaanko erillisiä siirtomekanismeja UK-EU-siirroille. Organisaatioiden tulisi ylläpitää SCC:itä varamekanismina, vaikka ne tällä hetkellä luottavat riittävyyteen.
Salaus nykyaikaisen tilan mukaiseksi: ICO:n LastPassin täytäntöönpano tekee myyjien salausstandardit aktiiviseksi vaatimustenmukaisuuden huomioonottamiseksi. Varmista, että PII-työkalut, tietovarastot ja avainhallintaratkaisut käyttävät nykyisiä suositeltuja parametreja (AES-256-GCM, argon2id avaimen johdannassa nykyisten parametrisuositusten mukaisesti).
Yhdistyneen kuningaskunnan Brexitin jälkeinen GDPR-erotus edustaa ensimmäistä merkittävää murtumista EU:n tietosuojastandardeissa. Organisaatioille, jotka toimivat molemmilla lainkäyttöalueilla, turvallisin asenne on suunnitella tiukimpien sovellettavien vaatimusten mukaan — jotka pysyvät EU GDPR:n ydinteknisissä standardeissa.
Lähteet: