JK BDAR po Brexito: kas pasikeitė
JK Duomenų apsaugos ir skaitmeninės informacijos (DPDI) aktas 2025 m. daro 14 pakeitimų ES BDAR taisyklėms. Tai sukuria pirmąjį tikrą plyšį tarp ES ir JK privatumo teisės nuo Brexito. ES ir JK tinkamumo susitarimas yra peržiūrimas. Jo rezultatas svarbus kiekvienam verslui, perduodančiam asmeninius duomenis tarp dviejų regionų.
LastPass bauda: naujas techninis standartas
ICO 2025 m. gruodžio mėnesį nubaudė LastPass UK 1,2 mln. svarų. Tai didžiausias JK techninio saugumo atvejis iki šiol.
ICO nustatė dvi pagrindines klaidas.
Silpnas šifravimas: LastPass saugojo klientų slaptažodžių saugyklas su senu šifravimu. ICO jį pavadino "nepakankamu" pagal JK BDAR 32 straipsnį. Kai kurios saugyklos naudojo PBKDF2-SHA256 tik su viena iteracija. JK NCSC teigia, kad slaptažodžių raktams reikia bent 600 000 iteracijų.
Ko dabar reikalauja įstatymas: JK BDAR 32 straipsnis reikalauja "tinkamų techninių priemonių", atitinkančių "pažangiausias technologijas". ICO nustatė, kad rakto išvedimas 2022 m. reikalavo daug daugiau nei suteikė LastPass. Tai, kas buvo priimtina 2015 m., nebuvo priimtina 2022 m.
Rezultatas: tiekėjo šifravimas dabar yra audituojamas elementas. Turite patikrinti, kad jūsų įrankiai naudoja esamus parametrus - ne senus standartinius nustatymus. Žr. mūsų saugumo ir atitikties apžvalgą, kad sužinotumėte, kaip mes tai tvarkome.
DPDI aktas 2025: šeši pagrindiniai pakeitimai
Aktas padaro 14 nustatytų pakeitimų JK duomenų teisėje. Šeši turi tiesioginį kasdieniame gyvenime poveikį.
1. Teisėti interesai. Aktas išvardija "pripažintus teisėtus interesus". Jie apeina balansavimo testą, kurio vis dar reikalauja ES teisė. Tai palengvina pagrindo naudojimą JK verslui.
2. Tyrimai ir statistika. Aktas išplečia tyrimų išimtį. Antriniam asmeninių duomenų naudojimui tyrimams reikia mažiau sutikimų nei reikalauja ES teisė.
3. Automatizuoti sprendimai. Aktas pakeičia ES 22 straipsnį. Nauja taisyklė yra atlaidesnė. Kai kuriems automatizuotiems sprendimams nebereikia prasmingos žmogaus peržiūros.
4. Apskaitos tvarkymas. Aktas panaikina privalomą apdorojimo veiksmų registrą (ROPA) įmonėms, kuriose dirba mažiau nei 250 darbuotojų ir kurios nevykdo "sistemingo" apdorojimo. ES taisyklės reikalauja ROPA visoms įmonėms, kurių apdorojimas nėra atsitiktinis.
5. Slapukų sutikimas. Aktas sumažina sutikimo taisykles analitiniams slapukams. Jis remia "slapukų neturinčias" parinktis. ES ePrivacy taisyklės vis dar reikalauja sutikimo stebėjimo slapukams.
6. Tarptautiniai perdavimai. JK valstybės sekretorius gauna platesnę teisę suteikti tinkamumo sprendimus. JK gali patvirtinti šalis, kurių ES nepatvirtino. Tai padalija perdavimo sistemą abejose pusėse.
Tinkamumo rizika
Europos Komisija patikrins, ar JK teisė suteikia "iš esmės lygiavertę" apsaugą ES taisyklėms.
Trys sritys jaudina ES stebėtojus.
DPDI akto platesni teisėti interesai gali palikti spragas, kurias Komisija pavadins nepakankamomis. JK Tyrimų įgaliojimų aktas 2016 m. vis dar kelia susirūpinimą, susijusį su ESTT teismų praktika. JK ir JAV susitarimai pagal CLOUD aktą gali atverti ES duomenis JAV teisėsaugai.
Jei tinkamumas bus sustabdytas, daugiau nei 10 000 JK ir ES standartinių sutartinių išlygų rinkinių turės būti greitai aktyvuoti. Įmonės, remiantys tik tinkamumu JK ir ES perdavimams, susidurs su spragomis per naktį. Peržiūrėkite mūsų atitikties vadovą, kad įvertintumėte savo poveikį.
Abiejų režimų vykdymas vienu metu
Įmonėms, veikiančioms pagal ES ir JK teisę, kelias yra aiškus.
Naudokite griežtesnį standartą. ES 32 straipsnis, ES teisėtų interesų testas ir ES automatizuotų sprendimų taisyklės yra griežtesnės nei jų JK akto atitikmenys. ES taisyklių laikymasis reiškia JK taisyklių laikymąsi, plius keli JK papildymai.
Dokumentuokite abu teisinius pagrindus. Dėl teisėtų interesų užrašykite tiek ES balansavimo testo rezultatą, tiek įrodymą, kad apdorojimas atitinka JK pripažintą kategoriją. Dvigubi įrašai jus apsaugo, jei taisyklės toliau skiriasi.
Laikykite SCC paruoštas. 2026 m. tinkamumo peržiūra nuspręs, ar jums reikia atskirų perdavimo įrankių. Laikykite standartines sutartines išlygas aktyvias kaip atsarginę kopiją net naudojant tinkamumą.
Patikrinkite tiekėjo šifravimą. LastPass atvejis daro tiekėjo šifravimą aktyviu atitikties elementu. Patvirtinkite, kad asmeninių duomenų tvarkymo įrankiai naudoja esamus nustatymus: AES-256-GCM ramybės būsenoje, argon2id arba PBKDF2 su esamais iteracijų skaičiais rakto išvedimui. Peržiūrėkite mūsų DUK įprastiems audito klausimams.
JK atskyrimas yra pirmasis tikras lūžis ES privatumo modelyje. Abiejų regionų įmonėms saugiausias žingsnis yra projektuoti pagal griežtesnį standartą - kuris vis dar yra ES sistema.
anonym.legal tvarko dokumentus ES pagrindu veikiančiuose Hetzner duomenų centruose su nulinių žinių dizainu. Serveris niekada nemato jūsų paprastojo teksto. Pilnas serverio pažeidimas duoda tik AES-256-GCM šifrogramą. Reikia vietinio apdorojimo? Darbalaukio programa veikia jūsų įrenginyje be išorinių ryšių.