UK GDPR после Brexit: расхождение и преемственность
Закон Великобритании о защите данных 2018 года, включающий UK GDPR, тесно отражает EU GDPR — но с существенными расхождениями, создающими особые требования к соответствию для организаций, работающих в Великобритании.
Преемственность:
- Одинаковые шесть правовых оснований для обработки
- Одинаковые права субъектов данных (доступ, стирание, исправление, переносимость)
- Одинаковый принцип подотчётности и требования к документации
- Одинаковое обязательство по уведомлению о нарушениях данных (72 часа до ICO)
- Одинаковые требования к защите данных с момента проектирования и по умолчанию
Расхождения:
- Режим адекватности: у Великобритании есть собственные решения об адекватности для международных передач данных; адекватность ЕС для передач данных Великобритании поддерживается, но оспаривается
- Руководство по ИИ: ICO выпустил специальное руководство по ИИ (2023–2024), более детальное, чем сопоставимое руководство EDPB
- Биометрические данные: трактовка биометрических данных в Великобритании имеет незначительные дефиниционные различия
- Исключения для исследований: исключения Великобритании для исследований и статистики несколько шире, чем эквивалентные исключения ЕС
- Культура правоприменения: ICO исторически ориентировался на образование и руководство до штрафов; это меняется с недавними крупными правоприменительными действиями
Для организаций, работающих как в ЕС, так и в Великобритании, UK GDPR создаёт параллельное обязательство по соответствию, требующее оценки как требований EU GDPR, так и UK GDPR — они не идентичны.
Штраф ICO LastPass: установление шифрования как юридического требования
Штраф ICO в декабре 2025 года против LastPass UK (£1,2 млн) является знаковым делом UK GDPR по стандартам шифрования. Уведомление о правоприменении установило несколько принципов с широкими последствиями:
Основной вывод: Архитектура шифрования LastPass — которая хранила данные пользовательского хранилища с ключами шифрования, доступными серверу, — была признана неадекватной по Статье 32 UK GDPR. ICO установил, что «контролёр должен был реализовать шифрование на стороне клиента, которое обеспечило бы, что даже в случае взлома сервера данные пользовательского хранилища не были бы доступны несанкционированным сторонам».
Что это означает: ICO установил, что где существует более конфиденциальностно-безопасная архитектура (шифрование на стороне клиента) и технически осуществима, использование менее конфиденциальностно-безопасной архитектуры (шифрование на стороне сервера) может не удовлетворять стандарту «надлежащих технических мер» Статьи 32.
Более широкие последствия: Организации, хранящие конфиденциальные данные с использованием серверного шифрования — где серверы поставщика хранят ключи шифрования — могут столкнуться с проверкой ICO в случае нарушения. В уведомлении о правоприменении явно указано, что «технические меры должны быть пропорциональны риску, и где риск несанкционированного доступа к конфиденциальным персональным данным высок, надлежащая мера может потребовать управления ключами на стороне клиента».
Руководство ICO по ИИ: технические требования для генеративного ИИ
ICO выпустил комплексное руководство по ИИ в 2023–2024 годах, охватывающее восемь конкретных технических требований для систем генеративного ИИ — более детальных, чем эквивалентное руководство ЕС:
1. Прослеживаемость обучающих данных: ИИ-системы, обученные на персональных данных, должны иметь задокументированное происхождение обучающих данных, включая применённые процедуры анонимизации.
2. Мониторинг выходных данных: Системы, генерирующие персональные данные в выводах, должны иметь меры контроля мониторинга для обнаружения и предотвращения ненадлежащего раскрытия данных.
3. Ограничение цели в обучении: Персональные данные, используемые для обучения, должны быть ограничены конкретной целью — обучение ИИ общего назначения с использованием данных клиентов требует явного правового основания.
4. Права физических лиц при автоматическом принятии решений: ИИ-системы, принимающие значимые решения о физических лицах, должны реализовывать технические меры контроля для содействия правам физических лиц (доступ, объяснение, оспаривание).
5. Аудит предвзятости: Системы, обрабатывающие защищённые характеристики (напрямую или путём вывода), должны иметь технический мониторинг предвзятости.
6. Минимизация данных при точной настройке: Точная настройка на персональных данных должна применять минимизацию перед обучением — не просто политики анонимизации, но и техническую реализацию.
7. Хранение при обучении: Персональные данные, включённые в веса модели, должны быть адресуемы для запросов на удаление (требуются технические или эквивалентные меры защиты).
8. Должная осмотрительность в отношении сторонних моделей: Организации, использующие сторонние ИИ-системы, должны оценивать и документировать техническое соответствие этих систем этим требованиям.
Эти восемь требований создают технический контрольный список для развёртываний ИИ в Великобритании.
Тенденции правоприменения ICO: от руководства к штрафам
ICO исторически предпочитал образование и уведомления о правоприменении крупным штрафам. Это меняется:
- LastPass (декабрь 2025): £1,2 млн — техническая недостаточность безопасности (архитектура шифрования)
- Избирательная комиссия (2023): £4,4 млн предупреждения (без штрафа) — недостаточность безопасности (сервер не обновлён)
- British Airways (2019, урегулировано 2020): £20 млн — утечка данных в результате кибератаки из-за неадекватной безопасности
- Marriott International (2019, урегулировано 2020): £18,4 млн — утечка данных из-за неадекватной должной осмотрительности
ICO выдал 67 уведомлений о правоприменении в 2024 году — рекордный максимум — что свидетельствует о растущей готовности использовать формальное правоприменение.
Штраф LastPass особенно значителен, поскольку он был направлен на решение об архитектуре шифрования, а не только на исход нарушения. Это предполагает, что ICO будет изучать технические проектные решения, а не только реагирование на нарушения.
Последствия для потоков данных между Великобританией и ЕС
Британские организации, обслуживающие клиентов из ЕС или получающие персональные данные ЕС, сталкиваются с двойным требованием соответствия:
- UK GDPR применяется к обработке в Великобритании
- EU GDPR применяется к персональным данным ЕС
Для передач данных из ЕС в Великобританию: решение ЕС об адекватности для Великобритании (принятое в 2021 году) остаётся действительным, но подлежит проверке и юридическому оспариванию. Организациям не следует полностью полагаться на адекватность Великобритании — стандартные договорные оговорки остаются рекомендуемой дополнительной мерой защиты.
Для британских организаций, использующих облачные сервисы на базе ЕС: передача из Великобритании в ЕС в настоящее время не ограничена (нет ограничений ЕС на потоки данных Великобритании), но обработка провайдером ЕС персональных данных Великобритании может вызвать требования EU GDPR для обработчика.
Практическое руководство: организации с потоками данных между ЕС и Великобританией должны отдельно документировать свою позицию соответствия UK GDPR и свою позицию соответствия EU GDPR, отмечая, где они эквивалентны, а где применяются специфичные для Великобритании требования.
Источники: