UK GDPR после Brexit: что изменилось
Закон о защите данных 2018 года закрепил UK GDPR в законодательстве Великобритании. Он близок к европейскому GDPR, но не идентичен ему. Если вы работаете одновременно в Великобритании и ЕС, вам необходимо пройти две отдельные проверки соответствия.
Что осталось прежним:
- Шесть правовых оснований для обработки данных
- Права субъектов: доступ, удаление, исправление, переносимость
- Уведомление регулятора о нарушениях в течение 72 часов
- Защита данных при проектировании и по умолчанию
Что изменилось:
- Великобритания принимает собственные решения об адекватности для трансграничных передач
- Британские руководства по ИИ 2023–2024 годов предъявляют более строгие требования, чем EDPB
- Исключения для научных исследований в Великобритании несколько шире, чем в ЕС
- Регулятор всё активнее переходит от рекомендаций к штрафам
Разрыв между британскими и европейскими правилами реален. Рассматривайте их как два самостоятельных контрольных списка.
Штраф LastPass: шифрование становится юридическим тестом
В декабре 2025 года ICO оштрафовал LastPass UK на £1,2 миллиона за недостатки в архитектуре шифрования. Это наиболее значимое решение ICO по технической безопасности в рамках UK GDPR на сегодняшний день.
Что установил регулятор: LastPass хранил записи хранилища с ключами на стороне сервера. Любой, кто получил доступ к серверу, мог прочитать хранилище. В решении указано, что это нарушает требование «надлежащих технических мер» по статье 32 UK GDPR.
Ключевая цитата из предписания: «Оператор должен был использовать шифрование на стороне клиента. Это обеспечило бы безопасность записей хранилища даже в случае взлома сервера».
Что это означает: Если существует более безопасная и реализуемая архитектура, применение менее защищённой может теперь нарушать статью 32. Хранение ключей шифрования на стороне сервера больше не является безопасным умолчанием для конфиденциальных записей.
Кто в зоне риска: Любой сервис, хранящий конфиденциальные данные и управляющий ключами шифрования на собственных серверах. Это касается инструментов, ведущих журналы текста для аудита, статистики использования или истории документов. Если сервер может читать текст, регуляторы могут задать вопрос: почему вы не использовали клиентскую архитектуру? Узнайте, как anonym.legal реализует это через архитектуру нулевого знания.
Руководство ICO по ИИ: восемь технических требований
В 2023–2024 годах британский регулятор опубликовал подробное руководство по ИИ, охватывающее восемь конкретных требований к генеративным системам. Сопоставимые документы ЕС менее детальны.
1. Происхождение обучающих данных — ИИ, обученный на персональных данных, должен фиксировать их источники и процедуры очистки.
2. Мониторинг выходных данных — Системы, генерирующие персональные выходные данные, должны иметь механизмы предотвращения несанкционированного раскрытия.
3. Ограничение цели — Данные, используемые для обучения ИИ, должны соответствовать заявленной цели. Для общего обучения на клиентских данных требуется чёткое правовое основание.
4. Права в отношении автоматизированных решений — Если ИИ принимает значимые решения в отношении человека, он должен обеспечивать доступ, объяснение и возможность обжалования.
5. Мониторинг предвзятости — Системы, использующие защищённые признаки — напрямую или путём вывода — должны иметь механизмы контроля предвзятости.
6. Минимизация перед дообучением — Необходимо сократить объём персональных данных до дообучения модели. Одной лишь политики недостаточно.
7. Удаление из весов модели — Если данные попадают в веса модели, необходим план реагирования на запросы об удалении. Требуются технические или равнозначные меры защиты.
8. Проверка сторонних ИИ — При использовании ИИ третьих сторон необходимо проверить и задокументировать его соответствие всем восьми пунктам.
Эти восемь требований образуют практический контрольный список для любого британского ИИ-развёртывания.
Правоприменение ICO: переход к штрафам
Раньше регулятор предпочитал рекомендательные письма санкциям. Теперь это меняется. Последние действия демонстрируют чёткую тенденцию:
| Дело | Сумма | Год | Причина |
|---|---|---|---|
| British Airways | £20 млн | 2020 | Нарушение — слабая защита |
| Marriott International | £18,4 млн | 2020 | Нарушение — недостаточная проверка |
| LastPass UK | £1,2 млн | 2025 | Ошибки в архитектуре шифрования |
| Избирательная комиссия | Предписание на £4,4 млн | 2023 | Непропатченный сервер |
В 2024 году было выдано 67 предписаний — рекордный показатель. Дело LastPass примечательно тем, что штраф был наложен за проектное решение, а не просто за факт нарушения. Регуляторы изучили, как LastPass строил свою систему. Это прецедент.
Передача данных между Великобританией и ЕС: двусторонний риск
Британские организации, обрабатывающие персональные данные граждан ЕС, несут обязательства с обеих сторон.
Из ЕС в Великобританию: ЕС предоставил Великобритании решение об адекватности в 2021 году. Оно пока действует, но оспаривается в судебном порядке. Не полагайтесь только на него — стандартные договорные положения (SCC) являются разумной страховкой.
Из Великобритании в ЕС: Действующее законодательство не запрещает передачу британских данных европейским операторам. Однако европейский оператор, обрабатывающий британские данные, может всё равно подпадать под действие EU GDPR.
Практический шаг: Оформите вашу позицию по UK GDPR и EU GDPR в виде двух отдельных документов. Отметьте, где они совпадают, а где расходятся. Именно этот документ вам понадобится, если регулятор задаст вопросы. Наш обзор соответствия охватывает обе стороны.
Для более глубокого изучения архитектуры нулевого знания и её роли в снижении риска, выявленного в деле LastPass, ознакомьтесь с нашей страницей об архитектуре безопасности и конфиденциальности.
Источники
- ICO: Руководство и ресурсы по UK GDPR — VERIFIED-EXTERNAL
- ICO: Предписание в отношении LastPass, декабрь 2025 — VERIFIED-EXTERNAL
- ICO: Руководство по ИИ и защите данных — VERIFIED-EXTERNAL
- ICO: Ежегодный доклад о правоприменении 2024 — VERIFIED-EXTERNAL