Закон Великобритании о защите данных и цифровой информации (DPDI) 2025 года создаёт 14 значительных отступлений от EU GDPR — что стало первым существенным регуляторным расхождением между системами защиты данных ЕС и Великобритании после Brexit. Решение ЕС об адекватности Великобритании, изначально действовавшее до июня 2025 года и продлённое в ожидании проверки, сталкивается с нарастающим скептицизмом со стороны практиков GDPR и Европейской комиссии.
Правоприменение LastPass: технический ориентир UK GDPR
Штраф ICO в размере £1,2 млн против LastPass UK в декабре 2025 года — наиболее значимое дело UK GDPR в сфере технической безопасности. ICO установил следующее:
Неадекватное шифрование: LastPass хранил хранилища мастер-паролей клиентов с устаревшим шифрованием, признанным ICO «неадекватным» в соответствии со статьёй 32 UK GDPR. В частности, ICO установил, что некоторые итерации хранилища использовали PBKDF2-SHA256 всего с 1 итерацией — значительно ниже минимальной рекомендации UK NCSC в 600 000 итераций для ключей, производных от паролей.
Установленный правовой стандарт: Статья 32 UK GDPR требует «надлежащих технических мер», отражающих «современный уровень». ICO установил, что «современный уровень» для деривации ключей шифрования в 2022 году (когда произошло нарушение) требовал значительно большего, чем предоставил LastPass. Это означает, что стандарты безопасности развиваются — то, что было приемлемо в 2015 году, может не быть приемлемо в 2022 году.
Прямые последствия для инструментов шифрования: Организации, использующие инструменты обработки данных, должны проверять соответствие реализаций шифрования текущему «современному уровню», а не просто минимальным базовым стандартам. Правоприменение ICO против LastPass делает качество шифрования поставщика непосредственным требованием соответствия, подлежащим аудиту.
Закон DPDI 2025: ключевые отступления от EU GDPR
Закон DPDI создаёт 14 выявленных отступлений от EU GDPR. Наиболее операционно значимые:
1. Реформа законного интереса: Закон DPDI создаёт перечень «признанных законных интересов», для которых не требуется балансирующий тест по интересам субъектов данных, предусмотренный EU GDPR. Это делает законный интерес более доступным правовым основанием для британских организаций — снижая требования к согласию для части коммерческой обработки.
2. Исследования, статистика и архивирование: Закон DPDI существенно расширяет исключение для исследований, допуская более широкое вторичное использование персональных данных в исследовательских целях без явных требований к согласию, предусмотренных EU GDPR.
3. Автоматизированное принятие решений: Замена статьи 22 GDPR (права в отношении автоматизированных решений) в Законе DPDI более либеральна в отношении коммерческих автоматизированных решений. Требование содержательного участия человека ослаблено для некоторых категорий автоматизированной обработки.
4. Ведение учёта: Закон DPDI отменяет обязательные требования к реестру операций по обработке данных (ROPA) для малых организаций (менее 250 сотрудников) без «систематической» обработки. EU GDPR требует ROPA для всех организаций, чья обработка не является случайной.
5. Согласие на файлы cookie: Закон DPDI включает положения об «альтернативах без cookie» и снижает требования к согласию для аналитических cookie — специально для уменьшения нагрузки от баннеров согласия на cookie. Требования ePrivacy EU GDPR (применяемые параллельно) по-прежнему требуют согласия для отслеживающих cookie.
6. Международная передача данных: Закон DPDI предоставляет Государственному секретарю Великобритании более широкие полномочия по выдаче решений об адекватности — потенциально позволяя Великобритании признавать адекватными страны, которым ЕС не предоставил адекватности, что создаёт расходящиеся системы передачи данных.
Риск адекватности: что может инициировать проверку ЕС
Проверка адекватности Великобритании Комиссией ЕС оценит, обеспечивает ли UK GDPR (в редакции Закона DPDI) «существенно равнозначную» защиту в сравнении с EU GDPR:
Проблемные области, выявленные наблюдателями ЕС:
- Расширение законного интереса по Закону DPDI может создать пробелы, которые ЕС сочтёт неадекватными
- Британское законодательство о надзоре (Закон об investigatory powers 2016) остаётся несовместимым со стандартами GDPR согласно прецедентам CJEU по связанным делам
- Договорённости Великобритании и США о передаче данных в рамках CLOUD Act создают потенциальный риск доступа к данным ЕС со стороны правоохранительных органов США
Если адекватность будет приостановлена или отозвана: Более 10 000 соглашений о стандартных договорных положениях (SCC) в рамках UK–ЕС необходимо будет немедленно активировать. Организации, в настоящее время полагающиеся исключительно на адекватность для передачи данных Великобритания–ЕС, столкнутся с пробелами в соответствии.
Поддержание двойного соответствия EU + UK GDPR
Для организаций, подпадающих под действие как EU GDPR, так и UK GDPR, практический подход:
Использовать более строгий стандарт в качестве базового: Статья 32 EU GDPR, балансирующий тест законного интереса по GDPR и требования GDPR к автоматизированному принятию решений строже, чем их эквиваленты по Закону DPDI. Организации, соответствующие EU GDPR, автоматически соответствуют UK GDPR (с незначительными дополнениями, специфичными для Великобритании).
Документировать оба правовых основания: При обработке на основе законного интереса документировать как балансирующий тест EU GDPR, так и то, что обработка подпадает под признанные законные интересы Закона DPDI Великобритании. Двойная документация защищает от расхождения.
Следить за статусом решения об адекватности: Результат проверки адекватности 2026 года определит, нужны ли отдельные механизмы передачи для потоков данных Великобритания–ЕС. Организациям следует поддерживать SCC в качестве резервного механизма, даже если в настоящее время они полагаются на адекватность.
Шифрование на уровне современного стандарта: Правоприменение ICO против LastPass делает стандарты шифрования поставщиков активным фактором соответствия. Убедитесь, что инструменты PII, хранилища данных и реализации управления ключами используют текущие рекомендуемые параметры (AES-256-GCM, argon2id для деривации ключей с актуальными рекомендуемыми параметрами).
Расхождение UK GDPR после Brexit стало первым значительным разломом в стандартах защиты данных ЕС. Для организаций, работающих в обеих юрисдикциях, наиболее безопасная позиция — проектирование систем для выполнения наиболее строгих применимых требований, которыми остаются основные технические стандарты EU GDPR.
Источники: