UK GDPR po Brexitu: kaj se je spremenilo
Zakon o varstvu podatkov 2018 je v britansko pravo uvedel UK GDPR. Ta je blizu EU GDPR, a ne v vsakem pogledu. Ce delujete tako v Veliki Britaniji kot v EU, morate opraviti dve loci preverjanje skladnosti.
Kaj je ostalo enako:
- Sest zakonitih podlag za obdelavo
- Pravice posameznikov: dostop, izbris, popravek, prenosnost
- 72-urna prijava krsitve nadzornemu organu
- Zasebnost ze pri zasnovi in privzeto
Kaj se je spremenilo:
- Velika Britanija vodi lastne odlocitve o ustreznosti za cezmejna prenasanja
- Britanske smernice o UI iz let 2023-2024 gredo dlje kot smernice EDPB
- Britanske izjeme za raziskovalne namene so nekoliko sirsje od evropskih
- Regulatorni organ prehaja od svetovalnega pristopa k globam - hitreje kot prej
Vrzel med britanskimi in evropskimi pravili je realna. Obravnavajte ju kot dva loci kontrolna seznama.
Globa LastPass: sifriranje je zdaj pravni preizkus
Decembra 2025 je ICO LastPassu UK izrekla globo 1,2 milijona funtov zaradi pomanjkljive zasnove sifriranja. To je najpomembnejsa britanska odlocitev UK GDPR glede tehnicnih varnostnih ukrepov doslej.
Ugotovitve regulatorja: LastPass je shranjeval zapise trezorjev s kljuci na strezniski strani. Kdorkoli je dosegel streznik, je lahko prebral trezor. Odlocitev je ugotovila, da to krsi preizkus "ustreznih tehnicnih ukrepov" iz clena 32 UK GDPR.
Kljucni odlomek iz obvestila: "Upravljavec bi moral uporabiti sifriranje na strani odjemalca. To bi obvarovalo zapise v trezorju uporabnikov, tudi ce bi bil streznik kompromitiran."
Kar to uvaja: Ce obstaja varnejsa zasnova in jo je moc uresniciti, je uporaba sibkejse morda krsitev clena 32. Upravljanje kljucev na strezniski strani ni vec varna privzeta moznost za obcutljive zapise.
Kdo je izpostavljen tveganju: Vsaka storitev, ki shranjuje obcutljive zapise in hrani sifrirne kljuce na lastnih streznikih. To vkljucuje orodja, ki beležijo besedilo za revizijske sledi, statistiko uporabe ali zgodovino dokumentov. Ce streznik lahko prebere besedilo, bodo regulatorji morda vprasali, zakaj niste uporabili zasnove na strani odjemalca. Oglejte si, kako anonym.legal to resuje z arhitekturo brez znanja.
Britanske smernice o UI: osem tehnicnih pravil
Britanski regulator je v letih 2023-2024 objavil podrobne smernice o UI. Pokrivajo osem specificnih zahtev za generativne sisteme UI. Primerljive smernice EU so manj podrobne.
1. Izvor ucnih podatkov - UI, usposobljena na osebnih zapisih, mora beležiti, od kod ti podatki izhajajo in kaksni koraki so bili uporabljeni za njihovo ciscenje.
2. Nadzor izhodnih podatkov - Sistemi, ki proizvajajo osebne izhodne podatke, morajo imeti kontrolne mehanizme za zaznavanje in preprecevanje neustreznih razkritij.
3. Omejitev namena - Zapisi, uporabljeni za ucenje UI, morajo ustrezati navedenemu namenu. Za splosno ucenje na zapisih strank je potrebna jasna pravna podlaga.
4. Pravice pri avtomatiziranem odlocanju - Ce vas sistem UI sprejema kljucne odlocitve o posamezniku, mora podpirati dostop, razlago in pritožbo.
5. Nadzor nad pristranskostjo - Sistemi, ki neposredno ali posredno uporabljajo zasticene lastnosti, morajo imeti vzpostavljene kontrole pristranskosti.
6. Minimizacija pred fino nastavitvijo - Pred fino nastavitvijo morate zmanjsati obseg osebnih zapisov. Sama politika ni dovolj.
7. Brisanje iz uteži modela - Ce zapisi vstopijo v uteži modela, potrebujete nacrt za obravnavo zahtev po izbrisu. Zahtevani so tehnicni ali enakovredni varnostni ukrepi.
8. Pregled UI tretjih oseb - Ce uporabljate UI drugega podjetja, morate preveriti in zabeležiti njeno skladnost z vsemi osmimi tockami.
Teh osem pravil tvori prakticen kontrolni seznam za vsako britansko postavitev UI.
Britansko izvrsvanje: prehod k globam
Regulator je pred tem dajal prednost svetovalnim pismom pred kaznijo. To se spreminja. Nedavni ukrepi kazejo jasen vzorec:
| Ukrep | Znesek | Leto | Razlog |
|---|---|---|---|
| British Airways | 20 milijonov funtov | 2020 | Krsitev - sibka varnost |
| Marriott International | 18,4 milijona funtov | 2020 | Krsitev - slaba skrbnost |
| LastPass UK | 1,2 milijona funtov | 2025 | Napaka pri zasnovi sifriranja |
| Electoral Commission | Opomin v vrednosti 4,4 milijona funtov | 2023 | Nezakrpan streznik |
Leta 2024 je bilo izdanih 67 izvrsbenimi obvestil - rekordno stevilo. Primer LastPass je opazen, ker je bila globa izrecena za oblikovno odlocitev, ne le za izid krsitve. Regulatorji so preucili, kako je LastPass zgradil svoj sistem. To je novo.
Prenosi med UK in EU: dvosmerno tveganje
Britanske organizacije, ki obdelujejo osebne zapise EU, imajo obveznosti na obeh straneh.
Iz EU v UK: EU je leta 2021 Veliki Britaniji podelila odlocitev o ustreznosti. Se vedno velja. Toda izpodbijana je pred sodiscem. Ne zanesete se nanjo sami - standardne pogodbene klavzule (SCC) so razumna rezervna moznost.
Iz UK v EU: Trenutno ni pravila, ki bi prepovedovalo premik britanskih zapisov k obdelovalcem v EU. Toda obdelovalec v EU, ki ravna z britanskimi zapisi, lahko na svoji strani se vedno sproži pravila EU GDPR.
Prakticni korak: Narisite svojo pozicijo glede UK GDPR in svojo pozicijo glede EU GDPR kot dve loci listini. Zabeležite, kje se ujemata in kje se razlikujeta. To je zapis, ki ga potrebujete, ce regulator vpresa. Nas pregled skladnosti pokriva obe strani.
Za poglobljen pogled na zasnovo brez znanja in kako ta naslavlja tveganje vdora v streznik, identificirano v primeru LastPass, preberite naso stran o varnostni in zasebnostni arhitekturi.
Viri
- ICO: Smernice in viri UK GDPR - VERIFIED-EXTERNAL
- ICO: Izvrsno obvestilo LastPass, december 2025 - VERIFIED-EXTERNAL
- ICO: Smernice o UI in varstvu podatkov - VERIFIED-EXTERNAL
- ICO: Letno porocilo o izvrsvanju 2024 - VERIFIED-EXTERNAL