UK GDPR nakon Brexita: Sto se promijenilo
Zakon o zastiti podataka iz 2018. ugradio je UK GDPR u zakon. Blizak je EU GDPR-u, ali ne u svim podrucjima. Ako djelujete i u UK-u i u EU-u, suocavate se s dva odvojena provjera uskladjenosti.
Sto je ostalo isto:
- Sest zakonitih osnova za obradu
- Prava ispitanika: pristup, brisanje, ispravak, prenosivost
- Obavijest regulatoru o povredi u roku od 72 sata
- Privatnost po dizajnu i po zadanoj opciji
Sto se promijenilo:
- UK samostalno donosi odluke o adekvatnosti za prekogranicne prijenose
- UK smjernice za AI iz 2023.-2024. idu dalje od EDPB-a
- Izuzeci za istrazivanje u UK-u neznatno su siri od onih u EU-u
- Regulator prelazi s pristupa utemeljenog na savjetima na novcane kazne -- brze nego prije
Razlika izmedju UK i EU pravila je stvarna. Tretirajte ih kao dva odvojena popisa za provjeru.
Kazna za LastPass: Enkripcija je sada zakonski test
U prosincu 2025. ICO je kaznio LastPass UK s 1,2 milijuna funti zbog loseg postavljanja enkripcije. To je najvaznija UK GDPR presuda o tehnickoj sigurnosti do danas.
Sto je regulator utvrdio: LastPass je pohranio zapise trezora s kljucevima na posluzitelju. Svako tko bi dosao do posluzitelja mogao je procitati trezor. Presuda je utvrdila da to krsava test "odgovarajucih tehnickih mjera" iz clanka 32. UK GDPR-a.
Kljucna fraza iz obavijesti: "Kontrolor je trebao koristiti enkripciju na strani klijenta. To bi odrzalo zapise korisnickog trezora sigurnima cak i u slucaju povrede posluzitelja."
Sto ovo utvrduje: Ako postoji sigurniji dizajn koji je moguce izgraditi, koristenje slabijeg moze sada krsiti clanak 32. Upravljanje kljucevima na strani posluzitelja vise nije siguran zadani pristup za osjetljive zapise.
Tko je u opasnosti: Svaka usluga koja pohranjuje osjetljive zapise i drzava kljuceve enkripcije na vlastitim posluziteljima. To ukljucuje alate koji biljezu tekst radi revizijskih tragova, statistike koristenja ili povijesti dokumenata. Ako posluzitelj moze procitati tekst, regulatori mogu pitati zasto niste koristili dizajn na strani klijenta. Pogledajte kako anonym.legal s time postupa uz arhitekturu nulte spoznaje.
UK smjernice za AI: Osam tehnickih pravila
UK regulator objavio je detaljne smjernice za AI u 2023.-2024. Pokrivaju osam specificnih zahtjeva za generativne AI sustave. Usporedive smjernice EU-a manje su detaljne.
1. Porijeklo podataka za treniranje -- AI treniran na osobnim zapisima mora biljeziit odakle ti podaci potjecu i koje je korake ciscenja koristio.
2. Nadzor izlaznih podataka -- Sustavi koji proizvode osobne izlaze moraju imati kontrole za otkrivanje i zaustavljanje losih objava.
3. Ogranicenje svrhe -- Zapisi koristeni za AI treniranje moraju odgovarati navedenoj svrsi. Opce treniranje na korisnickim zapisima zahtijeva jasnu pravnu osnovu.
4. Prava automatiziranog odlucivanja -- Ako vas AI donosi kljucne odluke o osobi, mora podrzavati pristup, objasnjenje i zalbu.
5. Pracenje pristranosti -- Sustavi koji koriste zasticene karakteristike -- izravno ili zakljucivanjem -- moraju imati provjere pristranosti.
6. Minimizacija prije finog ugadjanja -- Morate smanjiti osobne zapise prije finog ugadjanja. Sama politika nije dovoljna.
7. Brisanje iz tezina modela -- Ako zapisi udu u tezine modela, potreban vam je plan za rjesavanje zahtjeva za brisanje. Potrebne su tehnicke ili ekvivalentne zastitne mjere.
8. Provjera AI trecih strana -- Ako koristite AI druge tvrtke, morate provjeriti i evidentirati njegovu sukladnost sa svih osam tocaka.
Ovih osam pravila cini prakticni popis za provjeru za bilo koje UK AI implementacije.
UK Provedba: Pomak prema novcanim kaznama
Regulator je nekada preferirao pisma sa smjernicama umjesto kazni. To se mijenja. Nedavne akcije pokazuju jasan obrazac:
| Akcija | Iznos | Godina | Razlog |
|---|---|---|---|
| British Airways | 20 milijuna funti | 2020. | Povreda -- slaba sigurnost |
| Marriott International | 18,4 milijuna funti | 2020. | Povreda -- lose duzno pazenje |
| LastPass UK | 1,2 milijuna funti | 2025. | Neuspjeh dizajna enkripcije |
| Izbornicko povjerenstvo | Opomena od 4,4 milijuna funti | 2023. | Nezakrpani posluzitelj |
67 obavijesti o provedbi izdano je u 2024. -- rekord. Slucaj LastPass je znacajan jer je kazna bila za odluku o dizajnu, a ne samo za ishod povrede. Regulatori su istrazivali kako je LastPass izgradio svoj sustav. To je novo.
Prijenosi UK-EU: Dvosmjerni rizik
UK organizacije koje rukuju osobnim zapisima EU suocavaju se s obvezama s obje strane.
Iz EU u UK: EU je odobrila odluku o adekvatnosti za UK 2021. Ona je i dalje valjana. Ali izlozena je pravnom izazovu. Ne oslanjajte se samo na nju -- standardne ugovorne klauzule (SCC) razuman su rezervni plan.
Iz UK u EU: Trenutno nijedno pravilo ne blokira premjestanje UK zapisa EU obradivacima. Ali EU obradivac koji rukuje UK zapisima i dalje moze aktivirati EU GDPR pravila na svojoj strani.
Prakticni korak: Napiste svoju UK GDPR poziciju i svoju EU GDPR poziciju kao dva odvojena dokumenta. Navedite gdje se poklapaju i gdje se razlikuju. To je zapis koji trebate ako regulator pita. Nas pregled sukladnosti mapira obje strane.
Za dublji pogled na dizajn nulte spoznaje i kako se bavi rizikom povrede posluzitelja identificiranim u LastPassu, procitajte nasu stranicu o arhitekturi sigurnosti i privatnosti.