UK GDPR pēc Brexit: kas mainījās
Apvienotās Karalistes Datu aizsardzības likums 2018 ieviesa UK GDPR tiesību sistēmā. Tas ir tuvu ES GDPR — bet ne visās jomās. Ja strādājat gan Apvienotajā Karalistē, gan ES, jums ir jāveic divas atsevišķas atbilstības pārbaudes.
Kas palika nemainīgs:
- Sešas likumīgas apstrādes pamata bāzes
- Datu subjektu tiesības: piekļuve, dzēšana, labošana, pārnesamība
- 72 stundu paziņojums regulatoram par datu pārkāpumu
- Privātums pēc noklusējuma un pēc dizaina
Kas mainījās:
- Apvienotā Karaliste veic savas atbilstības lēmumus pārrobežu pārsūtīšanai
- UK AI norādījumi, kas izdoti 2023.–2024. gadā, ir detalizētāki nekā EDPB
- UK pētniecības izņēmumi ir nedaudz plašāki nekā ES
- Regulators pāriet no konsultācijas uz sodiem — ātrāk nekā agrāk
Atšķirība starp UK un ES noteikumiem ir reāla. Uzskatiet tos par diviem atsevišķiem kontrolsarakstiem.
LastPass sods: šifrēšana tagad ir juridisks tests
- gada decembrī ICO piemēroja LastPass UK £1,2 miljona sodu par kļūdainu šifrēšanas iestatīšanu. Šis ir vissvarīgākais UK GDPR lēmums par tehnisko drošību līdz šim.
Ko regulators konstatēja: LastPass glabāja seifa ierakstus ar servera turētām atslēgām. Ikviens, kurš piekļuva serverim, varēja lasīt seifa saturu. Lēmumā tika konstatēts, ka tas pārkāpj "atbilstošo tehnisko pasākumu" testu UK GDPR 32. pantā.
Galvenā frāze no paziņojuma: "Pārzinim bija jāizmanto klienta puses šifrēšana. Tas būtu saglabājis lietotāju seifa ierakstus drošus pat tad, ja serveris tiktu uzlauzts."
Ko tas nosaka: Ja pastāv drošāks dizains un to ir iespējams izstrādāt, vājāka varianta izmantošana tagad var pārkāpt 32. pantu. Servera puses atslēgu pārvaldība vairs nav droša noklusējuma izvēle sensitīviem ierakstiem.
Kam draud risks: Jebkurš pakalpojums, kas glabā sensitīvus ierakstus un turpina šifrēšanas atslēgas savos serveros. Tas ietver rīkus, kas reģistrē tekstu auditācijas pierakstiem, lietojuma statistikā vai dokumentu vēsturē. Ja serveris var lasīt tekstu, regulatori var jautāt, kāpēc netika izmantots klienta puses dizains. Uzziniet, kā anonym.legal to risina ar nulles zināšanu arhitektūru.
UK AI norādījumi: astoņi tehniskie noteikumi
UK regulators 2023.–2024. gadā publicēja detalizētus AI norādījumus. Tajos ir ietvertas astoņas specifiskas prasības ģeneratīvajām AI sistēmām. ES salīdzināmie norādījumi ir mazāk detalizēti.
1. Apmācības datu izcelsme — AI, kas apmācīts uz personas datiem, ir jāreģistrē, no kurienes tie nākuši un kādi pasākumi izmantoti to attīrīšanai.
2. Izvades uzraudzība — sistēmām, kas ražo personas izvadi, jābūt kontrolēm, lai novērstu un apturētu nelikumīgu informācijas izpaušanu.
3. Nolūka ierobežojums — personas dati, kas izmantoti AI apmācībai, jāatbilst norādītajam nolūkam. Vispārīga apmācība uz klientu datiem prasa skaidru tiesisko pamatu.
4. Automatizētu lēmumu tiesības — ja jūsu AI pieņem galvenos lēmumus par personu, tam jānodrošina piekļuve, skaidrojums un apelācija.
5. Neobjektivitātes uzraudzība — sistēmām, kas izmanto aizsargātās pazīmes — tieši vai ar secinājumiem — jābūt neobjektivitātes pārbaudēm.
6. Minimizācija pirms precizēšanas — pirms precizēšanas jāsamazina personas dati. Politika vien nav pietiekama.
7. Dzēšana no modeļa svara — ja dati nonāk modeļa svarā, jums nepieciešams plāns, kā risināt dzēšanas pieprasījumus. Nepieciešami tehniski vai līdzvērtīgi aizsardzības līdzekļi.
8. Trešās puses AI pārskats — ja izmantojat citas uzņēmuma AI, jums jāpārbauda un jādokumentē tās atbilstība visiem astoņiem punktiem.
Šie astoņi noteikumi veido praktisku kontrolsarakstu jebkurai UK AI izvietošanai.
UK izpilde: pāreja uz sodiem
Regulators agrāk deva priekšroku norāžu vēstulēm, nevis sodiem. Tas mainās. Nesenās darbības rāda skaidru modeli:
| Darbība | Summa | Gads | Iemesls |
|---|---|---|---|
| British Airways | £20M | 2020 | Pārkāpums — vāja drošība |
| Marriott International | £18,4M | 2020 | Pārkāpums — nepietiekama rūpība |
| LastPass UK | £1,2M | 2025 | Šifrēšanas dizaina kļūme |
| Vēlēšanu komisija | £4,4M aizrādījums | 2023 | Neielāpots serveris |
- gadā tika izdoti 67 izpildes paziņojumi — rekords. LastPass lieta ir ievērojama, jo sods tika piemērots par dizaina izvēli, nevis tikai pārkāpuma sekām. Regulatori pārbaudīja, kā LastPass uzbūvēja savu sistēmu. Tas ir jauns precedents.
UK–ES pārsūtīšana: divpusējs risks
UK organizācijas, kas apstrādā ES personas datus, saskaras ar abpusējām saistībām.
No ES uz UK: ES 2021. gadā piešķīra UK atbilstības lēmumu. Tas joprojām ir spēkā. Taču tas tiek apstrīdēts tiesā. Nepaļaujieties uz to vien — standarta līguma klauzulas (SCC) ir saprātīgs rezerves variants.
No UK uz ES: Pašlaik nav noteikuma, kas liegtu pārsūtīt UK datus ES apstrādātājiem. Taču ES apstrādātājs, kas apstrādā UK datus, joprojām var aktivizēt ES GDPR noteikumus savā pusē.
Praktisks solis: Uzrakstiet savu UK GDPR pozīciju un ES GDPR pozīciju kā divus atsevišķus dokumentus. Atzīmējiet, kur tie sakrīt un kur atšķiras. Tas ir ieraksts, kas nepieciešams, ja regulators pieprasa. Mūsu atbilstības pārskats kartē abas puses.
Plašāku informāciju par nulles zināšanu dizainu un to, kā tas risina servera uzlaušanas risku, kas konstatēts LastPass lietā, skatiet mūsu drošības un privātuma arhitektūras lapā.
Avoti
- ICO: UK GDPR norādījumi un resursi — VERIFICĒTS-ĀRĒJS
- ICO: LastPass izpildes paziņojums, 2025. gada decembris — VERIFICĒTS-ĀRĒJS
- ICO: AI un datu aizsardzības norādījumi — VERIFICĒTS-ĀRĒJS
- ICO: 2024. gada izpildes gada pārskats — VERIFICĒTS-ĀRĒJS