UK GDPR Pasca-Brexit: Divergensi dan Kontinuitas
Undang-Undang Perlindungan Data Inggris 2018, yang menggabungkan UK GDPR, sangat mencerminkan EU GDPR — namun dengan perbedaan signifikan yang menciptakan persyaratan kepatuhan berbeda bagi organisasi yang beroperasi di Inggris.
Kontinuitas:
- Enam dasar hukum pemrosesan yang sama
- Hak subjek data yang sama (akses, penghapusan, rektifikasi, portabilitas)
- Prinsip akuntabilitas dan persyaratan dokumentasi yang sama
- Kewajiban notifikasi pelanggaran data yang sama (72 jam ke ICO)
- Persyaratan perlindungan data berdasarkan desain dan default yang sama
Divergensi:
- Rezim kecukupan: Inggris memiliki keputusan kecukupan tersendiri untuk transfer data internasional; kecukupan EU untuk transfer data Inggris dipertahankan namun disengketakan
- Panduan AI: ICO menerbitkan panduan AI khusus (2023-2024) yang lebih rinci dibandingkan panduan EDPB yang setara
- Data biometrik: Perlakuan Inggris atas data biometrik memiliki perbedaan definitional kecil
- Pengecualian penelitian: Pengecualian penelitian dan statistik Inggris agak lebih luas dari ekuivalen EU
- Budaya penegakan: ICO secara historis lebih fokus pada edukasi dan panduan sebelum menerapkan denda; hal ini berubah seiring dengan tindakan penegakan besar-besaran terbaru
Bagi organisasi yang beroperasi di EU maupun Inggris, UK GDPR menciptakan kewajiban kepatuhan paralel yang mensyaratkan penilaian terhadap persyaratan EU GDPR dan UK GDPR — keduanya tidak identik.
Denda ICO terhadap LastPass: Enkripsi sebagai Persyaratan Hukum
Denda ICO pada Desember 2025 terhadap LastPass UK (£1,2 juta) adalah kasus UK GDPR paling penting dalam hal standar enkripsi. Pemberitahuan penegakan tersebut menetapkan beberapa prinsip dengan implikasi luas:
Temuan utama: Arsitektur enkripsi LastPass — yang menyimpan data vault pengguna dengan kunci enkripsi yang dapat diakses server — dinilai tidak memadai berdasarkan Pasal 32 UK GDPR. ICO menemukan bahwa "pengontrol seharusnya mengimplementasikan enkripsi sisi klien, yang akan memastikan bahwa bahkan jika terjadi pelanggaran server, data vault pengguna tidak akan dapat diakses oleh pihak yang tidak berwenang."
Maknanya: ICO telah menetapkan bahwa di mana arsitektur yang lebih melindungi privasi (enkripsi sisi klien) ada dan secara teknis layak, menggunakan arsitektur yang kurang melindungi privasi (enkripsi sisi server) mungkin tidak memenuhi standar "tindakan teknis yang tepat" dari Pasal 32.
Implikasi yang lebih luas: Organisasi yang menyimpan data sensitif menggunakan enkripsi sisi server — di mana server vendor menyimpan kunci enkripsi — dapat menghadapi pengawasan ICO jika terjadi pelanggaran. Pemberitahuan penegakan secara eksplisit menyatakan bahwa "tindakan teknis harus proporsional dengan risiko, dan di mana risiko akses tidak sah ke data pribadi sensitif tinggi, tindakan yang tepat mungkin memerlukan manajemen kunci sisi klien."
Untuk alat anonimisasi PII: jika layanan anonimisasi vendor menyimpan teks asli dokumen yang diproses di sisi server (untuk log audit, analitik penggunaan, atau fitur seperti riwayat dokumen), ini menciptakan penyimpanan data yang dapat diakses server yang mungkin tidak memenuhi standar ICO pasca-LastPass untuk data sensitif.
Panduan AI ICO: Persyaratan Teknis untuk AI Generatif
ICO menerbitkan panduan AI komprehensif pada 2023-2024, mencakup delapan persyaratan teknis spesifik untuk sistem AI generatif — lebih rinci dari panduan EU yang setara:
1. Keterlacakan data pelatihan: Sistem AI yang dilatih dengan data pribadi harus memiliki asal-usul data pelatihan yang terdokumentasi, termasuk prosedur anonimisasi yang diterapkan.
2. Pemantauan output: Sistem yang menghasilkan output data pribadi harus memiliki kontrol pemantauan untuk mendeteksi dan mencegah pengungkapan data yang tidak tepat.
3. Pembatasan tujuan dalam pelatihan: Data pribadi yang digunakan untuk pelatihan harus dibatasi pada tujuan spesifik — pelatihan AI serbaguna menggunakan data pelanggan memerlukan dasar hukum eksplisit.
4. Hak individu dalam pengambilan keputusan otomatis: Sistem AI yang membuat keputusan signifikan tentang individu harus mengimplementasikan kontrol teknis untuk memfasilitasi hak individu (akses, penjelasan, sanggahan).
5. Audit bias: Sistem yang memproses karakteristik yang dilindungi (langsung atau melalui inferensi) harus memiliki pemantauan bias teknis.
6. Minimisasi data dalam fine-tuning: Fine-tuning pada data pribadi harus menerapkan minimisasi sebelum pelatihan — bukan hanya kebijakan anonimisasi tetapi implementasi teknis.
7. Retensi dalam pelatihan: Data pribadi yang dimasukkan ke dalam bobot model harus dapat diatasi untuk permintaan penghapusan (diperlukan pengamanan teknis atau yang setara).
8. Uji tuntas model pihak ketiga: Organisasi yang menggunakan sistem AI pihak ketiga harus menilai dan mendokumentasikan kepatuhan teknis sistem tersebut terhadap persyaratan ini.
Delapan persyaratan ini membuat daftar periksa implementasi teknis untuk penerapan AI di Inggris.
Tren Penegakan ICO: Dari Panduan ke Denda
ICO secara historis lebih memilih edukasi dan pemberitahuan penegakan daripada denda besar. Hal ini sedang berubah:
- LastPass (Des 2025): £1,2 juta — kegagalan keamanan teknis (arsitektur enkripsi)
- Electoral Commission (2023): Teguran £4,4 juta (tanpa denda) — kegagalan keamanan (server tidak ditambal)
- British Airways (2019, diselesaikan 2020): £20 juta — pelanggaran data dari serangan siber akibat keamanan yang tidak memadai
- Marriott International (2019, diselesaikan 2020): £18,4 juta — pelanggaran data dari uji tuntas yang tidak memadai
ICO menerbitkan 67 pemberitahuan penegakan pada 2024 — rekor tertinggi — menunjukkan meningkatnya kemauan untuk menggunakan penegakan formal.
Denda LastPass sangat signifikan karena menargetkan keputusan arsitektur enkripsi, bukan hanya hasil pelanggaran. Ini menunjukkan ICO akan mengawasi pilihan desain teknis, bukan hanya respons pelanggaran.
Implikasi Aliran Data UK-EU
Organisasi Inggris yang melayani pelanggan EU atau menerima data pribadi EU menghadapi persyaratan kepatuhan ganda:
- UK GDPR berlaku untuk pemrosesan di Inggris
- EU GDPR berlaku untuk data pribadi EU
Untuk transfer data dari EU ke Inggris: keputusan kecukupan EU untuk Inggris (diberikan 2021) tetap berlaku namun tunduk pada tinjauan dan gugatan hukum. Organisasi tidak boleh sepenuhnya mengandalkan kecukupan Inggris — klausul kontrak standar tetap menjadi pengamanan tambahan yang direkomendasikan.
Untuk organisasi Inggris yang menggunakan layanan cloud berbasis EU: transfer dari Inggris ke EU saat ini tidak dibatasi (tidak ada pembatasan EU pada aliran data Inggris), namun pemrosesan data pribadi Inggris oleh penyedia layanan EU mungkin memicu persyaratan EU GDPR untuk prosesor.
Panduan praktis: organisasi dengan aliran data EU-Inggris harus mendokumentasikan posisi kepatuhan UK GDPR dan posisi kepatuhan EU GDPR mereka secara terpisah, mencatat di mana keduanya setara dan di mana persyaratan khusus Inggris berlaku.
Sumber: