UK GDPR по Брегзит: Што се промени
Британскиот Закон за заштита на податоци и дигитални информации (DPDI) од 2025 воведува 14 промени во правилата на EU GDPR. Тие создаваат прва реална поделба помеѓу EU и UK законодавството за приватност по Брегзит. Договорот за адекватност ЕУ-Велика Британија е под преглед. Неговиот исход има значење за секој бизнис кој пренесува лични податоци помеѓу двата региони.
Казната на LastPass: Нов технички стандард
ICO го казни LastPass UK со 1,2 милиони фунти во декември 2025. Ова е најголемиот случај на техничка безбедност во Велика Британија досега.
ICO утврдил два основни пропусти.
Слабо шифрирање: LastPass ги чувал трезорите со лозинки на клиентите со застарено шифрирање. ICO го нарекол "неадекватно" под UK GDPR член 32. Некои трезори користеле PBKDF2-SHA256 со само една итерација. Британскиот NCSC вели дека клучевите за лозинки бараат најмалку 600.000 итерации.
Што законот сега бара: UK GDPR член 32 бара "соодветни технички мерки" кои одговараат на "моменталната состојба на уметноста". ICO утврдил дека деривацијата на клучеви во 2022 бара многу повеќе отколку LastPass дал. Тоа што беше прифатливо во 2015 не беше прифатливо во 2022.
Резултатот: шифрирањето на добавувачите е сега ревидирана ставка за усогласеност. Мора да потврдите дека вашите алатки користат тековни параметри — не стари базни линии. Видете го нашиот преглед за безбедност и усогласеност за тоа како ние го обработуваме ова.
Закон DPDI 2025: Шест клучни промени
Законот воведува 14 идентификувани промени во UK законодавството за податоци. Шест имаат директно секојдневно влијание.
1. Легитимни интереси. Законот наведува "признати легитимни интереси". Тие го прескокнуваат тестот за балансирање кој EU законот сепак го бара. Тоа го прави основата полесна за употреба за UK бизниси.
2. Истражување и статистики. Законот ја проширува истражувачката ослободеност. Секундарната употреба на лични податоци за истражување бара помалку согласности отколку EU законот.
3. Автоматизирани одлуки. Законот го заменува EU член 22. Новото правило е поопуштено. Одредени автоматизирани одлуки повеќе не бараат значаен човечки преглед.
4. Евидентирање. Законот ја укинува задолжителната евиденција на обработката (ROPA) за компании со помалку од 250 вработени без "систематска" обработка. EU правилата бараат ROPA за сите компании чија обработка не е повремена.
5. Согласност за колачиња. Законот ги намалува правилата за согласност за аналитички колачиња. Ги поддржува опциите "без колачиња". EU ePrivacy правилата сепак бараат согласност за колачиња за следење.
6. Меѓународни преноси. Британскиот државен секретар добива поширока моќ за издавање решенија за адекватност. Велика Британија може да одобри земји кои ЕУ не ги одобрила. Ова ја дели рамката за пренос на двете страни.
Ризикот за адекватност
Европската комисија ќе провери дали UK законот обезбедува "суштински еквивалентна" заштита на EU правилата.
Три области ги загрижуваат EU мониторите.
Поширокиот легитимен интерес на DPDI законот може да остави јазови кои Комисијата ги нарекува неадекватни. UK Законот за истражни овластувања од 2016 сепак покренува загрижености поврзани со судската пракса на CJEU. Договорите UK-US под CLOUD законот може да изложат EU податоци на американско правосудство.
Ако адекватноста се суспендира, повеќе од 10.000 сетови на UK-EU стандардни договорни клаузули би требале брза активација. Компаниите кои се потпираат само на адекватност за UK-EU преноси би се соочиле со пропусти преку ноќ. Проверете го нашиот водич за усогласеност за да ја прегледате вашата изложеност.
Извршување на двата режима истовремено
За компаниите под EU и UK законите, патот е јасен.
Користете построга основна линија. EU член 32, EU тестот за легитимни интереси и EU правилата за автоматизирани одлуки се сите построги од нивните еквиваленти во UK законот. Исполнувањето на EU правилата значи исполнување на UK правилата, плус неколку UK специфики.
Документирајте ги двете правни основи. За легитимни интереси, запишете го и резултатот од EU тестот за балансирање и доказот дека обработката одговара на UK призната категорија. Двојни записи ве заштитуваат ако правилата дополнително отстапат.
Чувајте ги SCC подготвени. Прегледот на адекватноста во 2026 ќе одлучи дали ви требаат посебни алатки за пренос. Чувајте ги стандардните договорни клаузули активни како резерва дури и додека ја користите адекватноста.
Проверете го шифрирањето на добавувачите. Случајот со LastPass го прави шифрирањето на добавувачите активна ставка за усогласеност. Потврдете дека алатките кои обработуваат лични податоци користат тековни поставки: AES-256-GCM во мирување, argon2id или PBKDF2 со тековни бројачи на итерации за деривација на клучеви. Прегледајте го нашиот FAQ за вообичаени прашања за ревизија.
BK поделбата е прво реално прекинување на EU моделот за приватност. За компаниите во двата региони, најбезбедниот чекор е дизајнирање за построгиот стандард — кој сепак е EU рамката.
anonym.legal ги обработува документите во EU-базирани Hetzner центри за податоци со дизајн за нулта знаење. Серверот никогаш не го гледа вашиот обичен текст. Целосна повреда на серверот дава само AES-256-GCM шифрат. Потребна ви е локална обработка? Десктоп апликацијата работи на вашиот уред без надворешни врски.