Information Commissioner's Office (ICO) UK menjalankan penguatkuasakan UK GDPR pasca-Brexit dengan pencapaian keputusan kecukupan data yang penting untuk pemindahan data antara EU dan UK. 38 keputusan pada 2024 menandakan perubahan dalam strategi penguatkuasaan ICO.
UK GDPR pasca-Brexit: Perbezaan Kepatuhan
Sejak Brexit pada 31 Januari 2020 dan periode peralihan yang berakhir pada 31 Desember 2020, UK tidak lagi tunduk kepada GDPR EU melainkan kepada UK GDPR, yang merupakan salinan kedua-dua substansi GDPR dengan pengecualian kecil.
Perbezaan Kepatuhan UK vs EU GDPR:
- Kewenangan Regulator: ICO (UK) vs DPA masing-masing EU (28 DPA)
- Keputusan Kecukupan: EU mesti membuat keputusan kecukupan untuk UK untuk membenarkan pemindahan data EU → UK
- Perjanjian Pemindahan: UK telah mengamankan keputusan kecukupan dari EU (UK-EU Standard Contractual Clauses)
- Denda: Sama (hingga €20 juta atau 4% hasil tahunan global)
Keputusan Kecukupan Data EU-UK: Status 2024
EU membuat keputusan kecukupan untuk UK pada 19 Februari 2021, memungkinkan pemindahan data dari EU ke UK dengan mekanisme Standard Contractual Clauses.
Pengecaman PII UK: NI dan Nombor Identiti Lain
UK tidak mempunyai sistem ID universal seperti EU, tetapi menggunakan beberapa pengenal sensitif:
1. National Insurance Number (NI) — Pengenal Sosial UK
- Format: 2 huruf + 6 digit + 1 huruf cek (cth. AB 12 34 56 C)
- Kegunaan: Sistem keselamatan sosial dan cukai UK
- Deteksian: NI adalah PII dan memerlukan enkripsi atau penyingkiran
2. Nomor Identiti Pengguna Perkhidmatan Kesihatan (NHS)
- Format: 10 digit
- Kegunaan: Sistem kesihatan nasional UK
- Deteksian: NHS adalah PII kesihatan dan memerlukan enkripsi atau penyingkiran
3. Nombor Identiti Pendidikan (ULN)
- Format: 13 digit
- Kegunaan: Sistem pendidikan UK
- Deteksian: ULN adalah PII pendidikan dan memerlukan enkripsi atau penyingkiran
Penguatkuasaan ICO 2024-2025
ICO telah membuat 38 keputusan dengan denda kolektif mencapai £34.5 juta (€41.2 juta) untuk pelanggaran UK GDPR.