UK GDPR eftir Brexit: Hvað breyttist
Bresk lög um gagnaskyld og stafrænar upplýsingar (DPDI Act 2025) gera 14 breytingar á ESB GDPR-reglum. Þetta skapar fyrsta raunverulega skil á milli ESB og breska persónuverndarréttar frá Brexit. ESB-UK fullnægissamningurinn er til endurskoðunar. Niðurstaðan skiptir máli fyrir hvert fyrirtæki sem flytur persónugögn milli þessara tveggja svæða.
LastPass-sektin: Nýtt tæknilegt viðmið
ICO sektaði LastPass UK upp á 1,2 milljóna punda í desember 2025. Þetta er stærsta tækniöryggismál Bretlands hingað til.
ICO fann tvær kjarnavillur.
Veik dulkóðun: LastPass geymdi lykilorðahvelf viðskiptavina með gamla dulkóðun. ICO kallaði hana "ófullnægjandi" samkvæmt UK GDPR 32. grein. Sum hvelf notuðu PBKDF2-SHA256 með aðeins eina endurtekningu. UK NCSC segir að lykilorðalyklar þurfi að minnsta kosti 600.000 endurtekningar.
Hvað lögin krefjast nú: UK GDPR 32. grein krefst "viðeigandi tæknilegra ráðstafana" sem samsvara "nútíma stigi". ICO komst að þeirri niðurstöðu að lyklaútleiðsla árið 2022 þurfti miklu meira en LastPass veitti. Það sem var gott árið 2015 var ekki gott árið 2022.
Niðurstaðan: dulkóðun birgja er nú endurskoðanlegt atriði. Þú verður að staðfesta að verkfærin þín noti núverandi stillingar — ekki gamlar grunnlínur. Sjá yfirlit yfir öryggi og samræmi fyrir upplýsingar um hvernig við meðhöndlum þetta.
DPDI Act 2025: Sex lykilbreytingar
Lögin gera 14 greindar breytingar á breskum gagnarétti. Sex hafa bein dagleg áhrif.
1. Lögmætir hagsmunir. Lögin telja upp "viðurkennda lögmæta hagsmuni". Þessir sleppa þeim jafnaðarprófi sem ESB-réttur krefst enn. Þetta gerir grundvöllinn auðveldari að nota fyrir bresk fyrirtæki.
2. Rannsóknir og tölfræði. Lögin víkka út undanþágu rannsókna. Sekundær notkun persónugagna til rannsókna þarf færri samþykki en ESB-réttur krefst.
3. Sjálfvirkar ákvarðanir. Lögin koma í stað ESB 22. greinar. Nýja reglan er meira slök. Sumar sjálfvirkar ákvarðanir þurfa ekki lengur þýðingarmikla mannlega endurskoðun.
4. Skráarhald. Lögin fella niður skyldugar vinnslufarsskrár (ROPA) fyrir fyrirtæki með færri en 250 starfsmenn án "kerfisbundinnar" vinnslu. ESB-reglur krefjast ROPA fyrir öll fyrirtæki þar sem vinnsla er ekki tilfallandi.
5. Kökusamþykki. Lögin skerða samþykkreglur fyrir greiningarkökur. Þær styðja "kökul-lausar" valkosti. ESB ePrivacy-reglur krefjast enn samþykkis fyrir rakningarkökur.
6. Alþjóðlegir flutningar. Breskur innanríkisráðherra fær víðara vald til að gefa fullnægisúrskurði. Bretland gæti samþykkt lönd sem ESB hefur ekki samþykkt. Þetta klofnar flutningsramma beggja hliðar.
Fullnægisáhættan
Evrópuframkvæmdastjórnin mun kanna hvort breskur réttur veitir "efnislega jafngilda" vernd ESB-reglum.
Thrjú svæði vekja áhyggjur ESB-eftirlitsmanna.
Víðari lögmætir hagsmunir DPDI-laganna gætu skilið eftir gloppur sem framkvæmdastjórnin telur ófullnægjandi. Breskur rannsóknarvaldslög 2016 veldur áhyggjum tengdum dómaframkvæmd CJEU. Breskur-Bandarískar samningar samkvæmt CLOUD Act geta afhjúpað ESB-gögn fyrir bandarískt lögregluembætti.
Ef fullnægi er frestað þyrfti yfir 10.000 UK-ESB-sett af stöðluðum samningsákvæðum (SCC) að vera virkjuð á fljótan hátt. Fyrirtæki sem treysta eingöngu á fullnægi fyrir UK-ESB-flutning myndu standa frammi fyrir bilun yfir nótt. Skoðaðu samræmisleiðbeiningarnar til að meta áhættu þína.
Að keyra bæði kerfi samtímis
Fyrirtæki sem eru undir bæði ESB og UK-rétti hafa skýrar leiðbeiningar.
Nota þá strangari grunnlínuna. ESB 32. grein, ESB-prófið fyrir lögmæta hagsmuni og ESB-reglur um sjálfvirkar ákvarðanir eru allar strangari en samsvarandi UK-lögin. Að uppfylla ESB-reglur þýðir að uppfylla UK-reglur, plús nokkrar UK-sérstakar kröfur.
Skráðu báðar lagalegar heimildir. Fyrir lögmæta hagsmuni, skráðu niður bæði niðurstöðu ESB-jafnaðarprófsins og sönnun þess að vinnslan falli undir breska viðurkennda flokka. Tvíþættar skrár vernda þig ef reglurnar greinast enn frekar.
Haldðu SCC tilbúnar. Fullnægisendurskoðunin 2026 mun ákveða hvort þú þarfir aðskilin flutningsverkfæri. Haltu stöðluðum samningsákvæðum virkum sem varakost jafnvel meðan þú notar fullnægi.
Skoðaðu dulkóðun birgja. LastPass-málið gerir dulkóðun birgja að lifandi samræmisatriði. Staðfestu að verkfæri sem meðhöndla persónugögn noti núverandi stillingar: AES-256-GCM í hvíld, argon2id eða PBKDF2 með núverandi endurtekningstölum fyrir lyklaútleiðslu. Sjá FAQ fyrir algengar endurskoðunarspurningar.
UK-skiltið er fyrsta raunverulega brot á ESB-persónuverndarlíkanum. Fyrir fyrirtæki á báðum svæðum er öruggasta skrefið að hanna fyrir þann strangari staðal — sem enn er ESB-ramminn.
anonym.legal vinnur skjöl í ESB-gagnaverum Hetzner með núllt-þekkingaruppsetningu. Þjónninn sér aldrei skýrtextann þinn. Algjör þjónainnbrot gefur aðeins AES-256-GCM dulmál. Þarft þú staðvinnslu? Skjáborðsforritið keyrir á tækinu þínu án utanaðkomandi tenginga.