UK RODO po Brexicie: Co się zmieniło
Brytyjska ustawa Data Protection and Digital Information (DPDI) z 2025 roku wprowadza 14 zmian w przepisach unijnego RODO. Tworzą one pierwszy realny podział między unijnym a brytyjskim prawem prywatności od czasu Brexitu. Umowa o adekwatności UE–Wielka Brytania jest poddawana przeglądowi. Jej wynik ma znaczenie dla każdej firmy przekazującej dane osobowe między oboma regionami.
Kara dla LastPass: Nowy techniczny standard
ICO nałożyło na LastPass UK grzywnę w wysokości 1,2 mln funtów w grudniu 2025 roku. To największa brytyjska sprawa dotycząca bezpieczeństwa technicznego.
ICO stwierdziło dwa kluczowe uchybienia.
Słabe szyfrowanie: LastPass przechowywał skarbce haseł klientów z przestarzałym szyfrowaniem. ICO określiło je jako „nieadekwatne” na mocy art. 32 UK RODO. Niektóre skarbce używały PBKDF2-SHA256 z zaledwie jedną iteracją. Brytyjskie NCSC zaleca co najmniej 600 000 iteracji dla kluczy do haseł.
Co teraz wymaga prawo: Art. 32 UK RODO wymaga „odpowiednich środków technicznych” odpowiadających „aktualnemu stanowi wiedzy”. ICO stwierdziło, że derywacja kluczy w 2022 roku wymagała znacznie więcej niż zapewnił LastPass. To, co było akceptowalne w 2015 roku, nie było akceptowalne w 2022 roku.
Skutek: szyfrowanie u dostawców stało się pozycją podlegającą audytowi. Musisz sprawdzić, czy Twoje narzędzia używają aktualnych parametrów — nie przestarzałych wartości bazowych. Zobacz nasze omówienie bezpieczeństwa i zgodności, aby dowiedzieć się jak to obsługujemy.
Ustawa DPDI 2025: Sześć kluczowych zmian
Ustawa wprowadza 14 zidentyfikowanych zmian w brytyjskim prawie o danych. Sześć z nich ma bezpośredni wpływ na codzienną działalność.
1. Prawnie uzasadnione interesy. Ustawa wymienia „uznane uzasadnione interesy”. Pomijają one test wyważenia, który prawo UE nadal wymaga. Sprawia to, że ta podstawa jest łatwiejsza w stosowaniu dla brytyjskich firm.
2. Badania naukowe i statystyki. Ustawa rozszerza wyjątek dotyczący badań naukowych. Wtórne wykorzystanie danych osobowych do celów badawczych wymaga mniejszej liczby zgód niż prawo UE.
3. Automatyczne decyzje. Ustawa zastępuje unijny art. 22. Nowe przepisy są mniej restrykcyjne. Niektóre automatyczne decyzje nie wymagają już znaczącego udziału człowieka.
4. Prowadzenie rejestrów. Ustawa znosi obowiązkowe rejestry czynności przetwarzania (ROPA) dla firm zatrudniających poniżej 250 pracowników, które nie prowadzą „systematycznego” przetwarzania. Przepisy UE wymagają ROPA od wszystkich firm, których przetwarzanie nie ma charakteru okazjonalnego.
5. Zgoda na pliki cookie. Ustawa ogranicza wymogi zgody dla analitycznych plików cookie. Wspiera opcje „bez plików cookie”. Unijne przepisy ePrivacy nadal wymagają zgody na śledzące pliki cookie.
6. Transgraniczne transfery. Brytyjski Sekretarz Stanu uzyskuje szersze uprawnienia do wydawania decyzji o adekwatności. Wielka Brytania może zatwierdzać kraje, których UE nie zatwierdziła. Dzieli to ramy transferu danych po obu stronach.
Ryzyko utraty adekwatności
Komisja Europejska sprawdzi, czy brytyjskie prawo zapewnia „zasadniczo równoważną” ochronę do przepisów UE.
Trzy obszary niepokoją unijnych obserwatorów.
Szersze uzasadnione interesy przewidziane w ustawie DPDI mogą pozostawiać luki, które Komisja uzna za niewystarczające. Brytyjska ustawa Investigatory Powers Act z 2016 roku nadal budzi obawy powiązane z orzecznictwem TSUE. Brytyjsko-amerykańskie umowy na mocy ustawy CLOUD Act mogą narażać dane UE na działanie amerykańskich organów ścigania.
Jeśli adekwatność zostanie zawieszona, ponad 10 000 zestawów standardowych klauzul umownych UE-Wielka Brytania wymagałoby pilnej aktywacji. Firmy opierające się wyłącznie na adekwatności w transferach UK-UE stanęłyby przed lukami z dnia na dzień. Sprawdź nasz przewodnik po zgodności, aby ocenić swoje narażenie.
Działanie w obu systemach jednocześnie
Dla firm podlegających zarówno prawu UE, jak i brytyjskiemu, droga jest jasna.
Stosuj surowszy punkt odniesienia. Unijny art. 32, test uzasadnionych interesów UE i unijne przepisy dotyczące automatycznych decyzji są surowsze niż ich brytyjskie odpowiedniki. Spełnienie przepisów UE oznacza spełnienie przepisów brytyjskich, plus kilka brytyjskich dodatków.
Dokumentuj obie podstawy prawne. W przypadku uzasadnionych interesów zapisz zarówno wynik unijnego testu wyważenia, jak i dowód, że przetwarzanie mieści się w brytyjskiej kategorii uznanej. Podwójna dokumentacja chroni Cię, jeśli przepisy będą się dalej różnić.
Miej gotowe SCC. Przegląd adekwatności 2026 zadecyduje, czy potrzebujesz osobnych narzędzi do transferu. Trzymaj standardowe klauzule umowne w gotowości jako kopię zapasową, nawet korzystając z adekwatności.
Sprawdź szyfrowanie u dostawców. Sprawa LastPass czyni szyfrowanie u dostawców aktywną kwestią zgodności. Potwierdź, że narzędzia przetwarzające dane osobowe używają aktualnych ustawień: AES-256-GCM dla danych w spoczynku, argon2id lub PBKDF2 z aktualną liczbą iteracji dla derywacji kluczy. Sprawdź nasze FAQ w poszukiwaniu typowych pytań audytowych.
Brytyjski podział to pierwsza realna przerwa w unijnym modelu prywatności. Dla firm działających w obu regionach najbezpieczniejszym rozwiązaniem jest projektowanie pod kątem surowszego standardu — którym nadal pozostają przepisy UE.
anonym.legal przetwarza dokumenty w centrach danych Hetzner zlokalizowanych w UE, z architekturą zero-knowledge. Serwer nigdy nie widzi Twojego tekstu w postaci czystej. Pełne naruszenie bezpieczeństwa serwera ujawnia jedynie zaszyfrowany tekst AES-256-GCM. Potrzebujesz lokalnego przetwarzania? Aplikacja Desktop działa na Twoim urządzeniu bez zewnętrznych połączeń.