UK GDPR posle Bregzita: Sta se promenilo
Zakon o zastiti podataka iz 2018. uneo je UK GDPR u zakonodavstvo. On je u velikoj meri uskladen s EU GDPR-om, ali ne u svim oblastima. Ako poslujete i u Velikoj Britaniji i u EU, podlezete dvema odvojenim proverama uskladjenosti.
Sta je ostalo isto:
- Sest zakonitih osnova za obradu
- Prava ispitanika: pristup, brisanje, ispravka, prenosivost
- Obavezno obavestavanje regulatora u roku od 72 sata o povredi
- Zastita podataka po dizajnu i podrazumevanoj zastiti
Sta se promenilo:
- Velika Britanija donosi sopstvene odluke o adekvatnosti za prekogranicni prenos
- Britanske smernice o vestackoj inteligenciji iz 2023-2024. idu dalje od EDPB-a
- Britanski izuzeci za istrazivanje su nesto siri od EU izuzetaka
- Regulatorno telo prelazi s pristupa savetovanje-prvo na kazne -- brze nego ranije
Razlika izmedju britanskih i EU pravila je stvarna. Tretajte ih kao dve odvojene liste za proveru.
Kazna za LastPass: Enkripcija je sada zakonski test
U decembru 2025, ICO je kaznio LastPass UK sa 1,2 miliona funti zbog lose postavljene enkripcije. Ovo je najvaznija presuda UK GDPR-a o tehnickoj bezbednosti do danas.
Sta je regulator utvrdio: LastPass je cuvao zapise trezora s kljucevima koji se nalaze na serveru. Svako ko bi dostigao server mogao je procitati trezor. Presuda je utvrdila da ovo krsi test "odgovarajucih tehnickih mera" iz clana 32 UK GDPR-a.
Kljucna fraza iz obavestenja: "Rukovalac je trebalo da koristi enkripciju na strani klijenta. To bi cuvalo zapise korisnickog trezora na sigurnom cak i ako bi server bio napaden."
Sta ovo utvrduje: Ako postoji bezbednije resenje koje je izvodljivo, koristenje slabijeg moze sada prekrsiti clan 32. Upravljanje kljucevima na strani servera vise nije bezbedan podrazumevani nacin za osetljive zapise.
Ko je u opasnosti: Svaka usluga koja cuva osetljive zapise i drzeci kljuceve enkripcije na sopstvenim serverima. Ovo ukljucuje alate koji beleze tekst radi revizorskih tragova, statistike koristenja ili istoriju dokumenata. Ako server moze citati tekst, regulatori mogu pitati zasto niste koristili dizajn na strani klijenta. Pogledajte kako anonym.legal rukuje ovim kroz zero-knowledge arhitekturu.
Britanske smernice za VI: Osam tehnickih pravila
Britanski regulator objavio je detaljne smernice za VI u 2023-2024. Pokrivaju osam specificnih zahteva za generativne VI sisteme. Uporedive EU smernice su manje detaljne.
1. Poreklo podataka za trening -- VI trenirani na licnim zapisima moraju da beleze odakle su ti podaci dosli i koje korake su koristili za njihovo ciscenje.
2. Pracenje izlaza -- Sistemi koji proizvode licne izlaze moraju imati kontrole za hvatanje i zaustavljanje losih otkrivanja.
3. Ogranicenje svrhe -- Zapisi koji se koriste za trening VI moraju odgovarati navedenim svrhama. Opsti trening na zapisima klijenata zahteva jasnu zakonitu osnovu.
4. Prava u automatizovanom odlucivanju -- Ako vasa VI donosi kljucne odluke o osobi, mora podrzavati pristup, objasnjenje i zalbu.
5. Pracenje pristrasnosti -- Sistemi koji koriste zasticene karakteristike -- direktno ili zakljucivanjem -- moraju imati provere pristrasnosti.
6. Minimizacija pre doradivanja -- Morate smanjiti licne zapise pre doradivanja. Sama polisa nije dovoljna.
7. Brisanje iz tezina modela -- Ako zapisi udiou u tezine modela, potreban vam je plan za adresiranje zahteva za brisanje. Potrebne su tehnicke ili ekvivalentne mere zastite.
8. Pregled VI trecih strana -- Ako koristite VI drugog preduzeca, morate proveriti i zabeleziti njegovu uskladjenost sa svih osam tacaka.
Ovih osam pravila cini prakticnu listu za proveru za svaki britanski nastup VI.
Britanska primena: Prelaz na kazne
Regulator je nekada preferirao pisma s smernicama umesto kazni. To se menja. Nedavne akcije pokazuju jasan obrazac:
| Akcija | Iznos | Godina | Razlog |
|---|---|---|---|
| British Airways | 20 miliona funti | 2020 | Povreda -- slaba bezbednost |
| Marriott International | 18,4 miliona funti | 2020 | Povreda -- losa proverka |
| LastPass UK | 1,2 miliona funti | 2025 | Greska u dizajnu enkripcije |
| Izborna komisija | Opomena od 4,4 miliona funti | 2023 | Server bez zakrpa |
U 2024. godini izdato je 67 nalogova za primenu -- rekord. Slucaj LastPass je znacajan jer je kazna bila za izbor dizajna, a ne samo za ishod povrede. Regulatori su proucavali kako je LastPass izgradio svoj sistem. To je novo.
UK-EU prenosi: Dvosmerni rizik
Britanske organizacije koje rukuju EU licnim zapisima suocene su s obavezama s obe strane.
Od EU do UK: EU je dodelila Velikoj Britaniji odluku o adekvatnosti 2021. Ona je jos uvek vazeca. Ali postoji pravni izazov. Nemojte se oslanjati samo na nju -- standardne ugovorne klauzule (SCC) su razumna rezerva.
Od UK do EU: Trenutno nijedno pravilo ne blokira premestanje britanskih zapisa ka EU procesorima. Ali EU procesor koji rukuje britanskim zapisima i dalje moze da aktivira EU GDPR pravila na svojoj strani.
Prakticni korak: Napisite svoju UK GDPR poziciju i svoju EU GDPR poziciju kao dva odvojena dokumenta. Zabelezte gde se poklapaju i gde se razlikuju. To je zapis koji trebate ako regulator pita. Nasa tabela uskladjenosti mapira obe strane.
Za dublji uvid u zero-knowledge dizajn i kako on resava rizik od napada na server identifikovan u LastPass slucaju, procitajte nasu stranicu o bezbednosnoj i privatnosnoj arhitekturi.