UK GDPR после Брекзита: что изменилось
Британский Закон о защите данных и цифровой информации (DPDI) 2025 года вносит 14 изменений в нормы GDPR ЕС. Это создаёт первое реальное расхождение между европейским и британским законодательством о конфиденциальности с момента Брекзита. Соглашение об адекватности между ЕС и Великобританией находится на пересмотре. Его исход важен для каждого бизнеса, передающего персональные данные между двумя регионами.
Штраф LastPass: новая техническая планка
В декабре 2025 года ICO оштрафовал LastPass UK на £1,2 миллиона. Это крупнейшее дело в области технической безопасности в истории Великобритании.
ICO выявил два ключевых нарушения.
Слабое шифрование: LastPass хранил хранилища паролей клиентов с устаревшим шифрованием. ICO назвал его «недостаточным» по статье 32 UK GDPR. Некоторые хранилища использовали PBKDF2-SHA256 всего с одной итерацией. Британский NCSC рекомендует не менее 600 000 итераций для ключей паролей.
Что теперь требует закон: Статья 32 UK GDPR предписывает «надлежащие технические меры», соответствующие «современному уровню развития техники». ICO установил, что деривация ключей в 2022 году требовала значительно большего числа итераций, чем применял LastPass. То, что было приемлемо в 2015 году, в 2022-м таковым не являлось.
Результат: шифрование у поставщиков стало аудируемым требованием. Вы обязаны проверять, используют ли ваши инструменты актуальные параметры, а не устаревшие базовые настройки. О том, как мы решаем эту задачу — в разделе Безопасность и соответствие требованиям.
Закон DPDI 2025: шесть ключевых изменений
Закон вносит 14 выявленных изменений в британское законодательство о данных. Шесть из них непосредственно влияют на повседневную работу.
1. Законные интересы. Закон перечисляет «признанные законные интересы». Они освобождены от теста на балансирование, который европейское право по-прежнему требует. Это упрощает использование данного основания для британских компаний.
2. Исследования и статистика. Закон расширяет исключение для исследований. Вторичное использование персональных данных в научных целях теперь требует меньше согласований, чем по нормам ЕС.
3. Автоматизированные решения. Закон заменяет статью 22 ЕС. Новая норма мягче. Некоторые автоматические решения больше не требуют значимого участия человека в их проверке.
4. Ведение записей. Закон отменяет обязательный реестр операций по обработке данных (ROPA) для компаний с численностью до 250 сотрудников, не осуществляющих «систематическую» обработку. Нормы ЕС требуют ROPA от всех компаний, обработка у которых не носит случайного характера.
5. Согласие на куки. Закон смягчает требования к согласию для аналитических куки и поддерживает решения «без куки». Нормы ePrivacy ЕС по-прежнему требуют согласия для отслеживающих куки.
6. Международные передачи. Государственный секретарь Великобритании получает расширенные полномочия по принятию решений об адекватности. Великобритания может одобрять страны, которые ЕС не одобрил. Это разделяет режимы передачи данных с обеих сторон.
Риск утраты статуса адекватности
Европейская комиссия проверит, обеспечивает ли британское право «по существу равнозначную» защиту нормам ЕС.
Три области вызывают обеспокоенность европейских регуляторов.
Расширенные законные интересы по закону DPDI могут оставить пробелы, которые Комиссия сочтёт недостаточными. Британский Закон о следственных полномочиях 2016 года по-прежнему вызывает вопросы в связи с прецедентами Суда ЕС. Британско-американские договорённости по закону CLOUD Act могут открыть данные ЕС для правоохранительных органов США.
В случае приостановки статуса адекватности более 10 000 наборов стандартных договорных условий между Великобританией и ЕС потребуют срочной активации. Компании, полагающиеся исключительно на решение об адекватности для британско-европейских передач, могут столкнуться с пробелами в одночасье. Проверьте свои риски в руководстве по соответствию.
Одновременная работа в двух режимах
Для компаний, действующих одновременно в рамках европейского и британского права, путь очевиден.
Используйте более строгую базовую линию. Статья 32 ЕС, тест на балансирование законных интересов ЕС и нормы ЕС по автоматизированным решениям — все они строже британских аналогов. Соответствие нормам ЕС автоматически означает соответствие британским нормам плюс несколько британских дополнений.
Документируйте оба правовых основания. Для законных интересов фиксируйте как результат теста на балансирование по нормам ЕС, так и подтверждение того, что обработка относится к признанной британской категории. Двойная документация защитит вас при дальнейшем расхождении норм.
Держите СКУ наготове. Проверка адекватности 2026 года покажет, нужны ли вам отдельные инструменты для передачи данных. Держите стандартные договорные условия в рабочем состоянии в качестве запасного варианта даже при наличии решения об адекватности.
Проверяйте шифрование у поставщиков. Дело LastPass сделало шифрование у поставщиков актуальным вопросом соответствия. Убедитесь, что инструменты, обрабатывающие персональные данные, используют актуальные настройки: AES-256-GCM для хранения, argon2id или PBKDF2 с современным числом итераций для деривации ключей. Типичные вопросы аудита — в разделе FAQ.
Британское расхождение — это первый реальный разрыв в европейской модели конфиденциальности. Для компаний в обоих регионах наиболее безопасная стратегия — проектировать под более строгий стандарт, которым по-прежнему остаётся европейский.
anonym.legal обрабатывает документы в европейских дата-центрах Hetzner по принципу нулевого знания. Сервер никогда не видит ваш открытый текст. Даже при полной компрометации сервера злоумышленник получит только шифртекст AES-256-GCM. Нужна локальная обработка? Настольное приложение работает на вашем устройстве без внешних подключений.
Источники
- ICO: Управление информационного комиссара — VERIFIED-EXTERNAL
- ICO: Принятые меры по исполнению — VERIFIED-EXTERNAL
- Правительство Великобритании: Анализ закона DPDI 2025 — VERIFIED-EXTERNAL