anonym.legal

By · Last updated 2026-06-05

Powrót do blogaGDPR i zgodność

ICO Wielka Brytania: Różnice UK RODO vs RODO

W grudniu 2025 r. ICO ukarał LastPass grzywną w wysokości 1,2 mln £ za niewystarczające szyfrowanie. Decyzja ustanawia szyfrowanie po stronie klienta jako wymóg prawny.

June 5, 20267 min czytania
ICO UKUK GDPRLastPass fineencryption compliancepost-Brexit data protection

UK RODO po Brexicie: Co Się Zmieniło

Ustawa o ochronie danych osobowych z 2018 r. (Data Protection Act 2018) wprowadziła UK RODO do prawa brytyjskiego. Jest ono zbliżone do unijnego RODO, ale nie we wszystkich aspektach. Jeśli działasz zarówno w Wielkiej Brytanii, jak i w UE, musisz spełniać dwa odrębne zestawy wymogów.

Co pozostało bez zmian:

  • Sześć podstaw prawnych przetwarzania
  • Prawa podmiotów danych: dostęp, usunięcie, sprostowanie, przenoszenie
  • 72-godzinny obowiązek zgłoszenia naruszenia do organu nadzorczego
  • Ochrona danych w fazie projektowania i jako ustawienie domyślne

Co się zmieniło:

  • Wielka Brytania wydaje własne decyzje o adekwatności dotyczące transferów transgranicznych
  • Brytyjskie wytyczne dotyczące AI z lat 2023–2024 są bardziej szczegółowe niż wytyczne EROD
  • Brytyjskie wyjątki dla badań naukowych są nieco szersze niż unijne
  • Organ przechodzi od podejścia opartego na poradach do nakładania kar — szybciej niż dotychczas

Różnica między prawem brytyjskim a unijnym jest realna. Traktuj je jako dwie odrębne listy kontrolne.

Kara dla LastPass: Szyfrowanie Stało Się Testem Prawnym

W grudniu 2025 r. ICO ukarał LastPass UK grzywną w wysokości 1,2 mln £ za wadliwy system szyfrowania. To najważniejsza brytyjska decyzja UK RODO dotycząca bezpieczeństwa technicznego.

Ustalenia organu: LastPass przechowywał dane sejfów z kluczami znajdującymi się po stronie serwera. Każdy, kto uzyskał dostęp do serwera, mógł odczytać zawartość sejfu. Organ stwierdził, że naruszyło to wymóg „odpowiednich środków technicznych” z art. 32 UK RODO.

Kluczowe sformułowanie z decyzji: „Administrator powinien był zastosować szyfrowanie po stronie klienta. Zapewniłoby ono bezpieczeństwo danych sejfów użytkowników nawet w przypadku naruszenia bezpieczeństwa serwera.”

Znaczenie dla praktyki: Jeśli istnieje bezpieczniejszy projekt i jest on możliwy do wdrożenia, stosowanie słabszego rozwiązania może teraz naruszać art. 32. Zarządzanie kluczami po stronie serwera nie jest już bezpiecznym domyślnym rozwiązaniem dla danych wrażliwych.

Kto jest narażony: Każda usługa przechowująca dane wrażliwe i trzymająca klucze szyfrowania na własnych serwerach. Dotyczy to narzędzi rejestrujących tekst do celów audytowych, statystyk użytkowania lub historii dokumentów. Jeśli serwer może odczytać treść, organy nadzorcze mogą zapytać, dlaczego nie zastosowano architektury po stronie klienta. Sprawdź, jak anonym.legal rozwiązuje ten problem dzięki architekturze zero-knowledge.

Brytyjskie Wytyczne dotyczące AI: Osiem Wymogów Technicznych

Brytyjski organ regulacyjny opublikował szczegółowe wytyczne dotyczące AI w latach 2023–2024. Obejmują one osiem konkretnych wymogów dla systemów generatywnej AI. Porównywalne wytyczne UE są mniej szczegółowe.

1. Pochodzenie danych treningowych — AI trenowana na danych osobowych musi rejestrować, skąd te dane pochodzą i jakie kroki zastosowano w celu ich oczyszczenia.

2. Monitorowanie wyników — Systemy generujące wyniki zawierające dane osobowe muszą mieć mechanizmy wykrywania i zapobiegania nieuprawnionemu ujawnieniu.

3. Ograniczenie celu — Dane używane do trenowania AI muszą odpowiadać zadeklarowanemu celowi. Ogólne trenowanie na danych klientów wymaga wyraźnej podstawy prawnej.

4. Prawa w zakresie zautomatyzowanych decyzji — Jeśli Twój model AI podejmuje kluczowe decyzje dotyczące osoby, musi umożliwiać dostęp do informacji, wyjaśnienia i odwołanie.

5. Monitorowanie pod kątem uprzedzeń — Systemy wykorzystujące chronione cechy — bezpośrednio lub przez wnioskowanie — muszą mieć wdrożone kontrole uprzedzeń.

6. Minimalizacja przed dostrajaniem — Przed dostrajaniem modelu należy zredukować dane osobowe. Sama polityka nie wystarczy.

7. Usunięcie z wag modelu — Jeśli dane osobowe trafiły do wag modelu, musisz mieć plan reagowania na żądania usunięcia. Wymagane są zabezpieczenia techniczne lub równoważne.

8. Przegląd zewnętrznych systemów AI — Jeśli korzystasz z AI innej firmy, musisz zweryfikować i udokumentować jej zgodność ze wszystkimi ośmioma punktami.

Te osiem wymagań tworzy praktyczną listę kontrolną dla każdego wdrożenia AI w Wielkiej Brytanii.

Egzekwowanie w Wielkiej Brytanii: Zwrot ku Karom

Dotychczas organ preferował pisma doradcze zamiast sankcji. To się zmienia. Ostatnie działania wskazują na wyraźny wzorzec:

SprawaKwotaRokPowód
British Airways20 mln £2020Naruszenie — słabe zabezpieczenia
Marriott International18,4 mln £2020Naruszenie — niedostateczna weryfikacja
LastPass UK1,2 mln £2025Wada projektu systemu szyfrowania
Electoral Commissionnagana 4,4 mln £2023Niezałatany serwer

W 2024 r. wydano 67 decyzji egzekucyjnych — rekordową liczbę. Sprawa LastPass jest szczególna, bo kara dotyczyła decyzji projektowej, a nie tylko jej skutku. Organy badały, jak LastPass zbudował swój system. To novum.

Transfery UK–UE: Ryzyko Obustronne

Brytyjskie organizacje przetwarzające unijne dane osobowe podlegają obowiązkom wynikającym z obu systemów prawnych.

Z UE do Wielkiej Brytanii: UE przyznała Wielkiej Brytanii decyzję o adekwatności w 2021 r. Pozostaje ona w mocy, ale jest zaskarżona. Nie należy opierać się wyłącznie na niej — standardowe klauzule umowne (SCC) są rozsądnym zabezpieczeniem.

Z Wielkiej Brytanii do UE: Żadna bieżąca regulacja nie blokuje przekazywania brytyjskich danych do unijnych podmiotów przetwarzających. Jednak unijny podmiot przetwarzający obsługujący dane z Wielkiej Brytanii może po swojej stronie podlegać unijnemu RODO.

Praktyczny krok: Sporządź odrębne dokumenty opisujące Twoje stanowisko na gruncie UK RODO i unijnego RODO. Wskaż, gdzie przepisy są zbieżne, a gdzie się różnią. To właśnie ta dokumentacja będzie wymagana w przypadku zapytania ze strony organu nadzorczego. Nasz przegląd zgodności mapuje oba systemy.

Szczegółową analizę architektury zero-knowledge i sposobu, w jaki odnosi się do ryzyka naruszenia serwera zidentyfikowanego w sprawie LastPass, znajdziesz na naszej stronie dotyczącej architektury bezpieczeństwa i prywatności.

Źródła

Pokrewne artykuły

GDPR i zgodność

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR i zgodność

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR i zgodność

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Gotowy, aby chronić swoje dane?

Rozpocznij anonimizację PII z 285+ typami podmiotów w 48 językach.

Rozpocznij bezpłatny okres próbnyZobacz funkcje

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.