Britanski GDPR po Brexitu: Kaj se je spremenilo
Britanski zakon o varstvu podatkov in digitalnih informacijah (DPDI) iz leta 2025 uvaja 14 sprememb pravil EU GDPR. To ustvarja prvo pravo razhajanje med zakoni o zasebnosti EU in Velike Britanije po Brexitu. Sporazum o ustreznosti med EU in Veliko Britanijo je pod pregledom. Njegov izid je pomemben za vsako podjetje, ki prenasa osebne podatke med obema regijama.
Globa za LastPass: Nova tehnicna meja
ICO je decembra 2025 LastPass UK oglobil z 1,2 milijona funtov. To je do danes najvecji primer tehnicne varnosti v Veliki Britaniji.
ICO je ugotovil dve temeljni pomanjkljivosti.
Sibko sifriranje: LastPass je shranjeval trezorje gesel strank s starim sifrovanjem. ICO ga je opredelil kot "neustreznega" po clenu 32 GDPR Velike Britanije. Nekateri trezorji so uporabljali PBKDF2-SHA256 z le eno iteracijo. Britanski NCSC pravi, da kljuci gesel potrebujejo vsaj 600.000 iteracij.
Kaj zakon zdaj zahteva: Clen 32 GDPR Velike Britanije zahteva "ustrezne tehnicne ukrepe", ki ustrezajo "najsodobnejsemu stanju". ICO je ugotovil, da je izpeljava kljucev leta 2022 zahtevala precej vec kot kar je LastPass zagotovil. Kar je bilo primerno leta 2015, leta 2022 ni bilo vec ustrezno.
Rezultat: sifriranje prodajalca je zdaj preverljiva tocka skladnosti. Preveriti morate, da vasa orodja uporabljajo trenutne parametre - ne staresih izhodisnih vrednosti. V nasem pregledu varnosti in skladnosti si oglejte, kako to urejamo pri nas.
Zakon DPDI 2025: Sest kljucnih sprememb
Zakon uvaja 14 opredeljenih sprememb britanskega zakona o podatkih. Sest jih ima neposreden vsakodnevni ucinkov.
1. Legitimni interesi. Zakon navaja "priznane legitimne interese". Ti preskocijo test uravnotezenja, ki ga zakonodaja EU se vedno zahteva. To osnovo je za britanska podjetja lazje uporabiti.
2. Raziskave in statistika. Zakon razsiri izjemo za raziskave. Sekundarna uporaba osebnih podatkov za raziskave zahteva manj soglasij kot zakonodaja EU.
3. Avtomatizirane odlocitve. Zakon nadomesca clen 22 EU. Novo pravilo je bolj sprozceno. Nekatere avtomatizirane odlocitve ne potrebujejo vec smiselnega cloveski pregleda.
4. Vodenje evidenc. Zakon odpravlja obvezno evidentiranje dejavnosti obdelave (ROPA) za podjetja z manj kot 250 zaposlenimi brez "sistematicne" obdelave. Pravila EU zahtevajo ROPA za vsa podjetja, katerih obdelava ni le obcasna.
5. Soglasje za piskotke. Zakon omejuje pravila soglasja za analiticne piskotke in podpira moznosti brez piskotkov. Pravila ePrivacy EU za sledilne piskotke se vedno zahtevajo soglasje.
6. Mednarodni prenosi. Britanski drzavni sekretar dobi sirsja pooblastila za sprejemanje odlocitev o ustreznosti. Velika Britanija lahko odobri drzave, ki jih EU ni. To razdeli okvir prenosov na obeh straneh.
Tveganje glede ustreznosti
EvropskaKomisija bo preverila, ali britanska zakonodaja zagotavlja "bistveno enakovredno" varstvo kot pravila EU.
Tri podrocja skrbijo nadzornike EU.
Sirsji legitimni interesi zakona DPDI bi lahko pustili vrzeli, ki jih Komisija oceni kot neustrezne. Britanski zakon o preiskovalnih pooblastilih iz leta 2016 se vedno dviga pomisleke v zvezi z dolocenimi sodisci CJEU. Britansko-americanski sporazumi v okviru CLOUD Act bi lahko izpostavili podatke EU americanskim organom pregona.
Ce je ustreznost prekinjena, bi moralo biti vec kot 10.000 sklopov standardnih pogodbenih klavzul med Veliko Britanijo in EU hitro aktiviranih. Podjetja, ki se za prenose med Veliko Britanijo in EU zanasajo le na ustreznost, bi se cez noc soocila z vrzelmi. Preverite nas vodnik za skladnost, da ocenite svojo izpostavljenost.
Hkratno delovanje v obeh rezimih
Za podjetja, ki delujejo tako pod zakonodajo EU kot Velike Britanije, je pot jasna.
Uporabite strozje izhodisce. Clen 32 EU, test legitimnih interesov EU in pravila EU o avtomatiziranih odlocitvah so strozi od ustreznih dolocb britanskega zakona. Ce izpolnjujete pravila EU, izpolnjujete tudi pravila Velike Britanije, z nekaj dodatnimi britanskimi zahtevami.
Dokumentirajte obe pravni podlagi. Pri legitimnih interesih zapisite rezultat testa uravnotezenja EU in dokaz, da obdelava spada v britansko priznano kategorijo. Dvojna dokumentacija vas sciti, ce se pravila se bolj razhajajo.
Vzdrzujte pripravljene SCC. Pregled ustreznosti leta 2026 bo odlocil, ali potrebujete locena orodja za prenos. Standardne pogodbene klavzule vzdrzujte kot rezervno moznost, tudi ce uporabljate ustreznost.
Preverite sifriranje prodajalca. Primer LastPass naredi sifriranje prodajalca za zivo tocko skladnosti. Potrdite, da orodja, ki obravnavajo osebne podatke, uporabljajo trenutne nastavitve: AES-256-GCM za podatke v mirovanju, argon2id ali PBKDF2 s trenutnim stevilom iteracij za izpeljavo kljucev. V nasem pogostem vprasanjem najdete pogosta vprasanja za revizijo.
Britansko razhajanje je prva prava prelomnica v modelu zasebnosti EU. Za podjetja v obeh regijah je najvarnejsa moznost nacrtovanje za strozji standard - kar je se vedno okvir EU.
anonym.legal obdeluje dokumente v podatkovnih centrih Hetzner v EU z nacrtom brez poznavanja. Streznik nikoli ne vidi vasega besedila v jasnem besedilu. Popoln vdor v streznik prinese le sifrirano besedilo AES-256-GCM. Potrebujete lokalno obdelavo? Namizna aplikacija deluje na vasi napravi brez zunanjih povezav.