UK GDPR Post-Brexit: Divergens og kontinuitet
Den britiske databeskyttelsesloven 2018, som inkluderer UK GDPR, speiler EU GDPR nært — men med betydelige divergenser som skaper distinkte samsvarsforpliktelser for organisasjoner som opererer i Storbritannia.
Kontinuitet:
- Samme seks lovlige grunnlag for behandling
- Samme rettigheter for registrerte (tilgang, sletting, retting, portabilitet)
- Samme ansvarlighetsprinsipp og dokumentasjonskrav
- Samme plikt til å varsle om databrudd (72 timer til ICO)
- Samme krav til databeskyttelse ved design og som standard
Divergenser:
- Tilstrekkelighetsregime: Storbritannia har sine egne tilstrekkelighetsbeslutninger for internasjonale datatransferer; EU-tilstrekkelighet for britiske datatransferer opprettholdes, men er omstridt
- AI-veiledning: ICO utstedte dedikert AI-veiledning (2023-2024) som er mer detaljert enn EDPBs sammenlignbare veiledning
- Biometriske data: Behandlingen av biometriske data i Storbritannia har mindre definisjonsforskjeller
- Forskningsunntak: Storbritannias unntak for forskning og statistikk er noe bredere enn EUs ekvivalenter
- Håndhevelseskultur: ICO har historisk fokusert på utdanning og veiledning før bøter; dette endrer seg med nylige store håndhevelsesaksjoner
For organisasjoner som opererer både i EU og Storbritannia, skaper UK GDPR en parallell samsvarsforpliktelse som krever vurdering av både EU GDPR og UK GDPR krav — de er ikke identiske.
LastPass ICO-bot: Etablering av kryptering som lovpålagt krav
ICOs bot mot LastPass UK i desember 2025 (£1,2M) er den banebrytende UK GDPR-saken for krypteringsstandarder. Håndhevelsesvarselet etablerte flere prinsipper med brede implikasjoner:
Kjernen i funnet: LastPass' krypteringsarkitektur — som lagret brukerens hvelvdata med server-tilgjengelige krypteringsnøkler — ble funnet utilstrekkelig under UK GDPR Artikkel 32. ICO fant at "behandlingsansvarlig burde ha implementert kryptering på klientsiden, noe som ville ha sikret at selv i tilfelle av et serverbrudd, ville ikke brukerens hvelvdata vært tilgjengelig for uautoriserte parter."
Hva dette betyr: ICO har fastslått at der en mer personvernbeskyttende arkitektur eksisterer (kryptering på klientsiden) og er teknisk gjennomførbar, kan bruk av en mindre personvernbeskyttende arkitektur (server-kryptering) ikke oppfylle standarden for "passende tekniske tiltak" i Artikkel 32.
Bredere implikasjoner: Organisasjoner som lagrer sensitive data ved hjelp av server-kryptering — der leverandørens servere holder krypteringsnøkler — kan møte ICOs gransking hvis et brudd skjer. Håndhevelsesvarselet sier eksplisitt at "tekniske tiltak må være proporsjonale med risikoen, og der risikoen for uautorisert tilgang til sensitive personopplysninger er høy, kan det passende tiltaket kreve håndtering av nøkler på klientsiden."
For PII anonymiseringsverktøy: hvis en leverandørs anonymiseringstjeneste lagrer klarteksten av behandlede dokumenter på serveren (for revisjonslogger, bruksanalyser eller funksjoner som dokumenthistorikk), skaper dette et server-tilgjengelig datalager som kanskje ikke oppfyller ICOs standard etter LastPass for sensitive data.
ICOs AI-veiledning: Tekniske krav for generativ AI
ICO utstedte omfattende AI-veiledning i 2023-2024, som dekker åtte spesifikke tekniske krav for generative AI-systemer — mer detaljert enn EUs ekvivalente veiledning:
1. Audibilitet av treningsdata: AI-systemer trent på personopplysninger må ha dokumentert opprinnelse for treningsdata, inkludert anonymiseringsprosedyrer som er anvendt.
2. Utgangsovervåking: Systemer som genererer personoppgaveutganger må ha overvåkingskontroller for å oppdage og forhindre upassende datadiskløsning.
3. Formålsbegrensning i trening: Personopplysninger brukt til trening må begrenses til det spesifikke formålet — generell AI-trening ved bruk av kundedata krever eksplisitt juridisk grunnlag.
4. Individuelle rettigheter i automatisert beslutningstaking: AI-systemer som tar betydelige beslutninger om enkeltpersoner må implementere tekniske kontroller for å legge til rette for individuelle rettigheter (tilgang, forklaring, bestridelse).
5. Bias-revisjon: Systemer som behandler beskyttede egenskaper (direkte eller ved inferens) må ha teknisk overvåking av skjevhet.
6. Dataminimering i finjustering: Finjustering på personopplysninger må anvende minimering før trening — ikke bare anonymiseringspolitikker, men teknisk implementering.
7. Bevaring i trening: Personopplysninger inkorporert i modellvekter må være adresserbare for slettingsforespørsel (tekniske eller tilsvarende sikkerhetsforanstaltninger kreves).
8. Due diligence for tredjepartsmodeller: Organisasjoner som bruker tredjeparts AI-systemer må vurdere og dokumentere disse systemenes tekniske samsvar med disse kravene.
Disse åtte kravene skaper en teknisk implementeringssjekkliste for UK AI-implementeringer.
ICO Håndhevelsestrender: Fra veiledning til bøter
ICO har historisk foretrukket utdanning og håndhevelsesvarsler fremfor store bøter. Dette endrer seg:
- LastPass (des 2025): £1,2M — teknisk sikkerhetsfeil (krypteringsarkitektur)
- Valgkommisjonen (2023): £4,4M reprimande (ingen bot) — sikkerhetsfeil (server ikke oppdatert)
- British Airways (2019, avsluttet 2020): £20M — databrudd fra cyberangrep på grunn av utilstrekkelig sikkerhet
- Marriott International (2019, avsluttet 2020): £18,4M — databrudd fra utilstrekkelig due diligence
ICO utstedte 67 håndhevelsesvarsler i 2024 — en rekordhøyde — som tyder på økt vilje til å bruke formell håndhevelse.
LastPass-boten er spesielt betydningsfull fordi den rettet seg mot en beslutning om krypteringsarkitektur, ikke bare et bruddresultat. Dette antyder at ICO vil granske tekniske designvalg, ikke bare bruddrespons.
UK-EU Datastream-implikasjoner
Britiske organisasjoner som betjener EU-kunder eller mottar EU-personopplysninger står overfor den doble samsvarsforpliktelsen:
- UK GDPR gjelder for britisk behandling
- EU GDPR gjelder for EU-personopplysninger
For datatransferer fra EU til Storbritannia: EUs tilstrekkelighetsbeslutning for Storbritannia (gitt 2021) forblir gyldig, men er gjenstand for vurdering og juridisk utfordring. Organisasjoner bør ikke stole helt på britisk tilstrekkelighet — standard kontraktsbestemmelser forblir en anbefalt tilleggssikkerhet.
For britiske organisasjoner som bruker EU-baserte skytjenester: overføringen fra Storbritannia til EU er for øyeblikket ikke begrenset (ingen EU-restriksjoner på britiske datastreams), men EU-tjenesteleverandørens behandling av britiske personopplysninger kan utløse EU GDPR-krav for prosessoren.
Praktisk veiledning: organisasjoner med EU-UK datastreams bør dokumentere både sin UK GDPR samsvarsposisjon og sin EU GDPR samsvarsposisjon separat, og merke hvor de er ekvivalente og hvor britisk spesifikke krav gjelder.
Kilder: