UK GDPR po Brexite: Co sa zmenilo
Zakon o ochrane udajov z roku 2018 zaviedol UK GDPR do platnosti. Je blizky EU GDPR, ale nie vo vsetkych oblastiach. Ak podnikate v Spojenom kralovstve aj v EU, musate absolvovat dve odlisne kontroly suladnosti.
Co zostalo rovnake:
- Sest pravnych dovodov na spracovanie
- Prava dotknutych osob: pristup, vymazanie, oprava, prenositelnost
- 72-hodinova lehota na oznamenie narusiena regulatorovi
- Ochrana sukromia uz od navrhu a ako predvolene nastavenie
Co sa zmenilo:
- Spojene kralovstvo spravuje vlastne rozhodnutia o adekvatnosti pre cezhranicne prenosy
- Usmernenia UK pre umelicku inteligenciu z rokov 2023-2024 idiu dalej ako EDPB
- Britske vynimky pre vyskum su o niecom sirokeho nez v EU
- Regulator prechod od odporucan k pokutam -- rychlejsie ako predtym
Rozpor medzi britskymi a europskymi pravidlami je realny. Pristupujte k nim ako k dvom samostatnym zoznamom.
Pokuta pre LastPass: Sifrovanie je teraz pravnym testom
V decembri 2025 ICO pokutovalo LastPass UK sumou 1,2 miliona libier za chybne sifrovanie. Ide o najdolezitejsie britske rozhodnutie UK GDPR o technickom zabezpeceni dodnes.
Co regulator zistil: LastPass ukladal zaznamy trezoru pomocou klucov na strane servera. Kazdy, kto dosiahol server, mohol citat trezor. Rozhodnutie konstatovalo, ze to porusuje test "primeranych technickych opatreni" podla clanku 32 UK GDPR.
Klucova veta z oznamenia: "Spravca mal pouzit sifrovanie na strane klienta. To by udrzalo zaznamy trezoru uzivatelov v bezpeci aj v pripade narusiena servera."
Co toto stanovuje: Ak existuje bezpecnejsi dizajn a je realizovatelny, pouzitie slabsieho moze teraz porusit clanok 32. Sprava klucov na strane servera uz nie je bezpecnym predvolenym nastavenim pre citlive zaznamy.
Kto je ohrozeny: Akakolvek sluzba, ktora uklada citlive zaznamy a drzi sifrovacie kluce na vlastnych serveroch. To zahrnuje nastroje, ktore zaznamenavaju text pre auditne stopy, statistiky pouzitia alebo historiu dokumentov. Ak server moze citat text, regulatori sa mozu pytat, preco ste nepouzili dizajn na strane klienta. Pozrite sa, ako anonym.legal riesie toto pomocou architektury s nulovou znaloscu.
Usmernenia UK pre AI: Osem technickych pravidiel
Britsky regulator zverejnil podrobne usmernenia pre AI v rokoch 2023-2024. Pokryvaju osem specifickych poziadaviek pre systemy generativnej umelej inteligencie. Porovnatelne usmernenia EU su menej podrobne.
1. Proveniencia trenovacich dat -- AI trenovany na osobnych zaznamoch musi zaznamenavat, odkial tieto data pochadzaju a ake kroky boli pouzite na ich cistenie.
2. Monitorovanie vystupov -- Systemy, ktore produkuju osobny vystup, musia mat kontroly na zachytenie a zastavenie zlych prezradeni.
3. Obmedzenie ucelu -- Zaznamy pouzivane na trenovanie AI musia zodpovedat stanovenym ucelom. Vseobecne trenovanie na zaznamoch zakaznikov vyzaduje jasny pravny zaklad.
4. Prava pri automatizovanych rozhodnutiach -- Ak vas AI robi klucove rozhodnutia o osobe, musi podporovat pristup, vysvetlenie a odvolanie.
5. Monitorovanie predpojatosti -- Systemy, ktore pouzivaju chranene vlastnosti -- priamo alebo prostrednicitvom inferencie -- musia mat zavedene kontroly predpojatosti.
6. Minimalizacia pred jemnym doladevanim -- Pred jemnym doladevanim muste zredukovat osobne zaznamy. Samotna politika nestaci.
7. Vymazanie z vah modelu -- Ak zaznamy vstupuju do vah modelu, potrebujete plan na riesenie ziadosti o vymazanie. Vyzaduju sa technicke alebo ekvivalentne zaruky.
8. Kontrola tretej strany AI -- Ak pouzivate AI inej spolocnosti, muste overit a zaznamenat jej suladnost so vsetkymi osmimi bodmi.
Tychto osem pravidiel tvori prakticke kontrolny zoznam pre akekolvek nasadenie AI v Spojenom kralovstve.
Presadzovanie v UK: Prechod k pokutam
Regulator preferoval usmernujuce listy pred sankciami. To sa meni. Nedavne kroky ukazuju jasny vzor:
| Akcia | Suma | Rok | Dovod |
|---|---|---|---|
| British Airways | 20 mil. GBP | 2020 | Narusenie -- slabe zabezpecenie |
| Marriott International | 18,4 mil. GBP | 2020 | Narusenie -- nedostatocna starostlivost |
| LastPass UK | 1,2 mil. GBP | 2025 | Chyba dizajnu sifrovania |
| Electoral Commission | 4,4 mil. GBP napomennutie | 2023 | Server bez oprav |
V roku 2024 bolo vydanych 67 oznameni o presadzovani -- rekord. Pripad LastPass je pozoruhodny, pretoze pokuta bola za rozhodnutie o dizajne, nie len za vysledok narusiena. Regulatori skumali, ako LastPass vybudoval svoj system. To je nove.
Prenosy UK-EU: Riziko oboch smerov
Britske organizacie, ktore spracuvaju europske osobne zaznamy, celia povinnostiam z oboch stran.
Z EU do UK: EU udelila Spojenemu kralovstvu rozhodnutie o adekvatnosti v roku 2021. Stale plati. Ale je napadnute pravne. Nespolahajte sa len na ne -- standardne zmluvne dolohy (SCC) su rozumnou zarukou.
Z UK do EU: Ziadne soucasne pravidlo nebrani presunu britskych zaznamov k europskym spracovatelom. Ale europsky spracovatel spracuvajuci britske zaznamy moze stale spustit pravidla EU GDPR na svojej strane.
Prakticke kroky: Napisite svoju poziciju UK GDPR a svoju poziciju EU GDPR ako dva odlisne dokumenty. Poznacte si, kde sa zhoduju a kde sa lisie. To je zaznam, ktory potrebujete, ak sa regulator opyta. Nas prehlad suladnosti mapuje obe strany.
Pre hlbsie nahliadnutie do dizajnu s nulovou znaloscu a sposob, akym riesie riziko narusenia servera identifikovane v LastPass, si precitajte nasu stranku architektury bezpecnosti a ochrany sukromia.
Zdroje
- ICO: Usmernenia a zdroje UK GDPR -- OVERENY-EXTERNAL
- ICO: Oznamenie o presadzovani LastPass, december 2025 -- OVERENY-EXTERNAL
- ICO: Usmernenia AI a ochrany udajov -- OVERENY-EXTERNAL
- ICO: Vyrocna sprava o presadzovani 2024 -- OVERENY-EXTERNAL