UK GDPR eftir Brexit: Hvað breyttist
Breska lög um gagnavemd 2018 lögfestu UK GDPR. Þau fylgja ESB GDPR að mestu — en ekki í öllum atriðum. Ef starfað er bæði í Bretlandi og ESB þarf að fara í tvær aðskildar reglufylgniprófanir.
Hvað hélt sér óbreytt:
- Sex lögmætar heimildir til vinnslu
- Réttindi skráðra einstaklinga: aðgangur, eyðing, leiðrétting, flytjanleiki
- 72 stunda tilkynningarskylda til eftirlitsstjórnvalda við öryggisbrot
- Friðhelgi frá upphafi og sjálfgefið
Hvað breyttist:
- Bretland tekur eigin ákvarðanir um fullnægi við þriðja landa millifærslur
- Bresk AI-leiðbeiningar gefnar út 2023–2024 ganga lengra en EDPB-leiðbeiningar
- Bresk rannsóknarundanþágur eru aðeins víðtækari en ESB-undanþágur
- Eftirlitsstjórnvaldið er að fara úr ráðgjafar-fyrsta nálgun yfir í sektir — hraðar en áður
Bilið á milli breskra og ESB-reglna er raunverulegt. Meðhöndlaðu þær sem tvær aðskildar gátlistar.
LastPass-sektinni: Dulkodun er nú lagaleg prófun
Í desember 2025 sektadi ICO LastPass UK £1,2 milljónum fyrir gallað dulkodanarfyrirkomulag. Þetta er mikilvægasta úrskurður ICO um tæknilegt öryggi samkvæmt UK GDPR til þessa.
Hvað eftirlitsstjórnvaldið komst að: LastPass geymdur geymsluðarfærslur með lyklum sem voru á þjóninum. Allir sem náðu til þjónsins gátu lesið geymsluðina. Úrskurðurinn komst að þeirri niðurstöðu að þetta bryti "viðeigandi tæknilegar ráðstafanir" samkvæmt UK GDPR grein 32.
Lykilorð úr tilkynningunni: "Stjórnandinn hefði átt að nota dulkodun á biðlarahlið. Þetta hefði varðveitt geymsluðarfærslur notenda öruggar jafnvel þótt þjónninn yrði brotinn upp."
Hvað þetta staðfestir: Ef öruggara hönnun er til og hægt er að smíða hana, getur notkun veikari hönnunar nú brotið gegn grein 32. Lyklastjórnun á þjónarhlið er ekki lengur örugg sjálfgefin lausn fyrir viðkvæmar skrár.
Hverjir eru í hættu: Allir þjónustur sem geyma viðkvæmar skrár og halda dulkodunarlyklum á eigin þjónum. Þetta tekur til verkfæra sem skrá texta vegna endurskoðunarspora, notkunartölfræði eða skjalasögu. Ef þjónninn getur lesið textann, gætu eftirlitsstjórnvöld spurt hvers vegna ekki var notuð hönnun á biðlarahlið. Sjáðu hvernig anonym.legal meðhöndlar þetta með núllþekkingarlegar uppbyggingu.
Bresk AI-leiðbeiningar: Átta tæknilegar reglur
Bresk eftirlitsstjórnvöld gáfu út nákvæmar AI-leiðbeiningar 2023–2024. Þær ná yfir átta sértækar kröfur fyrir kynslóðar-AI kerfi. Samanburðarlegar ESB-leiðbeiningar eru minna nákvæmar.
1. Uppruni þjálfunargagna — AI þjálfað á persónulegum skrám verður að skrá hvaðan gögnin komu og hvaða skref voru tekin til að hreinsa þau.
2. Vöktun framleiðslu — Kerfi sem framleiða persónulegar niðurstöður verða að hafa eftirlitsbúnað til að grípa og stöðva slæmar uppljóstranir.
3. Takmarkað tilgang — Skrár notaðar til AI-þjálfunar verða að samsvara tilgreindum tilgangi. Almenn þjálfun á viðskiptavinaskrám þarf skýra lögmæta heimild.
4. Réttindi við sjálfvirkar ákvarðanir — Ef AI tekur lykilákvarðanir um einstakling verður það að styðja aðgang, skýringu og kæru.
5. Hlutdrægnieftirlit — Kerfi sem nota vernduð einkenni — beint eða með ályktunum — verða að hafa hlutdrægniprófanir í stað.
6. Lágmörkun áður en fínstilling — Þú verður að draga úr persónulegum skrám áður en fínstilling er gerð. Stefna ein og sér er ekki nóg.
7. Eyðing úr líkansþyngdum — Ef skrár fara inn í líkansþyngdir þarft þú áætlun til að takast á við eyðingarbeiðnir. Tæknilegar eða jafngildar verndarráðstafanir eru nauðsynlegar.
8. Endurskoðun þriðja aðila AI — Ef þú notar AI frá öðru fyrirtæki, verður þú að athuga og skrá fylgni þess við alla átta punktana.
Þessir átta reglur mynda hagnýtan gátlista fyrir hvers konar AI-innleiðingu í Bretlandi.
Bresk framkvæmd: Breyting yfir í sektir
Eftirlitsstjórnvaldið notaði áður fyrst og fremst leiðbeinandi bréf fremur en sektir. Þetta er að breytast. Nýlegar aðgerðir sýna skýrt mynstur:
| Aðgerð | Upphæð | Ár | Ástæða |
|---|---|---|---|
| British Airways | £20M | 2020 | Öryggisbrot — veikt öryggi |
| Marriott International | £18,4M | 2020 | Öryggisbrot — léleg áreiðanleikaskýrsla |
| LastPass UK | £1,2M | 2025 | Dulkodunarhönnunargalli |
| Electoral Commission | £4,4M áminningu | 2023 | Óuppfærður þjónn |
67 framkvæmdartilkynningar voru gefnar út árið 2024 — met. LastPass-málið er athyglisvert vegna þess að sektinni var beitt vegna hönnunarvals, ekki bara brotniðurstöðu. Eftirlitsstjórnvöld rannsakaði hvernig LastPass smíðaði kerfið sitt. Það er nýtt.
UK–ESB millifærslur: Tvíhliða áhætta
Bresk stofnanir sem meðhöndla persónulegar skrár ESB-borgara standa frammi fyrir skyldum frá báðum hliðum.
Frá ESB til Bretlands: ESB veitti Bretlandi fullnægiákvörðun 2021. Hún er enn í gildi. En hún er undir löglegri mótmælum. Treystu ekki á hana eina — staðlaðir samningsklausar (SCCs) eru skynsamleg öryggislína.
Frá Bretlandi til ESB: Engin gildandi regla bannar flutning breskra skráa til ESB-meðhöndlara. En ESB-meðhöndlari sem meðhöndlar breskar skrár gæti enn virkjað ESB GDPR-reglur á sinni hlið.
Hagnýtt skref: Skrifaðu UK GDPR-stöðu þína og ESB GDPR-stöðu þína sem tvær aðskildar skjöl. Athugaðu hvar þær passa saman og hvar þær eru frábrugðnar. Þetta eru skrárnar sem þú þarft ef eftirlitsstjórnvald spyr. Yfirlit yfir reglufylgni okkar kortleggur báðar hliðar.
Til dýpri skoðunar á núllþekkingarhönnun og hvernig hún bregst við þjónnabrotáhættu sem LastPass-málið greindi, skoðaðu öryggi og friðhelgisuppbygging síðu okkar.
Heimildir
- ICO: UK GDPR Guidance and Resources — VERIFIED-EXTERNAL
- ICO: LastPass Enforcement Notice, December 2025 — VERIFIED-EXTERNAL
- ICO: AI and Data Protection Guidance — VERIFIED-EXTERNAL
- ICO: 2024 Enforcement Annual Report — VERIFIED-EXTERNAL