Az Egyesült Királyság GDPR Brexit után: Mi változott
Az Egyesült Királyság Data Protection and Digital Information (DPDI) törvénye 2025-ben 14 változást vezet be az EU GDPR szabályaihoz képest. Ez teremti meg az első valódi szakadást az EU és az Egyesült Királyság adatvédelmi joga között a Brexit óta. Az EU–UK megfelelőségi megállapodás felülvizsgálat alatt áll, és kimenetele döntő fontosságú minden olyan vállalkozás számára, amely személyes adatokat mozgat a két régió között.
A LastPass-bírság: Egy új technikai mérce
Az ICO 2025 decemberében 1,2 millió font összegű bírságot szabott ki a LastPass UK-ra. Ez az Egyesült Királyság eddigi legnagyobb műszaki biztonsági ügye.
Az ICO két alapvető hiányosságot tárt fel.
Gyenge titkosítás: A LastPass régi titkosítással tárolta az ügyfelek jelszótárcáit. Az ICO az UK GDPR 32. cikke alapján „nem megfelelőnek” minősítette ezt. Egyes tárcák PBKDF2-SHA256-ot alkalmaztak mindössze egy iterációval. Az Egyesült Királyság Nemzeti Kibervédelmi Központja (NCSC) szerint a jelszókulcsokhoz legalább 600 000 iteráció szükséges.
A törvény követelménye: Az UK GDPR 32. cikke „megfelelő technikai intézkedéseket” ír elő, amelyeknek igazodniuk kell „a technológiai fejlettség mindenkori szintjéhez”. Az ICO megállapítása szerint 2022-ben a kulcsgenerálás jóval több iterációt igényelt, mint amennyit a LastPass alkalmazott. Ami 2015-ben elfogadható volt, az 2022-ben már nem volt az.
Ennek eredménye: a szállítói titkosítás immár auditálható elem. Ellenőrizni kell, hogy az eszközök aktuális paramétereket használnak-e — nem elavult értékeket. A biztonsági és megfelelőségi megközelítésünkről a biztonsági és megfelelőségi áttekintő oldalon olvashat.
A DPDI törvény 2025: Hat kulcsváltozás
A törvény 14 azonosított változást vezet be az Egyesült Királyság adatjogába. Hatnak van közvetlen napi hatása.
1. Jogos érdek. A törvény felsorolja az „elismert jogos érdekeket”, amelyek nem igénylik az EU-jog által megkövetelt mérlegelési tesztet. Ez megkönnyíti ezen jogalap alkalmazását az egyesült királyságbeli vállalkozások számára.
2. Kutatás és statisztika. A törvény kibővíti a kutatási kivételt. A személyes adatok kutatási célú másodlagos felhasználásához kevesebb hozzájárulás szükséges, mint az EU-jog szerint.
3. Automatizált döntések. A törvény felváltja az EU 22. cikkét. Az új szabály engedékenyebb: egyes automatizált döntések esetén már nem szükséges értelmes emberi felülvizsgálat.
4. Nyilvántartásvezetés. A törvény megszünteti a kötelező adatkezelési nyilvántartást (ROPA) a 250 főnél kisebb, „rendszeres” adatkezelést nem végző vállalkozások számára. Az EU szabályai az adatkezelést nem alkalomszerűen végző összes vállalkozástól megkövetelik a ROPA-t.
5. Cookie-hozzájárulás. A törvény csökkenti az analitikai cookie-kra vonatkozó hozzájárulási követelményeket, és ösztönzi a „cookie-mentes” megoldásokat. Az EU ePrivacy-szabályai továbbra is megkövetelik a nyomkövető cookie-khoz való hozzájárulást.
6. Nemzetközi adattovábbítás. Az Egyesült Királyság titkársága szélesebb hatáskört kap a megfelelőségi határozatok megadásához; az Egyesült Királyság olyan országokat is jóváhagyhat, amelyeket az EU nem. Ez mindkét oldalon szétválasztja az adattovábbítási keretet.
A megfelelőségi kockázat
Az Európai Bizottság megvizsgálja, hogy az Egyesült Királyság jogrendszere „lényegében egyenértékű” védelmet nyújt-e az EU szabályaival.
Három terület aggasztja az EU felügyelőit.
A DPDI törvény szélesebb körű jogos érdek-értelmezése olyan réseket hagyhat, amelyeket a Bizottság nem megfelelőnek minősíthet. A 2016-os Investigatory Powers Act továbbra is aggályokat vet fel a CJEU esetjogával összefüggésben. Az Egyesült Királyság és az USA közötti CLOUD Act-megállapodások EU-adatokat tehetnek ki az USA bűnüldözési jogkörének.
Ha a megfelelőséget felfüggesztik, több mint 10 000 UK–EU standard szerződési záradékot kellene gyorsan aktiválni. Azok a vállalkozások, amelyek UK–EU adattovábbításhoz kizárólag megfelelőségi megállapodásra támaszkodnak, egyik napról a másikra hiányokkal szembesülnének. Kitettségének felméréshez tekintse át megfelelőségi útmutatónkat.
Mindkét rezsim párhuzamos alkalmazása
Az EU és az Egyesült Királyság szabályozása alá egyaránt tartozó vállalkozások számára az út egyértelmű.
Alkalmazzon szigorúbb alapvonalat. Az EU 32. cikke, az EU jogos érdek tesztje és az EU automatizált döntéshozatali szabályai mind szigorúbbak az Egyesült Királyság törvényi megfelelőinél. Az EU szabályainak teljesítése egyben az Egyesült Királyság szabályainak teljesítését is jelenti, néhány UK-specifikus extra kivételével.
Dokumentálja mindkét jogalapot. A jogos érdek esetén rögzítse az EU-mérlegelési teszt eredményét és annak bizonyítékát, hogy az adatkezelés megfelel egy Egyesült Királyságban elismert kategóriának. A kettős nyilvántartás védelmet nyújt, ha a szabályok tovább divergálnak.
Tartsa készen az SCC-ket. A 2026-os megfelelőségi felülvizsgálat dönti el, hogy szükség lesz-e külön adattovábbítási eszközökre. Tartsa érvényben a standard szerződési záradékokat biztonsági megoldásként, miközben megfelelőségi megállapodást alkalmaz.
Ellenőrizze a szállítói titkosítást. A LastPass-ügy a szállítói titkosítást élő megfelelőségi tényezővé tette. Győződjön meg arról, hogy a személyes adatokat kezelő eszközök aktuális beállításokat használnak: tároláshoz AES-256-GCM, kulcsgeneráláshoz argon2id vagy PBKDF2 aktuális iterációszámmal. Gyakran ismételt kérdések az GYIK oldalon.
Az Egyesült Királyság elszakadása az első valódi törésvonal az EU adatvédelmi modelljén belül. A mindkét régióban jelen lévő vállalkozások számára a legbiztonságosabb megközelítés a szigorúbb — jelenleg az EU — szabványhoz való tervezés.
Az anonym.legal az EU-ban, Hetzner adatközpontokban dolgozza fel a dokumentumokat, zéró ismereti alapú kialakítással. A szerver soha nem látja az Ön egyszerű szöveges adatait. A teljes szerveres feltörés csak AES-256-GCM titkosított szöveget eredményez. Helyi feldolgozásra van szüksége? Az asztali alkalmazás az Ön eszközén fut, külső kapcsolatok nélkül.