UK GDPR Setelah Brexit: Apa yang Berubah
Undang-Undang Perlindungan Data dan Informasi Digital (DPDI) 2025 Inggris membuat 14 perubahan pada aturan EU GDPR. Perubahan ini menciptakan pemisahan nyata pertama antara hukum privasi UE dan Inggris sejak Brexit. Perjanjian kecukupan UE-Inggris sedang ditinjau. Hasilnya penting bagi setiap bisnis yang memindahkan data pribadi antara kedua wilayah tersebut.
Denda LastPass: Standar Teknis Baru
ICO mendenda LastPass UK £1,2 juta pada Desember 2025. Ini adalah kasus keamanan teknis terbesar Inggris hingga saat ini.
ICO menemukan dua kegagalan utama.
Enkripsi lemah: LastPass menyimpan vault kata sandi pelanggan dengan enkripsi lama. ICO menyebutnya "tidak memadai" berdasarkan Pasal 32 UK GDPR. Beberapa vault menggunakan PBKDF2-SHA256 dengan hanya satu iterasi. UK NCSC menyatakan kunci kata sandi memerlukan setidaknya 600.000 iterasi.
Apa yang kini diwajibkan hukum: Pasal 32 UK GDPR menuntut "langkah-langkah teknis yang tepat" yang sesuai dengan "keadaan terkini." ICO menemukan bahwa derivasi kunci pada 2022 membutuhkan jauh lebih banyak dari yang diberikan LastPass. Yang baik-baik saja pada 2015 tidak baik-baik saja pada 2022.
Hasilnya: enkripsi vendor kini menjadi item yang dapat diaudit. Anda harus memeriksa bahwa alat Anda menggunakan parameter terkini — bukan acuan dasar yang sudah ketinggalan zaman. Lihat ikhtisar keamanan dan kepatuhan kami untuk cara kami menangani hal ini.
Undang-Undang DPDI 2025: Enam Perubahan Utama
Undang-undang ini membuat 14 perubahan yang teridentifikasi pada hukum data Inggris. Enam di antaranya berdampak langsung pada aktivitas sehari-hari.
1. Kepentingan sah. Undang-undang ini mencantumkan "kepentingan sah yang diakui." Ini melewati uji penyeimbangan yang masih diwajibkan hukum UE. Hal ini membuat dasar tersebut lebih mudah digunakan untuk bisnis Inggris.
2. Penelitian dan statistik. Undang-undang ini memperluas pengecualian penelitian. Penggunaan sekunder data pribadi untuk penelitian membutuhkan lebih sedikit persetujuan dibandingkan yang diwajibkan hukum UE.
3. Keputusan otomatis. Undang-undang ini menggantikan Pasal 22 UE. Aturan baru ini lebih longgar. Beberapa keputusan otomatis tidak lagi memerlukan tinjauan manusia yang bermakna.
4. Penyimpanan catatan. Undang-undang ini menghapus kewajiban pencatatan pemrosesan (ROPA) bagi perusahaan dengan kurang dari 250 staf yang tidak melakukan pemrosesan "sistematis." Aturan UE mewajibkan ROPA bagi semua perusahaan yang pemrosesannya tidak bersifat sesekali.
5. Persetujuan cookie. Undang-undang ini memangkas aturan persetujuan untuk cookie analitik. Ini mendukung opsi "tanpa cookie." Aturan ePrivacy UE masih memerlukan persetujuan untuk cookie pelacakan.
6. Transfer internasional. Sekretaris Negara Inggris mendapat kewenangan lebih luas untuk memberikan keputusan kecukupan. Inggris dapat menyetujui negara-negara yang belum disetujui UE. Ini memecah kerangka transfer di kedua sisi.
Risiko Kecukupan
Komisi Eropa akan memeriksa apakah hukum Inggris memberikan perlindungan yang "secara esensial setara" dengan aturan UE.
Tiga area mengkhawatirkan pengawas UE.
Kepentingan sah yang lebih luas dalam Undang-Undang DPDI dapat membiarkan celah yang disebut Komisi tidak memadai. Undang-Undang Kekuasaan Investigasi Inggris 2016 masih menimbulkan kekhawatiran terkait yurisprudensi CJEU. Kesepakatan Inggris-AS berdasarkan CLOUD Act dapat mengekspos data UE pada penegakan hukum AS.
Jika kecukupan ditangguhkan, lebih dari 10.000 set Standard Contractual Clause UE-Inggris harus segera diaktifkan. Perusahaan yang hanya mengandalkan kecukupan untuk transfer Inggris-UE akan menghadapi celah semalaman. Periksa panduan kepatuhan kami untuk meninjau eksposur Anda.
Menjalankan Kedua Rezim Sekaligus
Bagi perusahaan yang tunduk pada hukum UE dan Inggris, jalannya jelas.
Gunakan acuan dasar yang lebih ketat. Pasal 32 UE, uji kepentingan sah UE, dan aturan keputusan otomatis UE semuanya lebih ketat dari padanan Undang-Undang Inggris. Memenuhi aturan UE berarti memenuhi aturan Inggris, ditambah beberapa tambahan khusus Inggris.
Dokumentasikan kedua dasar hukum. Untuk kepentingan sah, tuliskan hasil uji penyeimbangan UE dan bukti bahwa pemrosesan sesuai dengan kategori yang diakui Inggris. Catatan ganda melindungi Anda jika aturan semakin berdivergensi.
Siapkan SCC. Tinjauan kecukupan 2026 akan menentukan apakah Anda memerlukan alat transfer terpisah. Pertahankan Standard Contractual Clause tetap aktif sebagai cadangan bahkan saat menggunakan kecukupan.
Periksa enkripsi vendor. Kasus LastPass menjadikan enkripsi vendor sebagai item kepatuhan yang aktif. Konfirmasikan alat yang menangani data pribadi menggunakan pengaturan terkini: AES-256-GCM saat istirahat, argon2id atau PBKDF2 dengan jumlah iterasi terkini untuk derivasi kunci. Telusuri FAQ kami untuk pertanyaan audit yang umum.
Pemisahan Inggris adalah pemutusan nyata pertama dalam model privasi UE. Bagi perusahaan di kedua wilayah, langkah teraman adalah merancang untuk standar yang lebih sulit — yang masih merupakan kerangka UE.
anonym.legal memproses dokumen di pusat data Hetzner berbasis UE dengan desain zero-knowledge. Server tidak pernah melihat teks biasa Anda. Pelanggaran server penuh hanya menghasilkan ciphertext AES-256-GCM. Butuh pemrosesan lokal? Aplikasi Desktop berjalan di perangkat Anda tanpa koneksi eksternal.