JK BDAR po Brexit: kas pasikeitė
JK Duomenų apsaugos įstatymas (2018 m.) įtvirtino JK BDAR. Jis iš esmės atitinka ES BDAR, tačiau ne visais aspektais. Jei dirbate tiek JK, tiek ES rinkoje, privalote atlikti du atskirus atitikties patikrinimus.
Kas liko nepakitę:
- Šešios teisėtos duomenų tvarkymo pagrindų kategorijos
- Duomenų subjektų teisės: prieiga, ištrynimas, ištaisymas, perkeliamumas
- 72 valandų pranešimo reguliuotojui apie pažeidimą terminas
- Privatumo apsauga jau projektavimo etape ir pagal numatytuosius nustatymus
Kas pasikeitė:
- JK taiko savo tinkamumo sprendimus tarpvalstybiniams duomenų perdavimams
- JK DI gairės, išleistos 2023–2024 m., griežtesnės nei EDPB rekomendacijos
- JK mokslinių tyrimų išimtys šiek tiek platesnės nei ES
- Reguliuotojas pereina nuo patarimų prie baudų – greičiau nei anksčiau
Atstumai tarp JK ir ES taisyklių yra realūs. Laikykite juos dviem atskirais kontroliniais sąrašais.
LastPass bauda: šifravimas dabar yra teisinis egzaminas
2025 m. gruodžio mėn. ICO skyrė LastPass UK 1,2 mln. svarų baudą dėl klaidingo šifravimo sprendimo. Tai svarbiausias iki šiol priimtas JK BDAR sprendimas techninio saugumo srityje.
Ką nustatė reguliuotojas: LastPass saugojo saugyklos įrašus su serverio pusėje laikomais raktais. Kiekvienas, pasiekęs serverį, galėjo perskaityti saugyklą. Nuspręsta, kad tai pažeidė JK BDAR 32 straipsnyje nustatytą "tinkamų techninių priemonių" reikalavimą.
Svarbiausias pranešimo teiginys: "Valdytojas turėjo naudoti kliento pusės šifravimą. Tai būtų apsaugojusi naudotojų saugyklos įrašus net ir serverio pažeidimo atveju."
Ką tai nustato: Jei egzistuoja saugesnė technologinė konstrukcija ir ji yra įgyvendinama, silpnesnės sistemos naudojimas gali dabar pažeisti 32 straipsnį. Serverio pusės rakto valdymas nebelaikomas saugiu numatytuoju nustatymu jautriems įrašams.
Kas yra rizikos grupėje: Bet kokia paslauga, sauganti jautrius įrašus ir laikanti šifravimo raktus savo serveriuose. Tai apima priemones, kurios registruoja tekstą audito tikslais, naudojimo statistikai ar dokumentų istorijai. Jei serveris gali perskaityti tekstą, reguliuotojai gali klausti, kodėl nebuvo naudotas kliento pusės sprendimas. Žr. kaip anonym.legal tai sprendžia su nulinių žinių architektūra.
JK DI gairės: aštuonios techninės taisyklės
JK reguliuotojas 2023–2024 m. paskelbė išsamias DI gaires. Jomis nustatomi aštuoni konkretūs reikalavimai generatyviniams DI sistemoms. ES analogiškos gairės yra mažiau detalios.
1. Mokymo duomenų kilmė – DI, apmokytas naudojant asmens duomenis, turi registruoti, iš kur jie gauti ir kokie valymo veiksmai buvo taikyti.
2. Rezultatų stebėsena – sistemos, generuojančios asmeninius rezultatus, turi turėti kontrolės priemones neteisėtiems atskleidimams aptikti ir sustabdyti.
3. Tikslo apribojimas – DI mokymui naudoti asmens duomenys turi atitikti deklaruotą tikslą. Bendras mokymas klientų duomenimis reikalauja aiškaus teisinio pagrindo.
4. Automatizuotų sprendimų teisės – jei jūsų DI priima svarbius sprendimus dėl asmens, turi būti užtikrinta galimybė prieiti prie duomenų, gauti paaiškinimą ir pateikti apeliaciją.
5. Šališkumo stebėsena – sistemos, naudojančios saugomas savybes tiesiogiai ar netiesiogiai, turi turėti šališkumo tikrinimo mechanizmus.
6. Mažinimas prieš tikslinį mokymą – prieš tikslinio mokymo procesą privaloma sumažinti asmens duomenų kiekį. Vien politikos dokumentas nepakankamai.
7. Trynimas iš modelio svorių – jei duomenys patenka į modelio svorius, reikia turėti planą, kaip spręsti ištrynimo užklausas. Reikalingos techninės ar lygiavertės apsaugos priemonės.
8. Trečiųjų šalių DI peržiūra – jei naudojate kitos įmonės DI, privalote patikrinti ir dokumentuoti jos atitiktį visiems aštuoniems reikalavimams.
Šios aštuonios taisyklės sudaro praktinį kontrolinį sąrašą kiekvienam JK DI diegimui.
JK vykdymas: perėjimas prie baudų
Reguliuotojas anksčiau teikė pirmenybę rekomendaciniams laiškams, o ne sankcijoms. Tai keičiasi. Naujausi veiksmai rodo aiškų modelį:
| Veiksmas | Suma | Metai | Priežastis |
|---|---|---|---|
| British Airways | 20 mln. svarų | 2020 | Pažeidimas – silpnas saugumas |
| Marriott International | 18,4 mln. svarų | 2020 | Pažeidimas – prasta kruopštumas |
| LastPass UK | 1,2 mln. svarų | 2025 | Šifravimo dizaino klaida |
| Electoral Commission | 4,4 mln. svarų įspėjimas | 2023 | Nepataisytas serveris |
2024 m. buvo išduoti 67 vykdymo pranešimai – rekordas. LastPass atvejis išsiskiria, nes bauda buvo skirta už projektavimo sprendimą, o ne tik dėl pažeidimo pasekmių. Reguliuotojai išanalizavo, kaip LastPass sukūrė savo sistemą. Tai nauja.
JK–ES duomenų perdavimai: dvipusė rizika
JK organizacijos, tvarkančios ES asmens duomenis, turi laikytis abiejų pusių įpareigojimų.
Iš ES į JK: ES 2021 m. suteikė JK tinkamumo sprendimą. Jis vis dar galioja, tačiau yra ginčijamas teisiškai. Nepasikliauti vien juo – standartinės sutarčių sąlygos (SCCs) yra protingas atsarginis variantas.
Iš JK į ES: Jokia dabartinė taisyklė nedraudžia perkelti JK duomenų į ES tvarkymo įmones. Tačiau ES tvarkymo įmonė, tvarkanti JK duomenis, vis tiek gali sukelti ES BDAR įpareigojimus savo pusėje.
Praktinis žingsnis: Parenkite du atskirus dokumentus – JK BDAR poziciją ir ES BDAR poziciją. Nurodykite, kur jie sutampa ir kur skiriasi. Tai dokumentas, kurio prireiks reguliuotojui paklausus. Mūsų atitikties apžvalga apima abi puses.
Norėdami giliau susipažinti su nulinių žinių dizainu ir kaip jis sprendžia LastPass identifikuotą serverio pažeidimo riziką, skaitykite mūsų saugumo ir privatumo architektūros puslapį.